東大システム創成学科 平成16年度 前期 ヒューマンモデリング VII 人間信頼性: • • • はじめに ヒューマンエラーの分類と発現メカニズム エラー率を予測するための代表的手法 (財)エネルギー総合工学研究所 ㈱日立製作所 氏田 博士 1 ヒューマンモデリングの 目標と期待される効用 人間の理解 安全性の向上 社会・環境への対応 経済性の向上 従事者の福祉の向上 人に優しいシステム 人間と機械の協調 人間と人間の協調 社会技術システムの確立 2 安全学と環境学と人間学 安全学 すべての科学技術は人間が作り出したものである 安全を守るのも人間である 環境学 環境を守るのも人間である 自然の脅威も人間の取り組むかにかかっている 人間学 安全学も環境学も、結局人間の対応如何である 人間を客観的存在として捉え、 より良い人間/機械/環境系を実現 3 人間学の位置付け 産業科学 使命領域工学 原子力/ 工業化学 航空/ 宇宙 生存基盤科学 環境学 環境学 など 安全学 安全学 鉄道/ 交通 人間学 人間学 産業科学 方法型領域工学 電気工学 機械工学 天文学 物理学 自律科学 化学 など 情報技術学 制御工学 システム工学 など など 4 ヒューマンエラーの分類 分類: ヒューマンエラー解析の基礎 (1)影響による分類 •ヒューマンエラーの結果として生じる影響によって分類 •運営組織の管理・社会的責任・ヒューマンエラー対策の優先 順位付けに有効 •結果論に基づくものであり、工学的立場からはあまり有効で ない (2)原因による分類 •ヒューマンエラーが発生する原因によって分類 (3)表面的形態による分類 •人間が取った行動によりヒューマンエラーを分類 (4)発生機構による分類 •人間の認知過程のどこで発生したのかにより分類 5 「ハインリッヒ(Heinrich, H.W.)の法則」 労働災害の分野 オストリッチファッション (ダチョウは襲われると砂に 頭を埋めて、見えなければ何 も起こらないと思い込んでし まう) に陥ることなく、故障やエラ ーに学ぶ姿勢を身につけるこ とが、安全性向上のために、 より良い設計のために必要 1件の死亡(重大)災害 29件の休業(軽微な)災害 300件の不休災害(ヒヤリハット) 6 発生機構による分類 ReasonのGeneric-Error Modeling System (GEMS) RasmussenのSRKモデル 目 標 知識ベース 行 動 シンボル 同 定 タスク決定 計 画 再 認 状態とタスクの 連 合 蓄積された タスク用の ルール ルールベース 行 動 サイン スキルベース 行 動 サイン 特徴形成 感覚入力 自動化された 感覚運動パターン シグナル 行 為 7 発生機構による分類 GEMS •スリップ、ラプス •行為の意図は正しいが、実行段階で意図と異なる行為を実行 してしまうエラー •スリップは、実行時の注意がおろそか •ラプスは、実行時に用いる記憶の誤りに起因 •ルールベースのミステイク •ルールベースのレベルで判断を誤り、誤った意図の下に行動 してしまうエラー •「正しいルールの誤った適用」と「誤ったルールの適用」 •知識ベースのミステイク •知識ベースのレベルで判断を誤り、誤った意図の下に行動し てしまうエラー •様々な種類の誤りが在りえる 8 不安全行為の分類(Reason, Jを改変) 不安全行為(作業実施者) 意図した行為 意図しない行為 (スキルベース) バイオレーション(違反) スリップ (不適切な 注意) ラプス (不適切な 記憶) ミス テイク (誤り) {過失} (自発的 違反) 基本的エラータイプ{過失} *{未必の故意} *{故意} 規則の誤用 (規則ベース) 規則逸脱 様々な考え違い (知識ベース) 日常的違反 誤規則 遵守 {未必の 故意} (消極的 違反) 規則無視 {故意} (積極的 違反) 合理化違反 9 組織過誤の分類 − 個人の作業における誤りに対し、 組織過誤では管理者の問題を議論 − 違法性認識と責任/権限の有無によって判断できる − 権限があれば、過誤の分類に対応する − 違法性認識は、予見性の評価と考察が重要 − モラルハザードは組織過誤の蔓延の結果生じる − 悪意のあるサボタージュは議論の範囲外 組織過誤(管理者) 能力・ 経験不足 {過失} 注意力不足 ・看過 {過失} 努力不足・ 無責任 {過失} 怠慢・放置 (不作為) {未必の故意} 意図的違反 (隠蔽) {故意} 10 コミュニケーションエラーの分類 − 組織過誤を、人間関係の調和がくずれる、 あるいはコミュニケーションの不足として捉え、 分析することもできる − 上/横/下/外の方向性で分類 コミュニケーションエラー (作業実施者/管理者) 指示・ 命令不足 {下} 連絡不足 報告不足 確認不足 公開不足 {横} {上} {上/横/下} {外} 11 リスク論の方法 (成功パス法−宇宙開発) PRA(確率論的リスク解析) ET/FT法(イベントツリー/フォールトツリー法) HRA(人間信頼性解析) CMF(共通原因故障)解析 ソフトウエア信頼性 外的事象評価 QRA(定量的リスク解析) :HSE(Health & Safety Executive) :ISO(International Standard Organizations) FMEA(Failure Mode & Effect Analysis) HAZOP(Hazardous Operability Study) 12 リスクアナリシス −事故のシーケンスを考える 危 険 即発的エラー による穴 潜在的原因 による穴 事 故 安全防護障壁(安全機能) 13 イベントツリー(ET)の作成と評価 起因事象 安全機能1 安全機能2 影響 頻度 リスク 成功 影響小 成功 失敗 影響中 10−5 リスク小 影響大 10−6 リスク中 失敗 14 フォールトツリー(FT)の作成と評価 安全機能S喪失 S=A*B =A*B1+A*B2 安全機能A喪失 P(A+B+C) =P(A)+P(B)+P(C) -P(AB)-P(BC)-P(CA) +P(ABC) ANDゲート 安全機能B喪失 ORゲート 安全機能B1喪失 安全機能B2喪失 P(ABC) =P(A)P(B)P(C) 15 リスク解析 起因事象の選定 イベントツリー・フォールトツリー ET/FT法 発生頻度の評価 イベントツリーの作成 事故シーケンスの定量化 プラント安全機能の 作動成功基準の検討 プラント安全機能の フォールトツリーの作成 ミニマルカットセットの算出 アンアベイラビリティ評価 点推定値 感度解析 推定値の不確実さ 起因事象発生頻度 ヒューマンエラー 従属故障 機器故障率データ 16 休み ここでひと休み 17 システム信頼性解析 対象システムは完全自動化ではない 異常時は運転員の適切な介入を期待 機器が正常に動作する確率 + 人間が行う異常対応が適切に遂行される確率 ETを構成するヘディング事象あるいはFTを構成 する要因事象のいくつかが、人間の行う作業の失 敗(ヒューマンエラー)に対応 人間信頼性解析 (HRA) 18 人間信頼性解析 (HRA : Human Reliability Analysis ) ある状況において人間が取るべき行動から逸脱する確率を評価 •緊急時に期待される対応(主にETの分岐)−時間に強く依存 •OAT(Operator Action Tree) •TRC (Time Reliability Correlation) •HCR(Human Cognitive Reliability correlation) •通常時の操作(主にFTの一部) −操作ステップの組み合わせ •THERP(Technique for Human Error Rate Prediction) •SLIM-MAUD(Success Likelihood Index Methodology - Multi-Attribute Utility Decomposition) •INTENT(Human Error Rate Assessment of Intention-based Error) 19 操作イベントツリーの作成−緊急時対応操作 S-O-Rモデル−OAT(Operator Action Tree) −TRCカーブ、HCR 対応要求 診断 操作 影響 確率 成功 無 成功 失敗 有 10−5 有 10−6 失敗 20 診断エラー確率 −緊急度(事故からの経過時間) −TRCカーブ 診断余裕時間(分) ヒューマンエラー率 (HEP) <2 1.0 2<= <5 0.5 5<= <10 0.2 10<= <20 0.1 20<= <30 0.01 30<= <40 0.001 40<= <50 0.004 50<= <60 0.002 60分以上 0.0001 21 操作エラー確率 操作内容、場所 操作に要する時間 (分) ヒューマンエラー率 (HEP) 単純、制御室内 5 0.0001 複雑、制御室内 10 0.001 単純、現場 20 0.005 複雑、現場 30分以上 0.01 22 達成基準の評価 情報処理活動 情報処理活動の 結 果 得 られ る 知識状態 知識ベースの分析 曖昧さ 最 終 目 標 知識ベースの計画 意思決定の 梯子モデル 現 タ ス ク ,安 全 性 , 効率などに対する 影響の解釈 システ ム状態 目 標 状 態 システムの 現在の状態の同定 タスクの 定 義 システム状態の 適切な変更の選択 一連の 観 測 タスク 情 報 や デー タの 観 測 手順の定式化 行為系列の計画 警 戒 手 順 活性化 情報処理の 必要性の検出 ル ー ル ベ ー ス の シ ョ ー トカ ッ ト 実 行 操 作 の23 統合 氏田の 運転員モデル ゴール評価 •緊急時対応の 認知実験 •プロトコル分析 •認知タスクの同定 •認知タスクの定量化 解釈 .2<= 同定 15<= <.4= タスク決定 <40 観察 検知 <5 手順決定 操作 確認(失敗) 確認(成功) 50<= 24 モデルによるTRCの評価 99 累積応答率 (%) 90 事象シナリオ シミュレ−ション 認知実験 A B C 80 70 60 50 40 30 20 10 1 10 0 1000 応答時間 (s) 25 THERP手法概要−定型的作業 [NUREG/CR-1278, 1983] 米国Sandia研究所 A.D.Swainらが開発 元来は軍用機器やシステムの設計、運用における人間信頼性の 評価を目的 解析対象となる運転員もしくは操作者が一連の作業(タスク) を遂行する際に持ち込む可能性のある過誤を、タスクシークエ ンス分解に基づいて系統的に識別 分解されたタスクシークエンスを各段階における成功/失敗を バイナリなイベントツリーでモデル化 個別のタスク遂行の失敗確率を、Swainの経験に基づいて作成 したデータ表を利用して評価可能 行動全体の失敗確率は、それを構成する要素的タスクのエラー 率を統合することによって評価 26 HRA-Event Tree 成功側 失敗側 現実的な意味を持た ない枝を刈り込む 刈り込み:Pruning 27 エラー確率(HEP)評価 標準HEP(nominal-HEP) ↓ <PSFによる修正> 基本HEP(basic-HEP:BHEP) ↓ <従属性に関する補正> HEP 28 THERP- PSF 29 PSFに関する修正 具体的指針に基づき修正 例:照明が暗い場合には計器読みとりの失敗確率の標準値の修正 ストレスレベルによる修正係数 ストレスレベル 極めて低い 熟練運転員 新人運転員 ×2 ×2 中程度 ルーチンタスク ×2 ×4 ダイナミックタスク ×5 ×10 極度に高い ルーチンタスク ×5 ×10 ダイナミックタスク 0.25(EF=5) 0.5(EF=5) 30 従属性に関する修正 複数の作業単位実行する場合の従属性 ある作業員が3系統の冗長化されている測定系を校正する場合、 もし校正手続きを誤って理解していれば3系統とも誤校正 運転員-Aが行う操作を運転員-Bがダブルチェック Aが上級者であればBがその誤りを発見する確率は低くなる 従属性のレベル ゼロ、低レベル、中レベル、高レベル、完全従属 Pr(F|先行作業失敗) =1 :完全従属時 =(1+BEP)/2 :高レベル従属時 =(1+6BEP)/7 :中レベル従属時 =(1+19BEP)/20 :低レベル従属時 = BEP :ゼロ従属 誤りからの復旧(リカバリー)確率を考慮に入れた修正も必要 31 THERP手法-手順1 解析の背景、前提の確認 ↓ 現地調査、状況聞き取り ↓ タスク分析 ↓ HRAイベントツリー作成 ↓ 標準的エラー確率評価 (データテーブル参照) ↓ 32 THERP手法-手順2 PSFの影響考慮、基本エラー確率評価 ↓ 従属性の影響評価 ↓ タスク全体の成功/失敗確率評価 ↓ リカバリー効果の補正 ↓ 結果の要約、知見の文書化 33 休み ここでひと休み 34 人間信頼性解析の展望 現状の問題点 •異なる手法間で結果の一致がよくない:解析者の主観が入りがち •定性的な人間行動のモデル化が不十分 •人間の認知的内部機構をあまり考慮していない (行動主義では多様な状況に対する基本エラー確率データ ベースが膨大になり、用意するのが難しい) •どんな状況にも適用できる完全な手法はまだ確立されていない •新たな方法の研究 •人間の認知行動をモデル化した「ヒューマンモデル」 •環境(含機械)シミュレーション •人間の認知行動シミュレーション •人間機械系統合型シミュレーション 35 第1世代人間信頼性評価手法(HRA1)への批判 (歴史) •データが不十分・不適切との認識 (THERP, SLIM, Expert Elicitationなど) •異常事故の「実態を捉えているとは思えない」との認識 (THERP, HCRなど) •Dougherty, E.M., "Human reliability analysis - where shouldst thou turn?" (1990) •Kantowitz, B.H., et al., "dilemma"(1990) 36 実態に関する理解の進展(事例分析から) •実事象と想定シナリオは乖離している •小さな事象の連鎖が困難な状況を招いている 潜在故障の影響 それ自体は当然と思えるシステム動作/運転対応の影響 •EOC(コミッションエラー)が重要 •管理組織要因の影響が大きい 37 実態に関する理解の進展(関連分野から) •状況との動的インタラクションをとおして醸成される 「コンテキスト=文脈」に支配される傾向 •プロアクティブな傾向(積極性・先行学習の影響) •管理組織要因の影響を受ける傾向 •上記の傾向は「不確かな状況」「動的に変化する状況」 「予期せぬ状況」「情報不全な状況」でより表出しやすい •「エラー心理学」「状況認知」「Naturalistic Decision Making」「分散認知」「エスノメソドロジー」 38 HRA1への批判(THERPの場合) •マンの内的メカニズムのモデル化が欠如 •タスク構造主体の見方 •文脈性に欠如したパフォーマンス影響因子の扱い 影響因子 影響因子 影響因子 タスク タスク タスク 運転要領書 39 HRA2: 動的性格・影響因子間の相互依存性・大局的影響… 判断 環境因子等 システム マン タスク タスク タスク 行為 行為 行為 規則・知識・経験 ポリシー・その他 文 脈 40 代表的な第2世代人間信頼性評価 (HRA2) •文脈に着目した例(グループ1) •CREAM(Hollnagel) •文脈に着目した例(グループ2) •ATHEANA(米国NRC) •MERMOS(フランスEDF) •文脈に着目した例(グループ3:動的シミュレーション) •ADS-IDS(Mosleh)ほか >> 「第3世代?」 •新たな評価対象領域に着目した例 •SAMARA(Pyy) 41 第2世代人間信頼性評価(HRA2) [NUREG/CR-1624, 2000] •ATHEANA(A Technique for Human Event Analysis) 人間はある特定の状況においては一意の行動をするはずであり、 対応時のエラーの誤差幅が大きいのではなく、 エラーに導く状況の多様性が大きい 人間行動が情況に支配されるとすれば、 分析対象は人にエラーを強要する情況であり、 エラー率はエラー強制情況(EFC)の発生確率 エラー率 HEP = P(エラー|情況)・P(情況) 右辺第1因子の条件付き確率は、ある特定の情況でエラーを起こす確率 人の認知特性で決まるが、EFCではこの確率が1に近いと考えられる HEPはほとんどEFCの生起確率である第2因子に左右され, HEPの評価はこの確率の評価を行うことと同じ 42 第2世代人間信頼性評価(HRA2) CREAM (Cognitive Reliability & Error Analysis Method) 大局的影響因子と相互依存性を考慮する 「制御モード」により信頼性が定まるとする 影響因子状態評価 影響因子相互依存性評価 制御モード決定 - strategic - tactical - opportunistic - scrambled 信頼性 43 まとめ ヒューマンエラーの発生機構の分析が重要 確率論的リスク評価=イベントツリー/フォールトツリー法 方法論としての課題は多い 故障データの扱いや定量評価法の確立 人間信頼性評価HRAの方法論の確立 第一世代HRA :人間をシステムの一部と見なす 第二世代HRA :人間は状況に依存して正しい対応 44 参考文献 氏田博士他2:原子力システムにおける信頼性技術、情報処理 Vol.28. No.9, 1987. 塩見弘:人間信頼性工学入門、日科技連、1996. 藤田祐志:第2世代人間信頼性評価手法の動向、原子力学会「HMS 部会」総合講演、1999. 氏田博士:ヒューマンエラーと安全設計、特集「品質危機とヒューマ ンファクタ∼未然防止の基本と実際∼」、品質管理誌、2001. 古田一雄:安全におけるヒューマンファクタの意味、原子力シンポジ ウム、2001. 氏田博士,藤田祐志,古田一雄:連載講座 ヒューマンファクター、第 4回 システム設計の原則、原子力学会誌、2003. Reason, J: Managing the Risks of Organizational Accidents, Ashgate, 1997. http://www.kitamura.qse.tohoku.ac.jp/~m.takahashi/human/ human6.files/frame.htm http://hydro.energy.kyotou.ac.jp/Lab/staff/shimoda/lecture2000/ 45 演習&レポート ヒューマンモデリングに必須の、 問題意識、概念、思想、視点、体系、方法論、 等のキーワードを、 優先順位をつけて、 ちょうど3種類、 リストアップし、 それぞれについて数行程度の説明を加える 反論、注釈、感想、疑問、追加、提言、等は大歓迎 6回分をまとめて、ちょうど20種類を整理 46 おわり 47 SLIM-MAUD 複数の専門家の判断を統合し、エラー確率をより適切に評価 SLIM:Success Likelihood Index Methodology 人間の実行するタスクの成功/失敗は、個々のタスクに影 響を与えるPSF−具体的には作業環境、教育環境、設備、 タスクの複雑さ、ストレス、組織の適切さ−に依存して規 定できる MAUD:Multi-Attribute Utility Decomposition 多属性効用分解:複雑な属性を考慮に入れることが必要な 意志決定問題の解決支援のための方法 SLIM-MAUD方法論ではSLIMの実施を支援する方法 48 SLIM-MAUDによる 着目タスクの成功/失敗確率の評価1 S1:タスクに影響するPSFの選定 タスク実行の各段階におけるエラーモードの列挙 エラーに支配的に影響を及ぼすPSF選択 S2:各PSFの相対的重要度の評価 PSFの相対評価 もっとも影響度が大きいPSFを100として残りのPSFを評価 最後に合計が1になるように規格化 S3:タスク現場のPSF評価 S2で対象にした全てのPSFに関して、作業現場での実際の状況 を評価してその良さを数量化 49 SLIM-MAUDによる 着目タスクの成功/失敗確率の評価2 S4:成功可能性指標SLIの計算 それぞれのPSFに関してS2で評価された重要度とS3で評 価された重要度、およびS3で評価された良さの評点の積 を計算 全てのPSFについて総和をとる S5:SLIから成功/失敗確率への変換 log(Ps)=a SLI + b (Ps:タスク成功確率) 50
© Copyright 2024 Paperzz