メインフレーム全盛期にOSのスーパバイザ部分の開発に携わると同時に、SEへの技術支援をした経験があります(プロフィール)。この技術支援の中には、トラブルシューティングも入っています。OSは情報システムのインフラで、各種システムはこれが正常に機能することを前提として実行されているので、万が一にもダウンしてはいけません。ダウンしないように仕様を決め、コーディングしてテストを繰り返し、品質(信頼性)を向上させます。そのためには、必ずデザインレビューを行う必要があります。どのような項目についてテストすれば漏れなくテストしたことになるのかもレビューの対象にしなければなりません。ハードウェアからの信号をキャッチした時の動作もこの中に含まれるし、同時に複数の信号や判断のリクエストがあった際にどの様な順番で処理をするのかも、情報システム、コンピュータを止めないためのテストとして必要です。また、そのテストを行う方法についても、それでテストしたことになるのかもレビューの対象になります。中規模のOSで50~100万ステップ、都銀やJR、大企業で使うような大型メインフレーム向けのOSでは、数百万ステップになるOSなので、テストに費やす工数は多大です。開発技術者も神経をすり減らしますが、OSは情報システムが安定して動くための基盤なので、全てを疑ってかかるほどの品質向上を行わないと顧客は安心して情報システムを運用することができないので、作る者の義務として昼夜を問わず開発、テスト作業に当たります。今のような厳しい残業時間規制がない時代だったから可能だったのかしれません。
しかし、そこまでしてもOSのバグでシステムダウンというトラブルが起きることがあります。テスト項目、テスト方法のレビューが十分でなく、抜けがあったとか、緩かったなどがその原因ですが、OSを開発する技術者として想定すべきことを想定していなかったという人為ミス!決しては想定外の事故ではありません。
都銀の事故では、預金を引き出せなかったり、振り込みができなかったりすることで、損害を被った場合の保証をしなければならないし、製造業で生産計画通りの製品ができなかったことによる損害が生じ、この保証もしなければなりません。航空管制システムのミスや新幹線の運行システムにトラブルが生じた場合には、人命に関わります。想定外は許されません。
しかし・・・
東日本大震災の際、大津波に襲われた福島原発が全ての電源喪失で核分裂反応を続けて高熱を発している原子炉を冷却できなくなり、高温に耐えきれずに爆発! 炉心が溶融して未曾有の被害をもたらしました。原子炉の冷却装置が停止して炉心の熱が異常に上昇し、燃料が溶融して炉心の下部へ落ちていくメルトダウンは、炉心溶融が生じた後、溶融した燃料が原子炉圧力容器下部に落ちていく現象ですが、二重三重の対策が施されているのであり得ないとされたこのメルトダウンが起きてしまいました。後始末費用は膨れに膨れて20兆円に届きそうですが、それも何時までにという見通しがつかないのだから、幾らかかるかわかりません。そもそも、即死レベルの放射線を出す溶融したデブリを取り出す技術的な方法が見つかっていないのだから、話しになりません。
この時、それまで安全神話のお題目を唱えてきた専門家たちは『想定外』を口にしました。東大教授はじめ、錚々たる専門家が『想定外』と言えば、国民はやむを得ないと理解してくれると思ったのでしょうか?素人やにわか専門家が想定するなら想定外もあるでしょうが、素人やにわか専門家が想定できないことを想定できるのが本物の専門家ではないでしょうか?
そもそも、100%安全、完全というものは作れないというのが、信頼性工学の教えるところです。信頼性工学を講義を受けたのは55年以上も前のことですが、その時宇宙、深海など未知な領域を探査する機械の信頼性はNine elevenと教えられました。Nine elevenとは、9が11個並ぶのことで、99.999999999%の信頼性のことです。月面に人類が到達できたのは、この信頼性を以てしてのことでしょう。しかし、少し考えると0.000000001%のトラブルが発生する確率があるということです。
専門家の言うところの想定外とはこの0.000000001%が起きたということ?しかし、そうではありません。大津波で地下に設置した補助電源の発電機7台が全て使えなくなったことが想定外かを考えれば素人でも分かります。
補助電源を7つも用意していて万全を期していたはずですが、その補助電源設備は全て同じ部屋に設置されていました。しかも、ハリケーンの多い米国のアドバイスにより地下室に!この部屋が地震と津波でいっぺんにやられてしまい、全ての補助電源を一挙に喪失してしまいました。
海岸近くの場所だし、地震国の日本なのに地下に設置して良いのか、7台を一ヵ所ではなく、分散しなくて良いのかがレビュー項目に挙がっていなかったのでしょうか。地下に置くことは、米国GEのアドバイザが地下に置くべきと言ったそうですが、その理由は・・・米国はハリケーンが多いので地下の方が安全ということ。福島原発は米国ではなく日本。しかも米国のような内陸ではなく、海岸であり、地震国の日本には津波があることを考えれば、地下ではなく、建屋の上部、あるいは高台に置くべきという常識が働かなかったようです。また、7つの補助電源を分散して配置すべきという、当たり前の発想がどうしてできなかったのか?これらはいずれも想定外ではなく、想定内!
ひょっとしたら、デザインレビューなどなく、米国GEに言われるままに施工したかもしれませんが、情けないことに専門家たちは万が一の場合には、『想定外』で済まそうとしたようです。都合の悪いことは起きない・・・起きたら想定外!これは専門家ではなく、御用学者というものです。
※質問はosugisama@gmail.comにどうぞ。
※リブログを除き、本ブログの無断転載、流用を禁じます。