講義ノート7(PDF:340KB)

東大システム創成学科
平成16年度 前期
ヒューマンモデリング
VII 人間信頼性:
•
•
•
はじめに
ヒューマンエラーの分類と発現メカニズム
エラー率を予測するための代表的手法
(財)エネルギー総合工学研究所
㈱日立製作所 氏田 博士
1
ヒューマンモデリングの
目標と期待される効用
„
人間の理解
„
安全性の向上
社会・環境への対応
経済性の向上
従事者の福祉の向上
„
„
„
„
„
„
„
人に優しいシステム
人間と機械の協調
人間と人間の協調
社会技術システムの確立
2
安全学と環境学と人間学
安全学
すべての科学技術は人間が作り出したものである
安全を守るのも人間である
環境学
環境を守るのも人間である
自然の脅威も人間の取り組むかにかかっている
人間学
安全学も環境学も、結局人間の対応如何である
人間を客観的存在として捉え、
より良い人間/機械/環境系を実現
3
人間学の位置付け
産業科学
使命領域工学
原子力/
工業化学
航空/
宇宙
生存基盤科学
環境学
環境学
など
安全学
安全学
鉄道/
交通
人間学
人間学
産業科学
方法型領域工学
電気工学
機械工学
天文学
物理学
自律科学
化学
など
情報技術学
制御工学
システム工学
など
など
4
ヒューマンエラーの分類
分類: ヒューマンエラー解析の基礎
(1)影響による分類
•ヒューマンエラーの結果として生じる影響によって分類
•運営組織の管理・社会的責任・ヒューマンエラー対策の優先
順位付けに有効
•結果論に基づくものであり、工学的立場からはあまり有効で
ない
(2)原因による分類
•ヒューマンエラーが発生する原因によって分類
(3)表面的形態による分類
•人間が取った行動によりヒューマンエラーを分類
(4)発生機構による分類
•人間の認知過程のどこで発生したのかにより分類
5
「ハインリッヒ(Heinrich, H.W.)の法則」
労働災害の分野
オストリッチファッション
(ダチョウは襲われると砂に
頭を埋めて、見えなければ何
も起こらないと思い込んでし
まう)
に陥ることなく、故障やエラ
ーに学ぶ姿勢を身につけるこ
とが、安全性向上のために、
より良い設計のために必要
1件の死亡(重大)災害
29件の休業(軽微な)災害
300件の不休災害(ヒヤリハット)
6
発生機構による分類
ReasonのGeneric-Error Modeling System (GEMS)
RasmussenのSRKモデル
目 標
知識ベース
行 動
シンボル
同 定
タスク決定
計 画
再 認
状態とタスクの
連 合
蓄積された
タスク用の
ルール
ルールベース
行 動
サイン
スキルベース
行 動
サイン
特徴形成
感覚入力
自動化された
感覚運動パターン
シグナル
行 為
7
発生機構による分類 GEMS
•スリップ、ラプス
•行為の意図は正しいが、実行段階で意図と異なる行為を実行
してしまうエラー
•スリップは、実行時の注意がおろそか
•ラプスは、実行時に用いる記憶の誤りに起因
•ルールベースのミステイク
•ルールベースのレベルで判断を誤り、誤った意図の下に行動
してしまうエラー
•「正しいルールの誤った適用」と「誤ったルールの適用」
•知識ベースのミステイク
•知識ベースのレベルで判断を誤り、誤った意図の下に行動し
てしまうエラー
•様々な種類の誤りが在りえる
8
不安全行為の分類(Reason, Jを改変)
不安全行為(作業実施者)
意図した行為
意図しない行為
(スキルベース)
バイオレーション(違反)
スリップ
(不適切な
注意)
ラプス
(不適切な
記憶)
ミス
テイク
(誤り)
{過失}
(自発的
違反)
基本的エラータイプ{過失}
*{未必の故意}
*{故意}
規則の誤用
(規則ベース)
規則逸脱
様々な考え違い
(知識ベース)
日常的違反
誤規則
遵守
{未必の
故意}
(消極的
違反)
規則無視
{故意}
(積極的
違反)
合理化違反
9
組織過誤の分類 − 個人の作業における誤りに対し、
組織過誤では管理者の問題を議論
− 違法性認識と責任/権限の有無によって判断できる
− 権限があれば、過誤の分類に対応する
− 違法性認識は、予見性の評価と考察が重要
− モラルハザードは組織過誤の蔓延の結果生じる − 悪意のあるサボタージュは議論の範囲外
組織過誤(管理者)
能力・
経験不足
{過失}
注意力不足
・看過
{過失}
努力不足・
無責任
{過失}
怠慢・放置
(不作為)
{未必の故意}
意図的違反
(隠蔽)
{故意}
10
コミュニケーションエラーの分類
− 組織過誤を、人間関係の調和がくずれる、
あるいはコミュニケーションの不足として捉え、
分析することもできる
− 上/横/下/外の方向性で分類
コミュニケーションエラー
(作業実施者/管理者)
指示・
命令不足
{下}
連絡不足
報告不足
確認不足
公開不足
{横}
{上}
{上/横/下}
{外}
11
リスク論の方法
„
(成功パス法−宇宙開発)
„
PRA(確率論的リスク解析)
…
ET/FT法(イベントツリー/フォールトツリー法)
HRA(人間信頼性解析)
… CMF(共通原因故障)解析
… ソフトウエア信頼性
… 外的事象評価
…
QRA(定量的リスク解析)
:HSE(Health & Safety Executive)
:ISO(International Standard Organizations)
„
„
„
FMEA(Failure Mode & Effect Analysis)
HAZOP(Hazardous Operability Study)
12
リスクアナリシス
−事故のシーケンスを考える
危 険
即発的エラー
による穴
潜在的原因
による穴
事 故
安全防護障壁(安全機能)
13
イベントツリー(ET)の作成と評価
起因事象 安全機能1 安全機能2 影響 頻度 リスク
成功
影響小
成功
失敗
影響中
10−5 リスク小
影響大
10−6 リスク中
失敗
14
フォールトツリー(FT)の作成と評価
安全機能S喪失
S=A*B
=A*B1+A*B2
安全機能A喪失
P(A+B+C)
=P(A)+P(B)+P(C)
-P(AB)-P(BC)-P(CA)
+P(ABC)
ANDゲート
安全機能B喪失
ORゲート
安全機能B1喪失
安全機能B2喪失
P(ABC) =P(A)P(B)P(C)
15
リスク解析
起因事象の選定
„
„
イベントツリー・フォールトツリー
ET/FT法
発生頻度の評価
イベントツリーの作成
事故シーケンスの定量化
プラント安全機能の
作動成功基準の検討
プラント安全機能の
フォールトツリーの作成
ミニマルカットセットの算出
アンアベイラビリティ評価
点推定値
感度解析
推定値の不確実さ
起因事象発生頻度
ヒューマンエラー
従属故障
機器故障率データ
16
休み
ここでひと休み
17
システム信頼性解析
対象システムは完全自動化ではない
„異常時は運転員の適切な介入を期待
„機器が正常に動作する確率
+
„人間が行う異常対応が適切に遂行される確率
„
ETを構成するヘディング事象あるいはFTを構成
する要因事象のいくつかが、人間の行う作業の失
敗(ヒューマンエラー)に対応
„
„
人間信頼性解析 (HRA)
18
人間信頼性解析
(HRA : Human Reliability Analysis )
ある状況において人間が取るべき行動から逸脱する確率を評価
•緊急時に期待される対応(主にETの分岐)−時間に強く依存
•OAT(Operator Action Tree)
•TRC (Time Reliability Correlation)
•HCR(Human Cognitive Reliability correlation)
•通常時の操作(主にFTの一部) −操作ステップの組み合わせ
•THERP(Technique for Human Error Rate Prediction)
•SLIM-MAUD(Success Likelihood Index Methodology
- Multi-Attribute Utility Decomposition)
•INTENT(Human Error Rate Assessment of
Intention-based Error)
19
操作イベントツリーの作成−緊急時対応操作
S-O-Rモデル−OAT(Operator Action Tree)
−TRCカーブ、HCR
対応要求 診断 操作 影響 確率
成功
無
成功
失敗
有
10−5
有
10−6
失敗
20
診断エラー確率
−緊急度(事故からの経過時間) −TRCカーブ
診断余裕時間(分)
ヒューマンエラー率
(HEP)
<2
1.0
2<= <5
0.5
5<= <10
0.2
10<= <20
0.1
20<= <30
0.01
30<= <40
0.001
40<= <50
0.004
50<= <60
0.002
60分以上
0.0001
21
操作エラー確率
操作内容、場所
操作に要する時間
(分)
ヒューマンエラー率
(HEP)
単純、制御室内
5
0.0001
複雑、制御室内
10
0.001
単純、現場
20
0.005
複雑、現場
30分以上
0.01
22
達成基準の評価
情報処理活動
情報処理活動の
結 果 得 られ る
知識状態
知識ベースの分析
曖昧さ
最 終
目 標
知識ベースの計画
意思決定の
梯子モデル
現 タ ス ク ,安 全 性 ,
効率などに対する
影響の解釈
システ
ム状態
目 標
状 態
システムの
現在の状態の同定
タスクの 定 義
システム状態の
適切な変更の選択
一連の
観 測
タスク
情 報 や デー タの
観 測
手順の定式化
行為系列の計画
警 戒
手 順
活性化
情報処理の
必要性の検出
ル ー ル ベ ー ス の シ ョ ー トカ ッ ト
実 行
操 作 の23
統合
氏田の
運転員モデル
ゴール評価
•緊急時対応の
認知実験
•プロトコル分析
•認知タスクの同定
•認知タスクの定量化
解釈
.2<=
同定
15<=
<.4=
タスク決定
<40
観察
検知
<5
手順決定
操作
確認(失敗)
確認(成功)
50<=
24
モデルによるTRCの評価
99
累積応答率 (%)
90
事象シナリオ
シミュレ−ション
認知実験
A
B
C
80
70
60
50
40
30
20
10
1 10
0
1000
応答時間 (s)
25
THERP手法概要−定型的作業
[NUREG/CR-1278, 1983]
米国Sandia研究所 A.D.Swainらが開発
„元来は軍用機器やシステムの設計、運用における人間信頼性の
評価を目的
„解析対象となる運転員もしくは操作者が一連の作業(タスク)
を遂行する際に持ち込む可能性のある過誤を、タスクシークエ
ンス分解に基づいて系統的に識別
„分解されたタスクシークエンスを各段階における成功/失敗を
バイナリなイベントツリーでモデル化
„個別のタスク遂行の失敗確率を、Swainの経験に基づいて作成
したデータ表を利用して評価可能
„行動全体の失敗確率は、それを構成する要素的タスクのエラー
率を統合することによって評価
„
26
HRA-Event Tree
成功側
失敗側
現実的な意味を持た
ない枝を刈り込む
刈り込み:Pruning
27
エラー確率(HEP)評価
標準HEP(nominal-HEP)
↓ <PSFによる修正>
基本HEP(basic-HEP:BHEP)
↓ <従属性に関する補正>
HEP
28
THERP- PSF
29
PSFに関する修正
具体的指針に基づき修正
例:照明が暗い場合には計器読みとりの失敗確率の標準値の修正
ストレスレベルによる修正係数
ストレスレベル
極めて低い
熟練運転員 新人運転員
×2
×2
中程度 ルーチンタスク ×2
×4 ダイナミックタスク
×5
×10
極度に高い ルーチンタスク ×5
×10
ダイナミックタスク 0.25(EF=5) 0.5(EF=5)
30
従属性に関する修正
„
複数の作業単位実行する場合の従属性
„
ある作業員が3系統の冗長化されている測定系を校正する場合、
もし校正手続きを誤って理解していれば3系統とも誤校正
„
運転員-Aが行う操作を運転員-Bがダブルチェック
Aが上級者であればBがその誤りを発見する確率は低くなる
„
従属性のレベル
„
ゼロ、低レベル、中レベル、高レベル、完全従属
„
Pr(F|先行作業失敗) =1
:完全従属時
=(1+BEP)/2
:高レベル従属時
=(1+6BEP)/7
:中レベル従属時
=(1+19BEP)/20 :低レベル従属時
= BEP :ゼロ従属
„
誤りからの復旧(リカバリー)確率を考慮に入れた修正も必要
31
THERP手法-手順1
解析の背景、前提の確認
↓
„現地調査、状況聞き取り
↓
„タスク分析
↓
„HRAイベントツリー作成
↓
„標準的エラー確率評価
(データテーブル参照)
↓
„
32
THERP手法-手順2
„
PSFの影響考慮、基本エラー確率評価
↓
„
従属性の影響評価
↓
„
タスク全体の成功/失敗確率評価
↓
„
リカバリー効果の補正
↓
„
結果の要約、知見の文書化
33
休み
ここでひと休み
34
人間信頼性解析の展望
現状の問題点
•異なる手法間で結果の一致がよくない:解析者の主観が入りがち
•定性的な人間行動のモデル化が不十分
•人間の認知的内部機構をあまり考慮していない
(行動主義では多様な状況に対する基本エラー確率データ
ベースが膨大になり、用意するのが難しい)
•どんな状況にも適用できる完全な手法はまだ確立されていない
•新たな方法の研究
•人間の認知行動をモデル化した「ヒューマンモデル」
•環境(含機械)シミュレーション
•人間の認知行動シミュレーション
•人間機械系統合型シミュレーション
35
第1世代人間信頼性評価手法(HRA1)への批判
(歴史)
•データが不十分・不適切との認識
(THERP, SLIM, Expert Elicitationなど)
•異常事故の「実態を捉えているとは思えない」との認識
(THERP, HCRなど)
•Dougherty, E.M., "Human reliability analysis - where
shouldst thou turn?" (1990)
•Kantowitz, B.H., et al., "dilemma"(1990)
36
実態に関する理解の進展(事例分析から)
•実事象と想定シナリオは乖離している
•小さな事象の連鎖が困難な状況を招いている
潜在故障の影響
それ自体は当然と思えるシステム動作/運転対応の影響
•EOC(コミッションエラー)が重要
•管理組織要因の影響が大きい
37
実態に関する理解の進展(関連分野から)
•状況との動的インタラクションをとおして醸成される
「コンテキスト=文脈」に支配される傾向
•プロアクティブな傾向(積極性・先行学習の影響)
•管理組織要因の影響を受ける傾向
•上記の傾向は「不確かな状況」「動的に変化する状況」
「予期せぬ状況」「情報不全な状況」でより表出しやすい
•「エラー心理学」「状況認知」「Naturalistic Decision
Making」「分散認知」「エスノメソドロジー」
38
HRA1への批判(THERPの場合)
•マンの内的メカニズムのモデル化が欠如
•タスク構造主体の見方
•文脈性に欠如したパフォーマンス影響因子の扱い
影響因子
影響因子
影響因子
タスク
タスク
タスク
運転要領書
39
HRA2:
動的性格・影響因子間の相互依存性・大局的影響…
判断
環境因子等
システム
マン
タスク
タスク
タスク
行為
行為
行為
規則・知識・経験
ポリシー・その他
文 脈
40
代表的な第2世代人間信頼性評価
(HRA2)
•文脈に着目した例(グループ1)
•CREAM(Hollnagel)
•文脈に着目した例(グループ2)
•ATHEANA(米国NRC)
•MERMOS(フランスEDF)
•文脈に着目した例(グループ3:動的シミュレーション)
•ADS-IDS(Mosleh)ほか >> 「第3世代?」
•新たな評価対象領域に着目した例
•SAMARA(Pyy)
41
第2世代人間信頼性評価(HRA2)
[NUREG/CR-1624, 2000]
•ATHEANA(A Technique for Human Event Analysis)
人間はある特定の状況においては一意の行動をするはずであり、
対応時のエラーの誤差幅が大きいのではなく、
エラーに導く状況の多様性が大きい
人間行動が情況に支配されるとすれば、
分析対象は人にエラーを強要する情況であり、
エラー率はエラー強制情況(EFC)の発生確率
エラー率 HEP = P(エラー|情況)・P(情況)
右辺第1因子の条件付き確率は、ある特定の情況でエラーを起こす確率
人の認知特性で決まるが、EFCではこの確率が1に近いと考えられる
HEPはほとんどEFCの生起確率である第2因子に左右され,
HEPの評価はこの確率の評価を行うことと同じ
42
第2世代人間信頼性評価(HRA2)
CREAM
(Cognitive Reliability & Error Analysis Method)
大局的影響因子と相互依存性を考慮する
「制御モード」により信頼性が定まるとする
影響因子状態評価
影響因子相互依存性評価
制御モード決定
- strategic
- tactical
- opportunistic
- scrambled
信頼性
43
まとめ
ヒューマンエラーの発生機構の分析が重要
確率論的リスク評価=イベントツリー/フォールトツリー法
方法論としての課題は多い
…故障データの扱いや定量評価法の確立
…人間信頼性評価HRAの方法論の確立
„第一世代HRA :人間をシステムの一部と見なす
„第二世代HRA :人間は状況に依存して正しい対応
44
参考文献
„
„
„
„
„
„
„
„
„
氏田博士他2:原子力システムにおける信頼性技術、情報処理
Vol.28. No.9, 1987.
塩見弘:人間信頼性工学入門、日科技連、1996.
藤田祐志:第2世代人間信頼性評価手法の動向、原子力学会「HMS
部会」総合講演、1999.
氏田博士:ヒューマンエラーと安全設計、特集「品質危機とヒューマ
ンファクタ∼未然防止の基本と実際∼」、品質管理誌、2001.
古田一雄:安全におけるヒューマンファクタの意味、原子力シンポジ
ウム、2001.
氏田博士,藤田祐志,古田一雄:連載講座 ヒューマンファクター、第
4回 システム設計の原則、原子力学会誌、2003.
Reason, J: Managing the Risks of Organizational Accidents,
Ashgate, 1997.
http://www.kitamura.qse.tohoku.ac.jp/~m.takahashi/human/
human6.files/frame.htm
http://hydro.energy.kyotou.ac.jp/Lab/staff/shimoda/lecture2000/
45
演習&レポート
„
ヒューマンモデリングに必須の、
問題意識、概念、思想、視点、体系、方法論、
等のキーワードを、
優先順位をつけて、
ちょうど3種類、
リストアップし、
それぞれについて数行程度の説明を加える
„
反論、注釈、感想、疑問、追加、提言、等は大歓迎
„
6回分をまとめて、ちょうど20種類を整理
„
„
„
„
„
„
46
おわり
47
SLIM-MAUD
„
„
„
複数の専門家の判断を統合し、エラー確率をより適切に評価
SLIM:Success Likelihood Index Methodology
„人間の実行するタスクの成功/失敗は、個々のタスクに影
響を与えるPSF−具体的には作業環境、教育環境、設備、
タスクの複雑さ、ストレス、組織の適切さ−に依存して規
定できる
MAUD:Multi-Attribute Utility Decomposition
„多属性効用分解:複雑な属性を考慮に入れることが必要な
意志決定問題の解決支援のための方法
„SLIM-MAUD方法論ではSLIMの実施を支援する方法
48
SLIM-MAUDによる
着目タスクの成功/失敗確率の評価1
„
„
„
S1:タスクに影響するPSFの選定
„タスク実行の各段階におけるエラーモードの列挙
„エラーに支配的に影響を及ぼすPSF選択
S2:各PSFの相対的重要度の評価
„PSFの相対評価
„もっとも影響度が大きいPSFを100として残りのPSFを評価 „最後に合計が1になるように規格化
S3:タスク現場のPSF評価
„S2で対象にした全てのPSFに関して、作業現場での実際の状況
を評価してその良さを数量化
49
SLIM-MAUDによる
着目タスクの成功/失敗確率の評価2
„
„
S4:成功可能性指標SLIの計算
„それぞれのPSFに関してS2で評価された重要度とS3で評
価された重要度、およびS3で評価された良さの評点の積
を計算
„全てのPSFについて総和をとる
S5:SLIから成功/失敗確率への変換
„ log(Ps)=a SLI + b
„ (Ps:タスク成功確率)
50