engineering
  • 安全とは
  • 会社案内
  • 業務案内
  • 実績と経歴
  • 報酬
  • 用語集
安全工学

安全工学

 10年目の事故事例

1.安全と機械の事故率
 安全は「受け入れられないリスクからの解放(freedom from unacceptable risk)」と、安全に関する国際規格の最上位にあるISO/IEC Guide51は定義している。安全を定義することはとても難しいので、リスクを定義してそのリスクから解放されていると定めた。リスクを危険や危機と置き換えるだけではしっくりしない。「危ない橋を渡る」がリスクと似たような意味を持つように思える。危ないと思ったらその橋を渡らなければよい。橋を渡るのは何らかのリターンを期待してからであり、そこには橋を渡るという人の意志がある。

 

表1 年あたりの死亡確率

確率/年

身近な事例

1/10

 

1/100

がん、心疾患

1/1000

不慮の事故、自殺、路上交通事故

1/10,00

溺死、火災、(労働災害、除く交通)

1/100,000

自然災害、鉄道事故

1/1,000,000

航空事故

1/10,000,000

落雷、(原子炉設計目標)


事故や災害では事故率がときとして話題になる。参考として身近にある不慮の事故などによる年間の死亡確率(表1)をみると、生活感覚として受け入れている死亡確率はかなり低い事がわかる。

所定の期間、所定の条件下で、安全関連システムが要求の安全機能を満たして実行する確率をSafety Integrity Level (SIL)と表現する1)。SILの日本語訳について諸論あるが、ここでは安全度達成レベルとし文中ではSILと表記する。SILには4つのレベルがありSIL4が最高レベル、SIL1が最低レベルである。安全関連部の目標平均故障モードTFMをSILの4つのレベルと併せて表2に示す。10年に1回の割合で故障する安全関連部であればSIL1、100年に1回の割合で故障すればSIL2である。化学プラントはSIL2またはSIL3、鉄道はSIL4、原子力発電所はSIL4がそれぞれ目安である。次にいくつか機械の事故事例を調べてみよう。


 

表2 セーフティ・インテグリティ・レベル (SIL)と目標障害尺度(TFM)

安全性到達レベル (SIL)

低デマンドモード運転(年間発生率)

4

10-5≦TFM<10-4

3

10-4≦TFM<10-3

2

10-3≦TFM<10-2

1

10-2≦TFM<10-1

 注)10-2は1/100を示す




2.10年目に起きた機械類の事故事例
公共施設の事故事例を新聞報道やネットから情報を収集し整理要約してみた。一般に公開されている情報から収集したので不正確さや曖昧さがある。事例研究例としてお読みいただきたい。
(1) 2006年4月14日午後5時5分ごろ、東京都江東区青梅の新交通システム「ゆりかもめ」船の科学館付近で車両(6両編成)が緊急停車した。事故を起こした車両は、車輪を車軸に固定する金属部品「ハブ」の一部が何らかの原因で壊れて車輪が外れていた。国土交通省航空・鉄道事故調査委員会が部品の破断面を調べたところ、十数センチにわたってサビがあることが確認され、さびていた部分は強度が不足し、事故の前から亀裂が生じていた可能性が高いとみて、どの程度前に亀裂ができたのかを詳しく調べている。開業は1995年10月である。
 ゆりかもめのような新交通システムはゴムタイヤ系の交通機関なので従来からの鉄道の常識がそのまま使えない場合も多い。今回の事故は運用開始後11年、走行90万キロで生じた事故でありゴムタイヤ系の路上交通機関では廃車を迎える時期である。ところが鉄道では90万キロ走行というとまだ新しい車両とみなされる。鉄道と路上交通機関のように全く別々に発達したシステムを融合すると弱い部分が先に故障する事例である。 
【教訓】十分吟味された部品を使用すること。点検による安全性確保は点検間隔が延びると安全性が減少する。

(2) 2005年7月19日午前9時45分頃、東京都豊島区東池袋のサンシャインシティビル2階にあるビルイン型テーマパークのお化け屋敷の展示物(仕掛け設備)で女子従業員が胸部を挟まれ意識不明の重傷を負った。この展示物は、観客が近づくと空気圧でふたが開きお化けが出てくる仕掛けになっている(図-1参照)。従業員は底部に設置されている照明設備を調整しようとしてふたにはさまれたらしい。開業は1996年である。
 120cmx100cm、30kgのふたは、観客を感知すると空気圧で開き、箱の中から仕掛けが出てきて観客を驚かせ13秒後にタイマーで自動的に閉まる構造である(図1-b)。箱の中のフットライトは前日から具合が悪かったという。開演前のため事故時の目撃者はいなく、従業員はふたに挟まれた状態で発見された。報道されているように、もし従業員が営業状態(ふたは自動的に開き13秒後に閉まる)で前日に不具合が引き継ぎされているフットライトの様子を見ようとしてふたに挟まれたとすれば、これは工場の現場でいうチョコ手である。重量物を持ち上げた状態で点検する場合は安全ブロック(図-3)を使用し、さらに予期しないときに起動しないように動力源を遮断することが重要である。
 停止時のエネルギ(電気、油圧、空圧)の遮断方法の違いを停止カテゴリとしてIEC60204-1は次のように分類している。
- カテゴリー0: 機械アクチュエータの電源を直接遮断することによる停止(,非制御停止)。
- カテゴリー1: 機械アクチュエータが停止するために電力を供給し,その後停止した時に電源を遮断する制御停止。
- カテゴリー2: 機械アクチュエータに電力を供給したままにする制御停止。
【教訓】チョコ手災害は業種を問わず発生し、押しつぶしの危険源はどこにでも存在する。確実な停止にはカテゴリー0を採用すること。


(3) 2004年3月26日午前11時30分、東京都港区六本木ヒルズの森タワー正面入り口で、6歳の男子が自動回転ドアに頭部を挟まれ、死亡した。回転ドアは直径4.8m、回転ドアとしてのほか、通常の自動ドア(スライド式)としても使用できる。回転ドアは六本木ヒルズの森タワー内に8台設置。挟まれ防止機能の光電センサ、接触式センサが装備されていた。完成は2003年5月である。
 六本木ヒルズではこの事故の前に32件(うち救急搬送10件)が発生、2003年12月には6歳児が体を挟まれる事故があった2)。ドアが人体を巻き込み、頭部など人体の部位を挟み込む衝撃力は実測では5500Nであった3)。 
 六本木ヒルズの回転ドアは、
1)原設計時は900kgの回転ドアは、変更を重ねて2.7トンまで重くなった。
2)ドアは一定速度で回転しており、ドアが閉まる部分の速度は一定である。
3)危険検出型センサーとブレーキに安全を依存している。
という欠陥を有している。
 ドアの基本的機能は、人が通過できることと内側と外側を区切るの2つである。人の出入りに日本家屋では戸(引き戸)が永く使用されてきた。扉(開き戸)が普及したのは比較的近年になってからである。「戸に非ず」と表記するところにもその一端を覗かせる。扉は構造的に力のモーメントを利用しているので人力で開閉する扉では強く急激に閉まる恐れがあり挟まれる可能性(せん断の危険源)がある。動力で開閉する電車やエレベータのスライディングドア(引き戸)は、挟まれ事故防止(押しつぶしの危険源)のためドアが完全に閉まる直前にはドア端速度を低下させる。一方、自動回転ドアのドア端の速度は一定であり、剛性を有し、人が巻き込まれる(巻き込みの危険源)危険をセンサが検知すると緊急停止のブレーキをかける。



 リスクを減少させるためにはISO12100-1でいう"設計者により講じられる保護方策"の"ステップ1 本質的安全設計方策"により例えば下記のような工夫をするべきである。
エネルギーを小さくする工夫(たとえば手動回転ドア)
ドアが閉まるときの速度を遅くする(ドア端が折れ曲がる)
挟まれても災害にならない柔構造のドアにする
挟まれたとき救出できるしくみ(逆回転引き出しは被災者を2度苦しめる)
危険源であるドア終端から離れる工夫(隔離の原則)
センサーに頼らない(安全確認型のセンサを使用する)
【教訓】危険をセンサで検出し、ブレーキに依存することに頼ってはならない。本質的な安全な方策を基本設計に立ち戻って熟慮すべきである。

(4) 2001年12月21日午後2時30分頃、東京都北区王子にある区立複合文化施設「北(ほく)とぴあ」の「さくらホール」舞台下で、可動式ステージを点検作業中の男性作業員5人が、昇降台(せり上がり舞台、以下せり台)と可動式ステージのあいだに挟まれ、胸部骨折などで3人死亡、2人が重傷を負った。せり台は前後に移動する可動式ステージの点検作業のため5名の作業者を乗せて9.4m下から移動中で、ステージ下1.5mで止まるはずだったが止まらなかった。図-5参照。完成は1990年である。
 原因は、リミットスイッチが停止位置で作動しなかった事である。リミットスイッチは図-6に示すように、舞台面から1.5m下がった位置でせり台を停止させるようにガイドレール側に取り付けられていたが、10年間の振動、衝撃、摩耗、経年変化によりドッグ(ストライカーと呼ぶ場合もある)とローラーレバーが十分接触せず接点が動作しなかった。機械式スイッチを使用するときには、必ずスイッチを押す力がスイッチに伝達されることが重要である。事故調査では、動作角度や取り付け位置にも疑問が生じたようであるが、機械を停止させる安全関連部に、スイッチ-ドッグ間の機械的距離一定の保障が無い状態で、汎用のローラーレバー式リミットスイッチを使用したことも誤りである。このスイッチは、ドッグが剛性のプランジャを直接押し、その力がスイッチに伝えられ、またスイッチの接点はプランジャが押される力を直接利用するタイプがよい。すなわち内部にばね機構が無く、接点が溶着しても強制的に乖離出来るタイプでなければならない。力の伝達機構にばねのような弾力性が介在しないことをポジティブという。さらに、せり台とガイドレールが停止スイッチの働く距離に保たれていることを確認するセンサも必要になる。図-7に一案を示す。メカニカルスイッチは、この事例に限らずガイドレールから離れて接触範囲外になると動作しなくなる。連続的に位置を読み取れるロータリーエンコーダを使用するなど連続的にセンサの健全性をチェックできるシステムが必要である。 
【教訓】安全関連部にはポジティブな結合で接点の強制解離機構のある安全スイッチを使用すること。

 




(5) 1993年10月5日午後5時30分頃、大阪市営新交通システム「ニュートラム」が住之江公園駅で、乗客約250人をのせた4両編成の車両のブレーキがかからず、減速しないまま終着の住之江公園駅を通過し約50m暴走して車止めに衝突して乗客215人が重軽傷を負った。トラブルは、ATO(自動列車運転装置)とATC(自動列車制御装置)をつなぐ「切り替え用リレー」が一時的に接触不良を起こした可能性が高い(科学警察研究所の鑑定)。開業は1981年である。
 ニュートラムは軌道上の発信装置から信号を受け、ATO、ATCなどのコンピューターで制御して運行する仕組み。事故当時は無人運転だった。科警研の鑑定によると、トラブルが起きたのは減速指令をブレーキ装置に伝える中継継電器盤内で、ATO側の電源を遮断し、ATC側の回路をつなぐ「切り替え用リレー」と呼ばれる部分。回路の他の部分には異常が見られないことから、このリレーが一時的に接触不良を起こした可能性が高い、としている。なお鑑定では、当初報じられたリレーの溶着は生じていなかったとのこと。
 安全の信号は、エネルギー有りで伝達し、危険の信号はエネルギー無しとすることが原則(安全情報抽出の原理)である。従って走行信号はエネルギー有り、停止信号はエネルギー無しで伝達する。停止信号が伝達出来なかった、それもリレーが一時的に接触不良を起こしたとは、安全情報伝達の原理を守れなかった事になる。問題のリレーは1981年の開業時から交換なしに使用されており、11年目の事故である。11年目に不具合を起こした安全関連部はSIL1のレベルであるとも言える。市交通局は事故後、中継継電器盤の主要個所の接点回路、配線を二重化し、一方が断線しても正常に作動させる――などの改良を全車両に施している。
製造後10年を経過すると電磁接触器や押釦に接触不良、動作不良などの不具合が発生する恐れがあり、予防保全的な対応が要求される。接触不良が生じたら暴走ではなく、停止する方向にするべきである。接点には、溶着、接触不良がある。こうしたトラブルから回避するためには、信号およびエネルギーは交流で送り、受信側で整流してエネルギーを取り出す方法をダイナミック処理という。
【教訓】SIL4を目指して鉄道の安全関連部を設計すること。

3. 機械の安全を守るためには
 前述の教訓をまとめてみると、いくつかの安全工学上の原則や安全に関する国際規格の規定が役立つことが分かる。

1)安全原則: 十分吟味された物を使用する(ゆりかもめのハブ)。
2)停止のカテゴリ:停止するときにはエネルギを遮断すること(お化け屋敷)
3)本質的な安全方策: エネルギーを低くする、軽くする、柔らかくする(回転ドア)
4)ポジティブな安全スイッチ:力の伝達は剛体で行う(北とぴあ)
5)安全情報伝達の原理: 安全はエネルギー有り、危険はエネルギなし(ニュートラム)

 国際規格のベースになっているEN規格は性能規格であり、state of the art すなわち技術的に可能な方法があるのであれば、その時点で、その最新の技術を使わなければならない。この考え方は国内法規の構造規格(法律制定時の最低技術基準を採用)や技術指針とは雲泥の違いである。法律が技術の進歩の妨げになることもない。安全に関する国際規格を採用すると設計者には大きな助けになる。安全であることを自分で世の中に証明するのは大変な仕事である。一方、規格を当該製品が満足しているかを証明するのはさほどむづかしい事ではない。第3者認証機関が存在するのもこの利便があってのことである。
 2006年4月から労働安全衛生法が改定されリスクアセスメントの実施が義務づけられた。現段階では、事業者に課せらているが、機械設計者にも影響が押し寄せてくるのは必須である。規格はメーカーを拘束や制約する物ではないことを認識して安全に関する国際規格を活用していただきたい。

4.機械は壊れる、人間は間違える"の真理

事故や失敗の経験を安全に活かせないのは、事故原因調査と責任追及を混在させているからで、特に責任の追求を処罰と連動させると、真の原因は暗闇に葬られる。依然として機械による災害で怪我をした当人が悪いときめつけられ、職場を去るような状況も多く見聞する。これは、"機械は壊れる、人間は間違える"の真理を間違って認識しているためである。機械は壊れるものなのだから壊れたときでも人の安全が守られていなければならない、人は間違える(エラーをする)のだから間違いを起こしても安全が保たれる(フール・プルーフ)が出来ていなければならない。ベテランだから、高度の教育を受けているからといって間違いは起こす。
 機械による災害を減少させるためには、世界の叡智である安全に関する国際規格に述べられている内容を学び、事故や失敗から得られる情報を共有し、リスクアセスメントを行って機械の企画と設計の段階から危険を減らす努力をすることが大切である。


1)  安全に関する国際規格IEC61508
2)  経済産業省HP  http://www.mlit.go.jp/kisha/kisha04/07/070408/03.pdf
3) NHKスペシャル 畑村洋太郎 ドアプロジェクト