メンテナンスのせいにばかりしていますけど…
最近,知らないところでエレベータに乗ると,目的階のボタンを押してからついメーカー名を確認する習性が身に付いてしまいました。今月3日に東京都港区芝の区住宅公社で発生した,シンドラーエレベーター製のエレベータ圧死事故の影響です。昨日12日には,スイスの本社から同社のエレベーター・エスカレーター事業最高責任者が来日し,記者会見を開催。席上,情報開示が遅れたことを謝罪しながらも「構造や設計で起きた死亡事故はなく,トラブルの多くはメンテナンスによるもの」と,改めてメンテナンスを担当した管理会社の過失の可能性を強調しました。しかし私には,同社のエレベータの安全設計思想には重大な欠陥があるように思えて仕方ありません。
機械は壊れるものです。そうである以上,何かトラブルが起きたときには,機械が安全側に故障するように設計しておかなければなりません。いわゆるフェールセーフの考え方です。エレベータが故障したら確実に停止させる。もちろん,閉じ込められた人は密室の空間の中で極度の不安や恐怖に陥ることでしょう。しかしきちんと停まりさえすれば,少なくとも人に危害が及ぶような事故に発展することはありません。事実,通常のエレベータは「故障したら停まる設計になっている」(あるエレベータメーカーの技術者)のに,シンドラーのエレベータは停まるどころか急上昇したのです。
先日,フェールセーフの研究で世界をリードし,安全技術の権威として知られる明治大学理工学部長の向殿政男先生が,日経ものづくり主催のセミナー「品質つくりこみ最前線」で「製品設計で安全を確保するために」という題目で講演されました。その中で,機械の安全は「人への危害または損傷の危険性が許容可能な水準に抑えられている状態」「受け入れ不可能なリスクが存在しない状態」と定義します。つまり,機械をこうした状態に作り込むことが安全設計の基本的な考え方になるのです。
向殿先生は,2004年3月に起きた東京・六本木の自動回転ドア死亡事故で経済産業省と国土交通省が立ち上げた「自動回転ドアの事故防止対策に関する検討会」の副委員長を務められた関係から,自動回転ドアを例に安全の作り方「3ステップメソッド」を紹介されました。第一のステップは,本質的安全設計によるリスクの削減。挟まれない構造,あるいは挟まれても怪我をしない構造にする。第二のステップは,安全防護対策によるリスクの削減。挟まれる前に止める。そして最後のステップが,使用上の情報によるリスクの削減。第一,第二のステップで取り除き切れなかったリスクについて注意する情報を提供し,警告ラベルを貼るというものです。
基本的には,第一のステップである本質的安全設計で安全を作り込まなければなりません。その際に従うのが「安全技術の論理」。「フェイルセーフ」「安全確認型と危険検出型」「ハイボールの原理」などがそれです。フェイルセーフは,向殿先生の言葉を借りれば「危ないときは動かすな」「効率を下げても安全を重視しろ」という考え方になります。基本は,安全であるよう壊れたときには必ず停まる。ただし,しょっちゅう止まっていたら困るので多重系で信頼性を上げます(フォールトトレラントという考え方)。シンドラーのエレベータでは,明らかにこの「安全技術の論理」が欠けています。
残り二つの論理もついでに説明しますと,安全確認型は安全であることを確認し,その安全情報を受けているときは作業を続け,その情報がないときには作業を止めます。一方の危険検出型は危険であることを検出し,その危険情報により作業を止めたり回避したりします。実は,この後者の考え方には重大な欠点があります。危険が発生した際に,危険を検出するセンサなどに不具合が起きるケースです。機械には危険情報が伝わりませんから作業を続けてしまう。危険であるのにもかかわらず,です。これに対し安全確認型では安全を確認するセンサなどに不具合が起きたら,機械は安全情報を受け取らないので「安全でない」と判断し危険に曝されることはないのです。
「ハイボールの原理(ポテンシャル極大の概念)」は,昔の英国や米国などの鉄道システムに由来します。そこでは汽車の運転手に対し,人がボールを吊り上げることにより「進入可能」というサインを送っていたそうです。つまり,ボールが吊り上がった「ハイボール」の状態が「安全」。向殿先生によれば,安全であることを伝える情報はハイボールのようにエネルギの高い状態が望ましい。安全を確認する人が倒れたりした場合,ボールがエネルギの高い状態(ハイボール)から低い状態に移ることにより,運転手は危険を知ることができます。逆に,エネルギの低い状態を「安全」としていたら,人が倒れたりした場合に誤って安全と判断し,本来進入不可能な局面で汽車が進入してしまうという恐れがあるのです。つまり安全確認型もハイボールの原理も,故障があったときには安全側に壊れるという設計思想です。
シンドラーは「エレベータの構造や設計に問題がなかった」の一点張りで,現時点では同社の設計思想を知る由はありません。しかし,上述したフェールセーフが確保されていなかったこと,事故時にドアが開いたまま上昇したことなど,安全の論理に従わない事実が幾つかあります。昨日12日,警視庁はスイスのシンドラー本社から取り寄せたブレーキ装置を事故機に取り付け,実際に昇降させる再現実験を実施しました。さらに,今回と同様,シンドラーのエレベータが突然上昇したことにより発生したニューヨークや香港の死亡事故との関連も調査し始めました。真実はやがて明らかになります。
■第三者機関で製品安全を行なっている者です。
わたくしも向井殿先生の安全の理論に賛同をいたします。
向井殿先生のおっしゃりたいことを代弁できているかは、分かりませんが。
メンテナンスを怠りました(ちょっと失敗しました) → 人が死にました
これがあってはいけないということです。人間は必ずミスを犯します。メンテナンスを人がやる以上ミスを必ずおかします。
メンテナンスを怠りました(ちょっと失敗しました)→機械が止まっちゃいました。稼働率落ちました(人は死にませんでした)
こちらへ持ってこないいけません。
絶対安全はありえませんが,安全へのアプローチは頭ごなしに否定せず考えられることを行なう事が大切だと思います。また,事故の原因は人類共有の知識として公開し業界をとらわれず適応すべきだとおもいます。
■記事の内容は非常に分かり易く,参考になりました。
シンドラーは他の同様な故障時に,自分たちでメンテナンスを行い,「異常なし」とした上でも,同じエレベータで同じ異常が再発していた,との報道がありました。つまり,シンドラーの設計上,「そのように動くのが当たり前」という仕様になっているのではないでしょうか? そうとしか考えられません。
我々の業界でもコスト削減が叫ばれ,物の本質よりも「安かろう,悪かろう」の世界へ向かっているように思います。購入する側からすれば,安いにこしたことはないのですが...。耐震偽装に関しても,今の日本のデフレ基調がもたらした結果なのでしょうか。もちろん,その狭間で葛藤・苦悶している技術者の多いことは存じています。
今一度,日本の技術・倫理観などを見つめ直す時期なのかもしれません。
■報道等では,ソフトウェアの不具合のような話も出ていますが,ソフトウェアが出てきた時点で,安全に関する知識が不足しているように感じました。
安全に関する部分は,すべてハードウェアでおこない,ソフトウェアがどのような動作をしても,安全が確保されるのが常識だと教わりました(そもそも,コンピュータ自体が確実に動作する訳ではないですから)。
知っている人は“誰もが知っている常識”だと思っている場合が多いですが,意外と知られていないという事を認識して,周囲への啓蒙や教育が必要なのではないか,と思います。
■ソフト屋です。
制御ソフトにもバグがあるのではないか,と疑っています。
業界が違うので,異常動作数の多い・少ないの判断は難しいですが,正直に言って,多いと感じています。誤動作をすべてセンサ異常のせいにするには無理があるように感じます。
できることなら,ソースコードを押収し,事故究明委員会のようなところで,コードレビューをしていただきたい。
■シンドラー社のせいにばかりしていますけど…。私は今回の事故は,メンテナンスによる部分が大きいと考えています。
読者の気持ちをあおるだけがメディアではないと思います。厳しくまくしたてることで,誰かのせいにしてしまうのではなくて,両方の視点からものを考えて,真実を追うことが,二度とこんな痛ましい事故を繰り返さないことにつながるのじゃないでしょうか?
「ハイボールの原理」なんてえらそうな名前がついていますが,そんな話は工学部の学生でもだいたいみんな知っていますし,ものを設計するときに,わざわざ最初から危険検出型に設定する人はいないと思いますよ。さまざまな事情で,仕方なく危険検出型を選ばざるを得ない状況にはなることはあると思いますが。安全確認型でも,長い間使っていたら,信じられない事故が起こるものだと思います。
たとえば,安全確認をしている人が,普段,毎日,ボールを引き上げているものだから,危険と判断すべきときに,混乱してしまって引き上げてしまうかもしれない。そのような「故障」の場合は,いくら安全確認だからといって,100%安全とはいえないでしょう? だから,メンテナンスが大事なんでしょう?
さらに,もし設計ミスが原因だったら,同じ制御系を搭載している他のエレベータが,もっと事故を起こしていてもおかしくはないのじゃないでしょうか? となると,他社に比べて2倍どころか,格段に事故率が高くなるはずです。
■人を乗せるものは,当然,フェイルセーフが図られるべきです。
メンテナンスのせいにしているのは,「安く売ってメンテナンスで稼ぐ」ビジネススタイルをないがしろにされた腹いせにしか見えません。安いのにシェアが低いのは,もしかしたら,安全思想に問題がある事は建築業界では周知の事実であり,これに不安を覚える施工主が多いからかもしれませんね。
■「広告記事でよく見せる」というのは,技術を売り込みたいから当然のことでしょう。広告記事で広告内容を悪く書いたら,何のための記事か,ということになる。
広告記事を見ただけで,そのまま性能を鵜呑みにする方がおかしいのであって,当然,導入にあたり,実験などの結果を見ているはず(というか,普通の部品製造業ならば,購入部品は試験をするし,試作で評価するし,納入先で組み付けられたら,検査もされる)。導入決定者の目が曇っているというのも,要因にあげられるのではないか。
製造事業者の試験内容を見ていないとか,実績調査をしていないとか,そういったことが,案外,関係しているのではないか(建築物という構造体なので,困難さもあると思うけど)。
■冷静に考えてみてください。
同様例:自動車の点検を年間数百万もかけて実施していたのに,ブレーキパッドの取り付けネジが緩んでいて止まらなかった。その場合に,安全確認型でブレーキ機構を二重にしていなかった自動車会社が悪いのか? 数百万も搾取していた整備会社が悪いのか?
■本題から外れますが,工場におけるエレベータの問題を提起します。
建築基準法では,一定寸法より大きなエレベータは人が乗らない(足を踏み入れない)と決めても,人が乗るエレベータと同じ安全規格が求められます。一方,労働安全衛生法(クレーン則)では,もっと大きく,人が乗ったり足を踏み入れられるものでも,「人が乗らない決まり」なら「簡易リフト」として安全規格が非常に甘くなっています。
この「建基法ではエレベータ,安衛法では簡易リフト」に当たる設備は,「どうせ作るなら大きい方が便利」ということで,うっかり工場に設置される場合がありますが,実は危険で,過去に多くの事故が起っています(今でも毎年,死者が出ています)。
これは,建基法が厳しくても,建築行政は厳しくないこと(自ら捜査する立場になく,申請か通報が無ければ,存在すら知りえないこと)と,安衛法を司る労基署は厳しい(捜査権があって工場に立入ることができる)のに,肝心の法の安全規格が甘いこと,により,実質的に野放し状態になっていることに原因があります。日本クレーン協会HPの事例もその一つで,この設備は,死亡事故に拘らず,未だ建基法規制を受けず,安全規格を満たさない状態で使用されています。
監督官庁間で調整し,有効な規制を掛けないと,このような事故は防げないものと考えます。エレベータについて関心が高まっていますが,特定会社へのバッシングに終らず,事故多発や,規制が不十分であることにも関心を持っていただきたく,紹介しました。
■シンドラー社のエレベータは,設計に問題があると思います。
安いために世界でのシェアーが高いとの事ですが,安全を犠牲にして,コストを下げているのでしょう。おそらく,ミルグラム効果で,上司から「コスト,コスト」と言われていれば,安全第一と思いながらも,コスト優先の設計をしているのだと思います。会社幹部のこのような姿勢は,テレビのニュースからでも想像できます。
最近,競争入札が叫ばれていますが,是非,コストと安全のバランスを考えていただきたいと思います。
■記事に同意。
どんな手抜きの点検でも,たとえ一切点検してなくても,不具合が生じたら,動かなくすることが最低条件です。これが技術的にできないなら,作ってはいけません。
■一つ問題提起をしてみたい。
シンドラーの広告記事を日経ものづくりが掲載していたとする。広告編集者の常として,集客力,宣伝力,伝達力を考え,設計技術,生産体制,品質・性能,歴史と実績,そしてユーザの声などを網羅しようとするだろう。事件後に伝わる糾弾話は,どれだけ深く掘り下げても社会を害することはないが,そうでない時点での「より良く見せる」という万人に備わっている「癖」は,ひょっとしたら「正しい情報」に逆行する誤った目標なのではないか。
映画の中で,ジョーズが出没する海を安全だと宣言する町長はどこにでもいるのではないか。情報公開という四文字が,またしても重い響きを与える。怪しい専門家を引き出すだけでなく,表層に留まらず,事例を挙げて,議論を徹底することが,今後のメディアの活路ではないだろうか。
■安全設計に関する考え方は,無論,記事に書かれたとおりだ。シンドラー社の設計構造や思想と共に,他のメーカの構造や設計思想も開示し,比較されるべきだ。
一部のメディア情報では,故障率が他社に比べて2倍と伝えられるが,それが事実ならば,他メーカのエレベータも極めて高い頻度で故障を起こしていると感じる。一般的な生産機械設備に接してきた者からすると,揚重機,とりわけエレベータ等は,極めて高い安全率を要求されていると思い込んでいたが,変化しているのかも知れないと,不安になっている。
■向殿先生の安全設計の考え方を分かり易く掲載していただき,ありがとうございます。
細かなところに手を抜かない姿勢に敬服します。まとめ直し,活用させていただきます。
■痛ましい事故であるが,やっとこのような議論が,安全の専門家以外でも交わされるようになったことは,大きな進歩であると思います。(製品安全担当者)
(2006/06/14)■私は,自部門で使う製造機械の改善をやってきた人間です。シンドラーエレベータの記事を読んで,「このエレベータは何かおかしい」と感じました。
このコラムに書かれていた“安全確認型安全の論理”は当たり前と思っていました。効率的な生産と従業員の安全確保を実現する為には,これらは生産機械でも必須です。人を運ぶ機械であるエレベータなら,絶対に採用されていると考えていました。
事実に基づいて早急に原因究明を行い,安全確保の対策がされるように願っています。
■安全は重要だと思います。しょっちゅう止めてでも,安全にすべきでしょう。
エレベータはもっとゆっくりと動き,何かあったらすぐ止まるように設計すべきと思います。命は永遠にもどらないですから。
正直言って,今のエレベータはこわくて乗れません。
■シンドラー社のブレーキや安全に対する考え方だけが悪いのでしょうか?
日本製のエレベータとどこが違うのかが重要です。基本的には同じ水準であり,やはりメンテ不足が原因だと考えます。
(完全に安全確認型ならば,法的点検は不要ですが,不要なエレベータは存在しません)
■「とても参考になった」に投票しましたが,ブログの「安全に対する考え方」は当たり前の,機械設計に携わるものにとっては「常識」の範囲の意見です。その意味では「ならなかった」に投票すべきだったかも知れません。
報道される情報を見る限りでは,シンドラー社に対して「フェイルセーフの欠如を追求する質問」が,どの場面にも無かったと言うことが不思議でなりませんでした。
このブログの発言も,事故の直後に発信して欲しかった。
■本質安全・設計およびフェールセーフは,設計思想の根本である。特に,人命に関わる機器には欠かされない設計理念である。
新聞記事によれば,最も大切な「ブレーキバンドのボルトの緩み」とのこと。二重ナットによる緩み防止/溶接による回り止めなどの設計が無かったのか,その時の検知および対応設計がなされていないことは明らかと言える。
扉が開いた状態でブレーキが効かず,巻き上げ機が作動をしたと言うことは,常に巻き上げ機がONの状態でブレーキで停止する設計になっていたと言うことになる。もし本当なら,正にフェールセーフとかけ離れた設計であり,設計上の過失と言っても過言ではない。
■根本的な設計問題の存在は疑う余地がないものと思う。一般の設計者も同じはず。
しかし,相手は海外トップのメーカだけに,真実の早急な究明は望めないと考えて良い。民間の力を借りてでも,徹底検証すべき。更に設計仕様書や信頼性検証書(実機検証記録やS/DFMEA,CAE解析),ISO認定機関等の認定記録までも入手して調べ上げるべき。更には,本設備が認可された経緯や検証も疑う余地がある。
残念ながら,今後もこのような事例が増えてくるのではないかと心配される。これに対しては,技術力を要するあらゆる物に対し,認可時の設計審査力や問題発生時の解析力を世界が認め,頼るぐらいの組織・集団を国として造りあげていくのも,自国だけでなく,世界に貢献できる日本の姿では,と思う。
■日本の基準というものは,おそらく,日本企業が中心となって作られたものだと思います。シンドラー社がその基準を満たしていたか,もしくは,設計思想が違っていた可能性もあるので,メンテナンス会社からメーカーへの,またはその逆の情報伝達がうまく行っていないのが原因ではないでしょうか。
機械のイノベーションを考えると,外国から入ってくる思想や新しい基準にも日本の基準にも,メンテナンス会社が理解を深めて作業していたようには思えないのです。特に毎年契約を変えるような方法での管理で,それが徹底されているとは到底,思えません。機械を永続的に使うのであれば,メンテもメーカーもお互いに力を合わせるべきで,今回の記事も,やや責任転嫁に偏っている表現と見えました。
安全基準に従う考え方が,ひとつの原因になっている気もします。
■かつて,自宅マンションの理事長を勤め,実際にエレベータ管理会社の切り替えを検討した経験がある者として,今回の事件は,かなり深刻なものであると受け止めています。
指摘の通り,例え故障したとしても,乗客に危害が及ぶことはあってはいけない設計が求められる,と考えます。メンテナンスをするのが人間である以上,間違いもありえますから。
「それを考慮に入れていませんでした」とシ社の責任者が言い放っているわけですから,驚きです。