2014-10-25

安全性と信頼性

SEC journal 38号で安全学で著名な明治大学 名誉教授の向殿 政男先生が「信頼性と安全性」の記事を書いている。無償でPDFにて読めるので是非読んでいただきたい。

【まえがき より引用】

・・・とくに、個々の構成部品の信頼性を追求して行くだけで、私たちの安全な生活は保証できるのであろうかという疑問が湧く。主として信頼性はハードなどの施設・設備の問題であるが、安全性は私たちの身体的な傷害や精神的な障害の問題である。最終目的は安全性のはずであるが、信頼性だけを追求して、安全性が実現できると考えるのは素朴すぎるのではないだろうか。本来、信頼性と安全性は異なった概念と技術であるからである。システムが大型になって全体を把握するのが困難になると共に、いったん事故が発生すると取り返しがつかないような場合には、安全性のほうを重視して追求する観点が不可欠なはずである。とくに、ソフトウェアを含んだコンピュータがシステムの制御や監視に組み込まれる場合には、信頼性だけを追求する傾向があるので、上記の観点は必須なはずである。

【引用終わり】※この後もかなりの部分記事を引用しています。

向殿先生は「信頼性だけを追求して、安全性が実現できると考えるのは素朴すぎるのではないだろうか」と柔らかい表現で書いているが、「信頼性だけを追求して、安全性が実現できると考えるのは間違っている」と自分は言い直したい。

本文の中で、工学システムにおいて信頼性とは、「与えられた機能を果たし続けること」であり、安全性とは、「人に危害を及ぼさないこと」とされている。信頼性が高ければ高いほど、安全性は保たれている可能性が高いと考えられるので、安全性の問題は信頼性の問題に帰着できるという人もいるとあり、その後、これは正しくないことが列車の例で示されている。

安全性が確認できない場合、列車を止める。列車は走るという本来の機能は果たしていないので信頼性は低くなるが、人が事故に遭うことがないという点から安全性は確保されている。信頼性を下げることで安全性が確保される例である。

安全性と信頼性の関係で最も大事なことの一つに、安全を保つという機能が果たされている信頼度、すなわち、安全性に対する信頼性という考え方はある得る。その機能が果たせなくなったら、安全性が損なわれ、人に危害を及ぶことになる。しかし、信頼性は、機能が果たされなくなった後のことを考慮していない。いくら信頼性が高くても、いつかは壊れることになる。安全性はそこも含めて考えている。よって、信頼性と安全性はお互い強い関係はあるが、異なった概念であることは明かである。

信頼性(Reliability)はJISでは「アイテムが与えられた条件で既定の期間中、要求された機能を果たすことができる性質」、及び、その定量的な尺度である信頼度(Reliability)は、同様に「アイテムが与えられた期間与えられた条件下で機能を発揮できる確率」と定義されている。近年、前者の信頼性(Reliability)を表すのに Dependability という言葉が使われるようになってきた。Dependability には信頼性だけでなく、保全性(Maintainability)と可用性(Abailability)の概念が含まれている。

一方で、安全性の定義はJISでは「人への危害または損傷の危険性が、許容可能な水準に抑えられている状態」である。安全規格を作成するための国際的なガイドラインである ISO/IEC ガイド51では「許容可能でないリスクが存在しないこと(freedom from risk which is not tolerable)」と安全性を定義している。

安全においては、リスクゼロ(絶対安全)の存在はあり得ないとして最初から放棄している。どの程度のリスクならば安全といえるかは、時代により、社会により、与えられた条件(使用者、寿命、温度・湿度・環境など)により、異なるとしている。

リスクは危害の発生確率と危害のひどさの組合せなので、安全性を高めるためには、危害の発生確率を低くするか、危害が発生したときにそのひどさ(例えば、怪我の程度)を小さくするか、またはその両方で実現できることとなる。リスクを構成している二つの要因のうち、前者が主として確率に基づく安全性に関連し、後者が主として構造に基づく安全性に関連している。安全性は危害が発生しないように信頼性高く作る技術と、危害が発生したときにひどさを下げる技術の両方で実現される。主として、前者が信頼性技術に、後者が通常言われる安全性技術に関連する。

システムには通常、果たすべき二つの機能があり、一つがシステムが本来果たすべき本来機能であり、もう一つが安全を確保する安全機能である。安全機能には、システム本体が実現している安全機能と、安全防護策や安全装置などの付加的に追加された安全機能とがある。この二つの安全機能は、それぞれ、本質的安全及び機能安全と呼ばれる。後者の機能安全とは、簡単に言えば、本来の機能を果たしているシステムを安全に制御する装置や導入された安全装置等が果たす安全機能のことである。この場合には、その装置が正しく動いていること、すなわちその信頼度が重要となる。その機能を失ったとき、直ちに安全性の問題が生ずることになる。

ISO 26262との向き合い方 (27) 最終回:何に向き合いますか?】で書いたように、機能安全規格であるISO 26262 はどうも自動車業界の産業構造が意識されていて、システム全体の安全性を高めるにはどうしたらよいかという考え方が欠落しがちであるように思う。

その理由は向殿先生が解説されているように、機能安全が本来機能や本質安全と切り離された概念であり、自動車業界では分離された安全機能の信頼性を高めることに主眼が置かれているからではないだろうか。

そうなってしまうのは、自動車は分業されたサプライヤの存在が前提となっており、サプライヤから供給された部品をくみ上げて完成させるという業態であるため、個々のサプライヤが納品する部品の信頼性を高めること、すなわち機能安全の追求が目的になっているのではないか。

自分が常々自動車業界の機能安全の取り組みに首をかしげたくなるのは、そういった背景があるからではないかと向殿先生の記事を読みながら思った。

システムが複雑化し、複数のサブシステムが協調して本来機能や安全機能を実現するようになると、自動車システムの安全は個々のサプライヤだけでは満たせなくなってくる。別な言い方をすればリスクを受容するためにシステム全体の安全アーキテクチャを設計し、維持することが必要で、OEMとサプライヤを切り離すことなく協力体制を作って3Eを共有する必要がある。

  1. Experience(経験)
  2. Education(教育)
  3. Enthusiasm(熱中、熱意、情熱、こだわり)

2014-10-05

父の元部下の方からの手紙

父の死後約、一ヶ月が経ち、いろいろな方から香典やお悔やみの手紙をいただいた。その中でかつて父の部下だった方から手紙が来た。

母に宛てた手紙であったが、認知症の傾向があるため、自分が手紙類を整理している。

この方は父が自分の死後に知らせるよう書き残した約20名のリストには載っていなかった方で、父が永年勤めていた建設会社の知人の方から訃報を聞いたらしい。

昭和45年頃(1970年)の思い出が書かれていたので、44年前に所長(父)と所員という関係だったようだ。

若かった頃、優しく指導し、トラブル解決の為に活躍し、楽しく営業所時代を過ごすことができたとある。父が営業所時代にたくさんの実績を上げることができたのは、柔和な笑顔、温和な話し方、豊富な知識によるもので尊敬していたとあった。

わざわざ、知人の方から住所を調べて、母の名前が分からず父の名前で送られてきた。(お詫びが添えてあった)

その他、いろいろな思い出が書かれており、心に響いた。

そして自問している。自分はこれまで人を育ててきただろうかと。40年も経ってかつての上司であった父との思い出を伝えてきてくれる方がいる。自分にはそんな人がいるだろうかと考える。

建築業界とは世界が違うので単純には比較はできないが、25年以上も同じ会社に勤めていて人を育てることが出来ていたかどうか考えてしまう。

組織内外で技術者教育に携わってきた実績はあるものの、一人の方にこんな深い感謝のことばをいただけるような関わり方をしてきただろうかと。

父のこのような仕事ぶりについて、自分が若い頃はまったく想像もできていなかった。子供に仕事の話など一切しないからだ。晩年になって、自分が家を建てた時のトラブル時などでその片鱗を垣間見ることができ、頼もしいと思ったことはある。

ただ、会社の方が見ていた父の姿と、家族が見る父の姿は同じではなかったと思うし、また、自分自身も同様に子供達からは、家では料理をするとき以外はごろごろしているおじさんににか見えていないだろう。社会の中で働いている父の姿を子供に見せることは重要かもしれない。

結局、自分は人を育てるという意味では広く浅くしか出来ていなかったような気がする。一つ言い訳をするとすれば、まだまだ、自分自身が学ばなければならないことがあると思ってるので、人に教える時間より自分が学ぶ時間の方が大事だと考えていたのだ。

でも、頭の方の瞬発力がピークを過ぎたと思うようになり、後身の育成に重きを置く必要を感じてきた。その際に重要なのが、「育つのを待つ」という感覚だ。頭では分かっているのに待てない。自分でやってしまった方が早いと考えてしまう。

問題を早期に解決することがすべてならば、それでもいいのだが、今は人を育てるフェーズであることを意識しないといけない。自分ができることを、教える相手が出来ないからといってイライラしてはいけないのだ。

実際、それができないから、深い師弟関係が生まれないのだと自己分析している。柔和で温和な感じの父がシニア向けの携帯電話がうまく使えずイライラすることがあった。それだからダメなのだ。

父の元部下だった方の手紙は、自分が大事に取っておこうと思った。いつの日か、こんな風に思ってくれる技術者を育てたい。そのためには寛大な(Generous)心を持てるようにならないといけない。

そして、いつの日か、自分が死に絶えるときが来たら、このブログが役に立った人にコメントをもらえれば本望だ。