システム・セーフティー論 後半輪講資料作り
何をしたらいい?踏切の例と並べながら……
システムの要求整理・前提条件の整理
https://gyazo.com/149b354f5f3271df992ca29208a15f60
警報開始センサ(A, B)で列車を検知すると踏切鳴動を開始
列車がセンサ(A,B)に到達したら鳴動開始
警報終止センサ(C)で列車を検知すると一定時間後に鳴動を終止
列車の最後尾が終止センサ(C)を通過したら鳴動終止
A方向からCに向かうときBをマスクする
列車の最後尾が終止センサを通過したらセンサBをマスク
BからCに向かうときAをマスクする
列車の最後尾が終止センサを通過したらセンサAをマスク
(入力はどこから受け取り、どのように状態が遷移し、どのように出力がなされるのか?を整理する。)
アクシデント,ハザード,安全制約の識別
アクシデント: 喪失を伴うシステムの事故
ハザード: アクシデントにつながるシステムの状態
安全制約: システムが安全に保たれるために必要なルール
処理
分析しようとするアクシデントが何であるかを定義する
アクシデントと成り得るハザードには何があるかを考える
ハザードの裏返しとなる程度の粒度で安全制約を導き出す
アクシデント例
列車と人が踏切内で衝突する
踏切が開かず、交通が渋滞する
ハザード例
列車が在線中に踏切が開かない
踏切遮断後、列車が在線中に踏切が開く
列車が不在なのに踏切が閉まる
列車が通過したのに踏切が開かない
安全制約例
列車が在線中は踏切が閉まらなければならない
列車が在戦中は踏切は開いてはならない
列車が不在ならば踏切を閉じない
列車が通過したら踏切を開ける
コントロールストラクチャの構築
処理
要求仕様書から登場人物を抽出する
要求仕様書から各ブロックの役割を抽出する
役割を果たすために必要な制御・役割を果たした結果のフィードバックを抽出する。
制御、入出力情報の違いを分別する。
備考
ブロックの数は4つ程度が良い
例
https://gyazo.com/b455e91e337b38fc20801f2c6b9835dd
UCAの抽出
各制御について、4つのガイドワードをヒントにして非安全なコントロールアクションを抽出
与えられないハザード
与えられるとハザード
早すぎ/遅すぎるとハザード
早すぎる停止/長すぎる適用でハザード
例
https://gyazo.com/1b99f310c8f7228e276b558180b97b17
HCFの特定
ガイドワードをコントロールストラクチャにマッピングする
コントロール入力や外部情報の誤りや喪失
不適切なコントロールアルゴリズム(作成時の欠陥、プロセスの変更、誤った修正や適用)
不整合、不完全、または不正確なプロセスモデル。不適切な操作。
コンポーネントの不具合。経年による変化。
不適切なフィードバック、あるいはフィードバックの喪失。フィードバックの遅れ。
不正確な情報の供給、または情報の欠如。測定の不正確性。フィードバックの遅れ。
操作の遅れ
不適切または無効なコントロールアクション、コントロールアクションの喪失。
コントロールアクションの衝突。プロセス入力の喪失または誤り。
未確認、または範囲外の障害
システムにハザードを引き起こすプロセス出力
アクチュエーターの動作が不十分
センサーの動作が不十分
例
https://gyazo.com/e2da35fda73a199f481eee90de00b426
コンポーネント間相互作用に着目する。
さらに、各UCAに対してガイドワードを当てはめてみて、表を作る。
https://gyazo.com/b6efe9499c1bdb000e7e37902158bef2
そうして更に、なぜアクシデントになるかを想像し、シナリオを作る。
シナリオを考えるコツ
複数のコンポーネント間の相互作用を同時に考えるのではなく、二つのコンポーネントに絞って、各コントロールループに関して考えると良い。
シンプルに考える。例えば、踏切制御では例えば、列車を除外する、など
コントローラーの中に書いた誤りがシステム要員で重要(コントローラー内部の仕様の誤りを見つける)
プロセスモデルの不整合の分析では、仕様入手すれば内部の状態が分かる
対策のまとめ
具体的にどう対策を行うかまとめる。
https://gyazo.com/08526dbf6c8c58d6662e068d057dbb24
とりあえずやってみんことにはわからん点が多いので、やる。
ATSの要求整理・前提条件の整理
停止(赤)を現示する信号機からある程度手前の位置に列車がさしかかったとき、運転士が所定の確認扱いをしないと自動的にブレーキがかかって停止させるシステムのことを「ATS」といいます。"Automatic Train Stop"(自動列車停止装置)の略語です。
https://gyazo.com/72e4a4a7b47d5f39c28ba00899266a6a
動きとしては、列車が地上子を通過した際に警報ベルを慣らす。その際、運転士が所定の確認扱いをしなければ、自動的に列車を停止させる。
車上子が地上子からの電波信号を受信すると、警報が鳴動。
運転士の確認操作により、警報の鳴動を停止。
確認操作が確認できない場合、非常ブレーキを作動。
前提条件の整理
信号機から地上子へとR現示であることを伝達
列車が地上子に到達したら警報が作動。
運転士が確認操作を行ったら警報を停止。
運転士が確認操作を5秒以内に行わなかった場合ブレーキを作動。
アクシデント/ハザード/安全制約の識別
アクシデント
列車が停止信号を暴進する
列車が意図せず停止する
ハザード
SC1: 列車の非常ブレーキが作動しない
SC2: 列車の非常ブレーキが効かない
赤信号の手前ではないのに非常ブレーキがかかる
非常ブレーキがまもなく作動することが運転士に伝わらない
安全制約
確認操作がなされなければ非常ブレーキは作動しなければならない
確認操作がなされなければ非常ブレーキは列車を停止させなければならない
条件を満たさない限りは非常ブレーキは作動してはならない
運転士に確実に伝わらなければならない
コントロールストラクチャ
地上子・車上子
ATS-S装置
ブレーキ
運転士
UCAの抽出
R現示指示
与えられないハザード
ATS装置が作動せず非常ブレーキも作動しない。
SC1違反
与えられるとハザード
ATS装置が意図せず作動し場合によっては列車が強制停止する。
早すぎ・遅すぎるとハザード
ATS装置・非常ブレーキの作動が遅れ信号を暴進する。
SC2違反
早すぎる停止・長すぎる適用でハザード
確認動作をしても再度ATS-S装置が作動する
警報作動
与えられないハザード
運転士が装置の作動に気付かず列車が意図せず停止する。
与えられるとハザード
余計な確認操作を運転士にさせることになる
早すぎ・遅すぎるとハザード
ブレーキ作動までに運転士の確認が間に合わず列車が意図せず停止する。
早すぎる停止・長すぎる適用でハザード
運転士がATS-S装置の動作を認知できず列車が意図せず停止する。
確認操作
与えられないハザード
確認操作をしてもなお列車が停止する。
与えられるとハザード
運転士が赤信号であることを確認していないにも関わらず確認処理が完了し、必要な非常ブレーキが作動しない。
SC1違反
早すぎ・遅すぎるとハザード
確認操作をしても入力が遅れ列車が停止する。
早すぎる停止・長すぎる適用でハザード
確認操作が確実にATS-S装置に伝わらず列車が停止する。
非常ブレーキ装置
与えられないハザード
条件を満たしているにもかかわらず非常ブレーキが作動しない。
SC1違反
与えられるとハザード
不要なシチュエーションで非常ブレーキが作動する。
早すぎ・遅すぎるとハザード
信号防振
SC2違反
早すぎる停止・長すぎる適用でハザード
停止する前に非常ブレーキの効果がなくなり、信号防振。
SC2違反
HCFの特定
UCA1: R現示指示 与えられないハザード ATS装置が作動せず非常ブレーキも作動しない。
4: 電波信号が誤って解釈される
5: 地上子・車上子装置の通信が妨害される
7: 地上子・車上子装置の故障
UCA2 R現示指示 早すぎ・遅すぎるとハザード ATS装置・非常ブレーキの作動が遅れ信号を暴進する。
3: 電波信号の送受信が遅れる
UCA3: 確認操作 与えられるとハザード 運転士が赤信号であることを確認していないにも関わらず...
4: 入力装置の故障
6: 入力受付処理のバグ
UCA4: 条件を満たしているにもかかわらず非常ブレーキが作動しない。
2: ブレーキへの伝達失敗
6: ブレーキへの出力処理のバグ
UCA5: 早すぎ・遅すぎるとハザード 信号防振
2:
6:
UCA6: 早すぎる停止・長すぎる適用でハザード 停止する前に非常ブレーキの効果がなくなり、信号防振。
2:
6:
UCA1に至るシナリオ
地上子の故障
地上子内部の電子部品の故障(例: 基板の損傷、コンデンサーの劣化)
配線の断線や接触不良
地上子の電源供給が不安定または停止(例: 電源装置の故障)
環境的要因
強い降雨や積雪による物理的な障害
雷や嵐による電磁波の干渉
レール周辺に落ちた異物(例: 木の枝、ゴミ)が地上子を覆う
通信の妨害
電磁波干渉
UCA2・UCA5
地上子が近すぎる
UCA3に至るシナリオ
入力装置の故障
入力受付処理のバグ
UCA4に至るシナリオ
ブレーキユニットの故障
ブレーキユニットに対する通信の失敗
ATS装置の切断