「メンテナンスのせいにばかりしていますけど…」 2006/06/13、荻原 博之、日経ものづくり
http://techon.nikkeibp.co.jp/article/TOPCOL/20060613/118148/
先日,フェールセーフの研究で世界をリードし,安全技術の権威として知られる明治大学理工学部長の向殿政男先生が,日経ものづくり主催のセミナー「品質つくりこみ最前線」で「製品設計で安全を確保するために」という題目で講演されました。その中で,機械の安全は「人への危害または損傷の危険性が許容可能な水準に抑えられている状態」「受け入れ不可能なリスクが存在しない状態」と定義します。つまり,機械をこうした状態に作り込むことが安全設計の基本的な考え方になるのです。
向殿先生は,2004年3月に起きた東京・六本木の自動回転ドア死亡事故で経済産業省と国土交通省が立ち上げた「自動回転ドアの事故防止対策に関する検討会」の副委員長を務められた関係から,自動回転ドアを例に安全の作り方「3ステップメソッド」を紹介されました。第一のステップは,本質的安全設計によるリスクの削減。挟まれない構造,あるいは挟まれても怪我をしない構造にする。第二のステップは,安全防護対策によるリスクの削減。挟まれる前に止める。そして最後のステップが,使用上の情報によるリスクの削減。第一,第二のステップで取り除き切れなかったリスクについて注意する情報を提供し,警告ラベルを貼るというものです。
基本的には,第一のステップである本質的安全設計で安全を作り込まなければなりません。その際に従うのが「安全技術の論理」。「フェイルセーフ」「安全確認型と危険検出型」「ハイボールの原理」などがそれです。フェイルセーフは,向殿先生の言葉を借りれば「危ないときは動かすな」「効率を下げても安全を重視しろ」という考え方になります。基本は,安全であるよう壊れたときには必ず停まる。ただし,しょっちゅう止まっていたら困るので多重系で信頼性を上げます(フォールトトレラントという考え方)。シンドラーのエレベータでは,明らかにこの「安全技術の論理」が欠けています。
残り二つの論理もついでに説明しますと,安全確認型は安全であることを確認し,その安全情報を受けているときは作業を続け,その情報がないときには作業を止めます。一方の危険検出型は危険であることを検出し,その危険情報により作業を止めたり回避したりします。実は,この後者の考え方には重大な欠点があります。危険が発生した際に,危険を検出するセンサなどに不具合が起きるケースです。機械には危険情報が伝わりませんから作業を続けてしまう。危険であるのにもかかわらず,です。これに対し安全確認型では安全を確認するセンサなどに不具合が起きたら,機械は安全情報を受け取らないので「安全でない」と判断し危険に曝されることはないのです。
「ハイボールの原理(ポテンシャル極大の概念)」は,昔の英国や米国などの鉄道システムに由来します。そこでは汽車の運転手に対し,人がボールを吊り上げることにより「進入可能」というサインを送っていたそうです。つまり,ボールが吊り上がった「ハイボール」の状態が「安全」。向殿先生によれば,安全であることを伝える情報はハイボールのようにエネルギの高い状態が望ましい。安全を確認する人が倒れたりした場合,ボールがエネルギの高い状態(ハイボール)から低い状態に移ることにより,運転手は危険を知ることができます。逆に,エネルギの低い状態を「安全」としていたら,人が倒れたりした場合に誤って安全と判断し,本来進入不可能な局面で汽車が進入してしまうという恐れがあるのです。つまり安全確認型もハイボールの原理も,故障があったときには安全側に壊れるという設計思想です。