読者です 読者をやめる 読者になる 読者になる

チーム・マネジメント

チームマネジメント、人間-機械システム、そしてヒューマンファクターズを考える

完全なシステムはあるのか? 安全神話では?【最悪事態への備え】

有人宇宙(NASA)で用いられる用語ですが、不具合が発生した時などに"Next Worst Failure (NWF) Scenario"を検討することが求められます。直訳すれば「次に予想される最悪事態の展開」となります(直訳しすぎですね)。それに対して、日本では言霊の文化もあり、不吉な言葉を発すると凶事が起こると考えられて、最悪事態の検討を避ける傾向があります。

福島第一原子力発電所の事故に関して、安全神話が隅々までに浸透して、過酷事故(Severe Accident)への対応が疎かになっていたことが明らかになっています。 東日本大震災後、大災害や大事故等の発生に対して、事業の継続や復旧を速やかに遂行するために策定される計画として事業継続計画(BCP: Business Continuity Plan)の重要性が問われていましたが、その後の整備状況はどうでしょうか。

システムの設計段階では、重要機器は冗長構成で設計され、2重3重の安全設計がなされ、2つの故障を許容できる(TFT: Two-Fault Tolerant)ように開発されます。(以前の記事 危険や不測の事故を避けるために 【ハザード制御】 - チーム・マネジメント)そのような設計がされていると説明されれば、一部壊れても最悪事態には陥らないと思い込んでします。本当に安全神話は危険です。

例えば、現代の旅客機は双発エンジンを搭載しており、片方のエンジンが停止しても、残りのエンジンで安全に着陸できると言われています。実際の事故事例を見てみると、突然の噴火に見舞われて火山灰を両方のエンジンが吸い込んで停止したり、離陸時に鳥たちがエンジンに飛び込み両方とも停止したりしています。システム構成としても、汚染された燃料が給油されれば、飛行中に両方のエンジンが破壊されます。

2つの故障を許容できる安全性の高いシステムであったとしても、長期間運用を続ければ徐々に故障箇所が増え、復旧が間に合わなければ更なる1つの故障でシステムが崩壊することになります。実際のシステムは、設計段階で想定していたほど完璧ではありません。

完全でないシステムを運用するに当たり、危機管理が必要となってきます。危機管理には、リスクを考慮して被害を一定以下に抑えるリスクマネジメント(Risk Management)、危機や緊急事態に陥った時の対応能力であるクライシスマネジメント(Crisis Management)に分けられます。主に、システム設計で求められるのはリスクマネジメント、システム運用で求められるのはクライシスマネジメントとなります。

クライシスマネジメントとして緊急事態に備えるためには、もしものこと"what-if"を可能な限り事前に検討しておくことが重要です。ただし、手当たり次第検討していては時間が無くなるため、優先順位を付けて、現状から次に予測される最悪事態は何であるのかを考えておきます。

それによって最悪事態に陥らないために、事前に処置しておくべきことを識別したり、実際に起きた時の対処方法を事前にまとめておくことに時間が取れます。緊急事態となれば時間との勝負となるので、状況把握などの初動が遅れると後手後手となります、事前準備をしておけば余裕が生まれて適切に判断することができます。

f:id:fujihisa:20160215235624j:image
Credit: NASA

参考文献