RAMS[22] ハザード分析

安全を担う装置を開発するときは必ずハザード分析をしなさいと言われます。しかし、真摯にハザード分析をした人は意外と少ないのではないでしょうか。RAMS規格にも書かれていますが、ハザード分析の手法でHAZOPを使いなさいとか、最近ではSTAMPが良いとかという話を聞きます。なんでもそうですが、例題って大体うまくいくようにできていて、実際に行うと「あれ?」ということが多いのはハザード分析に限りません。

HAZOPとは「 Hazard and Operability Study」の略。 化学工業,原子力,製鉄などの装置産業で,事故などの原因が,原料,材料,燃料などの気体・液体の流量の調整との関係で,電磁バルブの所で分析すると効率がよいという経験則から一般化した方式として用いるようになった。誘導語(guide word)として,無(no)逆(reverse)他(other than)大(more)小(less)類(as well as)部(part of)早(early)遅(late)前(before)後(after)という11語で分析する。」a.wikipedia.org/wiki/HAZOP より。

STAMPは「2012年、マサチューセッツ工科大学(MIT)のNancy Leveson教授が「要素間の相互作用に潜在する危険要因を考える」という新しい安全性解析手法を提唱した。従来は見落としていた欠陥を把握把握できるとして、欧米では航空宇宙産業、鉄道を中心として利用が進んだ。日本では2010年ごろからHTV(コウノトリ)で解析が行われた。この際、従来のFTAよりも多くのハザード原因を識別したものの、特に設計変更が要求される欠陥は見つからなかった。このことに対しエンジニアは"従来よりFTAの枠にとらわれずシステムの振る舞いについて考えていた"と回答した。STAMPは半ば暗黙のうちにエンジニアが行っていた解析手法を体系化、明文化する効果をもたらした。」STAMP/STPA wiki より。

ハザード分析は潜んだハザードを見つけることが重要である考えています。また、ハザード分析はVモデルのいたるところで行うので、鉄道にはHAZOPやSTAMPが奨励されるという風潮は個人的には好きではありません。それぞれ得意な場面がありそこではそれなりの成果を得るとは思いますが、風潮する人は何故か特定の場面であるということをあまり言いません。なので、本当に最後までリスク分析したことあるのかなぁと思ってしまうわけです。時と場合によってはFTAやFMEAが適している時もあるからです。

信号装置を開発するときに最初に行うのが鉄道システムのリスク分析です。その時によく間違うのが、既にある安全装置を入れて分析してしまうことです。例えば、運転士が速度を超過したというシーンの時、その結果として速度照査機能が働くので安全であると分析してしまうケースをよく見てきました。これは既にそういう信号装置があると知っている人が犯すありがちなミスです。本来であれば、速度超過した⇒脱線転覆というハザードが見つかるということになります。このリスクを低減するためには、速度が超過したらブレーキをかける機能が必要である。これで発生確率をxxまで下げると分析していくということです。なので、リスク分析は業界のことをあまり知らない人にハザードを見つけてもらう方が想定していなかったハザードが見つかるのです。※まあ、業界を全く知らないと、ハザードを見つけられないという一面もあるので難しいことですが。

この時、HAZOPを使いなさいと指示すると、Guideワードに影響されて、わけのわからないハザード分析になってしまいます。「 無(no)逆(reverse)他(other than)大(more)小(less)類(as well as)部(part of)早(early)遅(late)前(before)後(after) 」がこの場合の何に相当するかが分からないのです。

一方STAMPは構成要素の関係から起きるハザードを抽出する手法です。確かにハザードはある一つの事象だけで起きるものだけはなく、複数の要素が絡み合って起こるハザードも沢山あります。スイスチーズモデルは有名なので知っている人もいるのではないでしょうか。スイスチーズモデルは絡み合って起こるというかすり抜けていくというイメージです。なので、あとでも書きますが、安全機能を一つで終わらせるのは危険だということです。

思い付きのハザード分析はあくまでも思い付きでしか見つけることはできません。なので、STAMPのような手法は有用だとは思います。しかし、まず、単一のハザードをまずは抽出することが先だと思います。また、鉄道は既に100年もの歴史があり、沢山の事故も経験しています。したがって、複雑な要素を0から考え出すよりは、簡易なハザード分析と過去の経験で十分にまでハザードは抽出できるものと思います。今までの鉄道とは大きく異なる鉄道であれば、STAMPのような手法は必要だと思いますけど。

繰り返しになりますが、私はHAZOPやSTAMPを否定しているわけではなく適材適所に用いるべきと言っているだけです。

鉄道信号の分野では多分、殆どのハザードは既に特定されていると思います。例えば、このブログでも書いていますが、CBTC規格化したIEEE 1474は既にCBTCの機能が書かれています。つまり、既にハザード分析が終わっているからこそ、機能が書けるのです。ただ、すべてが書かれているのか? という質問があれば保証はできないという事にもなります。ただ、経験上は網羅していると思っています。RAMSの認証を行うときに、このハザード分析を要求してくる認証機関もありますが、あまりここに力をかけても不毛な場合が多いのではないでしょうか。IEC 62290もいいかえるとハザード分析の結果からの機能が沢山含まれています。極論ですが、この2規格だけで製品を作ったとしても殆どのハザードには対応できていると考えています。そのための規格なんですから。したがって、「ハザード分析をしろ」という人ほど鉄道信号RAMSに明るくないなと思ってしまいます。