最近の信頼性・安全性に関する事故の特徴として、耐久性や金属疲労といった単体の固有技術の問題ではなく、システムの問題が挙げられる。例えば、① アクセルがフロアマットに引っ掛かり車が暴走した事故は、ペダルとフロアマットの相互作用によるもので、原因をシステムの要素に帰着できない。いわば、部品の相性による故障で、本書では、創発故障と呼んでいる。② 原発事故では、津波の影響により、13台中12台の発電機が同時に使用不能になり、非常用電源としての機能を果たせなかった。冗長性設計では、要素間の独立性が前提であるが、共通故障原因によって崩されたのである。すなわち、分散配置が必要であった。③ 組み込みソフトの不具合により、わずか、0.06秒の遅れにより、運転者にブレーキの不安感を与えてしまった。人間の認知、行動や心理的な側面による操作性の検討を加えなければならない。さらに、物理的な故障ではないが、超音速旅客機、コンコルドが、音速の2倍のスピードを実現したものの、衝撃音のため中止せざるを得なかったように、人間を含めたシステムの失敗例もある。
本書では、信頼性・安全性を獲得するために、「システムの視点」を取り入れた考え方と手法を紹介している。そして、過去、発生した事故やトラブルを例にしてそれを解説しており、説得力のある内容になっている。以下、事例を挙げる。
1.自動化によるエラープルーフ設計。A.代替自動化タイプ→自動装置が常時機能し、安全な稼働を進めるが、自動装置が危険な状態に陥った時、人が手動介入し、安全性を確保する。高信頼度になるほど、停止操作をする機会が減り、日ごろの訓練が重要。B.緊急自動化タイプ→手動操作が主で、エラー発生時や不具合発生時に、トラブル防止のため安全装置が自動的に働く。人が横着をして、操作を自動装置に任せっぱなしにする危険がある。
2.グレーゾーンモデル。誰もが安全と感じる共通の安全領域と、多くの人が一致して危険と考える危険領域があり、その狭間にどちらにも属さない判断の難しい、あるいは判断の分かれるグレーゾーンが存在する。危険の領域は対策がとられていて事故は少ないが、事故は、グレーゾーンで派生している。営団地下鉄の脱線事故は、カーブの曲率半径が160m未満は危険、とされていたが、わずか10cm大きいだけであった。
3.深層防護システム。原子力プラントや航空機等、特に安全性を要求されるシステムでは、1つの要因で簡単に事故を起こさないように、さらには、事故が発生しても影響が小さくなるように工夫し、多重防護の壁をもったシステムにしている。それでも、組織事故は、危険行為や潜在要因によって防護の穴が一直線に並んでしまって、事故が起きることがあり(スイスチーズモデルという)、万全の防護を検討する必要がある。
4.3階層モデル。「組織事故は、人間エラーは原因ではなく結果である」との観点から、エラーの背後にある要因を、人の標準逸脱行為、その背景にある機器の操作性や劣悪な使用環境等の作業要因、さらにその背景にある過剰の効率性追求や組織の方針、慣習等の組織要因にまでさかのぼって検討し、対策すべきという考え方。福知山線の事故でいえば、運転手の速度違反→減速を必要とするカーブ環境→正確な時間運航の遵守、という階層になる。
近年の製品、システムは、集積化や電子情報技術の発展により、構造やメカニズムが見えにくくなってきており、信頼性・安全性への要求が従来以上に求められている。従来にない切り口の考え方が紹介されており、多くの技術者に一読をお勧めしたい。