事象のエラー・結果のエラー

多分、見解の差はこの問題がしっかり整理されていない、前提が曖昧なままである事に起因すると思う。問題を整理しよう。
まず、「事象のエラー」つまり信号機がどんな壊れ方をするか、であるが、これは二種類に分けられる。

• 点きっぱなし
• 消えっぱなし

次に「結果のエラー」つまり信号機が壊れたことによってどんなことになるか、であるが、これも二通りである。

• 進みっぱなし(停止するべきなのに進行してしまう)
• 止まりっぱなし(進行するべきなのに停止してしまう)

2×2

で、結局「結果のエラー」は、「事象のエラー」を起こす信号機が赤か青かによって決定されるのだから、関係は以下の表のようになる。

		事象のエラー
		点きっぱなし	消えっぱなし
信号機の色	赤	止まりっぱなし	進みっぱなし
	青	進みっぱなし	止まりっぱなし

見ての通り、1つの「結果のエラー」を来しうるのは2通りの場合が考えられるのである。で、フェイルセーフ設計の説明としては、どうせエラーを起こし得るなら、十勝型事故よろしくの出会い頭衝突事故を引き起こす「進みっぱなし」のエラーより、進行の障害は招くが少なくとも衝突事故の可能性が少ない「止まりっぱなし」のエラーの方が起きるような選択をすべきだ、という趣旨になるのだが…

原文の問題点

ブクマのコメントに

「青」だけの信号機が「青」が常につきっぱなしになる方向に故障するのが一番危険だと思うが。

とあるが、一番と言うよりは「青の信号点きっぱなし」と「赤の信号消えっぱなし」は同じ結果のエラー「進みっぱなし」を来すのである。
問題だったのは、LM-7氏の原文では「事象のエラー」のうち「消えっぱなし」のことしか記載されていなかったことである。だから、コメントのように「点きっぱなし」のエラーを考えれば信号は青で良いのではないか? ということになるのである。しかし、前述した通り「青の点きっぱなし」と「赤の消えっぱなし」は結果において等価なのである。

事象考察

だから、信号機は「赤」と「青」のどちらが良いのか? という問題の根源に答える為には、もう一つ別の概念を必要とする。結局のところ、事象のエラー「点きっぱなし」と「消えっぱなし」のどちらが起き易いか、ということだ。
最近普及し始めたLSD使用の信号機は兎も角として、電球で出来た信号機なら、多分「消えっぱなし」の方が生じやすいだろう。「点きっぱなし」になる原因として制御系の故障が考えられるが、電球が切れるよりもおき易いとは考えにくい。
勿論、「フェイルセーフ」の本質は、如何なる事象も最初から起きるものとして考えることだから、「点きっぱなし」のエラーが発生しうることも考えなくてはならないのだろうが、背反事象の両立が不可能である以上、どちらかのリスクは度外視しなければ、現実的に不可能なのである。
なお当然の事ながら、「点きっぱなし」より「消えっぱなし」の方が生じやすいとするならば、「フェイルセーフ」のシステムとしての正解は青の信号機である。

「信頼性設計」を現実に生かすことの難しさ

結局、信号機を赤にすべきか青にすべきかという問題に解を与えるには、系外の要因が必要になる。現実としてはもっと多くの要因が絡んでくるから、実現するのは容易じゃない。論理的に正しくても、それが現実に転化できない以上、「絵空事」の謗りを免れ得ないのである。LM-7氏のエントリも、信頼性設計という観点から見れば、自動車とは実に“人間に優しくない”構造をしている、という正しい指摘をしているのだけれど、そこで終わってしまっている。だから少なからずの反感を食らう。じゃあ、車のインターフェースを変えるのか、ってね。かといって幾ら別の安全装置を組み上げたところで、「スイスチーズモデル」*1の“呪い”からは逃げ出せないし。
安全を確保するというのは、本当に難しいんだ。