失敗のメカニズム-忘れ物から巨大事故まで

エアバスA310墜落のケース。エアバスはコンピューターと人間が相反する操作をした場合、コンピューターを優先する設計だったことが災いした。ボーイングは逆。しかしどちらが究極的に正しいのかは分からない。

思い込みの効果は恐ろしい。「管制官がオーケイ。離陸の用意をして待て。また連絡する。」と伝えたところが、機長にはオーケイと離陸の部分しか入らなかった。結果、空港内で飛行機の衝突を生じて583人が亡くなった。

以心伝心を信用してはならない。着陸途中の飛行機での事故。オートパイロットで飛行中に表示灯が消灯。ランプ切れだったためにパイロットがその交換をしている際に誤ってオートパイロットが切れ、高度が下がり始めた。異常に思った管制官が「そちらはどうなっている?」とたずねたが、パイロットはランプのことだと思い「だいじょうぶだ」と返答。飛行機は墜落して99人が亡くなった。管制官が「高度はどうなっている?」とたずねていたら、状況は違ったかもしれない。

意味のない数字やアルファベットの羅列を伝達するのは困難である。国鉄時代にはABCDを「アメリカ」「ボストン」「チャイナ」「デンマーク」といっていた。米国では「アダム」「ボブ」「チャーリー」「ドナルド」と伝えるらしい。数字に関しては自衛隊の呼称が有名。「12:30作戦開始。」を無線で伝えるのは「ヒトフタ、サンマル、状況開始。」である。

ミスを防ぐための構造が最初から組み込まれている機械がある。製造業で使うプレス機は、左右のスイッチを同時に押さないと作動しない。両手を使わないとできない作業なので、プレス機に手を挟むことを防ぐことができる。医療現場ではCTがそう設計されている。スキャナーの角度を変更するスイッチは中にしかないので、必ず患者のそばにいないと操作ができない。このことで、機械が患者をつぶすことが無いよう配慮している(某社のは離れたところから簡単に角度変更ができる。子供のCT撮影を見たことがない人が設計したとしか思えない。)。

機械やシステムに異常が発生すると、安全な方向に作動する設計をしているとエラー対策は強力になる。昔の腕木式の信号機は遠くからワイヤーで操作したが、ワイヤーは一定の確率で切れる。ワイヤーが切れると信号機は「止まれ」のまま静止するようにできており、ワイヤーを修理するか、係員が手信号を出すまではすべての列車は停止せざるを得ない。

危険な状態を検知し、警告が出たら停止するシステムは警告ミスから事故を生じる危険をはらんでいる。係員が監視して異常があったら連絡するシステムでは、深夜帯や注意力の乏しい係員が担当のときは警告が出せない可能性がある。一方、常に安全を確認しつづけ、安全が確認されている間だけシステムが働く「安全確認型」システムはこうしたことが生じにくい。観光バスの車庫入れ時にはガイドの人が「ピッピー、ピッピー」と笛を吹き続けるが、この音が止むと車は止まることになっている。ガイドの人が笛を落としたり、あるいは車に轢かれたりして笛をふけなくなったとき車は自動的に止まり、事故を避けられる。

事故が生じないのを前提でシステムを組むと、万が一のときの対応が全く考えられなくなったり、また事故がおきたときに隠蔽するような圧力が働いてしまう。JCOの臨界事故なども、会社側に「事故など生じない」「原子力は絶対安全」という前提があったため、事故対応が遅れた。

この本は最近知ったが、引用文献として挙げられている本はなぜか全部手元にあった…。

結局、失敗の教訓的な症例というのはほとんどが鉄道、航空、原子力がらみ。

この業界が一番エラーが多いのか、調査が綿密に行われているからなのかは分からないが、そこで働いている人たちに比べて、医療現場のほうがはるかにアバウトなのは確かだ。