社会の安全と安心のためのシステム安全管理の体系
公開日:
カテゴリ: 第1回
1.はじめに
ムの「システム安全管理」の全体模式を検討し、図 1のように纏めた。 最近わが国では、企業不祥事(三菱自工、東電 図1の左右は、いわゆる事故の大きさを区別す 等)、工場・設備爆発(RDF工場、ブリジストる「事故尺度」を示している。図の下から上方に事 ン、出光等)、巨大システム(原子力、宇宙の事 故のレベルが大きくなる。図1の左側には、原子 故等)、医療事故(多数の病院)などがメディア 力施設でのトラブルのレベルを示す国際原子力 で報道され社会問題となっている。科学技術発展 事象評価尺度(INES) を示した。 の一方で、それに関与する人間・組織の技術安全図1の中央部には、システム安全管理のための、 管理が行き届かず、社会の安心確保のためにシス “状態”対“対応行動”のマトリクス的体系を示 テム安全管理の体系の一層の向上が期待される。 した。縦方向は上述のような事故尺度の段階を示 「安全」とは「様々な局面での危険を回避または出し、一方横方向は、プロセスの異常拡大過程→対 来るだけ小さくする営み」と定義して、事故や災。 応処置→対応の結果、と3つの時間経過を示して 害発生時の社会的影響の大きい科学技術システいる。全体として、最下部の正常な状態が、ヒュ事故尺度プロセスの異常拡大過程対応処置対処の結果、失敗
2次災害の被害増大
深刻な事故 (7)「大災害への発展危機管理【速やかな災害復旧」[周辺への被害失敗 (災害発生)カテゴリIV (catastrophic)ー ブラント停止成功さ害の局限化」| 事故の拡大」施設外への リスクを伴う事故 (5)発生事故に対する 発見の遅れまたは、失敗失敗事故の発生初期「事故発生の検知判 断、対応、処理成功| 事故の局限化し施設外への大きな リスクを伴わない 事故(4)局所的被害 -カテゴリ (critical)拡大した異常の 不検知または認対応成功警報| 異常の成長拡大小失敗1成功 拡大した異常の検知 | 判断、対応、処理重大な異常事象トリップ事故の発生風止 | プラント運転停止1判断し運転中断カテゴリ (marginal)初異常の 不検知または誤対応異常の抑制、減衰」計器の動き 駅の失敗初期異常の検知。失敗 |判断、対応、処理、初期異常の発生プラント 正常運転 復帰強説報運転継続1004年(negligibl安全上重要では ない事象(0)機器・部品 故障発生外部から バックアップ の外乱 | 機器の変動設計、運転、保修、 検査の段階で異常 発生防止異常発生の 未然防止H い正常図-1 システム安全管理のマトリクス的体系-23ーマンエラー、機械部品の故障、地震等の外部要 因、バックアップ機器のトラブル等の要因で、初 期異常が拡大して事故になり、対応を誤れば最終 的には周辺に被害が及ぶと考え、プロセス異常の 拡大過程を縦軸に、横軸にはそれを防止するため の対応処置が段階毎に示されている。対応に失敗 すれば縦方向の上方にいき、成功すればその段階 で収束する。可能性としては緊急対応、さらには 周辺に影響が及ぶ大災害の危機管理までをフォ ールト・ツリーで示している。このような全体枠組みの中で、各局面における トラブルを予見し防護するシステムを組み込ん でいくことが、システム安全管理の使命である。2.常に学習する安全文化を創造するJC0 事故調査報告書[1]で、調査委員会委員長 の吉川弘之氏は、「安全性と効率性の二律背反」と 題して次のような所感を述べている。2 規制を強化すると創意工夫がなくなる。4 マニュアル化すると自主性を失う。フールプルーフは技能低下を招く。 6責任をキーパーソンに集中すると集団がバラバラになる。 11 責任を厳密にすると事故隠しが起こる。R情報公開すると過度に保守的になる。 事故や災害発生時の社会的影響の大きい科学 技術システムでは「安全性の確保」は最も重要で ある。しかしJCOでは経営上の効率が優先され て安全性が軽視され、結果として作業者の人命が 失われ周辺住民が退避する大事故を引き起こし た。わが国の原子力界では、JC0 事故を契機に「社 会の安心確保」の道として組織の「安全文化」の問 題が真剣に論じられ取り組まれる一方、電力自由 化を背景に「経済性向上」も課題とされている。そ こでまず、「安全性と効率性の二律背反」を克服し、 「社会の安心確保」を得る道として、まず組織の 「安全文化」のあり方を考察する。 - 1986 年に旧ソ連で発生したチェルノビル事故 は結果としてソ連崩壊の端緒ともなった。IAEA の INSAG 報告書は、「安全文化」という言葉で当時の ソ連の原子力安全への組織要因上の数々の問題点を指摘し、その重要性が世界的にクローズアッ プされた[2]。安全文化の定義やそれをどう測る かは多角的に議論されているが、安全文化には次1組織の成員が安全性の追求に対して持つ明示 化されない信念、態度、価値観 2安全性を達成するために組織が持つべき構造、 実行、制御、政策表-1 組織の安全文化の形態 組織の安全文化説明 の形態 Pathological自分が関与しなければ関係ない. (病的) Reactive 安全は重要ですよ.事故がある度に沢山対策 (事後対応的) をしています. Calculative あらゆるハザードを管理するシステムはご (計算的) ざいます. Proactive 我々はいつも見出す問題点に一生懸命取り (事前対応的) 組んでいます.安全が達成することは難しいことをよく認 Generative 識しています.システムが失敗しうる新しい (創造的) パスとそれへの対応策を考えるブレインストーミングをいつもしています.P.Hudson は組織の安全文化には表1のような 5段階があるとしている [3]。表中の Generative な組織が最も理想的で、システムの安全を脅かす 問題の発生はすべてを予見することはできない と認識して、常にうまずたゆまず問題点の発見と その対応策を学習して、決して自己満足に陥らな仮定二重ループの学習行動シングルループの学習実際の結果、結果のギャップ望ましい結果おかした行動ばかりでなく、その行動の前提 となった組織のあり方を検討する (局所的+全体的なリフォーム)行動が望みの結果と差があると、行動そのものをレビューする。 行動のバイアスをヒューマンエラーの個人モデルで説明し、 個人を対象にした対策を適用する* 図-2 組織の学習の2つのタイプーシングル ループと二重ループP.Hudson はまた組織の学習を、図2のようにシ ングルループと二重ループの2つのタイプに分 類している。シングルループの学習では行動が望 みの結果と差があると、行動そのものをレビュー-24する。そして行動のバイアスをヒューマンエラー の個人モデルで説明し、個人を対象にした対策の 適用に留めるが、二重ループの学習では、個人が 犯した行動への局所的対策ばかりでなく、その行 動の前提となった組織のあり方を検討する。すな わち「常に学習する安全文化を創造する」には二 重ループの学習が求められる。-Top-down的、規範的な品質保証活動とは 逆のBottom-up的、経験的なアプローチー●大事故発生後の事故調査 ニアミスなどの自己申告システム“Reactive““な事故の分析職務/環境条件防壁過誤を惹起する条件過誤プロセス 文化的要因 良き実践要因 ・安全面 ・組織管理面 ・手順面 ・技術面 ・訓練、KATE違反を惹起する。条件違反事故発生危機対応引金となる要因““Proactive”な安全に対する健康度の評価●現場人員による国際的モーターシステム図-3 エラー管理への組織論的アプローチ英国の労働安全の権威である J. Reason は、組して、図3に示すようなエラー管理への組織論的 アプローチを推奨している[4]。すなわち大事故 発生後の事故調査やニアミスなどの申告システ ムを主体とする“Reactive” な事故の分析ばか りでなく、現場をよく知っている人達から安全上 の問題の改善提案を求めるモニタリングシステ ムの導入など、Proactive な安全に対する健康度 の日常的な評価活動を行うエラー管理システム を提唱している。これはトップダウン的、規範的 で文書化を重視する ISO9000 のような品質保証活 動とは逆のボトムアップの経験的なアプローチ である。安全情報を収集分析し、そこから得た教 訓を組織に広く流布するために IT を活かした報 告システムを導入すると“安全文化の工学化”が 達成される。組織の集合知を活かし学習する文化、 Generative な安全文化を創出する最大の前提は、 「公正な文化」と「報告する文化」を如何に組織に 根付かせるかに掛かっており、これにはトップマ ネージメントの積極的関与が求められる。3.組織事故のモデルとメンテナンスのヒ ※ューマンエラー管理3.1 組織事故の因果のパス - 組織事故の因果は、図4のように組織から作業 の場へとつながっていく。組織のプロセスには、 (1) 立案、予測、設計、管理、伝達、予算、監 視、監査等の意思決定と、(2) これらの全体過 程にまたがる組織の風土、文化、があり、これら が組織事故につながる負の要因を構成している。 因果のパスの上流で創出された潜在条件は、部門 的、組織的ルートを経て各々の作業場に伝達され、 例えば高い作業負荷、時間圧力、不十分なスキル や経験、貧弱な装置、となってエラーと違反を助 長する条件として表出される。作業の場の局所的 条件は、個々の技術者、技能工のレベルでの心理 的エラーや違反の傾向と結びついて「不安全な行 為」を創出する。不安全な行為は沢山犯される。 しかし、沢山の防護壁のために悪い結果として表 出することは稀である。しかし、防護システムと しての工学的安全設備、基準、規制、手順等は、 組織的プロセスと防護と結びつける「潜在的な失 敗の道筋」によって「システムの失敗」を活性化組織的事故の要因をモデル化する運営者の意志決定作業の場 → エラーを生成する条件エラー組織的なプロセス違反違反を生成する条件企業の文化など潜在的な失敗の道筋図-4 組織的事故のモデル化3.2 Sharp End (人間とシステムのインタフェーSharp End の人は「事故を先導する人」ではな い。むしろ、システム的要因によって作業の場で 「待ち受ける事故」を「引き受ける人」である。 彼等の作業する職場環境のシステム上の問題に よって、Sharp End の人々は、無意識にわなにか けられる。人ないし技術システムの単一故障には、多重防」 護のシステムは有効である。しかし、問題は単一 故障以外の複合故障である。複合故障で様々なコ-25ントロール、防護、安全措置の多重防護システム をくぐり抜ける唯一の事故タイプは組織的事故 である。これはシステムの多くの異なったレベル での複数個の要因間の考えられないような組合 せが関係している。 3.4 ヒューマンエラーへの多重防護1 唯一の最善の道というものはない。 2 効果的なエラー管理はその場その時限りの 手当てで終るものでなく、耐えざる改善を 目指す。 3 「エラー管理を管理する」ことはエラー管 理の過程の最も挑戦的で困難な部分である。4.2つのリスクコミュニケーション1 エラーの検知」予見されなかったエラーを明るみに出すため に設計された手順的防護策としての機能のチェ ニックと独立監査がある。しかし、双方とも誤まり やすい人の実行に依存するから、手順はいつも脆リスクコミュニケーションは、「個人、機関、 集団間での情報や意見のやり取りの相互作用的 過程」[5]、「(あるリスク問題に関して) 関係者 の参加・参画を発展させながら、リスクの理解と それへの対処の行動について双方向の交流を進 めること」 [6]と定義される。このようなリスク コミュニケーションは一般には図5のように描 くことができる。2 エラーの影響へのシステムの耐力を増す。 * 検知されなかったエラーの影響を contain する発信者 リスクコミュニケーション活動の動機・目的の明確化リスクメッセージリスク管理者今伝達媒体受信者の求める情報等の評価 伝速媒体の理解、伝達手段の選定 リスクコミュニケーション効果評価計画の 作成 リスクコミュニケーションの技術職員の訓練 緊急時のリスクコミュニケーション対策の検討リスク評価・管理者リスクメッセッジ作成者・メンテナンスは主として集団作業で行われ、関 与する組織が多い。そこで用いられるエラー管理 対策には、要員の選抜、訓練/再訓練職務計画、 ジョブカード、タグとリマインダー、シフト交代 制、職務許可システム、人材管理、免許と認証、 チェックとサインオフ、技術および品質監査、手 順、マニュアル、ルール、規制、規律・規範、ト ータル品質管理、と多岐にわたる。エラー管理の 原則で最も大事なところは、この 20 年余に進ん だヒューマンエラーの理論を活用するところに あるが、そのエラー管理には次の 13 の基本原則受信者リスクメッセージ作成者の責任の明確化 リスク評価・リスク低減効果の評価に関する 文書の作成 リスクメッセージの原案作成 (専門家による誤りのチェック) (外部によるわかりやすさ等の事前評価) リスクメッセージの原案の修正詳細情報要求リスクコミュニケータ理解できない点の質問 詳細情報提示質問に対する回答 追加情報の提示と解説質問に対する回答図-5 リスクコミュニケーションの一般的構図1 エラーは本質的に悪いものでない 2 人の条件は変えられないが、人の働く条件は変えられる。 3 最も優れた人が最悪の誤りをおかしうる。人は犯そうと思っていないエラーをそう簡 単に避けることができない。 5 エラーは結果で原因でない。 6 ヒューマンエラーは普遍的で不可避である。 1 同じパターンのエラーが再発する。安全上重要なエラーはシステムのあらゆる レベルで生じうる。 9 エラーの管理は「管理できることを管理する」がポイント。 1 エラーの管理は「よい人を優れた人に変え社会的に影響が大きい産業システムのリスク コミュニケーションでは、図6に示すように、産 業システムの組織内部での技術的リスクコミュ ニケーションと、組織外部への公衆リスクコミュ ニケーションの二つがある。技術的リスクコミュ ニケーションの目的は、リスク発生の防止または リスク低減にあり、公衆リスクコミュニケーショ ンではリスクの受容である。公衆リスクコミュニ ケーションは、社会心理学の分野で研究が進んで きた。例えば木下富雄氏らは、リスク情報の発信 者から受け手へ技術のよい点ばかりを宣伝する 従来の説得型コミュニケーションより、リスク情 報の送り手は技術のよい点も悪い点も公正に受る」。け手に伝えて、送り手と受け手が一緒になって考 える双方向の共考型リスクコミュニケーション の方が社会の信頼を得やすい。しかし、肝心の産 業システムが事故ばかり起こしているようでは 幾ら共考型リスクコミュニケーションでも効果 はないとも述べている[7]。リスク評価担当技術管理者 リスク専門家集団 リスク管理者組織内部の技術的リスクコミュニケーション公衆社会行政規制当図-6 産業システムの2つのリスクコミュニ技術的リスクコミュニケーションは、管理従事 者、設計、製作、保守、運転等の技術者に対する コミュニケーションに焦点を当てるものだが、公 衆に対するリスクコミュニケーションほど取り 組まれてこなかった。しかし過去のもんじゅ事故 といい、JC0 事故といい、いずれも設計技術者、 現場作業者に技術的なリスク情報が伝達されて いなかったことが根本にあった。このことから組 織内部の技術的リスクコミュニケーションの方 が先決である。このような技術的リスクコミュニ ケーションの目標は次のようなリスク認知、リス ク理解、リスク制御活動の促進である。リスク認知とは、産業システムのリスク環境を 知ること、産業システムのリスク制御の必要性を 知ることである。具体的には、リスクに関する動 機付け(リスクにかかわる賞罰、リスク削減報奨 金等)、リスクに関する連絡(リスクに関する所 内ニュース, コンピュータ情報の発信、リスクに 関するポスター, リスク小冊子の発行など)、リ スクに対する親密度向上(リスク訓練, リスク講 義,リスクブリーフィング、リスク管理ツールの 活用など)、重要リスクの警告(リスク警告の張 り出し、リスクのラベル化とタグ化)などへの取(2) リスク理解 ・リスク理解とは、産業システムの工学的なリス ク情報を理解することである。具体的には、リス ク概要の理解(リスク評価結果の階層化、層的リ スクサマリー)、リスク状況の理解(リスクコン フィギュレーションマトリクス、リスクモニタ、 手順ガイダンス)、リスク内容の理解 (リスクテ キストブック、階層的リスク情報パッケージ)な(3) リスク制御活動 ・- リスク発生に関わる仕事の効率化によりリス クを制御することである。具体的には、リスク作手順書)、リスク作業モニタ(リスクに基づく保 安上の規程、リスクの優先順位づけ、リスクウォ ークダウン)への取り組みである。組織内部の技術的リスクコミュニケーション で提供される多様なリスク情報を図7に示した。 要するに、ここで述べた技術的リスクコミュニケ ーションは、2.に述べた「常に学習する安全文 化」を創造する取り組みの一つの具体的なイメー ジを与えるものである。リスク評価モニタ意思決定ツールリスク管理手順書ポスター1ニュースレター訓練図-7 リスク情報の様々な使用形態5.わが国の原子力発電への提言5.1 事業構造についてわが国の電力会では社の原子力発電の保修体 制としてメーカ、電力双方の協力会社による重層 構造化した作業体制、地元対策を兼ねた人海戦略 による過剰な保守作業を特徴としているようだ が、日本原子力産業会議によれば、今後の社会趨-27勢からとくに保修関係で以下の問題が指摘され ている[8]。 1 技術技能の伝承の仕組みつくりとレベル維持 2 人数の確保 3 工事方法の合理化・省力化 @ 人材の共通活用 5 地元活性化への貢献 そして以下の具体的方策を提言している。 1 原子力保修技術者の民間資格制度の確保、安定的確保のために民間資格制度を設 立する。資格化する技能の種類、必要とす るレベル、認定方法、資格の有効範囲など を検討する場を設ける。 多層構造の緩和・・・・・現場問題の発掘、営率の増大を図る。直営部門の業務量の年 間平準化、経済性維持のため、社内あるいは事業者間のアライアンスを検討する。 3 年間工事量の削減と平準化・・・・・アライアンスの実施、状態監視保全、リスクベ ースメンテナンスの導入、停止中の検査工 事の運転中への移行により年間工事量の削 減を行う。また規制の高度化について技術4 管理手続き、運営ルールの見直し、統一化・・・・・各サイトで異なる管理手続き、 運営ルールの統一、簡素化による実質作業 時間の合理化、アライアンスの容易化を志 向して各社間での検討の場を設ける。 プロセスの改善・・・・・保修等の発電所 の維持管理上の様々な作業プロセスの各社 の実績評価、比較、差の分析、成果の共用 のために米国 NEI のプロセス管理などを参 考に検討する。 6 エンジニアリングセンター構想・・・・・以上の(1)から(5)の提言を実効ならしめる 方法としてエンジニアリングセンタの設置 を検討する。アライアンス実施の中核とし て、 保修技術者、技能者の配置運用管理、作業ルール、アニュアル、放射線管理等 の統一化、 民間資格の技能者等の登録、 サイト間活用を行う。上記の原子力産業会議基盤強化委員会のエン ジニアリングセンターの構想は、筆者が日本保全 学会誌に寄稿したオフサイト運転保守支援セン ターの構想[9]とも合致する。原子力防災と保全 管理の強化という現今の社会の要請する、原子力 安全への安心に応える道としての、オフサイト運 転保守支援センターの構想を図8に示す。原子力 災害時に防災活動に関与する機関は、事故発生し た原子力発電所の立地地域におけるオフサイト センタと、東京に設けられる原子力災害対策本部 であり、事故発生した原子力発電所からはプラン トの事故パラメタが緊急時対応のネットワーク を経由して災害対策本部に伝送され、ここでは ERSS と称する緊急時対応支援システムを用いて リアルタイムで事故状況を理解し、把握するとと もに将来の事故進展予測を行って、プラント周辺 に放射能放出が予測された場合にはその発生前 に放出量予測値を SPEEDI と称する環境被曝予測 システムにインプットして発電所周辺の被曝程 度を予測する。これらのシステムの予測結果は災 害対策本部および現地のオフサイトセンターに 伝送されて、住民退避を含めた防災活動の立案に 用いられる。NPO緊急時対応のネットユビキタスネットワークを構成して」 原子力発電所スタッフを日常援ERSSオフサイト)|ROMSCSPEEDI規制側スタッフプラント運転保守の が常駐専門家が常駐東京立地地域SPEEDI: 環境被爆予測システム ERSS: 緊急時対応支援システム ROMSC:オフサイト運転保守支援センター NPP:原子力発電所図-8 オフサイト運転保守支援センターの構想- オフサイトセンターは万一の原子力災害に備 えるものであり、社会的安心のための代償とでも 言える高価な保険料である。また、このような事 態の発生はそもそもあってはならない。そこで、 オフサイトセンターは整備されている現実を踏-28まえ、これを原子力の安全と安心を日常的に支え る機関と位置づけて、図8中の ROMSC としてオフ サイト運転保守支援センターの導入を構想した。オフサイト運転保守支援センターの構想の主 要な特徴は、以下のとおりである。 1 高度な運転保守技術の研究開発、運転保守に関わる民間基準策定、シビアアクシデント対 策、運転経験の分析、ヒューマンファクター 分析、安全文化醸成活動等の中核センターとする。 2 マンマシンシステム専門家、ヒューマンファクター専門家を含めた高度な技術者を集中 させて、緊急時対応とプラント保守に関わるリスク管理技術能力の維持向上をはかる。 3 規制側のオフサイトセンターと隣接設置して、防災専門家、運転管理官、地方自治体ス タッフ等と日常的に連携を深める. 4 電力会社、原子力メーカによる合弁会社か、政府、自治体の支援を得た PFI 方式の事業形 態で運営する。 このようなオフサイト運転保守支援センター の事業には、上述のエンジニアリングセンターの 機能以外に、表2に示すような研究開発が挙げら れる。表-2 オフサイト運転保守支援センターの業務 領域業務 中央制御室運転員への多様な日常的運転モー ドへのOJT支援(起動停止、出力上昇、計画停止時の原子炉 運転領域 監視など)シビアアクシデント時のオフサイトセンター へのスイッチ以前の収束操作支援(オフサイ トセンターとの協同作業による)日常の ISI(供用時点検) への状態監視保全技 保守領域 術の R&D原子炉コンポーネントの欠陥検査技術の R&D高放射線領域の日常点検・定期保守作業用ロ 運転・保守共|ボット技術の開発人的要因・組織要因の向上に関わる運営管理 法の工場」5.2 組織事故への事後対策と事前対策について * Reason によれば、組織事故のエラー事象の生 じる3つの要因(原因となる要因、それらが相互 作用を生じるタイミング、その結果)の偶発的発 一生は根絶できないが、その原因となる要因を見出して除去すること、その結果を軽減する防護を改 善するための組織的な対策は可能とし、エラー発生に耐性のある組織にするには、事前対策、事後 対策の2つの段階で「安全情報システム」の導入 が有効としている。そして、「事後の結果への対 策」(Reactive)と「事前のプロセスへの対策」 (Proactive)は表3に示すように相互に補足し あって作業場と組織のエラーを引起す要因の同 定と防護(バリアと保障措置)のギャップの発見 に効果的に役立つとしている。表-3 事後対策と事前対策の双方の協働事後の結果への対策 | 事前のプロセスへの対 (Reactive)「策 (Proactive) 多くの事象の解析か システムの”バイタルら単一の事象では見 |サイン“の定常的サン 作業場所 分けられない原因と 「プリングによって最も と組織的 結果のパタンの再発 修正を要する事項が明 要因 が明白になるらかになり、システム の適合性、耐性向上につながる 各々の事象はメンテ 定常的なチェックはど 防護、障 ナンスシステムの多 こに防御上の弱点が現 壁、安全措 くの防護層の部分的 在あるのか将来どこでないし完全な貫通を 出現する恐れがあるの 示している。か明らかにする置事前対策では、実際の現場で働くさまざまな組 織、職種の作業員から幾人かをある程度の長期間 にわたってモニターに任命し、MESH(工学的安全 性の健康度管理システム)と称する情報システム に、作業場の状況、手順、用具、仕事の管理など 問題点気がつくたびに自由に入力してもらうと いうもので、その収録データを統計分析して重要 な問題点の事前摘出に役立てるというものであ る。また、事後対策は、いわゆるヒヤリハット事 故データのルートコーズを分析するもので、MEDA (メンテナンスエラー検出ガイド)という情報シ ステムがある。また、Reason はそもそも安全文化の最も高度に 進んだ組織は、信頼性ということばで規定され る性質を備えているだけでは不十分で、将来どん な不測の事態が生じてもそれに柔軟に適応して 乗り切ることが求められるとして、これを組織 の耐性ということばで代表させている。そして 組織の耐性を高めるには、次の3つの C が必要1 Commitment : ビジネス圧力の増大に直面し、トップマネージメントは効果的にエラー管理と安全管理を実行する意志がある。 2 Cognizance:マネージャは“安全戦争”の性質、とくに人間と組織的要因について理3 Competence:安全とエラー管理のツールが 理解され、その目的に十分であり、適切に利用されている。 そして、3つの C に基く組織の耐性の評価法と して次のようなチェックリスト法の導入を例示1 HPAC ( Human Performance Awarenesschecklist)・・・・・3つの C についてそ れぞれ 10 個ずつ、合計 30 の質問の各問に 自分の組織が該当するかどうかを Yes (+ 1)、No (-1)、don't know (0)で答えるものである。 2 CAIR ( Checklist_for AssessingInstitutional Resilience)・・・・・組 織にどの程度エラー耐性があるかをマネ ージメントの4つの P (Philosophy, Politics, Procedure, Practice)で明らかとする。 旧 NUPEC ヒューマンファクタセンターでは、 SCEST と称する安全文化評価支援ツールを開発し ている[10]。これは組織の安全文化の程度を、 安全確保のための仕組み(体制、手段、活動)、要員の安全態度・安全行動、および組織の安 全態度・安全行動の共有性、の3点からチェック リスト方式で評価するものである。とくには規 制当局(具体的には保安検査官)の使用を想定し ている。保安検査に安全文化の外部監査システム が導入される可能性を指摘しておきたい。 5.3 韓国における原子力発電の安全性能指標に表-4 韓国における原子力発電所の安全性能指標計画外炉停止率 運転安全性計画外出力低下率 燃料信頼性原子炉冷却材漏洩 多重防護 原子炉安全性格納容器信頼性 緊急対応準備度安全注入系利用可能性 安全システム可能性補助給水系利用可能性 敷地内從業員集?被曝線最 放射線被曝安全性敷地外公衆/環境被曝線量 最近、韓国では科学技術省および原子力安全研 究院が、表4のような各種の原子力発電所の安全1-30性能指標を WEB で公開している[11]。最近、電事 連で取り組まれている原子力発電安全情報公開 ライブラリ「ニューシア」ではこのような日本版 安全性能指標を公開することも期待される。公共性が大きく、事故や災害発生時の社会的影 響の大きい科学技術システムの安全と安心を高 めるには、科学技術システムの運営、管理、実務、 作業に携わる人々が一体となって安全を支え、不 断に「安全文化」を醸成する活動が重要である。本 稿ではその具体的な取り組みの工学的方法論の 一端を紹介したが、その定量的な評価、指標化に リスク概念の導入によるリスクベースのシステ ム安全管理への発展を期待したい。また組織の安 全文化醸成活動の取り組みを社会に発信し、社会 の反応を効果的に組織内部の安全文化醸成にフ ィードバックする仕組みが「社会の安心の確保」 に繋がると期待している。参考文献[1] 原子力安全委員会ウラン加工工場臨界事故調査委員会:「ウラン加工工場臨界事故調査委員会報告」、1999年 12月24日. [2] International Nuclear Safety Advisory Group(INSAG) 1991: Safety Culture (Safety Series No.75-INSAG-4), International Atomic Energy Agency(IAEA). P. Hudson: Aviation Safety Culture, (Leiden: Centre for Safety Science, Leiden University,2002). [4] J. Reason: Managing the Risk ofOrganizational Accidents, (Aldershot:Ashgate, 1997). [5] National Research Council, Improving RiskCommunication (1989). [6] 日本リスク研究学会:リスク学事典, (2000). [7] 木下富雄:リスクコミュニケーション:思想と技術、エネルギーレビュー、24-2,pp.6-10,2004. 「81 日本原子力産業会議:基盤強化委員会 人材問題小委員会報告書 平成15年6月. [9] 吉川 榮和、大井忠:オフサイト運転保守支援センター-その構想と課題-、保全学、Vol.3, No.1,pp.70-74,2004. [10]原子力発電技術機構:安全文化の理解と評価のための手引き(改訂版) 2004年4月. [11] Young S. Eun: Development of Nuclear Powerand Safety Regulation in Korea, Korea西支部講演会(エネルギー・環境一海外事情) 平成16年3月5日.“ “社会の安全と安心のためのシステム安全管理の体系 “ “吉川 榮和,Hidekazu YOSHIKAWA“ “社会の安全と安心のためのシステム安全管理の体系 “ “吉川 榮和,Hidekazu YOSHIKAWA
ムの「システム安全管理」の全体模式を検討し、図 1のように纏めた。 最近わが国では、企業不祥事(三菱自工、東電 図1の左右は、いわゆる事故の大きさを区別す 等)、工場・設備爆発(RDF工場、ブリジストる「事故尺度」を示している。図の下から上方に事 ン、出光等)、巨大システム(原子力、宇宙の事 故のレベルが大きくなる。図1の左側には、原子 故等)、医療事故(多数の病院)などがメディア 力施設でのトラブルのレベルを示す国際原子力 で報道され社会問題となっている。科学技術発展 事象評価尺度(INES) を示した。 の一方で、それに関与する人間・組織の技術安全図1の中央部には、システム安全管理のための、 管理が行き届かず、社会の安心確保のためにシス “状態”対“対応行動”のマトリクス的体系を示 テム安全管理の体系の一層の向上が期待される。 した。縦方向は上述のような事故尺度の段階を示 「安全」とは「様々な局面での危険を回避または出し、一方横方向は、プロセスの異常拡大過程→対 来るだけ小さくする営み」と定義して、事故や災。 応処置→対応の結果、と3つの時間経過を示して 害発生時の社会的影響の大きい科学技術システいる。全体として、最下部の正常な状態が、ヒュ事故尺度プロセスの異常拡大過程対応処置対処の結果、失敗
2次災害の被害増大
深刻な事故 (7)「大災害への発展危機管理【速やかな災害復旧」[周辺への被害失敗 (災害発生)カテゴリIV (catastrophic)ー ブラント停止成功さ害の局限化」| 事故の拡大」施設外への リスクを伴う事故 (5)発生事故に対する 発見の遅れまたは、失敗失敗事故の発生初期「事故発生の検知判 断、対応、処理成功| 事故の局限化し施設外への大きな リスクを伴わない 事故(4)局所的被害 -カテゴリ (critical)拡大した異常の 不検知または認対応成功警報| 異常の成長拡大小失敗1成功 拡大した異常の検知 | 判断、対応、処理重大な異常事象トリップ事故の発生風止 | プラント運転停止1判断し運転中断カテゴリ (marginal)初異常の 不検知または誤対応異常の抑制、減衰」計器の動き 駅の失敗初期異常の検知。失敗 |判断、対応、処理、初期異常の発生プラント 正常運転 復帰強説報運転継続1004年(negligibl安全上重要では ない事象(0)機器・部品 故障発生外部から バックアップ の外乱 | 機器の変動設計、運転、保修、 検査の段階で異常 発生防止異常発生の 未然防止H い正常図-1 システム安全管理のマトリクス的体系-23ーマンエラー、機械部品の故障、地震等の外部要 因、バックアップ機器のトラブル等の要因で、初 期異常が拡大して事故になり、対応を誤れば最終 的には周辺に被害が及ぶと考え、プロセス異常の 拡大過程を縦軸に、横軸にはそれを防止するため の対応処置が段階毎に示されている。対応に失敗 すれば縦方向の上方にいき、成功すればその段階 で収束する。可能性としては緊急対応、さらには 周辺に影響が及ぶ大災害の危機管理までをフォ ールト・ツリーで示している。このような全体枠組みの中で、各局面における トラブルを予見し防護するシステムを組み込ん でいくことが、システム安全管理の使命である。2.常に学習する安全文化を創造するJC0 事故調査報告書[1]で、調査委員会委員長 の吉川弘之氏は、「安全性と効率性の二律背反」と 題して次のような所感を述べている。2 規制を強化すると創意工夫がなくなる。4 マニュアル化すると自主性を失う。フールプルーフは技能低下を招く。 6責任をキーパーソンに集中すると集団がバラバラになる。 11 責任を厳密にすると事故隠しが起こる。R情報公開すると過度に保守的になる。 事故や災害発生時の社会的影響の大きい科学 技術システムでは「安全性の確保」は最も重要で ある。しかしJCOでは経営上の効率が優先され て安全性が軽視され、結果として作業者の人命が 失われ周辺住民が退避する大事故を引き起こし た。わが国の原子力界では、JC0 事故を契機に「社 会の安心確保」の道として組織の「安全文化」の問 題が真剣に論じられ取り組まれる一方、電力自由 化を背景に「経済性向上」も課題とされている。そ こでまず、「安全性と効率性の二律背反」を克服し、 「社会の安心確保」を得る道として、まず組織の 「安全文化」のあり方を考察する。 - 1986 年に旧ソ連で発生したチェルノビル事故 は結果としてソ連崩壊の端緒ともなった。IAEA の INSAG 報告書は、「安全文化」という言葉で当時の ソ連の原子力安全への組織要因上の数々の問題点を指摘し、その重要性が世界的にクローズアッ プされた[2]。安全文化の定義やそれをどう測る かは多角的に議論されているが、安全文化には次1組織の成員が安全性の追求に対して持つ明示 化されない信念、態度、価値観 2安全性を達成するために組織が持つべき構造、 実行、制御、政策表-1 組織の安全文化の形態 組織の安全文化説明 の形態 Pathological自分が関与しなければ関係ない. (病的) Reactive 安全は重要ですよ.事故がある度に沢山対策 (事後対応的) をしています. Calculative あらゆるハザードを管理するシステムはご (計算的) ざいます. Proactive 我々はいつも見出す問題点に一生懸命取り (事前対応的) 組んでいます.安全が達成することは難しいことをよく認 Generative 識しています.システムが失敗しうる新しい (創造的) パスとそれへの対応策を考えるブレインストーミングをいつもしています.P.Hudson は組織の安全文化には表1のような 5段階があるとしている [3]。表中の Generative な組織が最も理想的で、システムの安全を脅かす 問題の発生はすべてを予見することはできない と認識して、常にうまずたゆまず問題点の発見と その対応策を学習して、決して自己満足に陥らな仮定二重ループの学習行動シングルループの学習実際の結果、結果のギャップ望ましい結果おかした行動ばかりでなく、その行動の前提 となった組織のあり方を検討する (局所的+全体的なリフォーム)行動が望みの結果と差があると、行動そのものをレビューする。 行動のバイアスをヒューマンエラーの個人モデルで説明し、 個人を対象にした対策を適用する* 図-2 組織の学習の2つのタイプーシングル ループと二重ループP.Hudson はまた組織の学習を、図2のようにシ ングルループと二重ループの2つのタイプに分 類している。シングルループの学習では行動が望 みの結果と差があると、行動そのものをレビュー-24する。そして行動のバイアスをヒューマンエラー の個人モデルで説明し、個人を対象にした対策の 適用に留めるが、二重ループの学習では、個人が 犯した行動への局所的対策ばかりでなく、その行 動の前提となった組織のあり方を検討する。すな わち「常に学習する安全文化を創造する」には二 重ループの学習が求められる。-Top-down的、規範的な品質保証活動とは 逆のBottom-up的、経験的なアプローチー●大事故発生後の事故調査 ニアミスなどの自己申告システム“Reactive““な事故の分析職務/環境条件防壁過誤を惹起する条件過誤プロセス 文化的要因 良き実践要因 ・安全面 ・組織管理面 ・手順面 ・技術面 ・訓練、KATE違反を惹起する。条件違反事故発生危機対応引金となる要因““Proactive”な安全に対する健康度の評価●現場人員による国際的モーターシステム図-3 エラー管理への組織論的アプローチ英国の労働安全の権威である J. Reason は、組して、図3に示すようなエラー管理への組織論的 アプローチを推奨している[4]。すなわち大事故 発生後の事故調査やニアミスなどの申告システ ムを主体とする“Reactive” な事故の分析ばか りでなく、現場をよく知っている人達から安全上 の問題の改善提案を求めるモニタリングシステ ムの導入など、Proactive な安全に対する健康度 の日常的な評価活動を行うエラー管理システム を提唱している。これはトップダウン的、規範的 で文書化を重視する ISO9000 のような品質保証活 動とは逆のボトムアップの経験的なアプローチ である。安全情報を収集分析し、そこから得た教 訓を組織に広く流布するために IT を活かした報 告システムを導入すると“安全文化の工学化”が 達成される。組織の集合知を活かし学習する文化、 Generative な安全文化を創出する最大の前提は、 「公正な文化」と「報告する文化」を如何に組織に 根付かせるかに掛かっており、これにはトップマ ネージメントの積極的関与が求められる。3.組織事故のモデルとメンテナンスのヒ ※ューマンエラー管理3.1 組織事故の因果のパス - 組織事故の因果は、図4のように組織から作業 の場へとつながっていく。組織のプロセスには、 (1) 立案、予測、設計、管理、伝達、予算、監 視、監査等の意思決定と、(2) これらの全体過 程にまたがる組織の風土、文化、があり、これら が組織事故につながる負の要因を構成している。 因果のパスの上流で創出された潜在条件は、部門 的、組織的ルートを経て各々の作業場に伝達され、 例えば高い作業負荷、時間圧力、不十分なスキル や経験、貧弱な装置、となってエラーと違反を助 長する条件として表出される。作業の場の局所的 条件は、個々の技術者、技能工のレベルでの心理 的エラーや違反の傾向と結びついて「不安全な行 為」を創出する。不安全な行為は沢山犯される。 しかし、沢山の防護壁のために悪い結果として表 出することは稀である。しかし、防護システムと しての工学的安全設備、基準、規制、手順等は、 組織的プロセスと防護と結びつける「潜在的な失 敗の道筋」によって「システムの失敗」を活性化組織的事故の要因をモデル化する運営者の意志決定作業の場 → エラーを生成する条件エラー組織的なプロセス違反違反を生成する条件企業の文化など潜在的な失敗の道筋図-4 組織的事故のモデル化3.2 Sharp End (人間とシステムのインタフェーSharp End の人は「事故を先導する人」ではな い。むしろ、システム的要因によって作業の場で 「待ち受ける事故」を「引き受ける人」である。 彼等の作業する職場環境のシステム上の問題に よって、Sharp End の人々は、無意識にわなにか けられる。人ないし技術システムの単一故障には、多重防」 護のシステムは有効である。しかし、問題は単一 故障以外の複合故障である。複合故障で様々なコ-25ントロール、防護、安全措置の多重防護システム をくぐり抜ける唯一の事故タイプは組織的事故 である。これはシステムの多くの異なったレベル での複数個の要因間の考えられないような組合 せが関係している。 3.4 ヒューマンエラーへの多重防護1 唯一の最善の道というものはない。 2 効果的なエラー管理はその場その時限りの 手当てで終るものでなく、耐えざる改善を 目指す。 3 「エラー管理を管理する」ことはエラー管 理の過程の最も挑戦的で困難な部分である。4.2つのリスクコミュニケーション1 エラーの検知」予見されなかったエラーを明るみに出すため に設計された手順的防護策としての機能のチェ ニックと独立監査がある。しかし、双方とも誤まり やすい人の実行に依存するから、手順はいつも脆リスクコミュニケーションは、「個人、機関、 集団間での情報や意見のやり取りの相互作用的 過程」[5]、「(あるリスク問題に関して) 関係者 の参加・参画を発展させながら、リスクの理解と それへの対処の行動について双方向の交流を進 めること」 [6]と定義される。このようなリスク コミュニケーションは一般には図5のように描 くことができる。2 エラーの影響へのシステムの耐力を増す。 * 検知されなかったエラーの影響を contain する発信者 リスクコミュニケーション活動の動機・目的の明確化リスクメッセージリスク管理者今伝達媒体受信者の求める情報等の評価 伝速媒体の理解、伝達手段の選定 リスクコミュニケーション効果評価計画の 作成 リスクコミュニケーションの技術職員の訓練 緊急時のリスクコミュニケーション対策の検討リスク評価・管理者リスクメッセッジ作成者・メンテナンスは主として集団作業で行われ、関 与する組織が多い。そこで用いられるエラー管理 対策には、要員の選抜、訓練/再訓練職務計画、 ジョブカード、タグとリマインダー、シフト交代 制、職務許可システム、人材管理、免許と認証、 チェックとサインオフ、技術および品質監査、手 順、マニュアル、ルール、規制、規律・規範、ト ータル品質管理、と多岐にわたる。エラー管理の 原則で最も大事なところは、この 20 年余に進ん だヒューマンエラーの理論を活用するところに あるが、そのエラー管理には次の 13 の基本原則受信者リスクメッセージ作成者の責任の明確化 リスク評価・リスク低減効果の評価に関する 文書の作成 リスクメッセージの原案作成 (専門家による誤りのチェック) (外部によるわかりやすさ等の事前評価) リスクメッセージの原案の修正詳細情報要求リスクコミュニケータ理解できない点の質問 詳細情報提示質問に対する回答 追加情報の提示と解説質問に対する回答図-5 リスクコミュニケーションの一般的構図1 エラーは本質的に悪いものでない 2 人の条件は変えられないが、人の働く条件は変えられる。 3 最も優れた人が最悪の誤りをおかしうる。人は犯そうと思っていないエラーをそう簡 単に避けることができない。 5 エラーは結果で原因でない。 6 ヒューマンエラーは普遍的で不可避である。 1 同じパターンのエラーが再発する。安全上重要なエラーはシステムのあらゆる レベルで生じうる。 9 エラーの管理は「管理できることを管理する」がポイント。 1 エラーの管理は「よい人を優れた人に変え社会的に影響が大きい産業システムのリスク コミュニケーションでは、図6に示すように、産 業システムの組織内部での技術的リスクコミュ ニケーションと、組織外部への公衆リスクコミュ ニケーションの二つがある。技術的リスクコミュ ニケーションの目的は、リスク発生の防止または リスク低減にあり、公衆リスクコミュニケーショ ンではリスクの受容である。公衆リスクコミュニ ケーションは、社会心理学の分野で研究が進んで きた。例えば木下富雄氏らは、リスク情報の発信 者から受け手へ技術のよい点ばかりを宣伝する 従来の説得型コミュニケーションより、リスク情 報の送り手は技術のよい点も悪い点も公正に受る」。け手に伝えて、送り手と受け手が一緒になって考 える双方向の共考型リスクコミュニケーション の方が社会の信頼を得やすい。しかし、肝心の産 業システムが事故ばかり起こしているようでは 幾ら共考型リスクコミュニケーションでも効果 はないとも述べている[7]。リスク評価担当技術管理者 リスク専門家集団 リスク管理者組織内部の技術的リスクコミュニケーション公衆社会行政規制当図-6 産業システムの2つのリスクコミュニ技術的リスクコミュニケーションは、管理従事 者、設計、製作、保守、運転等の技術者に対する コミュニケーションに焦点を当てるものだが、公 衆に対するリスクコミュニケーションほど取り 組まれてこなかった。しかし過去のもんじゅ事故 といい、JC0 事故といい、いずれも設計技術者、 現場作業者に技術的なリスク情報が伝達されて いなかったことが根本にあった。このことから組 織内部の技術的リスクコミュニケーションの方 が先決である。このような技術的リスクコミュニ ケーションの目標は次のようなリスク認知、リス ク理解、リスク制御活動の促進である。リスク認知とは、産業システムのリスク環境を 知ること、産業システムのリスク制御の必要性を 知ることである。具体的には、リスクに関する動 機付け(リスクにかかわる賞罰、リスク削減報奨 金等)、リスクに関する連絡(リスクに関する所 内ニュース, コンピュータ情報の発信、リスクに 関するポスター, リスク小冊子の発行など)、リ スクに対する親密度向上(リスク訓練, リスク講 義,リスクブリーフィング、リスク管理ツールの 活用など)、重要リスクの警告(リスク警告の張 り出し、リスクのラベル化とタグ化)などへの取(2) リスク理解 ・リスク理解とは、産業システムの工学的なリス ク情報を理解することである。具体的には、リス ク概要の理解(リスク評価結果の階層化、層的リ スクサマリー)、リスク状況の理解(リスクコン フィギュレーションマトリクス、リスクモニタ、 手順ガイダンス)、リスク内容の理解 (リスクテ キストブック、階層的リスク情報パッケージ)な(3) リスク制御活動 ・- リスク発生に関わる仕事の効率化によりリス クを制御することである。具体的には、リスク作手順書)、リスク作業モニタ(リスクに基づく保 安上の規程、リスクの優先順位づけ、リスクウォ ークダウン)への取り組みである。組織内部の技術的リスクコミュニケーション で提供される多様なリスク情報を図7に示した。 要するに、ここで述べた技術的リスクコミュニケ ーションは、2.に述べた「常に学習する安全文 化」を創造する取り組みの一つの具体的なイメー ジを与えるものである。リスク評価モニタ意思決定ツールリスク管理手順書ポスター1ニュースレター訓練図-7 リスク情報の様々な使用形態5.わが国の原子力発電への提言5.1 事業構造についてわが国の電力会では社の原子力発電の保修体 制としてメーカ、電力双方の協力会社による重層 構造化した作業体制、地元対策を兼ねた人海戦略 による過剰な保守作業を特徴としているようだ が、日本原子力産業会議によれば、今後の社会趨-27勢からとくに保修関係で以下の問題が指摘され ている[8]。 1 技術技能の伝承の仕組みつくりとレベル維持 2 人数の確保 3 工事方法の合理化・省力化 @ 人材の共通活用 5 地元活性化への貢献 そして以下の具体的方策を提言している。 1 原子力保修技術者の民間資格制度の確保、安定的確保のために民間資格制度を設 立する。資格化する技能の種類、必要とす るレベル、認定方法、資格の有効範囲など を検討する場を設ける。 多層構造の緩和・・・・・現場問題の発掘、営率の増大を図る。直営部門の業務量の年 間平準化、経済性維持のため、社内あるいは事業者間のアライアンスを検討する。 3 年間工事量の削減と平準化・・・・・アライアンスの実施、状態監視保全、リスクベ ースメンテナンスの導入、停止中の検査工 事の運転中への移行により年間工事量の削 減を行う。また規制の高度化について技術4 管理手続き、運営ルールの見直し、統一化・・・・・各サイトで異なる管理手続き、 運営ルールの統一、簡素化による実質作業 時間の合理化、アライアンスの容易化を志 向して各社間での検討の場を設ける。 プロセスの改善・・・・・保修等の発電所 の維持管理上の様々な作業プロセスの各社 の実績評価、比較、差の分析、成果の共用 のために米国 NEI のプロセス管理などを参 考に検討する。 6 エンジニアリングセンター構想・・・・・以上の(1)から(5)の提言を実効ならしめる 方法としてエンジニアリングセンタの設置 を検討する。アライアンス実施の中核とし て、 保修技術者、技能者の配置運用管理、作業ルール、アニュアル、放射線管理等 の統一化、 民間資格の技能者等の登録、 サイト間活用を行う。上記の原子力産業会議基盤強化委員会のエン ジニアリングセンターの構想は、筆者が日本保全 学会誌に寄稿したオフサイト運転保守支援セン ターの構想[9]とも合致する。原子力防災と保全 管理の強化という現今の社会の要請する、原子力 安全への安心に応える道としての、オフサイト運 転保守支援センターの構想を図8に示す。原子力 災害時に防災活動に関与する機関は、事故発生し た原子力発電所の立地地域におけるオフサイト センタと、東京に設けられる原子力災害対策本部 であり、事故発生した原子力発電所からはプラン トの事故パラメタが緊急時対応のネットワーク を経由して災害対策本部に伝送され、ここでは ERSS と称する緊急時対応支援システムを用いて リアルタイムで事故状況を理解し、把握するとと もに将来の事故進展予測を行って、プラント周辺 に放射能放出が予測された場合にはその発生前 に放出量予測値を SPEEDI と称する環境被曝予測 システムにインプットして発電所周辺の被曝程 度を予測する。これらのシステムの予測結果は災 害対策本部および現地のオフサイトセンターに 伝送されて、住民退避を含めた防災活動の立案に 用いられる。NPO緊急時対応のネットユビキタスネットワークを構成して」 原子力発電所スタッフを日常援ERSSオフサイト)|ROMSCSPEEDI規制側スタッフプラント運転保守の が常駐専門家が常駐東京立地地域SPEEDI: 環境被爆予測システム ERSS: 緊急時対応支援システム ROMSC:オフサイト運転保守支援センター NPP:原子力発電所図-8 オフサイト運転保守支援センターの構想- オフサイトセンターは万一の原子力災害に備 えるものであり、社会的安心のための代償とでも 言える高価な保険料である。また、このような事 態の発生はそもそもあってはならない。そこで、 オフサイトセンターは整備されている現実を踏-28まえ、これを原子力の安全と安心を日常的に支え る機関と位置づけて、図8中の ROMSC としてオフ サイト運転保守支援センターの導入を構想した。オフサイト運転保守支援センターの構想の主 要な特徴は、以下のとおりである。 1 高度な運転保守技術の研究開発、運転保守に関わる民間基準策定、シビアアクシデント対 策、運転経験の分析、ヒューマンファクター 分析、安全文化醸成活動等の中核センターとする。 2 マンマシンシステム専門家、ヒューマンファクター専門家を含めた高度な技術者を集中 させて、緊急時対応とプラント保守に関わるリスク管理技術能力の維持向上をはかる。 3 規制側のオフサイトセンターと隣接設置して、防災専門家、運転管理官、地方自治体ス タッフ等と日常的に連携を深める. 4 電力会社、原子力メーカによる合弁会社か、政府、自治体の支援を得た PFI 方式の事業形 態で運営する。 このようなオフサイト運転保守支援センター の事業には、上述のエンジニアリングセンターの 機能以外に、表2に示すような研究開発が挙げら れる。表-2 オフサイト運転保守支援センターの業務 領域業務 中央制御室運転員への多様な日常的運転モー ドへのOJT支援(起動停止、出力上昇、計画停止時の原子炉 運転領域 監視など)シビアアクシデント時のオフサイトセンター へのスイッチ以前の収束操作支援(オフサイ トセンターとの協同作業による)日常の ISI(供用時点検) への状態監視保全技 保守領域 術の R&D原子炉コンポーネントの欠陥検査技術の R&D高放射線領域の日常点検・定期保守作業用ロ 運転・保守共|ボット技術の開発人的要因・組織要因の向上に関わる運営管理 法の工場」5.2 組織事故への事後対策と事前対策について * Reason によれば、組織事故のエラー事象の生 じる3つの要因(原因となる要因、それらが相互 作用を生じるタイミング、その結果)の偶発的発 一生は根絶できないが、その原因となる要因を見出して除去すること、その結果を軽減する防護を改 善するための組織的な対策は可能とし、エラー発生に耐性のある組織にするには、事前対策、事後 対策の2つの段階で「安全情報システム」の導入 が有効としている。そして、「事後の結果への対 策」(Reactive)と「事前のプロセスへの対策」 (Proactive)は表3に示すように相互に補足し あって作業場と組織のエラーを引起す要因の同 定と防護(バリアと保障措置)のギャップの発見 に効果的に役立つとしている。表-3 事後対策と事前対策の双方の協働事後の結果への対策 | 事前のプロセスへの対 (Reactive)「策 (Proactive) 多くの事象の解析か システムの”バイタルら単一の事象では見 |サイン“の定常的サン 作業場所 分けられない原因と 「プリングによって最も と組織的 結果のパタンの再発 修正を要する事項が明 要因 が明白になるらかになり、システム の適合性、耐性向上につながる 各々の事象はメンテ 定常的なチェックはど 防護、障 ナンスシステムの多 こに防御上の弱点が現 壁、安全措 くの防護層の部分的 在あるのか将来どこでないし完全な貫通を 出現する恐れがあるの 示している。か明らかにする置事前対策では、実際の現場で働くさまざまな組 織、職種の作業員から幾人かをある程度の長期間 にわたってモニターに任命し、MESH(工学的安全 性の健康度管理システム)と称する情報システム に、作業場の状況、手順、用具、仕事の管理など 問題点気がつくたびに自由に入力してもらうと いうもので、その収録データを統計分析して重要 な問題点の事前摘出に役立てるというものであ る。また、事後対策は、いわゆるヒヤリハット事 故データのルートコーズを分析するもので、MEDA (メンテナンスエラー検出ガイド)という情報シ ステムがある。また、Reason はそもそも安全文化の最も高度に 進んだ組織は、信頼性ということばで規定され る性質を備えているだけでは不十分で、将来どん な不測の事態が生じてもそれに柔軟に適応して 乗り切ることが求められるとして、これを組織 の耐性ということばで代表させている。そして 組織の耐性を高めるには、次の3つの C が必要1 Commitment : ビジネス圧力の増大に直面し、トップマネージメントは効果的にエラー管理と安全管理を実行する意志がある。 2 Cognizance:マネージャは“安全戦争”の性質、とくに人間と組織的要因について理3 Competence:安全とエラー管理のツールが 理解され、その目的に十分であり、適切に利用されている。 そして、3つの C に基く組織の耐性の評価法と して次のようなチェックリスト法の導入を例示1 HPAC ( Human Performance Awarenesschecklist)・・・・・3つの C についてそ れぞれ 10 個ずつ、合計 30 の質問の各問に 自分の組織が該当するかどうかを Yes (+ 1)、No (-1)、don't know (0)で答えるものである。 2 CAIR ( Checklist_for AssessingInstitutional Resilience)・・・・・組 織にどの程度エラー耐性があるかをマネ ージメントの4つの P (Philosophy, Politics, Procedure, Practice)で明らかとする。 旧 NUPEC ヒューマンファクタセンターでは、 SCEST と称する安全文化評価支援ツールを開発し ている[10]。これは組織の安全文化の程度を、 安全確保のための仕組み(体制、手段、活動)、要員の安全態度・安全行動、および組織の安 全態度・安全行動の共有性、の3点からチェック リスト方式で評価するものである。とくには規 制当局(具体的には保安検査官)の使用を想定し ている。保安検査に安全文化の外部監査システム が導入される可能性を指摘しておきたい。 5.3 韓国における原子力発電の安全性能指標に表-4 韓国における原子力発電所の安全性能指標計画外炉停止率 運転安全性計画外出力低下率 燃料信頼性原子炉冷却材漏洩 多重防護 原子炉安全性格納容器信頼性 緊急対応準備度安全注入系利用可能性 安全システム可能性補助給水系利用可能性 敷地内從業員集?被曝線最 放射線被曝安全性敷地外公衆/環境被曝線量 最近、韓国では科学技術省および原子力安全研 究院が、表4のような各種の原子力発電所の安全1-30性能指標を WEB で公開している[11]。最近、電事 連で取り組まれている原子力発電安全情報公開 ライブラリ「ニューシア」ではこのような日本版 安全性能指標を公開することも期待される。公共性が大きく、事故や災害発生時の社会的影 響の大きい科学技術システムの安全と安心を高 めるには、科学技術システムの運営、管理、実務、 作業に携わる人々が一体となって安全を支え、不 断に「安全文化」を醸成する活動が重要である。本 稿ではその具体的な取り組みの工学的方法論の 一端を紹介したが、その定量的な評価、指標化に リスク概念の導入によるリスクベースのシステ ム安全管理への発展を期待したい。また組織の安 全文化醸成活動の取り組みを社会に発信し、社会 の反応を効果的に組織内部の安全文化醸成にフ ィードバックする仕組みが「社会の安心の確保」 に繋がると期待している。参考文献[1] 原子力安全委員会ウラン加工工場臨界事故調査委員会:「ウラン加工工場臨界事故調査委員会報告」、1999年 12月24日. [2] International Nuclear Safety Advisory Group(INSAG) 1991: Safety Culture (Safety Series No.75-INSAG-4), International Atomic Energy Agency(IAEA). P. Hudson: Aviation Safety Culture, (Leiden: Centre for Safety Science, Leiden University,2002). [4] J. Reason: Managing the Risk ofOrganizational Accidents, (Aldershot:Ashgate, 1997). [5] National Research Council, Improving RiskCommunication (1989). [6] 日本リスク研究学会:リスク学事典, (2000). [7] 木下富雄:リスクコミュニケーション:思想と技術、エネルギーレビュー、24-2,pp.6-10,2004. 「81 日本原子力産業会議:基盤強化委員会 人材問題小委員会報告書 平成15年6月. [9] 吉川 榮和、大井忠:オフサイト運転保守支援センター-その構想と課題-、保全学、Vol.3, No.1,pp.70-74,2004. [10]原子力発電技術機構:安全文化の理解と評価のための手引き(改訂版) 2004年4月. [11] Young S. Eun: Development of Nuclear Powerand Safety Regulation in Korea, Korea西支部講演会(エネルギー・環境一海外事情) 平成16年3月5日.“ “社会の安全と安心のためのシステム安全管理の体系 “ “吉川 榮和,Hidekazu YOSHIKAWA“ “社会の安全と安心のためのシステム安全管理の体系 “ “吉川 榮和,Hidekazu YOSHIKAWA