人命が危険にさらされているとき、許容できるリスクのレベルとは?

オーシャンゲートの実験用潜水艇「タイタン」の沈没タイタニック号の調査開始1時間45分後に乗船していた5人が死亡した悲劇的な事件は、私たちのリスクに対する欲求と、喜びのために危険に身をさらすことを可能にしている企業や人々の安全性に焦点を当てた。

機能安全の専門家である私にとって、リスクは社会的な道徳概念と数学的な確率に基づく興味深いテーマであり、前者は社会学や心理学に関連し、後者は主に数学的であるため、自然に共存することはない。

一般的に、リスクと報酬の間にはバランスがあり、リスクを受容可能なレベルまで低減するためには、ほとんどの場合、コストがかかると考えられている。このような受容可能性のレベルは、私たちが存在する社会の規範に基づくものであり、通常は法律や規制の中で形式化されている。

オーシャンゲートのCEOは、リスクとリターンのバランスについて次のように述べた。つまり、ただ安全でありたいなら、ベッドから出ず、車に乗らず、何もしないことだ。リスクとリターンの問題なんだ」。

機能安全を検討する際に問題となるのは、リスクが合理的なレベルまで低減され、それに見合った見返りが得られているかということです。 通常、すべてのリスクを排除することは不可能ですが、あらゆる産業における一般的なアプローチは、人々を危害から守るために合理的に実行可能なすべてのことを行うことです。これは、金銭的、時間的、労力的な観点から、実際のリスクをコントロールするために必要な対策とリスクのレベルのバランスをとることを意味する。

自動車の分野では、リスクを管理するために機能安全への適合を義務付ける自動車の型式承認に関する規制がある。これらの規制は車両に関するものであり、適合を証明する方法については必ずしも規定されていない。

自動車の電子・電気システムについては、ISO26262という規格でリスク管理が定義されており、高度な自動運転や自律走行車については、ISO21448という補完的な規格がある。これらの規格はガイドラインとして定義されており、製品を展開する際に準拠する法的要件はない。とはいえ、これらの規格に準拠していることは、機能的に安全な製品であることの証明として利用できる。

そして製品を生産する企業として、イートロンは製品の生産における注意義務や十分な注意義務を規定する製造物責任法に拘束されています。さらに我々は専門家として、健康、安全、環境に関する公共の利益を守る義務を規定する専門家団体の条文に拘束されています。従ってイートロンとその従業員は共に我々の製品が引き起こす可能性のある怪我を防止する責任がある。

基準やガイドラインは通常、企業や個人がデューデリジェンスの証拠を提供するために作成され、通常はベストプラクティスを定義する。これらは「最先端」であるとして業界の同業者によって合意される。これらの基準に従っても、企業や個人の責任が免除されるわけではないが、デューデリジェンスが行われたことを証明する文書が提供される。

実験用潜水艇の場合、その基準はより不透明である。海事法では、船舶の登録国または旗国が、その船舶の運航方法を規定する法律を決定する。また、船舶がある国の領海に入る場合は、その国の規制も満たさなければならない。これらの基準や規制の遵守は、通常、認証によって証明される。潜水艇は、ロイド船級協会(Lloyd's Register)、米国船級協会(American Bureau of Shipping)、認定機関であるDNVなどの海洋機関によって認証(およびクラス分け)される。この種の認証は、安定性、強度、安全性、性能に関する一定の基準を満たしていることを証明するものである。しかし、特に潜水艇が船舶で輸送され、その後、どの国の管轄下でもない国際水域で運用される場合、認証は必須ではありません。

オーシャンゲートは、潜水艇の独立した分類と認証が毎年行われるのでは、安全な潜水作業手順が守られず、技術革新のたびに認証機関を教育しなければならないのでは、迅速な技術革新サイクルが阻害されると述べた。海洋技術および業界団体である海洋技術協会(Marine Technology Society)は、業界で認められた基準に準拠しないことで、潜水艇の乗員が大きな危険にさらされることに懸念を表明した。

興味深いことに、自律走行車メーカーも同様の問題を抱えている。技術革新のサイクルは高く、現行の基準は必ずしもこうした技術革新の詳細をカバーしていない。また、自律走行車メーカーは、その自律走行システムを開発するために最も優秀な人材を採用しており、評価・監査業界にはスキルと理解が不足している。より単純なシステムであっても、評価者が製品とその開発のあらゆる側面を調査し、監査することは不可能である。解決策は、製品とその開発の概要と、不合理な残留リスクがない理由を説明する説得力のあるセーフティケースを作成することである。MISRAは「自動車安全性主張のためのガイドライン」を作成し、既存の基準に沿った安全性主張の作成方法を明確にしている。監査人は、文書化された論拠と証拠を通じて、この開示された理由を調査することができる。

イートロンは先進的な人工知能機能とクラウドコンピューティングで安全性を維持しながら、バッテリーの性能と寿命を改善する革新的な製品を生産しています。ISO 26262の使用はこれらのタイプのアプリケーションの開発と展開または安全な使用を保証するために使用される方法と完全に一致していません。ISO26262は、車両レベルの故障の影響と、ドライバーによるその後のリスクの制御可能性に焦点を当てている。バッテリーはドライバーによって制御可能なアクチュエーターではないが、その故障モードは車両の制御性に影響を与える。新しい標準は充電式エネルギー貯蔵システムに関連するISO TR 9968や安全性と人工知能に関連するISO/AWI PAS 8800のようなこのミスアラインメントを修正するために開発されています。イートロンはこれらの標準と業界のベスト・プラクティスを利用して革新し続け、当社の理論的根拠を概説するセーフティ・ケース論証で堅牢で、信頼性があり、安全である世界クラスの製品を生産しています。

ガレス・プライス、イートロン・テクノロジーズ保証・安全担当ディレクター

イートロンでは、エッジとクラウドの両方で展開することができるインテリジェントなバッテリー管理ソフトウェアソリューションを開発します。これらについてもっと学ぶことに興味があるならば'専門家に話す'をクリックしてコンタクトフォームに記入するかまたは直接info@eatron.com。