講義ノート7(PDF:340KB)

東大システム創成学科
平成16年度前期
ヒューマンモデリング
VII 人間信頼性：
•
•
•
はじめに
ヒューマンエラーの分類と発現メカニズム
エラー率を予測するための代表的手法
（財)エネルギー総合工学研究所
㈱日立製作所氏田博士
1
ヒューマンモデリングの
目標と期待される効用

人間の理解

安全性の向上
社会・環境への対応
経済性の向上
従事者の福祉の向上

人に優しいシステム
人間と機械の協調
人間と人間の協調
社会技術システムの確立
2
安全学と環境学と人間学
安全学
すべての科学技術は人間が作り出したものである
安全を守るのも人間である
環境学
環境を守るのも人間である
自然の脅威も人間の取り組むかにかかっている
人間学
安全学も環境学も、結局人間の対応如何である
人間を客観的存在として捉え、
より良い人間／機械／環境系を実現
3
人間学の位置付け
産業科学
使命領域工学
原子力／
工業化学
航空／
宇宙
生存基盤科学
環境学
環境学
など
安全学
安全学
鉄道／
交通
人間学
人間学
産業科学
方法型領域工学
電気工学
機械工学
天文学
物理学
自律科学
化学
など
情報技術学
制御工学
システム工学
など
など
4
ヒューマンエラーの分類
分類：ヒューマンエラー解析の基礎
（１）影響による分類
•ヒューマンエラーの結果として生じる影響によって分類
•運営組織の管理・社会的責任・ヒューマンエラー対策の優先
順位付けに有効
•結果論に基づくものであり、工学的立場からはあまり有効で
ない
（２）原因による分類
•ヒューマンエラーが発生する原因によって分類
（３）表面的形態による分類
•人間が取った行動によりヒューマンエラーを分類
（４）発生機構による分類
•人間の認知過程のどこで発生したのかにより分類
5
｢ハインリッヒ(Heinrich, H.W.)の法則｣
労働災害の分野
オストリッチファッション
（ダチョウは襲われると砂に
頭を埋めて、見えなければ何
も起こらないと思い込んでし
まう）
に陥ることなく､故障やエラ
ーに学ぶ姿勢を身につけるこ
とが、安全性向上のために、
より良い設計のために必要
1件の死亡（重大）災害
29件の休業（軽微な）災害
300件の不休災害（ヒヤリハット）
6
発生機構による分類
ReasonのGeneric-Error Modeling System (GEMS)
RasmussenのSRKモデル
目標
知識ベース
行動
シンボル
同定
タスク決定
計画
再認
状態とタスクの
連合
蓄積された
タスク用の
ルール
ルールベース
行動
サイン
スキルベース
行動
サイン
特徴形成
感覚入力
自動化された
感覚運動パターン
シグナル
行為
7
発生機構による分類 GEMS
•スリップ、ラプス
•行為の意図は正しいが、実行段階で意図と異なる行為を実行
してしまうエラー
•スリップは、実行時の注意がおろそか
•ラプスは、実行時に用いる記憶の誤りに起因
•ルールベースのミステイク
•ルールベースのレベルで判断を誤り、誤った意図の下に行動
してしまうエラー
•「正しいルールの誤った適用」と「誤ったルールの適用」
•知識ベースのミステイク
•知識ベースのレベルで判断を誤り、誤った意図の下に行動し
てしまうエラー
•様々な種類の誤りが在りえる
8
不安全行為の分類（Reason, Jを改変）
不安全行為（作業実施者）
意図した行為
意図しない行為
（スキルベース）
バイオレーション(違反)
スリップ
（不適切な
注意）
ラプス
（不適切な
記憶）
ミス
テイク
（誤り）
｛過失｝
（自発的
違反）
基本的エラータイプ｛過失｝
＊｛未必の故意｝
＊｛故意｝
規則の誤用
（規則ベース）
規則逸脱
様々な考え違い
（知識ベース）
日常的違反
誤規則
遵守
｛未必の
故意｝
（消極的
違反）
規則無視
｛故意｝
（積極的
違反）
合理化違反
9
組織過誤の分類 − 個人の作業における誤りに対し、
組織過誤では管理者の問題を議論
− 違法性認識と責任／権限の有無によって判断できる
− 権限があれば、過誤の分類に対応する
− 違法性認識は、予見性の評価と考察が重要
− モラルハザードは組織過誤の蔓延の結果生じる − 悪意のあるサボタージュは議論の範囲外
組織過誤（管理者）
能力・
経験不足
｛過失｝
注意力不足
・看過
｛過失｝
努力不足・
無責任
｛過失｝
怠慢・放置
(不作為)
｛未必の故意｝
意図的違反
（隠蔽）
｛故意｝
10
コミュニケーションエラーの分類
− 組織過誤を、人間関係の調和がくずれる、
あるいはコミュニケーションの不足として捉え、
分析することもできる
− 上/横/下/外の方向性で分類
コミュニケーションエラー
（作業実施者/管理者）
指示・
命令不足
｛下｝
連絡不足
報告不足
確認不足
公開不足
｛横｝
｛上｝
｛上/横/下｝
｛外｝
11
リスク論の方法

(成功パス法−宇宙開発)

PRA(確率論的リスク解析)

ET/FT法（イベントツリー／フォールトツリー法)
HRA(人間信頼性解析）
CMF（共通原因故障）解析
ソフトウエア信頼性
外的事象評価

QRA(定量的リスク解析)
:HSE(Health & Safety Executive)
:ISO(International Standard Organizations)

FMEA(Failure Mode & Effect Analysis)
HAZOP(Hazardous Operability Study)
12
リスクアナリシス
−事故のシーケンスを考える
危険
即発的エラー
による穴
潜在的原因
による穴
事故
安全防護障壁（安全機能）
13
イベントツリー(ET)の作成と評価
起因事象安全機能1 安全機能2 影響頻度リスク
成功
影響小
成功
失敗
影響中
10−5 リスク小
影響大
10−6 リスク中
失敗
14
フォールトツリー(FT)の作成と評価
安全機能S喪失
S=A*B
=A*B1+A*B2
安全機能A喪失
P(A+B+C)
=P(A)+P(B)+P(C)
-P(AB)-P(BC)-P(CA)
+P(ABC)
ANDゲート
安全機能B喪失
ORゲート
安全機能B1喪失
安全機能B2喪失
P(ABC) =P(A)P(B)P(C)
15
リスク解析
起因事象の選定

イベントツリー・フォールトツリー
ET/FT法
発生頻度の評価
イベントツリーの作成
事故シーケンスの定量化
プラント安全機能の
作動成功基準の検討
プラント安全機能の
フォールトツリーの作成
ミニマルカットセットの算出
アンアベイラビリティ評価
点推定値
感度解析
推定値の不確実さ
起因事象発生頻度
ヒューマンエラー
従属故障
機器故障率データ
16
休み
ここでひと休み
17
システム信頼性解析
対象システムは完全自動化ではない
異常時は運転員の適切な介入を期待
機器が正常に動作する確率
＋
人間が行う異常対応が適切に遂行される確率

ETを構成するヘディング事象あるいはFTを構成
する要因事象のいくつかが、人間の行う作業の失
敗（ヒューマンエラー）に対応

人間信頼性解析（HRA）
18
人間信頼性解析
（HRA : Human Reliability Analysis ）
ある状況において人間が取るべき行動から逸脱する確率を評価
•緊急時に期待される対応(主にETの分岐)−時間に強く依存
•OAT(Operator Action Tree)
•TRC (Time Reliability Correlation)
•HCR(Human Cognitive Reliability correlation)
•通常時の操作(主にFTの一部) −操作ステップの組み合わせ
•THERP(Technique for Human Error Rate Prediction)
•SLIM-MAUD(Success Likelihood Index Methodology
- Multi-Attribute Utility Decomposition)
•INTENT(Human Error Rate Assessment of
Intention-based Error)
19
操作イベントツリーの作成−緊急時対応操作
S-O-Rモデル−OAT(Operator Action Tree)
−TRCカーブ、HCR
対応要求診断操作影響確率
成功
無
成功
失敗
有
10−5
有
10−6
失敗
20
診断エラー確率
−緊急度(事故からの経過時間) −TRCカーブ
診断余裕時間（分）
ヒューマンエラー率
(HEP)
<2
1.0
2<= <5
0.5
5<= <10
0.2
10<= <20
0.1
20<= <30
0.01
30<= <40
0.001
40<= <50
0.004
50<= <60
0.002
60分以上
0.0001
21
操作エラー確率
操作内容、場所
操作に要する時間
(分)
ヒューマンエラー率
(HEP)
単純、制御室内
5
0.0001
複雑、制御室内
10
0.001
単純、現場
20
0.005
複雑、現場
30分以上
0.01
22
達成基準の評価
情報処理活動
情報処理活動の
結果得られる
知識状態
知識ベースの分析
曖昧さ
最終
目標
知識ベースの計画
意思決定の
梯子モデル
現タスク，安全性，
効率などに対する
影響の解釈
システ
ム状態
目標
状態
システムの
現在の状態の同定
タスクの定義
システム状態の
適切な変更の選択
一連の
観測
タスク
情報やデータの
観測
手順の定式化
行為系列の計画
警戒
手順
活性化
情報処理の
必要性の検出
ルールベースのショートカット
実行
操作の23
統合
氏田の
運転員モデル
ゴール評価
•緊急時対応の
認知実験
•プロトコル分析
•認知タスクの同定
•認知タスクの定量化
解釈
.2<=
同定
15<=
<.4=
タスク決定
<40
観察
検知
<5
手順決定
操作
確認(失敗)
確認(成功)
50<=
24
モデルによるTRCの評価
99
累積応答率 (%)
90
事象シナリオ
シミュレ−ション
認知実験
A
B
C
80
70
60
50
40
30
20
10
1 10
0
1000
応答時間 (s)
25
THERP手法概要−定型的作業
[NUREG/CR-1278, 1983]
米国Sandia研究所 A.D.Swainらが開発
元来は軍用機器やシステムの設計、運用における人間信頼性の
評価を目的
解析対象となる運転員もしくは操作者が一連の作業（タスク）
を遂行する際に持ち込む可能性のある過誤を、タスクシークエ
ンス分解に基づいて系統的に識別
分解されたタスクシークエンスを各段階における成功／失敗を
バイナリなイベントツリーでモデル化
個別のタスク遂行の失敗確率を、Swainの経験に基づいて作成
したデータ表を利用して評価可能
行動全体の失敗確率は、それを構成する要素的タスクのエラー
率を統合することによって評価

26
HRA-Event Tree
成功側
失敗側
現実的な意味を持た
ない枝を刈り込む
刈り込み：Pruning
27
エラー確率(HEP)評価
標準HEP(nominal-HEP)
↓ ＜PSFによる修正＞
基本HEP(basic-HEP:BHEP)
↓ ＜従属性に関する補正＞
ＨＥＰ
28
THERP- PSF
29
PSFに関する修正
具体的指針に基づき修正
例:照明が暗い場合には計器読みとりの失敗確率の標準値の修正
ストレスレベルによる修正係数
ストレスレベル
極めて低い
熟練運転員新人運転員
×２
×２
中程度ルーチンタスク ×２
×４ダイナミックタスク
×５
×１０
極度に高いルーチンタスク ×５
×１０
ダイナミックタスク 0.25(EF=5) 0.5(EF=5)
30
従属性に関する修正

複数の作業単位実行する場合の従属性

ある作業員が３系統の冗長化されている測定系を校正する場合、
もし校正手続きを誤って理解していれば３系統とも誤校正

運転員-Aが行う操作を運転員-Bがダブルチェック
Aが上級者であればBがその誤りを発見する確率は低くなる

従属性のレベル

ゼロ、低レベル、中レベル、高レベル、完全従属

Pr(F|先行作業失敗) =1
:完全従属時
=(1+BEP)/2
:高レベル従属時
=(1+6BEP)/7
:中レベル従属時
=(1+19BEP)/20 :低レベル従属時
= BEP :ゼロ従属

誤りからの復旧（リカバリー）確率を考慮に入れた修正も必要
31
THERP手法-手順１
解析の背景、前提の確認
↓
現地調査、状況聞き取り
↓
タスク分析
↓
HRAイベントツリー作成
↓
標準的エラー確率評価
（データテーブル参照）
↓

32
THERP手法-手順２

ＰＳＦの影響考慮、基本エラー確率評価
↓

従属性の影響評価
↓

タスク全体の成功／失敗確率評価
↓

リカバリー効果の補正
↓

結果の要約、知見の文書化
33
休み
ここでひと休み
34
人間信頼性解析の展望
現状の問題点
•異なる手法間で結果の一致がよくない:解析者の主観が入りがち
•定性的な人間行動のモデル化が不十分
•人間の認知的内部機構をあまり考慮していない
（行動主義では多様な状況に対する基本エラー確率データ
ベースが膨大になり、用意するのが難しい）
•どんな状況にも適用できる完全な手法はまだ確立されていない
•新たな方法の研究
•人間の認知行動をモデル化した「ヒューマンモデル」
•環境（含機械）シミュレーション
•人間の認知行動シミュレーション
•人間機械系統合型シミュレーション
35
第１世代人間信頼性評価手法（HRA１）への批判
（歴史）
•データが不十分・不適切との認識
（THERP, SLIM, Expert Elicitationなど）
•異常事故の「実態を捉えているとは思えない」との認識
（THERP, HCRなど）
•Dougherty, E.M., "Human reliability analysis - where
shouldst thou turn?" (1990)
•Kantowitz, B.H., et al., "dilemma"(1990)
36
実態に関する理解の進展（事例分析から）
•実事象と想定シナリオは乖離している
•小さな事象の連鎖が困難な状況を招いている
潜在故障の影響
それ自体は当然と思えるシステム動作／運転対応の影響
•EOC（コミッションエラー）が重要
•管理組織要因の影響が大きい
37
実態に関する理解の進展（関連分野から）
•状況との動的インタラクションをとおして醸成される
「コンテキスト＝文脈」に支配される傾向
•プロアクティブな傾向（積極性・先行学習の影響）
•管理組織要因の影響を受ける傾向
•上記の傾向は「不確かな状況」「動的に変化する状況」
「予期せぬ状況」「情報不全な状況」でより表出しやすい
•「エラー心理学」「状況認知」「Naturalistic Decision
Making」「分散認知」「エスノメソドロジー」
38
HRA1への批判（THERPの場合）
•マンの内的メカニズムのモデル化が欠如
•タスク構造主体の見方
•文脈性に欠如したパフォーマンス影響因子の扱い
影響因子
影響因子
影響因子
タスク
タスク
タスク
運転要領書
39
HRA2：
動的性格・影響因子間の相互依存性・大局的影響…
判断
環境因子等
システム
マン
タスク
タスク
タスク
行為
行為
行為
規則・知識・経験
ポリシー・その他
文脈
40
代表的な第2世代人間信頼性評価
（HRA2）
•文脈に着目した例（グループ１）
•CREAM（Hollnagel）
•文脈に着目した例（グループ２）
•ATHEANA（米国NRC）
•MERMOS（フランスEDF）
•文脈に着目した例（グループ３：動的シミュレーション）
•ADS-IDS（Mosleh）ほか >> 「第３世代？」
•新たな評価対象領域に着目した例
•SAMARA（Pyy）
41
第2世代人間信頼性評価（HRA2）
[NUREG/CR-1624, 2000]
•ATHEANA(A Technique for Human Event Analysis)
人間はある特定の状況においては一意の行動をするはずであり、
対応時のエラーの誤差幅が大きいのではなく、
エラーに導く状況の多様性が大きい
人間行動が情況に支配されるとすれば、
分析対象は人にエラーを強要する情況であり、
エラー率はエラー強制情況（EFC）の発生確率
エラー率 HEP = P（エラー｜情況）･P（情況）
右辺第１因子の条件付き確率は、ある特定の情況でエラーを起こす確率
人の認知特性で決まるが、EFCではこの確率が1に近いと考えられる
HEPはほとんどEFCの生起確率である第２因子に左右され，
HEPの評価はこの確率の評価を行うことと同じ
42
第2世代人間信頼性評価（HRA2）
CREAM
(Cognitive Reliability & Error Analysis Method)
大局的影響因子と相互依存性を考慮する
「制御モード」により信頼性が定まるとする
影響因子状態評価
影響因子相互依存性評価
制御モード決定
- strategic
- tactical
- opportunistic
- scrambled
信頼性
43
まとめ
ヒューマンエラーの発生機構の分析が重要
確率論的リスク評価＝イベントツリー／フォールトツリー法
方法論としての課題は多い
故障データの扱いや定量評価法の確立
人間信頼性評価HRAの方法論の確立
第一世代HRA ：人間をシステムの一部と見なす
第二世代HRA ：人間は状況に依存して正しい対応
44
参考文献

氏田博士他２：原子力システムにおける信頼性技術、情報処理
Vol.28. No.9, 1987.
塩見弘：人間信頼性工学入門、日科技連、1996.
藤田祐志：第２世代人間信頼性評価手法の動向、原子力学会「HMS
部会｣総合講演、1999.
氏田博士：ヒューマンエラーと安全設計、特集「品質危機とヒューマ
ンファクタ∼未然防止の基本と実際∼」、品質管理誌、2001.
古田一雄：安全におけるヒューマンファクタの意味、原子力シンポジ
ウム、2001.
氏田博士,藤田祐志,古田一雄：連載講座ヒューマンファクター、第
４回システム設計の原則、原子力学会誌、2003.
Reason, J: Managing the Risks of Organizational Accidents,
Ashgate, 1997.
http://www.kitamura.qse.tohoku.ac.jp/~m.takahashi/human/
human6.files/frame.htm
http://hydro.energy.kyotou.ac.jp/Lab/staff/shimoda/lecture2000/
45
演習＆レポート

ヒューマンモデリングに必須の、
問題意識、概念、思想、視点、体系、方法論、
等のキーワードを、
優先順位をつけて、
ちょうど３種類、
リストアップし、
それぞれについて数行程度の説明を加える

反論、注釈、感想、疑問、追加、提言、等は大歓迎

6回分をまとめて、ちょうど２０種類を整理

46
おわり
47
SLIM-MAUD

複数の専門家の判断を統合し、エラー確率をより適切に評価
SLIM:Success Likelihood Index Methodology
人間の実行するタスクの成功/失敗は、個々のタスクに影
響を与えるPSF−具体的には作業環境、教育環境、設備、
タスクの複雑さ、ストレス、組織の適切さ−に依存して規
定できる
MAUD:Multi-Attribute Utility Decomposition
多属性効用分解：複雑な属性を考慮に入れることが必要な
意志決定問題の解決支援のための方法
SLIM-MAUD方法論ではSLIMの実施を支援する方法
48
SLIM-MAUDによる
着目タスクの成功/失敗確率の評価１

S1：タスクに影響するPSFの選定
タスク実行の各段階におけるエラーモードの列挙
エラーに支配的に影響を及ぼすPSF選択
S2：各PSFの相対的重要度の評価
PSFの相対評価
もっとも影響度が大きいPSFを100として残りのPSFを評価最後に合計が１になるように規格化
S3：タスク現場のPSF評価
S2で対象にした全てのPSFに関して、作業現場での実際の状況
を評価してその良さを数量化
49
SLIM-MAUDによる
着目タスクの成功/失敗確率の評価２

S4：成功可能性指標SLIの計算
それぞれのPSFに関してS2で評価された重要度とS3で評
価された重要度、およびS3で評価された良さの評点の積
を計算
全てのPSFについて総和をとる
S5：SLIから成功/失敗確率への変換
log(Ps)=a SLI + b
(Ps:タスク成功確率)
50

Download Report