安全性と信頼性

SEC journal 38号で安全学で著名な明治大学 名誉教授の向殿 政男先生が「信頼性と安全性」の記事を書いている。無償でPDFにて読めるので是非読んでいただきたい。

【まえがき より引用】

・・・とくに、個々の構成部品の信頼性を追求して行くだけで、私たちの安全な生活は保証できるのであろうかという疑問が湧く。主として信頼性はハードなどの施設・設備の問題であるが、安全性は私たちの身体的な傷害や精神的な障害の問題である。最終目的は安全性のはずであるが、信頼性だけを追求して、安全性が実現できると考えるのは素朴すぎるのではないだろうか。本来、信頼性と安全性は異なった概念と技術であるからである。システムが大型になって全体を把握するのが困難になると共に、いったん事故が発生すると取り返しがつかないような場合には、安全性のほうを重視して追求する観点が不可欠なはずである。とくに、ソフトウェアを含んだコンピュータがシステムの制御や監視に組み込まれる場合には、信頼性だけを追求する傾向があるので、上記の観点は必須なはずである。

【引用終わり】※この後もかなりの部分記事を引用しています。

向殿先生は「信頼性だけを追求して、安全性が実現できると考えるのは素朴すぎるのではないだろうか」と柔らかい表現で書いているが、「信頼性だけを追求して、安全性が実現できると考えるのは間違っている」と自分は言い直したい。

本文の中で、工学システムにおいて信頼性とは、「与えられた機能を果たし続けること」であり、安全性とは、「人に危害を及ぼさないこと」とされている。信頼性が高ければ高いほど、安全性は保たれている可能性が高いと考えられるので、安全性の問題は信頼性の問題に帰着できるという人もいるとあり、その後、これは正しくないことが列車の例で示されている。

安全性が確認できない場合、列車を止める。列車は走るという本来の機能は果たしていないので信頼性は低くなるが、人が事故に遭うことがないという点から安全性は確保されている。信頼性を下げることで安全性が確保される例である。

安全性と信頼性の関係で最も大事なことの一つに、安全を保つという機能が果たされている信頼度、すなわち、安全性に対する信頼性という考え方はある得る。その機能が果たせなくなったら、安全性が損なわれ、人に危害を及ぶことになる。しかし、信頼性は、機能が果たされなくなった後のことを考慮していない。いくら信頼性が高くても、いつかは壊れることになる。安全性はそこも含めて考えている。よって、信頼性と安全性はお互い強い関係はあるが、異なった概念であることは明かである。

信頼性(Reliability)はJISでは「アイテムが与えられた条件で既定の期間中、要求された機能を果たすことができる性質」、及び、その定量的な尺度である信頼度(Reliability)は、同様に「アイテムが与えられた期間与えられた条件下で機能を発揮できる確率」と定義されている。近年、前者の信頼性（Reliability）を表すのに Dependability という言葉が使われるようになってきた。Dependability には信頼性だけでなく、保全性(Maintainability)と可用性(Abailability)の概念が含まれている。

一方で、安全性の定義はJISでは「人への危害または損傷の危険性が、許容可能な水準に抑えられている状態」である。安全規格を作成するための国際的なガイドラインである ISO/IEC ガイド51では「許容可能でないリスクが存在しないこと(freedom from risk which is not tolerable)」と安全性を定義している。

安全においては、リスクゼロ（絶対安全）の存在はあり得ないとして最初から放棄している。どの程度のリスクならば安全といえるかは、時代により、社会により、与えられた条件（使用者、寿命、温度・湿度・環境など）により、異なるとしている。

リスクは危害の発生確率と危害のひどさの組合せなので、安全性を高めるためには、危害の発生確率を低くするか、危害が発生したときにそのひどさ（例えば、怪我の程度）を小さくするか、またはその両方で実現できることとなる。リスクを構成している二つの要因のうち、前者が主として確率に基づく安全性に関連し、後者が主として構造に基づく安全性に関連している。安全性は危害が発生しないように信頼性高く作る技術と、危害が発生したときにひどさを下げる技術の両方で実現される。主として、前者が信頼性技術に、後者が通常言われる安全性技術に関連する。

システムには通常、果たすべき二つの機能があり、一つがシステムが本来果たすべき本来機能であり、もう一つが安全を確保する安全機能である。安全機能には、システム本体が実現している安全機能と、安全防護策や安全装置などの付加的に追加された安全機能とがある。この二つの安全機能は、それぞれ、本質的安全及び機能安全と呼ばれる。後者の機能安全とは、簡単に言えば、本来の機能を果たしているシステムを安全に制御する装置や導入された安全装置等が果たす安全機能のことである。この場合には、その装置が正しく動いていること、すなわちその信頼度が重要となる。その機能を失ったとき、直ちに安全性の問題が生ずることになる。

【ISO 26262との向き合い方 (27) 最終回：何に向き合いますか？】で書いたように、機能安全規格であるISO 26262 はどうも自動車業界の産業構造が意識されていて、システム全体の安全性を高めるにはどうしたらよいかという考え方が欠落しがちであるように思う。

その理由は向殿先生が解説されているように、機能安全が本来機能や本質安全と切り離された概念であり、自動車業界では分離された安全機能の信頼性を高めることに主眼が置かれているからではないだろうか。

そうなってしまうのは、自動車は分業されたサプライヤの存在が前提となっており、サプライヤから供給された部品をくみ上げて完成させるという業態であるため、個々のサプライヤが納品する部品の信頼性を高めること、すなわち機能安全の追求が目的になっているのではないか。

自分が常々自動車業界の機能安全の取り組みに首をかしげたくなるのは、そういった背景があるからではないかと向殿先生の記事を読みながら思った。

システムが複雑化し、複数のサブシステムが協調して本来機能や安全機能を実現するようになると、自動車システムの安全は個々のサプライヤだけでは満たせなくなってくる。別な言い方をすればリスクを受容するためにシステム全体の安全アーキテクチャを設計し、維持することが必要で、OEMとサプライヤを切り離すことなく協力体制を作って3Eを共有する必要がある。

1. Experience（経験）
2. Education（教育）
3. Enthusiasm（熱中、熱意、情熱、こだわり）