5.5 システム安全工学手法
システム安全工学において適用されるシステム安全工学手法(故障解析手法、危険シナリオ分析手法とも呼ばれる)には様々なものがある。リスクの発生過程を調べるために、どのような危険発生源がシステムに存在し、それがどのように事故や災害に進展するかを解明することを目的とした手法である。
また、ヒューマンエラーに対する分析手法について、代表的なものをまとめている。
さらには、確率的思考の基礎付けを与えるシステム信頼度解析についても、関連部分について説明する。
5.5.1 FMEAとHAZOP
対象システムに固有なハザードを同定する手法として代表的なものに、FMEAとHAZOPがある。
FMEAは、システムの構成要素から出発してシステム全体に与える影響を調べる帰納的解析方法である。システムの設計段階で考えられるあらゆる故障を過去の事故記録から取り上げ、その故障モードを解析してシステムに及ぼす影響を明らかにし、致命的な影響を与える故障を識別する。以下に示すような標準的なフォーマットの帳票を用いて当該プラントを構成する機器(弁など)の故障モード(故障の形態:制御弁の場合であれば、故障による全開・全閉、スティック、など)とそれらによる危険事象を解析し、各々の故障モードから危険事象への進展を阻止する防護機能と改善すべき対策を記入する。
5.5.2 フォールトツリー分析
フォールトツリー分析(Fault Tree Analysis ; FTA)は、評価対象とするリスク事象である頂上事象から原因となる事象とその事象に対する防御手段の検討を階層的に実施しフォールトツリーを作成する。その際には評価対象となる設備やシステムなどに関する特性を把握しておかなければならない。 フォールトツリーが完成したら、フォールトツリーの構造分析を行い定量化する。
結果を踏まえ、どのポイントに着目すべきか、またどのような要因に対策を打つべきかといった重要要因の洗い出しを行うことができる。
(1)頂上事象の設定
予想される事故や危険な状態をフォールトツリーの頂上事象として設定する。頂上事象を設定するためには、どのような事象が起こりうるかを把握した上で、最も重要と思われる(避けなければならない)事象を選定する必要があり、この設定は評価の前提として非常に重要である。
(2)評価対象の特性把握
フォールトツリーを作成するためには、対象となるシステムの内容や特徴などの設計面及び運転面などから、その特性を十分に理解しておく必要がある。頂上事象を発生させる原因側の中間事象を広く分析し、その結果を整理する。さらに展開し分析することを繰り返すことにより、十分な理解を得ることができる。
(3)フォールトツリーの作成
比較的大きなフォールトツリーの場合、部分的なフォールトツリーをつなぎ合わせて、全体のフォールトツリーを構成していく。この過程でツリーに見落としや矛盾がないかを再三にわたり検討し、多くの関係者の意見を取り込むことが重要である。この時に、原因の展開レペルの深浅があまり生じないよう注意する必要がある。また、ツリーに表現しきれない事象や作成の過程で切り捨てた事柄、関連資料などは別に整理し、残しておくことも重要である。
(4)フォールトツリーの構造分析
ツリーの全体と部分との関係を吟味することにより図的構造から、重要な中間事象を抽出することができる。また、共通の原因事象がツリーに複数箇所現れている場合、その原因事象は共通モードと呼ばれ、事象としての重要性が高く、解析上で注意を要する。さらにプール変換と呼ばれる論理則を用いて、ツリーの等価変換が可能となり、この段階でツリーの矛盾などを排除することができる。
(5)フォールトツリーの定量化
ツリー末端の原因事象の発生頻度と発生確率を与えるために、類似機器の故障率データやオペレーターのエラーデータなどのうち、妥当と思われる値を用いて、ツリーの上位事象に向かって順次定量化計算をする。ツリー全体の定量化の後、中間事象の確率値を相互比較することにより絶対値に不適当な大小があるかどうかをチェックする。ただし、基本データに適当なものがない場合もあり、このようなときには適当な範囲で値をふらせて、上位事象の値への感度を調べる必要がある。
(6)フォールトツリーの解析結果の評価
算出された頂上事象の発生頻度が、事象の重大性から見て、許容できるかどうか評価する。それが許容できないか、または発生頻度を減少させる改良をねらう場合には、どの部分の改良が効果的かを検討する。この検討は、フォールトツリーの構造を調べ、中間事象の値を比較分析することが有効である。ただし、ここでは原因究明が目的であり、頂上事象の発生頻度を求めることは目的としていない。つまり、どの基本事象が頂上事象に大きな影響を及ぼしているかを評価しなければならない。
そのためには頂上事象に対する各原因事象や中間事象の寄与度を調べ、それらの頂上事象への感度解析を実行する。これにより頂上事象の発生に大きな影響を与える基本事象、つまり弱点箇所を特定することができる。
5.5.3 イベントツリー分析
イベントツリー分析(Event Tree Analysis ; ETA)は、まず初期事象を設定し、初期事象からの事故進展を考慮しながら、進展キーの項目を設定する。そして、各進展キ-の成功/失敗を統合することによりシナリオを作成し、最終事象がどのような状況となるかを判断する。その後、定量分析や対策案の抽出といった分析を実施するが、ここではイベントツリーの作成手順を中心に定量評価の基本的な考え方を記述する。
イベントツリーは、初期事象から始まり、各進展キーを質問と考え、それに対して「成功/失敗」「YES/NO」という形で答え、ツリーを2枝に分岐させる。各進展キーに対して次々に2枝に分岐させると初期事象を頂上とするツリー状の図形ができることから、イベントツリーと呼ばれている。
進展キーにより初期事象から様々な事象に波及してゆき、その事象がさらに拡大するような進展キー、あるいはそれを念頭において、それを防止するための手段を進展キーとしてたてていく。これ以上拡大することがないところまで分岐させ、その枝の最終到達事象を記入する。
(1)初期事象の同定
まずシステムに起こり得る異常事象を列挙する。そのうち、重要なものを初期事象に選び、それぞれに対してイベントツリーを作成することになる。
(2)進展キーの設定
初期事象に対処するための、全ての安全保護系を同定する。さらに、事故が拡大すると考えられる要因事象を洗い出し、進展キーとして設定する。
進展キーの例としては、「防護機能(の成否による事故拡大)」、「制御機能(の成否による事故拡大)」、「監視機能(の成否による事故拡大)」、「事故が拡大すると考えられる要因(の有無)」などが挙げられる。
これらの進展キーに従い、初期事象への対処に成功した場合と、失敗した場合を考える。 イベントツリーの枝を成功/失敗に分岐させ、事故連鎖を構成させる。進展キーを考える際には、まず初期事象から始まって進展したある事故事象に対して、さらにどのような拡大シナリオがあるかを考える。そして、もし拡大シナリオがあるならば、次にその早期発見手段は無いかを考え、あればそれを進展キーとして取り上げる。次にその拡大防止手段はないかと考え、あればそれを進展キーとして取り上げる。
進展キーの考え方のポイントとして以下のことが挙げられる。
① 原則的に進展キーの内容は、失敗(NO)となった場合に事故が拡大する内容とする。
② 進展キーはできるだけ時系列に従って立てる。
イベントツリーは、フォールトツリーと同じく、定量的取り扱いのできる手法である。
各進展キーの成否によりシナリオが作成され、また各進展キーにおける確率により、それぞれの最終事象の発生確率を各分岐における確率の積により求めることができる。
5.5.4 ヒューマンエラー解析
科学技術システムの設計・製作・運用・保守などの全てに人が関っているため、科学技術システムの問題点は最終的には人に関ることになる。目標から逸脱した人の行動、つまり人のミスであるヒューマンエラー(人的過誤)に起因する事故の割合は高く、設備などのハードの技術進歩が進めば進むほどヒューマンエラー対策の重要性は増している。
ヒューマンエラーを考える場合、例えば単一のミスだけで事故などの原因を完全に特定できることは稀であり、通常は複数の要因が複雑に絡んでいる。つまり、多角的な視点から分析することが極めて重要である。エラーマネジメント手法の一つであるトライポット理論では、ヒューマンエラーの要因を11個のグループに分類して考えている。分野により改善の余地はあるものの、ヒューマンエラーに対する考え方として利用しやすいものである。
5.5.5 システム信頼度解析
ここでは、直列システム、並列システムなどのシステム信頼度解析の主要な考え方を紹介する。システムが与えられた条件の下で、要求された機能を果たすことができる性質を信頼性といい、そのような要求された機能を果たす確率を信頼度(reliability)という。ここでは簡単のため、システムは故障する(機能を果たさない)か故障しない(機能を果たす)かのいずれかであり、故障する確率を故障確率、故障しない確率を信頼度と呼ぶことにする。信頼性理論で考える主要なシステムとしては次のものがある。なお、アイテムとは、システムを構成するサブシステムや部品のことを指す。
(1)直列システム
システムを構成する1つ以上のアイテムが故障するとシステムも故障するとき、システムは直列システムであるという。これは、全てのアイテムが故障していないとき、システムも故障しないシステムとも言える。
(2)並列システム
システムを構成する全てのアイテムが故障するとシステムも故障するとき、システムは並列システムであるという。これは、アイテムのうちの1つでも故障しなければ、システムも故障しないシステムとも言える。
(3)直並列システム
並列システムの形のサブシステムが直列につながったもの。
(4)並直列システム
直列システムの形のサブシステムが並列につながったもの。
(5) ブリッジ構造システム
(6)k out of n システム
n個の同性能のサブシステムからなるシステムが、n個のうちk個以上が故障していないときシステムも故障でなく、n-k+1個以上が故障のときシステムも故障となるもの。
参考:日本技術士会