今回、このような形で、「真っ赤なレモン @_red_lemon 」さんのご意見を 掲載させて頂くに至ったのは、
この度、「真っ赤なレモン @_red_lemon 」さん のご許諾を頂き、この文章を公開 させて頂くことにしました。
なお、本文に関する文責は、全て、この文章を編集した江端智一に帰するものと致します。
2012年11月11日(日) 江端智一
簡単に言うと、
「昨日クーラーが壊れたので、今修理してもらった。次はいつ故障しそう?」
「そうだねえ、大体5年後かなぁ」
と言えば、この場合のMTBFは、5年=43800時間 となります。
SILとは、このMTBFで、その装置やシステムの信頼性を示す指標です。ざっくりこんな感じです。
・SIL0:MTBFが10年未満
・SIL1:MTBFが10年以上〜100年未満
・SIL2:MTBFが100年以上〜1000年未満
・SIL3:MTBFが1000年以上〜1万年未満
・SIL4:MTBFが1万年以上〜10万年未満
まず、SIL0(シルゼロ)、SIL1(シルワン)、SIL2(シルツー)……という分け方をしているのは、昼定食を「人件費と材料費が1647円の定食」というのを、単に「梅定食」と呼んでいるのと同じことで、単にこうしたほうが、理解と管理がラクというだけのことです。
江端さんがコラムで書いている、
>「SIL2の私(原発、電車、旅客機)は、あんたの人生において、1度だけは、あんたを殺すかもしれないよ」ということです。
も、
>つまり、「人を殺すことを前提とした安全」の概念が含まれていると考えれば、SILを理解できるわけです。
も、全くそのとおりです。大局としては間違っていません。
では、私が気になったのはどこか。次の部分です。
>SIL3(MTBF:1000年〜1万年未満)やSIL4(MTBF:1万年〜10万年)がなぜ必要なのだろう? という疑問が残ります。その答えは「期待値」です。
この考え方の筋道は、的外れです。
SIL3やSIL4が必要な理由は、次の考え方からです。
そこはあきらめないと、話が先に進まない。
現実を見て物事を前に進められる我々工学の世界の住人は、 理屈にこだわって何もできない人たちよりも、ずっとマシ!
では、どれくらいの頻度の故障だったら、世間は納得してくれるだろうか?
受容されるんじゃね?
(これは、まさにALARA。納得できるかどうかを厳密に突き詰めることはできない。 人それぞれの価値観の相違があるため、泥沼になる)
「部品の集積度が高い製品」ほど、壊れる確率は高くなっちゃうよね。 どの部品が壊れるか分からないし、製品を使って100年もかかる試験が できるわけないよね。
それに、部品単体のMTBFをすごーく長くしておけば、 製品での試験をしなくてもいいじゃん!
「そ、それだ!」
自動車の部品が、約1万個。そのうち、壊れたら安全性に関わる部品は 100個くらい。この100個が壊れなければ安全性には問題ない。
他の部品が壊れても、保証修理でタダで修理すれば済む話だし。
とすると・・・この100個の部品をSIL4(MTBF:1万年〜10万年)に できれば、自動車じたいは、ざっと計算してSIL2(MTBF:100年〜1000年)だ!
どんどんグダグダになっていきましたが、これが真相です。
部品の段階でのSILをSIL4まで上げておくと、 ほとんどの製品(全部品が約1万個、そのうち安全に関わる部品が約100個の製品)で、 ほぼSIL2が達成できます。そのために、SIL4が必要。
安全に関わる部品がもっと少ない場合は、SIL3で足ります。
製品メーカーは、部品代に高いお金を払うかもしれませんが、ラクをします。
なお、SILをいう考え方を自動車業界が強く推進している背景には、 電子部品が自動車に多数使用されるようになった、ということがあります。
電子部品は、機械に比べて部品の集積度が非常に高い。
それまでは自動車の部品を「できるだけ細かいレベルに分けて」数えても、 1万個程度でしたが、電子部品が使われるようになった途端に2〜3万個に増えました。 (抵抗1個でもバラして4個と数えるような、極端な数え方ですけれど。)
SILは、「部品の集積度が高い製品」を前提とした考え方から生まれています。
これはISOに規定されていることです。
ISOの制定は欧州が主導しており、欧州の考え方の根底には「モノは壊れる。 人は間違える」があります。だから、考え方は「故障をゼロにする」のではな く、「モノは壊れる。人は間違える。それで発生するリスクを含めて、受容で きるレベルまでリスクを低減する。受容できるレベルまで低減されたリスクは、 社会が受け入れるべき」となり、現実的に安全性を確保していこうとしていま す。
つまりは、「社会に受容してもらう」=「人々に納得してもらう。納得させる」 ことも、メーカーにとっては重要になります。
どうやって人々に納得してもらうか。
モノをベースに、客観的な理解を得ようとする取り組みが、SILのような考え 方を導入する動機の一部分としてあります。
通常のメーカーはそうやって、なんとかお客さまや社会に納得してもらえるよ うに努力をしています。
しかし、この考え方には弱点もありました。
例えば、原発の場合、モノを変えずに人を納得させようとしました。
「中長時間の全電源喪失を考えなくて良い理由を作文して下さい」などといった、 モノや実態を見ずに口先だけで人を納得させようとする姑息なやり口をしました。
そして、作文能力の高い人が多かったのでしょう。 優秀な作文がたくさんできたでしょう。
人々は納得させられてしまいました。モノは何も変わっていないのに。 [事故が発生する頻度]は非常に低いものの、ゼロではありません。 それを、ゼロだと思わせ、想定外ということにしました。
「SILで想定している『故障』とは、人命に関わるような故障のみを指している」 ということは、知っておかなければなりません。
極端に言うと、
「『安全に停止できるような故障』なら、1年に何回起こってもかまわない」
ということです。
(もちろん、お客さまからクレームが来ないようにしなければなりませんので、 『安全に停止できるような故障』も減らそうとはします。)
大雑把に書くと
Aという部品をSIL4にするためには Aの機能を達成する部品を作ります。aとします。
aを試験すると、SIL2でした。
(aの試験は、実際に時間をかけたり、加速試験をしたり、様々な方法で調べます。) aを2個(a1とa2と呼ぶ)、論理的に並列に(or回路、でしたっけ?)組み合わせて、 部品Aとします。
Aはa1とa2の両方が壊れないかぎり正常に機能しますので、
SIL2 × SIL2 = (100年に1回) × (100年に1回) = (10000年に1回) = SIL4
です。 掛け算って素晴らしい。or回路って素晴らしい。
ただこれは、電子部品のような小さい部品だから多重化が可能なのです。
機械部品(歯車とか)では、こうはいきません。
ただしジレンマもあります。
SILには、故障検知という考え方が、どこまでもつきまといます。
SIL2の部品であっても、その部品が故障したことを検知でき、故障検知するこ とで「製品を安全に停止できる」手段があるのならば、「人命に関わるような 故障」には至らないとできます。
できますが、そのためには故障検知するための部品を追加しなければなりませ ん。
そして、故障検知する部品は、たいていはセンサー、電気部品です。
はて?部品の数は減らしたいのに、安全のために部品を増やすとは?では、そ のセンサーが故障したらどうなるのか?センサーの故障を検知するセンサーも 必要?じゃあ、センサーの故障を検知するセンサーが故障したらどうなる の?・・・以下、延々と続きます。
結果として、故障を検知するセンサー部品は、SIL4にせざるをえないことが多 いです。
センサーがSIL4であれば、[SIL4のセンサー]と[SIL2の部品]を論理的に直列に 組み合わせることで(and回路にすることで)、「製品を安全に停止できる」 道は切り開けます。
ただし、センサーという部品が増えるということ自体の解決にはなりません。
なお、どうしてもSIL4の部品を論理的に直列に10個組み合わせた部品を使わな ければならない場合もあり、その場合は組み合わせた部品のSILはSIL3に下がっ てしまいます。
([SIL4]+[SIL4]+・・・+[SIL4]=[SIL4]×10=[SIL3])
そういう事情を勘案した上で、「SIL4の部品を論理的に直列に10個組み合わせ た部品」にはSIL3を割り振ってあげるという措置も必要になってきます。
製品の場合は、初めに機械の仕様を定めます。
「この製品は、10年の寿命(使用)を想定する」とか
「この製品は、30年の寿命(使用)を想定する」とか。
その時点で決定です。
部品の場合は、システム内の各部品に割り当てられます。
「各部品がそれぞれSIL0〜4のどれであれば、システムとしてSIL4を達成できるか」 を検討して決定し、割り振るのが、『Vモデル』の前半です。
『Vモデル』の後半で、それが達成できているかをテスト・検証します。
原則的には、自動車を初めとする機械製品に使用される電気電子部品も、 JISB9700-1の枠組みでリスクアセスメントをしリスク低減をし、安全性の確保 を図ることになります。
ですが、そこから話を始めるのでは、電気屋さんやソフト屋さんには敷居が高 すぎます。
「要は、我々は何をしたらいいんだ?」ということで、自動車に使用される電 気電子部品およびソフトウェアの機能安全に特化して定めた規格が、ISO26262 です。
ISO26262の考え方はJIS B9700-1と同じで、「リスクを低減すること」です。
(リスク=[事故が実際に発生した時の重大度(被害の程度)]×[事故が発生する頻度])
こういう枠組みは、責任の所在を明確にするという目的があります。
ISO26262をきっちりと理解し準拠していれば、「SILが実現できた」と言える 枠組みになっています。もしも製品のSILが実現できていなかった際には、 「どの過程が悪い」とか「どの部品が悪い」とか「どの人が悪い」ということ を明確に突き止めることができる、という枠組みです。
たとえば、「製品のSILを元に、各部品にSILを割り振ることができる」ことが 適切に行えなければ、SILが実現できません。割り振った人が悪かった、とい うことになります。
「それじゃあ、結局は人の能力の良し悪しによって製品の安全性が左右される じゃん!」と思われるでしょうが、そうではありません。
認証という話があります。
認証は製品自体のみに行われるのではなく、「製品の安全性に関わる組織」に 対する認証も含まれます。組織内のマネジメントによって適切な能力のある人 材を育成し、適切な人材を配置する(組織マネジメントの)システムが構築さ れているかを監査し認証します。
ですから、「製品のSILを元に、各部品にSILを割り振ることができる」ことが 適切に行えなければ、「そういう人をその業務に携わらせたのが悪い。組織マ ネジメントのシステムの、不備」と結論付けられます。
認証の話に首を突っ込むと、「メーカーに認証を与える機関」に認証を与える 機関やら、『「メーカーに認証を与える機関」に認証を与える機関』に認証を 与える機関やらといった、何がなんやら分からない話が待っています。またし ても、長ーい説明に突入してしまいます。
製品の安全性については、部分的に理解をしている人は多くいますが、それで は全容が語れないのです。全容を理解して語るには、基本原則から実務(具体 的に何をすればいいの?)までを、浅く広く知っていなければ難しい。予備知 識として知っておかなければいけないことが多すぎます。
そして、そういうことをやりたがる人は少ない。いや、仮にやりたがる人が多 かったとしても、多くの人が予備知識を身につけるには、時間がかかりすぎて (コストがかかりすぎて)現実的ではない。「ごく少数の、知っている人だけ が知っていれば良い」という状況になっています。
「分からないことがあれば、そのごく少数の人に尋ねればいいではないか」と。
なので、「具体的に何をすれば良いか?」を尋ねてくる人に回答やアドバイス を与えることだけで忙殺されます。ちょっと詳細に背景や目的まで解説しよう としても、すぐに「もういいや」と言われます。メーカー内でもそんな状況な のに、社会に向けて一般の人に説明しようとすればどうなるか。途中で「ああ、 もういいや。なんやら分からんけども、メーカーでしっかりとやってくれれば いいんだから」と聞くのを諦められるのが必至。
だから、「忙しい」のと「解説を理解してもらうことを諦めている」のが、解 説をしない理由です。
