安全工学研究室

ホームページリニューアルのお知らせ

tmlabinc — Wed, 1 Feb 2012 6:20:10 +0900

安全工学研究室のコンテンツは有限会社森山技術士事務所のホームページリニューアルに伴い、
http://www.safetyeng.co.jp/に移行してゆきます。
よろしくお願いします。

フェールセーフの考え方

tmlabinc — Sat, 13 Jan 2007 9:41:24 +0900

機械は壊れるもの、人は誤るもの、を前提にして考える。機械の壊れ方はその兆しがあるものが多い。それに比べて電気系統の不具合は突然発生する。機械の機能、性能は制御系に依存している部分が多いので電気系統が機能しなくなると大変困る。安全装置も制御系との関わりがあるので電気の不具合は事故に直結する。
　そこで機械が壊れないように、故障しないようにという方法を最初に検討され採用されてきた。すなわち信頼性を向上させることに努力を傾注してきた。信頼性を高くするには、良質で厳選された部品を採用する方法と、系統を多重化して1つの系統に不具合が生じたら他の系統に切り替える冗長化（多重化）が採用する方法がある。ジェット旅客機、原子力発電所、一部の化学プラントなどでは良質な部品を使用しかつ多重化が行われている。規模が大きくてかつ安全状態である停止に移行するに時間を要する分野である。事故がもし発生すると被害の規模は大きく、また設備を停止させるには時間を要する共通点がある。
　それに比較すると、一般の工場設備、工作機械、食品機械、印刷機械などは、規模が小さく安全状態である停止に移行することが容易である。原子力発電所の事故と不具合が生じたら停止させられる生産機械とは発想が全く違う。即ち、機械は壊れるものであるから、故障しても人が怪我をしない、人命を失わないように機械を作ろうという考えがあり、これをフェールセーフという。機械が壊れた場合、本来の機能（たとえば生産する、運搬するなど）が発揮出来なくても災害を起こさないことを優先している。これに対して故障になりそうな部分をあらかじめ2重化、あるいは3重化しておき故障した場合に系統を切り替えて機械の本来の機能を保つ考えがある。これをフォールトトレランスという。故障を許容する考えである。ジェット旅客機に搭載してあるコンピュータが3重化されているのがその好例である。
　信頼性を高めることは、機械の一部が故障しても機械の機能を失わせないことが目標であり、安全性を高めることは、機械の一部が故障した場合に機械の機能を失っても人に危害を与えない事の違いがある。
なお、国際規格ではフェールセーフの用語を使用しない方向である。それはこの機械はフェールセーフであるというと法律的な責任問題が発生する国があるので国際規格ではフェールセーフの用語の使用を控えている。

非常停止とは、設計留意事項

tmlabinc — Fri, 12 Jan 2007 17:25:51 +0900

非常停止機能とは

　非常停止(機能　emergency stop (function)　とは、次のことを目的とした機能をいう。
- 人に対する危険源を叉は機械類若しくは工程中のワーク-の損害を避けるか叉は減少させる｡
- 人間の単一の動作によって始動する｡
非常停止機器の設計上の注意事項は、（１）配置、（２）非常停止機器の構造、（３）制御、（４）その他の考慮事項に分けて述べる。

（１）配置
①　オペレータおよびその他の人（だれでも）が操作できること
②　非常停止機器は明確に識別可能で，明確に視認できること。
③　非常停止機器に速やかに危険無く接近可能できること。
④　非常停止機器は、各オペレータの操作位置ごとに及び非常停止を必要とする位置に配置すること。
⑤　非常停止機器操作は危険がない位置に取り付けること｡

（２）構造
①　非常停止機器は容易に働かせるように設計されているもので形状は下記であること。
－きのこ形ボタン
－ワイヤ,ロープ,バー
－ハンドル
－特別な場合として,保護カバーのないフットペダル
②　非常停止機器のアクチュエータは,赤色でなければならない｡アクチュエータ背後に取付面（地）があり、実施可能であれば、取付面（地）は黄色であること｡
－　ワイヤ叉はロープを使用するとき、マーカーフラッグを取り付けると見やすくなる。
③　非常停止機器は、ポジティブな機械的作用の原理（後述）を適用したものであること。
⑤　非常停止機器が動作を開始し、非常停止信号を出力したら、その信号はラッチング[機械的か(噛)み合い]によって保持しなければならない｡
－非常停止信号を出力することなしに非常停止機器がラッチング可能になってはならない｡
－非常停止機器(ラッチングを含めた)が故障した場合,停止信号を出力することがラッチングより優先しなければならない｡
⑥　非常停止信号は非常停止機器がリセットされる(かみ合いがはずされる)まで保持しなければならない｡
⑦　非常停止機器のリセットは,当該の非常停止機器を手動で操作することによってだけ可能でなければならない｡

（３）制御
①　非常停止は、停止カテゴリ0又は停止カテゴリ1（後述）のいずれかの機能であること。
②　非常停止機能は、非常停止機器の動作後、別の危険を発生させず、危険な工程は、新たな危険源を生じないように可能な限り迅速に停止させること。
注）これが不可能な場合又はリスクを低減できない場合，非常停止機能の実施が最良の解決策か否か検討するべきである。必要な場合，非常停止制御機能は特定の安全防護物の作動を開始するか，又は開始を許可しなければならない。
③　非常停止機能は,保護機器叉は他の安全重要機能をもつ機器の有効性を損なってはならない｡
④　非常停止機能は捕捉された人を解放するように設計されたいかなる設備をも損なってはならない｡
⑤　機械のすべての運転モードで他のすべての機能に優先しなければならない｡
⑥　非常停止機器を切り離すことができる(例えば,携帯形教示ペンダント)場合,叉は機械類を部分的に分離できる場合,動作中及び非動作中の制御機器との間の混乱が生じさせぬこと。
⑦作動状態にある非常停止機器すべてが,リセットされるまで再起動が可能であってはならない
⑧非常停止機器のリセットが再起動信号となってはならない｡

（４）その他の考慮事項
①　非常停止機能は,安全防護策及び他の安全重要機能の代替手段として採用してはならず,バックアップの方策(例えば,故障の場合)として設計するのがよい｡
②　非常停止によって動力源を切り離す場合は、電磁チャック叉は制動機器のような補助的設備が確実に作動すること｡
③ "適切な方法で停止"とは,次のようなことを含む｡
－最適な減速度の選択
－停止カテゴリの選択(4.1.5参照)
－運転の停止順序の事前決定
これらは機械アクチュエータの動力源を切り離すことを含んでいる。動力源の切り離しの例
－電気モータへの電源切
－機械エネルギー源から動作要素分離
－ラム/スライド-の流体動力源遮断
④　非常停止のカテゴリの選択は,機械のリスクアセスメントによって決定しなければならない
⑤　ポジティブな機械的作用の原理とは、強制開離機構をもつ電気接点を用いた非常停止機器である｡ IEC 60947-5-1 :1990の3.2.2によれば, (接点の)強制開離機構とはスイッチのアクチュエータの規定された動作が弾力性のない部分(例えば,バネによらない｡)によって直接的に接点を分離するものである｡

関連する国際規格　IEC 60204-1:2005、ISO/IEC 13850

ロボット三原則　アシモフ

tmlabinc — Sun, 31 Dec 2006 21:52:01 +0900

2006年はロボット元年といえる年のように思えます。産業ロボットの時代から人間の身近なところで働くロボット、サービスロボットの時代が近づいています。
　アシモフのロボット3原則を紹介します。

第1条　ロボットは人間に危害を加えてはならない。また、その危険を看過することによって、人間に危害を及ぼしてはならない。

第2条　ロボットは人間に与えられた命令に服従しなければならない。ただし与えられた命令が、第1条に反する場合はこの限りでない。

第3条　ロボットは、前第1条および第2条に反するおそれのない限り、自己を守らなければならない。

First Law:A robot may not harm a human being, or, through inaction, allow a human being to come to harm.

Second Law: A robot must obey the orders given to it by the human beings, except where such orders would conflict with the First Law.

Third Law: A robot must protect its own existence, as long as such protection does not conflict the First or Second Law.

なかなか意味深です。ロボットを人間に置き換えてみるとますます何かが見えてきます。

IP codes

tmlabinc — Sat, 2 Dec 2006 16:04:02 +0900

IP はInternational Protection の略で、電気製品の筐体が、異物の侵入を防ぐ保護等級を表すもので、筐体（エンクロージャ）内の危険な部分に接近する人体に対する保護および固形物、水の侵入に対する保護等級が分かるようになっている。IP00～IP68に分類されIP①②③④のように示される。第1特性数字①は外来固形物の進入に対する保護内容、第2特性数字②は水に対する保護内容を示す。③は付加文字（オプション）、④は補助文字（オプション）でそれぞれ任意である。

該当規格はIEC6059:2001、JIS C0920:2003である。
規格の記述をマトリックス表示して分かりやすくしたものを下記に示す。

第１記号人体および固形異物に対する保護の程度
第2記号浸水に対する保護等級
付加文字　　A　　こぶし（拳）が入らない
　　　　　　　　B　　指（テストフィンガー）が入らない
　　　　　　　　C　　工具が入らない
　　　　　　　　D　　針金が入らない
補助文字　　H　　高圧機器
　　　　　　　　M　　水の試験中動作させる
　　　　　　　　S　　水の試験中停止させる
　　　　　　　　W　　天候条件（製造者とユーザで取り決め）
　　　　　　　　F　　防油形（附属書１で追加）
　　　　　　　　G　　耐油形（附属書１で追加）

絶縁のクラス

tmlabinc — Thu, 30 Nov 2006 8:32:17 +0900

電気はとても重宝なものです。その使用には絶縁が欠かせません。絶縁の方法、即ち構造を5つの分類、感電に対する保護を４つのクラスに分けています。

絶縁　insulation　（関連国際規格 IEC60950 1.2.9）

　電気または熱の通過を遮断すること。完全な遮断は出来ないので，電気伝導率または熱伝導率が十分小さいものを絶縁体という。絶縁には次の種類がある。
(1) 基礎絶縁 Basic Insulation：　感電に対する基礎的な保護となるように充電物に施した絶縁。
(2) 付加絶縁 Supplementary insulation：　基礎絶縁が故障したとき、感電に対する保護が出来るように基礎絶縁に追加して設けられた独立した絶縁。
(3) 2重絶縁 Double Insulation：　基礎絶縁と保護絶縁の２つからなる絶縁。
(4) 強化絶縁 Reinforced Insulation：　充電部に施された単一の絶縁であって感電に対する保護の度合いが2重絶縁と同等であるものをいう。
(5) 機能絶縁 Operational Insulation：　機器が正しく機能するために必要な絶縁をいう。

感電に対する保護　（関連国際規格 IEC60950 1.2.4.1）

感電に対する保護形式は、４クラスがある。
(1)クラス0機器：感電に対する保護を基礎絶縁だけに頼る機器をいう。
(2)クラスI：感電に対する保護は基礎絶縁と、基礎絶縁が故障した場合に可触導電部が充電部にならないように設備の固定配線中のアース用保護導体にこの可触導電部を接続するなど、追加安全予防策をもっている機器をいう。
(3)クラスII：感電に対する保護を基礎絶縁だけではなく、二重絶縁または強化絶縁のような追加安全予防策を持っている機器をいい、また保護用アースを必要としない。
(4)クラスIII：感電に対する保護をSELV(導体間または任意の導体と供給電源から絶縁されている回路の中のアース間において実行値が50VACを超えない電圧)の電源に依存し、かつSELVより高い電圧を内部で生じることがない機器をいう。

自己保持回路

tmlabinc — Fri, 3 Nov 2006 12:21:28 +0900

起動停止回路に使用される自己保持回路について説明する。

機械の始動と停止には押しボタンスイッチが好んで使用される。押しボタンスイッチは、ボタン部分を指先（手）で押している時だけ接点が開（または閉）になるものが基本形である。ボタン部から指を離すと接点が元の状態に戻る。指を離しても機械が運転を続けるように自己保持回路を使用し、始動ボタンを押して運転状態、停止ボタンを押して停止させる。
図1のブロック図を回路図に展開すると図2になる。

この自己保持回路は、始動ボタンを押すとリレーコイルに電流が流れリレー接点(2)を閉じてモータを起動する。同時にリレー接点(1)も閉じるので押しボタンスイッチを離してもリレーコイルに電流が流れ続けてモータは回転を続ける。停止押しボタンを押すとリレーコイルに電流が流れなくなるのでリレー接点(2)が開きモータが停止する。またリレー接点(1)も開いているので停止ボタンを放してもリレーコイルには電流が流れずモータは停止している。

自己保持回路と安全性
　図3にトグルスイッチとリレーを用いたシーケンス図を示し図2との比較をしてみる。なおトグルスイッチには各種のものがありその一例を図4に示す。図3のトグルスイッチは、モータ「運転」指令を機械的に保持し、トグルスイッチに機械的操作を行うことでモータ「停止」を実行する。この構成では、1つのトグルスイッチの故障（機械的故障、接点溶着など）によりモータを停止出来ないが、さらに停電や異常によりモータが停止した場合に復電時に自動的にモータが起動する重大な危険性がある。従って不用意な（再）起動を防止するためにモータなどの駆動制御には押しボタンスイッチと自己保持回路を採用すべきである。

なお広く使用されているPLC（シーケンサ）を使用する場合も同じ考え方を適用できる。PLCへの接点入力は、始動ボタンからはａ接点、停止ボタンからはｂ接点を使用する。停止ボタンにａ接点を使用し接点閉で停止させることは接点故障や断線などの故障時にモータを停止出来ないので行うべきではない。図５ではモータ用の電磁接触器（コンタクタ）を図中から省略してある。

(以上)

10年目の事故事例

tmlabinc — Thu, 26 Oct 2006 15:05:10 +0900

１．安全と機械の事故率
　安全は「受け入れられないリスクからの解放（freedom from unacceptable risk）」と、安全に関する国際規格の最上位にあるISO/IEC Guide51は定義している。安全を定義することはとても難しいので、リスクを定義してそのリスクから解放されていると定めた。リスクを危険や危機と置き換えるだけではしっくりしない。「危ない橋を渡る」がリスクと似たような意味を持つように思える。危ないと思ったらその橋を渡らなければよい。橋を渡るのは何らかのリターンを期待してからであり、そこには橋を渡るという人の意志がある。
-----------------------------
表1　年あたりの死亡確率
確率/年身近な事例
1/10

1/100
がん、心疾患
1/1000
不慮の事故、自殺、路上交通事故
1/10,00
溺死、火災、（労働災害、除く交通）
1/100,000
自然災害、鉄道事故
1/1,000,000
航空事故
1/10,000,000
落雷、（原子炉設計目標）
1/100,000,000

事故や災害では事故率がときとして話題になる。参考として身近にある不慮の事故などによる年間の死亡確率（表1）をみると、生活感覚として受け入れている死亡確率はかなり低い事がわかる。

所定の期間、所定の条件下で、安全関連システムが要求の安全機能を満たして実行する確率をSafety Integrity Level (SIL)と表現する１）。SILの日本語訳について諸論あるが、ここでは安全度達成レベルとし文中ではSILと表記する。SILには４つのレベルがありSIL4が最高レベル、SIL1が最低レベルである。安全関連部の目標平均故障モードTFMをSILの4つのレベルと併せて表2に示す。10年に1回の割合で故障する安全関連部であればSIL1、100年に1回の割合で故障すればSIL2である。化学プラントはSIL2またはSIL3、鉄道はSIL4、原子力発電所はSIL4がそれぞれ目安である。次にいくつか機械の事故事例を調べてみよう。

表2　　セーフティ・インテグリティ・レベル (SIL)と目標障害尺度（TFM）
安全性到達レベル　　低デマンドモード運転（年間発生率）
(SIL)
4　　　　　　10-5≦TFM＜10-4
3　　　　　　　　　10-4≦TFM＜10-3
2　　　　　　10-3≦TFM＜10-2
1　　　　　　10-2≦TFM＜10-1
　　　　　　　　　　　　　　　注）10-2は1/100を示す

２．10年目に起きた機械類の事故事例
公共施設の事故事例を新聞報道やネットから情報を収集し整理要約してみた。一般に公開されている情報から収集したので不正確さや曖昧さがある。事例研究例としてお読みいただきたい。
(1)　2006年4月14日午後5時5分ごろ、東京都江東区青梅の新交通システム「ゆりかもめ」船の科学館付近で車両（6両編成）が緊急停車した。事故を起こした車両は、車輪を車軸に固定する金属部品「ハブ」の一部が何らかの原因で壊れて車輪が外れていた。国土交通省航空・鉄道事故調査委員会が部品の破断面を調べたところ、十数センチにわたってサビがあることが確認され、さびていた部分は強度が不足し、事故の前から亀裂が生じていた可能性が高いとみて、どの程度前に亀裂ができたのかを詳しく調べている。開業は1995年10月である。
　ゆりかもめのような新交通システムはゴムタイヤ系の交通機関なので従来からの鉄道の常識がそのまま使えない場合も多い。今回の事故は運用開始後11年、走行90万キロで生じた事故でありゴムタイヤ系の路上交通機関では廃車を迎える時期である。ところが鉄道では90万キロ走行というとまだ新しい車両とみなされる。鉄道と路上交通機関のように全く別々に発達したシステムを融合すると弱い部分が先に故障する事例である。　
【教訓】十分吟味された部品を使用すること。点検による安全性確保は点検間隔が延びると安全性が減少する。

(2)　2005年7月19日午前9時45分頃、東京都豊島区東池袋のサンシャインシティビル２階にあるビルイン型テーマパークのお化け屋敷の展示物（仕掛け設備）で女子従業員が胸部を挟まれ意識不明の重傷を負った。この展示物は、観客が近づくと空気圧でふたが開きお化けが出てくる仕掛けになっている（図-1参照）。従業員は底部に設置されている照明設備を調整しようとしてふたにはさまれたらしい。開業は1996年である。
　120cmｘ100cm、30kgのふたは、観客を感知すると空気圧で開き、箱の中から仕掛けが出てきて観客を驚かせ13秒後にタイマーで自動的に閉まる構造である（図1-b）。箱の中のフットライトは前日から具合が悪かったという。開演前のため事故時の目撃者はいなく、従業員はふたに挟まれた状態で発見された。報道されているように、もし従業員が営業状態（ふたは自動的に開き13秒後に閉まる）で前日に不具合が引き継ぎされているフットライトの様子を見ようとしてふたに挟まれたとすれば、これは工場の現場でいうチョコ手である。重量物を持ち上げた状態で点検する場合は安全ブロック（図-3）を使用し、さらに予期しないときに起動しないように動力源を遮断することが重要である。
　停止時のエネルギ（電気、油圧、空圧）の遮断方法の違いを停止カテゴリとしてIEC60204-1は次のように分類している。
-　カテゴリー0：　機械アクチュエータの電源を直接遮断することによる停止(,非制御停止)。
-　カテゴリー1：　機械アクチュエータが停止するために電力を供給し,その後停止した時に電源を遮断する制御停止。
-　カテゴリー2：　機械アクチュエータに電力を供給したままにする制御停止｡
【教訓】チョコ手災害は業種を問わず発生し、押しつぶしの危険源はどこにでも存在する。確実な停止にはカテゴリー0を採用すること。

(3)　2004年3月26日午前11時30分、東京都港区六本木ヒルズの森タワー正面入り口で、6歳の男子が自動回転ドアに頭部を挟まれ、死亡した。回転ドアは直径4.8m、回転ドアとしてのほか、通常の自動ドア（スライド式）としても使用できる。回転ドアは六本木ヒルズの森タワー内に8台設置。挟まれ防止機能の光電センサ、接触式センサが装備されていた。完成は2003年5月である。
　六本木ヒルズではこの事故の前に32件（うち救急搬送10件）が発生、2003年12月には6歳児が体を挟まれる事故があった２）。ドアが人体を巻き込み、頭部など人体の部位を挟み込む衝撃力は実測では5500Nであった３）。　
　六本木ヒルズの回転ドアは、
１）原設計時は900kgの回転ドアは、変更を重ねて2.7トンまで重くなった。
２）ドアは一定速度で回転しており、ドアが閉まる部分の速度は一定である。
３）危険検出型センサーとブレーキに安全を依存している。
という欠陥を有している。
　ドアの基本的機能は、人が通過できることと内側と外側を区切るの2つである。人の出入りに日本家屋では戸（引き戸）が永く使用されてきた。扉（開き戸）が普及したのは比較的近年になってからである。「戸に非ず」と表記するところにもその一端を覗かせる。扉は構造的に力のモーメントを利用しているので人力で開閉する扉では強く急激に閉まる恐れがあり挟まれる可能性（せん断の危険源）がある。動力で開閉する電車やエレベータのスライディングドア（引き戸）は、挟まれ事故防止（押しつぶしの危険源）のためドアが完全に閉まる直前にはドア端速度を低下させる。一方、自動回転ドアのドア端の速度は一定であり、剛性を有し、人が巻き込まれる（巻き込みの危険源）危険をセンサが検知すると緊急停止のブレーキをかける。

　リスクを減少させるためにはISO12100-1でいう“設計者により講じられる保護方策”の“ステップ１　本質的安全設計方策”により例えば下記のような工夫をするべきである。
エネルギーを小さくする工夫（たとえば手動回転ドア）
ドアが閉まるときの速度を遅くする（ドア端が折れ曲がる）
挟まれても災害にならない柔構造のドアにする
挟まれたとき救出できるしくみ（逆回転引き出しは被災者を2度苦しめる）
危険源であるドア終端から離れる工夫（隔離の原則）
センサーに頼らない（安全確認型のセンサを使用する）
【教訓】危険をセンサで検出し、ブレーキに依存することに頼ってはならない。本質的な安全な方策を基本設計に立ち戻って熟慮すべきである。

(4)　2001年12月21日午後2時30分頃、東京都北区王子にある区立複合文化施設「北（ほく）とぴあ」の「さくらホール」舞台下で、可動式ステージを点検作業中の男性作業員5人が、昇降台（せり上がり舞台、以下せり台）と可動式ステージのあいだに挟まれ、胸部骨折などで3人死亡、2人が重傷を負った。せり台は前後に移動する可動式ステージの点検作業のため5名の作業者を乗せて9.4m下から移動中で、ステージ下1.5mで止まるはずだったが止まらなかった。図-5参照。完成は1990年である。
　原因は、リミットスイッチが停止位置で作動しなかった事である。リミットスイッチは図-6に示すように、舞台面から1.5m下がった位置でせり台を停止させるようにガイドレール側に取り付けられていたが、10年間の振動、衝撃、摩耗、経年変化によりドッグ（ストライカーと呼ぶ場合もある）とローラーレバーが十分接触せず接点が動作しなかった。機械式スイッチを使用するときには、必ずスイッチを押す力がスイッチに伝達されることが重要である。事故調査では、動作角度や取り付け位置にも疑問が生じたようであるが、機械を停止させる安全関連部に、スイッチ－ドッグ間の機械的距離一定の保障が無い状態で、汎用のローラーレバー式リミットスイッチを使用したことも誤りである。このスイッチは、ドッグが剛性のプランジャを直接押し、その力がスイッチに伝えられ、またスイッチの接点はプランジャが押される力を直接利用するタイプがよい。すなわち内部にばね機構が無く、接点が溶着しても強制的に乖離出来るタイプでなければならない。力の伝達機構にばねのような弾力性が介在しないことをポジティブという。さらに、せり台とガイドレールが停止スイッチの働く距離に保たれていることを確認するセンサも必要になる。図-7に一案を示す。メカニカルスイッチは、この事例に限らずガイドレールから離れて接触範囲外になると動作しなくなる。連続的に位置を読み取れるロータリーエンコーダを使用するなど連続的にセンサの健全性をチェックできるシステムが必要である。　
【教訓】安全関連部にはポジティブな結合で接点の強制解離機構のある安全スイッチを使用すること。

(5)　1993年10月5日午後5時30分頃、大阪市営新交通システム「ニュートラム」が住之江公園駅で、乗客約250人をのせた4両編成の車両のブレーキがかからず、減速しないまま終着の住之江公園駅を通過し約50m暴走して車止めに衝突して乗客215人が重軽傷を負った。トラブルは、ATO（自動列車運転装置）とATC（自動列車制御装置）をつなぐ「切り替え用リレー」が一時的に接触不良を起こした可能性が高い（科学警察研究所の鑑定）。開業は1981年である。
　ニュートラムは軌道上の発信装置から信号を受け、ATO、ATCなどのコンピューターで制御して運行する仕組み。事故当時は無人運転だった。科警研の鑑定によると、トラブルが起きたのは減速指令をブレーキ装置に伝える中継継電器盤内で、ATO側の電源を遮断し、ATC側の回路をつなぐ「切り替え用リレー」と呼ばれる部分。回路の他の部分には異常が見られないことから、このリレーが一時的に接触不良を起こした可能性が高い、としている。なお鑑定では、当初報じられたリレーの溶着は生じていなかったとのこと。
　安全の信号は、エネルギー有りで伝達し、危険の信号はエネルギー無しとすることが原則（安全情報抽出の原理）である。従って走行信号はエネルギー有り、停止信号はエネルギー無しで伝達する。停止信号が伝達出来なかった、それもリレーが一時的に接触不良を起こしたとは、安全情報伝達の原理を守れなかった事になる。問題のリレーは1981年の開業時から交換なしに使用されており、11年目の事故である。11年目に不具合を起こした安全関連部はSIL1のレベルであるとも言える。市交通局は事故後、中継継電器盤の主要個所の接点回路、配線を二重化し、一方が断線しても正常に作動させる――などの改良を全車両に施している。
製造後10年を経過すると電磁接触器や押釦に接触不良、動作不良などの不具合が発生する恐れがあり、予防保全的な対応が要求される。接触不良が生じたら暴走ではなく、停止する方向にするべきである。接点には、溶着、接触不良がある。こうしたトラブルから回避するためには、信号およびエネルギーは交流で送り、受信側で整流してエネルギーを取り出す方法をダイナミック処理という。
【教訓】SIL4を目指して鉄道の安全関連部を設計すること。

３．　機械の安全を守るためには
　前述の教訓をまとめてみると、いくつかの安全工学上の原則や安全に関する国際規格の規定が役立つことが分かる。

１）安全原則：　十分吟味された物を使用する(ゆりかもめのハブ)。
２）停止のカテゴリ：停止するときにはエネルギを遮断すること（お化け屋敷）
３）本質的な安全方策：　エネルギーを低くする、軽くする、柔らかくする（回転ドア）
４）ポジティブな安全スイッチ：力の伝達は剛体で行う（北とぴあ）
５）安全情報伝達の原理：　安全はエネルギー有り、危険はエネルギなし（ニュートラム）

　国際規格のベースになっているEN規格は性能規格であり、state of the art　すなわち技術的に可能な方法があるのであれば、その時点で、その最新の技術を使わなければならない。この考え方は国内法規の構造規格（法律制定時の最低技術基準を採用）や技術指針とは雲泥の違いである。法律が技術の進歩の妨げになることもない。安全に関する国際規格を採用すると設計者には大きな助けになる。安全であることを自分で世の中に証明するのは大変な仕事である。一方、規格を当該製品が満足しているかを証明するのはさほどむづかしい事ではない。第3者認証機関が存在するのもこの利便があってのことである。
　2006年4月から労働安全衛生法が改定されリスクアセスメントの実施が義務づけられた。現段階では、事業者に課せらているが、機械設計者にも影響が押し寄せてくるのは必須である。規格はメーカーを拘束や制約する物ではないことを認識して安全に関する国際規格を活用していただきたい。

４．機械は壊れる、人間は間違える”の真理

事故や失敗の経験を安全に活かせないのは、事故原因調査と責任追及を混在させているからで、特に責任の追求を処罰と連動させると、真の原因は暗闇に葬られる。依然として機械による災害で怪我をした当人が悪いときめつけられ、職場を去るような状況も多く見聞する。これは、“機械は壊れる、人間は間違える”の真理を間違って認識しているためである。機械は壊れるものなのだから壊れたときでも人の安全が守られていなければならない、人は間違える（エラーをする）のだから間違いを起こしても安全が保たれる（フール・プルーフ）が出来ていなければならない。ベテランだから、高度の教育を受けているからといって間違いは起こす。
　機械による災害を減少させるためには、世界の叡智である安全に関する国際規格に述べられている内容を学び、事故や失敗から得られる情報を共有し、リスクアセスメントを行って機械の企画と設計の段階から危険を減らす努力をすることが大切である。

1)　安全に関する国際規格IEC61508
2)　経済産業省HP　 http://www.mlit.go.jp/kisha/kisha04/07/070408/03.pdf
3)　NHKスペシャル　畑村洋太郎　ドアプロジェクト

ISOマネジメントシステム規格　概要

tmlabinc — Tue, 5 Sep 2006 10:06:50 +0900

ISOのマネジメントシステムを俯瞰できる解説です。

ISOは、電気・電子技術分野を除く工業、鉱業、サービス業、農林水産業など全産業分野の国際規格を作成している審議団体で、国際標準化機構（International Organization for Standardization）と呼ばれています。頭文字をとると、IOSとなるのに、なぜISOなのかというと、ISOはギリシア語の「isos」（相等しい）から取った名称といわれています。通常、「ISO」は「アイエスオー」と発音されますが、「イソ」と呼ぶ人もいます。電気・電子技術分野の国際標準化作業は別団体であるIECというが行っています。どちらでも別にかまいません。また、「ISO」というと、国際標準化機構の略称ですが、「国際規格」の意味で使われることもあります。

ISO 9000 は、ISO 9001（品質マネジメントシステム―要求事項）の意味で使われることが多いですが、時によってはISO 9000ファミリの意味で使われることもあります。ISO 9000ファミリにはISO 9000：用語、ISO 9001：要求事項、ISO 9004：パフォーマンス改善の指針、ISO 19011：監査の指針の総称があります。ISO 9001は認証登録のスペックであり、審査では、この規格の要求事項と適合しているかどうかをチェックします。規格内容は、組織が、顧客の要求事項と自組織に適用される規制を満足できる能力を持っていることを実証するために、継続的に改善活動を行い、顧客満足向上をはかる仕組みです。

ISO 9001とは：
　品質マネジメントシステムの国際規格で、審査ではこの規格の要求事項に組織側のシステムが適合しているかどうかをチェックします。初版は1987年に、その後の改版があり現在は第三版で2000年末に発行されました。JIS Q 9001 品質マネジメントシステム－要求事項(原文はISO 9001（Quality management systems－Requriements）です。章構成は
　1.適用範囲
　2.引用規格
　3.定義
　4.品質マネジメントシステム、
　附属書A～C
となっており、審査で要求されるのは「4.品質マネジメントシステム」の部分です。この規格は、顧客要求事項、規制要求事項及び組織固有の要求事項を満たす組織の能力を、主に第三者機関が評価用に使用されますが、組織が自己評価をするためにも使用できます。

ISO 9004とは：
　ISO 9001よりも広い範囲の品質マネジメントシステムの目標を設定し、組織全体のパフォーマンスと効率と継続的な改善のための手引として開発された規格です。JIS Q 9004 品質マネジメントシステム－パフォーマンス改善の指針（原文はISO 9004（Quality management systems－Guidelines for performances improvements）。この規格は８つの品質マネジメントの原則
・顧客重視
・リーダーシップ
・人々の参画
・プロセスアプローチ
・マネジメントへのシステムアプローチ
・継続的改善、意思決定への事実に基づくアプローチ
・供給者との互恵関係
が基本的な考えになっています。ISO 9001と同じ時期に改訂されます。

ISO 14000は、多くの場合ISO 14001（環境マネジメントシステム―要求事項及び利用の手引）の意味で使用します。ISO 14000もISO 9000同様にファミリ規格がありますが、「ISO 14000」を「ISO 14000ファミリ」の意味で使うことはほとんどありません。ISO 14001は第三者機関による認証登録のスペックとして多く使用されますが、自己宣言のためのスペックとして使う事例もあります。規格内容は、組織が、法的要求事項と組織が同意する要求事項、さらに著しい環境側面の3つを考慮に入れた方針・目的を展開するために定められた環境マネジメントシステムです。

ISO 14001とは：
　持続可能な開発（sustainable development）を目標に1996年に初版が発行され、JIS Q 14001　環境マネジメントシステム－要求事項及び利用の手引、（原文はISO 14001 Environmental management systems－Requirements with guidance for use）で、現行版は第二版で2004年に発行されています。この規格は、組織が法的要求事項及び著しい環境側面についての情報を考慮に入れた方針及び目的を設定し、実施できるように規定された要求事項がメインに記述され、審査ではその要求事項に適合しているかどうかをみています。第三者機関による審査用スペックとして多く使用されますが、自己宣言用の基準や二者間監査としても使用することもできます。

ISO 14004とは：
　JIS Q 14004　環境マネジメントシステム－原則、システム及び支援技法の一般指針　（原文はISO 14004 Environmental management systems－General guidelines on principles, systems and support techniques）です。いかに環境マネジメントシステムを確立・実施・維持・改善するかについての手引を組織に提供することが目的で開発された規格で、ISO 14001の解説書ではありません。この規格には、ISO 14001にはない項目も含まれており、効果的な環境マネジメントシステムの実施に関する詳細で補足的な手引といえます。

ISO 14005とは：
　ISOで2006年から審議が始まった環境マネジメントシステムの段階的実施指針規格で、2009年に発行を予定しています。規格名称は Environmental management systems－Guide to the phased implementation of an environmental management system including the use of environmental performance evaluation （2005年末）です。この規格は ISO 14001 に至るまでを何段階かの階層に分けて、少しずつステップアップしながら、最終的に ISO 14001へ到達する内容です。審議のベースにBS 8555が採用されていますのでその影響が見込まれますが、BS規格がどれだけISOに採用はわかりません。

ISO 13485とは：
　医療機器における品質マネジメントシステムの国際規格です。JIS Q 13485　医療機器－品質マネジメントシステム－規制目的のための要求事項（原文はISO 13485 Medical devices－Quality management systems－Requirements for regulatory purposes）です。医療機器の品質を安定的に確保するために開発されたもので、ベースはISO 9001であり、初版は1996年、現行版は2003年に発行されています。この規格はもともと規制目的で開発されたものですので、ISO9001規格にある「顧客満足」と「継続的改善」は医療機器の規制になじまないので除外されています。

ISO/TS16949とは：
　自動車業界向けの品質マネジメントシステム規格で、初版は1999年、第2版の現行版は2002年に発行されています。2002年版は略称で「TS2」と呼称されています。TS2は、ISO 9001に自動車業界固有の要求事項が付加されたものです。審査ではTS2と、TSに賛同する自動車メーカー個別の要求事項も審査基準になります。TS規格作成団体はIATF（International Automotive Task Force）であり、審査制度は各地域ごとに世界で5機関が監視し、日本地区は米国のIAOB（International Automotive Oversight Bureau）が管理しています。

ISO 19011とは：
　品質でも環境でも使えるマネジメントシステム監査の指針です。JIS Q 19011　品質及び/又は環境マネジメントシステム監査のための指針（原文は Guidelines for quality and/or environmental management systems auditing 、2002年に発行）。従来、品質と環境には別々の監査規格が発行されていましたが、2002年に一本化されました。第三者審査用だけでなく、二者監査や内部監査でも活用できます。タイトルは「指針」ですが、実際はJRCAやIRCAなど、世界の審査員評価登録基準の策定に大きな影響を与えました。

ISO 20000とは：
　ITサービスマネジメント（原文は Information technology－Service management）の国際規格で、2005年12月に発行されました。Part 1は Specification（仕様書）、Part 2は Code of Practice（ガイダンス文書）の2分冊です。Part 1は認証基準であり、この基準に適合しているか審査します。Part 2は、監査員やサービスプロバイダー、被監査側のための指針です。英国規格のBS 15000がベースです。Part 1は、PDCAと継続的改善が基本構造となっていますのでISO 9001やISO 14001同様です。

ISO 22000とは：
　食品安全マネジメントシステムの国際規格で、2005年9月の発行です。食品安全マネジメントシステム－フードチェーンの組織に対する要求事項（原文は Food safety management systems－Rquirements for organizations throughout the food chain）です。HACCPシステムをISOのマネジメントシステムに組み込んだもので、コーデックスのHACCPシステムのガイドラインと整合がとられています。認証規格として使用でき、日本でもすでに審査が始まっています。

ISO 26000とは：
　Social Responsibility（社会的責任）の国際規格として2008年に発行が予定されている国際規格です。CSR（企業の社会的責任）という言葉は既に広まっていますが、ISOは「CSRというと企業に限定されるので政府や公共団体、非営利団体も社会的責任の対象である」という理由からCを抜いて「SR」としました。この規格は、「ガイダンス文書とし、認証規格にしないこと」、「マネジメントシステム規格にしないこと」で2005年末時点では合意されています。

ISO/IEC 27001とは：
　情報セキュリティマネジメントシステムの国際規格で、2005年10月に発行されました。JIS Q 27001:2006　情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項（原文は　Information technology - Security techniques - Information security management systems - Requirements）です。あらゆる形態の組織（例えば，営利企業，政府機関，非営利団体）を対象としてその組織の事業リスク全般に対する考慮のもとで，文書化したISMS(Information security management system)を確立、導入、運用、監視、レビュー、維持及び改善するための要求事項について規定しています。JIS発行とともに、日本情報処理開発協会（JIPDEC）が発行しているISMS基準（Ver.2.0）は廃版となりました。JIPDEC、日本適合性認定協会（JAB）が認定業務を行います。ISO/IEC 27001のベースは英国規格・BS 7799-2です。

JIS Q 15001とは：
　個人情報保護マネジメントシステムのJIS規格です。初版は1999年に策定され2005年4月の個人情報保護法の全面施行を受けて、2006年5月には第2版が発行されました。個人情報を事業の用に供している，あらゆる種類，規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定したものです。個人情報保護に関するコンプライアンスプログラムの要求事項でもあります。日本情報処理開発協会（JIPDEC）は、JIS Q 15001に適合している事業者を認定する「プライバシーマーク制度」を運営しています。プライバシーマーク使用許諾をうけている事業者は4400件を超えています（2006年9月）。

「我が信条」　ジョンソン・アンド・ジョンソン

tmlabinc — Mon, 21 Aug 2006 20:22:47 +0900

どのようなリスクを重大と考えるか、これは企業にとってとても大事な方針を示すことです。
ジョンソン・アンド・ジョンソン社の「我が信条」は本当によく考えられています。その抜粋です。

我々の第一の責任は、すべての顧客に対するものであると確信する。
我々の第二の責任は、世界中で働く男女を問わず、全社員にたいするものである。
・社員は個人として尊重され
・社員は安心して仕事に従事でき
・待遇は公正で
・働く環境は清潔で、整理整頓され、かつ安全でなければならない。
・社員が家族に対する責任を十分果たせることができる配慮
我々の第三の責任は、我々が生活し、働いている地域社会、全世界の共同社会に対するものである。
我々の第四の、そして最後の責任は、会社の株主に対するものである。

原文は
http://www.jnj.com/our_company/our_credo/
その日本語訳は
http://www.jnj.co.jp/entrance/credo.html
にあります。
是非ごらんになることをおすすめします。

リスクの重要性を考える、安全に関心がある人にとって本当に大事なことですね。

概要らしきものを書いてみました

TMLABINC — Fri, 5 May 2006 22:56:46 +0900

概要

1.1　安全とリスク
　安全(safety)は「受け入れられないリスクからの解放（freedom from unacceptable risk）」と安全に関する国際規格1)は定義している。さらにリスク(risk)は危害(harm)の発生確率と被害の大きさ(severity)の組合せ(combination)としている。大きな災害のみならず，小さな災害でもしばしば発生すると危ないと感じることからも、この定義は受け入れやすい。産業界で使用されているほとんどの機械、装置、設備（以降、機械と総称する）は危害の心配を含有しておりユーザ、あるいは周辺住民は心配を解消出来ていないのが現実である。安全を考えるために、本節でリスクとは何かを理解し、次節以降でリスク低減をするためになにをするべきか考えてみたい。
　リスクと「危険」は同義ではない。「危険」の英語を調べるとリスク(risk)のほかに、ハザード(hazard)とデインジャー(danger)がある。デインジャーは高圧の危険、猛獣の危険、転落の危険などのように一般的に使用される言葉である。ハザードには、バイオハザードや機械へ巻き込まれる災害のように、被災は偶然に左右される要素があり、ここでは「危険源」と呼ぶ。これらに比較するとリスクには人の意志が含まれており経済の分野でも使用される。たとえば証券市場で株式を購入することは、値上がりや配当による利益を望みながら、購入する行為によって被る可能性のある「負の利益」を覚悟することである。株の売買では「値下がりのリスク」は値上がりを期待しながら「可能性」としての「損失」の危険をいう。リスクは前述のように定義されているが、リスクは自らの（責任を伴う）意志で取り組む危険を言外に含んでいる。即ち、リスクは、災害が起きずに運転や操業ができることを期待しているものの、何らかの理由や状態により災害が起きる可能性をある程度の危険性として覚悟した上の行為である。もし災害が起きる可能性が大きい場合はそれを低減する努力をする。よって「リスク」という危険性は大きくなったり小さくなったりするし、その大小関係を数値で表すことが出来るものである。ただしこの大小関係は比例関係にはない。
　

図1-1にリスクに関する要素を示す。リスクの源はハザード（危険源）であり、そこに人間が存在するときに危険状態になる。

1.2　安全と安心
　安全と安心は共に語られる事が多い。工学の分野に関していえば安全はリスクと一緒に数量的に評価できる（少なくとも見積もることは出来る）ものである。たとえば原子炉施設への航空機落下は、その発生原因が航空機を飛行させるという人の行為に関わることから、確率は10-7（回/炉・年）を超えないとして建物や構造物の強度を設計している3)。これは数値化されたリスクである。周辺住民は100万年に一回の確率と説明されて安心と思えるかは人それぞれであろう。安全性の証明はデータをもっている機械の製造者側の説明責任であるのに対して、その説明で安心するかどうかは機械のユーザであり周辺住民である。安全とリスクを安全工学がひとつの枠組みでとらえるように安心と不安をもう一つの枠組みでとらえるのは社会との関わりの視点である。

1.3安全性と信頼性

信頼性の高い機器、部品は故障が少ないので正常な運転が保持され結果として安全性が高いと考えられる事が多い。即ち高信頼性と安全性はしばしば同一視されるがこれは正しくない。機械の信頼性は、機械もしくはその構成品や設備が、所与の条件のもとである期間、故障せずに要求されている機能を果たす事である。しかし機械は故障するものであり、故障したときにも危害を引き起こさないのが安全性である。安全工学は、安全性の確保を重要視する。安全工学の最大の特徴は、広義の機械装置を、機械装置が正常に動作しないときを含めて取り扱う事である。機械装置には、正常に動作するときと、正常に動作していないときの2つの状態がある。機能を重視する多くの工学では、要求された機能を正常に動作させる事を実現することを最初に考える。安全工学では、機械装置が正常に動作しないときと正常に動作するときのすべての場合に安全性が確保されることを考える。安全に関する国際規格ISO13849-12)では、これをシステムの抵抗性と称している。安全工学のユニークさはここにある。

1.4　安全に関する国際規格
技術の進歩は動力機械のように大きな力を人類に与えたくれた。運輸機械のように移動速度を与えてくれた。化学工場は自然界以上の物質を与えてくれた。その反面、労働災害や工場の大規模災害をもたらした。日本では労働安全衛生法（1972年施行）が法体制の中心であり、事業者による安全管理と労働者への安全教育、そして一部の機械（ボイラ、クレーン、圧力容器など）の構造規格、危険物の指定などにより一定の成果を上げてきたが、法律は新しい機械や技術の出現に追いつかずまた改廃も後手に廻る宿命がある。安全の先進国である欧州では、1972年のローベンス報告（英国、ローベンス卿を委員長）以降、法規制主義(rule-based)から製造者と使用者の自主的な対応(enabling act)に転換し、欧州域内の非関税障壁となりがちな各国各様であった域内各国の安全規則をセベソ指令（第8節を参照）や機械指令に基づき統一した欧州規格(EN規格)の制定を急いだ4)。よく知られているCEマーキングは機械指令他の関連規格をその製品が満足していることを示すもので域内で流通販売させるときには不可欠の条件である。米国ではPL訴訟で懲罰的ともいえる法外な賠償金の判決が出されているが、EN規格がISO/IEC規格に大きな影響を及ぼすことを察知し米国は国際規格制定に積極的に参画している。例えば第5節で述べるロボットの安全規格が好例である。
安全に関する国際規格はISO（国際標準化機構）とIEC（国際電気標準会議）で作成されている。ISO12100-1、-25)を頂点にA規格、B規格、C規格と階層化されている。規格体系を解説図１に示す。厚生労働省はISO12100-1,-2が審議中の平成13年6月1日に「機械の包括的な安全基準に関する指針」6)を発布している。これはドラフトであったISO12100-1,-2を出来るだけ多く先取したものであるが残念ながら法的強制力の無い指針である。

安全工学では多くの国際規格を参照する。それは、安全は人類共通の課題であり安全を維持し、リスクを低減するためには国際的に用語を統一し、多くの国際規格がここ数年間で大量に制定されている。注目すべきなのは、日本の安全衛生法（構造規格）が満たすべき最低基準を規定しているのに比較して、国際規格はその時点での合理的に実施可能な範囲で最高レベルの技術の使用を要求していることである。これは業界団体が製造者側の利益代表としてJISや法制化のレベルに大きな影響力を及ぼしてきたのと大変な違いがある。国際規格はWTO/TBT（貿易の技術的障害：Technical Barriers to Trade）によって国内規格であるJISとして制定されつつあるが、多くのJISは強制力を持たない任意規格として留まっているのが日本の現状である。また国は構造規格を性能規程に変えようとしているが現状維持を望む団体が多くあるので進んでいない。このため世界の趨勢である安全に関する国際規格との隔たりが歴然として存在している。

1.5　安全工学の目指すもの
安全の定義は難しい。そこでリスクを定義し受容できないリスクから解放されていることを安全と定義したのが現在の国際規格である。国際規格は厳密な意味でのリスクゼロである安全(absolute safety)があり得ないとするなら安全性(safety)、安全な(safe)の用語は使用を控えるべきであると述べている１）。この考えに従い安全ヘルメットを保護ヘルメット、安全材料をすべり防止床材料へなどの見直しがおこなわれている。これはユーザにリスクから解放されているという誤解・印象を与えやすいことを考慮してのことである。
　フェールセーフの概念は、供給エネルギの遮断や機械の故障によって生じる危険源を回避することであり機械の製造と使用には重要である。しかし国際規格の制定にあたりフェールセーフの用語はPL法との兼ね合いで実質的に使用できない国（例えば米国、フランスなど）があること、３ステップメソッド5)との整合に難点がある、制御のカテゴリ3,42)に含まれるなどの議論があり採用が見送られた経緯がある。そこで非対称誤り特性の用語がフェールセーフに近い概念として用いられている。
　絶対的な安全が存在しない限り災害は完全に防ぐことが出来ない。機械（電気、装置、設備、プラントを含む）のほとんどは、危険な状態であってもきちんと停止できれば災害を防ぐことが出来る。従って広義の機械による災害のうち、停止させることで防ぐことの出来る災害から確実に低減すべきである。安全に関する国際規格は安全を定義するべく努力し、リスクを定量化し、安全方策を提言している。これはグローバルスタンダードで安全を守ろうとする国際社会の急速な方向であり安全工学が目指す方向である。

参考文献

1)ISO/IEC Guide 51:1999 Safety aspects --- Guidelines for their inclusion in standards (JIS Z8051:2004 安全側面－規格への導入指針)
2)ISO 13849-1:1999, (JIS B9705) 機械類の安全性－制御システムの安全関連部－6.カテゴリ
3)実用発電用原子炉施設への航空機落下確率にタイする評価基準について　平成14年7月22日　原子力安全・保安部会、原子炉安全小委員会
4)標準化と品質管理, Vol.157, No.11, pp.30-34, 向殿政男　日本規格協会， 2004-11
5)　ISO12100-1, -2 (JIS B9700-1, -2)
6) 機械の包括的な安全基準に関する指針　厚生労働省基発第501号(通達)　平成13年6月1日

安全に関連する主要な用語と定義

安全性(safety)受け入れることの出来ないリスクがないこと。
危害(harm)　身体的傷害または健康障害。財産と環境を含む場合がある。
危険源(hazard)　危害を引き起こす潜在的根源。
危険区域(danger zone)　人が危険源に暴露されるような機械類の内部や周辺の空間。
リスク(risk)　危害の発生確率と危害のひどさの組合せ。ハザードが原因となって被る可能性のある損傷または損害。
許容可能なリスク(tolerable risk)　ある一定の利益を有していて、リスクが適切にコントロールされているという信頼のもとに社会がその現状を受け入れるレベルのリスク。
受け入れ可能なリスク(acceptable risk)　社会的に広く受け入れが可能なリスク。
残留リスク(residual risk)　保護方策を講じた後になお残るリスク。
機械のライフサイクル(lifecycle of machinery)　設計、開発、試験、評価、生産、運搬、設置、調整、そして解体遺棄まで含めた機械やシステムのすべての段階。
機械の信頼性(dependability of machinery)　機械もしくはその構成品や設備が、所与の条件のもとである期間、故障せずに要求されている機能を果たす能力。
リスクアセスメント(risk assessment)　リスク分析およびリスク能力を含めたすべてのプロセス。
リスク分析(risk analysis)　
リスク評価(risk evaluation)　
危険源の同定(hazard identification)　
保護方策(protective measures)　
本質的安全設計方策(inherently safe design measure)　
付加保護方策(complementary protective measure)　
作業者(worker, operator)　
フェールセーフ(fail safe)　
フールプルーフ(fool proof)　
危険側故障(failure to danger)　
故障(failure)　
機械の始動(initiation)　
機械の起動(start-up)　
予期しない起動(un-expected startup)　
強制解離機構(forced opening mechanism)　
ポジティブな機械的結合(positive mechanical coupling)　
ロックアウト(lockout)　
アクチュエータ(actuator)　
安全確認型システム(safety confirmation system)　
危険検出型システム(hazard detection system)　
非対称故障モード、あるいは非対称誤り(oriented failure mode)　
ダイバーシティ(diversity)　
フォールト・トレランス(fault tolerance)　
フォールト・レジスタンス(fault resistance)　

つもり違い十ヵ条

TMLABINC — Fri, 5 May 2006 22:50:19 +0900

フト手に入れた語呂合わせのようなものです。

高いつもりで低いのが教養
低いつもりで高いのが気位
深いつもりで浅いのが教養
浅いつもりで深いのが欲望
厚いつもりで薄いのが人情
薄いつもりで厚いのが面皮
強いつもりで弱いのが根性
弱いつもりで強いのが自我
多いつもりで少ないのが分別
少ないつもりで多いのが無駄

そのつもりで頑張りましょう

自分を諫めるためにもメモしました。

WTO/TBT協定

TMLABINC — Fri, 5 May 2006 14:15:47 +0900

安全に関する国際規格は、急速にJIS化されています。JIS 化することを義務づけている協定がTBT協定です。

ＴＢＴ協定は、工業製品等の各国の規格及び規格への適合性評価手続き（規格・基準認証制度）が不必要な貿易障害とならないよう、国際規格を基礎とした国内規格策定の原則、規格作成の透明性の確保を規定しています。これらにより、規制や規格が各国で異なることにより、産品の国際貿易が必要以上妨げられること（貿易の技術的障害：Technical Barriers to Trade）を、できるだけなくそうとしています。

詳細は　http://www.jisc.go.jp/cooperation/wto-tbt.html　を参照してください。

技術者の能力開発と職場での教育

TMLABINC — Sat, 29 Apr 2006 19:36:33 +0900

技術者の育成は、大きな課題である。技術は急速に幅広く発展してゆくが人の育成は簡単には進まない。職場における技術者教育を討議してみたい。

（１）　企業は人材の育成を重点課題の1つにしているが、企業の中の基本方針（いわゆるしくみ作り）を見ると

１）　人材育成は、それぞれの部門において最も重要かつ緊急な課題として取り組まれているが、その認識と具体的に実施している内容には隔たりがある。
２）　キャリアパス、長期的な人材育成計画、が出来ていない、またはあっても実態に即していない。特に経験5年程度の技術者のためのキャリアパスの計画的策定が重要である。
３）　キャリアパスを会社が技術者に示すことが出来ていないので、技術者自身が自己啓発の意識付け（動機付け）と目標設定が不十分である。
４）　キャリアパスが見えないので、職場におけるＯＪＴが曖昧になっている。

（２）　ＯＪＴは企業において最も普通に見られる人材育成の一手段であるが、いくつかの問題を抱えている。

１）　ＯＪＴ指導者に与えられるべき目標設定が曖昧である。
２）　指導者に育成しようという意気込みや情熱が希薄である。
３）　指導者自身の教えることの出来る知識を持っていない、あるいは教えるスキルが不足している。多くの場合、指導者自身もきちんと育成されていなくて、指導者が経験的に学んだ極めて狭い（最悪な場合は正しくない）知識しか有していない。
４）　企業は、納期や工程に追われており、指導者もその例外ではなく、ＯＪＴに対して物理的（多くの場合はＯＪＴに割ける時間）が極めて不足しており、また精神的余裕も無い。

（３）　自己啓発することが求められているが若手技術者の置かれている状況を見てみよう

１）　技術者は、何を目指して、少なくとも方向性だけは認識して、今なにを、今後は何をすべきなのか、分かっていない。　このことは、自己啓発の目標が見いだせていないので、自己啓発をやらない、あるいは始めてもすぐ止めてしまう。
２）　自分がいま何をしたいのか（現在）、将来どのようになりたいのか（未来）が分かっていないので自己啓発に取りかからない。身近にいる職場の先輩をみても、勉強している気配が無く、与えられた仕事をこなしている内に企業が必要とする技術が身につくなど短絡思考し、日常業務をこなせればそれで良いと思ってしまう。即ち、動機付けされない。
３）　自己啓発する意欲があっても、現実の問題として時間が取れない。要は忙しすぎる。放電が続き過放電にあると充電しなければならないと気づいても、物理的に時間が取れない。特に戦力の中核になっている優秀な技術者には仕事が多いという現実がある。これは企業として切実な問題である。企業をリードして行くべき優秀な技術者を企業が重荷を与え過ぎて潰している。

（４）　次の技術を開発する（先端技術）ためには

１）　企業の中から外に目を向けない。インターネットに出ている情報で満足する傾向がある。
外に目が向いていないので、トップランナーには決してなれない。自分で自分を褒めておしまいである。
２）　研究発表は社内向けに留まっている。学会、大学や外部の団体・組織・研究会などとの交流が不十分である。情報を収集するレベルに留まるので発展がない。発表するのと聴講するのでは一桁のレベルの差がある。外部に発表するすることを奨励する風土の不足がある。
３）　少数であるが、特定分野を深掘りしている技術者がいる。残念ながら視野がせまくいつまで経ってもスペシャリスト指向である。

（５）　技術者に求められていること

１）　以前の技術者は、「いかに(HOW)作るか」が要求されていた。いまの期待は「なに(WHAT)を作るか」である。HowとWhatの違いは大きい。多くの技術者は今もHOWに留まっているのではないか。これを打開するためには、技術者自身が意識を変えること、仕事の仕方を変えること、そして組織が柔軟に対応することが必要である。制度的、組織的問題もある。
２）　改良改善技術者から開発技術者になることが技術者として生き残れる道である。そのためにはマーケッティング能力が必要であり、MOTもこの延長にあると考えている。
３）　管理的技術の習得が必要であり実践する場を自ら求めて進むこと。管理的技術とは、VE手法、プロジェクトマネジメント、リスクマネジメント、デザインレビューのやり方、QC的仕事の進め方などが相当する。技術者はともすればQC,VEの分野を敬遠しがちである。ものを作るという企業ではおろそかになってはならない。

（６）　全般的な事柄

１）　教育は片手間では出来ない。OJTに頼ることはもはや無理である。選任者、組織が必要である。社内兼任講師の負荷が高くなり共倒れとなる。
２）　教育でも外部に委託する分野を増やすこと。
３）　企業のコアとなる部分だけ自社内で教育する覚悟を持つこと。

以上

安全と安心

TMLABINC — Sat, 22 Apr 2006 13:24:44 +0900

　近頃、大きな自然災害や事故の多発、SARSなどの世界的な感染症の流行、国際的なテロ事件そして国内の治安・犯罪の悪化が社会問題になっており多くの人の関心事になっている。また科学技術の広範囲な発展により産業災害の性格が変わりつつあり、また従来になかったサイバースペース上の犯罪がより大きな問題になっている。

　安全・安心な社会を構築するためには、指向する安全・安心な社会のイメージを持ちたい。社会との関わりの視点では、
（１）　安全とは、人とその共同体への損傷、ならびに人、組織、公共の所有物（無形のものを含む）に損害がないと客観的に判断されることである。・・・・客観的にはんだんとは如何なるものか、悩ましい・・・・
（２）　現に運用されているシステムでは、設計段階で安全性が十分に考慮されていることとともに運用の祭における安全が確保されていることである。
（３）　安全を脅かす要因（取りあえずリスクと呼ぶ）による被害を最小限に抑えるためには、被害の発生抑止や被害防止などの事前対策および事後の対策が出来ていること。
（4）　個人が安全について意識を保つこと。防護装置があるからと気を緩めないこと。
（５）　リスクを最小に（極小化）する努力をおこない、そのリスクを社会が受け入れられる出来る極小なレベルになっていること（受容可能なリスク）が安全である。

続いて、安心について考えたい。（続く）

　