本質的なことが見えにくい(設計ミスという言葉に惑わされる)

2018年10月21日に台湾で脱線事故が起きた。
直接の原因は
・運転士がATP(自動列車防護装置)を切っていたこと
・スピードを出しすぎたこと
なのだが、車両に設計ミスがあったことも報道された。

車両を製造した「日本車輌」のホームページを見ても経緯が記載されておらず、新聞記事に頼らざるを得ない。

NHKのニュースでは、

台湾で特急列車が脱線し、18人が死亡した事故をめぐり、列車を製造したJR東海の子会社、「日本車輌製造」は、列車を自動的に制御する安全装置が作動していないことを知らせる仕組みに設計ミスがあったと発表しました。

台湾 脱線事故 日本車輌が「設計ミスあった」と発表 2018年11月1日 23時09分
https://www3.nhk.or.jp/news/html/20181101/k10011695251000.html

「列車を自動的に制御する安全装置が作動していないことを知らせる仕組み」

が設計上不備があったとしても、そもそも仕様書上どうなっていたのだろうか。
もう少し詳しい説明がないものかと、サイトを見ていたところ下記の記事を見つけた。

台湾脱線車両「設計ミス」、海外で相次ぐ失態 鉄道メーカー大手各社、揺らぐ安全神話
https://toyokeizai.net/articles/-/247133

 ATPには指示された速度を超えた場合に列車を停止させる機能がある。運転士がATPを切ると、その情報は自動的に運行指令所に伝えられる。日車は「ATP自体には問題がない」としながらも、「設計ミスで配線の接続が仕様書と一部異なり、指令所に情報を伝える機能が働かなかった」と説明する。

 通常は車両が完成してから鉄道会社に納入するまでに、車両が仕様書どおり造られているかどうか入念なチェックが行われる。しかし日車によれば、TEMU2000型は、ATPを切った際に指令所に情報が伝えられるかどうかのチェックは行われなかったという。

 「台鉄の指令所に情報が伝えられるかどうかのチェックは日本ではできない。このチェックは納車後、台鉄が行っているものと考えていた」と日車の担当者は語る。

 さて、こうしたことでわかることがある。
 ISO9001の審査員をしている立場として、再発防止策を講じるための指針として、対応する項番について考えてみよう。

①顧客要求事項の明確化
下記の項番が対応する
8.2.2 製品及びサービスに関する要求事項の明確化
8.2.3 製品及びサービスに関する要求事項のレビュー

製品実現の最初の段階で顧客要求事項を確認することになる。
上記の記事からは、この点については行われていたと判断できる。

②設計の妥当性確認
さて問題になるのが、次の項番だろう。
8.3.4 設計・開発の管理
c) 設計・開発からのアウトプットが、インプットに要求事項を満たすことを確実にするために検証活動を行う

検証活動の具体的な方法論は記載されていない。
CAD/CAMではシミュレーターなどが一般的であろうし、機械設計、電気設計でもシミュレーターは用意されていると考えられる。
もし適切なシミュレーターがないのであれば開発をしなければ再発防止はできない。
仮にシミュレーターがあって、検証過程で見落としているとしたら、検証プロセス自体に何らかの問題があることになる。

③ 出荷しても良いものだったのか
 さて、上記の記事で気になる箇所がある。
「台鉄の指令所に情報が伝えられるかどうかのチェックは日本ではできない。このチェックは納車後、台鉄が行っているものと考えていた」
 これは、出荷時に検査が終わらないものを出荷していたと言うことだろうか?
 仮に現地で検査するとしても、リリースする前に検査をする責任は日本車輌にあるのではないだろうか?
 こうした視点では、以下の項番が関連する。

8.6 製品及びサービスのリリース
 組織は、製品及びサービスの要求事項を満たしていることを検証するために、適切な段階において、計画した取り決めを実施しなければならない

さて、計画ではどうなっているのか。
私の感覚では、仮に実環境でのテストをしないとわからないと言うことであれば、近似した環境を準備してテストをし、お客様にもテストをお願いすると言うことは行うはずだろう。

「後はよろしく」なんてことはあり得ない。
さて、再発防止策は話題になるのだろうか?

Be the first to comment

Leave a Reply