異常の収束
- 異常が発生してしまうことは防ぎようがない
- 発生した異常は検知と対処によって収束させることができる
検知
- 異常の発生を常に監視し、異常発生時にはいち早く「対処」をトリガーすること
- この段階で異常の詳細な要因を知っておく必要はなく、何より対処の開始を優先する
対処
行動の分類
- 対処においては、1つ以上の行動を行う必要がある
- 行動は以下のように階層的に分類できる
- 積極行動: 異常の要因を突き止め、異常を解消する行動
- 消極行動: 積極行動以外の、異常による損害を防ぐ行動
観点毎の最適な対処
- 仕事量の少なさ
- 被害の少なさ
- 最も早く完遂できる行動が積極行動の場合: その積極行動を実施する
- 最も早く完遂できる行動が消極行動の場合: その消極行動を実施したのち、積極行動を実施する
- 仕事量の少なさと被害の少なさはトレードオフ
- ケース別に2案の折衷案としてベストな対処
- ただし最も早く完遂できる行動が積極行動であった場合のみ、その積極行動が、仕事量も被害も少なく抑える選択肢となる
事例
- 踏切が故障して遮断機が下りなくなった
- 人命を最優先すべきであるため、被害の少なさを優先するべきである
- 対処例: センサの途絶を検知したら、消極行動「踏切の遮断機を常に下ろす」の後、積極行動「人間による修理」を行う
- 踏切に検知の能力は十分に備わっていたのか?
- センサは、「電車がいない」ことを定期的に本体へ通知するのがフェールセーフ的に正しい
- センサが壊れて通知が途絶すれば、踏切は「電車がいる」と判断して遮断機を下せる
関連
- 自由権
- 積極行動/消極行動のネーミングの由来は、消極目的規制/積極目的規制から
- わからないを放置・後回しにしない
- ブラックボックスなシステムを放置すれば、本来検知するべきだが検知の仕組みが整っていない異常の可能性を残す可能性がある
- 不確実性は減らした上で制御するべき
- 異常の修正における検知と対処は、「不確実性の制御」に値する
- 不確実性を減らすことは別で必要
- やりすぎは良くない
- 検知に注力しすぎると、プロダクトの本質に割くべき時間まで奪われてしまうので、ちょうど良い塩梅を見つける必要がある