第一回:本質安全と機能安全(ZERV本部の場合)

ZERV本部にエヴァ4号機と北米第2支部が消滅したという知らせが届く。この突然の知らせにZERV関係者全員がエヴァンゲリオンは本当に信用できるのか漠然とした不安を抱いていた。設備や機械の開発には本質安全(ISO-12100)に基づいたアプローチをしているはずなのに一体なぜ・・・


 

第3新東京市ZERV本部第1発令所に警報が鳴り響いた。

「消滅!?エヴァ4号機と北米の第2支部が消滅したの!?」

自宅でくつろいでいた葛城ミサトにも緊急連絡が入った。

「新型エヴァの起動実験に関係、か。。。ウチのエヴァは大丈夫でしょうね。」

独り言をつぶやきながら、アルピーヌA310のアクセルを強く踏み込んだ。

 

エヴァンゲリオンが今一つ信用ならない、それは関係者全員が持つ漠然とした不安であった。初号機の暴走や今回のような事態に直面すると、もっとなにか手が打てたのではないか、手を打たなければならないのではないかと焦燥感にかられるのだ。とはいえそのような漠然とした不安だけで、作戦課長の身で技術開発部に直接的な改善指令を出せるわけがない。

 

「開発は開発部がやってくれるわ。」

組織の所掌で責任を他人に押し付け、思考を現実に戻す。いずれその不安の原因が、人類補完計画とともに、自身の身に降りかかるとは思いもしないミサトだった。

 

本部の作戦会議室では、事態の解析がすでに行われていた。

「A.T.フィールドの崩壊が衛星からでも確認できます。」

青葉シゲルがデータ切り替えながら解説する。

「やはり4号機が爆心か。」
「4号機は稼働時間問題を解決する、新動力機関の試験機だった、らしいわ。」
「北米支部の情報は十分に伝わってこないんですよ。本部の調査データがもとになっているはずなのに。」
「神が作りし使徒、その機関を模したS2機関。私たちには荷が重いんじゃない?」
「初号機が捕食した使徒のS2機関の設計データや構造解析は完全よ。科学技術に重い軽いはないわ。」

北米機関に先を越された悔しさよりも、自分の設計再現能力を問われたと感じた赤木リツコが少し感情的に言い返した。

 

「でも・・」リツコは思う。

 

エヴァであれS2機関であれ、使徒を解析しコピーすることで自分たちの武器としてきた。その自負はあれども、なにか釈然としない感覚がリツコにあった。原理の把握、構造の詳細な再現、エネルギー密度やその安定稼働のためのパラメータの設定など、動作のすべては解析が終わっていた。その再現精度も、最大性能の違いは多少残ってはいても、設計に間違いはない。それでもなにかやり残した感覚があるのはなぜだろう。

安全性の高い設備や機械の開発のアプローチは、2000年のセカンドインパクト前から変わらない。ISO-12100と呼ばれる本質的安全設計に基づく設計アプローチである。(図1)

 

z01_1b

 

このアプローチには3つの段階がある。

1つ目は、設計そのものを安全方向に向かうような構造を持つことである。たとえば重力や電磁力の力を利用し、障害発生時には確実に安全な方向に作動する仕組みを目指す。エネルギー密度が高い機関では冷却装置が必要になるが、外部にポンプやモータがなくても、熱発生時の冷却媒体の自然対流で、冷却媒体そのものの循環流を作り出す構造が採用される。エヴァが人の乗るエントリープラグがないと動作しない構造を採用しているのは、これに類するといえる。(図2)

 

z01_2c

 

エネルギー密度の低い熱源(たとえば卓上ガスコンロなど)の場合、熱起電力(異なる種類の金属を接触させると触れている熱量に応じて起電力が発生する自然現象)によってコイルを作動させ、炎が消えた際にガスを停止させるフェールセーフ装置が取り付けられている。

これもこの設計段階において検討されるべき事項である。ISO-12100の設計アプローチでも、制御部分にコンピュータを用いる場合には、機能安全規格が必要となる。エヴァは人が制御するため、単に電子部品の故障率を小さくするための設計アプローチというのが、機能安全に対する、リツコの現段階の理解レベルだ。

S2機関には実に巧妙な安全機構があることが見えてとれた。神がつくりし永久機関といえども、本質的安全設計は最重要なのだと、リツコ自身、すこし嬉しくなったくらいだ。もちろん、コピーしたS2機関にもその構造を反映してある。一見性能的には無駄に見える構造も、性能ではなく安全対策として見て理にかなっている場合もあった。そこまで理解し納得のうえで完全にコピーした。だからこそのミサトへの反論だった。

2つ目は、対象物そのものの本質安全の設計だけではリスクが十分に下がらない場合の外部からの防護策である。エヴァンゲリオン暴走時のアンビリカルケーブル切断装置がそれにあたる。切断することで動力源を断ちエヴァを緊急停止させるのだ。

このような仕組みはコンピュータで制御されるため、本質的安全設計だけでは完全にカバーできない。このためStep-2では、機能安全が必要となる。ここでもリツコは部品の故障頻度が低いものを作ればよいというのが理解である。(図3)

 

z01_3b

 

最後の3つ目の段階は警告や運用でカバーする手法である。技術だけで安全を完全に担保するのは無理なことが多い。安全マニュアルをシンジ君たちにしっかり叩き込むのは、この段階の対策だ。いくら教えてもその通りにしてくれなければならないため、使用者依存といえばそれまでだが。

第3新東京市の路上には、エヴァの活動が予想される範囲、およびその際のアンビリカルケーブルの敷設予定ルートには、路上にマーキングを入れている。これは可能な限り市民の方の残存リスクを低くするための方策である。使徒との戦闘でそのような注意でリスクが下がるとは思えないが、行政とはそういうものだ。このような3つの段階で設備や機械の安全性を達成するアプローチが本質安全、または本質的安全設計と呼ばれるものである。

このように完全にコピーして開発したはずのS2機関なのだ。それでもやり残した感触が残っている。この漠然とした未達成感が、人類補完計画の本質であるとは、彼女もまた知る由もなかった。

 

そのころ指令公務室では、北米第2支部爆心の解析画像を、碇ゲンドウと冬月コウゾウがみつめていた。

 

「エヴァ4号機、S2機関の実験体だ。何が起こってもおかしくないか。碇。」
「ああ、使徒を模しただけでは役に立たんよ。」
「機能安全か?」
「人類補完の扉を開く、リスクベースデザインだ。」
「どうやってそれを解明するつもりだ?。」
「そのための欧州支部だ。」
「加持リョウジか。。。信用に足る男かね。」

 

数日を経てゼーレから委員会を経てZERVに指令が下された。初号機の欧州での活動を想定し、CEマーキング機械指令の認証を取得せよとの通達である。エヴァンゲリオンが動力を持つ機械とみなせることから、機能安全ISO-13849またはIEC-62061の取得が不可欠である。

人間が神経組織を通じて最終的に行動を制御するエヴァンゲリオンが自動制御のロボットと同じとみなすべきかどうかは、ゼーレでも議論が分かれるところである。しかし乗用車向け機能安全規格ISO-26262が最終的には運転者の法的な責任のもとに運用されていることを鑑みれば、エヴァの機能安全への準拠は必要だとの結論に至った。そのような大義名分とは別に、ゲンドウは、その要求の背後にゼーレの考える人類補完計画への道筋があることを感じていた。

 

「すべてはゼーレのシナリオ通りに。」

ゲンドウの言葉で委員会は幕を閉じた。

 

<次回予告>

ZERVにせまる第4の使徒。日本中の電力で迎撃するエヴァ初号機とそれを守る0号機。
使徒殲滅の裏で欧州より加持がもたらす極秘の記録ディスク。リスクベースデザインとは何か。

ゼーレの目的は。
次回、「機能安全と規格の動向」
この次も、サービスサービスっ!

 

 

関連記事
第三回:アーキテクチャ設計、構想設計(葛城ミサトの場合)
機能安全・セキュリティの国際規格
第三回:アーキテクチャ設計、構想設計(葛城ミサトの場合)
第二回:機能安全と規格の動向(加持リョウジの場合)
機能安全・セキュリティの国際規格
第二回:機能安全と規格の動向(加持リョウジの場合)
ZERV本部、人類補完計画始動
機能安全・セキュリティの国際規格
ZERV本部、人類補完計画始動