異常の修正
- 異常が発生してしまうことは防ぎようがない
- 発生した異常は検知と対処によって修正することができる
検知
- 異常の発生を常に監視し、異常発生時にはいち早く「対処」をトリガーすること
- この段階で異常の詳細な要因を知っておく必要はなく、何より対処の開始を優先する
対処
行動の分類
- 対処においては、1つ以上の行動を行う必要がある
- 行動は以下のように階層的に分類できる
- 積極行動: 異常の要因を突き止め、異常を解消する行動
- 消極行動: 積極行動以外の、異常による損害を防ぐ行動
観点毎の最適な対処
- 仕事量の少なさ
- 被害の少なさ
- 最も早く完遂できる行動が積極行動の場合: その積極行動を実施する
- 最も早く完遂できる行動が消極行動の場合: その消極行動を実施したのち、積極行動を実施する
- 仕事量の少なさと被害の少なさはトレードオフ
- ケース別に2案の折衷案としてベストな対処
- ただし最も早く完遂できる行動が積極行動であった場合のみ、その積極行動が、仕事量も被害も少なく抑える選択肢となる
事例
- 踏切が故障して遮断機が下りなくなった
- 人命を最優先すべきであるため、被害の少なさを優先するべきである
- 対処例: センサの途絶を検知したら、消極行動「踏切の遮断機を常に下ろす」の後、積極行動「人間による修理」を行う
- 踏切に検知の能力は十分に備わっていたのか?
- センサは、「電車がいない」ことを定期的に本体へ通知するのがフェールセーフ的に正しい
- センサが壊れて通知が途絶すれば、踏切は「電車がいる」と判断して遮断機を下せる
関連