OHPforSPASeminar.pptVIP

セーフウェアシステム安全とコンピュータ 松原 友夫 松原コンサルティング 今や社会はシステムに依存している 今や社会はコンピュータで制御されたシステムに依存している システムの規模はコンピュータを利用するようになって急速に増大した 最初コンピュータの利用には事故を減らす狙いもあった コンピュータは故障しない、という神話を信じて しかし、かえって重大な事故は増えている システムの重大事故は増えている たしかに従来型のシステムでは対策が進んだ 安全技術が確立し（例えば力学理論） 安全技術を法律で規制するようになり（例えば、建築基準） 社会がそれを安全技術を組み込むコストを容認するようになった かくして、ボイラー、橋梁、建造物などの事故は著しく減った 技術が進んだのに事故は重大化している 国境を越える規模 自動化された機器の事故 被害の規模が増大した 事故のコスト、調査のコストが増大した 産業化社会における新たなリスク要因(1) 新たなハザードの登場 過去に低減され除去されたハザードよりずっと影響範囲が大きく発見や除去が困難なものがある まだ適切な対応策が確立していないものもある 過去に学んだ教訓が生かせない 例えばコンピュータの利用 システムの複雑さの増大 コンポーネント事故からシステム事故へ 曝露の増大 より多くの人がハザードに曝されるようになった 例えば、網（電力、通信、鉄道）の制御によって エネルギー量の増大 高エネルギー源の発見と利用によって 例えば原子力 産業化社会における新たなリスク要因(2) 増加する手動操作の自動化 オペレータエラーのリスクを減らそうとした結果、保守、設計、監視など、より高度な意思決定にリスクがシフト オペレータに責任が押し付けられてきた 集中化と規模の増大 自動化は規模の増大と集中化を促進した 原子力発電所の規模は増大の一途をたどる タンカーの巨大化は制御可能な規模を超えている 例えば、船員が、海と戦う意識を養う環境が失われた フィーリングで制御するのは困難になった 技術的変化の加速 経験から学ぶ機会が減る 安全への取り組みの歴史 産業革命時代は事故のリスクはすべて労働者が負った 労働者の社会的運動が世論を喚起した 次第に法律により保護されるようになった 1914年に最初の安全規格が米国で発行された 1929年にハインリッヒ論文が書かれた ハインリッヒの仮説は労働者の不注意に注目を集めた ハインリッヒは最初にドミノ理論を提唱 WWIIは訓練中の事故は戦闘時の２倍以上に及んだ WWII後、製品と開発プロセスに安全を組み込む安全プログラムが始まった 自動化が新たなハザードをもたらすようになった ソフトウェアが安全に関与するようになった 事故から学ぶモデル 事故や事故に至らないニアミス（インシデント）は多くの教訓を含んでいる 従来の機械?電気的システムでは、事故から学び、それらを抑制する技術や手段を蓄積してきた それの適用が決して十分ではないうちに、情報技術のシステム制御への利用という新たな時代が到来した 大規模?複雑になったシステムでは、たった１度の事故が許容範囲を超えるようになった いまや過去から学ぶだけでは十分でない 過去の事故から学ぶことが許されるか？ 特定の種類の事故が過去に起きなかったからといって、その種の事故が将来も起きないという保証はない 事故から学ばねばならないのなら、1 つの事故が、受け入れ難いほどの悲劇的結果を招きかねないシステムに対して、われわれには何ができるのか 起きてしまってからでは遅い リスク低減のためのシステム安全アプローチ 事後の事故調査に頼るのではなく、事前のハザード分析で事故とその原因を予測することと、システムの寿命全体を通してできる限りハザードを除去又は制御することである システムにおけるコンピュータの役割 クリティカルシステムにおけるコンピュータの利用段階 オペレータに情報やアドバイスを提供する データを解釈し制御上の決定を行う人にそれを表示する 直接コマンドを出すが人間が動作を監視し入力を提供する 制御ループから完全に人間を排除する 間接的制御もリスクを伴う ソフトウェアが制御するシステムの事故 (1) 事故調査はより困難になりコストが増加する 故障している電子部品が残骸の中から見つかることはない 微妙なエラーは簡単には見つからない 1つのソフトウェアエラーでF-14を失ったとき、それを調査するのに数百万ドルかかった 私も銀行システムで類似の経験をした 新たなシステムでは過去に蓄積した技法が使えなくなった 実績のあるエンジニアリング技法はソフトウェアを考慮していないし、それをソフトウェアに適合させるのは容易でない ソフトウェア技術者と在来の技術者間のコミュニ