安全性とは何か – オスプレイ問題を考えるために

「オスプレイの安全性」評価にかかわる「軍事ブロガー」のデタラメについて愚痴るエントリを書いたところ、予想外の反響があったので驚いた。
とあるサイトのコメントでは、「エンジニアのいう安全性の意味するところが、しばしば一般のそれとズレている」ということも書かれていた。
これはそのとおりかもしれないが、正確に言うと、専門的に確立されている「安全性」という概念が、一般に正しく理解されていない、というのが実態である。一部の人には当たり前の概念でも、一般には誤解されているということは多い。

今回は、安全性という概念について、もう少しだけ説明を加えるエントリを書いてみたい。
自分も安全性工学が専門ではないので心許ないが、航空機の開発現場で少なからず安全性管理にコミットしたこともあるので、少しでも皆さんのお役に立つならと思って、敢えてこのエントリを立てる。
オスプレイの話は出てこないけれど、安全性を議論するための最低限の前提知識として読んでいただきたい。

安全性とは
まず、簡単に言うと安全性とは、システムが事故(ハザード)に至るリスクが十分低いかどうか、という概念だ。
システムのハザード要因はいろいろだ。部品の故障もそうだが、人間による誤操作や、雷などの自然現象もハザード要因だ。これらへの対策も含めて対応するのが、安全性設計である。
これらハザード要因のうち、部品故障による障害の抑止を取り扱うのが「信頼性工学」だから、「安全性」は「信頼性」を包含した概念だ。実際、安全性工学は信頼性工学から発展したものといえる。
福島第一原発の事故を例に取れば、あれは故障でなく天災によるものだから、原発の安全性に問題はないのだ、と言う人はいないだろう。システムが安全性を備えているためには、故障しないという信頼性に加えて、誤操作や天災によってハザードに至らないことが求められるのである。
すなわち、ヒューマン・エラーが容易に起き得るシステムや、自然災害に脆弱なシステムは、安全性に問題があるということだ。

以上を端的にまとめると、扱う対象範囲は以下のとおりになる。

  • 信頼性:部品の機械的・電気的故障を取り扱う
  • 安全性:上記の故障信頼性に加え、人的過誤、自然現象などを含めたハザードを取り扱う

今日では、信頼性工学の発達で故障によるハザードの抑止が進んだ結果、安全性管理は、事実上、人的過誤や自然災害への対策が大きなファクタになっている。
そして、信頼性は確率で定量的に表されるのに対して、安全性は自然現象や人的エラーのような定量化できない要素を扱うため、全ての要素を定量表現できない。

信頼性と安全性の区別がつかないJSFさん
ところが、「信頼性」と「安全性」の概念が理解できておらず、ヒューマンエラーによる事故は安全性の問題ではない、と主張する人がいた。件のJSFさんである。
JSFさんがtwitterで主張したところでは、オスプレイがヒューマンエラーで墜落した事故について、それはマニュアルに従わなかったパイロットが悪いので、オスプレイの問題ではないという。
更に、JSFさんによると、安全性は事故率で定量的に表され、信頼性は人の主観的な判断だそうだ。
これがいかに滅茶苦茶な理解であるかは上に書いたとおりで、そのことを私はJSFさんにtwitterで指摘し、丁寧に説明した。
そのやり取りをtogetterでまとめてくれた人があったので、下にリンクで引用しておく。

仲井真県知事の「(原因は)操縦ミスでしたとしゃあしゃあと言うのは全く意味が分からない」との検証報告書に対する批判発言について「安全と信頼とは?」 – Togetterまとめ http://togetter.com/li/364399

上記リンク先のまとめでは、さすがにカッコ悪いと思ったらしいJSFさんが、自分のtweetを非表示にして遁走してしまった。しかし元tweetまでは消していないようなので、興味のある向きは、面倒だが「※このツイートは削除されています。」のところをクリックして、JSFさんの主張を確認していただきたい。
twitterの限られた文字数の中で、できるだけ丁寧に説明したので、皆さんの参考にもなるまとめだと思うのだが、JSFさんが自tweetを非表示にしてしまうという、たいへん情けない行為に及んでおられることが残念でならない。
私としてはJSFさんの無知を暴くのは必ずしも本旨ではなく、多くの人に正しい理解を得たいという思いなのだが、まあJSFさんとしてはデタラメな理屈ででも相手を言い負かすことだけが関心事なのだろう。

また、先のエントリで述べたとおり、過去の事故率は安全性の指標ではない、ということもJSFさんには指摘した。過去に事故を起こさなかったからといって、ハザードのリスクが小さいとはいえない。
福島第一原発だって、3.11までは大事故なんか起こしていないが、実際に起きた天災に対して、安全性は全く不十分だったわけだ。事故が起こるまで安全性は十分だった、というわけではない。つまり、安全性とは「当該システムが過去に事故を起こしていない」こととは関係なく、「システムのライフサイクル全体でハザード・リスクが十分低いかどうか」を問題にする概念である。

安全性管理のプロセス
では、ヒューマン・エラーや自然災害を含めたハザード・リスクを視野に入れた安全性の確立と評価は、どのようになされるのだろうか。
これにはまず、ハザードに至るような誤操作が起き得ないような、あるいは誤操作が致命的にならないような設計をする。フール・プルーフとか、フェール・セーフとか言われるものだ。雷などの有害な自然現象に対しても、たとえば電気ボンディングや耐雷設計などの安全対策を施し、その有効性も試験などで確認する。また、機体に関わる整備員や操縦士には、過ちの起きないようなヒューマン・インターフェイスと、注意事項を明示したマニュアル、適切な訓練を提供する。
そのうえで、リスク・アセスメントを行い、予測されるヒューマン・エラーや自然災害を含めたFTA(Fault Tree Analysis=故障の木解析)などで、リスクを可視化あるいは定量化し、それらの事象が致命的ハザードに至る確率が十分低いことを示し、安全性を評価するのである。

なお、安全性設計の手法と評価に関しては、MIL-STD-882というMILスペックによって、そのアウトラインが示されている。米国や日本の軍用航空機は、このスペックに従って安全性管理が実施されており、オスプレイもその例外ではない。
このMIL-STD-882は公開スペックなので誰でも閲覧可能だが、素で読んでも主旨を理解することは難しいだろう。安全性工学についての理解を深めるには、やはり日本語で書かれた書籍にあたるのが良いので、参考になりそうな書籍へのリンクを末尾に貼っておく。
(ちなみに、安全性工学と安全工学は、たいてい別のものを指すので注意して欲しい)

まとめ

  • 安全性とは、機械の故障だけでなく、ヒューマンエラーや自然現象による事故も対象にする
  • ヒューマンエラーや自然現象を視野に含む安全性は、しばしば定性的に評価せざるを得ない
  • システムの安全性は、機器側の対策だけでなく、訓練体系やマニュアル等を含む包括的な取り組みによって確保される
  • JSFさんのようなデタラメな理解でシステムの安全性を語るのは論外である

では、できれば次回あたりで、オスプレイにまつわるヒューマン・エラー事故事例についても触れてみたいと思う。

そんじゃーね。

【追記】オスプレイにまつわるヒューマン・エラーについて書きました。(2016/4/12)
オスプレイの安全性を考える – フール・プルーフ設計

関連してるかもしれない記事:


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です