ブレークタイムに“設計思想”を語り合おう：何かがおかしいIT化の進め方（8）（2/3 ページ）

[公江義隆，＠IT]

コーヒーブレークの話題〜設計思想・方針としてのFail Safe

　今年3月に、東京・六本木ヒルズで回転ドアによる不幸な事件があった。これまで三十数回も事故が起こっていたのに、結果的には十分な対策が取られていなかった様子から、おそらく管理面での問題があったのは確かだろうが、別の視点からも問題が見えてくる。

　その後の議論でも「センサーの感知範囲に死角があったが、その感知範囲の設定変更を誰が指示したのか」「ドアの回転速度をいくらにしていたか」など、もっぱら運用や管理上の問題に関心が集まっていたようであるが、システムの設計思想・方針に言及したものはほとんど見当たらなかった。

　マスコミ報道の内容（※注）から、この回転ドアのシステムを考えた場合、「センサーが人を感知した場合に、ドアを止める仕組みになっているらしいこと」、「人が回転ドアの中に入ると、ゆっくり回っていたドアの回転速度が上がるようになっているらしいこと」、この2点が大変気になった。

　この話題から、装置やシステムを設計するときの「思想」について考えてみたい。

---

※注：新聞やTVなどマスコミ報道以上の情報を持ち合わせていない。事実やシステムが具体的にどうであったかの確認はできていないので、ここでの話はマスコミの報道内容を前提としたものであることをご了解いただきたい。

---

Fail Safeの概念とは

　装置やシステムを設計するとき、“Fail Safe”という概念は、エンジニアの常識として大変重要な事項だと教えられてきた。

　1つの装置やシステムは多数の部品や要素で構成されている。構成要素である部品や機械は故障を起こし、人間は間違いを犯す。このときに装置全体、システム全体が安全側の状態になるように設計しておくのが“Fail Safe”の考え方だ。通常、地上で動くものは「止まった状態」であることが安全側である。この回転ドアのシステムでは「センサーが人を感知したときにドアを止める――センサーが感知信号を出さない限りドアは回り続ける仕組みになっているらしい」、つまり回転ドアが動いているという危険側が定常常態という設計になっていたようである。このようなシステムで、センサーが故障するとどういうことになるだろう？

　“Fail Safe”の思想に立つなら、「人のいないことが確認できた場合にのみ、ドアが動く仕組み」にしておかなければならない。センサーが故障していれば「人がいる／いない」の確認はできないから、ドアは動いてはならないことになる。

　センサー部分についての話を単純にすれば、光（赤外線）や超音波、電波の信号を発生させる発信器と信号の受信器の間に人が入って影ができ、信号が受信器に届かなくなって受信器からの制御信号が出なくなるという仕組みなら、Fail Safeの問題は原理的には少ない（実際には人はいないのに、発信機や受信機の故障で信号が止まるとドアは止まってしまうが、騒ぎになっても人がドアに挟まれることはない）。

　一方、人からの信号の反射や人の体温など熱（赤外線）を感知すると「人がいる」という制御信号を出す仕組みなら、発信機や受信機が故障を起こして制御信号が止まると、実際には人がいても、システムは「人はいない」と間違った判断をしてしまうことになる。

　センサーの後につながる制御回路やドアモーターのスイッチ回路などについても、想定できる故障に対してドアが止まるように考える必要がある。

　現実には構成要素の特性や故障発生率などを考慮した確率的な判断が必要になるが、上記の後者のセンサーのように、原理的にFail Safeでない特性の構成要素があったり、機構が複雑でそのままではFail Safeの実現が難しい場合には、安全確保の機能を二重三重に設けたり、内部に自己診断の機能を組み込むなどの方法が採られる。1人では心もとないなら見張りを3人にしたり、眠らず勤務に励んでいるかを上司が絶えず問いかけるといった方法である。経済性と安全性のバランスをどう考えるか、設計者の倫理と見識が問われる。

　もう1点の問題「人がドアの中に入ると、“わざわざ”回転スピードを上げる」について考えよう。人間側にとっては機械から不意打ちを食らう危険この上ない仕組みである。設計者の頭には“効率性”はあっても“安全性”はすっぽり抜け落ちていたのか、ドアに入った人へのサービスだけを考え、入ってくる人のことを忘れていたのか、いずれにせよ思慮の足りなさが問題である。

　電子素子の品質が向上し、故障発生が減少したためか、デジタル技術の進歩で論理処理が簡単にできるようになったためか、“Fail Safe”といった問題に対する設計者の感度が下がってしまってはいないだろうか。