事故の原因は企画·設計の段階で生じる。「Safety through design（安全は設計から）」

 

事故の原因は企画·設計の段階で生じる

この事故の原因は企画·設計の段階で検討することに不備、不足、不十分から生じる、教訓はモノゴトを進める際に、プロジェクトを進める際のプロジェクト宣言に過去のFeed back +未来へFeed forward、を宣言することといえます。

 

なぜこの言葉“事故の原因は企画·設計の段階で生じる”が宣言されるべきなのか、事件記録を読んで考えてみましょう。以下の出典は、「INVITING DISASTER: Lesson from the Edge of Technology by James R. Chiles」草思社文庫 2017、 一部の抜粋です。

………..われわれは、過去に起こったあわや危機一髪という事例を見てきた。そうした事件では、ほんの数分あるいは数秒という時問のなかで、惨事の連鎖を断ち切ろうとみんなが行動したのだった。文筆家は、ぎりぎりのところで難を逃れた話を好むが、他人のミスが原因で起こった災難でどうにか命びろいするには、オペレーターや操縦士の能力仁頼るしかないというのは、とんでもない見当ちがいだろう。

故障が最悪の事態に達すると、混乱をきわめ、なにがなんだかわからなくなり、わずか数分のうちに状況を見きわめることは不可能となるし、まして制御することなどできなくなる。沈没までに残された不幸な数時間、潜水艦セティスの機関員たちはろくな道具もないまま、一時しのぎの配管やポンプを使って艦体を軽くし、艦尾を海面に浮上させようと果敢にがんばったが、けっきょくはかれらの努力はむくわれず、ひとりも助からなかった。もっとも重要な時期は、火災や爆発のずっと以前の、企画、設計の段階である。ブーツ＆クーツ社など「地獄の火消し」と称される会社が、油井の火災や爆発の消火活動から、そもそもこうした災害を起こさないための専門知識を石油会社に売りこむ事業に焦点を切りかえたのは、このためである。

化学工場の建設や改修を計画しているなら、安全コンサルタント、トレパー·クレッツのいう「本質的に安全な設計」が重要なことを知るペきだ。ボパールでも、より安全な設計がされていれば、イソシアン酸メチル（MIC）貯蔵タンクの問題は起きなかっただろう。そもそも工場の敷地内にそうした貯蔵タンクを設置しなかったはずだからだ。ひとつの対処法としでは，MICを中間生成物として貯蔵したあと使用する方法をやめ、直接流し込む工程を採用することが考えられる。あるいは，もっと安全意識の高い設計者であれば、MICを必要としない製法を採用しただろう。設備を標準化するかどうかという、事前の意思決定についても考えてみよう。一定した型に固執するのは狭量な人のしるしだ、という人もいるが、高度なテクノロジーにおいては、それは大きな力となる。同じ裴置を現場で多数使用すれば，それだけわれわれの経験も深まる。しかも、制御法や機器を標準化することによって、オペレーターたちが仕事場を替えることも容易になる。機材が標準化されればパイロットがべつの機種に乗り替えても安全に飛ぶことができる。テキサス州ダラスのサウスウェスト航空が輝かしい安全記録（時刻厳守の短距離運航において３０年問、墜落事故による死者なし）を達成した理由のひとつは、ボーイング737型機のすべてを標準化したことだった，標準化された機種に乗っているパイロットは、ちょつとした異状にもすぐ気がつくようになるし、コックビット内で「コントロール混乱」によるミスをおかす可能性も少なくなる。整備士にとっても、誤った部品や用其を使用する頻度が減る。

コックピットに起因ずる危機を回避するためのそうした事前計画が，今後はいっそう重要になるだろう。なぜなら，ますます複雑化が進むからだ。そうなると、現場にいる人間がわずか数分のうちに修理するのはいつそう困難になる。システムはその持ち主にとっての効率を上げるためぎりぎりのところで運用されているのに、そうした数分間の時間的余裕がもてるものだろうか。どんなに抜け目のない用心深い人でも判断力をはたらかせるには時間が必要だ、ということをわれわれは知っている。そうした人も、全体と調和しない情報をさがしだすには時間を必要とするし、深い洞察力のありそうな人びとに意見を聞いてみる必要もある。理想的なことをいえば、システムというものは、非常事態が発生しても少なくとも５～１０分間はもちこたえて、現場の人びとが冷静な判断をくだす時間をもてるようにすべきだろう。その結果導きだされた勇気ある結論として、自分たちが手をひき、あとはコンピューターに任せよう、と判断することもときにはあるだろう。………….

つねにもう一つの案を用意しておく(冗長案の用意）

カーリーン·ロバーツとカール·ワイクは、きわめて信頼性が高い組織のもつ体質を調査した結果、優秀なオペレーターは脱出口を計画に加えている、と結論づけた。たとえば、海軍のパイロットが航空母艦の甲板にタッチダウンする直前、パワーレバーを前方いっぱいまで押すのがその一例である。もし機体尾部の著艦フックがどのアレスティングワイヤー（制動ワイヤー）にもひっかからなかったとき、もう一度甲板から飛び立てるだけの推力を維持するためだ。

ネパダ州ブラックロック砂漠を舞台に活躍する経験豊かなアウトドアのべテランの男から、かつて聞いた話だが、彼はできるだけ四輪駆動にせずに走ることにしているという。常時四輪駆動にしていると、いつか流砂にはまりこんだとき、脱出できなくなる。というのも、そのときにはすでに安全を確保するゆとり（マージン）を使いはたしてしまっているからだ。「四駆はトラブルから脱出するのに使う。トラブルにはまりこむために使いはしない」と彼はいう。

危険な作業についている人びとが何度も語ってくれたのは、事前に脱出法を考えておかないかぎり、予測のつかない状況には足を踏みいれない、ということだった。たとえば消防士は、空気呼吸器を用意していないときは、さらには、なにかあったときに救出してくれる仲間がいっしょでなければ、密室での救助活動は開始しない。

わたしが訪問した練習船には、あちこちに避難ハッチがあって、すベて赤く塗ってあった。一定の広さ以上の部屋には二力所の出入口の設置が義務づけられていた。これはかつて、航空管制官のトニー·ブレッシアが語ってくれた任務の原則と同じだ。「いつも代案を考えておく。フットボールの優秀なランニングバックと同じように、こっちにすきまがなかったら、べつのすきまをさがすのだ」。避難ルートというのは、最悪の事態に備えるためのささやかな安全マージンなのだ。

高い信賴性をもつ組織が到達したのは、こうした事前計画の実践だろうか。あるいはまた、こうした対策は、チャールズ·ペローの憂慮する、複雑にからみあったシステムにも変化をもたらすことができるだろうか。わたし自身の立場をいえば、なにかを完璧に安全なものにできるかどうか議論するつもりはないし、「十分に安全」とはどういう意味なのかもわからない。米国国民は、ひとたび国家的非常事態に見舞われると、通常ならがまんしないような危険もすすんで耐えしのぶ。くりかえしトラブルを起こすシステムでもわれわれは受け入れるべきだ、と考える人間にわたしはくみする。もしシステムがすぐれた回復力をもっていて、しかも現場の労働者がトップから支援を受けているような場合には、トラブルは大惨事を招くずっと以前に消滅するものだ、ほとんどのケースでは、ところが、たとえば偶発的な核戦争といったような取り返しのつかない結果が待っているような事例では、われわれが集団として一触即発の引き金に指をかけたまま、いちどもその指を動かさずにじっとしていられるなどとは、スコット·セーガンと同じくわたしにも、とうてい信じられない。

きわめてうまく運用されているシステムでさえ、どこかが停止していたり、許容範囲を超えたために動かなくなったりするのはよくあることだ。たとえば、高圧配管、電気配線、ケープルトレーの交錯する現場はその最たるものだろう。地球上のいかなる力をもってしても、あらゆるものをつねにバランスよくたもっておくことはできない。完璧を主張するとぃうことは、すべてのものを止めてしまうことにほかならない。

どっちみち、そのシステムを運用している人びとは、完璧などということはいちいち気にしてなどいないだろう。船乗りたちがいうように、そうした要請は、よくある「陸」からの命令のように思えるにちがいない。つまり、活動の現場でマシンがいかに作動しているかも知らず、そのマシンをマスターする意志も勇気ももたない人間からの命令だ。

「Safety through design（安全は設計から）」

事故の原因は企画·設計の段階で生じる、これを言わせないためには、National Safety Council のルールであるSafety through design（安全は設計から）を適切に使います。以下はその意義の要点を示しています。

事業場の操業に起因するリスクの除去、低減を図るために運用段階においての点検·保全を十分に実施しても、事業場を構成する個々のプロセス機器、装置類、配管などの信頼性およびそれらの品質が向上するわけではありません。
設計段階でプロセス機器の設計が不適切であれば、たとえ設計仕様どおり機器が調達され施工された場合でも、運用段階において保全活動を実施していても、潜在的に存在する不適切な問題点が顕在する可能性があります。

たとえ運用・操業・運転・保全段階で問題と可能性を是正していても、設計段階で適正に設計をしていない限り問題点を解消するには解消するためのコスト費用が掛かり、さらに操業中、運転中ではすぐにシャットダウンできずだましだまし運転し、稼働を下げ、シャットダウンメンテナンスまで待たなければなりません。操業運転中で顧客対応を考えると、”Just Do correction”は困難です。

設計段階において、事業場の全ライフサイクルのハザードを予見し、予測可能な限り、ひょっとして、ひょっとすると、未来に起きることを考えることのできる、”What if”を活用し、最悪ケースのシナリオを想定、分析、評価し、リスクの除去、軽減を実施、運転、保全段階における問題発生の可能性を低くし、安全確保をシンプルにすることが必要です。

米国のNSC（全米安全協議会（National Safety Council））は、「Safety through design（安全は設計から）」という言葉で表しています。