<4D F736F F D B B83578B6594BB2D834A836F815B82D082C88C60202E646F63>

「続・失敗百選」

サンプルページ

この本の定価・判型などは，以下の URL からご覧いただけます．

http://www.morikita.co.jp/books/mid/066771

はじめに  i

はじめに

（といいながら，まとめ）   人の振り見て我が振り直せ  著者が前著「失敗百選」を書いてから 5 年が経った．あの頃の筆者の“失敗学”の 奥義は，「人の振り見て我が振り直せ」であった．すなわち，「過去の他人の失敗事例 を勉強しておけば，将来の自分の失敗を予見できる」と断言した．とくに筆者にとっ て，「失敗百選」記載の 41 個の失敗シナリオ群は，漏れなくダブりなく失敗の真髄 を記した“黄金の鍵”であった．このシナリオ群は必要にして最少の組み合わせであ り，これらを勉強することで，もっとも効率的に失敗が予見できるようになる．Ⅰ章 の表Ⅰ.1 で後述するが，確かに，このシナリオ群の中に，機械のエンジニア 90 人が 感じているリスク 203 個のうち，80％が含まれていた．100％の純金でないかもしれ ないが，“18 金”くらいの価値はある．  だまされたと思って前著を読んで欲しい．読んだ後に現場を見ると，「アレッ，前 のあの事故と似ている！」とリスクに気づくようになる．つまり，“失敗コンサルタ ント”に変身している．   アレッ，前のあの事故と似ている！─暖房機とロケット─  2009 年 10 月 13 日に，筆者はパナソニック（株）の製品安全統括センターを見学さ せていただいた．最近は多くの企業が失敗事例を展示しており，ここも社員専用であ るが，展示は秀逸である．見るだけで設計知識を奥深く勉強できる．筆者もここで実 物を見てやっとリコールの内容が理解できたという事例が多い（その結果，本書では パナソニックの事例が多くなってしまったが，これは現在のこの会社の高信頼性の証 拠でもある．他社のリコール情報は本当に素っ気なかった）．そこで，一酸化炭素中 毒事故を起こした石油暖房機（本書の 19.1 項）の実物も見学させていただいた．こ の装置は発売後 20 年経って事故を起こしたが，じつは“名機”であった．中身を見 ると，部品がコンパクトに配置されており，室内においても邪魔にならず，耐久性が あって壊れず，永く愛用されていた．  しかし，空気の吸気用配管のゴムホースに亀裂が入った．図 A.1（a）に示すように， 配管が装置の下部で Z 字形に曲がっていたからである．組立者がたまたま燃焼器の 口にねじって取り付けて，Z 字形の曲がり部分に残留応力が生じた．そして，最終的

ii  はじめに にそこから亀裂が生じて，一酸化炭素が逆流して漏れて，中毒事故に至った．  そこで思い出した．そういえば，種子島の見学センターで見た H2 ロケットの LE7 も，配管が図 A.1（b）に示すようにクルッと折り返すように曲げられていた．あれと 似ている．1999 年の 8 号機の打ち上げ時に，流れてきた液体水素が直角に曲がった エルボの中でキャビテーション（蒸発して泡を発生）を起こした．その泡は，消滅時 に衝撃波を発生させ，最後はポンプの翼を疲労破壊させた（前著の事象 11.1）． LE7 は，アメリカ合衆国のタイタン 5 型を参考にしながらも，ノズルまでの距離を小さく してノズルの噴射方向を制御しやすいように，配管をクルッと回してコンパクトに設 計された“名機”であった．しかし，流体を急角度で曲げると圧力の低い場所が生じ て，キャビテーションを起こしやすい．その後，お台場の科学未来館で改良機 LE7A も見学したが，これはタイタン 5 型と同じように，配管は真っすぐに設計し直されて いた．  両者とも，特長のコンパクト構造が配管に無理を強いた．一般に，機械の配管は， 図面上では装置間を直線で結んで指示する．だから，図面だけでは実機上のパイプの 引き回しはわからない．筆者も，石油暖房機の見学前に配管を直線で描いた簡略図を 見ていたのだが，実物を見て初めて，なぜ亀裂が生じたのかがわかった．  21 世紀になると 3 次元 CAD （コンピュータ支援の設計図面作成ソフト）が現場に 急速に浸透して，実体配線（または配管）図が簡単に描けるようになった．だから， このような配線・配管の引き回し問題も“今は昔”の失敗になりつつある．つまり， 昔のように現物を目の前にして配線・配管を引き回すものではなく，図面の段階で バーチャルに経路を決めるものになった．技術の勝利である． 図 A.1 石油暖房機の配管と H2 ロケットの配管

はじめに  iii   アレッ，前のあの事故と似ている！─事務棟と歌舞伎町─  もう一つの例を挙げておこう．2009 年 11 月 9 日に，筆者は大学本部事務棟の地震 訓練の計画案を聞いた．この事務棟の非常階段の 1 階出入り口は，建物の外に配置さ れている．その半年前，筆者はエレベータが混むので階段で下りたが，最後は外に出 られなかった．もちろん，内側からドアノブのキーを回せば開錠できるが，そのノブ の上には図 A.2（a）に示すように，『非常時以外は開けるな』と書いた大きな紙が貼ら れて“封印”されていた．外から不審者が入ってこないように，常時施錠されていた のである．年に 1 度の訓練時だけ，封印を解くのであろうが，本番の地震時に，日本 語の読めない留学生は逃げられるのだろうか．  そういえば，歌舞伎町雑居ビルの火災（前著の事象 21.6）のときも，図 A.2（b）に 示すように，避難用の窓のすべてが不燃物で覆われているか施錠されており，28 名 が逃げられなかった．こうして比べると，他人事ではないことがわかる．40 年前か らつい最近まで，工学部の建物も不審者が入ると困るといって，非常ベルの押しボタ ンのカバーと同じように，非常口のドアのノブをアクリル製のカバーで常時，覆って 図 A.2 本部事務棟のドアノブと歌舞伎町雑居ビルの窓

iv  はじめに いた．中にはいたずらで壊されないようにガッチリ作られたものもあり，女性では容 易に割ることはできなかった．4 年前にそれらを撤去して，ホテルのドアのように外 からはオートロック，でも内からは常時開のノブに変えた．  非常ドアから避難経路を連想して見回すと，怪しい“開かずの窓”がアチコチに見 つかった．たとえば，レーザの実験室や電子顕微鏡の観察室は，暗くしないと光線や 画像が見えないといい訳して，すべての窓にベニヤ板を打ち付けていた．もちろん， これも撤去して，厚い暗幕に変えた．皆が知っている歌舞伎町の火災を例に挙げて， 「これは危険だから変更しようョ」と提案すると，大抵の人は惨事を思い出して同意 してくれた．過去の失敗事例も，こうすれば効果的に再利用できる．   火消しより火の用心  前著を出してから半年後のことであるが，筆者は東京大学工学系等安全衛生管理室 （略して安全管理室）の室長に任命された．松本洋一郎・前研究科長（いまや副学長 に出世した大先生）から，「君の失敗事例集にも新しいのが欲しいでしょう」と誘わ れて気楽に引き受けた（が，決して気楽な仕事ではなかった）．このポジションは， 工場でいえば設備部の安全担当室長というレベルで，偉くもないし，手当も付かない． しかし，工学部の隅々までパトロールで回るので，無機質の灰色のビルまで“我が職 場”としての愛着が湧いてくる．普通，教授はこんなに構内の隅々まで“探検”はし ない．工学系研究科は合わせると面積で 20 万坪，述べ床面積で 6 万坪と広大であり， 人数も職員と学生と合わせて 6000 人だから，ちょっとした大工場に匹敵する．  しかし，この工場が悲しいほどにボロだった．とにかく，民間企業の同規模の工場 に比べれば，設備も人間も，安全のレベルがあまりにお粗末だった．明治以来，国立 大学として，人事院以外の誰からも文句を付けられずに，ひたすらに好きな研究だけ に注力してきたからであろう．研究第一，安全第二，と非難されてもいい返せなかっ た．  しかも，もっと残念なことに，前述の必ず役に立つはずの筆者自慢の失敗シナリオ 群が，ほとんど役に立たなかった．それは，室長になってすぐにわかった．疲労破壊 とか応力腐食割れというような，技術論文が書けるような美しい学術的失敗が起きな いのである．それよりは，階段転倒とか吸殻発火のような，日常生活でも起き得る ヒューマンエラーが頻発した（図Ⅱ.6 で詳説）．「失敗百選」で書いた高尚な工学的 知識の出る幕がない．  また，安全教育しても容易には変身できない，これまでの慣習から抜け出せない中 高年の教職員が休業災害を起こすことが多かった．たとえば，「階段で手すりを使え」 と指示しても，人間は急に変われないから無視してまた落ちる．一方，学生は実験中

はじめに  v に事故を起こすが，起こしたところで反射神経抜群なのか，巧みに逃げて大事に至ら なかった．実際，この 4 年間で起きた， “生きるか死ぬか”の重大事故の原因は，「泥酔， バイク，うつ」の三つだけだった．泥酔者が救急車で運ばれるたびに，「これは安全 管理室の仕事ですかネェ」とボヤいたが，それこそが“仕事”であった．  でも，幸いなことに仲間がよかった．副室長の土橋律教授を始め，約 15 名の安全 管理室員や，防災センターの約 10 名の設備・警備員が，全員，生真面目だった．と くに，事故が起きたときの処置は速い．まるで消防車である．事故が起きると，まさ に昼寝から目覚めたようにシャキッとしてくる．大学は世間から見れば変な人間が多 いだけに，新しいタイプの事故が次々に生じ，つねに気が抜けない．しかし，これで は“モグラ叩き”と同じである．叩き続けるのが自分の運命であるかのように……．  そこで筆者は，2 年目から，「火消しより火の用心」を室のモットーにした．事故 が起きないように，前述の“開かずのドアや窓”のような不具合を，予算を取ってき てかたっ端から直した．その甲斐あって，実際，事故が起きた後の対処は民間企業並 みになったし（たとえば，60.1 項），事故自体も皆無ではないが，非常に少なくなった．   火の用心は大事だが，つまらない  「火消しより火の用心」こそ，失敗学の究極の奥義である．消防車が出動したらお しまいである．始末書を総長名で所轄官庁に提出しなければならないし，責任者だっ て罰せられる．そうではなく，消防車が出動する前の，地道な事前防止作業が大事で ある．つまり，あらかじめ火が起きそうな所を探索して，起きる前に直しておく．た とえば，“大学貧乏物語”になるといつも話題になる，違法建築の実験室の“中 2 階” （図 37.2 参照）も撤去した．また，実験室と学生居室が同居している部屋（図 58.3） も分離し始めた．  しかし，火の起きそうな所をココだ！と指摘するには経験がいる．失敗知識がなけ れば直観も働くはずがない．当初，いよいよ筆者のようなプロの出番になる，この指 摘は労働災害のズブの素人である学生諸君には難しいから，と一人ほくそ笑んでいた． ところが，ほとんどの学生がいとも簡単に指摘してしまった．工学部では，3 年前か らいわゆるリスクアセスメントを，事故を起こした研究室に“罰ゲーム”として課し ている．最初に表 A.1 のように，研究室ごとに 50 個くらいのリスクを列挙してもら う．だが，やってみるとほとんどの研究室がそれ相当数のリスクを列挙できた．だっ たら，なぜその研究室で事故が起きたのか……．  理由は簡単である．指摘するだけで対策しなかったのである．口先だけで手足が動 かない．防止対策を実行しないことには，現実のリスクは軽減しない．リスク低減は， リスク列挙の 10 倍のエネルギーを要するのである．たとえば，図 A.2（a）のベニヤ板

vi  はじめに 打ち付け窓を見れば，誰にでも「避難経路がふさがれている」というリスクは見つけ られる．しかし現実に，「暗幕を買ってきて，ベニヤ板を外して，カーテンレールを 付けて，暗幕を垂らす」という一連の作業は面倒なので，なかなか腰を上げてくれな い．研究の作業が前向きだとすると，安全の作業は後向きである．論文作成には直結 しないから，やる気が起きない．  さらに，研究室が貧乏だと，すぐに“ない袖は振れない”という状況に陥る．カネ がなければヒトも雇えないし，設備や建物も直せない．“事故多発地帯”の研究室に は共通点がある．つまり，つい 10 年前は研究費が潤って設備をたくさん買ったが， 今はプロジェクトが一段落してカネがない，という研究室である（最初から貧乏の研 究室は設備もないから，事故も起きない）．仕方がないから公費を投入する．幸いな ことに安全管理室は，カネに困ったことがなかった．ありがたいことに毎年 2∼3 億 円くらいの予算を，松本・保立・北森教授の歴代の研究科長が許してくれた．工学系 研究科の総予算は 220 億円（2009 年）くらいだから，防衛費の対 GNP 比と同じくら いの約 1％である．   他人の事故は，火の用心のカンフル剤  このように，「火の用心」はつまらないから，噂と同じく，事故後 75 日も経つと誰 もやらなくなる．効果がすぐに見えないのも一つの原因である．スポーツ選手はオフ シーズンに黙々と筋肉トレーニングすべきである．しかしアマチュアはすぐにサボっ て太ってしまう．それと同じである．肉体改造の成果は早くても 3 箇月後に現れるが， 事故防止の効果は数年後に現れるかどうかもわからない．そのような稀少な事故に備 えて，単調な作業を継続することは難しい．すぐにマンネリ化して飽きて眠くなる．  こういうときに効くのが失敗事例である．他人の失敗は眠気を覚ましてカツを入れ 表 A.1 リスクアセスメントをやっても事故が減らない リスク 重大度 対策 その後の 重大度  退避経路がふさがれ ている 4 ベニヤ板から暗幕に 変える予定 （1） 蛸足配線 3 天井からコンセント を垂らす 1 部屋の中が臭い 3 吸気口と排気口を離 す予定 （1） 地震で薬品が倒れる 2 薬品棚を買った 1 裸眼で化学実験 3 保護メガネを買った 1 手間がかかるので 予定が予定のまま 手間いらずの対策は すぐに実行できた

はじめに  vii る“カンフル剤”になる．たとえば，2008 年 4 月，神戸大の医学研究科で，遺伝子 組み換え細胞を実験室ではなく，廊下に置いた冷蔵庫で貯蔵したため，1 箇月間の実 験停止という速報が入った（実際はもっとずさんで，細胞を“燃えるごみ”として捨 て，容器を洗った水を下水道に流していた．遺伝子組み換え生物の拡散防止義務違反 で，教授は停職 6 箇月になった）．当然，東大のバイオの研究室すべてが，遺伝子組 み換え細胞の冷蔵庫を室内に入れた（それくらい皆がいい加減だった）．これは「人 の振り見て我が振り直せ」の隠された効果であろう．   21 世紀になったら事故が増えてきた  この 5 年間で，筆者の失敗学の対象分野は，安全管理室から多方面に拡大していっ た．旧来の機械・電気・化学・材料・土木のような工学が扱う分野から，労働災害・ ソフトウェア・民生品・商品開発・サービス・教育のような，工学周辺の分野へと波 紋のように広がっていった．そして，その周辺分野の関係者がいうのである．「21 世 紀になってから事故や事件が増えて，日本も疲弊してきた」と．本当だろうか……．  確かに，政治家は「安全・安心の社会を作ろう」と頑張っているが，その間にも事 故が次々に起きた．あたかも五右衛門が詠んだ「石川や浜の真砂は尽きるとも，世に 盗人の種は尽きまじ」のごとくである．人間が存在する限り，新しい形の事故や不祥 事が生じるのであろうか．  じつは，日本の製造業は，世紀の切れ目の 2000 年頃からその体質を変えたのであ る．事故を公表して，信頼性設計を強化してきた．ところが残念なことに，20 世紀 とは大違いであることが，社会に伝わっていない．実際，三菱自動車や不二家のよう に失敗を隠すと，マスコミに攻撃を受けて組織がガタガタになる．だからこそ，隠さ ずに真摯に事後対策するのは当たり前になった．それに加えて，熟慮して事前設計し， 信頼性を作り込むようになった．火消しプラス火の用心である．  そのことは，品質保証部長の社内での地位が強化されていることに表れている．20 世紀の品質保証部は，研究開発部が前向きの部署とすると，後向きの部署であり，顧 客や役所に謝りに行くのが仕事だった．また，品質保証部長には口うるさい物知りの オジサンが多かったが，製造や設計の技術者の“上がりのポスト”だったからそうなっ た．それが 21 世紀を迎えて大きく変化した．ちょうど，特許部が知財部に変わって 強化されたのと軌を一にする．経営者の中には，「品質保証部長が出荷しないと決め たら，会社が潰れても出荷しない」と宣言する社長まで現れてきた．自動車や民生品 のメーカーでは，リコールを品質保証部の委員会で決定するようになった．それは社 長や役員が出席する取締会ではない．  1990 年頃，筆者がアメリカのハードディスク製造会社で働いていたとき，QA

viii  はじめに （Quality Assurance，品質保証）の部門長があまりに偉いので驚いた．日本と違って， QA はエンジニアとは別の職種である．それこそ会社が倒産の一歩手間であっても， クラッシュが起きそうなリスキーなディスクは出荷させなかった．その断固たる QA 根性を世間に示せば，仮にその会社が潰れても次の会社からスカウトが来るのである． しかし，日本の品質保証部でもやっとアメリカ並みに強い人材が生まれてきた．とに かく社会へ危険を流出させない“防波堤”のような役目だから，品質保証部長はもは や上がりのポストではなく，品質担当役員や監査役まで昇進できる“出世街道の一里 塚”のポストになった．  しかし，製造業がこのように体質を強化しているにもかかわらず，一般の国民は 21世紀になってから，やたらに事故が増えてきたと感じている．マスコミは，製造 業の技術が低下したとか，製造業のモラルが崩壊したと報道しているが，実情はその 逆である．どうして増えたと感じるのだろうか．  じつは，その犯人は，製造業ではなく，社会であった．すなわち，世の中が小さな ミスでも許さなくなってきたのである．その結果，失敗の公表件数は多くなった．た とえば，図 A.3 に示すように，民生品のリコール（故障を公表してメーカーが無償 で修理・回収すること）の数は，1995 年以前の 1 年に数件のレベルから増え始め， 2006 年以降は最大 180 件と，20 倍程度に達している．自動車のリコールも同じ傾向 で，1996 年以前の 1 年に 50 件程度から増え始め，（2004 年は三菱自動車の事件で急 増したが） 2005 年以降は 300 件程度と 6 倍に達している．「事故が多くなった」と世 間の感じる傾向も，このカーブに乗っている．社会の何が変わったのだろうか．  これは社会学的な話になるが，筆者の推定を次に記す．一つの原因として，会社の 陰に隠れて静かだった技術者個人が，堂々とモノ申すようになったことがあげられる． 2000 年は，早期退職優遇制度によって戦後の終身雇用体制が崩壊した頃であり，企 業は失敗を隠蔽したくとも内部告発を止める手立てを失った頃でもある．告発される くらいならば，傷の浅いうちに謝ってしまったほうがよい．また，もう一つの原因は， 当時の小泉首相がアメリカ式の“グローバル・スタンダード”なるものを輸入したこ 図 A.3 リコール数の推移

はじめに  ix とである．アメリカでは失敗を公表する honesty （正直，誠実）がエリートには不可 欠だし，失敗しても出直しに対して寛容である．つまり，この精神を見習えというお 達しである．小泉首相はマスコミをうまく利用したが，とりわけマスコミは隠すこと が大嫌いである．内部調査報告でも隠すと，不二家のように叩かれる（52.3（c）項）．  大学でもあっという間にアメリカ式の任期制雇用が当たり前になった．それなのに， アメリカ式のテニュア（35 歳くらいで与えられる終身雇用される権利）制度を輸入 しないから，教授以外の若手教員は，45 歳の准教授であっても論文を書かなければ クビになる．もはや若手教員の組織への忠誠心は失せ，教授はいつも，図のリコール 数と同じように急増するアカデミック・ハラスメントの内部告発にビクビクしている．   民生品の事故に対しても世間は敏感になった  筆者は，2009 年に民生品の事故を分析した．すると，事故が起きたら最期，10 万 台に 1 台というものすごく低い確率で発生しようが，または，30 年間と長∼い間， 使用した後に発生しようが，それらはメーカーの責任になることがわかった．たとえ ば，図 A.4 に示すように，30 年間使用された三洋電機の扇風機の事例では，「冷風を 送るために羽根を回す」という主要機能は健在であっても，その設計解のモータが「電 気によって火事を起こさない」という副次機能に「干渉」した（6.1 項，思考展開図 はⅢ章で詳説）．すなわち，羽根を回すモータが発熱するので，近接するモータ起動 用コンデンサが過熱して徐々に劣化し，絶縁不良，短絡，発火，カバー延焼，ついに は家屋炎上，焼死に至ったのである．この連鎖反応をどこかで断ち切れば，事故は防 げる．たとえば，コンデンサを，上部のモータ隣りの首振り回転部ではなく，下部の 固定座に配しておけば，モータから離れるので過熱・劣化が防げて連鎖反応は断ち切 れたのであった．また， 副次機能の設計解としてヒューズを設定しておいてもよく， そうすれば短絡しても電流が遮断されて，同様に連鎖反応は断ち切れた．しかし，設 計者も人間である．30 年後に起きる事故が，設計当初から予見できるものではない．  それに，20 世紀の社会は，多少の失敗を“目こぼし”してくれた．たとえば，上 図 A.4 扇風機が経年劣化して発火

x  はじめに 述の扇風機でも，設計者は発売後 1 年経ってからリスクを感知し，次機種からは設計 変更してヒューズを加えた．しかし，21 世紀ならばこれは，リスク感知の隠匿，な らびにリコール不実施として大罪であり，発覚したらマスコミに総攻撃されたはずで ある．たぶん，設計者は 30 年後の焼死事故までは予見できなかったが，どこから壊 れるのかわからないとしても第六感で，とりあえず安全装置のヒューズを加えたので あろう．たとえば，筆者の自宅は谷間にある．登記簿を見ると，家の前の歩道が小川 だったことがわかる．そこで前のオーナーは，来たるべき水害に備えて，隣より 50 cm も高く土盛りした．ヒューズもその程度の気持ちで加えたのであろう．  21 世紀になってから社会変革が起きた．つまり，「リスクを隠すなんてもってのほ か，積極的に公開して責任を負うのが当たり前」になったのである．会社でも大学で も，コンプライアンス（compliance，法令遵守，本来の意味は要求に従うこと）とい う言葉を聞かない日はない．   ソフトウェアの事故は複雑すぎてリスクが予知できない  また，筆者は，2008 年にソフトウェアの事故を分析した．このとき，事故原因が 何とも複雑なので驚いた．いくら設計者が天才でも，容易に予測できない．まず，日 本文化の特徴であるが，契約があいまいである（57.2 項や 57.3 項）．このソフトウェ アで「何をしたいか」という要求機能さえ列記せずに，「現在の業務をデジタル化し てくれ」という意味で「現行一致」の 4 文字で開発をスタートすると，後で民事訴訟 が起きる．また，顧客の要求機能だけでなく，“顧客の顧客”の要求機能がわからな いと事故が起きる．たとえば，東京証券取引所では，値上がり必至のライブドアの株 を買った個人投資家が，粉飾疑惑とともに皆が売りに走って，約定件数が急増してパ ンク寸前になった（56.2 項）．ユーザーの東証でさえ予測できなかった事態を，メー カーが予測できるはずがない．この複雑性こそ，新時代の失敗の特徴である．  もっとも，メーカーもユーザーも，複雑だからといって，処置なしで諦めているわ けではない．検査プログラムやマニュアルをガチガチに強化している．しかし，担当 者が当初から想定していない失敗は防げない．想定しなければ，検査項目にも上がら ないからである．あらかじめすべての失敗を仮想演習すべきであるが，この鉄則はソ フトもハードも設計という点で変わりない．しかし，ソフトのほうが複雑なので，そ の仮想演習がなかなかできない．たとえば，2009 年 10 月のある日，筆者は学務課か ら「先生の講義を講堂から他の教室に移動して欲しい」といわれた．苦しいいい訳か ら想像するに，図 A.5 のように，新設したインターネットによる教室・会議室の予 約システムがダウンしたので，再起動後にバックアップを入力したのであろう．しか し，古いデータを入力したため筆者の予約は消えて，別の予約が書き込まれたらしい．

はじめに  xi そこでダブルブッキングの予約のうち，“偉くないほうの教授”を移すことにした（の が筆者にはシャクだった）．学務課はシステムダウンをハナから想定していなかった． だから，バックアップを毎日取っていなかった．失敗は偶然でなく，必然である．   すべてのリスクに気づくべきだが，やりだしたらキリがない  想定できずにやり過ごしたという失敗は，前述したリスクアセスメントでも生じる． つまり，気づかなかったリスクは軽減できない．表 A.1 では，窓に打ちつけたベニ ヤ板のリスクに気づいたが，気づかなかったら何もしないので火事になるまでわから ない．類似事例として，液体ヘリウムを大量に使う地下実験室があった．その窓の前 に重量棚があって手が届かない．もしも，冷凍機が停電し，ヘリウムが気化して充満 したら，この部屋に入室してきた学生は一息で窒息死する．もちろん，酸素センサも 緊急排煙装置も設置されていない．窓を開けたくても手が届かない……．しかし筆者 がリスクを指摘すると，「細かいことまで挙げ始めたらキリがないッスョ」と学生に 開き直られた．  ソフトウェアの要件定義（発注範囲の内容を決める作業）では，ユーザーがやりた い“what to do”の要求機能だけでなく，ユーザーは要求していないがメーカーが準 備すべき「非機能要件」というものを決める．しかし，そのときにユーザーが長時間 会議に音を上げて，同様に「細かいことまで挙げ始めたらキリがない」とさじを投げ ることが多い．非機能要件として，情報処理推進機構の非機能要求グレード研究会に よると，図 A.6 に示すように，可用性，性能・拡張性，運用・保守性，移行性，セキュ リティ，システム環境・エコロジーの 6 分類に関して，最低でも 236 項目も挙げられ ている．そして，そのすべてを決めないと後で民事訴訟に至る可能性大である．たと 図 A.5 システムダウンを想定せずバックアップを毎日とっていなかった

xii  はじめに えば，ソフトウェアの運用スケジュールとして，24 時間 365 日連続して動かすのか， 夜間は止めるのか，朝 8 時に 5 分間だけ止めるのか，のどれかに決めないと，新しい プログラムに入れ換える方法をどうすればよいかが決まらない．  組織の中には，失敗の気づきに対して，直観の鋭い人が存在することも確かである． 現在，ソフトウェアの業界では，アメリカと同じように，直観に優れたアーキテクト （建築家の意味，プロジェクトリーダーではないけれど全体像をバランスよく構築で きる設計の天才）を育てるのに必死である．このように変数が多く，定義が不明瞭で， 境界条件も不確実な場合のバランス問題は，コンピュータでは今のところ解けない．   リスクはどれくらいまで許容されるのか  前述のように，21 世紀に入ってから，社会がリスクを許さなくなった．リスクマ ネジメントの講義では，図 A.7 のいわゆる“リスクとベネフィットの天秤”の話が 図 A.7 リスクとベネフィットの天秤 図 A.6 非機能要件まで全部決定しないとソフトウェアは作れない （情報処理推進機構の非機能要求グレード研究会資料を参考にした）

はじめに  xiii 出てくる．つまり，安全とコスト，または規律と自由，危険性と利便性を天秤にかけ て，つり合うところまでリスクまたはベネフィットが許される，というモデルである． この天秤でたとえれば，21 世紀の日本は許容リスクとして小さな錘を選んだわけで ある．その結果，ベネフィットの錘も小さくせざるを得ず，価格が安くなって誰でも 買える，という利便性は放棄した．  また，製品ごとにその天秤のバランスが異なるのも面白い（図Ⅱ.9 で詳説）．日本 では，電車が脱線して 100 名の犠牲者が出るとマスコミは大騒ぎになるが，自動車の 交通事故で毎年，5000 名の犠牲者が出ても何ら話題にならない．一回の交通事故で 亡くなる人の数が少ないからであろうか．というよりは，自動車は，免許を取れば誰 でも自由に運転できる，というベネフィットが大きいからである．その錘が大きい分， 多少，交通事故のリスクの錘が大きくなっても目をつむる，という国民の総意が存在 する．  筆者は，「失敗百選」を執筆するとき，ハードウェアの失敗事例を用いた．それも 原発や航空機，鉄道のように，利便性が激減しても絶対安全を選ぶようなインフラ分 野から採用した．日本のインフラ分野の信頼性は世界一であり，何でも安全側にすべ ての“運転梃子”を倒す．たとえば，筆者が通勤で利用している常磐線は，羽越線の 突風事故（15.1 項）以来，ちょっと風が吹いて毎秒 20 メートル以上になると減速し， 遅延するようになった．だが，乗客は誰も文句一ついわない．江戸川の鉄橋で脱線さ れたら困るからである．   多くのジャンルの失敗を調べて共通点を探る  今回，「続・失敗百選」を著すにあたって，筆者は民生品やソフトウェア，商品開 発や労働災害の分野から 108 個の失敗事例を分析した．加えて，「失敗百選」で選び そこねたハードウェアの失敗も，82 個追加した．2 冊を読むと，科学技術振興機構 （JST）の「失敗知識データベース」の検索トップ 100 をほぼカバーできる．  このようにジャンルを増やしてみると，上記のハードウェア以外の分野では，リス クよりもベネフィットのほうに天秤が傾いていることがわかった．たとえば，前述の 石油暖房機において，一酸化中毒事故が絶対に許されないのならば，設計者は一酸化 炭素濃度センサを用意し，高濃度になったら自動停止する機構を追加すればよい．技 術的にも簡単である．しかし，1 万円のセンサを加えて価格が 2 万円から 3 万円に高 くなった石油暖房機を，はたしてユーザーは選ぶだろうか．国民はもっと安価な 1 万 円の中国製電気ヒータを選ぶであろう．このように，リスクを減らすためにベネフィッ トも減らすと，商品が売れなくなることは必然であり，実際，大手メーカーは石油暖 房機から撤退した．ちょうど製造者責任法の適用がきつすぎて，軽飛行機の生産を

xiv  はじめに 1986 年に中止したセスナ社と同じである．1948 年から 10 万機以上，大量生産したが， 酔って誤操作したあげくの墜落までセスナ社の設計ミスになった．それはやりすぎと いう声もでて，1994 年に 18 年以上前に生産した機種は免責になったが，日本は依然， メーカーに無期限の責任を課している．作ったら最期，使っている限りメーカーの責 任である．  リスクとベネフィットのバランスは，ユーザーが決めることである．メーカーでも 所管官庁でもない．発売後に，安全装置を付けすぎて売れなかった事実にメーカーが 気づいても，後の祭りである．製造業の衰退という結果を避けるには，何かの方法で ユーザーとメーカーが互いに満足するバランス点を決めるしかない．また，裁判官に 例の天秤のバランスを決めてもらうのも，民主主義の世界では一つの方法である．し かし，製造者責任裁判でさえ 10 年間にわずか 100 件程度，それも事故後，数年かけ て結審するような日本では土台，無理な話である．判例が少なく遅いので，そこで決 めた許容リスクが設計にフィードバックできない．  メーカーは商品の発売前に，安全に関してユーザーの声を聞きたい．今後は，ユー ザー代表（団体代表でも有識者でもない，裁判員のような一般市民）を集めた消費者 庁が，この天秤のバランスを決めるのであろう．たとえば，ユーザー，メーカー，所 轄官庁，法曹界，マスコミ，などが円卓に着いて，天秤のバランス具合を決めるので ある．一方で，新聞は「メーカーは安全意識が欠如しているから，常識を有する法曹 界と消費者団体から選ばれた有識者で決めるべきである」と主張している．確かに日 本の工業製品は，過去には“安かろう，悪かろう”の時代もあったが，いまやそれが 許されないことくらい，新人エンジニアだってわかっている．それなのに理系は除け 者である（巻末の「おわりに」に愚痴を書きつづっておいた）．   挑戦すれば必ず失敗する。でも挑戦しなければビジネスは続かない  「“枯れた技術”を使えば，失敗しない」という法則は正しい．枯れた技術だけを， つまり，開発初期に頻出した不具合を解決し，ダウンせずに運転できた実績部品だけ を用いれば，当然のことながら事故は起きない．原発や飛行機，エレベータなどのイ ンフラ機器の中には，ここ 40 年間，まったく設計変更していないというような部品 がザラにある（たとえば，16.2 項のシンドラーのエレベータ）．多少は時代遅れになろ うが，大事故が起きないことが国民の総意であるから，変更しないほうが正解である．  一方で，ソフトウェアのシステムは“枯れた技術”を用いない．情報処理技術が日 進月歩で発達しており，旧バージョンを使っていては，処理が遅くなってビジネスで 失敗するからである．だから，設計段階では，隠された地雷が爆発するように，何度 もバグに行き当たってダウンするのは当たり前になる．ソフトウェアの業界では，

はじめに  xv 1000 個くらいのバグでも驚かない．それらを黙々と退治するのが設計である．野球 でたとえれば，9 回裏にクローザーが登場する頃になってやっと，監督は試合に勝て そうな気になる．バグは想定できなかったからバグなのである．設計当初に，チーフ デザイナーにバグの改善終了予定日時を聞いても，当然，答えられない．  同じ名前の“プロジェクトリーダー”でも，土木工事とソフトウェアシステムとで は，失敗の心構えが大きく異なる．たとえば，国道の鉄橋を作っている最中に，強度 不足が発覚したので隠れて梁を補強した，という不祥事が起きたら，それこそ「姉歯 事件」（52.1 項）のような詐欺行為として新聞沙汰になる．土木工事では，施工時の 図面を使って許認可された後は，勝手な変更は許されない．一方，ソフトウェアでは 新バージョンのパッケージを使えば，必ずどこかと干渉するので，設計中の変更は自 由自在である．プロジェクトリーダーは，要求機能群の 10％くらいまでならば変更 を許し，これくらいの変更は設計ミスとすら思っていない．   社会の動きに注目して，天秤のバランスを決めていこう  問題の分野は，上述のインフラとソフトウェアの中間の商品・サービスである．こ れが今，フラフラしていて，どこに天秤のバランスを取るべきかがメーカーにもわか らない．まさか，テレビや洗濯機に，原発並みの安全を期待して，10 箇月おきにコ ンデンサを交換しよう，という人はいないだろう．また，自動車に飛行機並みの安全 を求めて，1000 km ごとに分解検査しよう，という人もいないだろう．  自動車や民生品の分野では，ユーザーに商品の魅力を訴えるために，多少の挑戦は 許容している．日本は旧東ドイツのような社会主義国家ではないから，30 年間，設 計が変わらないような“トラバント（旧東ドイツの国民的自動車）”が売れるはずが ない．少し前に，講義でソニーのエンジニアに，厚み 13.9 mm のバイオの薄型の新 機種（VAIO-X，2009 年 10 月発売）を説明してもらった．図 A.8 で示すように，飛 行機並みにカーボン素材のボディを使って，655 グラムと感動的に軽かった（筆者は 4 月から機械工学専攻長になったので，その管理職手当を期待して購入した）．一方で， 図 A.8 薄型のバイオは挑戦の結果

xvi  はじめに ソニーの製品は“ソニータイマー”と揶揄されるように，計ったように区切りのよい ときに故障するといわれているが，これは挑戦とトレードオフした結果である（ソニー の名誉のために一言． VAIO-X を分解説明していただいたときに驚いたのだが，全部 の部品が分解でき，再び組み上がるのである．接着剤が安易に使われていない．この ように設計しないと QA が許してくれないそうである）．新技術や新デザインを，業 界初で挑戦するのであれば，多少の故障は許されよう．先進途上国向けに枯れた技術 で作った低機能製品は，中国・韓国・台湾の企業にかなわないから，日本は新しい製 品のトップランナーで行くしかない．  大学も，挑戦していいのか否か，で悩んでいることは同じである．もちろん，大学 も安全第一を唱えている．しかし，多少の挑戦を許さないと，世界初の新しい研究成 果が生まれるはずがない（58 節の「新技術への挑戦が裏目」で記述）．筆者は，学生 から「先生はなぜ，そんなにアンゼン，アンゼンとしつこいのですか」と聞かれるが， いつも「事故を起こすと，楽しい実験ができないから」と答えている．つまり，筆者 の大学の目的は世界レベルの研究であり，その手段の一つが失敗撲滅なのである（図 Ⅲ.2 で詳説）．  日本の製造業にもっとも必要なものは，ユーザーに対して魅力的な商品である．マ ンネリの商品がいつまでも支持されるはずがない．先日，筆者は 6 年ぶりに携帯電話 を買った．自分の要求機能は，通話とショートメッセージサービス（C メール）だけ なので，もっとも安価な “簡単携帯”を選んだが，ディスカウントポイントが累積し て本体はタダだった．それなのに，6 年前よりも薄くて軽くて使いやすくなっただけ でなく，カメラだけでなく，GPS もオマケで付いてきた．確かに「ガラパゴス製品（孤 島の中で特異に発展した過剰機能製品）」の極みであるが，ここまで新技術に挑戦し てきたエンジニアの勝利ともいえよう．  読者が，本書から失敗を学び，新商品の開発や，現場の操業，日常の生活などで， 次に起きそうな失敗がチラッと頭に浮かんだら，それこそ筆者の望むところである． そして，失敗の“炎”を消すように，「火の用心」を始めて欲しい．つまり，自分の 設計を変更し，センサを交換し，部屋を改造できたら大成功である．大手を振って， 次の活動に挑戦できる．  2010 年 10 月 中尾政之 

目 次  xvii

目 次

はじめに ⅰ

第 1 部 「失敗百選」のその後と，「続・失敗百選」での新たな展開

1  Ⅰ 失敗学の評価─「人の振り見て我が振り直せ」は誰にでもできるか─ 2  Ⅱ 失敗学の拡大─失敗シナリオの適用分野を広げよう─ 15  Ⅲ 失敗学の展開─自分の「火の用心」の仕事の要求機能を考えよう─ 40  Ⅳ 失敗しない設計方法─しかし，要求機能が干渉し，設計は複雑になる─ 46

第 2 部 失敗事例を学ぼう

63  Ⅴ 技術的で要求機能未達の失敗 64    1 脆性破壊 64 ヒンクレイポイントのタービンバースト（1969）／強化ガラスの脆性破壊（1999）    2 疲労破壊 67 テネシー峡谷開発会社の蒸気タービンロータのバースト（1974）／北海の海洋油田 プラットホーム「アレキサンダーキーランド」号の転覆（1980）／セリカのオート ドライブコンピュータのはんだ割れ（1986）／マッサージチェアの叩きモータの断 線（2007）    3 腐 食 74 サリー原発の二次系配管のギロチン破断（1986）／電動カートのタイヤ外れ（2004） ／冷蔵庫の PTC 素子の発火（2007）    4 応力腐食割れ 79 スキューバ用アルミニウム合金製容器の破裂（2000）／黄銅製の電気部品がアンモ ニアガスによって亀裂発生    5 高分子材料劣化 82 杉並区の児童が天井のトップライトから墜落（2008）／高分子材料劣化の失敗アラ カルト

xviii  目 次    6 絶縁劣化 86 三洋電機の扇風機の焼損（2007）／ソニーのリチウムイオン二次電池の発火（2006） ／テレビのフライバックトランスで高圧リーク発生（2004）    7 緩み発生 91 高知空港でボンバルディア機が胴体着陸（2007）／那覇空港で中華航空機が炎上 （2007）／緩み発生の失敗アラカルト    8 バランス不良 97 立川市で杭打ち機が転倒    9 基礎不良 98 蒲原沢で土石流発生（1996）／柏崎刈羽原発の中越沖地震時の変圧器炎上（2007）    10 座 屈 101 ベッドの電動リクライニングで男児が挟まれ（2007）    11 共 振 102 戸田公園大橋の共振（1980 年代後半）    12 流体振動 104 後方乱気流に巻き込まれたアメリカン航空機の墜落（2001）    13 キャビテーション 105 給湯蛇口から牛乳 ? が供給    14 衝 撃 106 リチウム電池が衝撃で短絡（2007）    15 強 風 107 羽越線特急が突風で脱線（2005）／北海道佐呂間町で竜巻発生（2006）／ダウンバー ストで天井クレーンが暴走（2003）  Ⅵ 技術的で要求機能干渉の失敗 111    16 異常摩擦 115 フーコーの振り子の低摩擦機構（1981）／シンドラーのエレベータに挟まれて死亡 （2006）／異常摩擦の失敗アラカルト    17 特殊使用 124 浜岡原発のタービンバースト（2006）／トヨタの前輪操舵用のロッドが破損（2006） ／特殊使用の失敗アラカルト    18 落下物・付着物 130 バードストライクでハドソン川に不時着（2009）／落下物・付着物の失敗アラカル ト

目 次  xix    19 逆 流 133 パナソニックの FF 式石油温風暖房機のトラブル（2005）／食器洗い乾燥機の泡が 逆流して発火（2006）    20 塵埃・動物 136 空冷できずに電子レンジが焼損（2007）／一般廃棄物処理施設で水素ガス爆発（1995）    21 誤差蓄積 139 統合 ATM が UNIX の 2038 年問題でダウン（2004）／昔のインチの図面で発注して しまい疲労破壊（2003）    22 脆弱構造 141 片方の電線を外したら鉄塔が崩壊（2008）／ミネアポリスの高速道路橋の崩壊 （2007）／航空母艦大鳳が魚雷 1 発の命中で沈没（1944）    23 フィードバック系暴走 145 空焚きでヒータが暴走してボヤ発生（2006）    24 フェイルセーフ不良 147 日本航空 123 便が御巣鷹山に墜落（1985）／フェイルセーフ不良の失敗アラカルト    25 待機系不良 153 しんきん ATM が 1 日間，使用不能（2002）／待機系不良の失敗アラカルト    26 自動制御ミス 156 PASMO がバス料金を二重課金（2008）／放射線治療機で致死量の放射線を照射 （1986）／原子力潜水艦スレッシャー号の沈没（1963）    27 流用設計 161 三菱東京 UFJ 銀行の勘定系統合で開発費が 2.8 倍に膨張（2008）    28 過負荷見過ごし 163 曲げ応力でシフトケーブル破断（1995）／パジャマの袖口のゴムがきつくて幼児の 手首がうっ血（2007）    29 冷却不足・過熱 165 携帯電話用 AC アダプタが布団に埋もれて加熱（2003）／EPDM ゴムの製造中に撹 拌を止めたら火災（1973）／給湯暖房用ガス熱源機の異臭・発煙（2004）    30 誤操作発生 169 クッキングヒータの押し回しスイッチの誤操作（2008）／誤操作発生の失敗アラカ ルト    31 隠れ機能に干渉 172 バルサン氷殺ジェットが引火（2007）／ボラン - ピリジン錯体を加熱していたら爆 発（2008）

xx  目 次    32 改良が裏目 175 新版導入したのに勘定系がダウン（2008）／新旧システムの並行稼働中に異常降水 量を配信（2008）／中国製インバータ式電気スタンドの焼損（2008）／自動回復機 能によって指定席を重複販売（2002）  Ⅶ 技術的で要求機能複雑の失敗 184    33 化学反応暴走 185 動燃アスファルト固化処理施設で火災爆発（1997）／大阪の樹脂製造工場で爆発 （1982）／合成洗剤製造装置のメタノール蒸留塔の爆発（1991）    34 細菌繁殖 190 スペイン風邪のパンデミック（1918）／畜産農場で鳥インフルエンザが発生（2004） ／中国広州から SARS が流行（2003）    35 システムダウン 195 統合 ATM システムがダウン（2004）／市役所の基幹システムがダウン（2007）  Ⅷ 組織的で要求機能未達の失敗 200    36 油脂引火 202 渋谷シエスパの爆発（2007）／テキサス州の小学校が爆発（1937）／フェザンの LPG タンクの爆発（1966）／充填中の酸素ガス容器が破裂（1996）／ごみ固形燃料 発電所の RDF 貯蔵サイロで爆発（2003）    37 火災避難 210 大阪・難波個室ビデオ店の火災（2008）／東名高速の日本坂トンネルの火災（1979）    38 入力ミス 213 61 万円で 1 株の注文を 1 円で 61 万株と誤発注（2005）／年金記録 5000 万件が宙に 浮き（2007）／東証が 4 時間半、システムダウン（2005）    39 配線作業ミス 219 H2A ロケット 6 号機のブースタが分離できず（2003）／配線作業ミスの失敗アラカ ルト    40 配管作業（設計）ミス 223 浜岡原発蒸気配管のエルボの破裂（2001）／配管作業（設計）ミスの失敗アラカルト    41 安全装置解除 227 パロマ製湯沸器で一酸化炭素中毒（1996）／安全装置解除の失敗アラカルト    42 軽率作業 233 富士市のビル解体時に外壁崩落（2003）／朱鷺メッセの連絡デッキの落下（2003）

目 次  xxi ／牧場のロールベーラ始業点検時の巻き込み（2008）    43 マニュアル無視 238 ダイヤモンド・プリンセス号の火災（2002）／離陸上昇中の DC-10 型機がエンジ ン脱落して墜落（1979）／ソウルの聖水大橋の崩壊（1994）／マニュアル無視の失 敗アラカルト    44 無思考状態 246 福知山線尼崎での速度超過による脱線（2005）／八丈島の潜水作業で研究員が溺死 （2005）／クレーン船が送電線を切断（2006）    45 天災避難 250 中越地震で上越新幹線が脱線（2004）／中越沖地震が柏崎刈羽原発を直撃（2007） ／スマトラ島沖の大地震による大津波の来襲（2004）    46 共感不足 255 機械 A の突然の定員割れ（2008）／共感不足の失敗アラカルト    47 ビジネス環境変化 260 PHS のウィルコムの事業再生（2009）／ビジネス環境変化の失敗アラカルト  Ⅸ 組織的で要求機能干渉の失敗 264    48 だまし運転 264 六本木ヒルズの回転ドアに男児挟まれ（2004）／高所作業車を吊り上げたらクレー ンが転倒（1998）    49 コミュニケーション不足 269 新千歳空港で離陸許可がないのに離陸開始（2008）／三菱化学の予期せぬバルブ開 による火災（2007）／雑司が谷の下水道がゲリラ豪雨で増水（2008）／イージス艦 が漁船と衝突（2008）    50 組織間の齟齬 275 流水プールで女児が吸い込まれ死亡（2006）／美浜原発の配管破裂で蒸気噴出 （2004）／組織間の齟齬の失敗アラカルト  Ⅹ 組織的で要求機能複雑の失敗 281    51 産業連関 282 肉まんの中に未許可添加物が混入（2000）    52 違法行為 284 姉歯建築士が耐震強度を偽装（2005）／赤福餅の消費期限を偽装（2007）／違法行 為の失敗アラカルト

xxii  目 次    53 企画変更の不作為 291 八ッ場ダムの工事中止（2009）    54 倫理問題 293 あるある大事典の納豆ダイエット問題（2007）／志賀原発で臨界事故を隠蔽（1999） ／工学倫理講演会で用いている歴史的倫理問題／倒壊の危機にあった摩天楼を修 理（1978）    55 テ ロ 303 中国製冷凍餃子に農薬注入（2008）    56 想定外の顧客反応 305 サッカーくじ toto が販売停止（2007）／東証取引市場がシステムを計画停止（2006）    57 要件定義不足 307 政府の人事システムが 3 年延期（2008）／行政システム破綻で，ベンダーを訴える も敗訴（2004）／スルガ銀行 vs. 日本 IBM の裁判／偽情報に便乗してイラク戦争を 開戦（2003）    58 新技術への挑戦が裏目 312 腹腔鏡下前立腺全摘除術で医療過誤（2002）／アジド化合物の実験をスケールアッ プしたら爆発（2009）    59 社会構造の疲労 317 エキスポランドのローラーコースターが脱輪（2007）／富士急ハイランドでゴンド ラのボギー軸が疲労破壊（2001）／阪神淡路大震災で 1981 年以前の建物の多くが 崩壊（1995）／秋葉原で派遣社員が通り魔殺人（2008）／洗濯機が国際標準不適で 輸出できず（2001）    60 事故訓練不足 327 大学でメタンガス漏洩（2008）／スキーの初級者が柵に衝突して頭蓋骨骨折（2008） ／ハリケーン・カトリーナがニューオーリンズに上陸（2005）／豪雨による信濃川 支流の決壊（2004） 参考文献 337 おわりに 341 索 引 353

2  Ⅰ 失敗学の評価

失敗学の評価

─「人の振り見て我が振り直せ」は誰にでもできるか─

Ⅰ

 失敗学の奥義は，「人の振り見て我が振り直せ」である．このように信じて，失敗 シナリオを勉強すれば，誰でも失敗を予想できると唱えていたが，そのとおりであろ うか．本章では，シナリオの反復性，検索性，汎用性と順に展開して，評価結果を述 べる．結論から先にいうと，人の振りを検索できても，我が振りを直せるとは限らな い．失敗知識を自分の設計に取り込むときは，他の要求機能に干渉しないような工夫 が必要である．   41 個の失敗シナリオのとおりに，失敗は繰り返されるのか  筆者は，2001 年，科学技術振興機構の社会技術研究プロジェクトに「失敗学」で 応募した．その最終面接でのことである．面接員の市川惇信名誉教授（元東工大教授 で，社会技術研究開発センター長だった大先生）にいわれた．「事故はケースバイケー スで起きる．君のいうところの失敗シナリオを 100 個せっかく覚えても，次の事故は 101 個目の新しいシナリオかもしれないよ」と．さて，困った．事故というものは， 過去の知識を使って予測しようにも，突然に未知の現象が起きてジ・エンドに至るの であろうか．そうだとしたら人類はとっくに滅亡しているはずである．  そこで慌てていい訳した．たとえば，これまでにたくさんの人間が食中毒で死んで いった．このとき，中毒を起こした食物はさまざまであるため，事故はケースバイケー スに見える．でも，たまたま生き残った人間が，これら食中毒に共通する腐敗臭を思 い出した．それを何世代もかけて DNA に書き込んで，その失敗シナリオを子孫に伝 えてきたではないか．赤ん坊だってアンモニアの臭いは嫌いだ……シドロモドロ．  理系の学生は，確率・統計の講義で，“マルコフ過程”というのを習う．これは， 未来の挙動は直前の状態だけで決定され，それ以前の過去の挙動とは無関係である， という確率過程である．たとえば，空気中を漂うちりは，蟻のようにアッチコッチに 方向を変えて動くが，このブラウン運動がマルコフ過程の結果である．実在する個々 の人間もそうだろうか．その場，その場でサイコロを振るように動いて，過去とは無 関係に突然，転ぶのであろうか．  しかし，ちりも塊として見れば，拡散方程式に則って周辺に広がっていき，蟻も遠 くから見れば餌まで行列でつながっている．人類も同じである．個々の人間が別々の

  3 場所で別々の時間に転んでいても，人類全体から見れば，つねに賢い方向に進んで繁 栄しているのは確かである．筆者は，上述のちりの拡散や蟻の行列を決定する法則を， 「共通シナリオ」として抽出したい．  シドロモドロだった悔しい思いのリベンジを夢見て，いつの日か，「失敗百選」で 記した 41 個の失敗シナリオ群の反復性を証明したかった．それから 5 年，“待てば海 路の日和あり”である．2006 年に「失敗知識データベース整備事業」のお金をもらっ て，実証するチャンスが回ってきた．そこで，日本機械学会の学会員のプロのエンジ ニア 90 名にお願いして，業務しながら今，感じているリスクを総計 203 個あげても らった．このリスクを自然言語処理して，41 個の失敗シナリオのどれと似ているの かを自動的に調べてみた．  具体的には，「連想検索エンジン」という国立情報学研究所の高野明彦教授が開発 したソフトウェアを用いた．これは日本語を検索するときに，ものすごい威力を発揮 するソフトウェアである．一般的なキーワード入力のアンド検索は，たとえば，グー グルで検索をするときに用いるが，キーワードの言葉が抽象的だと読み切れないくら い大量に検索され，逆に言葉が具体的だと一つも検索されない．そのようなときは， 複数の単語をアンドにして絞り込むのが普通である．しかし，そうしても，出力は“降 れば土砂降り”，または“降らねば日照り”の状態になることが多い．ほどよく 10 個 くらい重要な情報を出力して欲しいのに……．ところが，連想的にオア検索すると， うまくできるのである．  図Ⅰ. 1 に示したように，連想検索エンジンのオア検索では，データベースの日本 語の文章を単語ごとに分解し，参照したいデータごとに，どの単語が含まれているか を事前に解析しておく．次に，その情報を 1000 万×1000 万程度の巨大な行列に入力 する．つまり，i 行はデータ番号 i を，j 列は単語 j を意味し，テンソル ij は i のデー タに j の単語が含まれているか否かを示している．そこには，単語の引用回数が書か れているが，ほとんどのテンソルはゼロである．また，別個に検索したいデータも単 語を分解・解析して，同じように 1 × 1000 万程度のベクトルを作る．行列と，このベ クトルとの内積を計算すると，参照データごとに，検索データと同じ単語が使われて いるか否かの頻度が“類似度”として算出され，類似度がもっとも大きい参照データ が最類似解として出力される．それも 6 秒以内に並列コンピュータが計算してくれる から，イライラしない．

4  Ⅰ 失敗学の評価  その結果が表Ⅰ. 1 である．203 個のリスクのうち，80％が 41 個の失敗シナリオ群 のどれかと似ていることがわかった．ということは，「筆者の失敗シナリオは 80％の 確率で反復性がある」といえそうだ．ほら，いったとおり，「失敗シナリオを暗記し ておくと，新しい事故を予見できる」！  しかし，この法則の成立には，前提条件が存在する．つまり，Ⅱ章で詳説するが， 「機械，電気，化学，土木，材料などのような，いわゆる工学の分野において」とい う前提条件下で成立する．ちょっと考えてみればわかることだが，たとえば，図Ⅰ. 1 の実験でバイオ・医療のエンジニアにリスクを書いてもらったら，アナフィラキシー （過敏症のアレルギー反応のこと．大学では間違えてラットの微量の血液を自分の指 に注射して呼吸困難になった学生もいた）や，患者や動物が暴れて負った怪我を挙げ るだろうが，そもそも「失敗百選」ではそのような事例を集めていないから，類似事 例が検索できるはずがない．同様に，情報のエンジニアに聞いても，「失敗百選」のデー タでは類似事例を検索できない．何とかして，工学全体の境界条件下で失敗の反復性 を証明したいが，今回の実験だけでは何ともいえない． 図Ⅰ. 1 連想検索エンジンによる類似事例の抽出

  5 表Ⅰ. 1 『失敗百選』の 41 個の失敗シナリオに対するリスクの分布 （太字は 203 個のリスクのうち，そのシナリオに分類された数） 62 技術的，とくに力学的な失敗   1） 1 脆性破壊   2） 12 疲労破壊   3） 11 腐食   4） 2 応力腐食割れ   5） 9 高分子材料   6） 11 バランス不良   7） 2 基礎不良 8） 0 座屈 9） 1 共振 10） 1 流体振動 11） 4 キャビテーション 12） 1 衝撃 13） 5 強風 14） 2 異常摩擦 55 技術的だが，副次的な失敗  15） 6 特殊使用  16） 6 落下物・付着物  17） 9 逆流  18） 10 塵埃・動物  19） 1 誤差蓄積  20） 1 油脂引火  21） 1 火災避難  22） 2 天災避難 23） 0 脆弱構造 24） 6 フィードバック系暴走 25） 5 化学反応暴走 26） 1 細菌繁殖 27） 2 産業連関 28） 2 フェイルセーフ不良 29） 3 待機系不良 28 技術的だが，使用中に生じた失敗  30） 5 入力ミス  31） 8 配線作業ミス  32） 5 配管作業ミス 33） 3 自動制御ミス 34） 4 流用設計 35） 3 だまし運転 18 非技術的で，組織的・社会的な失敗  36） 11 コミュニケーション不足  37） 7 安全装置解除  38） 0 違法行為 39） 0 企画変更の不作為 40） 0 倫理問題 41） 0 テロ 40 重大ではなく，失敗百選のシナリオに含まれない失敗  ⅰ） 14 ヒューマンエラー  ⅱ） 12 管理トラブル ⅲ） 9 単純な設計ミス ⅳ） 5 企画の失敗 203 個中 163 個， つまり 80％は『失敗百選』の 41 個の失敗シナリオの どれかに似ている  結論  41 個の失敗シナリオのとおりに，失敗はくり返されるのか．答えはイエスで ある．ただし，それは従来の工学分野に対して，イエスである．それ以外の分野 ではまだわからないが，Ⅱ章で途中経過を報告する．  この類似データの検索について注釈する．表Ⅰ. 1 の結果は，「筆者の恣意性を入れ ずにコンピュータが自動的に選んだ」と講演では偉そうにいっているが，実際は少し

6  Ⅰ 失敗学の評価 違う．じつは，コンピュータの自然言語処理だけなく，人間の誤差排除処理も併用し た“ハイブリッドシステム”を使ったのである．連想検索エンジンは，たとえば，“静 岡県”のような固有名詞に重い係数をかけ，一方で“的”のような接尾語は軽い係数 をかけて類似度を計算する．この結果，日本坂トンネルの火災（37.2 項）と浜岡原 発の爆発（40.1 項）とはまったく違う事故なのに，“静岡県”だけが一致すると類似 度は高くなる．また，事故報告書に多用される“責任”や“過失”の言葉のように， 参照データ内に一つの単語が何度もくり返されても類似度は高くなる．一方で，たと えば，溶接を“熔接”と火偏で入力すると，そのような旧式漢字に一致するデータは 存在しないから，類似度はゼロになる．その辺りを考慮して，類似度の上位 5 位の失 敗シナリオ候補から最類似解を人間が選ぶと，「さもありなん」と誰でも同意するも のが検索できる．まだ，自然言語処理はそれほど賢くない……．   現在のリスクを軽減するため，皆が有効な失敗事例を検索できるか  科学技術振興機構では，2001 年から「失敗知識データベース」というデジタルアー カイブを構築し始め，2005 年から試験公開を始めた．いまや，グーグルで「失敗知識」 と入力すれば，先頭で出力されるほど利用者が増えてきた．1 週間に 10 万ページ ビューものアクセスがある．筆者は，そこの機械分野の編集責任者だったが，このと きもプロジェクト評価のインタビューで，別の大先生にいわれた．「このデータベー スを使うと，君のいうように，若いエンジニアでも本当に設計がうまくなりますか」 と．筆者は大風呂敷を広げて，図Ⅰ. 1 に示したように，「自分の設計の仕様書の言葉 を入力すると，データベースから必要知識が自動的に出力されて，結果的に設計は改 善されます」と答えた．失敗シナリオは反復されるのだから，絶対に過去の失敗情報 は役に立つはずである．この検索性と，その有用性を証明したかった．  しかし，データベースの利用状況を分析すると，残念ながら「設計改善を図りたい」 というようなエンジニアの意志は汲み取れない．2006 年に失敗知識データベースを 本公開したが，その後の 1 年間の閲覧ランキング上位 20 位を表Ⅰ. 2 に示す．1 位は JAL の御巣鷹山での墜落，2 位はタイタニック号の沈没，3 位はツインタワーへのテ ロ攻撃であった．その後も有名な事故・事件がランクインしている．どうもこのデー タベースは，歴史学の資料として使われているようである．タイタニック号は氷山に 衝突して，リベットが低温脆性して沈没したが（前著の事象 1.1），現在の鋼は不純 物が少ないから，寒流で低温脆性するなどほとんど考えられない．利用者は史実から 人間ドラマを楽しみたいのであろうが，筆者の想定していた「エンジニアが失敗知識 データベースを使う場面」とは違っていた．また，失敗知識データベースの使用開始

  7 記念講演会でアンケートを取っても，「現在進行形の自分の設計を改善する」ことが 目的の利用者はほとんどいなかった．何か特別の理由があって，現場の設計者は検索 しない，または検索したくてもできないのであろうか．  そこで筆者は，学部 3 年生向けの「設計工学」という講義で，人間の検索能力を受 講者の学生 130 名に試してもらった．同じ学期中に行う設計演習で，ボア径が 2 セン チ程度の「スターリングエンジン」を作らせていたが，課題として「君のエンジンを 中学生の教材として発売したい．まず現状のエンジンのリスクを考え，次に，リスク 軽減対策を過去の事故事例から調査し，最後に，教材用商品として設計変更しなさい」 という最終リポートを課したのである．まあ，学生がいくら粗忽者でも，全部の種類 の失敗を体験できるはずがない．だから，典型的な失敗事例を講義中に紹介した．た とえば，回転中のエンジンがゴトゴトと床を動いて横転する，観察者が回転部をつい 触りたくなって指が巻き込まれる，バーナーで加熱したシリンダに触って火傷する， などである．このように，リスクさえわかれば，今の学生は小学校以来の“調べ学習” は大得意である．ほぼ 100％の学生が，失敗知識データベースから，横転，巻き込み， 火傷に関係する有用な事故データを検索できた．ナーンダ，簡単に検索できるじゃな 表Ⅰ. 2 過去 1 年間の「失敗事例」閲覧ランキング上位 20 位（2006） （●は「失敗百選」で扱った事例，○は本文中で数行紹介した事例，○は扱わなかっ た事例，御巣鷹山は「続々・実際の設計─失敗に学ぶ」で扱った） 1 ○ 御巣鷹山の日航ジャンボ機の墜落 2 ● タイタニック号沈没事故 3 ● ニューヨーク・ツインタワービルの崩壊 4 ○ 三菱自動車のリコール隠し（トラックのハブの破裂） 5 ● スペースシャトル・チャレンジャー号の爆発 6 ● 名古屋空港で中華航空 140 便エアバス A300-600R が着陸に失敗炎上 7 ● 富士通ハード・ディスク・ドライブ不良問題 8 ● 深海無人探査機「かいこう」行方不明 9 ● みずほフィナンシャルグループ大規模システム障害 10 ● スペースシャトル・コロンビア号の帰還失敗 11 ○ 建設現場の墜落災害─安全帯の不適正使用に起因する事故 12 ○ 原子力発電所の配管破裂で蒸気噴出（関電美浜原発の二次配管破裂） 13 ○ 韓国ソウル聖水大橋の崩落事故 14 ● JCO ウラン加工工場での臨界事故 15 ○ 合図ミスにより，列車を停めた（JR 総武線内で黄でなく赤の旗を上げた） 16 ● 余部鉄橋列車転落 17 ○ 大阪千日前デパートビル火災 18 ● 青函連絡船洞爺丸の沈没 19 ○ H-2A ロケット 6 号機打上げ失敗（局所エロージョンでノズル損傷） 20 ● 北陸トンネルでの列車事故