第二回:機能安全と規格の動向(加持リョウジの場合)
2017年07月19日エヴァンゲリオンのユーロ支部持ち込みにあたり、CEマーキング機会指令の取得に必要な国際規格への準拠を、ゼーレがZERV本部に求めてきている。密にその動向を探るべく活動する加持。そしてゼーレの推進する人類補完計画(リスクベースデザイン)が、とても広い分野に広がっている事実をつかみ、ゲンドウ達に秘密裏に伝達するのだが・・・
ミョウバンの結晶とでも表現すればよいだろうか。無機質な正八面体の姿をした第4の使徒がZERV本部直上に侵攻し、下部から伸ばしたドリル状のシールドで、22ある地下の装甲を、ゆっくりと、一定のスピードで貫いている。本部への到達は時間の問題である。
「第1から第803管区までの送電を開始」日向マコトが叫ぶ。
「温度安定問題なし。」
「全電力、二子山増設変電所へ。第3次接続問題なし。」
「最終安全装置解除!」
ミサトの指示で目標への攻撃が開始された。第1射こそ外したが、0号機が盾もろとも溶解しながらも初号機を守ったことで、第2射は見事、第4使徒のコアをしとめた。
「よくやったな。シンジ。」
突然の言葉にシンジは驚きながら続く言葉を待とうとした。だが音声回線は直ちに切れた。
「後の処置は任せる。」
冬月とゲンドウは、発令所のメンバーにそう言い残し指令公務室に足早に去っていった。
見晴らしの良い指令公務室には先客がいた。
「いやはや、大変な仕事でしたよ。すべてはあなたのシナリオ通りです。ゼーレの最新情報はいかがでしたか?」
「拝見させてもらった。マーク6建造の確証は役に立ったよ。」
「結構です。そしてこれがお約束の代物です。IEC-615O8の原書。セカンドインパクトで失われ、予備として保管されていたロストナンバーです。・・・・・そして」
加持はもう一つ、ソフトウェアのインストーラが保存されているディスクを机の上に静かに置いた。
「これがリスクベースデザインを実現するためのツール。VisualRiskです。」
「ああ、神と魂を紡ぐ道標。ネブカドネザルの鍵だ。」ゲンドウが小さくつぶやいた。
原書には1から16までの番号が振られた樹のような図形が書かれていた。「Overall Safety Lifecycle」と書かれたその図(【図4】)には、何かのシステムの生から死、そしてさらにその輪廻が描かれているようだった。機能安全の最も基本的な概念を表す図と書かれてある。おおよその内容は、伝承として冬月も知ってはいたが、図の実物を目にしたのは初めてだった。
「ではこれで。しばらくは好きにさせてもらいますよ。」
加持が持ち込んだ原書をながめながら、自らが知るIEC-61508の記述との違いを冬月は確認していた。
「やはりセカンドインパクト前のドラフトとはかなり異なっているようだ。」
碇が常に言っているように、確かにこの原典によれば、本質安全と機能安全と相対する概念ではない。優先されるべき原則は本質安全ではあるが、それを補完しさらに許容できるレベルにリスクを下げるものが機能安全だという表現で間違いなさそうだ。自然原理に基づいた原則、神の理を礎(いしづえ)にしたものが本質安全ならば、機能安全は、いわば人が作り上げる安全の仕組みの完全さを追求するためのものだ。
冬月の思考が次第につながっていった。リスク分析そのものは本質安全の原理でも必要となる。残存するリスクを下げるための方策が、安全機能(Safety Function)だということは誰でも知っている。FMEAやHAZOP、FTAなどの手法を駆使するのもリスク分析の特徴である。しかし今回加持が持ち込んだ原書には、その仕組みそのものも不確かなリスク(障害)を持つと指摘している。このためにアーキテクチャ設計の段階で、システムの障害分析をするのだという。
「二度目のリスク分析。一度で終わりではないのか。アーキテクチャ段階でのリスク分析?」
「回路設計後のFMEDAも部品レベルのリスク分析。ソフトウェアはコーディングの後にSCAというリスク分析を行うとも聞く。何度もやってくる、まさに使徒のごときリスク分析の襲来だな。」
保護の仕組みが自然原理に基づけば確実性は間違いなかろう。使途の堅牢さはそこから来ている。問題は人が作った仕組みの信頼性である。コンピュータの素子自体は自然原理に基づく動作をするが、アーキテクチャが不確かならば、システムに障害が発生した際にどのような状態になるのか定かではない。
アーキテクチャとはよく言ったものだ。もともとの語源は古代ギリシャ語だろうか。神殿などの建築または建築を行う能力か。神と人とを結ぶ懸け橋。自然の原理を利用して、人が安全という神の領域に近づくためのアプローチが機能安全だということもできる。
知恵の実を食べた我々人が、神を真似るか。なるほど、そこには多大な混沌や不確かさが内在するといえよう。それが人だからだ。「人には原罪がある。」というほどの宗教観は自分にはないが、間違いや思い込みによる失敗を繰り返すことは間違いない。そのような人が作り上げた安全のための仕組みが、完全なものであるはずがないのだ。そこで機能安全では、人が作った安全システムに対するリスク分析を繰り返し行うことを求めているというわけか。
そういえば、加持の報告書にあった国際規格の動向にも同じようなことが書かれていた。サイバーセキュリティの規格でも、脆弱性分析・脅威分析という呼び方のリスク分析をシステムに対して行うことを求めていたし、家電製品の機能安全と言われるIEC-60335や医療の安全規格でも、システムのリスク分析は不可欠となっていた。
品質管理の規格であるISO-9001の改訂版でも、PDCAのPlanの前には各部門で適切なリスク分析に基づき予測をして計画をすることを推奨している。このような変化は、確かに今回知った機能安全に似た考え方だ。それらのすべてがIEC-61508を原点とするとはいえないまでも、仕組みの完全性を求めるためにリスク分析を重視する思想は共通しているように思える。
過去の日本経済産業省の省令にもあった。確か性能規定(【図6】)といっただろうか。
引用:経経済産業省 電気用品の技術上の基準を定める省令の全部を改正する省令(説明会資料)
いや待て、このような考え方が2000年のセカンドインパクトを境につぎつぎに提唱されてきたのならば。。。セカンドインパクト自体が人の手によって引き起こされたとするならば。。。。IEC-61508の原書は事故で失われたのか、それとも真実から人々の目をそらすために隠されたのか。
「ああ、そうだ。」
冬月の頭の中を覗いたような碇の声で冬月の思考は途絶えた。
「時計の針は元には戻らない。だが、自らの手で進めることはできる。そのためのVisualRiskだ。」
数日後、B棟のリフトに赤木リツコと並んで座りながら葛城ミサトは文句を言いつづけていた。
「上層部が言ってきたエヴァの機能安全規格対応って、あれどういうこと!?」
「説明は碇指令からすでに受けたでしょう。」
「大義名分はわかるわよ。でもエヴァの審査でしょう?なんで私たちやリツコの経歴や能力評価まで問われるのよぉ。」
「規格には、人の管理、マネージメントから記載が始まっているのよ。書かれている通りだわ。」
「規格規格規格って!まったく馬鹿にしてるわよ。単にZERV本部の内部を調べたいだけって考えちゃうわよ。エヴァの修理や保全のマニュアルも出せって言ってきたし。安全性なんて設計図を見る人が見れば判るもんでしょう?」
「そのあたりの思想は、IEC-61508と呼ばれる原書にあるようだけど。私たちの持つセカンドインパクト前のドラフトではあまり詳しく書かれていないのよ。でも、ミサトがきちんと正しい仕事をしていれば何も後ろめたいことはないでしょう?」
「そりゃそうだけど。それに、先の戦闘での0号機の修理もおぼつかいいのよ。お金に関してはセコいところよね。人類の命運をかけているんでしょう?ここ!。それに加えて規格認証をとれだなんて。」
「今のところは現状の業務ルールを審査官に開示しているにすぎないからいいけど、これからどんどん対応が増えると使徒どころじゃなくなるわね。」
「それに、いつになったらこのB棟の設備改修予算下りるのかしら」
「エヴァの維持と清掃管理が最優先事項ですもの。もう今年度は予算ないんじゃない?」
「おしりが冷えてたまんないのにねっ!」
<次回予告>
大気圏上空から襲来する使徒。それはみずからを爆弾にと化して落下を始める。
MAGIが落下地点の予測に誤差が出る中、走り回るエヴァ。
設備のリスク分析とシステムの故障解析のはざまで、少年少女たちは何を見るのか。
次回、「アーキテクチャ設計、構想設計」
この次も、サービスサービスっ!
