【出典】原子炉お節介学入門 上巻 pp.231-234

前回同様、同書から引き続き引用します（文書中の注はブログ管理人の追記）。非常に示唆に富む内容で、参考になります。

ちなみに、機能安全で求められるSIL解析（Safety Integrity Level Analysis）をする際でも、オペレータも安全機能の一つと考え、トレーニングを受けた人なら10回中9回は正しく危険回避行動が出来るだろうと仮定してSIL1相当（インターロックの不動作確率が1/10＝Hazardous eventの発生頻度を1/10に低減）の構成要素と見なす方法もあります。またこの場合、その技能がある者のみオペレータの資格があるものとする社内規定を設ける（オペレータのスキルが規定値レベル以上でないと運転を許可しないとする"インターロック"を設ける＝継続的なトレーニングの仕組みを構築し、維持する）ことで、安全を担保するというレポートを見たことがあります。

オペレータをSIS（Safety Instrumented System）の一部と見なしてよいかどうかについては意見が分かれるところ（性悪論に立つ人は特に）だと思いますが、「機械は必ず壊れる」「人間は必ず間違える」が世の常と分かっていながら、我々は『絶えず努力をする必要があり、しかもそれでもなお永久に「絶対」という段階には到達できない。その上、やめることもできない』いばらの道を突き進むしかないのです。安全はタダではないのです。

その研究班（注1）の会議では、安全問題に関して、非常に興味ある重要な教訓、とも言うべきMurphyの信頼性工学の法則（Murphy's Reliability Engineering Law）がとりあげられ、盛んな議論があった。読む人のレベルに応じて、それぞれに役立つ内容を含んだ興味あるものなので、原文を掲げ、簡単な解説をつけておく。

なお、「原子炉は安全になっている」と言っている人には申し訳ないが、それは正しくない。「原子炉は安全にできるようになっている」のであって、かかわっている人に依存するところが大きい。安全にするための教訓としてこのMurphyの法則は有用である。

Murphy's Reliability Engineering Law（抜粋）

(1) "If there is a possibility of several thing going wrong, the one that will be the one to go wrong."

物事は一番悪い方向に行くことを考えよ、というように解釈する。悪い方向へ悪い方向へと考えると、きりがなくなり手段もなくなるが、あるところから先は普通の状態に保つことはできなくても、粘り強く持ちこたえることを考える、という解釈である。大地震でも原子炉は大丈夫と話をしたら、全く無償で翌日から平然と動かせるものと勘違いをされた人がある。そうではなくて、少々壊れても、傾いても、粘り強く、ライニングなどによって、放射能を大量にまき散らすことのないように設計、施工をするということである。そんな凄い地震のあと、翌日から発電や、研究実験をする必要があるか、常識的に考えることである。

(2) "It is impossible to make anything foolproof, because fools are so ingenious."

不注意で、捜査の順序を間違っても、連錠装置などで、それが働かないように抑えるfoolproofは装置が正常なときは問題はない。異常が発生したときが問題で、計器が変な指示をするようになったとき、"fools"は何を考え、どういう動作をするか分からない。何かの電源を切るとか、弁を閉じるとかの操作をすると、このfool proof systemは本来の機能をしなくなる恐れがある。

(3) "Nature always sides with the hidden flaw - Mother nature is a bitch."

(4) "The probability of anything happening is in inverse ratio of it's desirability."

この二つは、自然は意地悪である。起こってほしくないこと程よく起こる。という注意。

(5) "A fail-safe circuit will destory others."

何かが破損したり、故障したときは安全側になるようにするというFail safe方式は、他が犠牲になることがある。すべてを通じて同じphylosophyで計画、設計することは非常に困難、という教訓。

(6) "A failure will not occur until a unit has passed inspection."

変な検査、試験をすると却って調子が悪くなることがある。機械的固定的な考えは問題があるという教訓。

(7) "Installation and operating instructions will be discarded by the receiving department."

何かの機械、器具を買って帰り、まず説明書を隅々まで読んでマスターしてからスイッチを入れる人は先ずいない。説明書などなくても自然に正しい操作ができるような設計こそ理想。緊急の場合、安全を確保するには特に大切な教訓。どこかの原子炉事故で、五〇もの誤操作をしたという話は、この教訓が如何に大切かを示すもの。

(8) "Any system which depends on human reliability is nureliable."

これは一応正しいが、場合によっては逆のこともある。自動操縦中の航空機のパイロットが、装置の異常に気付き、手動で修正しようとしたが、狂った自動制御動作が外れず墜落した例がある。KUR（注2）での誤操作の経験に基づいて、KUCA（京大臨界実験装置）では完全なfool proof, interlockシステムを組み上げたが、結果は一寸した回路の接触不良や雑音のために重大な誤動作が起こることが分かった。そこで最終的な段階ではやはり人間が責任を持って制御する方式をとるという考えに戻した。米国のスペースシャトルでも地球に戻るとき、地上数百メートルから着陸までは熟練パイロットの手動操縦によることになっていると聞いた。最終何％を人間が責任を持つべきかは、機械の性格、操作にあたる人達の能力、性格等によって決めるべきで、一律にきめられないのだが。

(9) "Investment in reliability increases until it exceeds the probable cost of errors, or until someone insists on getting useful work done."

あまり過剰な設備を作ると、事故で生ずる損害より費用が多くかかる、という警告。日本流の感傷主義では「金のことはケチケチするな」と言うことになるかも知れない。しかし「金のことはケチケチするな」と言える資格はお金を出す方にあるのであって、使う方にはないことを私達ははっきり認識する必要がある。

(10) "You can't win - you can't break even - you can't even quit the game."

最後で、しかも最も重要な教訓。安全確保はゲームに例えて言えば、勝てない、引き分けもない、棄権もできない、というものである。つまりその仕事についた人は、絶えず努力をする必要があり、しかもそれでもなお永久に「絶対」という段階には到達できない。その上、やめることもできないという厳しい教訓である。

（注1）スリーマイル島原子力発電所の事故の際、筆者らは文部省から緊急の科学研究費の補助を受けて原子炉の安全性向上に関する基礎研究を行った際の会議

（注2）京大原子炉実験所にある研究用原子炉