著者、ナンシー・G・レブソンは、MITのシステム安全の女性研究者である。セーフウェアは、ハードウェアを中心としたシステムとソフトウェア、人間因子を統合した安全性を指す彼女の造語である。アメリカは軍事、宇宙開発があるからこの分野の研究には一日の長がある。内容は、1.リスクの本質、2.システムの安全、3.定義とモデル、4.セーフウェアプログラムの要素(システムとソフトウェア安全プロセス、ハザード分析、ソフトウェアハザード、安全性のための設計、ヒューマン・マシン・インターフェイス、安全性の保証)と、医療機器、航空宇宙、化学装置、原子炉事故の事故分析事例について、600ページ余で解説。361の参考文献からの事例に基づく内容は説得力がある。
自動車や飛行機のような物理的機構は設計上の問題を分割し、部分に独立した要素で構成されている。要素間の相互作用の制限、相互作用の追跡も容易である。また、インターフェイスは単純で、物理的な制約によって複雑なインターフェイスを抑制できる。それに対して、ソフトウェアは、物理的な接続を持たず、論理的な結合が容易で廉価であり、物理的な制約がないから複雑なインターフェイスを簡単につくることができる。さらに、ソフトウェア要素間のインターフェイスも見えない。ハードとソフト、さらに人が関わるコンピュータ制御システムの安全性が難しい訳である。本書は、システム安全に関わる事故防止に役立ててもらいたい教訓、考え方、手法が満載である。(以下に事例を示す)
・安全性についての自己満足は禁物である。(例、影響が大きく、発生確率の低いリスクの過小評価、冗長性に頼りすぎ、非現実的なリスクアセスメント、ソフトウェアのリスクの過小評価、時間と共にリスクが減少すると仮定すること、警報の無視等)
・安全部門の独立と、安全を達成する責任は、他の目標の達成責任とは分離すること。
・事故の根本原因の究明。すなわち、物理的、技術的メカニズム、社会力学と人間の行動、管理システム、組織文化に及ぶまで事故原因を究明し、未然防止に役立てる。
・事故とヒューマンエラーをモデルで考えることによって、事故の理解を深め、的確な防止対策を検討することができる。(特に、エネルギー源とその流れで、事故を考える)
・信頼性と安全性は同じではない。安全は、コンポーネントが同時に作動している時にシステムレベルで起きる創発的な特性である。事故につながる事象は、装置の故障、不完全な保守、計装と制御、人間の動作・エラー等が複雑に組み合わさったもの。信頼性工学はハードウェアの偶発故障を減少させる手法で、例えば、信頼性を高める冗長性は、かえって誤作動によって安全性を低下させることがある。ハザードと故障を区別することは、安全性と信頼性を理解するための絶対条件である。
・安全性設計の基本は、ハザードの除去と低減にあり、システムの単純化とインターフェイスの低減、ハザードの分離・置換、特定のヒューマンエラーの除去、ハザードをもたらす物質や状況の制限が重要である。
・オペレータのエラー防止の基本は、安全性を高める行為を簡単、かつ強固にすることと、危険な行為を困難あるいは不可能にすること。
原本の出版は、1995年である。技術者は、同じ過ちを繰り返さないために、さらに進歩したセーフウェアを学び、活用してゆかなければならない。 (杉山 哲朗)
