stampとfram - ipafunctional resonance analysis method fram 故障監視が先に動くと、...
TRANSCRIPT
Independent
Verification &
ValidationV
2
STAMPSystem Theoretic Accident Model and Process
レブソンは、事故は、故障や劣化以外からでも発生するとして、事故モデルを拡張した。
STAMP
Independent
Verification &
ValidationV
3
FRAMFunctional Resonance Analysis Method
ホルナゲルは、事故は、失敗や不全ではなく、成功からも発生するとして、事故モデルをさらに拡張した。
FRAM
Independent
Verification &
ValidationV
4
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAMモデルでは、コンポーネントではなく、機能と機能のネットワークがモデリングされる。
FRAM
STAMP FRAM
Independent
Verification &
ValidationV
5
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
STAMPモデルでは暗黙的に図示されているだけの、「動作条件」が、明示的に図示される。
FRAM
I
P
R
T
C
O
Input: 動作のトリガー条件
Precondition: 前提条件
Resource: 動作継続のための資源
Time: 動作の時間制約
Control: 動作の制御パラメータ
Output: 出力
Independent
Verification &
ValidationV
6
FRAM
誘導制御機能と、故障監視機能は、互いの出力を自分の動作前提条件として使っている。
制御モード
故障状態
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
STAMPモデルでは暗黙的に図示されているだけの、「動作条件」が、明示的に図示される。
Independent
Verification &
ValidationV
7
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
成功要因
互いに条件を出し合っているため、互いの状態の変化に柔軟に対応できる。やるべき時だけ故障監視し、やってもよい時だけ誘導制御する。
制御モード
故障状態
Independent
Verification &
ValidationV
8
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
リスク要因互いにカウンターパンチを狙うボクサー同士のようなもの。どちらが先に動くかによって、結果が大きく変わる。 制御モー
ド
故障状態
Independent
Verification &
ValidationV
9
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
誘導制御が先に動くと、故障チェックしていないデータを使用するため、ノイズを拾って制御してしまう。(致命的)
制御モード
故障状態
Independent
Verification &
ValidationV
10
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
故障監視が先に動くと、制御モードは、1周期前のデータであるため、最新の制御モードと競合する。(検知すべきでない時に検知)
制御モード
故障状態
Independent
Verification &
ValidationV
11
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
ノイズを拾って制御することは致命的なため、まず故障監視から実行するべき。
FRAMらしい安全化制御モー
ド
故障状態
Independent
Verification &
ValidationV
12
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
1周期古い制御モードを使って故障監視しないよう、モード変更直後の故障状態を棄却するべき。
FRAMらしい安全化 制御モード
故障状態
Independent
Verification &
ValidationV
13
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
システムの成功要因からリスクを識別する。情報量が極めて多いモデルだからこそ可能。
制御モード
故障状態
Independent
Verification &
ValidationV
14
FRAM
一刻も早くバイアスをリセットせよ。ほとんどの場合、待てば待つほどバイアスは広がる。⇒これが成功要因
成功要因分析は深い。やればやるほど賢くなる 制御モー
ド
故障状態
ただし、最先端技術には、この先がある…天文衛星ではこの順序が逆。(故障検知する前に誘導制御にとりこむ!)
Independent
Verification &
ValidationV
15
クリエイティブな安全解析に最も必要なこと:
情報量は豊富だが俯瞰性がある
FRAM
STAMP FRAM
Independent
Verification &
ValidationV
16
踏切論理
B24 C24R
下2SRCPR
下1SR
下2SR
B24 C24
C24
APR
BPR 下1SR
下1SR
下2SR
BPR
CPR
通常時動作
通常時動作
通常時動作
Independent
Verification &
ValidationV
17
踏切論理のFRAMモデル
Warning
state
layerpresence
state
layerPhysical
state
layer
ピラミッド型階層構造
Pyramid Layered structure
Independent
Verification &
ValidationV
18
クリエイティブな安全解析に最も必要なこと:
トップダウンに細分化 (Analysis) よりも
ボトムアップに哲学を導き出す (Synthesis)
FRAM
STAMP FRAM
Independent
Verification &
ValidationV
19
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
安全化の方策は、バリアやインヒビットのような、防衛的なものではなく、アーキテクチャの最適化。
むしろ軽くなり、ミッション性能は上がる。
制御モード
故障状態
Independent
Verification &
ValidationV
20
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
従来の防御型安全:安全にすればするほど高くつく (Safety 1)
新しい安全:安全にすればするほど安くなる (Safety 2)
制御モード
故障状態
Independent
Verification &
ValidationV
21
FRAMの機能共鳴モデルFunctional Resonance Analysis Method
FRAM
実は、FRAMの安全化は軽くて信頼度の高いシステム作りを促す。 制御モー
ド
故障状態
Independent
Verification &
ValidationV
22
• STAMP ⇒ FRAM と、安全学は拡張されてきた。
• STAMPが「事故」と「故障」を別にした。
• FRAMが「失敗学」を「成功学」に拡張した。
• 1980年代以降、欧米の失敗学が信頼性と安全性を分断してきた
• しかし、成功学の登場で、再び安全性と信頼性は一体となる。
• 成功学に基づく信頼性・安全性を一体とする考え(Kaizen)は、もともと日本のお家芸。
• 拡張された安全理論が21世紀の主流となり、社会を変革できる可能性が我々の眼前にある。
まとめ