PowerPoint プレゼンテーション

2011年12月23日
平成23年明治・長岡共同講演会
安全の真髄
~世界に通用する安全の技術規格を作る~
明治大学理工学部機械工学科
(兼)大学院安全学専攻
杉本 旭
迷宮入り/迷宮入り直前の災害原因調査(1)
○ロボットローダーによる挟まれ死亡事故
○NC型天井走行ロボットの挟まれ死亡事故
○自動倉庫のリミットスイッチ異常による暴走事故
○ケーソン工事中の潤滑油燃焼によるガス中毒
○東京湾岸工事コンクリートミキサーによる二人死亡事故
○900トン液圧プレスの不意起動による二人死亡の事故
○焼成炉爆発事故
○トンネル工事(山形県)でのメタン放出による爆発・火災
安全の共通の原理
赤字は、国際規格の安全原則を適用すれば防げる事故
2
迷宮入り/迷宮入り直前の災害原因調査(2)
○ボイラー煙道中爆発事故
○プラスティック廃棄物リサイクルプラント火災
○製麺機の刃の不意の回転事故
○CNC旋盤のノイズ暴走による死亡事故
○ゴミのパック用プレスのドアスイッチ異常による重症事故
○原子力プラント事故(アスファルト火災、他)
○自動車のデジタル化に伴う暴走事故
○その他
3
計画の安全(責任)
マネジメント(リスクの安全)
Risk-based safety
反省
P
計画
事前の安全(責任)
事後の責任
A
(保険・救済、見直し)
実行:
Safety of use
D
C
設計者、インテグレータ
・機械・システム・工程の設計
Design:
Control-base safety
使用の安全(責任)
安全の設計原則
(安全作業、保全、非常停止)
4
安全確認の原理
「安全確認→運転OK」の原則
(安全の設計原則)
○安全は確認して、改めて「安全」と認められる
○安全が確認できないとき(不安)、危険と見なす
賭けなし
★危険を伴う行為:
賭けなし
安全確認⇒運転OK
安全が確認できない(不安)⇒運転を停止する
★安全装置(安全確認用センサ)はフェールセーフとする
(安全装置の正常性は、危険/故障⇒機械の運転停止)
5
安全のとき
(確認安全)
機械の運転
人間 ・ 機械
合目的的安全(確定論)
安全が確認できないとき
(停止安全)
停止
無条件安全(確定論)
安全は
安全は
図1 「止まる安全」の確保
止まること
確認すること
(「止まる」で保障される安全は確定論)
6
危険側故障は、許されない
危険側障害
(Failure to danger)
安全の裏の原理:
故 障
フェールセーフシステム
(Fault)
危険側故障を人間に押し付けない
多重系(redundancy)も多様系(diversity)も
危険側故障は防げない。
安全側障害
(Safe condition)
停止
安全装置は、故障しない(信頼性の追求:Best-effort)
さらに
図1 安全側と危険側の障害
故障しても、安全側(安全性の追求:State of the art)
7
8
平成20年9月10日
電気洗濯機(脱水槽)による指切断事故に注意
電気洗濯機を使用している際、洗濯・脱水槽が完全に停止
する前に洗濯物を取り出そうとして、衣類に指に絡まり、指を
切断する事故が発生していること受け、経産省では、電気洗
濯機の脱水槽を使用するに当たっては十分に注意するととも
に、脱水中に蓋をあけても15秒以内に脱水槽が停止しない場
合には、早急に修理を依頼するよう求めている。
危険側故障の問題をユーザに委ねている
9
(a) 日本式電気洗濯機
蓋を開くと洗濯機は停止して蓋内部で作業ができる。
蓋を閉じると可動部を動かすことができる。
(インターロック付ガード:(ISO12100-1)
(保障:蓋を開けると停止する=前提:故障を許さない)
(b) 欧州要求の電気洗濯機
蓋内部の可動部が停止すると内部で錠が解錠され、
蓋を開けることができる。蓋を閉じると洗濯機を起
動することができる。
(施錠式インタトック付ガード:ISO12100-1)
(保障:停止なしでは開かない、また開けなくてもよい
図11 電気系停止に基づく洗濯機と機械系停止確認に基づく洗濯機
10
リスクグラフ法による安全カテゴリーの選定
安全対策の性能評価
リスク分析の結果
安全対策のカテゴリー
危険性のカテゴリー
S1(軽傷)
I
P1(小)
開始点
F1(希)
P2(大)
(危険源)
S2
(重傷)
P1(小)
F2
II
III
VI
(頻繁) P2(大) V
傷害のひどさ
S
頻度
災害回避の困難性
F
P
図
a
b
c
B 1 2 3 4
N
M
+
N
(N) N
d
e
N
N
M
-
11
リスク評価による安全対策のカテゴリーの設定
リスクグラフ法による安全カテゴリーの選定
安全対策の性能評価
リスク分析の結果
安全対策のカテゴリー
危険性のカテゴリー
S1(軽傷)
開始点
I
P1(小)
F1(希)
P2(大)
(危険源)
S2
(重傷)
P1(小)
F2
II
III
VI
(頻繁) P2(大) V
傷害のひどさ
S
頻度
災害回避の困難性
F
P
図
a
b
c
B 1 2 3 4
N
M
+
N
(N) N
d
e
N
N
M
-
12
リスク評価による安全対策のカテゴリーの設定
運転命令
安
全
判断
許可
実行
(安全確認型センサ)
(a)安全確認型インターロック
運転命令
危
険
(危険検出型センサ)
禁止
判断
停止
否定
(b)危険検出型インターロック
安全確認センサの条件:許可には誤りが許されない
13
火災報知器は危険検出型の欠陥をもつ
グリ-ンランプの点滅
煙、熱、温度、赤外線等を
検知して「火災」を通報する。
危険検出型の欠点
火災報知機
火事のセンサは、「火事」を通報で
きない。一緒に燃えているから
安全確認型(技術)に改善
欠点を保全(人間)で保全!!!
14
地震を検出してプラントを停止するシステ
ムに、危険検出型の欠陥がないか!!!
加速度センサーで、P/S波を検
出してマイコンで地震判断。
設定加速度を任意に変更可能
危険検出型の欠点
地震のセンサは、「地震」を通報で
きない。地震で壊れているから
地震センサ各種
危険側故障を、人間に押し付けてはならない。
安全確認型(技術)に改善
15
欠点を保全(人間)で保全!!!
日本のモノづくりに問われる「権威」
○JR西日本脱線事故
○東京ジョイポリス転落事故
○森ビル自動ドア挟まれ事故
○ブリジストン溶接作業による火災事故
○耐震強度偽造問題
○ナショナル石油温風器中毒事故
○パロマ湯沸し器の一酸化中毒事故
○ふじみ野園の幼児のプール事故
○シンドラーエレベータ事故
○幼児のシュレッダー事故
○原発の臨界・トラブル隠し、データ捏造
○ジェットコースター事故
○産業用ロボットの連続死亡事故
○発火する家電製品、電気洗濯機の事故
○蒟蒻ゼリーによる幼児死亡
○中華航空那覇空港爆発炎上
○エスカレータによる子供の事故、逆走事故
○スピニング・コースター転落事故
〇福島原発のECCS喪失、外洋への放射能汚染放出
16
何かおかしい日本の安全 (1)
○氷河特急(スイス)、事故後2日目にして運転再開!!!
○こんにゃくゼリーが、なぜ禁止できない?(幼児の安全)
欠陥なき危険物こそ、説明責任(警告)の責任と最高度の
管理が必要。
○エレベータは建築基準法、海外に輸出できない(リレベル)
○小さくてもリスク、なぜ、敢えて安全・安心というのか。
○欧米の(非懲罰)航空安全報告制度、米国毎年3万件、
欧州4万件、危険→事故accident(リソース)の共有、
技術者間で共有。
○同制度、日本では40件、事故の原因調査は責任追及。
欧米では再発防止が目的
原因も責任も不明なまま、2日後に運転再開、なぜ
スイス列車運行再開 戸惑いの声(NHK7/26)
過失の運転士を助けてあげての雰囲気、なぜ
驚き!スイス「氷河特急」の素早い運転再開?事故原因は?
とても不思議なこと!!
案の定、有罪ながら、執行猶予付きの判決
スイスの観光列車「氷河特急」今月23日に悲惨な事故を起こして、そ
の原因究明もされないまま、2日後の25日、運転が再開された。
お国替われば……と言うが、まことに不思議としか言いようがない。
日本じゃ、とても考えられない事である
18
何かおかしい日本の安全 (2)
○最高の技術と品質、
海外に受け入れられず(新幹線、原子力技術)
○高品質を誇るわが国の自動車、認証するのはドイツ?
○ハヤブサは技術者にとってロマンティックな成功ではダメ
(信頼性が最優先)
○サービスロボットのグローバルな産業化、足踏み状態
〇個人当たりGDPが19位(2009年), 24位(2010年)
〇日本の原発の稼働率(65%)は、IAEA加盟国の最低
(アメリカ90%、韓国90%、フィンランド98%)
○日本は、なぜ、安全後進国といわれるのか。
○世界に通用しないルールでモノを作るな!!!
日本の1人当たりGDP、G7で最下位、OECDで19位に転落
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
http://k1fighter2.hp.infoseek.co.jp/hinkon/GDP_hitori.htm
NPOⒸ T.Kabe世界の動き
2010
20
Switzerland
Denmark
Holland
Sweden
Finland
Austria
Australia
Belgium
USA
France
Canada
Germany
England
Singapore
Italy
Japan
Spain
Korea
Taiwan
Czech
Populat. GDP/Person IMD
Mio.Per. 1Mio.US$ Ranking
(ND1004) 2010
7.5
65,344
4
5.5
62,317
16.5
52,690
12
9.2
52,004
6
5.3
51,450
19
8.3
49,542
14
21.1
49,313
5
10.6
47,582
25
311.7
46,336
3
62
45,993
24
33.3
45,087
7
82.3
44,442
16
61.2
43,837
22
4.6
39,383
1
59.6
38,636
127.7
38,271
27
44.5
36,052
48.1
19,296
23
23
17,478
8
10.5
16,881
29
アメリカ
104基
フランス
60基
日本
54基
韓国
28基
カナダ
18基
フィンランド
5基
世界
531基
90%
75%
65%
90%
75%
98%
21
事例6
原子力プラント
B3
B2
表3.1 110万KW級BWRの余剰反応度の補償
反応度の内訳
危険検出型:
危険のとき頑張る
図
Active
safety(止める)
反応材の温度効果
ボイドによる反応度
ドップラー効果
燃料の減少
原子炉の安全確認システム
燃料に伴うゼノン(Xe)の発生
(全余剰反応度)
C
反応度の大きさ(%⊿K)
5
2
1
B1
2
3
安全確認型:
危険のとき頑張らない
Passive safety(止まる)
A
(13)
図 緊急時の原子炉運転制御
石川、原子炉の暴走、日刊工業新聞社,p171
22
安全の原理(思索1)
安全の大前提:
想定される事故を想定通りに防ぐための知識体系
(組織体系)
○事故は、責任を伴う。
○事故は、経験に基づいて想定され、
Riskによって予測され(計画ベース;マネジメント)
安全が設計され(ルールベース;設計者)
事後の責任を事前に取れ!!!
安全の限界が実行される(実行ベース;使用者)。
安全→(限界Accident)→保険
○事前の責任(安全)は知恵に求め、
知恵なき安全は事後の責任を負う。
23
責任Responsibility・・・何に「応答」?
人間の社会的善
(倫理・責任感)
PLP
PL
予測回避
TOP
CSR
安全規格
法規制
時間
安全原理
Equity
(Responsibility)
事故
結果責任
正当な保険
設計者:
応答
罰金,刑罰、
Compliance
Stewardship
事後の責任を事前に取れ!!!
賠償,補償,慰謝料
ISO/IEC
God
認証
不名誉,信頼喪失
安全→(限界)→保険
応答
調和と一致
(アプリオリ)
応答
応答
Accountability
24
エネルギ
原因
事故
Fig.スイスチーズ・モデル
○事故はいくつかの要因が偶然につながって起きる
○人の要因、設備の要因、環境の要因等からなる
○偶然の重なりである限り、事故は予測できない
○人のミス、機械の故障は防げないから絶対安全はない
防護の欠陥の穴
エネルギ
原因
事故
ポジティブなスイスチーズモデル(安全)
エネルギ
適合の穴
ネガティブなスイスチーズモデル(事故)
実行
運転要求
許
可
1
2
3
安全の条件
4
(安全)
Fig.安全のスイスチーズ・モデル
OKの穴
運転要求
安全の条件
適合
エネルギ
許
可
1
2
3
実行
4
Certification
Validation
Confirmation Verification
○安全に偶然はない。(事故Accidentは偶然)
○「安全」がすべてそろわない限り、運転は許可されない
○事故は確率論(偶然)、安全は確定論(絶対安全)
○安全は、想定された事故を想定の通り防ぐ
(改めて)安全確認の原理
○安全は確認して、改めて「安全」と認められる
○安全が確認できないとき(不安)、危険と見なす
賭けなし
★危険を伴う行為:
賭けなし
安全確認⇒運転OK
安全が確認できない(不安)⇒運転を停止する
★安全装置(安全確認用センサ)はフェールセーフとする
(安全装置の正常性は、危険/故障⇒機械の運転停止)
28
事前責任Responsibility
マネジメント
許容リスクALARP
設計者
Accidentの条件
使用者
危険回避操作
Human error
図
判断
受容
Risk
Accident
Insurance
受容リスクの条件(安全の定義)
Safety: Freedom from unacceptable risk
受容可能リスクとは、許容リスクとAccident
事故accident(「偶然」の意味あり)となれば:
○”accident”には、社会的に共通の認識が存在する
○被害者が受け入れる
○消費者も被害も受け入れる
○保険が救済を引き受ける
○安全規格が標準化の対象として受け入れる
○許容リスクを受容リスクとして受け入れる
○認証機関が「認証」の判断基準として受け入れる
○WTOが自由貿易の条件として受け入れる
○安全工学が工学原則の前提として受け入れる
○法令(広義の安全配慮技義務)が受け入れる
○法令(労働安衛則)が、事業主の第一義的責任として認める
○CSRは、事後の無責任から解放される条件として追及する
○ジャーナリストは、逆に、accidentでないと受け入れない
○事故accidentなら「赦す」は、安全文化も受け入れる
原因も責任も不明なまま、2日後に運転再開、なぜ
過失の運転士を助けてあげての雰囲気、なぜ
案の定、有罪ながら、執行猶予付きの判決
スイス列車運行再開 戸惑いの声(NHK7/26)
驚き!スイス「氷河特急」の素早い運転再開?事故原因は?
とても不思議なこと!!
Accidentの運転再開条件
スイスの観光列車「氷河特急」今月23日に悲惨な事故を起こして、そ
○安全確認→運転許可の条件に戻し、
の原因究明もされないまま、2
日後の25日、運転が再開された。
お国替われば……と言うが、まことに不思議としか言いようがない。
第三者認証から改めて安全確認を受ける。
日本じゃ、とても考えられない事である
31
(積極的)安全の原理
○安全は確認して、改めて「安全」と認められる
○安全が確認できないとき(不安)、危険と見なす
「安全確認→運転OK」の条件
安全が確認できない(不安)⇒停止
を追及して、稼働率UP
★機械の運転:
安全確認⇒運転OK
○生産の原則
「止まる安全」→先手を打って止まらないようにする
32
止めないでトラブル処理
不安で止める(賭けなし)
100
稼
働
率
%
95
(a)稼働率
90
キックオフ曲線
85
92/4
5
6
7
8
9
11
12
1
2
安全確認システム始動
59
60
(
停
止
回
/
月
)
10
3
4
5
6
7
8 月
改善工事終了
50
50
38
40
39
38
25
24
30
27
(b)機械Aの停止回数
21
20
10
0
0
0
0
0
0
0
1
2
3
4
5
6
7
0
92/4
5
6
7
8
9
10
11
12
図 安全確認型システムの生産稼働率の変化
8月
33
安全確認型システム導入の経緯と効果
1.TQCの一環として、トラブルの多い生産システムを優先して安全確
認型システム導入の対象とした.
2.周辺に徹底して固定ガード、インターロックガードを設置した.イン
ターロックガードには、欧州規格による安全スイッチ、電磁ロック式
ガード(停止確認センサ連動)、カテゴリー4の光線式安全装置を
用いた.
3.トラブル処理のために作業者が進入する場合、システムの側で強
制的に停止するようにした.
4.これまで小さなトラブルの処理は停止しないでやっていたので、
改善後は、「仕事がやり難い」と不満があったが、慣れてくると、こ
れでないと安心して仕事ができないという風に変わった.
34
5.トラブル処理(運転停止)をコンピュータで監視し、トラブルに関
する情報を生産技術の側にフィードバックした.
6.改めて多くのシステムの不調が明らかになり、技術の側で一つ一
つ改善を行った.
7.稼働率が低下し(93%→88%)、その後、順調に改善され(4ヵ月
後に88%→93%)、最終的にはほとんど停止しなくなった
(99.3%)。
8.システムの運転速度を30%向上させたので、経済的効果が大
きかった.
9.改善提案が9倍に増加した(機械側は停止、人間の側は停止阻
止の役割を分担)。
35
研究背景
原発安全の考え方
一般的な安全の考え方
リスク安全
実行
予測回避
リスク安全は、小さな確率で起こる事故を受容する。
少なくとも致命的な事故だけは絶対に予測し回避する。
原子力プラントの致命的事故が明らかに含まれる
→固有安全(inherent-safety)
self-regulating characteristics
(inherency)
臨界(function)
unintention
(方向のinherency) intention
the-safe-condition
(固有安定状態)
目的制御
調整制御
状態の
inherency
実は、quasi-safe condition
状態(温度、圧力)
(禁止範囲)
Se
超臨界
致命的事故
self
regulating
chara.
Sc
(調整制御)
regulation
control
ベント
(ドップラー効果)
(ボイド効果)
方向のinherency
制御棒
(ECCS)
(目的制御)
function
Ex
0
feedback
control
(崩壊熱/冷却)
冷温安定
(the-quasi-safe-condition)
時間
Inherency
ボイド効果
暴走
-
-
+
+
臨界
中性子
自己調整特性
Self-regulating characteristic
Inherently safe control
・調整制御(regulation control)
3つのInherency
・自己制御性(self regulating characteristic)
・状態遷移の固有性 ( inherent driving force )
・安全状態での固有安定性 ( inherency )
以上で安全を考えるべきである。
誤制御を抑えるinherencyが重要である。
冷温安定状態の問題(quasi safe condition)
消極的安全から積極的安全へ
~消極的安全とモラルハザード~
日本の安全は消極的安全(いやいやの安全)
指摘された二律背反事項:
(原子力安全委員会 ウラン加工工場臨界事故調査委員会報告 Ⅷ 1999 年)
A. 安全性を向上させると効率が低下する。
B. 規制を強化すると創意工夫がなくなる。
C. 監視を強化すると士気が低下する。
「安全確認→運転OK」は積極的安全
D. マニュアル化すると自主性を失う。
E. フールプルーフは機能低下を招く。
F. 責任をキーパーソンに集中すると、集団はばらばらとなる。
G. 責任を厳密にすると事故隠しが起こる。
H. 情報公開すると過度に保守的となる。
消極的安全から「積極的安全」へ
「安全確認→運転許可」の原則
に基づく健全な安全状態を
積極的に確保する制御を行う。
積極的安全:
安全確保→高稼働率の達成
安全確認→運転許可に基づく
運転許可条件の生成
健全性維持(安全)
危険/不安
目的制御
調整制御
intention
止まる安全
inherency
アメリカ
104基
フランス
60基
日本
54基
韓国
28基
カナダ
18基
フィンランド
5基
世界
531基
90%
75%
65%
90%
75%
98%
45
第三者認証製品(ドイツ)、
どうなってるの?
46
責任所感・釈明
(シンドラーエレベーター社ホームページより)
①Good engineering practice
④Certification
③State-of-art
②PLP(Duty-circle closed)
⑤Social benefit
47
Society on Risk-based Safety
事後責任PL
PL Compensation
PLP (PL Prevention)
機能的最善
① Good engineering practice
PLP:
設計者の事前責任
② State-of-art
安全の技術的最善
③ Certification
グローバル認証
④ Social benefit
ベネフィット
⑤ Root-cause
再発防止
図1 事故の責任と釈明(シンドラーエレベータ社の例)
48
7月7日の夜7時のニュース
「シンドラー製のエレベータ、3000台を調査したところ、27
台に修理が必要な故障が見つかりました。中には、扉が
閉じているにもかかわらず、開いていると認識して動か
なくなるような安全上問題となる故障も見つかりました。」
シンドラー社製エレベータの場合、扉が開いてい
るにもかかわらず、閉じている(安全)と認識し
て動いてしまったために事故が発生したはずであ
る。
~NHKのこのニュースには、「安全側の故障」と
「危険側の故障」の区別ができないという幼稚さ
に、報道関係者の無責任を感じざるを得ない~
失敗学から安全学へ
失敗学は、
〇失敗学は現実には結果責任に関わる衡平性が解けない。
安全学は、
リスクアセスメントは、失敗学の普遍性を要求
〇マネジメントは、事故を想定する。
〇設計者は、想定された「事故」の安全を想定する。
つまり、物理学,科学、論理的に捉え、予測を可能とする。
〇安全を確認できること。
つまり、安全の予測状態をあえて作り出すことができる。
〇これには明らかに限界がある。
つまり、この限界を認め合うことができること。
つまり、事前の認証、妥当性確認が必要
50
J.Reason(組織事故)
安全文化を有する組織の定義
○エラーやニアミスを包み隠さず報告するような
報告する文化
○安全規則違反や不正安全行動を放置すること
なく罰すべき所は罰するような正義の文化
○必要に応じて命令形態などを変えることができ
るような柔軟な文化
○安全に関わる情報を学び取る学習する文化
51
Darmstadt工科大学 Alfred Neudorfer博士は、長岡技大システム安全系客員
教授でもあるが、彼は、次のように述べている。
安全の主役はあくまでも現場の労働者である。機械設計者は、彼らの安全な使
用(Safety of use)を助けるために事前に準備する立場である。彼らに安全な使用
を求めるのは、設計によって全ての危険が取り除かれることはなく、安全な使用
の条件を、設計者は、彼らに提示しなければならないからである。
機械安全では、設計で確保できなかった危険を、安全管理に委ねる。つまり、委
ねられた危険の管理能力が前提である。日本は安全管理に特に優れた能力を
持っている。KYTは、設計で確保できなかった危険に対処する優れた安全管理
手法である。我が国(ドイツ)では、日本と比べて安全管理が弱体であり、安全が
設計に強く依存している。使用安全が十分当てにできないために、全体の安全レ
ベルが抑えられているのである。
安全は、設計で残された危険を安全な使用でどのように対処できるかにかかって
いる。有能な安全管理部門を有する日本は、安全の先進国になるだろう。10年後
には、きっと、我が国(ドイツ)から多くの人が、日本に安全を学びに来ることになる
でしょう。
被害者(労働者)
事故→責任→sanction
(合意/受容)→(事故)
加害者(設計者)
事故accident←責任responsibility
経営者(CSR:安全マネージメント)
保険(偶然の事故)
自由貿易(グローバル安全:流通認証)
安全工学
安全行政(刑法、民法、行政法)
国民(安全文化)
53
ご清聴ありがとうございました。
************************************************
杉本 旭 (すぎもと のぼる)
明治大学大学院理工学研究科新領域創造専攻
〒214-8571 川崎市多摩区東三田1-1-1
電話:044-934-7194
Mail-to:[email protected]
自宅 〒184-0012 東京都小金井市中町2-20-28-309
Mail-to:[email protected]
************************************************
54