2/2017
29/60

のための安全の条件を整える機能制御(Regulating control)である。変化に応じて速度を調整して安全状態を維持する制御であり,“速度”を操作量として“危険との間隔”を制御量とする位置制御(サーボ)に類似する制御だと分る。したがって,制御目標xと誤差σ(標準偏差)を用いてx±σのように対称誤り特性で示され,誤りは危険側か安全側か区別しないから,信頼性を上げて限界とするか,そうでなければ,危険側の誤りに対処するための制御によるバックアップを構成する。そこで,仕事中に誤って侵す危険への接近を捉えて仕事に介入し,減速して接近を遅らせ,併せて安全状態に復帰させるとする調整制御(Monitoring control)が導入される。もともと機能制御は仕事を決められた条件(安全な状態)で仕事を行うことで高い効率を確保しようとするもので,誤った仕事を本来の仕事に復帰させる調整制御であるから,危険側誤りを著しく改善すると期待されるが,実は,機能的非対称誤り特性と見なされ本来の非対称誤り特性とは区別される。ところで,リスクとは,不確実性を扱う場合の指標だが,フランク・ナイトによれば,基準を共有しない不確実性は“真の不確実性”であり,比較に用いる指標とはならない。あくまでもリスクは,停止を基準とし,事故前停止が必ずしも成功しない場合の被害であって,停止による安全の証明法を指向しない機能制御は,それ自身たとえ事故を減らす効果が見られても,信頼性(アベイラビリティ)における効果とみるべきであって,あくまでも,調整制御のバックアップがあって安全性の効果が認められるのだとする理解が必要である。重要なので繰り返すが,リスクは,本来,事故前の停止の限界で生ずる被害の予測としてのみ合意性(認証性)が認められるのである。非対称誤りは,危険や故障が“停止”として生ずる安全システムの有すべき特性だが,近年の危険監視システムはコンピュータの持つ対称誤り特性のために,厳密には非対称誤り特性とは認められない。一般に,コンピュータによる監視機能は完璧だの認-27-識があるが,結局事故が起こった時,コンピュータの故障停止の保障の限界から,結果としての責任が人間に課せられる点に注意が必要である。事故前の停止原則に準拠して安全の責任を最終的に負うのが安全遮断システム(safety system with shut-down)である。調整制御にも危険側誤りが避けられないと述べたが,事故は,事故の前の停止の失敗で生じ,原因は,調整制御による“停止”に対する機能的失敗と見なされる。ここでもう一度,事故とは何かに戻ると,事故(結果)には原因が存在し,時間軸上,先に原因があって後から結果(事故)が生ずる因果律を示す事故のプロセスが存在する。“停止”とは,このプロセスを停止することであり,事故前の停止とは,停止が事故の前に完了することである。そうなると,危険側誤りとは事故前に設定された停止(基準)に対して遅れる側の誤り,また安全側の誤りとは反対に停止が早まる側の誤りであり,したがって非対称誤り特性とは,停止の誤りが早まる側だけしか生じない(危険側誤りを殆ど生じない)誤り特性であると言うことができる。そうなると,安全とは,非対称誤り特性(早まる停止を許容するとする条件)で事故前の停止を確保することであり,安全運用システムとは,非対称誤り特性によって事故前停止が確保されている条件で,停止を回避する積極的操作を行って,効率の良い仕事を実現するためのシステムとまとめることができる。危険への接近を監視して,事故前の最後の停止判断を行う安全遮断システムは,一般に言うインタロックに他ならない。しかし,ここで論ずるように,インタロックの選択には非対称誤り特性に係って特に注意が必要である。まず,安全遮断システムはフェールセーフでなければならない。事故は停止すべきとき停止できないために発生し,“故障”は言い訳にならない。フェールセーフを意味する非対称誤り特性は,故障に対する停止を要求し,正常に修復がなされない限り停止が解除されないとする安全側誤りを要求する。もう一つの事故の原因は,停止の遅れる側の誤りである。原子力発電所のように停止手段が失われるようなシステムは例外だが,殆どの事故は停止操作の遅れで

元のページ  ../index.html#29

このブックを見る