機械は、安全優先で「止める」ことが原則。ただし、「止めてはいけない」条件もある!
機械は、安全優先で「止める」ことが原則。ただし、「止めてはいけない」条件もある!
安全優先で「止める」場合と「止めてはいけない」場合
「地震を感知したら自動停止するエレベーター」
「追突しそうになったら自動でブレーキを掛ける車」
今やIT、AI技術の進歩によって、安全を確保する仕組みが、様々なものに組み込まれるようになりました。
ところが、一方では、
「過敏な反応で、エレベーターが止まった」
「何でもかんでもパスワードが必要で覚えきれない」
といった過剰感や不便さもでてきています。利用者が、勝手に感度を下げて運転したら、本当の災害時に機械が止まらなかった。パスワードの使いまわしで、犯罪に合ったというような話も聞きます。
「安全性」と「利便性」とは、相反することとして捉えられ、仕組みの設計者をいつも悩まし続けています。また、たとえ設計者が「安全性」を優先しても、使用者が「利便性」を求めて、その機能を止めてしまうこともあります。
工場で自動化設備を導入すると安全性を優先した機能の為、「動かない」という状況にしばしば陥ります。ベテランの職人が、
「こんな自動モードは、使えない」
とせっかく自動モードがあるのに、手動でしか運転していない事例もあります。
自動運転、遠隔運転の設備・機械を運用する上で、知っておくべきことがあります。それは、
1)問題を感知したら「止める」、
2)インターロック解除という「例外」をつくるな、
3)条件によっては、「止めてはいけない」ことがある、
ということです。これらは、機械設備に限らずコンピューターシステムや日常の業務遂行などでも応用できることです。問題があれば、「止める」ことが安全面から見たら基本です。しかし、一方で「止めてはいけない」条件があることも知っておくべきです。
この記事では、長年エンジニアとしてプラントの建設に携わった経験から得た、自動設備を運用するポイントや設計の思想について解説します。
異常を検知したら「止める」という大発明
機械が異常を検知したら、「止める」というのは大発明です。
豊田佐吉が発明した自動織機があります。動力を使って糸から布を織る機械です。佐吉の作った機械は、安定して高品質の織物が製造できることで知られました。この機械には、糸が切れたら機械を「止める」という機能がありました。これは、佐吉の発明です。
自動で織機を動かしているとき、糸が切れたのに機械が動き続けると大混乱が生じます。大量の糸が織機に送り込まれて、そのあとの復旧に、時間と手間がかかります。そこで、佐吉が「止める」機能を発明するまでは、動力付きの自動織機と言いながら、多くの人が監視要員として機械に張り付き、糸が切れたら機械を止め復旧作業をしていました。佐吉の開発した機械は、安定していて糸が切れにくいこともありましたが、何より糸切れを検知し、止めることで、監視という作業をなくしました。また、糸が切れたことを即時に検知し止めるので、余計な糸送りこまれることも、機械にからむこともなく、速やかに復旧できました。
現在も、車の自動運転やロケットの発射など様々な自動や遠隔で動く機械の基本は、異常を検知したら「止める」ことです。たとえ過敏に異常を検知しても、「止める」ことで人や機械を守るという思想で設計されています。
H3ロケットの初号機で、異常を検知し、メインエンジンが点火したあとになっても発射が中止できたのは、この例です。この思想は、機体が宇宙に行ってからも活かされます。「はやぶさ2」が、小惑星着陸を目前にして、異常を検知して中止し、再上昇した例があります。
インターロック解除の怖さ
設備・機械には、設備を壊したり、人の怪我を防止したりするためにインターロックがあります。この機能も、安全優先の為に「止める」という思想からきています。ところが、インターロックが過剰で、機械が動かない場合があります。これを人が無理やり動かし、事故を起こすことがあります。インターロックがかかっても動かせるのが、「インターロック解除」という機能です。本来、メインテンスやテスト運転のためにある機能ですが、これを使って禁止された条件下でも作業しようとすることで、事故が起きます。
クレーン車には、「アウトリガー」といわれる装置がついています。車体の両側に踏ん張り足を出して、車体を固定するものです。ところが、狭い場所の作業では、これを十分に張り出せないことがあります。通常、この状態では、クレーンを操作できないようにインターロックがかかっています。ところが、このインターロックを解除して動かし、クレーンが転倒する事故を起こした事例があります。
また、クレーンの転倒を防止するために、クレーンのビーム角度と加重がある範囲を超えたとき(例えば、ビームを車両の重心から大きくはみ出して、重い荷を釣り上げた状態)に警報音を鳴らしたり、止めたりする機能もついています。ところが、これも警報を無視したり、インターロックを解除したりして事故が起きた例があります。
本来インターロックの解除機能は、整備などを行う際のものです。ところが、人は利便性を求めがちで、クレーン車の例のようにインターロックを外してしまうことがあります。
インターロック解除という、利便性から例外をつくることの怖さを理解しておくべきです。この誘惑から逃れるために、最近ではインターロックを解除できない車両や、解除するためには特殊なキーやパスワードを必要とする構造になってきています。
「止めてはいけない」という条件
さんざん安全のためには、異常を検知したら「止める」ことが重要と主張してきましたが、これは「万能」ではありません。止めることが、むしろ危険な場合があります。
例えば、飛行機のおいては「離陸決定速度」(V速度)というのがあります。V速度をこえると、もはや離陸するしかありません。滑走路内に安全に止まること が出来ないからです。離陸を中止してオーバーランすれば、間違いなく機体は損傷し乗客は危険にさらさ れます。パイロットは、V速度に達するとたとえ機体に何らかの異常を検知しても離陸を決断します。異常がなんであるかの解明と対策は、上空に達してからということになります。
ロケットが上昇中に異常を検知したからといって、エンジンを停止したり、次の段階に進まなかったりすれば、そのミッションをあきらめることになります。機体の上昇中と衛星軌道に入ってからとでは、「止める」ことに関する思想が異なります。
地震でエレベーターを止める際も、従来の即時停止から、「最寄りの階まで動かして止める」設計に変わっています。人がエレベーターから出られない状態で止めても意味がないからです。
大きな機械プラントなどでは、設備停止に関して2つのモードを持っています。
1)非常停止:壊れる恐れがあってもできるだけ速く設備を停止する。
2)急速停止:設備や製品が壊れない範囲で、速く停止する。
この2つのモードの選択を人間がすることが多いのが現状です。自動運転の車で、どう扱われるかまだ課題があります。
衝突を回避するために非常停止すると乗っている人に怪我をさせるかも知れません。だからと言って、急速停止では衝突する可能性があるということになります。
今後危険の早期感知をすることで、急速停止で済むようにすることと、非常停止でも乗員が怪我をしないという両面で開発が進んでいくと思われます。
余談ですが、自動機械に限らず、人が生きていくうえでも始めたら「止めてはいけない」場面があります。「ルビコン川を渡る」とか「賽は投げられた」といった表現が使われる場面です。
「ルビコン川を渡る」という言葉は古代ローマのカエサル(シーザー)の決断と行動にルーツを持つ言葉だと言われています。「決断して行動を始めた以上は最後までやり抜くしかない」という意味で使われています。ルビコン川は、ローマの国境で、軍を率いて川を越えることが禁じられていました。それにも関わらず、カエサルはローマを目指しました。カエサル自身、軍を率いて「ルビコン川を渡る」という行動によって、戦いが起こることが、わかっていました。カエサルは、断固として行動を続け、自分自身の運命とローマの歴史を動かしていきました。
ユリウス・カエサル ルビコン以前──ローマ人の物語[電子版]IV
ユリウス・カエサル ルビコン以後──ローマ人の物語[電子版]V
まとめ
自動運転、遠隔運転の設備・機械を運用する上で、知っておくべきことは、
1)問題を感知したら「止める」、
2)インターロック解除という「例外」をつくるな、
3)条件によっては、「止めてはいけない」ことがある、
ということです。これらは、機械設備に限らずコンピューターシステムや日常の業務遂行などでも応用できることです。問題があれば、「止める」ことが安全面から見たら基本です。しかし、一方で「止めてはいけない」条件があることも知っておくべきです。