ソフトウェアで動かす自動車の安全性確保へ--IPAが協定

日川佳三

2017-02-08 07:30

独立行政法人情報処理推進機構(IPA) 技術本部 ソフトウェア高信頼化センター(SEC) 所長 松本隆明氏
独立行政法人情報処理推進機構(IPA) 技術本部 ソフトウェア高信頼化センター(SEC) 所長 松本隆明氏

 独立行政法人情報処理推進機構(IPA)のソフトウェア高信頼化センター(SEC)は2月2日、一般社団法人JASPARとの間で1月19日に締結した、自動車の安全性を確保するための協定について説明した。車載システムのソフトウェアの信頼性を、安全解析手法の「STAMP/STPA」を使って確保する(図1)。

 IPAのSECは、2004年の設立以降、自動車や社会基盤といった組み込み系システムの信頼性を向上させる活動に取り組んでいる。一方、JASPARは、自動車メーカーなどによって構成された業界団体で、自動車の電子制御システムの信頼性を確保することを目的としている。

 IPAとJASPARの2つの団体は今回、自動車設計の安全性を高めることを目的に、協力して活動することで協定を結んだ。IPAが持つソフトウェア高信頼化の知見と、JASPERが持つ車載電子制御システムの知見を連携させる。

図1 安全解析手法「STAMP/STPA」によって自動車設計の安全性を高める
図1 安全解析手法「STAMP/STPA」によって自動車設計の安全性を高める

 IPAは、安全解析手法のSTAMP/STPAを使いやすく整備してJASPARに提供する。JASPARは、これを利用して自動車に適した安全解析手法を作る。IPAはこれを参考に、自動車以外へと用途を拡大する。2社は、それぞれの成果物や知識を相互に活用する。

要素同士の相互作用が働かないことでアクシデントが起こる

 STAMP/STPAとは、STAMP(システム理論に基づくアクシデントモデル)とSTPA(STAMPに基づく安全解析手法)を指す。元々はマサチューセッツ工科大学(MIT)が開発した安全解析のためのモデルと手法であり、IPAはこれを使いやすいように具体的な手順に落とし込んで提供する。

 STAMPにおける相互作用のモデルは、システムの中で安全のための制御を行う要素(コントローラ)と、制御される要素(被コントロールプロセス)で成り立つ(図2)。システムが正常に動作している時は、コントロールのアクションに対して、フィードバックのデータが返る。アクシデントは、この相互作用が働かないことによって起こる。

図2 STAMPにおける相互作用のモデル
図2 STAMPにおける相互作用のモデル

 STAMP/STPAが着目されるようになった背景には、IoT時代を迎えて、さまざまなデバイスが相互に連携するようになっているという状況がある。「いま自動車を制御しているのは機械ではなくソフトウェア。車載システムのプログラムコードは1億行を超えていると言われている」(SEC所長の松本隆明氏)

 自動車の中核がハードウェアだったころは、アクシデントは機械の故障や操作ミスに起因する、という前提に立っていた。このため、ハードウェアの構成要素それぞれについて安全性を分析すればよかった。車載ソフトウェアが肥大化した現在では、運転手や環境などの外部の要素を含めたシステム全体で安全性を分析する必要がある(図3)。

図3 自動車はハードウェア主体の制御から車載ソフトウェアによる制御へと移っており、システム全体で安全性を分析する必要性がある
図3 自動車はハードウェア主体の制御から車載ソフトウェアによる制御へと移っており、システム全体で安全性を分析する必要性がある

 STAMP/STPAは米国では安全性検証の事実上の標準になりつつあるという。「自動車を欧米へ輸出する際の規約となる可能性もある」(IPAのSECシステムGで調査役を務める石井正悟氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]