製品進化とマネジメント風景 第82話 複雑化する社会環境で求められる安全マネジメント
Society5.0、Web3.0、お金2.0、仕事2.0、冷戦2.0など、世代のアップグレードによって製品やサービスの進化を表現するケースが増えてきました。同じ文脈で、安全も1.0から2.0への移行が進みつつあります。
この安全2.0はスウェーデンの学者であるエリック・ホルナゲルが提示した言葉です。その主張は、「これからの時代には従来の安全の考え方では限界に達し、パラダイムシフトをしないと対応できないぞ」という内容です。
たしかに真剣に受け取るべき内容です。日本の中では、この安全2.0について、当初の意味から少し外れた解釈が広まりつつあり、少し懸念しています。都合の良い解釈というのは短期的にはともかく、中長期的には問題をタネになることが多いからです。
社会が産業化されて裕福になりましたが、かわりに日常生活、日常業務の中で人が事故やケガをする機会が増え、安全を真面目に考える必要が生じました。それが安全1.0の環境です。
その主流となる考え方は、事故や失敗の原因を論理的に突き詰めて特定し、対策を打って解消するというというものです。とても馴染みのあるものですね。FTA (Fault Tree Analysis) はその代表格であり、今日でも活躍しています。
ホルナゲルの主張を要約すると以下のようになるでしょう。
「シンプルな問題は原因を特定し、対策を打つことができる。そのような安全1.0の環境ではFTAを代表とする方法は有効だ。しかし、今日の技術的環境は複雑になりすぎたため、原因を突き止められないようになりつつある。そのような環境では新しい安全の考え方が必要だ」
上記の考え方が安全2.0の骨子です。まだ概念の域を脱しておらず、具体化は進行中の状態ですが言いたいことの本質はわかります。実際、「物事が複雑になりすぎて真の原因が解明できなくなりつつある」ということについて、多くの人が勘づいているのではないでしょうか?
複雑になりすぎたモノの例を2つほどあげましょう。1つ目は半導体の集積回路です。
現在、1つのチップあたりの素子数は億と兆の間まで来ています。当然、人の目では見えません。検査により、製造時に故障しているか否かは判定できるでしょうが、各素子の個々の状態やその寿命までは予測できないでしょう。
使用しているうちに弱い素子、負荷の高い素子から故障をし始めます。それが致命的な事故につながるか、些末な影響しか及ぼさないのかは、チップ上の発生場所やそのチップを組み込んだ製品の運用にも依存します。
今日の半導体は、単に情報を扱うだけでなく、大量生産設備の制御や移動機械の制御も扱うようになってきました。生産や移動における中心的存在となってきたため、各素子の寿命が引き起こす問題がどういう形で現れてくるか、正直、予想がつかない状況になってきました。
もう1つの例は大規模ソフトウェアです。ソフトウェアのプログラムは小規模ならばすぐに問題を特定できます。また、ライブラリを使わず、基本命令だけを組み合わせて記述すれば、問題が発生しても丹念に追及すれば原因にたどり着くことが出来ます。
しかし、ソフトウェアの規模が数万行、数十万行と巨大になると問題を見つけにくくなります。さらに、ライブラリを引用する機会が加速しています。引用したライブラリが別のライブラリを引用する場合もあります。
かつて震災が発生した時にサプライチェーンの階層化が起こりましたが、下請けも孫請け、ひ孫受けになると把握できなくなるからです。同じように、引用ライブラリも孫請け、ひ孫受けになるとその詳細を把握できなくなっても不思議はありません。
これは、自分の書いたソフトウェアを全て理解している人がいなくなりつつことを意味します。その結果、ソフトウェアで問題が発生した時、その原因を特定するために時間がかかる、あるいは原因不明となるケースが増えてくると予想されます。
原因不明の時、それを公表する勇気のある企業は多くはないと思いますが、賢明な選択です。なぜなら、こじつけで公表した場合、後に再発した時、状況が悪化するからです。そうなると隠蔽したくなる人が出てきますが、それは中長期的な損失を増やすだけであることを歴史は証明しています。
2つの例で述べた半導体とソフトウェアについては、これらを含まない製品の方が少数派になりつつあります。我々の生活や産業にも益々、大きな影響を与えるようになるでしょう。
よって、ホルナゲルの危機感は妥当なものだと言えます。ちなみに、半導体とソフトウェア以外の例としては、遺伝子を操作した食料生産や医療、医薬品などが挙げられるでしょう。
さて、ここから少し、「安全」というものを再考します。製品・サービスの安全については、本質安全と機能安全の2つが定義されています。本質安全というのは、技術はもちろんとして、使う人のことも考慮し、不安全なリスクを特定し、リスクを許容できるレベルまで低減した製品、サービスを作って提供することです。
上記の定義を読むと、「本質安全があれば、機能安全は不要ではないか?」と思う人もいると思います。確かに安全にはなるのですが問題も生じます。例えば、自動車を考えた場合、人に危害を与えないようにその制限速度を低く抑えること(たとえば10km毎時)は一種の本質安全の対策です。
しかし、そのように速度を制限すると、そもそも自動車を使う意味がありません。そこで、自動車が持つ利便性が得られるように、本質的安全の枠が外されることになります。その結果、人やモノを高速に輸送できるようになりますが、今度は人身事故が発生するようになります。そこで、機能安全という概念が出てきます。
機能安全は、付加的に安全を高めるモノです。例えば、シートベルトやエアバッグは自動車の乗員を守ります。自動ブレーキは、歩行者や他の自動車との衝突を防ぎ、事故そのものの発生を抑制します。
人は、「より少ない手間で、より早く、より安く、目的のコトを行いたい」と考える傾向があります。そのために本質安全を低下させようとするのですが、とは言え、やはり危険は避けたいので、機能安全が求めるようになるわけです。
つまり、人が便利さを求めることが危険な環境を生み、そのために機能安全を付加するという循環が生じるのです。人が便利さを求める限り、新たな不安全が発生するということでもあります。
最近、日本では、ロボット業界を中心にこの機能安全をさらに高めようとして、「IoTを活用した協調安全」という言葉が広まりつつあります。人と機械の間のコミュニケーションにより安全を高める、これが安全2.0の中心だと主張していますが、私の目には、単に機能安全を高めているだけに見えます。
機能安全を高めるのはとても重要ですが、注意が必要です。本質安全の比率を下げて機能安全の比率を高めていくと、今度は、機能安全の提供する製品やサービスの故障が致命的な事故につながる可能性が高まるためです。
IoTビジネスでは前述の半導体とソフトウェアに依存する部分が多いでしょうから、問題が発生した時の原因探査は苦労するでしょう。すでに兆候が出ています。
少し前に大規模な携帯電話の通信問題が発生し、1日から数日間、携帯電話サービスが使えなくなりました。その後、復旧はしましたが、発生原因の説明や対策は明快とは言いがたいものでした。
通話ができなくなって影響を受けた人も多かったでしょう。しかし、幸いにも、それが原因でケガをする、あるいは命を落とす事故にあったという人はいなかったと思います。しかし、今後、自動化、無人化が増えてくると、通信の中断によって、製品が人に危害を与える場合が増えてくることが危惧されます。
それを避けるにはどうすれば良いのでしょうか? ホルナゲルの提案は少し説得力に欠けるので引用しませんが、興味ある人は原著をお読みください。ここでは、今後、新たに生じる技術的環境を考え、安全を高めるために何ができるかを考えていきます。
人が生活する、あるいは仕事をする環境で発生する不安全の多くは、人とモノの間で起こってきました。例えば、人よりも固いモノ、重い物が人と衝突して危害を与える、あるいは、モノが故障して爆発する、あるいは有害な物質が漏れて人に危害を与えるなどです。有害要素としては化学物質のほかに電磁気などが挙げられるでしょう。
このパターンは今後も大きくは変わらないでしょう。しかし、今後、自動化、無人化がさらに進むと、本質安全を低下させ、機能安全を提供する製品、サービスが占める割合がどんどん高まっていくことだけは確かです。
これまでの機能安全は、どちらかというと、人と機械のコミュニケーションが重視されてきました。しかし、自動化、無人化の世界では、機能安全のために機械と機械の間のコミュニケーションが重要な役割を果たすことになります。
機械と機械の間のコミュニケーションで重要な役割を果たすのは、結局のところ、半導体とソフトウェアです。この2つから生み出される不安全性をどう低減していくかが重要な要素となるでしょう。
では具体的にどうするのか? 1つのソリューション案は、機能安全を司る製品、装置については、仮に故障が生じてもその機能を発揮しつづけることを担保するという考え方です。別の言い方をすると「止めない安全性」です。
このために役に立つのが、航空機におけるフェールセーフの考え方、あるいは品質、安全を担保するためのビルディングブロック(確実なことの積み上げによるシステム全体の保証)という考え方です。
これらは安全1.0の考え方の延長であり、重大なリスクを見つけて潰す方法です。ただし、機能安全を維持しつづけることを目的としている所が安全2.0に通じています。これからの時代の安全は、機能安全を維持しつづけることであり、航空機のフェールセーフの考え方はその基盤になるのではないでしょうか。
フェールセーフの考え方については、過去、立場が2つに分かれ、うまく統合できない状態になりました。1つは製品やサービスを止めることで安全を確保する考え方です。たとえば、生産工場とか、電車や自動車などの陸の乗り物です。
もう1つは、製品、サービスが停止すると危険な状態になるため、どこか故障しても製品を止めずに一区切りのサービスが終了するまでは運転を維持できるようにする考え方です。機能停止すると墜落する航空機や大規模停電につながる発電所などがこのタイプに相当します。
今後、自動化、無人化、その他の用途であっても、機能安全を維持する手段としてIoTを使うならば、上記と同様に「止めない安全」が重要になるでしょう。
貴社のビジネスが進む方向性はどちらでしょうか? 製品、サービスを安全に保つために、追加した機能安全の部分が維持しつづける必要があるならば、航空機産業における方法が参考になります。当社のサービスがお役に立つと考えますので、ぜひ、ご相談ください。