STAMP/STPA

STAMP（Systems-Theoretic Accident Model and Processes）

STAMPは、システム理論に基づく新しいタイプの安全解析手法であり、特に大規模で複雑なシステムに対して適用されます。従来の安全解析手法であるFMEAやFTAが、各コンポーネントの故障や不具合に焦点を当てていたのに対して、STAMPは要素間の相互作用を重視しています。この新しいアプローチにより、システム全体の安全性をより理解しやすくし、潜在的なリスクを効果的に特定することが可能になります。

STPA（System-Theoretic Process Analysis）

STPAは、STAMPに基づく具体的な安全解析手法であり、システムの相互関係に基づいた効率的なリスク分析を提供します。STAMPは、2004年にマサチューセッツ工科大学のナンシー・レブソン教授によって提唱され、以来、特に航空宇宙産業や鉄道分野において広く適用されています。

歴史的背景

STAMPの概念は、2004年にレブソン教授によって提唱され、その後2012年に彼女の著書『Engineering a Safer World』において、事故分析や安全システムの管理手法が紹介されました。この手法により、従来の方法では見過ごされがちな欠陥を特定することができ、欧米での利用が進んでいきました。日本でも2010年以降、HTV（コウノトリ）における解析が行われ、より多くの潜在的なハザード原因が明らかになりました。

また、2018年には、STAMPの普及を目的としたオープンソースモデリングツールがIEPから発表され、さらなる普及が期待されています。

STAMPの手法

STAMPの手法は基本的に以下のステップで構成されています。

Step 0: アクシデント、ハザードの特定

最初のステップでは、システム内のコンポーネント間の関係を可視化するために「コントロールストラクチャー図」を作成します。

Step 1: 非安全なコントロールアクションの抽出

次に、システム内で安全を脅かす可能性のあるコントロールアクションを特定します。例えば、必要なアクションが実行されなかったり、不適切なタイミングで実行された場合などが該当します。

Step 2: 安全制約の定義

最後に、各ハザードを防ぐために必要な安全要求や制約を明確にすることが求められます。このプロセスによって、安全性を向上させるための具体的な措置が講じられます。

過去の事故分析におけるSTAMPの応用

STAMPは、過去の事故分析にも適用され、いくつかの事例が示されています。例えば、1999年の火星探査機「マーズ・ポーラー・ランダー」は、高度40メートルで着陸時の減速噴射が停止し、失敗しました。これは、着地センサからの信号を過信した結果であり、正しいシーケンスに従わなかったことが原因とされています。

さらに、1960年のマーキュリー・レッドストーン1号の打ち上げ失敗もSTAMPによる解析の対象となっており、エンジン停止信号と脱出ロケットとの不適切な相互作用が事故の原因とされています。

これらの事例からも、STAMP手法がどのようにシステムの相互作用を考慮し、潜在的なリスクを特定するかの重要性が分かります。

結論

STAMPは、複雑なシステムにおける安全性解析において、従来のアプローチとは異なる視点を提供しており、今後の技術発展にも寄与する可能性があります。システム全体の相互作用を理解することで、より安全な設計と運用が実現されることを期待しています。

もう一度検索