メモ

失敗や事故の原因を従来とは別の視点から眺める新たな検証方法とは?


高度に技術が進歩した現代でも、「失敗」や「事故」は起こるものです。なぜ医療の現場や、鉄道や航空機、自動車などの交通機関などで事故を完全に排除することができないのか、その原因をシステム全体からの視点で見つめる「システム・セーフティ・エンジニアリング」の手法が唱えられています。

Understanding Society: System safety engineering
http://understandingsociety.blogspot.jp/2014/08/system-safety-engineering.html

30年以上にわたって安全工学の分野を率いてきたMIT(マサチューセッツ工科大学)のNancy Leveson教授が2012年に出版した書籍「Engineering a Safer World」では、不具合や事故の原因をシステムそのものにさかのぼって検証する「システム・セーフティ・エンジニアリング」の手法が記されています。


Leveson氏の理論によると、システムの技術的な不具合はある特定のコンポーネントの欠陥に起因するものではなく、複数のコンポーネントに存在する欠陥とコンポーネント間で発生する想定外の挙動によって引き起こされるものであるため、安全性とは「システム全体に備わった特性」であるとされ、安全性を実現するためには「コンポーネントレベルではなく、システムのレベルでコントロールされなければならない」と記しています。

Safety is a system property, not a component property, and must be controlled at the system level, not the component level.

これまでに用いられてきた危険・不具合分析では、事故発生に至る特定の経路解析が行われ、問題を発生させた単一の「原因」を見つける取り組みが進められてきました。しかし、Leveson氏はこの手法はすでに時代遅れであると指摘し、事故に至った流れや実際の事故原因をより的確で包括的に把握するための「ニュー・アクシデント・モデル」の導入を訴えています。このコンセプトには、いくつかの重要な要素が含まれています。

・コンポーネントの不具合やヒューマンエラー以外の要素に着目し、事故分析の視点を拡張する
・事故のモデル化に科学的手法を導入し、主観的要素を排除した原因追求を行う
・「システム設計の不具合」、「システム相互作用の不全」を考慮の対象に含む
・新しい災害分析およびリスク調査の手法を推し進める
・事故に対して人間が関与した部分に着目し、システムが人間の行動に影響を与えたメカニズムを分析する
・事故分析の目的を「原因」から「理由」にシフトさせ、「なぜ」事故が発生したのかを理解する
・必要に応じて、複数の視点からの分析と解釈を行う
・作業基準の策定およびパフォーマンスデータの解析をアシストする

Leveson氏はまた、「安全性」と「信頼性」が混同して理解されている点も指摘。自動車や化学プラント、兵器システムには高い信頼性を持つ機器が導入されているにもかかわらず大規模かつ予想だにしなかった事故が発生していることを挙げてその問題を提起しています。

By Kiyo

このように、Leveson氏は「コンポーネント」単位で事故分析を行うことは間違いであり、「システム」単位でのエンジニアリングを進めることが重要であるとしたうえで、「問題解決のソリューションは、近代的なシステム思考とシステム理論の導入を進めることであると確信しています」と語っています。

The solution, I believe, lies in creating approaches to safety based on modern systems thinking and systems theory.

事故の発生と安全性を理解する上において重要なものの一つは「現代テクノロジーの複雑さを認識すること」であるとLeveson氏は語ります。さらにその「複雑さ」には「相互作用的複雑さ(interactive complexity)」「動的複雑さ(dynamic complexity)」「分解的複雑さ(decompositional complexity)」そして「非線形複雑さ(ノンリニア、nonlinear complexity)」が含まれており、事前に問題を回避することの難しさは日を追って高くなっているとしています。

しかしそんな中でもLeveson氏は「fly-fix-fly手法」を用いることについては極めて否定的な立場を示します。問題解決の手順を航空機の開発になぞらえて「まず飛ばしてみて問題があったら直し、また飛ばす」という、いわば後追い方式の安全対策であるfly-fix-fly手法は、現代の高度に発展したエンジニアリングには不適当なものだ、というのがその理由です。


それに替わる手法としてLeveson氏が提唱するのが、従来の一方通行的なコンポーネント単位での分析から脱却してシステムレベルでの問題検証を行う「STAMP(Systems-Theoretic Accident Model and Processes:システム理論的事故およびプロセスモデリング法」と、そのモデル化をもとにした分析法である「STPA(System-Theoretic Process Analysis:システム理論的プロセス分析)」です。STPAでは、以下に示す大きく2つのステップを経てプロセスの分析を行います。

1.危険な状態を引き起こす「システムの不適切な制御」につながる危険ポイントを確認する
2.ステップ1で確認した「不適切な制御」が発生する理由を特定する

以下のフローチャートは、STPAを用いてNASAがリスク分析をおこなう際の一例となっています。


このSTAMPとSTPAは自動運転車の制御にも役立てられることになりそうです。自動運転の制御そのものはSTAMPによって分析が可能なものであり、多くの車両が行き交う道路もまた、高度な複雑さを備えたシステムとなっているためです。以下のムービーでは、無数の自動運転車が絶妙のタイミングで一切事故を起こすことなく交差点を通過していく様子がシミュレートされていました。

Untitled on Vimeo

この記事のタイトルとURLをコピーする

・関連記事
エアバス社の新型機「A350 XWB」にみる機体の新規開発リスクの軽減策とは - GIGAZINE

アリの行動に学ぶ、より多くの脱出を可能にする非常出口の設計手法とは - GIGAZINE

チェルノブイリ原発事故の立ち入り禁止区域では今何が起きていて、福島では何が起きるかもしれないのか - GIGAZINE

宇宙空間で使えるペンを開発したのはNASAではなく1人の投資家 - GIGAZINE

ドラクエXはこうして作られた、大規模ゲーム開発におけるマネージメント方法 - GIGAZINE

・関連コンテンツ

in メモ, Posted by darkhorse_log

You can read the machine translated English article here.