Human factors and functional safety (in Japanese) ヒューマンファクターと機能安全

1. 中田 亨
(産業技術総合研究所 Toru Nakata aist.go.jp )
ヒューマンファクターと機能安全
1

2. 人間の信頼性に頼ってしまう
 無人運転の方が安全？
 エレベータ、ゆりかもめ：無人万歳
 完全自動飛行機、完全自動手術ロボット：まだ怖い
 「人がいた方が安全な印象」はどこから生まれるか
 システムの故障率が大きい場合は、人間にいてほしい
 設計想定外の事態でも、人間なら対応できる？
 人なら、効率のために安全規則を少し緩めてくれるし、
うまくカバーして事故にはしない？
 今時、手動の踏切での事故(2005年)
 運転手に法的責任を持たすことができる？
 つい、設計の不備を人にしわ寄せする？
 「システムが故障しても人間が対処するから安全です」という逃
げ口上
2

3. 人間は一人四役
1. 監督者としての人間
 目標を設定し、非常時には作業打ち切りの決断をする、
最高権限者。
 例：「私は自転車に乗ってAに行くぞ！」と決める人
2. 制御系としての人間
 誤差を打ち消す人力の制御器
 例：舵切り制御する、目・脳・腕
3. 被制御系（システム本体）としての人間
 例：力を出す足
4. 外乱源としての人間
 間違える、ふらつく。
 例：道の間違い。フラフラ運転
3

4. 人はこう使え
役割 望ましい姿 不適切な姿
監督者
熟慮できる環境 せわしない決断要求
安全優先の選択肢がある。
事前に損切りラインを設定。
ジレンマばかりで選べない。
事前想定なし。
十分な情報が与えられる 情報不足、知識不足
制御系
不器用でもOK 個人の技量に頼る
割り込み業務もこなせる 制御への専念が必要
安全規則は完全遵守 安全規則を人が緩める
被制御系
変動、休憩を許す 定常出力を要求する
人しかできない仕事 機械の方が勝る仕事
外乱源 人間をなるべく隔離 人間を排除できるのにしない
4
上記９項目を点付けし、SILと見合うかチェック

5. 人間のまちがえる確率は？
 HEP: Human Error Probability
 その逆は、HR: Human Reliability
 まちがいのメカニズムは全く謎である。
 羽生名人ですら一手頓死の大ポカ(2001年）
 HEP見積もりの精度を求めるのは、むずかしいが、
 代わりにこう考える
1. 確率的見積もりがいらない場合も多いぞ。
2. 見積もりが必要なら、故障樹分析等を使おう。
3. 一番大事なこと、それはコンセンサスだ。
5

6. 決定論的／確率論的
 決定論的：「この状況なら、ああなる」とif-thenルール
で決まること
 「決定論的エラー」：再現性が高いエラー
 「系統的エラー」ともいう。
 「群馬県の県庁所在地は、タカサキでしょうか？タカザ
キでしょうか？」
 「２３－７＝１７－３＝１４」：小学生に多いミス
 「両国国技館 東京都墨田区横網１－３－２８」
 確率論的：再現性が低いこと
 「確率論的エラー」：予測がつきにくいエラー
 文字の書き間違い、ダーツの的外し、等
6

7. 決定論的エラー
 3秒以内に“O”の文字を探しなさい
7
O
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
Q
P
S
Q
S
A
Q
C
O
S
D
D
D
Q
DV
A
P
T
D
S
C
D
D
V
B
QB
W
R
D
S
C
R
D
D
C
A
L
D
S
E
T
P
T
I
Q
F
Q
D
B
Y
R
V
X
T
Z
T
M
H
J
G
S
O
W
T
K
T
U
N
B
D
ほぼ100%成功する ほぼ100%で失敗成功確率は中庸で不明
成功するルールがはっきりしている。
• 「はじっこなら」「字形が大きく違うなら」「整列なら」
If-thenルールで、エラー率ゼロと見積もっていいのでは。

8. 決定論／確率論の領域境界
8
Humanreliability
(人間の作業成功率)
0%
100
作業の複雑度
決定論的見積も
りで考えるべき
定量的評価が
必要
そもそも設計が
ダメすぎる
100-e
%
d
ひざ点
Knee point
ひざ点の設定方法は、実験による測定か、文献値か、設計者の直感。
どれにするかは、コンセンサスの問題

9. 確率論的評価
 「このタスクは100%成功としよう」とは言えない作業に
は必要となる。
 各種技法がある。
 Technique for Human Error Rate Prediction (THERP)など
 同工異曲の技法が多すぎ？
 人のエラー確率(HEP)は不明である。
 実験でエラー確率を調べる。
 文献値・典型値を使う。
 THERPの本などに書いてある
 精度や根拠は乏しいが、使用実績はある。
 樹系図で考える
9

10. Fault Tree Analysis (FTA)
10
自動車走行中にドアが開く
運転手がド
ア開きに気
付かない
運転手が発
進時にアクセ
ルを踏む
運転手が高
速度である
ことを忘れ
る
運転手がドア
を開ける
3 ∙ 10−3 3 ∙ 10−4
3.3 ∙ 10−3
1.00 1.003 ∙ 10−3
(=
1
365
) 3 ∙ 10−4
(=
0.1
365
)
特定の事故が起こる条件と確率を逆算

11. Event Tree Analysis (ETA)
11
害
Yes
No
高速運転中
の自動車
運転手が高速度を
忘れない
無
運転手がドアを
開けようとする
無
ドアロック作動
無
中
安全装置により
ガソリン供給停止
大
9.9 ∙ 10−1
見積り確率
0.9997Yes
No
0.9997 0.9997 0.999999
3.0 ∙ 10−4
9.0 ∙ 10−8
9.0 ∙ 10−14
9.0 ∙ 10−8
3.0 ∙ 10−4
3.0 ∙ 10−4
3.0 ∙ 10−4
1.0 ∙ 10−6
１つのポカから起こりえる事故を広く予想

12. 評価の厳格度
項目 厳格 簡略
情報の根拠
使用実績、実験、信用
のおける文献値
直感、定性値
被験者数 多い 4人以下
被験者特徴
多様。老若男女。実際
のユーザ
均一。社内人員
実験シナリオ 実際的シナリオ。混合 要素的シナリオ。単純
実験環境
迫真。多様（夜間、悪
天候、極寒地）。
実験室内。シミュレー
ション。
事故情報フィード
バック
苦情情報回収体制あ
り
苦情情報が来ない
評価技法
定量的。FTA, ETAなど
既存の構造的な手法
を踏襲。
定性的。評価の構造
が浅い。
12

13. コンセンサス、それが求められる
 どのくらい厳格な手法を使えばいいのか？
 厳格度の選択は、合意に依る
 SILに応じて、合意の範囲を広げる
 合意の範囲：設計者当人のみ、設計部署内、独立した
検査部署、特定の買い手、公的機関、一般消費者
 IEC規格は策定作業中である。
 参考になるのは、UK DEF STAN 00-250 - Human Factors
for Designers of Systems
 しかし、事故は起きている。
 いつ裁判に巻き込まれてもおかしくはない。
 どこに出しても恥ずかしくない、公正明大なコンセンサ
ス作りが必要。
13