あの事故はなぜ起きたのか!!（1） ―― 安全ライフサイクルの考え方

　IEC 61508は，全安全ライフサイクルに沿って構成されているといっても過言ではありません．16のフェーズのそれぞれのフェーズについて解説することは，次回以降に譲ります．今回は，このような仕組みが作られた経緯を中心に，安全ライフサイクルについて解説します．

● 事故の分析から誕生

　この安全ライフサイクルとは，どのような意図をもって導入されたものでしょうか．英国ではかつて，国内で発生した34の事故を，発生した活動のフェーズに着目して分析したことがありました．関心のある方は，HSEのOut of Control^（2）を参照してください．しかし，分析された事故は，必ずしもIEC 61508の主要な対象である制御系や安全系の故障に起因したものではありませんでした．また，事故が発生した産業もさまざまでした．

　事故の原因となった発生フェーズの分布を図2に示します．ここで，フェーズは，安全要求仕様，設計と実装，設置と引き渡し，運用と保守，引き渡し後の変更に関係するものとして分けています．また，図2は，どのフェーズが多いか少ないかを示したものではありません．なぜなら，調査した事故も34の事例しかなく，統計的な処理をするには不十分だからです．

図2（2）　英国のHSEが調査した事故原因の発生フェーズの分布
34の事例しかないために統計的な処理をするには不十分だが，いくつかの重要な示唆を含む．

　しかし，この調査結果は，いくつかの重要な示唆を含んでいます．それを以下に示します．
（1）どんなシステムでも，ライフサイクルを通じて安全を確保する工学かつ管理の原則は変わらない．
（2）制御系の故障原因のすべては分からないが，系統的なリスク分析がライフサイクル全体で行われていたら防ぐことができた．
（3）制御系の故障は，仕様が不適切なものが大部分であり，被制御機器の故障モードが，システムを危険状態にもたらすかどうかについて評価ができなかった．

　HSEのこの分析を受けて提唱されたIEC 61508の全安全ライフサイクルには，16の業務フェーズがあります．中でも，リスク分析が重要なフェーズになっています．潜在リスクの分析は，フェーズ3に位置づけられており，ライフサイクルの早期の段階で行えばよいかのように見られるかと思います．しかし，潜在リスクの分析は，安全ライフサイクルの全体に渡って，連続的に行われるものです．例えば改修後の影響分析は，改修の影響を評価するものです．改修による影響を見逃して，事故に至った例もあるので，特に重要な分析の一つだと思います．