システムの安全性

【しすてむのあんぜんせい (system safety)】

概要

ハードウェア, ソフトウェア, 人間要素が組合わさったシステムが, その機能喪失により人間・地球環境・資材等に損失・損傷を与える危険な状態に無いことをいう. このためには, フールプルーフ・フェイルセーフ・フェイルソフトリーなどの技術的な作り込みの他, 組織としての管理のサイクルを徹底し, 過去と同じまたは類似の問題を二度と発生させないこと, 人間の認知行動を十分にふまえたヒューマンインターフェイスの構築等が必要である.

詳説

　システム(system)とは, "所定の任務を達成するために, 選定され, 配列され, 互いに連係して動作する一連のアイテム(ハードウェア, ソフトウェア, 人間要素)の組合わせ." 安全性(safety)とは, ``人間の死傷又は資材に損失若しくは損傷を与えるような状態がないこと. " とJIS-Z8115 に定義がなされている. 信頼性は任務遂行のための機能上の故障を対象にするが, 安全性はその機能喪失により人間・地球環境・資材等に損失・損傷を与える危険な状態(以下ハザードと呼ぶ)を対象とする. 急速な科学技術の発展に伴い, システムの複雑化・巨大化・自動化が進み人間と社会に大きな恩恵を与える一方, ひとたび事故が発生すると悲惨な結果を招く. また, 航空機などの巨大システムをはじめ, 数多くの電子部品からなる車や家電製品等の身近なシステムに関しても製造物責任(PL)の問題は欧米のみならず全世界でその法律化も進み, いかに安全な欠陥のないシステムを開発するかがより重要である. ハザードや事故の原因の多くは組織としての管理の問題とヒューマンファクター (human factor) に起因している. 以下ではこれらの要素に工学・技術的な視点を加え, そのポイントを記す.

1. ハザードの分類とデータベース化：ハザードは種々の角度からの分類ができる. 1) 現象からの分類:潜在的なものか, 顕在化されたものか. 未知のものか, 経験したことがあるものか(個人的に未知な問題であったとしても組織全体・社会全体としてみれば多くが過去に経験したものである). 2)発生原因からの分類:Man, Machine, Material, Method, Environment, Managementのいずれの問題か. システム開発のステップのどの時点で作り込まれたものか(例えば, 市場ニーズ, 使用目的, 使用環境条件等を正確に把握することなしに開発を行うならば, 市場でのトラブルは避け難い). 応急対策の未徹底か, 再発防止の未徹底か, 未然防止へのしくみが不十分であったか. 3)発見すべき時点からの分類:開発のステップのどの時点で発見されるべきものであるか. 以上を組織の枠を越えてデータベース化し, 共有化と活用をはかることが重要である.

2. 安全性作り込みのための基本的なステップ：管理的な側面から以下の各ステップが重要である. 1) どのような安全性上の問題が市場で発生しているのかの調査の実施, あるいは問題が顕在化するしくみを構築する. 2) 顕在化した問題を関連する部門別に区分けし, 各部門において問題の原因分析ならびにその再発防止を行う(故障解析・PDCAの徹底). 3) これまでのシステム/製品を改良したものを市場に出す際に, 過去に経験した問題と同じ, あるいは類似なものが発生しないようなシステムの構築とその実施を徹底するFTA (fault tree analysis) が有用). 4)これまでのシステム/製品と全く異なる新しいものついての問題の予測とその予防を可能ならしめるシステムの構築とその運用FMEA (failure mode and effects analysis)・設計審査が有用). 5) 上記の仕組みで見逃され, 運用にいたり, 問題が発生してしまった場合に, その影響をできるだけ最小限にするための設計上の工夫フェイルセーフ (fail-safe) 等)および応急対策のための仕組みの構築とその実施.

3. 工学的・技術的な検討：電子レンジの蓋を誤って稼働中に開けると自動的にpower offとなる. AT車のシフトレバーがDriving Positionのままで車の鍵を抜こうとしても不可能である. このように人の誤操作を設計上未然に防止するフールプルーフが重要である. 一方, システムの機能上の喪失が生じても事故や危険な状態を回避し, システムをより安全な状態に向けるフェイル・セーフが有用である. 例えば鉄道の信号機は故障したときには赤信号を示す. ブレイカーやヒューズもこの類である. 車の場合, シートベルト・安全ガラス・エアバッグ等により, 万が一事故が生じてもその影響を軽減しうる(フェイルソフト). また, 車のタイヤのパンクが生じた場合に, 一昼夜車庫におかれた後, 空気が抜けるならば大事に至ることはない. また, 腕時計の電池が切れかかったときに秒針が2秒づつ進み, 電池交換の必要性を知らせてくれる仕組みも有用である. これらは, 機能が一瞬にして失われるのではなく徐々にアナログ的に変化していくもので, 特にPLに対する製品安全対策として有用である.

4. ヒューマンファクターと意識フェーズ：製品関連事故において, "誤使用・不注意"は, 原因不明を除くと全事故原因中の50 ${\displaystyle \sim \,}$ 60％を占める. 例えば, "ストーブの近くに可燃物をおいて火事"など, ヒューマンファクターに起因する安全上の問題はあとをたたない. ヒューマンファクターを考える場合, 人間行動の特性を熟知する必要がある. 安全分野における人間の認知行動モデルとしてのSRKモデルおよび人の意識フェーズが有用である. RasmussenによるSRKモデルは人間の行動を熟練ベース(skill-base), 規則ベース(rule-base), 知識ベース(knowledge-base)の3段階にわけその行動上の問題を探る(塩見 [1] に詳しい). 橋本 [2] は, 人の意識フェーズを5段階(フェーズ：０, I, II, III, IV)に分類し, 人のエラーの内容や発生確率等がフェーズによって異なることを示す. 特にフェーズIVはパニック状態であり, 理性的な判断と行動が失われ大脳の旧皮質の働きのみからの行動しかできない. 例えば部屋の中に火災が生じたとき, 多くの人々はこのパニック状態となる. このとき非常口を開ける動作を考えれば, 多くの人が "押して開ける" であろう. これは大脳の旧皮質がなすわざであり冷静な行動は期待できない. 即ち, 外に開く設計が重要となる. 意識の集中度の低いフェーズでも同様にエラー発生率が高い. ベストの状態(フェーズIII)は, その持続時間が15 ${\displaystyle \sim \,}$ 20分しか続かない. これらを設計段階に考慮し, マン・マシンインターフェイスを構築することが肝要である.

5. 衆知の結集とデータベースの活用：商品機能の複雑化により一人または数人の技術者のみの経験に依存するのでは, 新しい技術や未知の問題等についての誤りや早飲み込みといった手落ちが生じるおそれがある. この難点を克服し, 多くの専門家集団の見識を統合化することにより, 設計レベルの向上を企てる為に誕生したものが設計審査(Design Review [5])である. この実施に当たり過去のトラブルや事故をデータベース化し, 類似の危険性を回避することが重要である.

参考文献

[1] 塩見弘, 『人間信頼性工学入門』, 日科技連出版社, 1996.

[2] 橋本邦衛,『安全人間工学』, 中央労働災害防止協会, 1984.

[3] 菅野文友, 額田啓三, 山田雄愛, 『日本的デザインレビューの実際』, 日科技連出版社, 1993.