あの事故はなぜ起きたのか!! （2） ―― バトンタッチを確実に

●○●　Column　●○●
こうしておけば事故は防げた

吉岡 律夫

　ここでは，制御やコンピュータに関する主な事故例を取り上げ，これらの事故の原因は，全安全ライフサイクルのどのフェーズがまずかったのか，あるいは抜けていたのか，について評価をした．なお，取り上げた事故例，特に事故原因は，筆者の独断と偏見によることを最初にお断りしておく．

1. 森ビルの回転ドアで死亡事故

　2004年3月26日に六本木ヒルズの森ビルで，男児が自動回転ドアとドア枠に挟まれ死亡する事故がありました．人が近づくとセンサが作動してドアを停止するプログラムになっていましたが，センサ検知領域が，背の低い子供を検知できない範囲に設定されていたことが，直接の原因とされています^（1）．

　森ビルの回転ドア事故は，コンピュータの故障やプログラム作成ミスによるものではありませんが，機能安全が対象とするシステム安全が破られた事故でした．この事故を機能安全の点から見ると，最初にリスク評価フェーズを着実に実行すべきでした．つまり，ビジネス・ビルではあるけれど，子供連れもやってくるという状況を想定してリスク評価を行っていれば，事故は防げたでしょう．そして，保守段階において，センサ調整などの部分改修を行う際の安全妥当性確認を十分に行うべきでした．なお，事故後の国土交通省調査で，初めて過去の事故情報が収集され公開されました^（2）．危険情報収集は機能安全管理の必須項目の一つです．機能安全規格が規定する16項目の機能安全管理を着実に実行していれば，安全対策が実施されて事故が防げたでしょう．

2. 東武線踏み切り事故

　2005年3月15日，東京都足立区の東武伊勢崎線 竹ノ塚駅南側の踏み切りで，女性2名が電車にはねられて死亡するという事故がありました^（3）．ここはいわゆる「開かずの踏み切り」で，自動化すると遮断時間が長くなる恐れがあり，踏み切りの警手が操作する手動式の踏み切りになっていました．

　事故の直接の原因は，警報ランプが点灯しているにもかかわらず，次の列車通過までに余裕があると踏み切り警手が思い込み，遮断機のロックを解除して遮断機を上げてしまうという誤操作である，とされました．

　踏み切り事故をなくすには，立体交差という本質安全の採用が考えられます．しかし，すべての踏み切りを立体交差にするには，膨大な費用がかかります．従って，次善の策として，遮断機や警報機あるいは踏み切り警手という機能安全に頼らざるを得ません．その場合，いずれの策でも，リスクはゼロということはありません．必要なコストと，許容できるリスクとのバランスで決定すべき，ということになります．

3. JR福知山線脱線事故

　2005年4月25日，西日本旅客鉄道（JR西日本）の福知山線の塚口～尼崎駅間で電車が脱線転覆し，運転士を含め死者107名，負傷者562名を出す未曾有の大惨事となりました．事故後の解析の結果，転覆限界速度は106km/hであったことが判明し，事故の直接原因は単純な速度超過による横転脱線との結論になりました．当該電車が事故現場のカーブに制限速度70km/hを大幅に越える116km/hで進入し，遠心力で横転し，脱線したのです^（4）．

　この事故の直接の原因は運転士の速度違反です．このような現場担当者のエラー要素をヒューマン・ファクタ（人的因子）といいます．機能安全ではヒューマン・ファクタを考慮して設計しておく必要があります．ところが，当該線区に設置されていた自動列車停止装置（ATS-SW）には，速度照査用の地上子などが設置されておらず，速度超過の際に非常ブレーキで列車を停止させることができませんでした．必要な安全投資を欠いていた，ということになります．なお，運転士が制限速度を超えてカーブに進入した原因は，前駅でのオーバーランを司令室に申告していた車掌の無線電話に気を取られていた，などの説があります．

4. 東証のシステム障害で取引全面停止

　2005年11月1日，東京証券取引所の株式売買システムの障害により，午前中の取引が全面停止する事件が起きました．メーカの当初の作業指示書に，サブモジュール間の呼び出し関係を指定し直す手順が抜けていたのが直接の原因とされています．

　月末ごとに実施する「コンデンス」処理（使用しなくなったディスク領域を解放する処理）で，サブモジュール間の呼び出し関係をシステムが自動検証した結果，これらを別個のモジュールと判断し，呼び出し関係を切断したのです．翌11月1日朝，参加者データ・ファイルを読み出すプログラムが起動したものの，正しいサブモジュールを呼び出せず，読み込みに失敗したため，売買システムが起動しない結果となりました^（5）．

　本件は，事務用コンピュータ・システムであり，組み込みシステムではありませんが，リスクというものを広く人身事故以外に考えた時に社会基盤システムに関する事件として影響が大きいのでここで取り上げました．

　上述のように，改修時の手順のミスが直接原因ですが，改修時の妥当性確認の計画立案と，その着実な実行を行うべきでした．ソフトウェアの改修はハードウェアに比べて容易な点が特徴ですが，その実行を安易に考えてはなりません．影響範囲の分析など，IEC 61508が規定するフォールト・アボイダンス技法に従って実施していれば，本件は防げたと考えられます．なお，プログラム・ミスを防衛する仕組み（フォールト・トレランス技法）を採用しておく，という考えがあってもよかったでしょう．

よしおか・りつお
（株）日本機能安全

参考・引用＊文献
（1）回転ドア事故，朝日新聞，2004年3月27日．
（2）回転扉事故，全国で270件，日本経済新聞，2004年4月20日．
（3）東武線踏切事故， 朝日新聞，2005年3月16日．
（4）JR福知山線脱線事故，フリー百科事典（ウィキペディア）．
（5）東証システム障害，朝日新聞，2005年11月2日．