注目を集める「STAMPSTPA」、失敗しないためにはどうすればいいのか

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [注目を集める「STAMP/STPA」、失敗しないためにはどうすればいいのか](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005.html)【MONOist】(2025年11月17日) --- > [!NOTE] この記事の要約（箇条書き） - STAMP/STPAは、複雑化するシステムの安全性解析において注目される理論と分析手法です。 - 従来の故障モード中心の分析手法では対応しきれない、システムの複雑化、相互作用の増加、事故要因の多様化といった現代の課題に対応します。 - その有効性は、相互作用に着目し、開発初期からリスクを発見・除去できる点、および「Safety 2.0」などの新しい安全設計パラダイムに対応できる点にあります。 - STAMP/STPAの普及を後押しするため、「ハンドブック」「ツール」「スタンダード（国際規格）」の3本柱の整備が進んでいます。 - STAMPは、システム構成要素間の「不適切な制御」や「相互作用の失敗」を事故原因と捉える、システム理論に基づく事故因果関係モデルです。 - STPAの基本的な手順は以下の4ステップで構成されます。 1. 解析目的の定義 2. コントロールストラクチャーのモデル化 3. 非安全なコントロールアクション（UCA）の識別 4. 損失シナリオの識別 - 本連載は、STAMP/STPAの初学者や現場技術者向けに、STPA Handbookに記載された「勘所」や「注意事項」をTips形式で分かりやすく解説することを目指しています。 > [!NOTE] 要約おわり --- ## 注目を集める「STAMP/STPA」、失敗しないためにはどうすればいいのか：今こそ知りたい！STAMP/STPAの勘所（1）（1/2 ページ）複雑化するシステムの安全性解析の理論である「STAMP」とその分析手法である「STPA」に注目が集まっている。本連載では、この「STAMP/STPA」を実践する上で失敗しないための勘所をTips形式で簡潔に分かり易く説明する。第1回は、あらためてSTAMP/STPAを解説するとともに、Tips形式で進める本連載の狙いについて紹介する。 » 2025年11月17日 08時00分公開 \[， MONOist\] 　システムとシステムがつながり、より複雑化するシステムの安全性解析の理論として「STAMP」が注目され、その分析手法である「STPA」の普及が進んでいる。本連載では、この「STAMP/STPA」を実践する上で失敗しないための勘所をTips形式で簡潔に分かり易く説明する。 ## なぜ今STAMP/STPAが注目を集めているのか　本連載に先立ち2018年に公開した連載記事「 [基礎から学ぶSTAMP/STPA](https://monoist.itmedia.co.jp/mn/series/9323/) 」で解説した通り、現代のシステムが大規模化／複雑化し、事故の原因も多様化したことで、従来の故障モード中心の安全解析手法では対応しきれなくなり、全体最適／相互作用の視点から安全性を分析する必要性が高まっている。　先述した「現代のシステム」の開発における課題は以下の3点にまとめられるだろう。 - **システムの複雑化** ：現代のシステムはIoT（モノのインターネット）や自動運転など、ソフトウェアやネットワーク、組織、人の意思決定などが複雑に組み合わさるシステムが主流になってきた - **相互作用の増加** ：これまでのFTA（フォールトツリー解析）やFMEA（故障モード影響解析）は、単体の故障や個々の部品の問題には強いが、要素間の相互作用や操作ミス、設計ミスのような全体構造の問題には適用し難い - **事故要因の多様化** ：近年発生するシステム事故は「想定外の事故」や、「要件定義工程で生じる設計／仕様の不備」に起因するものが増加している　こうした社会潮流を背景に誕生したのがSTAMP（Systems-Theoretic Accident Model and Processes：システム理論に基づくアクシデントモデル）/STPA（System-Theoretic Process Analysis：システム理論に基づく分析手法）であり、その有効性が認知され注目を集めるようになった。 ## STAMP/STPAはなぜ有効なのか　システムが大規模化し複雑化する中で、STAMP/STPAの有効性として以下のような理由が挙げられている。 - **相互作用に着目** ：STAMP/STPAは、事故をシステム構成要素間の「不適切な制御」や「相互作用の失敗」と捉え、従来手法が発見できない根本要因や危険シナリオも抽出可能である - **解析効率／品質向上** ：STAMP/STPAは開発構想段階や設計初期から適用できるため、運用前に多くのリスクを発見／除去可能であり、人的コストや時間の削減にも効果がある - **社会的背景と期待** ：サイバーセキュリティや産業界のシステム管理においても、「Safety 2.0」など新しい安全設計パラダイムに対応する手法として期待できる　STAMPの提唱者であるマサチューセッツ工科大学（MIT）教授のナンシー・レブソン（Nancy G. Leveson）氏が、2015年に筆者が所属するIPA（情報処理推進機構）に来訪した際に「STAMP/STPAが普及するには『ハンドブック』『ツール』『スタンダード』の3本柱が必要である」と語っていた。これら3本柱の整備状況は以下のようになっている。 ### ハンドブック　日本では2016年にIPAが「 [はじめてのSTAMP](https://www.ipa.go.jp/digital/stamp/about.html) 」シリーズを発行し、2018年にはMITも「 [STPA Handbook](http://psas.scripts.mit.edu/home/get_file2.php?name=STPA_Handbook_Japanese.pdf) 」を公開した。 ### ツール　2018年にIPAがSTAMP向けモデリングツールである「 [STAMP Workbench](https://www.ipa.go.jp/digital/stamp/stamp_workbench.html) 」を開発し、オープンソースソフトウェアとして無償公開した。その後、日本以外でも [さまざまなSTAMPツール](https://psas.scripts.mit.edu/home/stamp-tools/) が開発／公開されている。 ### スタンダード　3本柱のうち最後に残ったスタンダードについては、ここ数年で整備が進んでいる。欧州主導の国際規格ISO 26262（機能安全規格）2nd、ISO 21448（SOTIF）が正式発行され、いずれにおいてもSTAMP/STPA活用が推奨されている。米国主導の国際規格SAE J3187\_202305（STPA推奨事例）、SAE J3307\_202503（STPA規格）では規格として直接的にSTAMP/STPAの手順を定めている。　このように3本柱がそろったことが世界的なSTAMP/STPA普及の背景にあると考えられる。筆者がIPAのWebサイトのアクセス統計情報を調べたところ、IPAのSTAMP成果物は、2016年に公開を始めて以来8年が経過した2024年にダウンロード数が過去最多となり、さらに2025年9月時点では前年の同時期を上回るペースで増加している。このことからも、STAMP/STPAに対する国内ニーズの確かな高まりを感じている。 [→ 次ページあらためて、STAMP/STPAとは何か](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005_2.html) [PAGE 2](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005_2.html) ## あらためて、STAMP/STPAとは何か　ここからは、前回連載記事の繰り返しとなる部分もあるが、あらためてSTAMP/STPAの概要を紹介する。2018年の連載記事では、MITが2013年に発行した書籍「STPA Primer」およびIPAが発行したハンドブック「はじめてのSTAMP/STPA」に記載された表記を用いてSTPA手順を解説した。今回はMITが2018年に発行したハンドブックSTPA Handbookに記載されている表記を基に解説する。表記は異なるものの、STPAの手順そのものに変化はないことに注意願いたい。 ## 事故因果関係モデルSTAMPとは　従来の複雑システム解析アプローチでは、システムをコンポーネントに分け、各コンポーネントを独立に分析し、次に構成要素の振る舞いを理解するためにそれぞれの結果を結合してきた。これは、いわゆる還元主義的なアプローチと言え、重大な損失となる故障のみを考慮している。物理的または機能的コンポーネント群をシステムにマッピングすることは（既知なので当然）できるが、個々のコンポーネントの分析結果を結合して表現できる振る舞いは限定的である。　レブソン氏の名著「Engineering a Safer World」やSTPA Handbookによると、「全体は部分の総和以上である」「コンポーネントが相互作用する時の『創発』する特性を考慮すべき」「創発特性は個々のコンポーネントの振る舞いやコンポーネント間の相互作用によって生じる」「STAMPは、システム理論に基づいた新しい事故因果関係モデルである」「STAMPは、従来の安全解析手法（例えば、FTA、イベントツリー解析、HAZOP、FMEA）の根幹である『故障イベントチェーン』の代替である」などと説明している。　なかなかに高尚な説明であり直接的に理解するのは難しいかもしれない。多少乱暴ではあるが、筆者なりに簡単に言ってしまうと「コンポーネント間の相互作用を考慮する必要がある。それを反映したのがシステム理論に基づくSTAMPである」ということだ。　そのSTAMPをベースとした分析手法が、STPA（System Theoretic Process Analysis）とCAST（Causal Analysis based on Systems Theory）である。 ## 基本的なSTPAの手順　STPA Handbookの第2章では、STPAの概要を4つのステップに分けて図示している（ **図1** ）。 ### 第1のステップ：解析目的を定義　「どの損失を防ぎたいのか？」「対象となるシステムは何か？」「システムの境界は何か？」など、これらを明確化してステークホルダーと認識を共有する。 ### 第2のステップ：コントロールストラクチャーをモデル化　コントロールストラクチャー（CS）と呼ぶシステムのモデル（CS図）を構築する。その上で、一連のフィードバックコントロールループとして、システムをモデル化し、機能的関係性および相互作用を表現する。 ### 第3のステップ：非安全なコントロールアクション（UCA：Unsafe Control Action）を識別　コントールアクションについて損失につながる可能性があるかを分析する。 ### 第4のステップ：損失シナリオを識別　UCAおよびハザードに至る可能性のある因果関係要因を説明するシナリオを作る。この第4のステップの後、対策を検討し、コンポーネント安全制約を導出する。　なお、STPAの手順のさらに詳しい解説については、前回の連載記事「 [基礎から学ぶSTAMP/STPA](https://monoist.itmedia.co.jp/mn/series/9323/) 」を参照してほしい。 ## STAMP/STPAのTipsを本連載で展開する目的　STAMP/STPAを学ぶ人は、おそらくIPAのはじめてのSTAMP/STPAをまず読んで、次にMITのSTPA Handbookを読まれるのではないかと想定している。STPA Handbookの第2章では、STPA手順を具体的に説明し、気を付けるべきこと（注意事項や勘所）についても多くを解説している。ただし、先述したようにとても高尚な説明なので、STAMP初学者には理解し難いのではないかと危惧する。　誤解のないように強調しておくが、STAMP提唱者であるレブソン氏が執筆されたSTPA Handbookは本家本元の教科書であり、 **STPA Handbookの文章はとても秀逸である** 。　お世辞抜きに秀逸な文章ではあるものの、STAMP初学者にとっては決して読み易く分かり易い文章ではない。STAMP有識者であれば、STPA Handbookを読んだときに「うん、そうそう、これ重要なんだよね。端的に言えばそういうこと。こう表現すれば良いのね」と理解し、共感できる。　しかし、STAMP初学者にとって、注意事項や勘所も含めて読んだとしても頭に残らないのではないか。読み方が悪いのではなく、普通はそういうものだと思う。初学者であれば、書籍のメインストーリー（システム思考とは、STAMPとは何か？　STPAとはどういうものか？）を追いかけることに集中するし、しかもそれが難解であれば当然の帰結ではないか。　そこで本連載記事は、読者として、STAMP有識者ではなくSTAMP初学者を前提に置き、産業界の現場技術者をメインターゲットとして、STPA Handbookに記載された注意事項、勘所の幾つかを事例も使いながら分かり易く解説することにした。　STPA Handbookには注意事項や勘所が数十個ある（数え方に依る）が、それらを全部並べたのでは結局STPA Handbookと変わらず、「はい読みました」の自己満足だけで終わってしまいかねない。そこで、特に重要と思われ、かつ思い違いの多い項目を選んだ。筆者がSTAMP初学者の分析結果を幾つもレビューした経験上、STAMP初学者が陥り易い勘違い／思い違いの項目、筆者自身が悩んだり、思い違いをしたりして苦労した経験のある項目をぜひ伝えられればと考えている。　また、STAMP/STPAに関するTipsなどの情報を提供するコンテンツは本連載記事の他にもある。それぞれ別の観点から掲載事項を選別しているので併せて読んでいただければ幸いである。 - IPAの「 [STAMPおよびツールのTips](https://www.ipa.go.jp/digital/stamp/tips.html) 」 - JASA（組み込みシステム技術協会）の「 [STAMP広場](https://www.jasa.or.jp/lists/technology_upgrading/stamp/) 」、その中の「なるほどSTAMP」コーナー --- 　次回からは、STPAの手順で紹介した4つの各ステップにおいて、失敗を起こさず円滑に進めるためのTipsを紹介する。（次回に続く） ## 筆者プロフィール ![photo](https://image.itmedia.co.jp/mn/articles/2511/17/mn_ishii_portrait.jpg) **石井正悟** （いしいしょうご）京都大学理学部卒業後、東芝にてOSカーネル、仮想計算機、システム高信頼化技術、システムシミュレーション技術の研究開発に携わる。その後IPAにて、STAMP、FRAMなどの安全性解析手法の調査研究に従事。STAMP普及促進のため、書籍「はじめてのSTAMP」シリーズ発行、STAMP支援ツール「STAMP Workbench」開発や各種教材作成などを担う。現在はIPA専門委員としてSTAMP普及活動に関わる。・ [IPA デジタル基盤センター STAMPサイト](https://www.ipa.go.jp/digital/stamp/index.html) **1** | [2](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005_2.html) [次のページへ](https://monoist.itmedia.co.jp/mn/articles/2511/17/news005_2.html) おすすめホワイトペーパー - [生成AIで松下幸之助／スピンメモリスタでエッジリアルタイム学習](https://wp.techfactory.itmedia.co.jp/contents/88724#utm_source=itm_mn&utm_medium=content_text&utm_campaign=20251117&utm_content=tfwprecomend) - [IBMとRapidusが重要なマイルストーンに到達／TIがPLD市場に参入](https://wp.techfactory.itmedia.co.jp/contents/88099#utm_source=itm_mn&utm_medium=content_text&utm_campaign=20251117&utm_content=tfwprecomend) - [ソニーセミコン／シャープ／パナソニックのエッジAI事例](https://wp.techfactory.itmedia.co.jp/contents/86597#utm_source=itm_mn&utm_medium=content_text&utm_campaign=20251117&utm_content=tfwprecomend) - [インテルが大胆設計変更のLunar Lake／シャープのFCR回路技術](https://wp.techfactory.itmedia.co.jp/contents/85417#utm_source=itm_mn&utm_medium=content_text&utm_campaign=20251117&utm_content=tfwprecomend) - [組み込み開発](https://monoist.itmedia.co.jp/mn/subtop/embedded/) - [MONOist トップ](https://monoist.itmedia.co.jp/) Special Contents PR ## TechFactory ホワイトペーパー新着情報 PR - [リアルタイムOS列伝まとめ（第46回～50回）](https://wp.techfactory.itmedia.co.jp/contents/92767) - [人工知能ニュースまとめ（2025年4～6月）](https://wp.techfactory.itmedia.co.jp/contents/92358) - [組み込み開発ニュースまとめ（2025年4～6月）](https://wp.techfactory.itmedia.co.jp/contents/92020) - [リアルタイムOS列伝まとめ（第41回～45回）](https://wp.techfactory.itmedia.co.jp/contents/91534) - [リアルタイムOS列伝まとめ（第36回～40回）](https://wp.techfactory.itmedia.co.jp/contents/91073) [![組み込み開発](https://image.itmedia.co.jp/mn/images/title_forum_small_embedded.gif)](https://monoist.itmedia.co.jp/mn/subtop/embedded/) スポンサーからのお知らせ PR Special Contents PR Special Site PR コーナーリンク ### ロボットフォーラム ### エッジコンピューティングの逆襲あなたにおすすめの記事 PR ![__ALT__](https://image.itmedia.co.jp/mn/images/pushone/icon_mn.png) ## MONOistのおすすめ記事をお届けします ✔