日本信頼性学会誌 信頼性 41 巻, 2 号

人工知能を用いたシステムの安全性保証の考え方

近年 AI 研究が，多くの分野で盛んに実施されている．特に，画像情報からの識別に至っては顕著な成果が出ていることから，安全性が要求されるセーフティークリティカルシステム（自動運転車等）への活用研究も盛んに実施されている．一方で，ディープラーニングのようなニューラルネットワークを活用した人工知能は，出力結果が予測不可能であることから，安全性を示すことができず，セーフティークリティカルシステムへの導入に，大きな壁も存在している．そこで，本稿では，安全性実現に向けた AI システムアーキテクチャを提案するとともに，そのアーキテクチャに対する安全解析手法を提案する．

STAMP/STPA とモデル検査の併用による単線鉄道踏切例題の解析の効果について

STAMP/STPA は複雑システムの解析手段の 1 つとして有望視されている．STAMP では各コンポーネントが信頼できると仮定しても，その結びつきや相互作用によって誘発される不具合がありうるとしている．また，STPA としてその不具合の発見を支援する手法を与えている．狭義の STPA では各コンポーネントの振舞いについてはそのモデルを与えないが，振舞いモデルを仮に与え，モデル検査などの形式手法を適用することによりさらに深い解析を与えることが可能である．本稿ではその具体例を単線鉄道踏切例題を対象に与える．モデル検査により，単線鉄道踏切の安全性について考察することができる．

鉄道信号システムの安全性解析における STAMP/STPA の適用について

　STAMP/STPA（System Theoretic Accident Model and Processes/System Theoretic Process Analysis）は，2012 年にマサチューセッツ工科大学（MIT）教授のナンシー・レブソン（Nancy Leveson）氏が提唱した新しい安全性解析手法である．従来から用いられている FTA（Fault Tree Analysis）や FMEA（Failure Mode and Effect Analysis）等は現在でも安全性解析の主流であるが，ハードウェア主体の集中システムが主流であった 1940 年代から 60 年代にかけて開発された手法であり，近年のソフトウェアが主体で構成要素間の相互作用が複雑化したシステムの解析においては，新しい方法論を模索する必要があった． 　鉄道信号システムにおいても，機能向上に伴いソフトウェアの肥大化は進む一方であり，仕様の不備やソフトウェアのバグを含めたシステマチックな不具合のリスクは高まる傾向にある．STAMP/STPA は，システムのハザードにつながるランダムエラーとシステマチックエラー双方を，シンプルなアクシデントモデルとシンプルなガイドワードを用いて効果的に抽出可能な手法であり，従来とはアプローチが異なるユニークな安全性解析手法として注目されている． 　以下に鉄道信号システムにおける安全性解析における STAMP/STPA の適用について論ずる．

変わりゆくシステムの安全性を高める～ STAMP/STPAへの取り組みとその背景～

　今後のシステムは，コンポーネントがつながることで複雑化するため，その中に潜む予期せぬ事象が事故につながる可能性がある．IT システムの多くは信頼性を重視してきているが，安全性への考慮がより一層求められる． 　そのような中，複雑なシステムをも対象にできる安全分析の手法として STAMP/STPA が注目されている．この手法は，信頼性がある場合にも事故は起き得るという考えに基づいており，そのような事故原因の特定にも適用できる．そこで，筆者らはシステムの安全性を高める上で STAMP/STPA が有効と考え，活用に向け調査および適用検証を進めている． 　調査の過程で，STAMP/STPA には，事故原因を特定する際に行う“システムの環境や状態”の導出についての考え方が十分に示されていない，という課題があることがわかった．筆者らはそれらの導出を容易にするために，6W3H の視点を適用した改良案を考案した．STAMP/STPA を適用して予期せぬ事象から発生しうる事故原因を特定する上で，この考案手法は有効である．

Formal Method の鉄道信号製品への適用

　本稿では，Formal Method の鉄道信号製品への適用を行い，文書とソースコード間の正確性の向上，第三者安全評価者（ISA）への証明文書作成作業の簡素化など，鉄道信号分野のソフトウェアに関する国際規格である IEC 62279 への適合性認証を受ける際の作業効率化に寄与した事例を Formal Method の導入背景とあわせて紹介する．

Lcc 研究会研究調査報告 ライフサイクルコスティングの 15/25/50 年とこれから

　当学会においてライフサイクルコスティング（Lcc）研究会を 2003 年に立ち上げて早 15 年が経過している．種々の課題を抱えつつも当会は調査研究を継続している．本稿では今までの活動とその関連技術の進展を顧み評価し，現状の認識と将来への道筋などを吟味検討する．文献出版の側面から見るとライフサイクルコスティング技法は米国国防省において 1960 年後半から展開され 50 年を経て定着している国際規格，IEC 60300-3-3 として制定されるのは 2003 年であり，これが提案され規格原案配布されるまでに凡そ 25 年の期間が経過している．同翻訳規格として日本工業規格，JIS C 5770-3-3 は 2008 年に出版されて現在に至っている．同規格書は Lcc 研究会による調査及び適用研究等の支援を通して翻訳し制定されているが，同規格書の販売実績や Lcc 研究会による調査及び活動を通した情勢等からみてもライフサイクルコストの概念と手法の普及と導入は遅々として大きな進展は見られない．一方，ライフサイクル管理と併せてライフサイクルコスティング技法の有効性は欧米での普及と実績より証明されている．本稿ではこの 50 年の関連技術の進展を追いつつ，規格制定の過程を反証しながら，日本産業界に普及しない要因を分析すると共にこれからの技術動向とその方向性を吟味検討する．また，一解決案の提案と併せて，これからの当研究会の社会貢献等を目指した活動のあり方を探る．

機能共鳴分析法を用いた自動車リコール情報の可視化に基づく 創発的不具合の構造解析

　複雑な構造を持つシステムにおいては，しばしば“創発性”の発現による障害が観測される．この創発的不具合は， FMEA や FTA などの従来リスク分析手法を用いた記述や評価が難しいとされている．本研究では，自動車のリコール情報に関するテキストマイニングや多変量解析を用いた分析を通じて，システムの創発的不具合の構造と特性について調査する．また，機能共鳴分析法を用いて不具合構造の可視化と数量化を行い，グラフィカルモデリングやクラスタ分析による構造分析と，名義ロジスティック回帰分析による要因分析を実施し，設計時に創発的不具合を抑止する方策について議論する．