top of page

ヒューマンエラー対策(その3)



前回は脳の情報処理における「知覚」「記憶」「判断」「行為」という4つの要素について、エラー・レジスタント・アプローチによるエラー対策を話題にしました。今回はエラー・トレラント・アプローチによるエラー対策です。

しかし、エラー・レジスタント(エラーをさせないようにする)とエラー・トレラント(エラーが起きても事故に至らせない)の区分けは必ずしも明確にできないように思います。例えば「指差確認呼称」はエラー対策の基本と言えるものですが、これを正しく行うことで対象物を見誤らない「知覚」のエラーを防ぐことができます。それは、腕の運動や声出しによる脳の活性化、指先による対象物の明確化などによって、エラーを防ぐ効果があるからであり、これはエラー・レジスタントが機能したと言えるでしょう。しかし、思い込みや緊張、焦りなどが伴う場面では、指差確認呼称を行っても、エラーをしてしまうことがあります。例えば、火力発電所の機器名称には「タービン駆動ボイラー給水ポンプAブースターポンプ軸受け油ポンプB」といった具合に「ポンプ」が複数回使われ、AとBが混在するような例がたくさんありますが、このような対象機器を次々と操作していくなかで、Bを指差しているにもかかわらずAと呼称してしまうようなエラーが起きやすくなります。指差確認呼称をすることで、自分の声を聞いた本人がエラーに気が付くこともあれば、チームの誰か(制御室であれば副制御員や指令者等)が「ちょっと待って、それAとBを間違えてるよ」と気が付いてくれることもあります。操作を行う直前にエラーに気がついて修正できたという点では、エラー・トレラントが機能したと言うこともできますが、エラーに気が付いて修正することで「誤操作」というエラーを防止できたと理解すれば、エラー・レジスタントに含めることもできそうです。このようなことで、明確に区分けすることが難しいケースもありますが、その点は寛容(トレラント)に受け止めていただけると幸いです。

それでは話しを進めますが、「知覚」のエラー・トレラント・アプローチには、上述のとおり「指差確認呼称」がその1つとして挙げられます。また「知覚」だけに限りませんが、「確認会話」はエラー・レジスタントとエラー・トレラントの両面で有効だと言えるでしょう。

次に「記憶」のエラー・トレラント・アプローチは、記憶違いや失念(忘れ)があっても事故に至らせない対策ですが、日常生活で多用する「タイマー」がまず思いつくと思います。火力発電所の中央制御室の制御盤には、いくつものタイマーが置かれていました。起動停止の過程で数分間バルブを開けるという操作を行うことがありますが、そのバルブの操作スイッチの横にタイマーを磁石で付けてセットしておくのです。起動停止の最中は同時併行でいくつもの操作を行っているため、バルブを閉めるのを失念する可能性がありますから、タイマーはとても有効な手段です。タイマーのアラームを「警報」「アナウンシエータ」(告知装置)だと考えれば、これらの機能は「記憶」のエラー・トレラント・アプローチだと言えるでしょう。(近年の火力発電所の運転監視システムは自動化が進んでいますので、タイマーを使う場面は少なくなっていると思います)

次は「判断」のエラー・トレラント・アプローチです。誤った判断をしても事故に至らせない対策です。物語の中で、夏の電力需給がひっ迫しているさなかに復水器で海水リークが発生し、運転責任者の秋本が非常停止させる場面があります。この場面では秋本は正しい判断をしたのですが、もう少し粘って運転を継続しようとしていたら、復水器の細管が破断して大量の海水がボイラーへ至る系統へ流れこんでしまっていたでしょう。近年では、このような誤判断による事故を回避するため、自動停止させる機能がエラー・トレラント・アプローチとして充実しています。また、発電所では「歯止め」を決めておくということをよくやっていました。運転制限値は決められていますので、これを歯止めとして確認しておく場合もありますが、新たなプラントを建設して試運転を行うようなケースでは、想定を超えて急激に事態が進展する場合があるため、運転制限値よりも前に非常停止しなければなりません。しかし、運転状態の確認に手間取り非常停止を判断するタイミングが遅れるというエラーをする可能性がありますので、「歯止め」の値に達したら、有無を言わさず非常停止をするのです。

最後は「行為」のエラー・トレラント・アプローチです。判断は正しいものの、AとBを取り違えてしまうというエラーを事故に至らせないための対策です。この対策として一般的なのが「インターロック」です。必要な条件が整っていないと起動しない(運転できない)仕組みです。しかし、インターロックは一般的には起動しない仕組みですから、停止側には備わっていません。このため、Aを停止すべきところ、Bを止めてしまうというエラーには対応しておらず、その結果、プラントが非常停止してしまうというケースがあります。しかし、この場合でも、発電は停止しますが、プラントが損傷するような事故には至らないよう、フェイルセーフというエラー・トレラント・アプローチの対策が取られています。

閲覧数:22回0件のコメント

最新記事

すべて表示

なぜ事故事例から学べないのか

「あそこは以前からときどきトラブルを起こしていたから」「いつかは事故を起こすと思っていた」「でも、ここ(自分たち)は大丈夫」このような言い方で他の職場を批判することはありませんか? さらには、口には出さないまでも「あんなつまらないエラーを起こすなんて」といった具合で見下すことも・・・ 私たちは、伝わってくる表面的な事象や事故の直接原因のみを捉えて、事故の当事者たちを非難しがちです。しかし、このよう

Comments


bottom of page