再読。福島第一原発の事故とこれまでのシステムの事故から、どんな教訓が得られるかといった視点での読み直し。
　前半は、石油掘削リグの沈没事故やスリーマイルアイランドの原発事故から、巨大なシステムで、不具合が連鎖する形で巨大事故に発展していく状況を描く。第三章以降は、そのようなシステム事故の諸要因とそれに対処した人々についてスケジュール順守圧力、テストの省略やいい加減な修正が起す事故、事故を起こす物質の組み合わせ、人間の限界や経営のために安全マージンを削り取っていくことがなにを起こすか。逆に、危機から生還した人がどのような準備を行っていたか、危険に正面から向き合うことなど、事故を避けるにはどうするかといった議論がなされている。


　以下、メモ：

　今日では、われわれの多くが自分の命をマシンとそのオペレーターに差し出しているのだが、そのことに関しては、事態が衝撃的なほど悪化することがたまにあるということ以外には、ほとんどなにも知らない。また、非自然災害の大惨事の現場に居合わせた人間にとっては、事態はいっそう理解しがたいものである。奇怪な脅威はどこからともなくあらわれ、一撃をくらわすと、姿を消すかのように思われるのだ。だが、最近の研究によれば、マシン事故による惨事は、ほとんどの場合、複数の失敗とミスが重なってようやく発生するということが明らかになった。たったひとつの災難、たったひとつの原因だけでは、なかなか大惨事にはいたらない。大惨事は、貧弱なメンテナンス、意志疎通の悪さ、手抜きといった要因が組みあわされることによって発生する。そうしたゆがみは徐々に形成されていく。
　チェルノブイリ原発事故の解明にあたった専門家たちは、たがいに関連性をもたないミスが少なくとも六つあったとしている。ということは、そうしたミスの連鎖を、システム障害がピークに達するまえに断ち切る機会が、将来的には望めそうだということになる。だが、危機に反応するための機会を見分けるのは困難だし、すぐに過ぎ去ってしまうから、行動を起こすことはいっそう困難だ。システムの管理者や監督者が行動をさまたげることだってあるかもしれない。現場の人間も、なにをすればいいのかよく知らなかったり、最初から気にしていなかったりするかもしれない。
　こうした出来事のことを、わたしは「システム亀裂」と呼んでいる。システムは少しずつ段階的に壊れていくが、その様子が圧力のかかった金属に走る亀裂の場合とよく似ているからだ。たとえばアルミのような、柔軟性をもった大きな金属板を考えてみよう。工場から出荷された金属板は、顕微鏡レベルではすでにみな小さな亀裂が入っているが、そのままの状態で金属板を破断してしまうほど亀裂が長くなるものはあまりない、だが、亀裂が成長することはないという前提で、その板をたとえば航空機の外殻として使用することは危険だ。なぜなら、腐蝕と、徐々に蓄積される金属疲労は、亀裂を毎日少しずつ大きくしていくかもしれないからだ。もし超音速飛行のときに亀裂が臨界点に達すると、亀裂は四方八方に「ぼろぼろ」と広がっていく。機体は、銃撃音のような音をたてて二つに割れる。このように徐々に進行した亀裂が破滅的な障害につながった例としては、コメット一型の二機の事故と、アロハ航空の737型機の事故がある。737型機の場合は、機体上部の操縦席よりうしろの部分が吹き飛んだ。
　システムというのはそういうものなのだ。つまり、ともかくも存在価値のあるシステムならすべて毎日のように人間のミスと機械の不調を体験しているわけだ。このこと自体は、ただちに障害にはならない。というのも、成熟したシステムであれば、大きなリダンダンシー（冗長性）が組みこまれているからだ。障害が起きるのは、ひとつの欠点が他の欠点につながりはじめたときである。しかし、この段階でも、たとえば警戒怠りない従業員が連鎖反応を断ち切るというような、なんらかの外力が加わったり、あるいは障害につながる可能性のある欠点ではあっても、それが実現化するのを助長するような別の欠点が加わらなければ、それ以上の段階に進むことはない。p.16-18

　日本の原子力業界には、どのような「システム亀裂」が走っていたのだろうか。確かにM9の地震と大津波という、外からの大きな衝撃があったとは言え、ここにいたるには警告もあったわけで。

　飛行船も宇宙船も、建造されるためには、ともに多くのことを保証しなければならない運命にあった。安全性、低コスト、計画どおりの性能、確かな技術といった保証だ。あとから見れば、その事業の実現に道を開いた意欲と楽観主義そのものが、悲惨なまでに見当ちがいだったように思われる。アメリカン・モーターズの前会長、ジェラルド・C・メイヤーズによれば、一般的にいって事業管理者は、不測の事態に対応するための計画を立てることを避ける。そんなのは敗北者や悲観主義者のすることだ。事業管理者は製品の成功と、たえまない市場拡大を画策することが自分の任務だと考えるものだ、と。p.136

　「わかってない」ということばは、重要な出来事についてなにも知らないと思われる相手にたいして使うが、このことばをちょっと変えれば、「疑ってない」という新たな侮辱語ができあがる。「疑ってない」とは、知る必要のあることはすべて知っていると確信し、なにごとも不調には陥らないと信じているような人間のことだ。疑いをもたないこと自体、なにも知らないことと同じくらい危険である。p.146-7

　既知の問題点が姿をあらわす兆しを監視するのはいいことだが、いまやシステムはますます巨大化し、複雑化しつつあるので、アキレス腱はいくつもあるということをわれわれは忘れないようにしなければならない。なかには、これまで出現したことのない問題が起こることもあるから、単純な後知恵というようなヒューリスティクスではわれわれは自分たちを守ることはできない。危険はひとつの方角からしかやってこない、と現場担当者たちが考えることにないように望みたいものだ。というのも、最悪の災害のなかには、チャレンジャー惨事のように、原因となった問題点があまりにも小さなものだったためにそれまで無視されてきた、というようなものもあるからだ。p.201

　組織がつねに健全に機能していくためには、経営陣からの普段の指示が必要だ、と産業保険会社ハートフォード・スチーム・ボイラー社の副社長リチャード・ジョーンズはいう。「そうした姿勢が下部からしかあがってこなければ、それはひねりつぶされてしまうだろう」。p.397

　うーん、「安全神話」に東電を中心とする原発関係者のコミュニティーが呪縛されていたのか、故意に眼をそらしていたのか。原子力関係の学者が安全とは言ってないといっても、それが政策コミュニティーに反映していないのは確かだしな。

　システム障害の長い歴史を見ると、ほとんどの問題は、本格的な緊急事態になるまえに手がかりがあらわれているという意味で、アポロ13号のケースに似ている。元国家輸送安全委員会航空安全局長のC・O・ミラーは、「前兆のない事故が起こったことはあるか？」という問いに答えて「基本的には皆無だ」と語っている。p263-4

　インド洋大津波の時に、インドの原発の様子がおかしいみたいな話が出ていたような気がするが、こういうのが共有されていれば、状況は違ったのであろうか。




　昨日は頭痛で力尽きたので、追記。

マシンが反乱を起こす条件とはなにか
　大西洋の嵐が多くの鋼材運搬船にもたらしたものには、もうひとつの教訓がこめられていた。本書のプロジェクトを開始したとき、わたしは何人かの友人からこうたずねられた。これまでに見てきたようなきわめて多様な技術的災害のなかから世人が抽出できるものはなにか、と。わたしにはわからなかった。その後、作業を進めるうちに、トロージャンたちの物語がきっかけとなって、わたしはひとつのことに気づいた。この部門での最悪の事故のなかには、欠陥のある技術が、予想もつかないほど大きな自然の力に出会った事例が見られるということだ。
　そうした最悪の事態を招く四つの要因をあげてみよう。第一に、きわめて多くの人がマシンのいうなりになり、そのマシンが正常に作動するという前提でのみ生命が保証されるような状況に立っていること。第二に、こうした技術のかかえる問題はきわめて深刻で、良好な条件下でさえしだいに表面にあらわれはじめること。第三に、現場担当者から提出された問題報告書にたいして管理責任者が適切な処理をしていないこと。第四に、地震や風といった自然の力が到来して、見せかけの安全性をぶちこわしてしまうこと。p.402

　こうして見ると、いくつかの要因が福島第一原発でも当てはまるように思える。第二の条件は当てはまらないように見えるが、1、3、4の条件は当てはまるよなあ。地震学からの警告を、「石橋氏は原子力学会では聞いたことがない人である」とか言って無視せず、真摯に対応していれば、最悪の自体は避けられた可能性が高いわけで。でもって、外部電源の送電線の脆弱性と非常用電源用の発電機が全部海際に配置されていたという欠陥を地震と津波にもろに突かれたわけで。発電機の内陸への分散配置か適切な電源車の配備を行うなどの手は打てたのではないか。
　しかし、最後の第12章は、教訓をまとめているが、いろいろと興味深いものがあるな。リーダーにいかに自分の決定に責任を持たせるか、事故の原因が企画・設計の段階で生じていること、長期間のうちには確率の低い事故も起こる、上司に警告メモを渡すだけでは不十分、情報を封印するなかれ、などなど。まさに今回の福島第一に当てはまる問題だ。開かれた警戒心とでも言うべきものが必要で、原子力村にはそれが欠けていたと言わざるをえない。
　しかし、上司に決定の責任を持たせるって話で、ちょっとおもしろいエピソードが紹介されている。

　ときにはわれわれは、指導者が重大な局面においてその本来の役割をはたすようにしむけるために、説得しなければならないこともある。航空機による郵便輸送がおこなわれるようになった初期のころ、パイロットたちは、自分たちがいつも危険の直面していることはわかっているが、それにしても郵便飛行機の墜落事故の比率が高すぎる、と考えはじめた。やがて、あるパイロットのグループが米国航空郵便省に申し入れて、空港にいる航空便監理者が悪天候や視界不良を無視して飛行命令を出している現状を認識させた。その解決策はどうなったか？ 米国郵便航空省は、安全な天候と危険な天候を規定した新法規を制定するのではなく、単純明快な命令をだしただけだった――それは、パイロットからの要求があれば、業務飛行に出発するまえに航空便監理者がコックピットに同乗して、空港上空を旋回しなければならない、というものだ。これで監理者が悪天候下の飛行を容認する度合いがいっきに下がった。p.406

　皮肉ではなく、電力会社の本社ないしは幹部の私宅を原発から10キロ以内程度に移すというのを、実行すべきなのではないだろうか。原発の安全性を自分自身に引きつけて考えさせれば、危険への感度は大きく変わるだろう。


　一番最後に、事故情報の共有の重要性が指摘され、アメリカの航空安全報告制度が効果的だと紹介されている。

　ニアミスは真実を語る効力をもっている、ということに気づいた組織もある。米国の航空安全報告制度は単純でしかも効果的だ。安全の支障となるような出来事を知ったとき、航空業界の従業員たちはその大小に関係なく自発的に報告する、という制度である。対象となる出来事には、操縦士や管制官のミス、機械類の不調、計器表示の異常などもあるだろう。業界ではたらく人びとが進んで報告する気になるようにするため、連邦航空局は入手した情報を利用しての取り締まりはおこなえないことになっている。NASAも1976年以来、報告制度を実施している。通常の年で年間3万5000件の匿名報告を受け、元操縦士や元管制官たちがそれを検討して、全体的傾向を見つけだす。情報は毎月刊行される『コールバック』(インターネットでも公開)などで発表される。退役軍人管理局は管下の病院での医療事故を発見するため、NASAに依頼して同様のシステムの導入をはかっている。
　こうして、やっと手に入れた直接情報を公開することは、いわば禅の悟りに近い、なにものにもとらわれない心とでも呼べるような境地に達するための、長い道のりであった。真理を悟った人間は、道理にもとづいた手厳しい質問を投げかける傾向が強いが、それこそがすべての優良組織が必要とし、歓迎すべき種類の質問なのだ。p.425-6

　そう考えると、臨界事故を始め様々な事故を隠蔽し、未だに書類の辻褄合わせに汲々としている、原子力発電所の現状は危険としか言いようがない。規制が形骸化しているともいえる。ついでに、臨界事故隠しのときは、内部告発者の名前を電力会社に教えているわけで、もう何を考えているのかというレベル。


　あと、このあたりの事故情報の共有と活用という問題に関しては、警察の介入をどうするかという問題も重要。結局のところ、日本の社会は、システム事故の情報の共有を拒むというメッセージを出していることになる。先日の北海道での脱線と車両火災でも、警察の捜査が入ったそうで、原因究明よりも関係者の処罰が優先される風潮に違和感を感じる で違和感を表明されている。早い段階で業務上過失の概念の変更とシステム事故への警察の介入を止める法規の整備が必要なのだろうな。