複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活用

複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活⽤森崇 (箱庭ラボ)

アジェンダ 1. 背景・概要 2. ツール紹介︓astah* System Safety 3. 箱庭とは 4.
適⽤事例 5. 将来展望 2

安全分析⽀援ツールとシミュレーションを融合した新しい分析スタイル背景・概要 • 安全分析⽀援ツールとシミュレーションを融合した新しい分析スタイル 3 安全分析⼿法︓STAMP/STPA AI/IoTのような複雑なシステム因果関係ベース⼿法の限界⼈間との相互作⽤の考慮
教育と導⼊のハードル実際の動作をすぐにイメージできない

新しい分析スタイルの提案 4 分析モデル／ガイドワードハザード要因分析モデル・ガイドワードだけで、ハザード要因をリアルにイメージできますか︖ 分析して悩んだら
シミュレーションで試して理解を深めるシミュレーション安全分析⽀援ツール

5 ツール紹介︓astah* System Safety • ⾃動⾞、航空宇宙、ロボットなど、複雑かつ安全性が要求されるシステム開発現場向け MBSE＋安全分析⽀援ツール SysML ⇔ STPA連携
＆トレーサビリティ専⾨分野の異なる技術者間で、開発対象システムを整理・共有 40⽇間無料でお試しできます。 https://astah.change-vision.com/ja/product/astah-system-safety.html システムの分析設計モデル安全分析モデル,etc (MBSE ... Model Based Systems Engineering)

ツール紹介︓astah* System Safety 6 https://www.youtube.com/watch?v=Qrpi7CpfRfo YouTube 動画︓

箱庭とは • 箱庭の背景とコンセプト • 箱庭のショーケース • 箱庭とは 7

箱庭の背景 8 • IoT開発には様々な分野の技術領域＝技術者の結集が不可⽋ • 結合テストや検証が困難である • 問題発⽣時にはその原因と経路の調査が複雑となる
• 実証実験コストも⼤きくなるクラウド CAN ECU ⾞載PC 管制サーバスマホ Web系⾃動運転制御系 ECU制御系バックエンドサーバ系メカ系エレキ系ネットワーク系 IT系エンジニア交通サービス系 ET系エンジニア制御系エンジニア ICTエンジニアセンサ

『箱庭』の狙いとコンセプト • 箱の中に，様々なモノをみんなの好みで配置して，いろいろ試せる︕ ・仮想環境上(箱庭)でIoT/ロボット・システムを開発する • ⇒ 各分野のソフトウェアを持ち寄って，机上で全体結合＆実証実験︕ 9 Web系エンジニア
ネットワーク系エンジニア組込み系エンジニアロボット制御系エンジニアクラウド系エンジニア

実⾏例 10

Oculus Quest2で箱庭VR空間にダイブする︕ 11 https://toppers.github.io/hakoniwa/prototypes/multi-robot/

箱庭で強化学習をトライする︕

13 箱庭のドローン対応

14 Unity Unreal Engine Python プログラム組込み機
器 Athrill ロボット制御プログラムロボット箱庭とはシミュレーションハブです箱庭アセット箱庭シミュレーション

適⽤事例 1. 対象システムの構成 2. 安全分析内容 3. 箱庭の構成 4. 箱庭の実験⾵景 15

対象システムの構成 16 • 始動点踏切制御⼦A, Bが列⾞の侵⼊を検知 • →踏切は警報⾳を鳴らし続け、警報灯を点滅し続け、遮断桿をおろす • 終⽌点踏切制御⼦Cが列⾞が通過し終えたことを検知 •
→ 踏切は⼀定時間経過した後、警報灯/警報⾳を終⽌し、遮断桿をあげる • 列⾞がAから侵⼊した場合 • →Bをマスク（センサーの⼊⼒を抑⽌）する. • 列⾞がBから侵⼊した場合 • →Aをマスク（センサーの⼊⼒を抑⽌）する始動点踏切制御⼦A 踏切道終⽌点踏切制御⼦C 始動点踏切制御⼦B 踏切制御システム踏切制御装置補⾜︓ 本システム構成は、情報処理推進機構(IPA)で公開されている「はじめてのSTAMP/STPA」のシステム構成と同じものです

安全分析内容 17 • STAMP/STPAでは、システムの構成要素間の相互作⽤に「危険の原因（ハザード）」が存在するとみて解析 • 事例の踏切における構成要素の相互作⽤を抽出して作成したコントロールストラクチャー

UCAや損失シナリオの識別 • 課題1︓単純なキーワードやガイドだけでは、実動作時の危険なシナリオを⼗分にイメージしづらい • 課題2︓⼤量・⻑時間の分析作業は、注意⼒や集中⼒が低下し、重要なポイントを⾒逃すリスクが⾼い 18

分析シナリオ • シナリオ（1） 1. 始動点踏切制御⼦Aを列⾞が通過し、制御装置は遮断桿を下ろす指⽰を出した 2. 遮断桿が下りる前に列⾞が踏切を通過してしまった • シナリオ（2） 1.
終⽌点踏切制御⼦Cに⾞両が停⾞してしまった 2. そのまま時間が経過した場合や他の列⾞が近接した場合、何が起きるか 19

箱庭の構成 • LEGO MINDSTORMSのロボットを使って、箱庭上で再現しています 20 始動点踏切制御⼦A 始動点踏切制御⼦B 踏切道
終⽌点踏切制御⼦C 列⾞遮断桿警報⾳踏切制御装置

分析シナリオに応じたモデル・ロジック定義 • Pythonプログラムで各モデルのロジックを定義 • 分析シナリオに応じて、モデルのロジックやセンシング・タイミング等を変更 21 踏切制御装置列⾞ <Python> [基本操作]
・モーター操作（⾛る、⽌まる） [センサ] ・タッチセンサの値取得 <Python> [基本操作] ・遮断桿操作（上げる、下ろす）・警報⾳（鳴動開始、鳴動停⽌） [センサ] ・制御⼦A, B, C の値取得・タッチセンサの値取得タッチセンサタッチセンサ走る止まる遮断桿上げる遮断桿下ろす警報音鳴動停止警報音鳴動開始

シミュレーション・アーキテクチャ 22 箱庭アセット（Python）踏切の制御コード（Python）箱庭通信データ（PDU) シミュレータ向けデバイス
箱庭アセット（Python）列⾞の制御コード（Python）箱庭通信データ（PDU) シミュレータ向けデバイス箱庭アセット（Unity）踏切モデル列⾞モデル EV3向けロボット制御コード（C#）箱庭通信データ（PDU）箱庭コア機能共有メモリ

箱庭の実験⾵景 23 環境要因イベント要因センサ故障モーター故障通信遅延障害物摩擦係数照度
障害物センサ故障モーター故障摩擦係数 [期待される効果] • 想定アクシデントをリアルに体感 • 様々なアイディアの創発 • ブレストの活性化分析シナリオ 1. Xxx 2. Yyy 3. Zzz

24 箱庭の実験⾵景成功シナリオ

25 箱庭の実験⾵景アクシデント︓遮断桿が下りる前に列⾞が踏切を通過してしまった

26 箱庭の実験⾵景アクシデント︓終⽌点踏切制御⼦Cに⾞両が停⾞してしまった

まとめ • メリットとデメリット • サマリ • 将来展望 27

メリット • 具体性・透明性の向上 • 抽象的なガイドワードやUCAを具体的なシナリオや状況に落とし込むことが容易になる • →漠然とした想像ではなく、具体的なシナリオとシミュレーション結果をもとにした議論ができる • ⾒落としの減少 •
現実の動作環境や条件を模倣し、実際のシステム動作を詳細に検証可能 • →単なる頭の中の想像や考慮もれを減少できる • 共有とコミュニケーション • 関係者間のコミュニケーションが効果的になる • 技術的背景が異なる関係者間でも、視覚的なモデルやシミュレーション結果をもとにした議論ができる • リアルタイムのフィードバック • 設計変更や仮定の変更をリアルタイムに反映させ、その影響をすぐに確認できる 28

デメリット • 時間とコスト • 初期コスト／維持コスト • 学習曲線 • シミュレーション向けの作業は増える •
過度な信頼 • 完璧さの錯覚 • モデリングやシミュレーション精度⾯の制限 • ツールやシミュレーションのバグ 29

サマリ箱庭は、⼈間の創造性を加速させる環境になれることを⽬指しています 30 分析モデル／ガイドワードハザード要因分析モデル・ガイドワードだけで、ハザード要因をリアルにイメージできますか︖
分析して悩んだらシミュレーションで試して理解を深める

将来展望︓AIエージェント連携した分析 31 AI エージェント実験結果（事実）⾼レベルな理解リフレクション環境要因イベント要因
分析シナリオ 1. Xxx 2. Yyy 3. Zzz センサ故障モーター故障通信遅延障害物摩擦係数照度障害物センサ故障モーター故障摩擦係数

複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活用

複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活用

Takashi Mori

More Decks by Takashi Mori

Other Decks in Technology

Featured

Transcript

複数ロボットシミュレーション環境・箱庭 STAMP/STPAでの活⽤森崇 (箱庭ラボ)

アジェンダ 1. 背景・概要 2. ツール紹介︓astah* System Safety 3. 箱庭とは 4.

新しい分析スタイルの提案 4 分析モデル／ガイドワードハザード要因分析モデル・ガイドワードだけで、ハザード要因をリアルにイメージできますか︖ 分析して悩んだら

5 ツール紹介︓astah* System Safety • ⾃動⾞、航空宇宙、ロボットなど、複雑かつ安全性が要求されるシステム開発現場向け MBSE＋安全分析⽀援ツール SysML ⇔ STPA連携

ツール紹介︓astah* System Safety 6 https://www.youtube.com/watch?v=Qrpi7CpfRfo YouTube 動画︓

箱庭とは • 箱庭の背景とコンセプト • 箱庭のショーケース • 箱庭とは 7

箱庭の背景 8 • IoT開発には様々な分野の技術領域＝技術者の結集が不可⽋ • 結合テストや検証が困難である • 問題発⽣時にはその原因と経路の調査が複雑となる

実⾏例 10

Oculus Quest2で箱庭VR空間にダイブする︕ 11 https://toppers.github.io/hakoniwa/prototypes/multi-robot/

箱庭で強化学習をトライする︕

13 箱庭のドローン対応

14 Unity Unreal Engine Python プログラム組込み機

適⽤事例 1. 対象システムの構成 2. 安全分析内容 3. 箱庭の構成 4. 箱庭の実験⾵景 15

対象システムの構成 16 • 始動点踏切制御⼦A, Bが列⾞の侵⼊を検知 • →踏切は警報⾳を鳴らし続け、警報灯を点滅し続け、遮断桿をおろす • 終⽌点踏切制御⼦Cが列⾞が通過し終えたことを検知 •

安全分析内容 17 • STAMP/STPAでは、システムの構成要素間の相互作⽤に「危険の原因（ハザード）」が存在するとみて解析 • 事例の踏切における構成要素の相互作⽤を抽出して作成したコントロールストラクチャー

分析シナリオ • シナリオ（1） 1. 始動点踏切制御⼦Aを列⾞が通過し、制御装置は遮断桿を下ろす指⽰を出した 2. 遮断桿が下りる前に列⾞が踏切を通過してしまった • シナリオ（2） 1.

箱庭の構成 • LEGO MINDSTORMSのロボットを使って、箱庭上で再現しています 20 始動点踏切制御⼦A 始動点踏切制御⼦B 踏切道

分析シナリオに応じたモデル・ロジック定義 • Pythonプログラムで各モデルのロジックを定義 • 分析シナリオに応じて、モデルのロジックやセンシング・タイミング等を変更 21 踏切制御装置列⾞ <Python> [基本操作]

シミュレーション・アーキテクチャ 22 箱庭アセット（Python）踏切の制御コード（Python）箱庭通信データ（PDU) シミュレータ向けデバイス

箱庭の実験⾵景 23 環境要因イベント要因センサ故障モーター故障通信遅延障害物摩擦係数照度

24 箱庭の実験⾵景成功シナリオ

25 箱庭の実験⾵景アクシデント︓遮断桿が下りる前に列⾞が踏切を通過してしまった

26 箱庭の実験⾵景アクシデント︓終⽌点踏切制御⼦Cに⾞両が停⾞してしまった

まとめ • メリットとデメリット • サマリ • 将来展望 27

デメリット • 時間とコスト • 初期コスト／維持コスト • 学習曲線 • シミュレーション向けの作業は増える •

サマリ箱庭は、⼈間の創造性を加速させる環境になれることを⽬指しています 30 分析モデル／ガイドワードハザード要因分析モデル・ガイドワードだけで、ハザード要因をリアルにイメージできますか︖

将来展望︓AIエージェント連携した分析 31 AI エージェント実験結果（事実）⾼レベルな理解リフレクション環境要因イベント要因