システム思考とSTAMP

世の中のいろいろなモノやコトを「システム」として考えることと、その道具の一つであるSTAMP/STPAについて。

STAMPの価値・意義・面白さ(2)

STAMPの面白さについての個人的な理解の整理。 前回の続き。

 

システムの安全性は「創発性」である

Nancy Levesonは、著書 "Engineering a Safer World" の中で、「信頼性はコンポーネントの特性であるのに対し、安全性はシステムの創発性(emergent property)である」と述べている。このことが、安全性の確保が難しい理由であり、STAMP/STPAの価値がある理由である。(逆に言うと、創発性の概念を理解せずにSTAMP/STPAを使っても、本来意図された効果は得られにくい。)

 

創発性とは何か?

創発性は、システム理論における重要な概念である。

Wikipediaでは、次のような説明がある。

創発(そうはつ、英語:emergence)とは、部分の性質の単純な総和にとどまらない性質が、全体として現れることである。局所的な複数の相互作用が複雑に組織化することで、個別の要素の振る舞いからは予測できないようなシステムが構成される。

 

組織論などにおいて、アリストテレスの言葉としてよく引用される「全体は部分の総和に勝る」も同じことを言っている。

つまり、そんなに難しい話ではなく、日常的な、自然な考えである。

 

もう少し厳密な議論は、"「創発性」について”, 松本俊吉, 科学基礎論研究 28(2), 2001 に詳しい。創発論に関して、次のような記述がある。

 

創発的理論とは、

全体に特徴的な振る舞いは,その構成要素がバラバラにあるとき,あるいはそれらが他の結合状態にあるときの,それら要素の振舞いについての最も完全な知識 most complete knowledgeが与えられたとしても,またこの全体におけるそれら要素の比率や配置についての最も完全な知識が与えられたとしても,たとえ理論上でさえ,そこからは演繹されえない。(Broad,p.59)

 

ここで、重要なのは「創発性は)要素の振舞いについての完全な知識があっても、演繹されえない」という点であろう。

これは何を言っているかというと、例えば、創発性の一例として、高速道路上で発生する自然渋滞の現象がある。自然渋滞が起きるメカニズムは、走行車両の密度がある程度高い場合に、上り坂などで先行車の速度が若干落ちると、後続車がブレーキを踏み、それによってその後続車との車間距離が詰まるのでその後続車もブレーキを踏み、ということが連鎖して起きるとされている。(参考:自然渋滞の発生 - MASコミュニティ - 構造計画研究所 (kke.co.jp)

自然渋滞という現象が確認された後であれば、このような原因分析を行うことが可能である。しかし、上で言っている「創発性は、要素の振舞いについての完全な知識があっても、演繹されえない」ということは、「高速道路上の自動車の振舞いについて完全な知識があっても、(自然渋滞という現象を知る前に)自然渋滞という現象を演繹的に予測することはできない」ということを言っている。

今仮に、「高速道路」というシステムにおいて「自然渋滞」を事故とすると、自然渋滞が発生するということは、「(システム設計時には想定できなかった)想定外の事故が起きてしまった」ということになる。(現実には、自然渋滞は致命的な損失をもたらさないので、社会的には許容されていると考えられる。)

 

このことは、前回の記事に書いた「『信頼性が高ければ安全である』は成立しない」につながる。システムを構成する要素の個々について、それらの動作が設計通りとなるようにどんなに完璧に「正しく」作ったとしても、それらの要素を組み合わせたシステム全体に現れる性質、創発性」を予測しきることはできないため、どうしても想定外の事象は起きてしまうのである。

 

創発性である「システム安全」をどのようにして確保すればよいのか

上記のように論じてくると、人間の能力の限界というものを感じざるを得ない。安全なシステム作りは不可能である、と言われているようなものである。

しかし、人間の幸せ、生活の利便性を向上するために、「ものづくり」は太古の時代から脈々と行われてきており、現在もそれは続いている。なんとかして、安全なシステムを作ることが求められている。

そんな人類の挑戦に、助け舟となるのが STAMP/STPA である。

 

前提として、「完璧に安全が保証されたシステムを作ることはできない」。これは、残念ながら覆すことはできない。

しかし、人間の能力を最大限に注ぎ込み、ベストエフォートを尽くしてシステムづくりを行うことは可能である。また、「どのようにベストエフォートを尽くしたのか」が明確になっていれば、もし、想定外の事故が起きたときに、「どこが足りなかったのか」も明確になり、次のシステムづくりに生かせる。

また、「創発性は、個々の要素から演繹的に予測できない」、つまり、数式から導くようなやり方で危険事象を予測することはできないが、人間の想像力を駆使して「気づく」ことは可能である。

このようなことを可能とする工夫がSTAMP/STPAには含まれている。

STAMP/STPAのどの特徴がそれに寄与しているかは、前回の記事に書いた通りである。

 

創発性の面白さ、STAMPの面白さ

システムの創発性は、危険事象、すなわち人間にとって望ましくない性質とは限らない。そもそも、人間にとって望ましいかどうかは人間の主観であり、システムからすれば関知しないことである。

言うまでもなく、システムの創発性には、「人間にとって望ましい性質」もある。システムづくりとは、「望ましいシステム創発性が生じるように、要素間の関係性を設計すること」という言い方もできる。

昨今のキーワードである「DX(デジタル・トランスフォーメーション)」は、デジタル化によってそれまで繋がっていなかったものを繋ぎ、新たな関係性を生じさせることで価値を創出することである。これも、システムの創発性を生じさせていることになる。

「狙って創発性を生じさせる」ことができれば、面白いシステムづくりができる。

STAMP/STPAは、システムの創発性として「危険な事象」に気づくためのツールであるが、「危険な事象」と「望ましい事象」は創発性の観点からは区別がない。したがって、STAMP/STPAの応用で、「望ましい創発性」に気づくことも可能である。

 

ここまでのまとめ

ここまで書いたことをまとめると、次のようになる。

  • 安全は、システムの創発性である。
  • 創発性は、要素の振舞いについての完全な知識があっても、演繹的に予測することはできない。
  • このことが、システム安全を保証することはできないことにつながる。
  • しかし、その難しい挑戦に対して、ベストエフォートを尽くすための道具としてSTAMP/STPAが位置づけられる。
  • 創発性は、危険事象(望ましくない性質)だけではなく、望ましい性質もあり、それらの区別はない。したがって、システムづくりにおいて「望ましい性質を分析する」目的にSTAMPの考え方を応用することも可能である。

 

望ましい性質の分析にSTAMPを応用する例は、別の記事にまとめる予定。