複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活⽤ 森 崇 (箱庭ラボ)

アジェンダ 1. 背景・概要 2. ツール紹介︓astah* System Safety 3. 箱庭とは 4. 適⽤事例 5. 将来展望 2

安全分析⽀援ツールとシミュレーションを 融合した新しい分析スタイル 背景・概要 • 安全分析⽀援ツールとシミュレーションを融合した新しい分析スタイル 3 安全分析⼿法︓STAMP/STPA AI/IoTのような複雑なシステム 因果関係ベース⼿法の限界 ⼈間との相互作⽤の考慮 教育と導⼊のハードル 実際の動作をすぐに イメージできない

新しい分析スタイルの提案 4 分析モデル ／ ガイドワード ハザード 要因 分析モデル・ガイドワードだけで、 ハザード要因をリアルにイメージできますか︖ 分析して悩んだら シミュレーションで試して理解を深める シミュレーション 安全分析⽀援ツール

5 ツール紹介︓astah* System Safety • ⾃動⾞、航空宇宙、ロボットなど、複雑かつ安全性が要求されるシステム開発現場向け MBSE＋安全分析⽀援ツール SysML ⇔ STPA連携 ＆トレーサビリティ 専⾨分野の異なる技術者間で、 開発対象システムを整理・共有 40⽇間無料でお試しできます。 https://astah.change-vision.com/ja/product/astah-system-safety.html システムの分析設計 モデル 安全分析 モデル,etc (MBSE ... Model Based Systems Engineering)

ツール紹介︓astah* System Safety 6 https://www.youtube.com/watch?v=Qrpi7CpfRfo YouTube 動画︓

箱庭とは • 箱庭の背景とコンセプト • 箱庭のショーケース • 箱庭とは 7

箱庭の背景 8 • IoT開発には様々な分野の技術領域 ＝技術者の結集が不可⽋ • 結合テストや検証が困難である • 問題発⽣時にはその原因と 経路の調査が複雑となる • 実証実験コストも⼤きくなる クラウド CAN ECU ⾞載PC 管制サーバ スマホ Web系 ⾃動運転 制御系 ECU制御系 バックエンド サーバ系 メカ系 エレキ系 ネットワーク系 IT系エンジニア 交通サービス系 ET系エンジニア 制御系エンジニア ICTエンジニア センサ

『箱庭』の狙いとコンセプト • 箱の中に，様々なモノをみんなの好みで配置して，いろいろ試せる︕ ・仮想環境上(箱庭)でIoT/ロボット・システムを開発する • ⇒ 各分野のソフトウェアを持ち寄って，机上で全体結合＆実証実験︕ 9 Web系 エンジニア ネットワーク系 エンジニア 組込み系 エンジニア ロボット制御系 エンジニア クラウド系 エンジニア

実⾏例 10

Oculus Quest2で箱庭VR空間にダイブする︕ 11 https://toppers.github.io/hakoniwa/prototypes/multi-robot/

箱庭で強化学習をトライする︕

13 箱庭のドローン対応

14 Unity Unreal Engine Python プログラム 組 込 み 機 器 Athrill ロボット制御 プログラム ロボット 箱庭とはシミュレーションハブです 箱庭アセット 箱庭シミュレーション

適⽤事例 1. 対象システムの構成 2. 安全分析内容 3. 箱庭の構成 4. 箱庭の実験⾵景 15

対象システムの構成 16 • 始動点踏切制御⼦A, Bが列⾞の侵⼊を検知 • →踏切は警報⾳を鳴らし続け、警報灯を点滅し続け、遮断桿をおろす • 終⽌点踏切制御⼦Cが列⾞が通過し終えたことを検知 • → 踏切は⼀定時間経過した後、警報灯/警報⾳を終⽌し、遮断桿をあげる • 列⾞がAから侵⼊した場合 • →Bをマスク（センサーの⼊⼒を抑⽌）する. • 列⾞がBから侵⼊した場合 • →Aをマスク（センサーの⼊⼒を抑⽌）する 始動点踏切 制御⼦A 踏切道 終⽌点踏切 制御⼦C 始動点踏切 制御⼦B 踏切制御システム 踏切制御装置 補⾜︓ 本システム構成は、情報処理推進機構(IPA)で公開されてい る「はじめてのSTAMP/STPA」のシステム構成と同じものです

安全分析内容 17 • STAMP/STPAでは、システムの構成要素間の相互作⽤に「危険の原因（ハザード）」が 存在するとみて解析 • 事例の踏切における構成要素の相互作⽤を抽出して作成したコントロールストラクチャー

UCAや損失シナリオの識別 • 課題1︓単純なキーワードやガイドだけでは、実動作時の危険なシナリオを⼗分にイメージしづらい • 課題2︓⼤量・⻑時間の分析作業は、注意⼒や集中⼒が低下し、重要なポイントを⾒逃すリスクが⾼い 18

分析シナリオ • シナリオ（1） 1. 始動点踏切制御⼦Aを列⾞が通過し、制御装置は遮断桿を下ろす指⽰を出した 2. 遮断桿が下りる前に列⾞が踏切を通過してしまった • シナリオ（2） 1. 終⽌点踏切制御⼦Cに⾞両が停⾞してしまった 2. そのまま時間が経過した場合や他の列⾞が近接した場合、何が起きるか 19

箱庭の構成 • LEGO MINDSTORMSのロボットを使って、箱庭上で再現しています 20 始動点踏切 制御⼦A 始動点踏切 制御⼦B 踏切道 終⽌点踏切 制御⼦C 列⾞ 遮断桿 警報⾳ 踏切制御装置

分析シナリオに応じたモデル・ロジック定義 • Pythonプログラムで各モデルのロジックを定義 • 分析シナリオに応じて、モデルのロジックやセンシング・タイミング等を変更 21 踏切制御装置 列⾞ [基本操作] ・モーター操作（⾛る、⽌まる） [センサ] ・タッチセンサの値取得 [基本操作] ・遮断桿操作（上げる、下ろす） ・警報⾳（鳴動開始、鳴動停⽌） [センサ] ・制御⼦A, B, C の値取得 ・タッチセンサの値取得 タッチセンサ タッチセンサ 走る 止まる 遮断桿 上げる 遮断桿 下ろす 警報音 鳴動停止 警報音 鳴動開始

シミュレーション・アーキテクチャ 22 箱庭アセット （Python） 踏切の制御コード （Python） 箱庭通信データ （PDU) シミュレータ向け デバイス 箱庭アセット （Python） 列⾞の制御コード （Python） 箱庭通信データ （PDU) シミュレータ向け デバイス 箱庭アセット （Unity） 踏切 モデル 列⾞ モデル EV3向けロボット制御コード （C#） 箱庭通信データ（PDU） 箱庭コア機能 共有メモリ

箱庭の実験⾵景 23 環境要因 イベント要因 センサ故障 モーター故障 通信遅延 障害物 摩擦係数 照度 障害物 センサ故障 モーター故障 摩擦係数 [期待される効果] • 想定アクシデントをリアルに体感 • 様々なアイディアの創発 • ブレストの活性化 分析シナリオ 1. Xxx 2. Yyy 3. Zzz

24 箱庭の実験⾵景 成功シナリオ

25 箱庭の実験⾵景 アクシデント︓遮断桿が下りる前に列⾞が踏切を通過してしまった

26 箱庭の実験⾵景 アクシデント︓終⽌点踏切制御⼦Cに⾞両が停⾞してしまった

まとめ • メリットとデメリット • サマリ • 将来展望 27

メリット • 具体性・透明性の向上 • 抽象的なガイドワードやUCAを具体的なシナリオや状況に落とし込むことが容易になる • →漠然とした想像ではなく、具体的なシナリオとシミュレーション結果をもとにした議論ができる • ⾒落としの減少 • 現実の動作環境や条件を模倣し、実際のシステム動作を詳細に検証可能 • →単なる頭の中の想像や考慮もれを減少できる • 共有とコミュニケーション • 関係者間のコミュニケーションが効果的になる • 技術的背景が異なる関係者間でも、視覚的なモデルやシミュレーション結果をもとにした議論ができる • リアルタイムのフィードバック • 設計変更や仮定の変更をリアルタイムに反映させ、その影響をすぐに確認できる 28

デメリット • 時間とコスト • 初期コスト／維持コスト • 学習曲線 • シミュレーション向けの作業は増える • 過度な信頼 • 完璧さの錯覚 • モデリングやシミュレーション精度⾯の制限 • ツールやシミュレーションのバグ 29

サマリ 箱庭は、⼈間の創造性を加速させる環境になれることを⽬指しています 30 分析モデル ／ ガイドワード ハザード 要因 分析モデル・ガイドワードだけで、 ハザード要因をリアルにイメージできますか︖ 分析して悩んだら シミュレーションで試して理解を深める

将来展望︓AIエージェント連携した分析 31 AI エージェント 実験結果 （事実） ⾼レベルな理解 リフレクション 環境要因 イベント要因 分析シナリオ 1. Xxx 2. Yyy 3. Zzz センサ故障 モーター故障 通信遅延 障害物 摩擦係数 照度 障害物 センサ故障 モーター故障 摩擦係数