九州大学大学院宇宙航行システム工学特別講義システム安全講義資料

九州大学大学院
宇宙航行システム工学特別講義
システム安全講義資料 関田　隆一
福山大学　工学部　スマートシステム学科
平成28年6月2,3,10日
Mission Success with Safety
Agenda
はじめに
1. システム安全
2. ハザードとは
ü
ハザード解析演習　２回
3. 故障の木解析
✓
故障の木解析演習（可能なら）
4. リスクアセスメント
5. 安全設計のポイント
6. 安全データパッケージ，
ハザードレポートの作成
7. 安全審査
ü
Mission Success with Safety
模擬安全審査
2
Getting Started !
Mission Success with Safety
3
本講義の目的
「事故」は何故起こるのか？
どうしたら事故は防げるのか？
私たちの考える「安全」「安心」とは？
「システム安全」とは？
「ハザード」とは？
モチベーションを持って、「安全」を学び，
考えられるようにする。
う
ょ
し
ま
き
い
で
ん
学
に
共
Mission Success with Safety
4
本講義終了時には
CHANGE THE WAY
YOU SEE THINGS
Mission Success with Safety
5
What do you see?
Mission Success with Safety
6
What do you see?
Mission Success with Safety
7
講師自己紹介
関田隆一
Mission Success with Safety
8
略歴
関田　隆一
1960年，東京都生まれ．
1983年，東京都立大学工学部機械工学科卒業．同年，宇宙開発事業団
入社．本社，角田ロケット開発センター，種子島宇宙センターでロケッ
ト・衛星のエンジン推進系研究開発に従事．
1993年，アラバマ大学ハンツビル校推進系研究所留学，M.S取得．
1994年から衛星打上管制業務，科学技術庁宇宙政策課課長補佐を経て，
H-IIAロケットプロジェクトで推進系研究開発に従事．
2004年から安全・信頼性推進部でシステム安全，ヒューマンファクター
ズ，宇宙用高圧ガス機器，リスクベース保全などに従事．
2009年，筑波大学大学院ビジネス科学研究科企業科学専攻博士後期
課程修了．
2011年から衛星研究開発（安全・信頼性・品質マネジメント，システ
ムのロバスト・パラメータ設計）に従事
2014年　福山大学工学部スマートシステム学科准教授，複雑システム
の安全解析・品質工学による最適設計及び防災関連衛星の研究に従事.
博士（システムズ・マネジメント），技術士（航空・宇宙），シニア教
育士（工学・技術），PMP
アメリカ航空宇宙学会，日本信頼性学会，日本工学教育協会，日本公共
政策学会，プロジェクトマネジメント学会，地域安全学会　会員
Mission Success with Safety
記憶
10%
20%
30%
50%
70%
90%
Mission Success with Safety
of what you
of what you
of what you
of what you
of what you
of what you
Read
Hear
See
See & Hear
Say
Do & Say
10
Pike’s Law
Learning is Directly
Proportional to the
Amount of fun you have.
学びは、それをどれだけ楽しめるかだ！
Mission Success with Safety
11
積極的な発言を !!
Mission Success with Safety
1. システム安全
1.1 事故からの教訓
1.2 安全とは
1.3 安全に対する考え方の変化
1.4 システム安全とは
1.1 事故からの教訓
【シンドラーエレベータ事故】
2006年6月3日東京港区のマン
ションでシンドラー社製のエ
レベータがドアが開いたまま
突然上昇し高校生が挟まれ死
亡する事故が発生。
シンドラー製エレベータで事
故が多発していることから国
交省は緊急点検を指示、結果
閉じ込め175件を含む1294件
の不具合を確認。
Mission Success with Safety
14
【パロマ湯沸かし器中毒】
Mission Success with Safety
15
【シュレッダー事故】
シュレッダーで幼児が指を負傷す
る事故が多発。
紙の投入口が8mmのものも。
シュレッダーの安全基準は大人の
指の太さを想定している。
メーカーでは、「まさか2歳の子供
が操作し、事故に遭うは・・・」
Mission Success with Safety
16
【小2女児プール死亡事故】
7月31日午後1時50分ごろ、埼玉県ふじみ野市大井武蔵
野、市営ふじみ野市大井プールから「女の子が吸水口に
吸い込まれるのを監視員が目撃した」と119番通報。
現場に急行したポンプ車3台がプールの水を抜き、入間
東部消防本部の特別救助隊などが捜索したところ、同5
時10分ごろ、吸水口（直径約50センチ）から奥に約5
メートル入ったパイプ（同30センチ）の中に女児の手
を確認。
同7時45分、ポンプのプロペラに引っかかっていた女児
を救出したが、死亡が確認された。
Mission Success with Safety
17
【ノートPC バッテリ発火】
ソニー製リチウムイオンバッテリを搭載したノー
トPCの相次ぐ発火事故
大規模なリコール(自主回収、無償交換)に追い
込まれる。負担額は、500億円規模に達する。
Mission Success with Safety
18
【ジェットコースター事故】
朝日新聞 Web (http://www.asahi.com/)
大阪エキスポランドジェッ
トコースター事故
(2007年5月5日)
Mission Success with Safety
19
【ジェットコースター事故】
概要
2007/5/5に、大阪エキスポランドの立ち乗り型のジェットコースター(6両編成)の2両目の車
軸が折れて脱線し、乗客女性1名が鉄製の手すりに衝突し死亡、19人が重軽傷を負った。
原因
①車軸折れは、断面形状から金属疲労の可能性が高い
②エキスポランドは、毎年1月に定期検査を実施していたが、新型アト
ラクション導入のため3ヶ月半遅らせてGW直後に実施予定。
③同型のジェットコースターを設置する全国5箇所の遊園地で、エキス
ポランドだけが一度も車軸を交換していなかった。
2両目が脱線し傾いたジェットコースター
④エキスポランドは、車軸の交換時期についてメーカ(トーゴ)から説明
はなく、耐用年数も知らされなかったとした。
⑤建築基準法では、遊具施設の所有者に定期検査を義務づけているが、
昨年の1月の定期検査報告書によると、検査項目は47ヶ所あり、3段
階評価(A:指摘無し、B:要注意、C:不適合)のうち、全項目をAと評価
していた。
⑥検査方法を定めるJISは、1年に1回以上の探傷試験を求めていた
Mission Success with Safety
20
【ジェットコースター事故】
行政：ジェットコースターを建築法の範囲内とし、遊戯物としての基準
整備をしていなかった。
エキスポランドの経営者：社員に対する安全教育、遊戯物の保全へ
の投資が十分でなかった。
ジェットコースター設計者：設計時点でのハザード解析、リスクア
セスメントが不十分、運用者へのリスク提供が不十分であった。
ジェットコースター係員とメンテナンス担当：ジェットコース
ターを運転，または保全・検査を行っているが、異常に気づかな
かった。
エキスポランド社員全体：来園者に対する安全確保の意識の欠如、
危ないと思ったことを伝えられない風土であった。
Mission Success with Safety
21
【エスカレーター事故】
西友の広報担当者は「こうしたことが起こるとは想
定しきれていなかった」と話し、同型機が設置され
た別の４店舗でも使用を取りやめ、安全を確認している
ことを明らかにした。事故のあったエスカレーターはステッ
プに一定の負荷がかかると自動停止するが、今回は停
止しなかったという。
⇒保護板の長さが国の定める基準を満たしていな
かったことがわかった。
多発するサンダル履きでエ
スカレーターに乗って足の
指を巻き込まれる事故
Mission Success with Safety
22
【クレーン倒れ3人死亡＝川崎造船の
工場、部品交換中－神戸】
２００７年８月２５日、事故はクレーン
部品の交換作業中に発生。油圧
ジャッキ4台を使ってクレーン上部
を持ち上げようとしたが、ほとんど上
昇せず、ジャッキの圧力を高めたと
ころクレーンが倒壊した。 部品交換の際、作業手順書は作成
されておらず、現場社員が口頭で手
順を確認していた。また、クレーン
のマニュアルなども用意していなかっ
たという。　Mission Success with Safety
23
【米ミネアポリスの橋崩落事故】
２００７年８月１日、米ミネソタ州ミネアポリスで起きた高速道
路橋崩落事故で、原因究明にあたっている米運輸安全委員会（Ｎ
ＴＳＢ）は８日、橋の設計自体に欠陥があった可能性を指摘する
声明を出し、全米の同種の橋の安全管理を緊急に進めるよう呼び
かけた。
Mission Success with Safety
24
笹子トンネル天井板落下事故
２０１２年１２月２日、山梨県大月市笹子町の中央自動車道上り線
笹子トンネルで天井のコンクリート板が１３８mの区間に渡って２７
０枚、約１．２トン落下し、自動車３台が下敷きになり９名が死亡
した。原因は設備の老朽化、東日本大地震の影響などもあるが、中
日本高速道路会社の毎年の定期点検と５年に一度の詳細点検のずさ
んさの指摘がある。（他の高速道路会社では「目視しつつ打音検査
が普通」とされているのに「目視で異常を確認した場合のみ実施と
している点など）
Mission Success with Safety
25
Ｂ７８７バッテリ火災事故
２０１３年１月７日成田からのフライトを終えたＢ７８７機がボスト
ン・ローガン国際空港で駐機中に機体電池が発火した。同１月１６日
Ｂ７８７が東京に向けて香川県上空飛行中に「電気室で煙感知」のメッ
セージと共に異臭がして緊急着陸した。アメリカ連邦航空局（FAA)は、
世界の同型機を対象に改善命令と運行一時停止を命じた。
原因はLi-Ionバッテリセルがショートした熱暴走であるが、バッテリ
単体の問題か電源サブシステムの問題か明らかではない。
ボーイング社は①隣合うセルのショート発生防止、②ショート発生時
の出火要因排除と燃焼が続かない構造、③煙や異臭は機体外へ排出す
る影響防止を講じて運行を再開した。
Mission Success with Safety
26
JR東日本山手線支柱倒壊
２０１５年４月１２日JR東日本山手線　神田ー秋葉原間で架線を支える
柱が倒れ山手線のレールに接触。山手線と京浜東北線の運転が９時間以
上、一部区間で運転が見合わされた。
JRは３月２５日の改良工事で２本の柱をつなぐ鉄筋を撤去した際、支柱
の強度や安定性が低下して架線の張力で倒れたと説明。
１０日に支柱付近で工事をした際、支柱の傾斜を確認したが、「急を要
しない」と判断し１３日に補修する予定を立てて通常運行させていた。
１２日午前４時５０分頃に始発電車で支柱の安全確認をしたとのことだ
が福田常務は「仮に夜間に支柱が倒れていた場合、始発電車の運転士が
暗い中目視で発見し、停車できていたかどうか何とも言えない」と・・
Mission Success with Safety
27
全日空国内線搭乗システム障害
２０１６年３月２２日　全日空国内線の搭乗手続き，予約販売システム
が停止し，７万人を越える利用者に影響。
ANAは４重冗長サーバーの内，１台が午前３時４４分に停止し，８時２
２分まで他の３台も相次いで停止。１台のみ再起動できて，空港系シス
テムを午前１１時３０分頃に復帰させたと説明。
原因は４台のサーバをつなぐシスコシステムズ製ネットワークスイッチ。
スイッチは冗長構成。主系が故障したが，それを検知して従系へ切り替
わらず主系の「不安定動作状態」で，サーバ間の同期異常終了になりデー
タ整合性を壊さないようにサーバは適切に自動停止と判明。
スイッチは２０１０年発売。世界で４万３０００台稼働して初の不具合。
Mission Success with Safety
28
宇宙開発の事故例
発生日
事故
1967年1月27日
Apollo 1号の火災事故
1970年4月13日
Apollo 13号の爆発事故
1986年1月28日
1996年6月4日
1999年9月23日
1999年12月
2003年2月1日
Challenger号の爆発事故
Ariane 5の爆発事故
Mars Climate Orbiterの事故
Mars Polar Landerの消失事故
Columbia号の空中分解事故
Mission Success with Safety
29
【Apollo 1号の火災事故】
1967年1月27日
Mission Success with Safety
30
【Apollo 1号の火災事故】
【事故内容】
アポロ1号は、アポロ計画における宇宙船AS-204。1967年1月27日、訓練中の
事故で炎上し、船内にいた3名の宇宙飛行士が死亡した。
【事故の直接原因】
火災の原因は、全長50kmに及ぶ電気配線のどこかで火花が生じ、加圧された酸
素で満たされていた室内の空気によって急速に燃え広がったためだと考えられ
ている。アポロ204事故調査委員会は、司令船パイロットの座席近くにあった環
境制御ユニットに繋がっていた銀メッキされた銅線が、ユニットの扉の開閉が
繰り返されたために絶縁材が磨耗して剥がれていたことを突き止めた。これと
同じ電線の問題がエチレングリコールと水が流れる冷却ラインの接合部分近く
でも起きていた。この部分では冷却液の液漏れが起きていた。電線の銀製の陰
極側に付着したエチレングリコールが電気分解され、激しい発熱反応が起きて
エチレングリコールの混合液が発火し、これが加圧された純粋酸素の空気の中
で次々に燃え広がっていったと考えられている。
Mission Success with Safety
31
【Apollo 13号の爆発事故】
1970年4月13日
Mission Success with Safety
32
【Apollo 13号の爆発事故】
【事故内容】
アポロ13号は1970年4月11日19:13:00 UTC にケネディ宇宙センターから
打ち上げられた。月に向かう途中、地球から321,860kmの地点で4月14日
03:07:53 UTC に司令船の液化酸素タンクNo.2の爆発事故が発生した。
【事故の直接原因】
後の再現実験などの検証により、宇宙船製造時に液体酸素タンク内に設
置されていたヒーターの部品（コイル）の規格を間違えた（打ち上げの二年
前だったという）ため、起動時のショートによって火災が発生、酸素タンク
No2が爆発し、2基の酸素タンク、水素タンクを含むセクタ4が吹き飛んだも
のと考えられるようになった。
Mission Success with Safety
33
【Challenger号の爆発事故】
1986年1月28日
Mission Success with Safety
34
【Challenger号の爆発事故】
【事故内容】
TS-51Lは1986年1月28日の打ち上げであった。STS-51Lは打ち上げから
73秒後に突如爆発、シャトルの各部は爆発による空気応力で空中分解
した後に大西洋に落下し、クルー7名の全員が死亡した。
【事故の直接原因】
打ち上げ当日は気温が低く、固体ロケットブースタ内部に使用されるOリ
ングと呼ばれるパーツが凍結しており、これが事故を引き起こしたと見ら
れている（この事は現場レベルでの指摘があったが結果的に無視されて
いた）。打ち上げ直後、そこから高温のガスが漏れ出し、その熱で外部
燃料タンクとの接続部分が焼き切れ、シャトル右側の固体ロケットブース
タが外部燃料タンク上部を直撃し、漏れた液体燃料に引火したのが爆
発の原因とされている。
Mission Success with Safety
35
【Ariane 5の爆発事故】
1996年6月4日
Mission Success with Safety
36
【Ariane 5の爆発事故】
【事故内容】
Ariane5第1号機は1996年6月4日に、南米仏領ギアナのギアナ宇宙セン
ターから打ち上げられた。ロケットはESAの科学衛星クラスターを4機を
搭載していた。打ち上げ直後に爆発した。
【事故の直接原因】
ロケットの飛行制御システム (Flight Control System)に採用されていた
Inertial Reference System(慣性照合装置) に指令を与えるコンピュー
タ･ソフトウェア(以降、ソフトウェア)に欠陥があり、システム内でオペラン
ド･エラー (Operand Error) が発生したことが原因。Inertial Reference
Systemのソフトウェアは同ロケットが発射台上にある状態で慣性等の調
整を取るためのもので、その発射後も40秒間動作していた。
Mission Success with Safety
37
【Mars Climate Orbiterの事故】
1999年9月23日
Mission Success with Safety
38
【Mars Climate Orbiterの事故】
【事故内容】
Mars Climate Orbiterは1998年12月に打ち上げられ、1999年9月23日
に火星を回る軌道に投入される予定になっていたが、軌道投入の指令
後、探査機からの通信が途絶えた。
【事故の直接原因】
探査機を開発したロッキード社がヤード・ポンド法を用いて設計・製造し
た。探査機の航路を管制するNASAはメートル法を用いて探査機をコント
ロールした。
火星に接近する際の飛行高度が予定より約100kmも低く火星大気に突
入し、探査機は破壊されてした。
Mission Success with Safety
39
【Mars Polar Landerの消失事故】
1999年12月3日
Mission Success with Safety
40
【Mars Polar Landerの消失事故】
【事故内容】
Mars Polar Landerは、1999年12月3日、火星への軟着陸の際に問題が発生し、
着陸に失敗した。
【事故の直接原因】
原因は、単純なもので同探査機の軟着陸機(Lander)が火星表面に接地した際
に軟着陸用エンジン(下降エンジン)の噴射を切る装置に問題があった。
事故後の調査で、Mars Polar Landerが着陸脚を所定の位置に下ろす際に、そ
の伸縮部分においてわずかな振動が生じてしまうこと、そして、その振動により同
コンピュータが火星に着陸したと誤認し、軟着陸用エンジンが着陸中に停止する
可能性があったことが分かった。つまり、同探査機は本来、軟着陸用エンジンを
使用して毎秒約2.4m程の速度で火星に軟着陸する予定が、この誤作動により、
Mars Polar Landerは約40mの高さから地面へ自由落下して破壊した。
Mission Success with Safety
41
【Columbia号の空中分解事故】
2003年2月1日
Mission Success with Safety
42
【Columbia号の空中分解事故】
【事故内容】
2003年2月1日、帰還のため大気圏に突入したコロンビア号が、テキサス
上空で空中分解し、乗員7名全員が死亡した。
【事故の直接原因】
打ち上げ時に外部燃料タンクから落下した断熱材によって左主翼前縁の
強化カーボンカーボン(RCC)パネルが損傷した。その結果、大気圏再突入
時に、その損傷箇所から高温のガスが翼内に流入し翼が構造破壊を起こ
したことで飛行制御不能となり、音速を超える速度での強烈な空力的圧力
及び加熱により結果的に機体の空中分解に至った。
Mission Success with Safety
43
2007年1月30日 Sea Launch打上げ失敗
Mission Success with Safety
2007年1月30日 Sea Launch打ち上げ失敗
米ボーイング社の子会社シーローンチ社が30日に打上げたロケットが途中で爆発、打ち上げ
が失敗に終わった。ロケットにはオランダの民間放送衛星「NNS-8」が搭載されていた。
シーローンチ社はボーイング社と世界銀行などの出資で設立された民間ロケット打ち上げ企業。
ロケット打上げは赤道から打上げた場合が、軌道投入への距離が最短で済むことや、地球の
自転に伴う遠心力の効果を最大限に活かすことができるという理論上を元、赤道上の船の上
からロケットを打上げるという、かつてない大胆な発想を元にしてボーイング社とロシアの
宇宙開発の中核的企業となるエネルギア社の技術を結集して作られた企業となる。
シーローンチ社のロケットはロシアのソユーズロケットと同じ技術をベースに作られてきただ
けに、打ち上げの信頼性は非常に確かで、今回のような打ち上げ途中での爆発事故はまったく
の予想の範囲外の出来事ともなる。
打ち上げの模様はインターネットを通じて、全世界に配信されていたが、ロケットの爆発と
同時にネット放送には「NSS-8の打ち上げの模様は異常終了により終了しました（Anomaly
on NSS-8 mission. Broadcast concluded）」というメッセージと共に、途中終了した。 シーローンチ社のロケットは世界でも最も信頼性の高いロケットと見なされていただけに、
Mission Success with Safety
2007年1月30日 Sea Launch打ち上げ失敗
ロシアとウクライナから構成される多国籍調査委員会は13日、１月30日に発生したロ
ケット爆発事故について記者会見を開催。Zenit-3SL型ロケットが爆発した原因はロケッ
トエンジン点火後に金属片が燃料パイプを伝わってエンジンポンプに流れ込んだこととす
る調査結果を発表した。
金属片はロケット製造工程のどの段階でエンジンの燃料系に紛れ込んだかに関しては言及
を避けた。 シーローンチのロケット「Zenit-3SL」は1999年3月の初打ち上げ以来、これまで23回の
打ち上げが行われてきたが、2000年3月に打ち上げられれた衛星が軌道投入に失敗した以
外はこれまで全て成功してきた（したがって今回の事故前の成功率は95.65％だった）。 １月30日のロケットの爆発は、ほぼメインロケットエンジンの点火と同時に発生。ロ
ケットはオデッセイから飛び立つことなしに船上で大爆発を起こした。
Mission Success with Safety
2007年7月26日 Scaled Composites 爆発事故
Mission Success with Safety
2007年7月26日 Scaled Composites 爆発事故
7月26日(米国時間)、米国のモハーベ砂漠にある米Scaled Composites社のテス
ト施設でハイブリッドロケット・システムが爆発した事故で、現在3人が死亡、
3人が負傷している。
宇宙船『SpaceShipTwo』は、英Virgin Galactic社の注文を受けて建造中だっ
た。Scaled Composites社のオーナーで設計にも当たっていたBurt Rutan氏によ
ると作業員が「コールドファイア・テスト」実施中に爆発が起きたという。
作業員は、酸化剤の亜酸化窒素を宇宙船のハイブリッド・ロケットエンジンに
送る噴射装置をテストしていた。爆発は遠く離れた発射台で起き、火災はすば
やく鎮火されたが、被害は起きてしまった。
Rutan氏は報道陣に対し驚きを隠さなかった。「完全に安全だと確信しているテ
ストを行なっていた。なぜ爆発したのか理由はわからない」
Rutan氏が設計した宇宙船『SpaceShipOne』は2週間で2度高度100kmに到達
し、民間の有人弾道宇宙飛行コンテスト『Ansari X Prize』で優勝した。
Richard Branson氏のVirgin Galactic社が発注したSpaceShipTwoは、より大型
Mission Success with Safety
2007年7月26日 Scaled Composites 爆発事故
英Virgin Galactic社の民間宇宙船『SpaceShipTwo』の施設で起こった爆発事故に
ついて調査を行なっていたカリフォルニア州の機関は、Virgin社から宇宙船建造
を請け負っていた米Scaled Composites社に責任があると報告した。
爆発事故は昨年7月、SpaceShipTwoのために開発中だった、亜酸化窒素を用い
る新しいロケットエンジンのテスト中に起こった。[AP記事によると、コールド
フロー実験を始めた約3秒後に爆発が起こった。テスト施設には、圧力と温度が
調整された亜酸化窒素が約4.5トン存在していた]。
カリフォルニア州労使関係局の調査によると、Scaled Composites社は作業員や
監督者に対し、亜酸化窒素の危険性について事前に適切な教育をしていなかった
という。
問題のエンジンのテスト中、11人の作業員が近くにいて金網ごしに経過を見てい
た、という労使関係局の報告が、AP通信の記事に引用されている。爆発によっ
Mission Success with Safety
2014年10月28日 Antares　打上げ失敗
Mission Success with Safety
2014年10月28日 Antares 打上げ失敗
米国Orbital Sciences社は米国東部時間18時22分にISSへの無人補給船シグナスを搭載した
Antaresロケットをバージニア州Wallops島のロケット発射場から打上げたが、打上げ後6秒後にロケッ
ト下部で爆発が発生し、地上へ墜落し始た。指令破壊と地上への激突がほぼ同時に起こり2290kg
もの補給物資はすべて失われ、射場施設も深刻な被害を受けたとNASAは明らかにした。
事故後ISSの宇宙飛行士への物資補給が心配されたが、9時間後にカザフスタンのバイコヌール宇
宙基地からプログレス補給船が打上げられ大きな問題にはならなかった。不幸なのは小型衛星や
実験機器打上げを委託していた大学や研究機関で千葉工大の流星観測システムもその一つ。お
金で買えない時間を失ったことになる。
Antaresロケットは2013年4月に初号機打上げが行われ、本機が5回目の打上げで２段強化型の初
号機で順風満帆なロケットの最初の大きなつまずきとなった。 失敗原因の断定は未だ発表されていないが、ほぼすべて喪失しており原因究明は困難。ただし現
象から1段ロケットに使っている40年前にソ連で製造されたNK-33エンジンをAerojet社が改良した
AR26エンジンのターボポンプと推定されている。NK-33エンジンは同クラスのエンジンとしては高性
能で、しかも破格的に安価で現在も在庫がありソユーズロケットで使っている。40年間の保管状態
は明確ではないが、部品劣化や腐食は避けられない。とは言っても米国でのAR26エンジンとして
の厳しい検査や燃焼試験を合格している。
原因断定が困難であるため、AR26エンジン搭載Antaresロケットは打上げないと Orbital Sciences
社は発表しており、代替えエンジンは米国製がないためロシア製最新エンジンのRD-181になる。ロ
ケットの開発試験と射場の整備工事を終えて2016年初めに打上げ再開の計画。
Mission Success with Safety
事故はなぜ発生したのか？
事故は防ぐことができなかったのか？
事故を防ぐ方法はあるのか？
Mission Success with Safety
52
教訓！
最近の事故は、
システム安全を考えない人の設計で起っている。
○本当の安心を与えるのはシステム安全である。
○不安を危険と見なして、けをするな。
安全が確認できないときは、確認できるまで根気よく待て
○安全確認は人にやらせず、設計者は安全設計に責任を持て
システム安全知らずして、勝手に安心するな
システム安全で本物の安心を!
Mission Success with Safety
53
48
システム安全の歴史
Japan
(JAXA)
2004
JMR-001:System Safety Standard
JMR-002:Launch Vehicle PL Safety Std.
1986
CF-86001
System Safety Standard
1950
1960
USA (NASA)
1950‘s
Disasters of missiles
1962
System Safety Engineering
for the Development of Air
Force Ballistic Missiles
Mission Success with Safety
1970
1999 H-II#8
1990
1986
Space shuttle Challenger
1970
NHB1700.1
NPG8715.3
1969
MIL-STD-882
1963
MIL-S-38130
2003 H-IIA#6
1998 H-II#5
1980
1967
Apollo#1
2005
JAXA System
Safety Training
Course
2000
2003
Space shuttle Columbia
2001
ISO/DIS14620-1
1991
NASA Safety Training
Center
54

Download Report