電子情報通信学会全国総合大会,電子情報通信学会, pp.ss5—ss6,2004-3

――――――――――――――――――――――――――――――

システムの安全性と安全目標

Safety of Systems and Safety Gole

向殿 政男

Masao Mukaidono

明治大学 理工学部 情報科学科

Department of Computer Science, Faculty of Science and Technology, Meiji University

 


1.      まえがき

安全で安心な社会の構築が,現在の我が国において,公と民とを挙げての最大の目標になりつつある。安全で安心な社会の構築のためには,「(1)何から,(2)何を,(3)どうやって,(4)何の名のもとに」守るかということを明確にしなければならない。安全・安心に対応する学問分野は,技術に基づく工学的な側面はもとより,法律,裁判や保険などの社会学的な側面,また,人間の心の安定からヒューマンエラーまでの心理学的側面等が大きく係ってきている。安全・安心は,いわば総合的な学問として,例えば,安全学として,新しく取り組まなければならない,非常の難しい,挑戦的な課題である。これを更に拡大すれば,戦争から宗教,文化のあり方まで係ってくるが,ここまで広げると学問分野としての統一性は保てないだろう。これまで,学問としての安全学は,幾つかの方面から,例えば,臨床医学の立場から,また,社会システムの立場から,それぞれ提案はされている。しかし,基本的には,技術として安全を確保する工学的な側面を基本に確立していくべき新しい学問分野であると考える。

安全の工学的側面も,安全な製品を設計・製造する製品安全から,労働の現場で事故に遭遇しないようにする労働安全まで,幅が広い。システムの安全といった場合,組織や社会のシステムにおける安全を意味するのではなく,通常 ,人工物としてのシステムの設計,製造,運用,管理,評価等に関する安全を意味している。この方面でのシステムの安全は,これまで,“機械安全”のように伝統的に安全を構造として構築していく立場と,近年のコンピュータを用いた“機能安全”のように,安全の機能を制御として実現して確率論的に評価して行く立場とがある。

本稿では,機械安全と機能安全の両方の立場から,どのようにシステムの”安全”を定義するかについて紹介する。特に,リスクアセスメントの立場から,国際安全規格の考え方に基づいた安全の定義について紹介する。最後に,何処まで安全にしたら真の安全なのか,即ち,安全目標について,その考え方を紹介する。

2.安全とリスク

システムの分野では,安全は,「人への危害または損傷の危険性が,許容可能な水準に抑えられている状態」,又は,「受け入れ不可能なリスクが存在しないこと(受け入れることの出来ないリスクからの開放)」と定義されている。前者は,ISO8402 (品質管理及び品質保証用語)に出てくる定義であり,後者は,ISO/IECガイド51(規格

 

 

に安全面を導入するためのガイド)にある定義である。安全と言っても,どちらも絶対安全を意味しているのではなく,“常に危険性(リスク)は残されており,それが許容可能,または受け入れ可能なもののみになっていること”としている。ガイド51の安全の定義にはリスクという用語が出てきていて,これに関連した下記の様な定義が述べられている。

・リスク(Risk):危害の発生する確率及び危害のひどさの組み合わせ。

・危害(Harm):人体の受ける物理的傷害若しくは健康障害又は財産若しくは環境の受ける害

・許容可能なリスク(Tolerable risk):その時代の社会の価値観に基づく所与の状況下で,受け入れられるリスク

図1:許容可能なリスクと安全

 

安全とは,受け入れ不可能なリスクが存在しないという意味であるが,図1に示すように,誰でもが認めるような広く受け入れられるリスク以下のみが残されている状態が理想であろう。しかし,現実には,コスト,受ける利便性等を考慮して,許容可能なリスク(仕方がないから我慢できるリスク)以下のみとなったときに,安全としようという定義である。従って,常に残留リスクが存在する。

ここで二つの問題が生ずる。 一つは,リスクの大きさを如何に測るかであり,二つ目は,何を以って許容可能なリスクに達したかを判断するかである。第一がリスクの評価であり,第二に関連するのは安全目標である。全体の手順がリスクアセスメントである。現在の国際安全規格では,最初にリスクアセスメントを行うことを要請している。

3.安全目標

国際安全規格のうちのA規格である基本安全規格には,リスクの評価法やリスクアセスメントの方法は記述されていても,許容可能なリスクの具体的な数値は述べられていない。これは,機械ごとに異なっており,その都度,その機械の使われ方,その時代の社会の価値観により決めるべきであるとされている。一般に,具体的な数値は個別規格であるC規格で定めるべきであると考えられている。具体的な数値の例として,グループ規格(B規格)のIEC61508(JISC0508)の付録に,表2のような安全度水準(SIL: Safety Integrated Level)の例が載っている。この値は,必要な時に安全機能を要求する時(低頻度作動要求モード時)に働かない確率,及び連続に使用している時(連続モード時)に危険側故障を起こす確率として与えられている。この値は,リスクから見ると,危害の起こる確率に関係した値であり,危害のひどさに応じて,その機器の安全度水準(SIL)を選ぶという形で用いられる。

 

安全度水準 低頻度作動要求 高頻度作動要求(SIL)  モード      又は連続モード

作業要求当たり機 単位時間当たり

     能失敗平均確率  の危険側故障率

1    10-2~10-1           10-6~10-5

2    10-3~10-2           10-7~10-6

3    10-4~10-3           10-8~10-7

4    10-5~10-4           10-9~10-8

  表2 安全度水準(SIL(IEC61508より)

 

それでは,一般にどこまで達成すれば安全といえるのか? これがいわゆる安全目標(Safety Goal)の問題である。安全目標は,上記のリスクアセスメントの評価基準としても用いられるが,一方で,環境基準などでの制限要求基準としても用いられる。安全目標は,実際には,個別のシステムごとに,その時代の社会の価値観と共に,被害者(作業者)の意見や心情,及びそれから受ける恩恵等を考慮しながら決めるべきであろう。

どこまで安全にすれば,十分安全といえるかという問題は,特に原子力で議論をされてきた課題である.ここでは,原子炉の事故の分野で,如何に考えられているかを紹介しよう.原子力といえども,当然,絶対安全はあり得ない。そうすると、原子炉を稼働させるためにどの辺までの安全対策を施して、どの辺までリスクが下がったときに原子力発電所を動かしていいかということが重大な問題となる。その判定基準が安全目標である。現在の原子力では,安全目標を基本的には次のような形で決めたらどうかという提案がなされている。まず,原子力で事故が起きると放射能が漏れる。一方,自然の放射能の強さというのがある。放射能による被害の強さが,自然レベルの放射能を超えてはいけないという判断基準が妥当と考えるというものである(現実には,この10分の1くらいを目標にしている)。このような場合には,一方で,比較の基準が存在する訳で,ある意味では,許容可能なリスクを決めやすいと考えられる。米国はこのような決め方をしており,我が国も現在,この方向で安全目標を決めようとしている。

. ALARPの原則

安全であると言うためには,残留リスクが図1で示した広く受け入れ可能なリスク(Acceptable risk)以下になることが理想であるが,現実には,利便性や,コスト,技術等を考えて,我慢できるリスク以下,すなわち許容可能なリスク以下になれば,良いとしているのが実際である事を紹介した.それでは,リスクが許容可能になればそれで良いのだろうか.この時に考えられていなければならない原則に“ALARPの原則”がある。.ALARPとは,As Low As Reasonably Practicalの略で,リスクを“合理的に実行可能な範囲で出来るだけ低くする”ことを意味している.図1で,広く受け入れ可能なリスクと,許容可能なリスクの間が,許容可能なリスクの領域,すなわちALARPの領域である.もちろん,許容可能なリスク以上の受け入れ不可能な領域は,いかなる理由があってもリスクは正当化されない領域である.ALARPの領域内では,合理的に実行可能な限り,出来るだけリスクを下げる努力をしなければならない.すなわち,ALARPの領域内で,上の受け入れ不可能な領域の近くに留まることが許されるのは(本来は,更に低いリスクまで下げるべきであるが),リスクの低減が不可能か,又はリスク改善の費用が改善効果に対してまったくつりあっていない時のみである。また,下の広く受け入れ可能な領域のすぐ上で, ALARPの領域内で留まることが許されるのは(本来は,広く受け入れ可能なリスクまで下げるべきであるが),リスク低減の費用が,得られる改善効果に比例しない場合のみででなければならないことを意味している。

 システムの安全において,何を以って許容可能なリスクとするか,どの程度リスクを下げるべきかの指針に,ALARPの原則は大変参考になるはずである.例えば,英国における原子炉事故の安全目標の設定には,このALAPRの原則が採用されている.

5.あとがき

これまでの安全工学は,各分野独自の個別技術として発展してきた。安全を現場で技術的に実現するためには,その独自の分野の専門知識を深く追求しないかぎり実現できないからである。安全技術は,本来的に個別技術であり,極めて専門性が強い性格を有している。しかし,共通部分も多い。安全学が,安全工学を中心に確立されるためには,各分野に共通の安全の技術,安全の理念を統一して,安全に対して,分野横断的に,総合的に対応しなければならない。安全・安心の社会の構築には,一見回り道のように見えるが,安全の教育から始める必要があり,安全工学の標準の教育カリキュラムの構築は必須である。そのためには,まず,システムの安全から始めるのが最も入りやすいし,その時に共通する理念が,安全の定義と安全目標なのではないだろうか。

 

参考文献

村上陽一郎:安全学,青土社,1998

日本学術会議,安全学の構築に向けて,安全に関する緊急特別委員会2000-2

向殿政男,ディペンダブルコンピューティングと安全学,2003年電子情報通信学会総合大会講演論文集,SS-16, 20033

向殿政男,安全マップ(安全曼荼羅)の提案,信頼性,Vol.24, No.7, 日本信頼性学会,200210

向殿政男,よくわかるリスクアセスメント‐‐事故未然防止の技術‐‐,中災防新書014,中央労働災害防止協会,200310