技術コラム「人を殺すことを前提にした安全」に対する批判コメント

本ページは、本コラムの著者である江端智一が、当該コラムについて頂いた批判コメントを、可能な限りAS ISで転載させて頂くものです。

特段の記載がない限り、江端智一は本ページの批判コメントを、理解し、認定しているものとします。

本ページの目的は以下の通りです。

理由は以下の通りです。 私(江端智一)は、可能な限り、最大の努力と善意で、正しくウソのない著作の作成を目指しておりますが、そのような瑕疵なきを保証し得ません。

しかし、技術分野の誤った知識の流布は、皆さんの不測の不利益となりますが、そのような不利益を恐れるあまり、「何もしない」というのは、私が楽しくありません。

そこで、これらの、利益・不利益の調和点として、「原文そのまま」「批判コメント全開示」という方法を案出致しました。

当面、この方法による運用を続けさせて頂きたいと思っております。

何卒、ご理解、ご協力を頂けますよう、よろしくお願い致します。

2012年10月23日(火) 江端智一

自己紹介

ツイッターで「真っ赤なレモン @_red_lemon 」の名前の者です。

私は機械メーカーに勤務しており、約10年間、機械の設計をしていました。

以下、(1)「安全サイド」の用語 (2)SILの解釈(期待値)について、コメント致します。

私の経験上の理解のみを元にして記しますので、思いこみや致命的な間違いも 含まれるかもしれませんが、それを承知の上で書きます。

「安全サイド」というの用語の使い方について

「安全サイドに倒す」という言い方は、主として設計する側の人間が使います。

そして、「安全サイドに倒す」が意味するのは、 「より安全度が高い設計をする。より安全な設計に近づける」という行為を指します。

たとえば、「この部品は10年くらいは壊れないと思うんだけど、 もし壊れたら事故の原因になってしまう。同じ部品を2個つけて2重にしておこう。 そうすれば、2個同時に壊れることは非常に少ないので、安全だ」 という設計をした場合に、「安全サイドに倒した」と言います。

「たぶん、1個のままでも大丈夫だろう」という設計をした場合に、 「危険サイドに倒した」と言います。

ですから、設計をする人間が江端さんのコラムを読んだ場合、 江端さんとは逆の意味で内容を理解しかけることになり、 首をかしげて考えこんでしまいます。

設計者ではない第三者が読んだ場合にどう理解されるかは、少し分かりかねます。 もしかしたら、「倒す」という表現自体が分かりにくいかもしれません。

SILの解釈(期待値)について

SILは製品の期待値がSIL2になるようにするための道具だ、と言ってよいです。

江端さんがコラムで書いている、

>「SIL2の私(原発、電車、旅客機)は、あんたの人生において、1度だけは、あんたを殺すかもしれないよ」ということです。

も、

>つまり、「人を殺すことを前提とした安全」の概念が含まれていると考えれば、SILを理解できるわけです。

も、全くそのとおりです。大局としては間違っていません。

では、私が気になったのはどこか。次の部分です。

>SIL3(MTBF:1000年〜1万年未満)やSIL4(MTBF:1万年〜10万年)がなぜ必要なのだろう? という疑問が残ります。その答えは「期待値」です。

この考え方の筋道は、的外れです。

SIL3やSIL4が必要な理由は、次の考え方からです。

「壊れない」製品を作ることは、できない。(←ここはあきらめている)

そこはあきらめないと、話が先に進まない。

現実を見て物事を前に進められる我々工学の世界の住人は、 理屈にこだわって何もできない人たちよりも、ずっとマシ!

では、どれくらいの頻度の故障だったら、世間は納得してくれるだろうか?

 ↓
まあ、製品のSILがSIL2だったら、世間は納得してくれるんじゃね?

受容されるんじゃね?

(これは、まさにALARA。納得できるかどうかを厳密に突き詰めることはできない。  人それぞれの価値観の相違があるため、泥沼になる)

 ↓
それはともかく、最近は部品の集積度が上がった。

「部品の集積度が高い製品」ほど、壊れる確率は高くなっちゃうよね。 どの部品が壊れるか分からないし、製品を使って100年もかかる試験が できるわけないよね。

 ↓
部品単体なら、加速試験ができるんじゃね?

それに、部品単体のMTBFをすごーく長くしておけば、 製品での試験をしなくてもいいじゃん!

「そ、それだ!」

 ↓
部品単体のMTBFをどれくらいにすれば、製品の試験をしなくてすむんだろう?

自動車の部品が、約1万個。そのうち、壊れたら安全性に関わる部品は 100個くらい。この100個が壊れなければ安全性には問題ない。

他の部品が壊れても、保証修理でタダで修理すれば済む話だし。

とすると・・・この100個の部品をSIL4(MTBF:1万年〜10万年)に できれば、自動車じたいは、ざっと計算してSIL2(MTBF:100年〜1000年)だ!

 ↓
というワケで、部品メーカーのみなさん。SIL4の部品を我が社に納入してください。
 ↓
部品メーカー「ええ〜〜!」

どんどんグダグダになっていきましたが、これが真相です。

部品の段階でのSILをSIL4まで上げておくと、 ほとんどの製品(全部品が約1万個、そのうち安全に関わる部品が約100個の製品)で、 ほぼSIL2が達成できます。そのために、SIL4が必要。

安全に関わる部品がもっと少ない場合は、SIL3で足ります。

製品メーカーは、部品代に高いお金を払うかもしれませんが、ラクをします。

なお、SILをいう考え方を自動車業界が強く推進している背景には、 電子部品が自動車に多数使用されるようになった、ということがあります。

電子部品は、機械に比べて部品の集積度が非常に高い。

それまでは自動車の部品を「できるだけ細かいレベルに分けて」数えても、 1万個程度でしたが、電子部品が使われるようになった途端に2〜3万個に増えました。 (抵抗1個でもバラして4個と数えるような、極端な数え方ですけれど。)

SILは、「部品の集積度が高い製品」を前提とした考え方から生まれています。

と、SILについてのみを理解しやすいように、面白おかしく書きましたが、 自動車業界やメーカー全般を批判したいのではありません。むしろ逆です。

いままでもこれからも、メーカーは製品の安全性向上のために努力もお金も払っています。多くの安全性向上への取り組みをしてきているのです。 その上で、もう1段階上の取り組みとして導入したのが、SILという指標です。

SILという指標を使ってメーカーが自主的に安全性の検証をすれば、 従来よりも製品の安全性が高まることは間違いありません。

SILという指標は、メーカー内の品質管理にも使えるし、 お客さまや社会へ「製品がSIL2であることで納得してください」と 理解を求めることにも使えます。

また、いままで、社会とメーカーの間では安全性の認識に相違があり、 双方の論点がかみあいにくい面がありましたが、社会がSILを理解できれば、 SILを軸としてメーカーと安全性の議論をすることがやりやすくなってきます。

江端さんのホームページへ戻る