nakata1503 jss
TRANSCRIPT
中田亨
(産業技術総合研究所 Toru Nakata aist.go.jp )
ヒューマンファクターと機能安全
1
人間の信頼性に頼ってしまう
無人運転の方が安全?
エレベータ、ゆりかもめ:無人万歳
完全自動飛行機、完全自動手術ロボット:まだ怖い
「人がいた方が安全な印象」はどこから生まれるか
システムの故障率が大きい場合は、人間にいてほしい
設計想定外の事態でも、人間なら対応できる?
人なら、効率のために安全規則を少し緩めてくれるし、うまくカバーして事故にはしない? 今時、手動の踏切での事故(2005年)
運転手に法的責任を持たすことができる?
つい、設計の不備を人にしわ寄せする?
「システムが故障しても人間が対処するから安全です」という逃げ口上
2
人間は一人四役1. 監督者としての人間
目標を設定し、非常時には作業打ち切りの決断をする、最高権限者。
例:「私は自転車に乗ってAに行くぞ!」と決める人
2. 制御系としての人間
誤差を打ち消す人力の制御器
例:舵切り制御する、目・脳・腕
3. 被制御系(システム本体)としての人間
例:力を出す足
4. 外乱源としての人間
間違える、ふらつく。
例:道の間違い。フラフラ運転3
人はこう使え
役割 望ましい姿 不適切な姿
監督者
熟慮できる環境 せわしない決断要求
安全優先の選択肢がある。事前に損切りラインを設定。
ジレンマばかりで選べない。事前想定なし。
十分な情報が与えられる 情報不足、知識不足
制御系
不器用でもOK 個人の技量に頼る
割り込み業務もこなせる 制御への専念が必要
安全規則は完全遵守 安全規則を人が緩める
被制御系変動、休憩を許す 定常出力を要求する
人しかできない仕事 機械の方が勝る仕事
外乱源 人間をなるべく隔離 人間を排除できるのにしない
4
上記9項目を点付けし、SILと見合うかチェック
人間のまちがえる確率は?
HEP: Human Error Probability
その逆は、HR: Human Reliability
まちがいのメカニズムは全く謎である。
羽生名人ですら一手頓死の大ポカ(2001年)
HEP見積もりの精度を求めるのは、むずかしいが、
代わりにこう考える
1. 確率的見積もりがいらない場合も多いぞ。
2. 見積もりが必要なら、故障樹分析等を使おう。
3. 一番大事なこと、それはコンセンサスだ。
5
決定論的/確率論的
決定論的:「この状況なら、ああなる」とif-thenルールで決まること
「決定論的エラー」:再現性が高いエラー 「系統的エラー」ともいう。
「群馬県の県庁所在地は、タカサキでしょうか?タカザキでしょうか?」
「23-7=17-3=14」:小学生に多いミス
「両国国技館 東京都墨田区横網1-3-28」
確率論的:再現性が低いこと
「確率論的エラー」:予測がつきにくいエラー
文字の書き間違い、ダーツの的外し、等
6
決定論的エラー
3秒以内に“O”の文字を探しなさい
7
O
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
Q
P
S
Q
SA
Q
CO
SD
D
DQ
DVA
P
TD
S
C
D
D
VB
QB
WR
D
SC
RD
D
C
A
L
D
S
E
T
P
T
I
Q
F
Q
D
B
Y
R
V
X
T
Z
T
M
H
J
G
S
O
W
T
K
T
U
N
B
D
ほぼ100%成功する ほぼ100%で失敗成功確率は中庸で不明
成功するルールがはっきりしている。• 「はじっこなら」「字形が大きく違うなら」「整列なら」
If-thenルールで、エラー率ゼロと見積もっていいのでは。
決定論/確率論の領域境界
8
Hum
an r
elia
bili
ty
(人間の作業成功率
)
0%
100
作業の複雑度
決定論的見積もりで考えるべき
定量的評価が必要
そもそも設計がダメすぎる
100-e
%
d
ひざ点Knee point
ひざ点の設定方法は、実験による測定か、文献値か、設計者の直感。どれにするかは、コンセンサスの問題
確率論的評価
「このタスクは100%成功としよう」とは言えない作業には必要となる。
各種技法がある。
Technique for Human Error Rate Prediction (THERP)など 同工異曲の技法が多すぎ?
人のエラー確率(HEP)は不明である。
実験でエラー確率を調べる。
文献値・典型値を使う。 THERPの本などに書いてある
精度や根拠は乏しいが、使用実績はある。
樹系図で考える
9
Fault Tree Analysis (FTA)
10
自動車走行中にドアが開く
運転手がドア開きに気付かない
運転手が発進時にアクセルを踏む
運転手が高速度であることを忘れ
る
運転手がドアを開ける
3 ∙ 10−3 3 ∙ 10−4
3.3 ∙ 10−3
1.00 1.003 ∙ 10−3(=1
365) 3 ∙ 10−4(=
0.1
365)
特定の事故が起こる条件と確率を逆算
Event Tree Analysis (ETA)
11
害
Yes
No
高速運転中の自動車
運転手が高速度を忘れない
無
運転手がドアを開けようとする
無
ドアロック作動
無
中
安全装置によりガソリン供給停止
大
9.9 ∙ 10−1
見積り確率
0.9997Yes
No
0.9997 0.9997 0.999999
3.0 ∙ 10−4
9.0 ∙ 10−8
9.0 ∙ 10−14
9.0 ∙ 10−8
3.0 ∙ 10−4 3.0 ∙ 10−4 3.0 ∙ 10−4 1.0 ∙ 10−6
1つのポカから起こりえる事故を広く予想
評価の厳格度項目 厳格 簡略
情報の根拠使用実績、実験、信用のおける文献値
直感、定性値
被験者数 多い 4人以下
被験者特徴多様。老若男女。実際のユーザ
均一。社内人員
実験シナリオ 実際的シナリオ。混合 要素的シナリオ。単純
実験環境迫真。多様(夜間、悪天候、極寒地)。
実験室内。シミュレーション。
事故情報フィードバック
苦情情報回収体制あり
苦情情報が来ない
評価技法定量的。FTA, ETAなど
既存の構造的な手法を踏襲。
定性的。評価の構造が浅い。
12
コンセンサス、それが求められる どのくらい厳格な手法を使えばいいのか?
厳格度の選択は、合意に依る
SILに応じて、合意の範囲を広げる
合意の範囲:設計者当人のみ、設計部署内、独立した検査部署、特定の買い手、公的機関、一般消費者
IEC規格は策定作業中である。
参考になるのは、UK DEF STAN 00-250 - Human Factors for Designers of Systems
しかし、事故は起きている。
いつ裁判に巻き込まれてもおかしくはない。
どこに出しても恥ずかしくない、公正明大なコンセンサス作りが必要。
13