engineering
​        
  • 安全とは
  • 会社案内
  • 業務案内
  • 実績と経歴
  • 報酬
  • 用語集
技術士は文部科学省登録の中立で高等な技術者です。
労働安全コンサルタントは安心して働ける職場にするための
労働安全衛生法の規定による労働安全の専門家です。

安全工学

事故や失敗の教訓を学べる施設には公開されているもの非公開のものなどあります。見学/訪問の前に確認してください。

Compas_IMG_0197.jpg

1) 日本航空JAL安全啓発センター

  1985年8月のJAL123便御巣鷹山事故に関する多くの展示

 東京都大田区羽田空港1-7-1第2綜合ビル内

  https://www.jal.com/ja/flight/safety/center/



2) JR東日本 事故の歴史展示館

  JR東日本総合研修センター内(福島県白河市)

3) 三菱重工 長崎造船所 史料館

  〒850-8610 長崎県長崎市飽の浦町1-1

  http://www.mhi.co.jp/company/facilities/history/

4)Tacoma Bridge

事故は1940年に発生した。橋は3度掛け替えられている。ビデオテープの入手が可能。

 5) 鹿島北共同発電 史料館

 〒314-0102 茨城県神栖市東和田16

0299-96-2111

要予約 

6) JCO臨界事故展示、原子力科学館

  模型による展示

  〒319-1112 茨城県那珂郡東海村村松225-2

  http://www.ibagen.or.jp/index.php

7) JAXA H2ロケット墜落事故のエンジン

展示館見学の事前申し込みは不要、見学ツアーは有料で事前予約制。

http://fanfun.jaxa.jp/visit/tsukuba/contact.html#visit_contact

http://www.jaxa.jp/article/special/h2a6/essential_j.html

8) 関西電力 美浜原発3号機

平成16年、5名死亡、6名重傷、事故

http://www.kepco.co.jp/corporate/energy/nuclear_power/m3jiko/

美浜原子力PRセンターにて事故概要などのパネル展示。

http://www.kepco.co.jp/corporate/energy/nuclear_power/m3jiko/remember.html

9) JR西日本 平成17年4月のJR福知山線脱線事故

マンションは現場保存、2018年ごろ公開予定

脱線車両は社内研修施設で保存中

10) 森ビル回転ドア

メーカー研修所にて保存

11) 埼玉県ふじみ野市 流水プール吸い込まれ事故

吸水口を切り取り保存

産業技術総合研究所(お台場)

研究者に限定し公開、要予約

IMG_0418.JPG(写真)

12) niteスクエア

NITE本所の「NITEスクエア」

東京都渋谷区西原2-49-10

http://www.nite.go.jp/koho/raisho/kengaku.html

13) ANAグループ安全教育センター A S E C ANA Safety Education Center

東京都大田区下丸子4-23-3

http://www.ana.co.jp/ana-info/ana/lounge/education/asec.html

14) セーフティしらがき

1991年5月14日午前、信楽(しがらき)駅からの高原鉄道車両と、京都からのJR西日本の直通快速車両が単線上で正面衝突し、乗客37人、乗員5人の42人が死亡、614人が重軽傷列車が正面衝突した大事故

信楽駅舎内

http://koka-skr.co.jp/

15) JR西日本 安全創造館

「安全を支える人材の育成」の取り組みの一つとして、過去の事故を風化させず社員の意識にとどめ、鉄道の安全をつくるプロとしての自信と誇りを再認識させるため、研修施設「安全創造館」を平成23年1月に開設しました。映像の視聴設備、過去の列車事故等の展示、指差確認の重要性を体験できる設備等を設置し、6つのステップに分けて、全社員を対象に教育を実施しています。

http://www.jrkyushu.co.jp/profile/works/railway01.jsp

 

は 半分でよい

ひ 人並みでよい

ふ 普通でよい

へ 平凡でよい

ほ 程々でよい

 

ラジオを聞いていたら流れてきました。強欲のいさめです。自分を反省することしきりです。

機械は壊れるもの、人は誤るもの、を前提にして考える。機械の壊れ方はその兆しがあるものが多い。それに比べて電気系統の不具合は突然発生する。機械の機能、性能は制御系に依存している部分が多いので電気系統が機能しなくなると大変困る。安全装置も制御系との関わりがあるので電気の不具合は事故に直結する。
 そこで機械が壊れないように、故障しないようにという方法を最初に検討され採用されてきた。すなわち信頼性を向上させることに努力を傾注してきた。信頼性を高くするには、良質で厳選された部品を採用する方法と、系統を多重化して1つの系統に不具合が生じたら他の系統に切り替える冗長化(多重化)が採用する方法がある。ジェット旅客機、原子力発電所、一部の化学プラントなどでは良質な部品を使用しかつ多重化が行われている。規模が大きくてかつ安全状態である停止に移行するに時間を要する分野である。事故がもし発生すると被害の規模は大きく、また設備を停止させるには時間を要する共通点がある。
 それに比較すると、一般の工場設備、工作機械、食品機械、印刷機械などは、規模が小さく安全状態である停止に移行することが容易である。原子力発電所の事故と不具合が生じたら停止させられる生産機械とは発想が全く違う。即ち、機械は壊れるものであるから、故障しても人が怪我をしない、人命を失わないように機械を作ろうという考えがあり、これをフェールセーフという。機械が壊れた場合、本来の機能(たとえば生産する、運搬するなど)が発揮出来なくても災害を起こさないことを優先している。これに対して故障になりそうな部分をあらかじめ2重化、あるいは3重化しておき故障した場合に系統を切り替えて機械の本来の機能を保つ考えがある。これをフォールトトレランスという。故障を許容する考えである。ジェット旅客機に搭載してあるコンピュータが3重化されているのがその好例である。
 信頼性を高めることは、機械の一部が故障しても機械の機能を失わせないことが目標であり、安全性を高めることは、機械の一部が故障した場合に機械の機能を失っても人に危害を与えない事の違いがある。
なお、国際規格ではフェールセーフの用語を使用しない方向である。それはこの機械はフェールセーフであるというと法律的な責任問題が発生する国があるので国際規格ではフェールセーフの用語の使用を控えている。

 

非常停止機能とは

 非常停止(機能 emergency stop (function) とは、次のことを目的とした機能をいう。
- 人に対する危険源を叉は機械類若しくは工程中のワーク-の損害を避けるか叉は減少させる。
- 人間の単一の動作によって始動する。
非常停止機器の設計上の注意事項は、(1)配置、(2)非常停止機器の構造、(3)制御、(4)その他の考慮事項に分けて述べる。

(1)配置
① オペレータおよびその他の人(だれでも)が操作できること
② 非常停止機器は明確に識別可能で,明確に視認できること。
③ 非常停止機器に速やかに危険無く接近可能できること。
④ 非常停止機器は、各オペレータの操作位置ごとに及び非常停止を必要とする位置に配置すること。
⑤ 非常停止機器操作は危険がない位置に取り付けること。

(2)構造
① 非常停止機器は容易に働かせるように設計されているもので形状は下記であること。
-きのこ形ボタン
-ワイヤ,ロープ,バー
-ハンドル
-特別な場合として,保護カバーのないフットペダル
② 非常停止機器のアクチュエータは,赤色でなければならない。アクチュエータ背後に取付面(地)があり、実施可能であれば、取付面(地)は黄色であること。
- ワイヤ叉はロープを使用するとき、マーカーフラッグを取り付けると見やすくなる。
③ 非常停止機器は、ポジティブな機械的作用の原理(後述)を適用したものであること。
⑤ 非常停止機器が動作を開始し、非常停止信号を出力したら、その信号はラッチング[機械的か(噛)み合い]によって保持しなければならない。
-非常停止信号を出力することなしに非常停止機器がラッチング可能になってはならない。
-非常停止機器(ラッチングを含めた)が故障した場合,停止信号を出力することがラッチングより優先しなければならない。
⑥ 非常停止信号は非常停止機器がリセットされる(かみ合いがはずされる)まで保持しなければならない。
⑦ 非常停止機器のリセットは,当該の非常停止機器を手動で操作することによってだけ可能でなければならない。

(3)制御
① 非常停止は、停止カテゴリ0又は停止カテゴリ1(後述)のいずれかの機能であること。
② 非常停止機能は、非常停止機器の動作後、別の危険を発生させず、危険な工程は、新たな危険源を生じないように可能な限り迅速に停止させること。
注)これが不可能な場合又はリスクを低減できない場合,非常停止機能の実施が最良の解決策か否か検討するべきである。必要な場合,非常停止制御機能は特定の安全防護物の作動を開始するか,又は開始を許可しなければならない。
③ 非常停止機能は,保護機器叉は他の安全重要機能をもつ機器の有効性を損なってはならない。
④ 非常停止機能は捕捉された人を解放するように設計されたいかなる設備をも損なってはならない。
⑤ 機械のすべての運転モードで他のすべての機能に優先しなければならない。
⑥ 非常停止機器を切り離すことができる(例えば,携帯形教示ペンダント)場合,叉は機械類を部分的に分離できる場合,動作中及び非動作中の制御機器との間の混乱が生じさせぬこと。
⑦作動状態にある非常停止機器すべてが,リセットされるまで再起動が可能であってはならない
⑧非常停止機器のリセットが再起動信号となってはならない。

(4)その他の考慮事項
① 非常停止機能は,安全防護策及び他の安全重要機能の代替手段として採用してはならず,バックアップの方策(例えば,故障の場合)として設計するのがよい。
② 非常停止によって動力源を切り離す場合は、電磁チャック叉は制動機器のような補助的設備が確実に作動すること。
③ "適切な方法で停止"とは,次のようなことを含む。
-最適な減速度の選択
-停止カテゴリの選択(4.1.5参照)
-運転の停止順序の事前決定
これらは機械アクチュエータの動力源を切り離すことを含んでいる。動力源の切り離しの例
-電気モータへの電源切
-機械エネルギー源から動作要素分離
-ラム/スライド-の流体動力源遮断
④ 非常停止のカテゴリの選択は,機械のリスクアセスメントによって決定しなければならない
⑤ ポジティブな機械的作用の原理とは、強制開離機構をもつ電気接点を用いた非常停止機器である。 IEC 60947-5-1 :1990の3.2.2によれば, (接点の)強制開離機構とはスイッチのアクチュエータの規定された動作が弾力性のない部分(例えば,バネによらない。)によって直接的に接点を分離するものである。

関連する国際規格 IEC 60204-1:2005、ISO/IEC 13850
 

 アシモフのロボット3原則を紹介します。

第1条 ロボットは人間に危害を加えてはならない。また、その危険を看過することによって、人間に危害を及ぼしてはならない。
第2条 ロボットは人間に与えられた命令に服従しなければならない。ただし与えられた命令が、第1条に反する場合はこの限りでない。
第3条 ロボットは、前第1条および第2条に反するおそれのない限り、自己を守らなければならない。

First Law:A robot may not harm a human being, or, through inaction, allow a human being to come to harm.

Second Law: A robot must obey the orders given to it by the human beings, except where such orders would conflict with the First Law.

Third Law: A robot must protect its own existence, as long as such protection does not conflict the First or Second Law.

なかなか意味深です。ロボットを人間に置き換えてみるとますます何かが見えてきます。

 

IP はInternational Protection の略で、電気製品の筐体が、異物の侵入を防ぐ保護等級を表すもので、筐体(エンクロージャ)内の危険な部分に接近する人体に対する保護および固形物、水の侵入に対する保護等級が分かるようになっている。IP00~IP68に分類されIP①②③④のように示される。第1特性数字①は外来固形物の進入に対する保護内容、第2特性数字②は水に対する保護内容を示す。③は付加文字(オプション)、④は補助文字(オプション)でそれぞれ任意である。

該当規格はIEC6059:2001、JIS C0920:2003である。
規格の記述をマトリックス表示して分かりやすくしたものを下記に示す。

 


 

第1記号人体および固形異物に対する保護の程度
第2記号浸水に対する保護等級
付加文字  A  こぶし(拳)が入らない
        B  指(テストフィンガー)が入らない
        C  工具が入らない
        D  針金が入らない
補助文字  H  高圧機器
        M  水の試験中動作させる
        S  水の試験中停止させる
        W  天候条件(製造者とユーザで取り決め)
        F  防油形(附属書1で追加)
        G  耐油形(附属書1で追加)


 

電気はとても重宝なものです。その使用には絶縁が欠かせません。絶縁の方法、即ち構造を5つの分類、感電に対する保護を4つのクラスに分けています。

絶縁 insulation (関連国際規格 IEC60950 1.2.9)

 電気または熱の通過を遮断すること。完全な遮断は出来ないので,電気伝導率または熱伝導率が十分小さいものを絶縁体という。絶縁には次の種類がある。
(1) 基礎絶縁 Basic Insulation: 感電に対する基礎的な保護となるように充電物に施した絶縁。
(2) 付加絶縁 Supplementary insulation: 基礎絶縁が故障したとき、感電に対する保護が出来るように基礎絶縁に追加して設けられた独立した絶縁。
(3) 2重絶縁 Double Insulation: 基礎絶縁と保護絶縁の2つからなる絶縁。
(4) 強化絶縁 Reinforced Insulation: 充電部に施された単一の絶縁であって感電に対する保護の度合いが2重絶縁と同等であるものをいう。
(5) 機能絶縁 Operational Insulation: 機器が正しく機能するために必要な絶縁をいう。

感電に対する保護 (関連国際規格 IEC60950 1.2.4.1)

感電に対する保護形式は、4クラスがある。
(1)クラス0機器: 感電に対する保護を基礎絶縁だけに頼る機器をいう。
(2)クラスI:感電に対する保護は基礎絶縁と、基礎絶縁が故障した場合に可触導電部が充電部にならないように設備の固定配線中のアース用保護導体にこの可触導電部を接続するなど、追加安全予防策をもっている機器をいう。
(3)クラスII:感電に対する保護を基礎絶縁だけではなく、二重絶縁または強化絶縁のような追加安全予防策を持っている機器をいい、また保護用アースを必要としない。
(4)クラスIII:感電に対する保護をSELV(導体間または任意の導体と供給電源から絶縁されている回路の中のアース間において実行値が50VACを超えない電圧)の電源に依存し、かつSELVより高い電圧を内部で生じることがない機器をいう。

 

起動停止回路に使用される自己保持回路について説明する。


機械の始動と停止には押しボタンスイッチが好んで使用される。押しボタンスイッチは、ボタン部分を指先(手)で押している時だけ接点が開(または閉)になるものが基本形である。ボタン部から指を離すと接点が元の状態に戻る。指を離しても機械が運転を続けるように自己保持回路を使用し、始動ボタンを押して運転状態、停止ボタンを押して停止させる。
図1のブロック図を回路図に展開すると図2になる。

 



この自己保持回路は、始動ボタンを押すとリレーコイルに電流が流れリレー接点(2)を閉じてモータを起動する。同時にリレー接点(1)も閉じるので押しボタンスイッチを離してもリレーコイルに電流が流れ続けてモータは回転を続ける。停止押しボタンを押すとリレーコイルに電流が流れなくなるのでリレー接点(2)が開きモータが停止する。またリレー接点(1)も開いているので停止ボタンを放してもリレーコイルには電流が流れずモータは停止している。

自己保持回路と安全性
 図3にトグルスイッチとリレーを用いたシーケンス図を示し図2との比較をしてみる。なおトグルスイッチには各種のものがありその一例を図4に示す。図3のトグルスイッチは、モータ「運転」指令を機械的に保持し、トグルスイッチに機械的操作を行うことでモータ「停止」を実行する。この構成では、1つのトグルスイッチの故障(機械的故障、接点溶着など)によりモータを停止出来ないが、さらに停電や異常によりモータが停止した場合に復電時に自動的にモータが起動する重大な危険性がある。従って不用意な(再)起動を防止するためにモータなどの駆動制御には押しボタンスイッチと自己保持回路を採用すべきである。


 


 



なお広く使用されているPLC(シーケンサ)を使用する場合も同じ考え方を適用できる。PLCへの接点入力は、始動ボタンからはa接点、停止ボタンからはb接点を使用する。停止ボタンにa接点を使用し接点閉で停止させることは接点故障や断線などの故障時にモータを停止出来ないので行うべきではない。図5ではモータ用の電磁接触器(コンタクタ)を図中から省略してある。

 



(以上)

 

1.安全と機械の事故率
 安全は「受け入れられないリスクからの解放(freedom from unacceptable risk)」と、安全に関する国際規格の最上位にあるISO/IEC Guide51は定義している。安全を定義することはとても難しいので、リスクを定義してそのリスクから解放されていると定めた。リスクを危険や危機と置き換えるだけではしっくりしない。「危ない橋を渡る」がリスクと似たような意味を持つように思える。危ないと思ったらその橋を渡らなければよい。橋を渡るのは何らかのリターンを期待してからであり、そこには橋を渡るという人の意志がある。

 

表1 年あたりの死亡確率

確率/年

身近な事例

1/10

 

1/100

がん、心疾患

1/1000

不慮の事故、自殺、路上交通事故

1/10,00

溺死、火災、(労働災害、除く交通)

1/100,000

自然災害、鉄道事故

1/1,000,000

航空事故

1/10,000,000

落雷、(原子炉設計目標)


事故や災害では事故率がときとして話題になる。参考として身近にある不慮の事故などによる年間の死亡確率(表1)をみると、生活感覚として受け入れている死亡確率はかなり低い事がわかる。

所定の期間、所定の条件下で、安全関連システムが要求の安全機能を満たして実行する確率をSafety Integrity Level (SIL)と表現する1)。SILの日本語訳について諸論あるが、ここでは安全度達成レベルとし文中ではSILと表記する。SILには4つのレベルがありSIL4が最高レベル、SIL1が最低レベルである。安全関連部の目標平均故障モードTFMをSILの4つのレベルと併せて表2に示す。10年に1回の割合で故障する安全関連部であればSIL1、100年に1回の割合で故障すればSIL2である。化学プラントはSIL2またはSIL3、鉄道はSIL4、原子力発電所はSIL4がそれぞれ目安である。次にいくつか機械の事故事例を調べてみよう。


 

表2 セーフティ・インテグリティ・レベル (SIL)と目標障害尺度(TFM)

安全性到達レベル (SIL)

低デマンドモード運転(年間発生率)

4

10-5≦TFM<10-4

3

10-4≦TFM<10-3

2

10-3≦TFM<10-2

1

10-2≦TFM<10-1

 注)10-2は1/100を示す




2.10年目に起きた機械類の事故事例
公共施設の事故事例を新聞報道やネットから情報を収集し整理要約してみた。一般に公開されている情報から収集したので不正確さや曖昧さがある。事例研究例としてお読みいただきたい。
(1) 2006年4月14日午後5時5分ごろ、東京都江東区青梅の新交通システム「ゆりかもめ」船の科学館付近で車両(6両編成)が緊急停車した。事故を起こした車両は、車輪を車軸に固定する金属部品「ハブ」の一部が何らかの原因で壊れて車輪が外れていた。国土交通省航空・鉄道事故調査委員会が部品の破断面を調べたところ、十数センチにわたってサビがあることが確認され、さびていた部分は強度が不足し、事故の前から亀裂が生じていた可能性が高いとみて、どの程度前に亀裂ができたのかを詳しく調べている。開業は1995年10月である。
 ゆりかもめのような新交通システムはゴムタイヤ系の交通機関なので従来からの鉄道の常識がそのまま使えない場合も多い。今回の事故は運用開始後11年、走行90万キロで生じた事故でありゴムタイヤ系の路上交通機関では廃車を迎える時期である。ところが鉄道では90万キロ走行というとまだ新しい車両とみなされる。鉄道と路上交通機関のように全く別々に発達したシステムを融合すると弱い部分が先に故障する事例である。 
【教訓】十分吟味された部品を使用すること。点検による安全性確保は点検間隔が延びると安全性が減少する。

(2) 2005年7月19日午前9時45分頃、東京都豊島区東池袋のサンシャインシティビル2階にあるビルイン型テーマパークのお化け屋敷の展示物(仕掛け設備)で女子従業員が胸部を挟まれ意識不明の重傷を負った。この展示物は、観客が近づくと空気圧でふたが開きお化けが出てくる仕掛けになっている(図-1参照)。従業員は底部に設置されている照明設備を調整しようとしてふたにはさまれたらしい。開業は1996年である。
 120cmx100cm、30kgのふたは、観客を感知すると空気圧で開き、箱の中から仕掛けが出てきて観客を驚かせ13秒後にタイマーで自動的に閉まる構造である(図1-b)。箱の中のフットライトは前日から具合が悪かったという。開演前のため事故時の目撃者はいなく、従業員はふたに挟まれた状態で発見された。報道されているように、もし従業員が営業状態(ふたは自動的に開き13秒後に閉まる)で前日に不具合が引き継ぎされているフットライトの様子を見ようとしてふたに挟まれたとすれば、これは工場の現場でいうチョコ手である。重量物を持ち上げた状態で点検する場合は安全ブロック(図-3)を使用し、さらに予期しないときに起動しないように動力源を遮断することが重要である。
 停止時のエネルギ(電気、油圧、空圧)の遮断方法の違いを停止カテゴリとしてIEC60204-1は次のように分類している。
- カテゴリー0: 機械アクチュエータの電源を直接遮断することによる停止(,非制御停止)。
- カテゴリー1: 機械アクチュエータが停止するために電力を供給し,その後停止した時に電源を遮断する制御停止。
- カテゴリー2: 機械アクチュエータに電力を供給したままにする制御停止。
【教訓】チョコ手災害は業種を問わず発生し、押しつぶしの危険源はどこにでも存在する。確実な停止にはカテゴリー0を採用すること。


(3) 2004年3月26日午前11時30分、東京都港区六本木ヒルズの森タワー正面入り口で、6歳の男子が自動回転ドアに頭部を挟まれ、死亡した。回転ドアは直径4.8m、回転ドアとしてのほか、通常の自動ドア(スライド式)としても使用できる。回転ドアは六本木ヒルズの森タワー内に8台設置。挟まれ防止機能の光電センサ、接触式センサが装備されていた。完成は2003年5月である。
 六本木ヒルズではこの事故の前に32件(うち救急搬送10件)が発生、2003年12月には6歳児が体を挟まれる事故があった2)。ドアが人体を巻き込み、頭部など人体の部位を挟み込む衝撃力は実測では5500Nであった3)。 
 六本木ヒルズの回転ドアは、
1)原設計時は900kgの回転ドアは、変更を重ねて2.7トンまで重くなった。
2)ドアは一定速度で回転しており、ドアが閉まる部分の速度は一定である。
3)危険検出型センサーとブレーキに安全を依存している。
という欠陥を有している。
 ドアの基本的機能は、人が通過できることと内側と外側を区切るの2つである。人の出入りに日本家屋では戸(引き戸)が永く使用されてきた。扉(開き戸)が普及したのは比較的近年になってからである。「戸に非ず」と表記するところにもその一端を覗かせる。扉は構造的に力のモーメントを利用しているので人力で開閉する扉では強く急激に閉まる恐れがあり挟まれる可能性(せん断の危険源)がある。動力で開閉する電車やエレベータのスライディングドア(引き戸)は、挟まれ事故防止(押しつぶしの危険源)のためドアが完全に閉まる直前にはドア端速度を低下させる。一方、自動回転ドアのドア端の速度は一定であり、剛性を有し、人が巻き込まれる(巻き込みの危険源)危険をセンサが検知すると緊急停止のブレーキをかける。



 リスクを減少させるためにはISO12100-1でいう"設計者により講じられる保護方策"の"ステップ1 本質的安全設計方策"により例えば下記のような工夫をするべきである。
エネルギーを小さくする工夫(たとえば手動回転ドア)
ドアが閉まるときの速度を遅くする(ドア端が折れ曲がる)
挟まれても災害にならない柔構造のドアにする
挟まれたとき救出できるしくみ(逆回転引き出しは被災者を2度苦しめる)
危険源であるドア終端から離れる工夫(隔離の原則)
センサーに頼らない(安全確認型のセンサを使用する)
【教訓】危険をセンサで検出し、ブレーキに依存することに頼ってはならない。本質的な安全な方策を基本設計に立ち戻って熟慮すべきである。

(4) 2001年12月21日午後2時30分頃、東京都北区王子にある区立複合文化施設「北(ほく)とぴあ」の「さくらホール」舞台下で、可動式ステージを点検作業中の男性作業員5人が、昇降台(せり上がり舞台、以下せり台)と可動式ステージのあいだに挟まれ、胸部骨折などで3人死亡、2人が重傷を負った。せり台は前後に移動する可動式ステージの点検作業のため5名の作業者を乗せて9.4m下から移動中で、ステージ下1.5mで止まるはずだったが止まらなかった。図-5参照。完成は1990年である。
 原因は、リミットスイッチが停止位置で作動しなかった事である。リミットスイッチは図-6に示すように、舞台面から1.5m下がった位置でせり台を停止させるようにガイドレール側に取り付けられていたが、10年間の振動、衝撃、摩耗、経年変化によりドッグ(ストライカーと呼ぶ場合もある)とローラーレバーが十分接触せず接点が動作しなかった。機械式スイッチを使用するときには、必ずスイッチを押す力がスイッチに伝達されることが重要である。事故調査では、動作角度や取り付け位置にも疑問が生じたようであるが、機械を停止させる安全関連部に、スイッチ-ドッグ間の機械的距離一定の保障が無い状態で、汎用のローラーレバー式リミットスイッチを使用したことも誤りである。このスイッチは、ドッグが剛性のプランジャを直接押し、その力がスイッチに伝えられ、またスイッチの接点はプランジャが押される力を直接利用するタイプがよい。すなわち内部にばね機構が無く、接点が溶着しても強制的に乖離出来るタイプでなければならない。力の伝達機構にばねのような弾力性が介在しないことをポジティブという。さらに、せり台とガイドレールが停止スイッチの働く距離に保たれていることを確認するセンサも必要になる。図-7に一案を示す。メカニカルスイッチは、この事例に限らずガイドレールから離れて接触範囲外になると動作しなくなる。連続的に位置を読み取れるロータリーエンコーダを使用するなど連続的にセンサの健全性をチェックできるシステムが必要である。 
【教訓】安全関連部にはポジティブな結合で接点の強制解離機構のある安全スイッチを使用すること。

 




(5) 1993年10月5日午後5時30分頃、大阪市営新交通システム「ニュートラム」が住之江公園駅で、乗客約250人をのせた4両編成の車両のブレーキがかからず、減速しないまま終着の住之江公園駅を通過し約50m暴走して車止めに衝突して乗客215人が重軽傷を負った。トラブルは、ATO(自動列車運転装置)とATC(自動列車制御装置)をつなぐ「切り替え用リレー」が一時的に接触不良を起こした可能性が高い(科学警察研究所の鑑定)。開業は1981年である。
 ニュートラムは軌道上の発信装置から信号を受け、ATO、ATCなどのコンピューターで制御して運行する仕組み。事故当時は無人運転だった。科警研の鑑定によると、トラブルが起きたのは減速指令をブレーキ装置に伝える中継継電器盤内で、ATO側の電源を遮断し、ATC側の回路をつなぐ「切り替え用リレー」と呼ばれる部分。回路の他の部分には異常が見られないことから、このリレーが一時的に接触不良を起こした可能性が高い、としている。なお鑑定では、当初報じられたリレーの溶着は生じていなかったとのこと。
 安全の信号は、エネルギー有りで伝達し、危険の信号はエネルギー無しとすることが原則(安全情報抽出の原理)である。従って走行信号はエネルギー有り、停止信号はエネルギー無しで伝達する。停止信号が伝達出来なかった、それもリレーが一時的に接触不良を起こしたとは、安全情報伝達の原理を守れなかった事になる。問題のリレーは1981年の開業時から交換なしに使用されており、11年目の事故である。11年目に不具合を起こした安全関連部はSIL1のレベルであるとも言える。市交通局は事故後、中継継電器盤の主要個所の接点回路、配線を二重化し、一方が断線しても正常に作動させる――などの改良を全車両に施している。
製造後10年を経過すると電磁接触器や押釦に接触不良、動作不良などの不具合が発生する恐れがあり、予防保全的な対応が要求される。接触不良が生じたら暴走ではなく、停止する方向にするべきである。接点には、溶着、接触不良がある。こうしたトラブルから回避するためには、信号およびエネルギーは交流で送り、受信側で整流してエネルギーを取り出す方法をダイナミック処理という。
【教訓】SIL4を目指して鉄道の安全関連部を設計すること。

3. 機械の安全を守るためには
 前述の教訓をまとめてみると、いくつかの安全工学上の原則や安全に関する国際規格の規定が役立つことが分かる。

1)安全原則: 十分吟味された物を使用する(ゆりかもめのハブ)。
2)停止のカテゴリ:停止するときにはエネルギを遮断すること(お化け屋敷)
3)本質的な安全方策: エネルギーを低くする、軽くする、柔らかくする(回転ドア)
4)ポジティブな安全スイッチ:力の伝達は剛体で行う(北とぴあ)
5)安全情報伝達の原理: 安全はエネルギー有り、危険はエネルギなし(ニュートラム)

 国際規格のベースになっているEN規格は性能規格であり、state of the art すなわち技術的に可能な方法があるのであれば、その時点で、その最新の技術を使わなければならない。この考え方は国内法規の構造規格(法律制定時の最低技術基準を採用)や技術指針とは雲泥の違いである。法律が技術の進歩の妨げになることもない。安全に関する国際規格を採用すると設計者には大きな助けになる。安全であることを自分で世の中に証明するのは大変な仕事である。一方、規格を当該製品が満足しているかを証明するのはさほどむづかしい事ではない。第3者認証機関が存在するのもこの利便があってのことである。
 2006年4月から労働安全衛生法が改定されリスクアセスメントの実施が義務づけられた。現段階では、事業者に課せらているが、機械設計者にも影響が押し寄せてくるのは必須である。規格はメーカーを拘束や制約する物ではないことを認識して安全に関する国際規格を活用していただきたい。

4.機械は壊れる、人間は間違える"の真理

事故や失敗の経験を安全に活かせないのは、事故原因調査と責任追及を混在させているからで、特に責任の追求を処罰と連動させると、真の原因は暗闇に葬られる。依然として機械による災害で怪我をした当人が悪いときめつけられ、職場を去るような状況も多く見聞する。これは、"機械は壊れる、人間は間違える"の真理を間違って認識しているためである。機械は壊れるものなのだから壊れたときでも人の安全が守られていなければならない、人は間違える(エラーをする)のだから間違いを起こしても安全が保たれる(フール・プルーフ)が出来ていなければならない。ベテランだから、高度の教育を受けているからといって間違いは起こす。
 機械による災害を減少させるためには、世界の叡智である安全に関する国際規格に述べられている内容を学び、事故や失敗から得られる情報を共有し、リスクアセスメントを行って機械の企画と設計の段階から危険を減らす努力をすることが大切である。


1)  安全に関する国際規格IEC61508
2)  経済産業省HP  http://www.mlit.go.jp/kisha/kisha04/07/070408/03.pdf
3) NHKスペシャル 畑村洋太郎 ドアプロジェクト
 

ISOのマネジメントシステムを俯瞰できる解説です。

ISOは、電気・電子技術分野を除く工業、鉱業、サービス業、農林水産業など全産業分野の国際規格を作成している審議団体で、国際標準化機構(International Organization for Standardization)と呼ばれています。頭文字をとると、IOSとなるのに、なぜISOなのかというと、ISOはギリシア語の「isos」(相等しい)から取った名称といわれています。通常、「ISO」は「アイエスオー」と発音されますが、「イソ」と呼ぶ人もいます。電気・電子技術分野の国際標準化作業は別団体であるIECというが行っています。どちらでも別にかまいません。また、「ISO」というと、国際標準化機構の略称ですが、「国際規格」の意味で使われることもあります。


ISO 9000 は、ISO 9001(品質マネジメントシステム―要求事項)の意味で使われることが多いですが、時によってはISO 9000ファミリの意味で使われることもあります。ISO 9000ファミリにはISO 9000:用語、ISO 9001:要求事項、ISO 9004:パフォーマンス改善の指針、ISO 19011:監査の指針の総称があります。ISO 9001は認証登録のスペックであり、審査では、この規格の要求事項と適合しているかどうかをチェックします。規格内容は、組織が、顧客の要求事項と自組織に適用される規制を満足できる能力を持っていることを実証するために、継続的に改善活動を行い、顧客満足向上をはかる仕組みです。

ISO 9001とは:
 品質マネジメントシステムの国際規格で、審査ではこの規格の要求事項に組織側のシステムが適合しているかどうかをチェックします。初版は1987年に、その後の改版があり現在は第三版で2000年末に発行されました。JIS Q 9001 品質マネジメントシステム-要求事項(原文はISO 9001(Quality management systems-Requriements)です。章構成は
 1.適用範囲
 2.引用規格
 3.定義
 4.品質マネジメントシステム、
 附属書A~C
となっており、審査で要求されるのは「4.品質マネジメントシステム」の部分です。この規格は、顧客要求事項、規制要求事項及び組織固有の要求事項を満たす組織の能力を、主に第三者機関が評価用に使用されますが、組織が自己評価をするためにも使用できます。

ISO 9004とは:
 ISO 9001よりも広い範囲の品質マネジメントシステムの目標を設定し、組織全体のパフォーマンスと効率と継続的な改善のための手引として開発された規格です。JIS Q 9004 品質マネジメントシステム-パフォーマンス改善の指針 (原文はISO 9004(Quality management systems-Guidelines for performances improvements)。この規格は8つの品質マネジメントの原則
・顧客重視
・リーダーシップ
・人々の参画
・プロセスアプローチ
・マネジメントへのシステムアプローチ
・継続的改善、意思決定への事実に基づくアプローチ
・供給者との互恵関係
が基本的な考えになっています。ISO 9001と同じ時期に改訂されます。


ISO 14000は、多くの場合ISO 14001(環境マネジメントシステム―要求事項及び利用の手引)の意味で使用します。ISO 14000もISO 9000同様にファミリ規格がありますが、「ISO 14000」を「ISO 14000ファミリ」の意味で使うことはほとんどありません。ISO 14001は第三者機関による認証登録のスペックとして多く使用されますが、自己宣言のためのスペックとして使う事例もあります。規格内容は、組織が、法的要求事項と組織が同意する要求事項、さらに著しい環境側面の3つを考慮に入れた方針・目的を展開するために定められた環境マネジメントシステムです。

ISO 14001とは:
 持続可能な開発(sustainable development)を目標に1996年に初版が発行され、JIS Q 14001 環境マネジメントシステム-要求事項及び利用の手引、(原文はISO 14001 Environmental management systems-Requirements with guidance for use)で、現行版は第二版で2004年に発行されています。この規格は、組織が法的要求事項及び著しい環境側面についての情報を考慮に入れた方針及び目的を設定し、実施できるように規定された要求事項がメインに記述され、審査ではその要求事項に適合しているかどうかをみています。第三者機関による審査用スペックとして多く使用されますが、自己宣言用の基準や二者間監査としても使用することもできます。

ISO 14004とは:
 JIS Q 14004 環境マネジメントシステム-原則、システム及び支援技法の一般指針 (原文はISO 14004 Environmental management systems-General guidelines on principles, systems and support techniques)です。いかに環境マネジメントシステムを確立・実施・維持・改善するかについての手引を組織に提供することが目的で開発された規格で、ISO 14001の解説書ではありません。この規格には、ISO 14001にはない項目も含まれており、効果的な環境マネジメントシステムの実施に関する詳細で補足的な手引といえます。

ISO 14005とは:
 ISOで2006年から審議が始まった環境マネジメントシステムの段階的実施指針規格で、2009年に発行を予定しています。規格名称は Environmental management systems-Guide to the phased implementation of an environmental management system including the use of environmental performance evaluation (2005年末)です。この規格は ISO 14001 に至るまでを何段階かの階層に分けて、少しずつステップアップしながら、最終的に ISO 14001へ到達する内容です。審議のベースにBS 8555が採用されていますのでその影響が見込まれますが、BS規格がどれだけISOに採用はわかりません。


ISO 13485とは:
 医療機器における品質マネジメントシステムの国際規格です。JIS Q 13485 医療機器-品質マネジメントシステム-規制目的のための要求事項(原文はISO 13485 Medical devices-Quality management systems-Requirements for regulatory purposes)です。医療機器の品質を安定的に確保するために開発されたもので、ベースはISO 9001であり、初版は1996年、現行版は2003年に発行されています。この規格はもともと規制目的で開発されたものですので、ISO9001規格にある「顧客満足」と「継続的改善」は医療機器の規制になじまないので除外されています。


ISO/TS16949とは:
 自動車業界向けの品質マネジメントシステム規格で、初版は1999年、第2版の現行版は2002年に発行されています。2002年版は略称で「TS2」と呼称されています。TS2は、ISO 9001に自動車業界固有の要求事項が付加されたものです。審査ではTS2と、TSに賛同する自動車メーカー個別の要求事項も審査基準になります。TS規格作成団体はIATF(International Automotive Task Force)であり、審査制度は各地域ごとに世界で5機関が監視し、日本地区は米国のIAOB(International Automotive Oversight Bureau)が管理しています。


ISO 19011とは:
 品質でも環境でも使えるマネジメントシステム監査の指針です。JIS Q 19011 品質及び/又は環境マネジメントシステム監査のための指針(原文は Guidelines for quality and/or environmental management systems auditing 、2002年に発行)。従来、品質と環境には別々の監査規格が発行されていましたが、2002年に一本化されました。第三者審査用だけでなく、二者監査や内部監査でも活用できます。タイトルは「指針」ですが、実際はJRCAやIRCAなど、世界の審査員評価登録基準の策定に大きな影響を与えました。


ISO 20000とは:
 ITサービスマネジメント(原文は Information technology-Service management)の国際規格で、2005年12月に発行されました。Part 1は Specification(仕様書)、Part 2は Code of Practice(ガイダンス文書)の2分冊です。Part 1は認証基準であり、この基準に適合しているか審査します。Part 2は、監査員やサービスプロバイダー、被監査側のための指針です。英国規格のBS 15000がベースです。Part 1は、PDCAと継続的改善が基本構造となっていますのでISO 9001やISO 14001同様です。



ISO 22000とは:
 食品安全マネジメントシステムの国際規格で、2005年9月の発行です。食品安全マネジメントシステム-フードチェーンの組織に対する要求事項(原文は Food safety management systems-Rquirements for organizations throughout the food chain) です。HACCPシステムをISOのマネジメントシステムに組み込んだもので、コーデックスのHACCPシステムのガイドラインと整合がとられています。認証規格として使用でき、日本でもすでに審査が始まっています。


ISO 26000とは:
 Social Responsibility(社会的責任)の国際規格として2008年に発行が予定されている国際規格です。CSR(企業の社会的責任)という言葉は既に広まっていますが、ISOは「CSRというと企業に限定されるので政府や公共団体、非営利団体も社会的責任の対象である」という理由からCを抜いて「SR」としました。この規格は、「ガイダンス文書とし、認証規格にしないこと」、「マネジメントシステム規格にしないこと」で2005年末時点では合意されています。


ISO/IEC 27001とは:
 情報セキュリティマネジメントシステムの国際規格で、2005年10月に発行されました。JIS Q 27001:2006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(原文は Information technology - Security techniques - Information security management systems - Requirements)です。あらゆる形態の組織(例えば,営利企業,政府機関,非営利団体)を対象としてその組織の事業リスク全般に対する考慮のもとで,文書化したISMS(Information security management system)を確立、導入、運用、監視、レビュー、維持及び改善するための要求事項について規定しています。JIS発行とともに、日本情報処理開発協会(JIPDEC)が発行しているISMS基準(Ver.2.0)は廃版となりました。JIPDEC、日本適合性認定協会(JAB)が認定業務を行います。ISO/IEC 27001のベースは英国規格・BS 7799-2です。

JIS Q 15001とは:
 個人情報保護マネジメントシステムのJIS規格です。初版は1999年に策定され2005年4月の個人情報保護法の全面施行を受けて、2006年5月には第2版が発行されました。個人情報を事業の用に供している,あらゆる種類,規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定したものです。個人情報保護に関するコンプライアンスプログラムの要求事項でもあります。日本情報処理開発協会(JIPDEC)は、JIS Q 15001に適合している事業者を認定する「プライバシーマーク制度」を運営しています。プライバシーマーク使用許諾をうけている事業者は4400件を超えています(2006年9月)。
 

1  2  3