安全とは初期の目的を達成してなおかつ別に害毒を伴わないこと

13/10/2012 – 5:45 PM

2011年の30日以内死者数は,5405人になっています(警察庁, 2012).交通事故による死者数です.この数字から,その当事者になる確率を出すと,4.2×10-5人/年となります(人口が127,510千人としています).この数字を他のリスクと比較した上で,社会的にこのリスクは容認されているとするのは誤りです.容認というのは選択ですから,選択がない場合には(即ち自己責任ではなく)危害を受けることは一般的に容認されないということになります.この数字には,犠牲者には選択の余地がない事故が多数含まれています.

さて,ISO 26262が目指すのは,機能安全を通じた事故の減少になります.すなわち,安全性を担保する機能の故障により,結果として事故を減らすということになります(プロセスの開始点となるアイテム定義のアイテムはあくまで車両レベルであることに注意が必要です).しかし,そもそも交通事故と呼ばれるもののなかで,故障に起因するものはどの程度あるのでしょうか.

ごく簡単にですが,調べてみることにしたいと思います.警察庁の統計だとほとんどが交通法規の違反にカウントされてしまいます(違反不明が0.1%).行政機関として法規を遵守すれば事故は起きないという立場なのでしょう.或いは,実際に車両故障に起因するかどうかを毎回調べられないということかもしれません.

次に商業車の統計を見てみます 1.こちらは,ISO 26262 のスコープから外れています(商業車であり,かつコンテナ落下といった事故も含まれます).運送事業者からの報告で構成されていますから,どこまで客観性が担保されているか分かりません.しかし,事業者は事故に対して大きな関心を持っているので,ある程度正確な数字であることが期待できます.5520件の事故のうち,車両故障が占める割合は意外に大きく42.8%となっています.ただ,原因としての整備不良もここに含まれますし,乗務員というより車両の問題としたいというバイアスが掛かっているかもしれません.

別の統計としては,同じく国交省でメーカからの届け出の記録があります 2.この件数は少なく,平成22年で193件となっています.細かな分類をみると,特定できず/点検・整備の問題/調査中が3大要因で,設計製造の問題とするのはごくわずかです(全原因のうち10%程度).こちらは,メーカー(OEM)のバイアスがかかるであろうことは想像できます.

結局, 機能安全により,最終的なアウトカムとしての事故減少がどの程度期待できるかは不明です.警察庁の統計だとほとんどが人間の問題ということになりますし,国交省の統計だと,おおむね5%程度ということになります(42.8%の10%というかなり乱暴な計算です).特に商業車の場合は,プロのドライバによる運行であることを差し引いて考える必要があるかとも思います.そうすると,ISO26262 のスコープで対象となる機能安全に起因する事故は,5%より更に小さな数字になるということが想像できます.もちろん小さいと云っても生死に関わる数字に対しては,十分な関心を持つべきであることは間違いありません.

***

 「安全学策隠」  3という本があります.そのタイトルが示すように,安全の意味について探究した読み応えのある本です.この本の中に以下の図が書かれています(p.89).少しだけ改変しているので,ぜひ図書館等で本にあたって頂いて,オリジナルの図と本全体に含まれる滋味を感じて頂けたらと思います.

安全の現れ方として,一つには欲求がある.典型的には身を守りたいということでしょう(もちろん起因としては,身体的なものだけではなく単に素早く目的地に着きたいという欲求もあります.ただ「危険」を惹起するには身体的な欲求へと変化する必要があります).一方で,知ることがある.ある物質がありその成分と身体への因果が分かると,それは身体の維持という欲求に対立して危険という意識を生む.もちろん,知ることは知識に限定されず経験という言葉が適切な身体性を持つ「知」の場合もあります.この場合は,欲求との対立というよりは,直接的に「危険」が意識に上ります.

危険の意識は,次に「安全性」と「キケン」という相反する二項を生みだし,その境界を考える上での契機となります.これらは必ず不確実性を持ちます.結果は実行後にしか分からない.そのため,ここでは不確実性を意味として含むように「安全性」と「キケン」という用語になっています.「安全性」とは,システムの特性というよりは,いま想定し考える安全の度合いといった意味ですし,カタカナの「キケン」も同様に危険ではなく受けるであろう危害の度合いです.著者は危害に代わり害毒を用い,また安全に対立する害毒の(生じる)程度ということで,「害毒ー性」を用語としては適切としています.私は,ここでは標準的な「危害」と「キケン」を用いることにします.

さて,事後的に,(危険源が顕現することで)実際に危害が加わったか,安全かが分かります.このときに,当初は安全性が高いと見なしたことに対して生じた突発的な「災害」による危害もありますし,キケンとみなしてもやり遂げ結果的に問題がなかった「冒険的成功」もあります.ここでの「災害」や「冒険的成功」は文字通りの場合もありますし,象徴的ないい方でもあります.例えば,「災害」というのは,実際に地震や台風ということもあるでしょうが,それが計算されているのであれば,地震・台風といえども「災害」には入らない.今考えている系の外側から突発的に到来するものといったことになります.

もちろん,反省的に安全性・キケンを考えない場合,オプティミズムやペシミズム的態度を取ることになります.ここまで見た経路の最初のトリガーとなる(経験を含めた)「知」が働かないと,オプティミズムに近くなるでしょうし,「知」が働いても,「危険」から「安全性」へのギャップを超えられないと,ペシミズムに落ちていくということになります.

***

ISO 26262 は,その上位の規格である IEC 61508 と基本的な点での違いを感じます.IEC 61508 は,安全を確保するための機能の故障により(プラント等の事故から)人や環境に危害を加えることを防ぎたいというのが前提になっています 4.ISO 26262 では,乗用車と運転者を含めた系が事故を起こさないということが主眼で,単に安全に関わる機能の故障と云うよりも,車を運行する運転手まで含めたより広い範囲を扱っています(典型的には,SILの算出において運転者の制御可能性を含んでいることに注意が必要です).このことが(主としてプラントか車かという)対象の違いで生じているとすると,本来の規格における上下関係が実は左右の関係ということになります.規格の構成としてはあくまで上下なのですが,同一レベルであるという要素も大きいかと思います.

ところで,どこまでを系として含むか,即ち安全とは誰にとっての安全かというのは,安全に関わる機能の故障と同様に,重要な問題です.最初に書いた交通事故を例に取ります.交通事故で危害を受けるのは,運転者や同乗者に限りません.比率では歩行者が一番高い(36.6%).もし,「交通事故」ということを意識するのだとすると,安全に関して考えるべき範疇は,車ー運転者という系に対して,更に広くとらなくてはいけないということになります.

先の図では,安全性とキケンの間にギャップがあります.安全性とキケンの間は滑らかに移行するのですが,実際には行動するための判断があるので,ギャップを越える必要があるということになります.法的な基準があるとしても,日常生活においては,これは個々に判断することになります.少し簡単な例を考えます.私の住んでいる場所の近くに少し変則の交差点があります.ここは左折車の見通しが悪く,信号が青でも歩行者は横断時によほど注意しない限り,キケンという場所です.歩いて渡る私にとって,キケンー安全性を区別する線はかなり右側にとる必要があります.一方で,この交差点をよく知らない人にとっては,安全性が確保されている位置で考えています.従って,危害を受ける・与える可能性はずいぶんと高くなるということになります.事故があった場合,法的には,これは交差点安全進行違反ということになるのでしょうけれど,そうしたところで事故に遭った人が救われるわけではありません.車両における今のプリクラッシュセーフティ等の予防安全はおおむね運転者の安全確保に重点を置いています.歩行者を含めた社会という系の中ではないということは,より一層「安全」という用語を使うときに注意しなくてはならないこととなります.

***

今回の表題は,先に紹介した辛島さんの本にあるものです(p.38).安全は事後的に定まる!ということと,安全が議論に上るのは,何らかの有益と思える行為があるからということになります.「無益では問題にならない(前述. 注1)」.

(nil)

Notes:

  1. 国交省,「 自動車運送事業用自動車事故統計年報」,2012
  2. 国交省, 「 事故・火災情報の統計結果について(平成22年)」
  3. 辛島惠美子,「安全学策隠」, 八千代出版,1986年
  4. IEC 61508-1 ed. 2 例えば,1.2 (f)
By nil | Posted in ISO 26262, 安全, 社会 | 安全とは初期の目的を達成してなおかつ別に害毒を伴わないこと はコメントを受け付けていません

知は広がってゆくにつれて非-知のなかに消えてゆく

07/10/2012 – 6:11 PM

安全に関する代表的な書籍に,武谷三男さんの「安全性の考え方」(岩波新書,1967年)があります.鉄腕アトムの飛ぶバラ色の空が,いきなりモノクロームの陰画になった時代に書かれた本です.小児麻痺,四日市ぜんそく,はくろう病などの公害を初めとする科学・技術が生み出した危険に対する闘いの記録です.

具体的な闘いの対象は,行政・司法・企業・科学者と多岐にわたります.こういった問題に対して,つねに生じる素朴な疑問は,なぜこういった問題がすばやく解決されないかという疑問です.これは,当時少年だった私がいまでも持つ変わらぬ疑問になります.

ここでは,「社会的構造」から少し考えてみたいと思います(前回もこの構造については少し触れました).多くの先人の努力にかかわらず,(個々の出来事は別として)市民の被害および関連する組織との対立という状況がなぜ起こり続けるのかという問いについてです(なお,ここで扱うのは社会が自ら生み出す危機に限定しています).

***

道具立てとして,まずジョハリの窓もどきを用意することにします.自己にあたる横軸に組織Rを当てます.Rには,任意の要素が入ります.例えば,行政・司法・企業といった機能分化した組織です.縦軸は,他者の代わりに市民を当てます.オリジナルのジョハリの窓からすると,逆のようですが,市民が対抗する(例えば行政である)Rは,統一的に振る舞う一つのシステムであり,自己-他者の比較上は自己に対応させます.一方,住民側は(組織されていたとしても)多数・多様ですから,ジョハリの窓における他者がつねに多数であることを考えると,それほど悪くはない割り当てだろうと思います.

それぞれの窓の名前は基本的にオリジナルと同じですが,未知(unknown)の部分には,リスク論でよく用いられる非知(Nichtwissen,或いは特別な意味を持たせた無・知)を用います.ウルリッヒ・ベックに従うと,エコロジカルな側面において,リスクは二重の意味での非知となります.まず,そのリスクを身体的に知ることができない.化学物質や放射線を出す物質がそうです.かつ,それらがどのような危険をもたらすかが分からない.この非知の二重性には注意が必要です.現象を知っていることと,その原因ー結果の因果を知っていることの二種類です.

いま,「開放」において,Rは現象Xについて知り,必要な手当をとっている.また,そのことを市民も知っている.ここでの手当は,ルーマン的意味での何らかの決定に従う.ただし,ここでは市民との合意は必須ではない(合意には別の視点での検討が必要です.さいごに少し記述します).そのことをのぞくと,ここでは問題になることはありません.「盲点」では,Rは知らないので必要な手当をとらない.しかし,市民は知っている.「秘密」では,Rは知っている.しかし市民は知らない.「非知」の窓では,ともに知らず,場合によっては漠然とした不安のみが存在する

単純に考えれば,「開放」は社会にとって妥当と思えます.「秘密」と「盲点」に関しては,何らかの両者の交通があればよいわけで,そうすればいずれ「開放」に変化する.残る不適切な窓は,「非知」です.これは科学・技術の力で解決する.結果的に,全てが「開放」となることを期待したいということだろうと思います.下図に示すように「非知」を小さくすることで,「開放」が増え,結果的に(そこでの決定は蓋然的に正しくなるので)危機が少ない社会となる.

例えば,次のノーベル賞受賞者のことばは,その科学者の立場での当事者意識に基づくものと考えられます.

いかなる分野でもゼロリスクは存在しない。科学には、まだ分からない部分が沢山あるから世界中の研究者が解明に努力しているのであり、新たに分かることで例えば安全・安心に貢献できる。分からない部分を残したままで絶対安全と断言するのは矛盾しており、絶対安全と思った瞬間、安全を高める力は萎える(田中耕一)  1

しかし,科学は先のエコロジカルな側面における危険の原因も作っていますから,科学的なふるまいは本質的に,危険に対してアンビバレンツなものとならざる負えない.即ち,科学の進展は,既存の非知を知に変えますが,それ以上の非知を生み出す可能性があります.またあらたな危険を生み出すかもしれない(最近の例としては,次を挙げることができます.H5N1鳥インフルエンザウィルスを科学者が作成できるようになった.これは,治療について重要なことだが,一方でテロに利用されるという懸念から論文がしばらくの間差し止めとなった出来事).マルクス風のことばを使えば,非知は科学によって自己増殖するわけです.従って,この「非知」は構造的に消えるない,かつ増加するということになります.

さて,(非知が別の非知を生むという意味で)この変化する非知なる現象Xにおいて,Rが一者として行動するときの目標が,「開放」となる可能性は少ないと考えられます.危機の存在を確認したとしても知らせないことがあり得るわけです.「開放」においては何らかの決定を行う必要があり,その危機に対して直ちに対処できないことがある.この場合,決定までの猶予として「秘密」に移行するしかない.或いは,既存の枠組みにない,確率的に低い(初期は間違いなくそうでしょう)ということを利用して,「盲点」に移動する.実際には盲点ではないのかもしれませんが,それは例えば法的な盲点とすれば,「法/不法」の区分において,Rは責任をとる必要がなくなります.従って,こちらも(市民ではなく)Rにとっては,住みよい場所と云うことになります.

このことを示すのが,下図になります.非知の窓は大きくなり,盲点の窓・秘密の窓も減少しない.相対的に開放の窓は小さくなる.

ここで,「秘密」・「盲点」から「開放」への移行を妨げるのは,Rは,何らかの決定を必要とするということです.Rはシステムとして作動している以上,何らかの基準に基づく決定を行います.司法は法律に基づいた有罪・無罪の決定を行います.立法府は,その法律を作る・作らないを決定します.企業は,その危険源を取り除くか放置するかの決定を必要とします.これら決定が容易でない場合に,「開放」への移行が阻害されます.これは,知ることの二重性のうち全ての因果関係を明らかにできないということに起因します.

また,決定が行われた場合もまた別種の危機を生み出します.いったん決定がなされた場合,それは公的には安全の宣言でしかありません.(決定がカバーする全ての)安全を保証することはできない.その後判明した「不知」領域を抜け出した要素は,「開放」での決定があるが故に,どこか別の場所に移動せざる負えなくなります.即ち,安全であるとしたものに対する事後的な,或いは更なる機能安全的対策がとれなくなるからです.不完全な知のもとで,決定が下されたことが隠蔽され,過去により自縛される.先の田中さんの後半の文は,このことと関係します.ただ,「萎える」という合理性を求める精神の劣化というよりは,構造的に行き場を失うということです.

以上より,根源的に,4つの窓からなる構造は維持され,危機は姿を変えながら増殖するということになります.

***

個人が故なくして如何に微量といえども毒物にさらされることは許されないことである

上記は,武谷さんの安全性の哲学にある言葉です.安全性の哲学は,安全性の考え方に章があるのですが,以下の原則は同じく武谷さんの「フェイルセーフの神話」(技術と人間社,1989年)にあります.

安全問題を解決する原理について:

  • 原則1 安全が証明されたものでない限り,実施してはならない
  • 原則2 許容量や基準量などは安全な量を意味するものではない
  • 原則3 人間に被害例が出ていないから実施して良いという論理は誤りである
  • 原則4 有害性は直ちに医学的に検出されるとは限らない
  • 原則5 その行為の結果に医学的以外のでないものでも,すべて許容されるわけではない
  • 原則6 天然に有害物があるからといって,人工的にこれと同じものを附加することはゆるされない

後半は環境における危機に主として該当します.前半は危機一般に適用可能な原則です.

現代における危機の要因は非知の増大にあり,かつ科学が宿命的に非知を生み出すことは避けられない.とすると,そこには制約があるべきだろうと思います.そうすることで,非知の解決のために行う行為の結果として生じる剰余としての非知を最小化する.

人間は,感じることのできるものに対しては,ある時間をかけて回避手段を身につけます.そこにはいやなにおいを避けるという生物学的なものから,近づいてくる自動車の音から回避行動を決めるという後天的に身につけたものなどがあります.身体に関わるこれら刺激がない場合,直ちに理性によって回避することは困難だったり,そのいつ来るともしれない危険への対策に対する負荷に苦しむことになります.生活世界における危機に対して,より慎重な対応が必要になります.

***

表題は,私の好きなバタイユからとりました 2. 非-知は,今回とは別の文脈で用いられていますが,詩的なさけびがここにはあり心をうちます.

Notes:

  1. 「 国会事故調報告書」 p.586 徳間書店
  2. ジョルジュ・バタイユ「非ー知 閉じざる思考」p.113 西谷修訳 平凡社
By nil | Posted in 安全, 社会 | 知は広がってゆくにつれて非-知のなかに消えてゆく はコメントを受け付けていません

Sécurité fonctionnelle

01/10/2012 – 4:16 PM

セーフティケースによくにた概念にアシュアランスケースがあります.アシュアランス自身は,規格化されています(ISO/IEC 15026).この中で,アシュアランスは,システムのプロパティに対して適用されるとしています.このプロパティを定義するものとして代表的なものに SQuaRE(Systems and software Quality Requirements and Evalution,以下ではシリーズのうちISO/IEC 25010についてみてみます)と呼ばれるシステム及びソフトウェア品質モデルがあります.

ソフトウェアライフサイクルの議論も含め,いかにソフトウェアのモデルや議論・規格がシステムレベルの同等のものに影響を及ぼしているかを記憶して頂くだけにとどめて,詳細は別の機会にしたいと思います.

ここでは,ISO/IEC 25010の中から,単に安全性とセキュリティをとりあげます.

***

安全性とセキュリティと単に対比してみると,基本的に違った概念のように見えます.しかし,「このシステムはセキュリティがしっかりしているので,お客様のデータは安全です」という云い方も可能ですから,関係がないわけではありません.

先の ISO/IEC 25010から,安全性とセキュリティに関して少し抜き出してみます.なかなか日本語にするのは難しいのですが,ちょっとトライしてみます.

【安全性を含む場所】(4.1, Table 3)
定義場所:利用時の品質
特性  :リスク緩和性
副特性 :経済的リスク緩和,健康及び安全リスク緩和,環境リスク緩和
【セキュリティを含む場所】(3.3, Figure 4)
定義場所:システム/ソフトウェア製品品質
特性  :保障性(security)
副特性 :機密性,完全性,行為証明性(non-repudiation),行為追跡性(accountability),真正性

こうすると,セキュリティというのは,何らかの保障を行うこと,すなわち正しく認められた人が,正しいデータに確実にアクセスできるといったことを指しています.データという財産を守っているのだと考えても良いのだろうと思います.セキュリティはシステムの保障であり,一方で,安全は,直接的に人の生命を守るという,それぞれ狭い範囲に閉じ込められています.ここには,そういコンテキストがあるのだと理解しておきます.

別の視点から考えてみます.例えば,ホームセキュリティという場合,そのセキュリティは,家の財産,住人の生命を守ることを目標としています.先のリスク緩和性の経済的リスク緩和であり安全リスク緩和なわけです.ここでは,(人および財産への毀損がない)安全確保の手段としてのセキュリティがあります.

一般化すると,安全とは,人及び財産への毀損がない状態を指しており,そのための手段が保障(セキュリティ)だと考えることができます.ISO/IEC 25010 に戻ると,コンテキストは違うとはいえ,セキュリティが製品品質であり,安全性が利用時品質なのも,前者は手段であり,後者はそれによる結果だとすれば,一応の理解を得ることができます.

***

しかし,それでもなお,不満は残ります.利用時品質の安全は,システムのプロパティとしてはどこに相当するのかということです.特性のうち,機能性や信頼性などに分散しているという説明しかないことになります(c.f. ライフサイクル上の利用時品質の定義からシステム品質への展開).あるいは「安全はシステムとその外部との関係によって定まるために純粋なプロパティとしては措定できない」ということかもしれません(cf. Context coverage — 利用時品質の一つ).確かにここで定義されている狭義のセキュリティは,ほぼシステムに閉じています.それを破る可能性のあるものは,システムから排除することもできます.しかし,そうだとすると,「このシステムは安全である」という言明は意味をなさないということなります.

ウルリッヒ・ベックが指摘するように,安全の問題にはつねに「非知」を伴います.誰もある化学物質が環境にそして人間にいかなる影響を与えるかを指摘することはできないのと同様に,その構造として全てを知ることはできない(まして,二者間取引とはことなるコンシューマ向けシステムにおいて,ユーザは更に構造的に強化された「非知」の状況におかれています.ここでいう「構造的」というのは,抗菌薬とそれをすり抜ける真菌やウィルスとの相互的関係に似ています.いくらがんばっても最終的な「知」には達することができない).だとすると,利用時品質->製品品質->利用時品質というプロセスの中で安全性を評価できるとする主張は,素朴すぎて,あまり意味を持たない気がします.

さて,最初にもどるとアシュアランス概念は,これら品質特性によって示されるシステムの様々なプロパティを同時に扱えることになっているのですが,さて,それが果たして可能かはまた考えたいと思います.

***

さて,今回のタイトルは,機能安全(functional safety)のフランス語訳です.安全ですが,英語のsecurity に近い(なるべく近いカタカナで書き表すと)セキュリテが使われています.Sécurité の語源は,securitasaで,これは,心配がないという意味になります.語源としては,日本語で言う安心に近いでしょうか.さて,ここでは,安全という用語にセキュリティが使われているので,では,セキュリティという意味のフランス語はなにかというと,(ISO/IEC 2510 規約は仏訳がないので分からないのですが)sûreté あたりが使われるのかなと思います.この単語にも安心という意味がありますが,chaîne de sûretéといえば防犯チェーンのことですから,日本語で言うセキュリティに近いかも知れません.

用語は,難しくもあり,面白くもあり.

(nil)

By nil | Posted in Assurance, ISO/IEC 25010, 品質, 安全 | Sécurité fonctionnelle はコメントを受け付けていません