フェールセーフ


 「フェールセーフ」という基本設計思想があります。
しかし、多くの人々はフェールセーフに大きな誤解をもっておられます。

 安全性確保のために二重三重・・・多重の機能を持たせることを「フェールセーフ」というのではありません。 

 フェールセーフとは、機械やシステムその他人間が作り出すものには必ず事故や誤りが生じる。 外部要因、例えば地震などの天災やテロなどの人災によって事故が発生することもあります。 これは防ぎようがありません。 万一、事故や誤りが生じた際、機械やシステムなどを必ず安全な方向に導く、という基本設計思想がフェールセーフなのです。
 多重の安全装置を持たせることは「フォールトトレラント」と言い、これは事故を発生させないための設計思想であって、フェールセーフは必ず事故や誤りは起きる、という前提からの設計思想であり、この二者は根本的に異なります。

 例えば、新幹線です。
万一、新幹線の車両に事故が生じた際、フェールセーフの考え方では車両を安全な方向に導くことが必要です。 それは取りも直さず、車両を停止させることです。 また、地震などの外部要因の際でも、1秒でも早く車両を停止することが重要で、事実、新幹線は車両の設計思想だけでなく、制御システム等もフェールセーフの設計思想が最重要課題として取り入れられています。 しかし、完璧であるかと言えばそうではなく、より完璧なフェールセーフを目指して日々努力されている、というのが事実でありましょう。

 では、航空機はどうでしょう?
もし、飛んでいる航空機に故障が生じたときに安全側に導く方法があるのでしょうか?
残念ながら、現在までのところそれは見出されていません。 つまり、飛んでいる航空機に事故が起こった際に、航空機を即時停止するということはできないのです。 だから、航空機の場合には何重もの安全装置を設置して、絶対に事故が起きないようにする対策、つまり、より完全なフォールトトレラントを目指しているのです。 ゆえに現在の航空機は、その事故発生率は極めて少なく、自動車よりも安全であると一般的に言われていることはご承知のとおりです。 そしてそのフォールトトレラント対策は、現在も尚、より完全を目指して努力されています。 言うなれば、航空機は過去の事故を教訓にフォールトトレラントをより一層充実させてきました。 それら努力の積み重ねが現在に至っているのです。 だからこそ、殆どの方々は、航空機に対して絶対の信頼感を持っておられ、安全を疑うことなく搭乗されているのでしょう。 私共もその一人であることは言うまでもありません。

 このように、フェールセーフとフォールトトレラントは「似て非なるもの」なのです。 それぞれ、前者は確定論、後者は確率論に基づく安全性の立場です。

 フェールセーフは基本設計思想と書きました。 この「基本」とは何でしょうか?
基本とは部分ではない、ということです。 必ず事故・誤りは生じます。 外部要因による事故もあります。 上記の新幹線の場合、事故が発生した時には必ず「停める」というのが基本であります。
新幹線には数限りないシステムや部品があり、それぞれのシステムや部品にも設計思想がありますが、それらの設計思想を基本設計とは言えません。 まず新幹線の基本設計思想であるフェールセーフがあり、その基本設計思想を受け継いで各システムや部品の設計思想が成り立つわけです。
 これはコンピュータシステムにも言えることです。 コンピュータシステムにおいても、まずシステム全体の基本設計思想があり、この基本設計思想を部分システムや個々のプログラムが受け継いで全体の設計思想構築が成り立ちます。 コンピュータシステムでは瑕疵(誤り・・・バグとも言う)は必ずある、ということを基本設計思想とするのが常識であり、瑕疵がないことを前提としたシステム設計はその時点で失格であります。

 物事には「一長一短」というものがあります。 新幹線はフェールセーフを目指すことができますが、フェールセーフは事故は必ず起きるという前提での対策であって、事故が絶対に起きないという考え方であってはフェールセーフは成り立ちません。 また、新幹線でアメリカへ行くことはできません。 航空機を用いれば世界中に行くことができますが、フェールセーフを求めることができず、ならばこそ航空機は完璧近くまでフォールトトレラントを充実させています。
 新幹線や航空機のいずれにしても、事故は必ず起きる、という思想に基づいて様々な対策を講じているのであって、もし仮に、新幹線や航空機の関係者の方が「事故は絶対に起きない」ということを前提にしたり口に出したりすれば、その時点で信用が失墜することになるでしょう。 「事故が絶対に起きないよう対策と努力を重ねている」これが正解でありましょう。

 「事故は必ず起きる」ゆえに「絶対安全はあり得ない」という前提こそ、安全の第一歩であると思えます。


Copyright (C) Shintoku Ikeda. All Rights Reserved