|
III. システムが失敗する状況
いかなる複雑なシステムにも、予測できる脅威に対する防止策はある。インシデントは、広義には望ましくない結果(事象)の発生と定義することができる。システムの防止策に穴(欠点)があるとき、そこから予期しなかった脅威が入り込み、インシデントが発生する。
システムの防止策が破られるには、(1)システムに防止策があったが、何らかの理由により正しく機能しないため、(2)システムの防止策がないか、もしくは目前の脅威に全く適合しない、という2つ理由のどちらかにより発生する。このような防止策の突破によって、システム不具合の重要な側面が明らかになる。つまり、即発的失敗(上の(1)番)と潜在的不安全状態(LUC、(2)番)である。即発的失敗と潜在的不安全状態は防止策の中でのみ発生するのではない。実際、防止策を突破するような脅威は、システムそのものが原因である。実際に即発的失敗と潜在的不安全状態は、生産活動の各要素に起因する。
III.B.1. 即発的失敗(Active Failures)
即発的失敗は、稼動中のシステムでラインワーカーがとった不安全行動ならびに意思決定のことである(すなわち、システムの生産活動要素、防止策要素)。不安全行動ならびに意思決定はヒューマンエラーであり、故意の違反行為である。即発的失敗は直ちに安全に影響を与えることが大半である。即発的失敗は(1)危険要因がある状態で人がとった行動、または(2)危険要因がある状態で人が下した意思決定として説明される。以下にその例を挙げる。
・「船舶の位置が正確にわからない状態で(危険要因)、曲がって航路に入ること(行動)」
・「機関室の浸水が止まらないにもかかわらず(危険要因)、救難信号を発さないと決定すること(意思決定)」
行動や意思決定として説明される即発的失敗は、タイムラインの行動リストに掲載した( 資料1参照)。
III.B.2. 潜在的不安全状態(LUCs)
潜在的不安全状態(LUC)は、潜伏状態にある(何年間も潜在していることが多い)システムの危険状態で、即発的失敗と結びつくことによってのみ顕在化し、負の結果をもたらす。LUCは事故現場からは離れた場所で取られた意思決定で、適切で必要と思われて下した意思決定に起因することが多い。LUCは不確実な意思決定、行動、誤った管理から生じるシステムの状態を表すもので、意思決定、行動、誤った管理そのものを指すのではない。以下に例を挙げる。
・「早朝当直にもかかわらず、映画を観て夜更かしをしようと決定したこと」ではなく「疲労状態にあったこと」
・「適切に保守されていなかった」「予定通りに交換しなかった」ではなく「磨耗状態にあったこと」
・「設計段階での誤りがあった」ではなく「不適切な設計であったこと」
LUCはタイムラインの状態リストに掲載した( 資料1参照)。
海上輸送システムにおける即発的失敗とLUCは、全てある一定の期間存続している。これらは生産活動の各要素に備わる窓として捉えられ、開閉を繰り返している(LUCがなくなると閉じる)。LUCは開閉を繰り返しているために、一直線に並ぶことは稀である。そのため、複雑なシステムでは即発的失敗やLUCが数多く潜んでいるにも関わらず、インシデントが常に起こるわけではない。これらの開閉窓が一直線に並び、一度に開くと、危険要因が生産活動の全要素に進入し、インシデントが発生する。即発的失敗とLUCを穴にたとえると、システムのインシデントは以下の「スイスチーズモデル」の図で表されよう。
| (拡大画面:102KB) |
 |
組織レベルでは、生産活動の場が意思決定者の適切な意思決定で作り出されるように、インシデントの場も不十分または不確実な意思決定を通じて作り上げられる。意思決定者は限られた資源の利用方法決定において困難な選択を迫られ、システムそのものも助けにならない。システムの生産性改善(稼動を増加、貨物輸送量の増加など)に費やした資金は比較的明確な成果、すなわち高い利益を生む。安全や環境保護に費やした資金は、比較的時間のかかる長期的な成果を生む。誤りを起こしがちな意思決定者は、時としてシステムのフィードバックを不適切に評価し、誤った意思決定を下す。これらの不確実な意思決定が、システムにLUCを生み出す。誤った意思決定の例としては、規制の欠如、計画が不十分な政府規制、ルートとサービスの急激な拡大などがある。これらの意思決定がラインマネージャーに影響を与えるようなLUCを生み出す。
III.D.1. 一般的な組織的要因
システムのインシデントでは、一般的に以下の組織的要因がある。
資源管理におけるLUC
人材
・人員配置、調整(数や資格)
・訓練
・昇給、降格
・従業員手当て
財源、予算
・予算手続き
・資金
物的資源(設備、施設など)
・物的資源の適合性
・物的資源の不足
組織風土におけるLUC
組織構造
・指揮系統
・権威の委任
・意思疎通
経営文化
・規範と規則
・価値と信念
・道徳
組織的プロセスにおけるLUC
作業と内部の監督
・作業速度
・時間的プレッシャー
・生産割当
・インセンティブ
・測定、評価
・工程
・計画
・リスク管理
・安全管理
・手順
・目的
方針
・人材
・財源、予算
・物的資源
・組織構造
・作業文化
・作業と内部の監督
外部監督におけるLUC
規制と外部監督
・法律、規制
・基準
・監督
・監視
・安全の推進
・資源
組織的要因の影響は、様々なライン部門管理または活動においてそれぞれ異なった形で発現する。ラインマネージャーが有能で意欲があり、十分な資金と適切な人員を有し、十分な時間があれば、前述の誤った意思決定を、リスクの低い活動に変え、更には安全な活動にまで変えることもできる。しかし能力や人員、資源に乏しいラインマネージャーは、誤った意思決定を悪化させたり、良い意思決定に悪い影響を及ぼすような形で実施したりする可能性がある。システムにおいて、上位の意思決定を実施する過程でラインマネージャーがとる意思決定や行動は、更なるLUC創出につながる。能力が低いラインマネージャーが潜在的不安全(前提)状態を生む例としては、不適切な作業手順、粗末な作業工程、ラインワーカーの訓練不足、不十分な保守管理体制が挙げられる。
III.E.1 一般的な作業場要因
システムのインシデントでは、一般的に以下のような作業場要因がある。
人材におけるLUC
・人員配置・調整(数や資格)
・訓練
財源、予算におけるLUC
・予算手続き
・資金
物的資源(設備、施設など)におけるLUC
・物的資源の適合性
・物的資源の不足
組織構造におけるLUC
・指揮系統
・権威の委任
・意思疎通
経営文化におけるLUC
・規範と規則
・価値と信念
・道徳
作業と監督におけるLUC
・作業速度
・時間的プレッシャー
・生産割当
・インセンティブ
・測定、評価
・工程
・計画
・リスク管理
・安全管理
・目的
慣行と手順におけるLUC
・人材
・財源、予算
・物的資源
・組織構造
・作業文化
・作業と内部の監督
前提条件はラインワーカーと設備そのもののLUCである。作業場管理におけるLUCによっては、労働者と設備の準備が整わないことがある。例えば訓練プログラムが十分でない場合、それは過度の仕事量、過度の時間的プレッシャー、意欲の問題など様々なLUCとして表れ、労働者が仕事を行う準備を整えられないような状況を生み出す。逆の関係も当てはまる。つまり、複数の作業場要因が1つのLUC(機器や人員が仕事を行う準備ができていない)を生み出す可能性もある。潜在的不安全(前提)状態の例としては、不適切な機器、経験が浅く訓練をあまり受けていない人員、疲労、磨耗した設備または使用に不適切な設備などが挙げられる。
III.F.1. 一般的な前提条件LUCs
人間の制限
・身体的条件
・心理的条件
・心理社会的条件
・生理的条件
人間の不一致
・方針、手順との不一致(LivewareとSoftware)
・設備、機器との不一致(LivewareとHardware)
・環境との不一致(LivewareとEnvironment)
・他人との不一致(LivewareとLiveware)
生産活動に用いられる設備や資材にも、使用にふさわしくない前提条件が備わっている。
設備の制限
・不適切な条件
・設計上の欠陥
・設計と実際の使用の不一致
生産活動要因は、先立つ1つ以上のLUCの結果、作業中や作業の一部として生じる即発的失敗(不安全行動や意思決定)であり、これが初期事象の原因となる。経験豊かな海難調査官であれば、疲労などのある人員の前提条件がインシデントを引き起こしたと考えられるものの、同じ人物が前日(または1時間前)には同じ前提条件のもとで同じタスクをこなしていた、という状況に遭遇することも多いだろう。事故発生時にはタスクにどのような違いがあったのだろうか。答えは、前提条件と即発的失敗との関係にある。いつ、どこで、どのように一定の前提条件が即発的失敗として発現するかを予測することはほとんど不可能である。疲労した人員がいつ誤った意思決定をするかは、予想が困難である。だがここで確かなのは、十分なチャンス(意思決定)があれば、人は疲労を理由に過ちを犯すということである。生産活動要素の即発的失敗の例としては、タスクの手抜き、誤った手順の適用、法律・規則違反、危険要因が存在する状態で誤った意思決定をすることが挙げられる。
III.G.1. 一般的な生産活動要因
システムがしっかり防護されていない場合でも、生産活動要因の即発的失敗が実際の被害や損失につながることは稀である。着陸の例で見ると、旋回開始の意思決定が早すぎる場合でも(即発的失敗)、それだけでは好ましくない結果につながることはない。それどころか、着陸態勢を整えるためには、即発的失敗は検知、修正されないままでなければならない。言い換えれば、着陸に対するシステムの防止策は存在しなかったか(LUC)、または不十分であった(即発的失敗)。防止策を要因とする即発的失敗とLUCの例としては、保護機器の欠陥、警報システムの障害、監視(修正処置)の欠如、安全規制取締りの欠如、自動化への過度の依存が挙げられる。
III.H.1. 一般的な防止策要因
システムのインシデントでは、防止策を要因とする即発的失敗とLUCとして一般的に以下のようなものがある。
存在するが不十分な防止策
・監督の要件
・報告の方針、手順
・技術的防御策
・状況説明
・訓練
・資格・免許の要件
・個人用保護具
・防御装置
・実際の、または潜在的な危険に関する情報
存在するが故意に無効にされた防止策
・技術的防止策の停止
・訓練の義務
・状況説明の義務
・資格、免許の要件
防止策が今まで存在しない、または存在していたが、取り除かれた
・監督の要件
・技術的防止策
・状況説明
・訓練
・資格・免許の要件
・個人用保護具
・実際の、または潜在的な危険に関する情報
防止策が存在しない、または実情にそぐわない
・技術やシステムが存在しないこと
・技術やシステムが利用の実情にそぐわないこと
・ミステイク
−誤ったルールの適用
−正しいルールの適用の誤り
|
