システムズ エンジニアリングで学ぶ～安全性設計（その2）： 安全性設計のためのモデリング手法「SSDM」～

システムズ 05 エンジニアリングで学ぶ ～安全性設計（その2）： 安全性設計のためのモデリング手法「SSDM」～ L E A R N I N S Y S T E M S E N G I N E E R I N G S E R I E S

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 　前回のシステムズエンジニアリングで学ぶ「04～安全性設計（その１）～」において、 電子レンジを例にシステムズエンジニアリング（以下、SE）を適用した安全性設計を 紹介しました。その中で各運用状態における安全性要求を含む機能要求の設定および アーキテクチャ設計（構成品への要求展開）について説明しましたが、電子レンジの ような比較的簡単なシステムにおいてもその関係は複雑になります。 　今回は、このようなシステム設計をシンプルかつ確実に進めるための新たなモデル化 手法であるSystem and Safety Design Matrix（SSDM）を紹介します。 １．SSDMとは 　複雑なシステムにおいて、システム本来の目的と安全性を両立させる要求定義やアーキ テクチャ設計を適切に行うことは難しく、その全体像を把握することは容易ではありません。 そこで、下図に示すように、システムの運用、機能要求、安全性解析、システムアーキテクチャ 等を接続し、システムを俯瞰して見ることを可能とする、SSDMというモデル化法を新たに 考案しました。 運用 安全性解析 ・運用状態 ・ハザード識別 ・状態遷移 ・安全性解析 ・ユースケース ・ハザード制御方法 SSDM システム要求 システムアーキテクチャ ・機能要求 ・構成品への機能配分 ・性能要求 ・ブロックダイアグラム ・安全性要求/基準 ・安全設計(冗長設計等) 図： 1.1 SSDMの位置づけ 　従来、機能と構成品の関係をDSM（Design St ructure Mat r ix）というマトリクスを 用いて表現することは行われていますが、SSDMはそのマトリクスに運用（運用フェーズ、 モード、状態遷移、異常状態等）と安全性に関わる属性を追加することにより、それらの 関係を同時に表現できるように拡張したものです。 01

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 　前回、安全性設計の基本的な流れを説明しましたが、従来の安全性解析手法（FHA 一方、MNWFは、機能が誤って働くとハザードに至る可能性がある機能であり、例えば自動 (Functional Hazard Assessment)、FTA(Fault Tree Analysis)、FMEA(Failure Mode 車の前進中にギアをバックに入れる、航空機のフライト中にエンジンを逆噴射させる、列車 & Effects Analysis)など）は、運用やシステムを理解していることが前提であり、解析の中で 通過中に遮断機を上げるというような機能です。 安全とそれらの繋がりを直接見ることはできません。また、安全性解析の結果が機能要求と 　 して落とし込まれたかどうかも別に管理する必要があります。一方SSDMにおいては、各運用 　前者のMWFに関しては、故障への対応として信頼性向上、セーフライフ、フォールトトレ 状態や運用遷移における機能の安全性要求を網羅的に記述することにより、運用―機能―安全 ラント、フェールセーフなど安全性設計手法を、また誤って機能を停止しないためのフール 性を関係付けて表現できるようにしました。さらに，それがアーキテクチャ設計（構成品への要求） プルーフ設計が必要です。コンピュータ制御のシステムでは、データロスや誤り、データ伝送 に確実に反映されることは、これまでに無い画期的な表記方法と言えます。 遅延という事象に対する対応も必要となります。また後者のMNWFに関しては、その機能の意図 しない起動を防止するために、インターロック、インヒビット、フールプルーフというような安全 　SSDMは、SEの考え方に基づいたモデリング手法です。従って、システム開発の初期検討 性設計手法を適用します。 段階から作成し、徐々に詳細化していくことが重要です。大きなシステムを１つのマトリクスで 作成しきれない場合は、システムレベル、サブシステムレベル、構成品レベルに分けて順次作成 　注意が必要なことは、同じ機能が運用状態によってMWFであったり、MNWFであったり することも可能です。また、ソフトウェア開発においては、モジュールレベルからユニットやクラス することです。例えば、航空機エンジンの逆噴射機能は着陸時に減速するためのMWFです への展開に使うことができます。 が、飛行中に使用することは墜落に繋がるためMNWFです。つまり、着地した瞬間にMNWF からMWFに切り替わることが要求されます。この識別を行うことは、航空機開発で要求され 　システムの開発においては要求の追加・変更は必ず発生するため、設計フェーズを通してこの ているFHA（Functional Hazard Analysis）においてCritical Operation Phaseを識別 マトリクスを維持することにより、システムとして抜けのない安全性設計を進めることが可能です。 しているのと同じです。 　SSDMにおいては、このようにシステムの運用状態によって変化する各機能の安全性に 2．SSDMの構成と作成手順 関する特性を整理した上で、適用すべき安全性設計手法と実現するアーキテクチャを決めて いきます。 2.1 Must Work FunctionとMust Not Work Function 　SSDMにおいては、システムの有する機能に対して、安全確保のために動作し続ける必要 がある機能（MWF: Must Work Function）と安全確保のために動作してはいけない機能 (MNWF: Must Not Work Function)に分類し、各々どのようなアーキテクチャで安全性を 実現するかを検討します。この分類は、国際宇宙ステーションのコンピュータ制御システムの 安全性設計に適用された方法であり、NASAのソフトウェア安全標準[1]となっています。 安全性設計を考える上で非常に合理的で分かりやすい考え方です。 　MWFは、機能の喪失や停止がハザードに繋がる機能であり、例えば走行中の自動車を 停止させるための機能、航空機の推進機能、列車近接時に遮断機を降ろす機能などです。 02

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 一方、MNWFは、機能が誤って働くとハザードに至る可能性がある機能であり、例えば自動 することがSSDMの特徴であり、これにより、全ての機能要求や構成品の安全要求を明確に 車の前進中にギアをバックに入れる、航空機のフライト中にエンジンを逆噴射させる、列車 でき、システム全体として漏れの無い安全性の実現を可能とします。 通過中に遮断機を上げるというような機能です。 　 　前者のMWFに関しては、故障への対応として信頼性向上、セーフライフ、フォールトトレ ラント、フェールセーフなど安全性設計手法を、また誤って機能を停止しないためのフール プルーフ設計が必要です。コンピュータ制御のシステムでは、データロスや誤り、データ伝送 遅延という事象に対する対応も必要となります。また後者のMNWFに関しては、その機能の意図 しない起動を防止するために、インターロック、インヒビット、フールプルーフというような安全 性設計手法を適用します。 　注意が必要なことは、同じ機能が運用状態によってMWFであったり、MNWFであったり することです。例えば、航空機エンジンの逆噴射機能は着陸時に減速するためのMWFです が、飛行中に使用することは墜落に繋がるためMNWFです。つまり、着地した瞬間にMNWF からMWFに切り替わることが要求されます。この識別を行うことは、航空機開発で要求され ているFHA（Functional Hazard Analysis）においてCritical Operation Phaseを識別 しているのと同じです。 　SSDMにおいては、このようにシステムの運用状態によって変化する各機能の安全性に 関する特性を整理した上で、適用すべき安全性設計手法と実現するアーキテクチャを決めて いきます。 　SSDMにおいては、システムの有する機能に対して、安全確保のために動作し続ける必要 2.2基本フォーマット がある機能（MWF: Must Work Function）と安全確保のために動作してはいけない機能 (MNWF: Must Not Work Function)に分類し、各々どのようなアーキテクチャで安全性を 　SSDMは、図2.1に示すように、以下の２つのマトリクスから構成されます。 実現するかを検討します。この分類は、国際宇宙ステーションのコンピュータ制御システムの ① 機能要求と運用状態のマトリクス（左側） 安全性設計に適用された方法であり、NASAのソフトウェア安全標準[1]となっています。 システムの機能要求に関し、システムの各運用状態（モード、ユースケース、フェーズ、異常状 安全性設計を考える上で非常に合理的で分かりやすい考え方です。 態等）における動作要求および安全要求を定義します。 ② 機能要求と構成品のマトリクス（右側） 　MWFは、機能の喪失や停止がハザードに繋がる機能であり、例えば走行中の自動車を システムの機能要求を展開する構成品、並びに、その機能の動作に必要となるリソースや 停止させるための機能、航空機の推進機能、列車近接時に遮断機を降ろす機能などです。 データ等を供給する構成品を識別します。このようにリソース等供給の構成品も含めて可視化 03

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ することがSSDMの特徴であり、これにより、全ての機能要求や構成品の安全要求を明確に 　 ④でMWとして識別された機能に関しては、動作を確実にするために、信頼性を向上 でき、システム全体として漏れの無い安全性の実現を可能とします。 　 させるための要求やフォールトトレラント等の要求をMWとして追加する。また、MNWと 　 して識別された機能に関しては、その機能が誤って起動されることを防止するためのイン 　 ヒビットやフールプルーフ等要求をMWとして追加する。 ①運用状態 ⑥構成品 （モード、ユースケース等） ⑥ システムの構成品を列挙する。構成品の粒度は、最終的には安全性設計の十分性を ③ 　 評価できるレベルで詳細化する必要があるが、詳細化は順次実施することで問題ない。 ④状態遷移に対する ② 人 動作・安全要求 ⑦ 機能を配分する構成品、並びに、その機能の動作に必要なインタフェースを有する他の 機 の ⑦ 能 操 　 機能（データソース、電力供給、油圧など）の構成品を識別する。後者の構成品に関わる 要 作 動作・安全要求 機能配分・ 求 の インタフェース 　 機能の安全性要求（MW、MNWの識別）は、提供先の機能の安全性要求と整合させる。 識 ⑤機能に対する 別 　動作・安全要求 図： 2.1 SSDMの基本フォーマット 2.3 作成手順 　SSDMの作成手順は、SEのプロセスに従い、システムの運用の明確化、機能要求の洗い 出し、構成品への機能配分の順に行います。SSDMでは、システムの機能要求を洗い出した 後で各機能の安全要求を識別し、それをアーキテクチャとして落とし込んでいきます。詳細手 順を以下に示します（以下の番号は図2.1の番号と対応）。 ① システムの運用状態と状態遷移を定義し、状態遷移に関わる機能要求を定義する。 　（ 状態遷移図は、前回掲載） ② システムの機能要求を洗い出す。要求は、システムが有する基本的な機能も含めて全て 　 洗い出すことが重要である。 ③ 人の操作に関わる機能要求を識別する。 　SSDMは、図2.1に示すように、以下の２つのマトリクスから構成されます。 ④ 各運用状態における各機能の動作を運用観点及び安全観点から以下のように識別する。 ① 機能要求と運用状態のマトリクス（左側） 　 ・MW : 安全上、機能の動作が必須である。 システムの機能要求に関し、システムの各運用状態（モード、ユースケース、フェーズ、異常状 　 ・MNW : 安全上、機能の起動を禁止する。 態等）における動作要求および安全要求を定義します。 　 ・Enable : 運用上、機能の動作を許容する。 ② 機能要求と構成品のマトリクス（右側） 　 ・Disable: 運用上、機能の起動を制限する。 システムの機能要求を展開する構成品、並びに、その機能の動作に必要となるリソースや 　 ・ ― : 非適用。 データ等を供給する構成品を識別します。このようにリソース等供給の構成品も含めて可視化 ⑤ 安全性に関わる機能を追加する。 04

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 　 ④でMWとして識別された機能に関しては、動作を確実にするために、信頼性を向上 品、“IF”は、リソース等を提供する構成品を示しています。このマトリクスにより、安全要求を 　 させるための要求やフォールトトレラント等の要求をMWとして追加する。また、MNWと 含む各機能要求がどの構成品の組み合わせで実現されるのかが明確にできます。 　 して識別された機能に関しては、その機能が誤って起動されることを防止するためのイン (5)設計の詳細化 　 ヒビットやフールプルーフ等要求をMWとして追加する。 MWFが展開される構成品群は、その機能が喪失した場合のリスクを考慮した信頼度の確保や ⑥ システムの構成品を列挙する。構成品の粒度は、最終的には安全性設計の十分性を フェールセーフ等の安全設計が必要であり、これを基にアーキテクチャの詳細化や構成品へ 　 評価できるレベルで詳細化する必要があるが、詳細化は順次実施することで問題ない。 の要求展開を行うことになります。 ⑦ 機能を配分する構成品、並びに、その機能の動作に必要なインタフェースを有する他の 　 機能（データソース、電力供給、油圧など）の構成品を識別する。後者の構成品に関わる 　 機能の安全性要求（MW、MNWの識別）は、提供先の機能の安全性要求と整合させる。 ３．SSDMの適用例 3.1 電子レンジのSSDM 　まずは、シンプルなSSDM適用例として、電子レンジのSSDMを図3.1に示します。 　SSDMの作成手順は、SEのプロセスに従い、システムの運用の明確化、機能要求の洗い (1) 状態遷移に関わる機能要求（図3.1の①） 出し、構成品への機能配分の順に行います。SSDMでは、システムの機能要求を洗い出した 状態遷移図より、状態遷移に関わる各機能の識別は以下のようになります。 後で各機能の安全要求を識別し、それをアーキテクチャとして落とし込んでいきます。詳細手 ・ドア開機能：“OFF/ドア閉”および“ON/ドア閉”時はEnable、“加熱中”はMNW。 順を以下に示します（以下の番号は図2.1の番号と対応）。 ・加熱開始機能：“ON[加熱無]/ドア閉”時はEnable、”ON[加熱無]/ドア開”時はMNW。 ① システムの運用状態と状態遷移を定義し、状態遷移に関わる機能要求を定義する。 ・加熱停止機能：ボタン操作による停止、タイマーによる停止、加熱対象物の温度検知に 　（ 状態遷移図は、前回掲載） 　よる自動停止の3つのサブ機能あるが、電子レンジが停止せずに加熱状態が継続した場合は ② システムの機能要求を洗い出す。要求は、システムが有する基本的な機能も含めて全て 　火災等のハザードの恐れがあるので、全てMW。 　 洗い出すことが重要である。 (2) その他の機能要求の識別（図3.1の②） ③ 人の操作に関わる機能要求を識別する。 加熱時間や出力の設定、照明、加熱機能などは安全に関わらない機能、マイクロ波の漏洩 ④ 各運用状態における各機能の動作を運用観点及び安全観点から以下のように識別する。 防止は安全上必要な機能なのでMWです。 　 ・MW : 安全上、機能の動作が必須である。 (3) MNWに対する要求の追加（図3.1の③） 　 ・MNW : 安全上、機能の起動を禁止する。 状態遷移に関わる２つのMNWを防ぐための機能として、“ドア開中の加熱開始の禁止”および 　 ・Enable : 運用上、機能の動作を許容する。 “ドアを開けた時の加熱停止”の２つの機能をMWとして追加します。これらの機能の動作に 　 ・Disable: 運用上、機能の起動を制限する。 必要となるドアの開閉状態検出機能もMWとなります。 　 ・ ― : 非適用。 (4)アーキテクチャ設計（図3.1の④） ⑤ 安全性に関わる機能を追加する。 各機能要求の構成品への割付をマトリクスの右側に示します。“X”は、機能を配分する構成 05

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 品、“IF”は、リソース等を提供する構成品を示しています。このマトリクスにより、安全要求を 含む各機能要求がどの構成品の組み合わせで実現されるのかが明確にできます。 (5)設計の詳細化 MWFが展開される構成品群は、その機能が喪失した場合のリスクを考慮した信頼度の確保や フェールセーフ等の安全設計が必要であり、これを基にアーキテクチャの詳細化や構成品へ の要求展開を行うことになります。 運用状態 構成品 機能要求 人 OFF/ OFF/ ON ON 構ド制御 操マグネ マグネ 加熱物 ドア ドア開ドア閉 (加熱無)/ (加熱無)/ 加熱中 造 の温度 開閉 照電 ドア開ドア閉 ア装置 作トロン トロン 盤 ON/OFF 確認 連動 明源 スイッチ センサ スイッチ 系 ドアを開ける、(ON/ドア開)に移る × ̶ Enable ̶ Enable ②MNW × × IF ドアの開閉機能 ドアを閉じる × Enable ̶ Enable ̶ ̶ × 自動OFF機能 一定時間後にOFF状態に移行する❶ ̶ ̶ Enable Enable ̶ × IF 加熱開始機能 加熱開始操作時、加熱を開始する × ̶ ̶ ①MNW Enable ̶ × × × IF 加熱停止操作時、加熱を停止する × ̶ ̶ ̶ ̶ MW × × × × IF 加熱停止機能 加熱物の温度を確認して、加熱を停止する ̶ ̶ ̶ ̶ MW × × IF タイマーがゼロで、加熱を停止する ̶ ̶ ̶ ̶ MW × × IF 加熱時間を設定する(タイマー) × ̶ ̶ Enable Enable Disable × × IF 設定機能 ❹ 出力を選択する × ̶ ̶ Enable Enable Disable × × IF 　まずは、シンプルなSSDM適用例として、電子レンジのSSDMを図3.1に示します。 飲食物保持機能 飲食物を保持する Enable Enable Enable Enable Enable × 加熱機能 加熱する(マイクロ波を発振する) ̶ ̶ ̶ ̶ Enable × IF (1) 状態遷移に関わる機能要求（図3.1の①） ❷ 照明機能 ドア開時および加熱中に照明を点灯する Enable ̶ Enable ̶ Enable × × IF × IF 電力供給機能 電力を供給する Enable Enable Enable Enable Enable × 状態遷移図より、状態遷移に関わる各機能の識別は以下のようになります。 ドア開閉検出機能 ドアの開閉状態を検出する Enable Enable ①MW Enable ②MW × × IF ・ドア開機能：“OFF/ドア閉”および“ON/ドア閉”時はEnable、“加熱中”はMNW。 マイクロ波の漏洩防止 マイクロ波の漏洩を防止する ̶ ̶ ̶ ̶ MW × × IF ドア開中の加熱開始を禁止する ̶ ̶ ①MW ̶ ̶ × IF IF 安全機能 ・加熱開始機能：“ON[加熱無]/ドア閉”時はEnable、”ON[加熱無]/ドア開”時はMNW。 ドア開時に加熱を停止する ❸ ̶ ̶ ̶ ̶ ②MW × × × IF ・加熱停止機能：ボタン操作による停止、タイマーによる停止、加熱対象物の温度検知に 図： 3.1 電子レンジのSSDM 3.2 踏切システム 　よる自動停止の3つのサブ機能あるが、電子レンジが停止せずに加熱状態が継続した場合は 　火災等のハザードの恐れがあるので、全てMW。 　踏切システム（図3.2）のSSDMを図3.3に示します。運用状態は、図3.2に示すように (2) その他の機能要求の識別（図3.1の②） 警報開始センサおよび警報終了センサが、列車通過時に遷移します。 加熱時間や出力の設定、照明、加熱機能などは安全に関わらない機能、マイクロ波の漏洩 列車 遮断機/警報器/ 防止は安全上必要な機能なのでMWです。 踏切内障害物検知装置 (3) MNWに対する要求の追加（図3.1の③） 警報開始センサ 踏切動作灯/ 踏切 警報終了センサ 状態遷移に関わる２つのMNWを防ぐための機能として、“ドア開中の加熱開始の禁止”および 発光信号機 制御 装置 “ドアを開けた時の加熱停止”の２つの機能をMWとして追加します。これらの機能の動作に 列車が踏切 警報区間 到着前 通過中 列車通過後 必要となるドアの開閉状態検出機能もMWとなります。 運用状態 警報開始 警報終了 (4)アーキテクチャ設計（図3.1の④） センサ通過 センサ通過 各機能要求の構成品への割付をマトリクスの右側に示します。“X”は、機能を配分する構成 図： 3.2 踏切システムの概要 06

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 運用状態 構成品 機能 人 列車が 警報開始 警報 警報終了 踏切 警報 警報 遮断機 踏切 警報 電力 踏切 センサを 区間 センサを 列車 到達前 通過 通過中 通過 通過後 停電 制御 開始 終了 警報器 動作 終了 発光 遮断 閉出 装置 センサ センサ 反応灯 センサ 信号機 シス かん センサ テム 運用状態 列車の侵入を検出する Enable MW Enable Enable Enable ̶ X X F 遷移 列車の踏切通過完了を検出する ̶ ̶ MNW MW ̶ ̶ X X F 贅報器を鳴らす Disable MW MW Disable Disable ̶ X X F 警報器 および 警報器を止める ̶ MNW MNW Enable ̶ ̶ X X F 遮断機 遮断機を閉じる Disable MW MW Disable Disable MW X X F の制御 遮断機を開く ̶ MNW MNW Enable ̶ ̶ X X F 電力供給 MW MW MW MW MW ̶ X 列車の踏切通過完了の 誤検出を防止する ̶ ̶ MW MW ̶ ̶ X X F 遮断機の閉状態を検出し、 運転手に伝える ̶ MW MW ̶ ̶ ̶ X X X F 安全機能 踏切内の障害物の存在を ̶ MW MW ̶ ̶ ̶ X X X F 検出し、運転手に伝える 電力遮断時に遮断機を下す ̶ ̶ ̶ ̶ ̶ MW X 閉じている遮断機を手動で 上げる ̶ MW MW ̶ ̶ MW X 図： 3.3 踏切システムのSSDM 　列車の警報区間通過中に警報が鳴らない、または遮断機が閉じないことはハザード原因 であるため、これらの作動機能およびその状態遷移トリガーとなる列車の侵入検出機能は MWです。一方、列車の警報区間通過中に警報器を止めるおよび遮断機を開く機能は MNWです。従って、そのトリガーとなる踏切通過完了の検出も警報区間通過中はMNWで あり、その誤検出防止機能をMWとして追加しています。 　その他、安全に関わる以下の機能をMWとして追加していますが、これら機能はシステムの 機能要求からは導出できないため、FTA等によるハザード解析からの追加が必要となります。 ・遮断機の閉状態であることを運転手に知らせる。 ・踏切内の障害物の存在を運転手に知らせる。 ・閉じている遮断機を手動で上げる。（人や車が閉じ込められた時に脱出する） ・電力遮断時に遮断機を下す。（フェールセーフのため） 　運用状態によるMW/MNWの変化を表現できることがSSDMの特徴であり、構成機器の 故障のみならず、切替えのトリガーとなる検出センサと制御装置間の通信遅れおよびアク チュエータへの指示の遅れ等がハザード原因となることが識別可能です。つまり、 STAMP/STPA(System-Theoretic Process Analysis / STAMP based Process Analysis）[2]と同様の評価が可能であると言えます。 遮断機の手動操作や停電時の動作要求も識別して、構成品である遮断機への要求に落と し込むことができます。 07

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 3.3 無人航空機（ドローン） 　令和4年の法改正に伴い、無人航空機は、特定飛行（人口集中地区上空、夜間、目視外な ど）を行う場合、それに合致した機体認証を有する機体を使用する必要があります[3]。機体 認証（含型式認証）取得には、国の検査機関に機体の設計が安全基準を満たしていること の検査を受ける必要があり、その認証取得へのSSDM活用案を示します。 (1) 無人航空機の基本的なSSDM 　無人航空機の基本的なSSDMを図3.4に示します。運用状態に関しては、OFF、地上待機、 手動飛行、自動飛行の4つを定義しています。機能としては、状態遷移に関わる機能、基本 的な機能として電力供給、遠隔操作、通信、飛行制御、姿勢制御など、その他に自動飛行機 能、衝突防止機能、運搬物の把持・解放機能、画像取得・送信機能などを例として挙げてい ます。これを実現するための構成品は、フライトコントローラ、モーター/プロペラ、通信装置、 姿勢センサ、GPS受信機、カメラ、把持機構などがありますが、操縦に必要であるプロポも含 めています。 　安全性に関しては、機能が失われると墜落につながる機能は全てMWとしています。また、 自動飛行から手動飛行への切り替えは必ず実施できる必要があるためMW、把持機構の意図 しない解放を防止する機能がＭＷです。衝突防止機能は必須では無いので、ここではＭＷとは していません。AIによる障害物の認識と回避を行うため、AIを構成品として識別しています。 機能 人 運用状態 構成品 プロポ OFF 待機中 手動 自動 構造/ フラ モ 飛行 飛行 機構 コン AI ータ／ 麥勢 通信 GPS 把持 電力 プロペラ センサ 装置 受信機 カメラ 機構 SS 灯火 ON機能（初期起動・チェックを行う） X Enable ̶ ̶ ̶ X X X X F OFF機能 X ̶ Enable ̶ ̶ 運用切替機 手動＞自動切替えを行う X ̶ Disable Enable ̶ X F Enable 自動＞手動切替えを行う X ̶ ̶ ̶ M W X F M W 電力供給機能 電力を貯蔵・分配する ̶ Enable M W M W X コマンドを受信する ̶ Enable M W M W X F F コマンドを入力・送信する X ̶ ̶ ̶ ̶ M W 遠隔操作機能 テレメトリを送信する ̶ Enable M W M W X F F テレメトリを受信・表示する X ̶ ̶ ̶ ̶ M W 通信機能 プロポとの通信を行う ̶ Enable M W M W X X F M W 推進機能 モーターの回転を制御する ̶ ̶ M W M W X X F 飛行制御機能 人または自動飛行の指示により 進行方向、速度を制御する ̶ ̶ M W M W X F 姿勢制御機能 姿勢を検出する ̶ ̶ M W M W X X F 推進機能への指示を行い姿勢を保つ ̶ ̶ M W M W X F 自動飛行機能 飛行経路の設定 X ̶ Enable Enable Disable X F F Enable 設定経路に基づき飛行を指示する ̶ ̶ ̶ Enable X X F 物体の把持・ コマンドによる把持機構の解放 X ̶ Enable Enable Enable X X F X F Enable 解放機能 意図しない把持機構の解放の防止 ̶ ̶ M W M W X X F 画像取得•送信機能 ̶ Disable Enable Enable X F X F 衝突防止機能 障害物の識別 ̶ ̶ Enable Enable X X X F 障害物回避のための飛行を指示する ̶ ̶ Enable Enable X X F 位置及び向きが視認できる灯火、表示 ̶ ̶ M W M W X 衝突防止灯 F 航空機から視認できる灯火 ̶ ̶ M W M W F X 図： 3.4 無人航空機の基本的なSSDM 08

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ (2) 型式認証への対応 　型式認証等取得に必要な安全基準は、国交省が発行しているガイドライン[4]に示されて おり、無人航空機に係る信号の監視と送信、灯火/表示, 自動操縦系統、カメラ、緊急時の 対応計画等の要求項目が設定されています。 　型式認証の申請においては、機体の運用構想（ConOps）と適用する安全基準に関して検査 機関と合意を取った上で、検査のために設計データや試験結果を提出する必要があります。 SSDMは、システム全体の運用、機能、安全性要求を可視化しているため、この合意形成の ツールとして非常に有効と考えます。安全基準を追加したSSDMを図3.5に示します。 　この例では、運用状態として夜間飛行を、それに伴う灯火の要求と構成品を追記しています。 (3) 緊急時対応の記載例 　また、安全基準には緊急時対応の要求も含まれています。無人航空機の事故原因の多くは、 操縦者の人為的ミスおよび機体/プロポ間の通信異常です。SSDMは、緊急状態を運用状態 の一つとして識別して、要求とアーキテクチャを設定することが可能です。図3.5においては、 通信異常時の状態とその対処機能要求をＭＷとして示しました。無人航空機は、待機中に ホーム地点を記憶し、手動および自動飛行時に通信異常を検出した場合、通信異常モードに 遷移し自動帰還しますが、この時、障害物回避はMWとなります。 夜間飛行 機能 人 運用状態 構成品 プロポ OFF 待機中 手動 自動 夜間 通信 飛行 異常時 構造/ フラ モータ／ 飛行 飛行 機構 コン AI 麥勢 通信 GPS 把持 電力 プロペラ センサ 装置 受信機 カメラ 灯 飛行 機構 SS 火 ON機能（初期起動・チェックを行う） X Enable ̶ ̶ ̶ ̶ ̶ X X X X F OFF機能 X ̶ Enable ̶ ̶ ̶ ̶ 運用切替機 手動＞自動切替えを行う X ̶ Disable Enable ̶ ̶ ̶ X F Enable 自動＞手動切替えを行う X ̶ ̶ ̶ M W ̶ ̶ X F M W 電力供給機能 電力を貯蔵・分配する ̶ Enable M W M W ̶ M W X コマンドを受信する ̶ Enable M W M W ̶ ̶ 緊X 急 時（ 通信 異常F時）を F コマンドを入力・送信する X ̶ ̶ ̶ ̶ ̶ ̶ 運用状態として設定 M W 遠隔操作機能 テレメトリを送信する ̶ Enable M W M W ̶ ̶ ①Xホ ーム 位置記 憶、FMW F テレメトリを受信・表示する X ̶ ̶ ̶ ̶ ̶ ̶ ②通信異常検出、MW M W 通信機能 プロポとの通信を行う ̶ Enable M W M W ̶ ̶ ③Xホ ーム への帰 還、XMW F M W 推進機能 モーターの回転を制御する ̶ ̶ M W M W ̶ M W X X F ④障害物回避、MW 飛行制御機能 人または自動飛行の指示により 進行方向、速度を制御する ̶ ̶ M W M W ̶ M W X F 姿勢制御機能 姿勢を検出する ̶ ̶ M W M W ̶ M W X X F 推進機能への指示を行い姿勢を保つ ̶ ̶ M W M W ̶ M W X F 自動飛行機能 飛行経路の設定 X ̶ Enable Enable Disable ̶ ̶ X F F Enable 国交省の 設定経路に基づき飛行を指示する 安全基̶準に̶ ̶ Enable ̶ MNW X X F 安全物体の把持・ X Enable ̶ X X F X F 解基放準 コマンドによる把持機構の解放 ̶ Enable Enable ̶ Enable 機能 意図しない把持機構の解放の防止対応 した̶機能要̶求M W M W ̶ M W X X 灯F火 画像取得•送信機能 ̶ Disable Enable Enable ̶ ̶ X F X F 衝突防止機能 障害物の識別 ̶ ̶ Enable Enable ̶ M W X X X F 障害物回避のための飛行を指示する ̶ ̶ Enable Enable ̶ M W X X F 位置及び向きが視認できる灯火、表示 ̶ ̶ M W M W ̶ M W F X 衝突防止灯 航空機から視認できる灯火 ̶ ̶ M W M W ̶ M W F X 夜間飛行時姿勢、方向を確認できる ̶ ̶ ̶ ̶ M W ̶ 故障検出・ ホーム地点を確認する ̶ M W ̶ ̶ ̶ ̶ 識別、処置機能 ーC2リンク 通信異常を検出する ̶ ̶ M W M W ̶ ̶ 異常時の処置 自動でホームに飛行、着陸する ̶ ̶ Disable Disable ̶ M W 図： 3.5 無人航空機のSSDM（型式認証対応） 09

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ (4) ソフトウェアの安全性 　認証取得には、安全に関わるソフトウェアの識別とその検証結果の提出が要求されていま すが、SSDMを活用することにより、その対応も容易となります。 3.4 民間航空機 　民間航空機のSSDM（一部のみ）を図3.6に示します。運用状態は、航空機の基本的な 運用フェーズである駐機、タキシング、離陸、上昇、巡航、降下、最終降下および着陸を、異常 状態として緊急脱出時を例として記載しました。機能としては、ランディングギアの操作、 航空機の制動、揚力の増加、接地状態の検出等を挙げています。 機能要求 人 運用状態 冗長数 駐機 タキシ ング 離陸 上昇 巡航 降下 最終 降下 着陸 緊急 （例） 脱出 ランディング ランディングギアを上げる × MNW MNW MNW Enable ̶ ̶ ̶ MNW MNW ３＊２ ギアの操作 ランディングギアを下げる × ̶ ̶ ̶ MNW MNW MNW MW ̶ MNW ３＊２ 車輪ブレーキによる減速 × MW MW MW ̶ ̶ ̶ ̶ MW ̶ 各輪＊２ 航空機の制動 エアブレーキによる減速 × ̶ ̶ MNW MNW MNW Enable Enable MW MNW 逆推力による減速 × MNW MNW MNW MNW MNW MNW MNW MW MNW 2 フラップ・スラットの展開 × ̶ Enable MW ̶ MNW MNW MW ̶ MNW 2 揚力の増加 フラップ・スラットの収納 × ̶ Enable MNW MNW ̶ ̶ ̶ ̶ MNW 2 ドアを開ける × Enable MNW MNW MNW MNW MNW MNW MNW MW ３＊２ ドアの開閉 ドアを閉じる × MW ̶ ̶ ̶ ̶ ̶ ̶ ̶ ̶ ̶ ドアが開かないようにする Disable MW MW MW MW MW MW MW MNW ̶ 空気漏洩を防止する ̶ MW MW MW MW MW MW MW ̶ ̶ 機内の圧力調整 指定の圧力に調整する ̶ ̶ MW MW MW MW MW ̶ ̶ 2 異常圧力時リリースする ̶ MW MW MW MW MW MW MW ̶ 2 飛行機の接地状態を検出する MW MW MW ̶ ̶ ̶ ̶ MW MW ２＊２ 図： 3.6 航空機のSSDM（一部） 　運用フェーズにより、各機能のMWとMNWの切替が重要であることが判ります。 　航空機の制動機能は、車輪ブレーキ、エアブレーキおよび逆推力の３つのサブ機能に分割 されます。これら機能のMW/MNWの切替えにおいて航空機の接地検出は極めて重要な 情報ですが、エアブレーキは着陸時のみならず降下時も使用するため、航空機の速度や 高度による運用状態の分割が実際には必要です。揚力の増加に関しても同様です。 このような、運用状態の分割や追加は、設計フェーズの進展の中で随時実施可能であり、 全体の整合を取りながら進めることが重要です。 本図では各機能の冗長数を例示していますが、本図を用いることにより、フォールトトレラ ントのアーキテクチャ、冗長機能への性能配分値の設定および確認も早期に行うことが可 能となります。但し、冗長系の物理的な距離や隔離までを表現できるわけではないので、 注意が必要です。 10

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ 4．SSDMと他の安全性解析手法との関係 ・機能と構成品の関係を可視化できるため、安全性に関わるEnd-to-Endのアーキテクチャ 　設計が可能です。 　SSDMの作成により従来の安全性解析を全て省略できるわけではありませんが、図4.1に ・人の操作に関わる機能に関して、安全上影響をおよぼす操作を識別できるため、フール 示すように、SSDMはFHA、FTA(Fau l t T ree Ana lys i s )、FMEA(Fa i lu re Mode & 　プルーフ機能の追加が容易です。 Effects Analysis)、STAMP/STPA等安全性解析手法と親和性が良いため、SSDMを基に ・システム全体の整合性を常に確認しながら設計を進めることが可能であり、これは、新規設計 これら解析と組み合わせることにより、効率的で漏れの無い安全性解析が可能となります。 　時のみならず設計変更時にも重要です。 FTAは、故障等が発生した場合の解析に一般的に用いられていますが、トラブル未然防止 のためには設計作業の中で積極的に活用する必要があります。 　SSDMは、思い付きでMWF/MNWFを洗い出すのではなく、機能と運用の組み合わせから 網羅的に検討できるため、設計の早い段階で抜け漏れを防止することができます。従って、 FHA 運用状態 構成品 SSDMはシステムの開発者にとっても安全性を審査する立場の人にとっても極めて有効です。 機能要求 人 OFF/ OFF/ ON ON 構ド制御 操マグネ マグネ 加熱物 ドア ドア開ドア閉 (加熱無)/ (加熱無)/ 加熱中 造 装置 作トロン トロン ドア開ドア閉 ア の温度 開閉 照電 盤 ON/OFF 確認 連動 明源 スイッチ センサ スイッチ 系 　日本のドローンやeVTOLの開発は世界に遅れを取っています。他にも安全性を要求され ドアを開ける、(ON/ドア開)に移る × ̶ Enable ̶ Enable ②MNW × × 安全F基TA準に IF ドアの開閉機能 ドアを閉じる × Enable ̶ Enable ̶ ̶ × 対ハ応ザしーたド機＝＞能原要因求 る大きなシステム開発として、無人運転車（レベル４）、月面有人ローバー、新型原子炉、有人 自動OFF機能 一定時間後にOFF状態に移行する ̶ ̶ Enable Enable ̶ × IF 宇宙機などが計画されています。このようなプロジェクトを効率的に進めるためにもSSDMの 加熱開始機能 加熱開始操作時、加熱を開始する × ̶ ̶ ①MNW Enable ̶ × × × IF 加熱停止操作時、加熱を停止する × ̶ ̶ ̶ ̶ MW × × × × IF 活用が期待されます。 加熱停止機能 加熱物の温度を確認して、加熱を停止する ̶ ̶ ̶ ̶ MW × × IF タイマーがゼロで、加熱を停止する ̶ ̶ ̶ ̶ MW × × IF 加熱時間を設定する(タイマー) × ̶ ̶ Enable Enable Disable × × IF 設定機能 出力を選択する × ̶ ̶ Enable Enable Disable ×S×TAMP/STPA IF 飲食物保持機能 飲食物を保持する Enable Enable Enable Enable Enable コントロールシステム × 加熱機能 加熱する(マイクロ波を発振する) ̶ ̶ ̶ ̶ Enable × IF 照明機能 ドア開時および加熱中に照明を点灯する Enable ̶ Enable ̶ Enable × × IF × IF 電力供給機能 電力を供給する Enable Enable Enable Enable Enable × ドア開閉検出機能 ドアの開閉状態を検出する Enable Enable ①MW Enable ②MW × × IF マイクロ波の漏洩防止 マイクロ波の漏洩を防止する ̶ ̶ ̶ ̶ MW × × FMEA IF ドア開中の加熱開始を禁止する ̶ ̶ ①MW ̶ ̶ × 安全機能 ハザード＜＝故IF 障 IF ドア開時に加熱を停止する ̶ ̶ ̶ ̶ ②MW × × × IF 図： 4.1　SSDMと他の安全性解析手法の関係 ５．まとめ 　SEを適用した安全性設計を効率的かつ確実に進めるためのモデル化法であるSSDMを 紹介しました。SSDMを用いることにより以下のメリットが得られます。 ・SEプロセスに従って、安全性を含む機能要求をシステムから構成品設計に展開が可能です。 　これは型式認証等を取得する上で重要です。 ・システムの機能要求に関して、運用状態に応じた安全性の動作要求を設計の初期段階で 　網羅的に評価することが可能です。 11

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ ・機能と構成品の関係を可視化できるため、安全性に関わるEnd-to-Endのアーキテクチャ 　設計が可能です。 ・人の操作に関わる機能に関して、安全上影響をおよぼす操作を識別できるため、フール 　プルーフ機能の追加が容易です。 ・システム全体の整合性を常に確認しながら設計を進めることが可能であり、これは、新規設計 　時のみならず設計変更時にも重要です。 　SSDMは、思い付きでMWF/MNWFを洗い出すのではなく、機能と運用の組み合わせから 網羅的に検討できるため、設計の早い段階で抜け漏れを防止することができます。従って、 SSDMはシステムの開発者にとっても安全性を審査する立場の人にとっても極めて有効です。 　日本のドローンやeVTOLの開発は世界に遅れを取っています。他にも安全性を要求され る大きなシステム開発として、無人運転車（レベル４）、月面有人ローバー、新型原子炉、有人 宇宙機などが計画されています。このようなプロジェクトを効率的に進めるためにもSSDMの 活用が期待されます。 【参考文献】 ［１］ NASA-GB-8719.13 　　NASA Software Safety Guidebook, NASA, 2004.3.31 ［２］ システム安全性・信頼性分析手法WG, はじめてのSTAMP/STPA～システム思考に基づく新しい安全性解析手法～, 　　 IPA, Ver.1.0, 2016.4 ［３］ 無人航空機の飛行許可・承認手続, 国土交通省, 　　 https://www.mlit.go.jp/koku/koku_fr10_000042.html#kuukousyuuhen ［４］ 無人航空機の型式認証等の取得のためのガイドライン, 国土交通省, https://www1.mlit.go.jp/koku/content/001739913.pdf 　SEを適用した安全性設計を効率的かつ確実に進めるためのモデル化法であるSSDMを 紹介しました。SSDMを用いることにより以下のメリットが得られます。 ・SEプロセスに従って、安全性を含む機能要求をシステムから構成品設計に展開が可能です。 　これは型式認証等を取得する上で重要です。 ・システムの機能要求に関して、運用状態に応じた安全性の動作要求を設計の初期段階で 　網羅的に評価することが可能です。 12

システムズエンジニアリングで学ぶ ～安全性設計（その2）～ ■ もっと学びたい人へ サルでもわかるNASA式システム開発 https://levii.co.jp/downloads/guidebook-03/ インタビュー：日本のものづくりは「カイゼン」の積み重ねではもう勝てない？ https://go.levii.co.jp/se-story-001 ドローン事業者向けシステムズエンジニアリング入門教材 https://levii.co.jp/downloads/drone-se-basic/ システム開発体験ゲーム「ペジテの自転車」 https://levii.co.jp/lab/pejite/ 「システムズエンジニアリングで学ぶ」シリーズ https://levii.co.jp/downloads/#others ■ 執筆者プロフィール 竹内 芳樹 株式会社レヴィ 顧問 三菱重工業株式会社に37年間勤務後、株式会社ispaceに 1年半勤務。2021年7月にレヴィの顧問に就任。三菱重工で は主に宇宙事業に携わり、宇宙ステーション実験棟「きぼう」 および同補給機「こうのとり」の開発においてシステム設計や プロジェクトマネジメントを実施した。 米国PMI認定プロジェクトマネジメントプロフェッショナル 趣味は、登山、ゴルフ、ランニング。日本百名山全山登頂。 座右の銘は、「知彼知己者、百戰不殆」。 制作： 株式会社レヴィ システムデザイン研究所 https://levii.co.jp/ contact@levii.co.jp 13