2012年11月10日

◆ エレベータの安全二重化とは

 エレベータ事故が起こったので、安全の二重化を求めているという。これはわかりにくいが、どういうことか? ──
  
 エレベータ事故が起こった。従業員が入口で転んで倒れたのに、扉が開いたままエレベータが上昇したので、壁との間に挟まれた従業員は死んでしまった……という事故。
 そこで政府は、安全の二重化を求めているという。しかし、安全の二重化とは何か?
 《 国交省、エレベーター安全装置の二重化促す通知 》
 国土交通省は6日、扉が開いた状態で上昇・下降する誤作動を防止する安全装置の「二重化」をエレベーターの設置者に促すよう、自治体や関係団体に対し通知した。
 同省によると、安全装置の「二重化」は09年9月から新設機を対象に義務化されているが、改正前の約70万台は自主的な対応を求めるにとどまり、一台数百万円とされる費用などが理由で対策が進んでいない。
( → 読売新聞 2012年11月6日
 これを読んでも「安全装置の二重化」とは何のことか、さっぱりわからない。
 常識的に考えれば、「安全装置」とは、「扉の開閉をチェックする装置」のことだ。光または磁気のリレー式の検出器だから、自作すれば1万円ぐらいでできる装置だ。それが数百万円もかかるとは、どういうことか? 
 不思議に思ってネットを調べてみた。
 《 エレベーター ブレーキ二重化対策を 》
 国土交通省は、エレベーターを設置している全国の施設に対し、ブレーキを二重にする安全対策を取るよう文書で求めました。
 エレベーターについては、6年前、東京・港区のマンションで男子高校生が死亡した事故をきっかけに法律が改正され、ブレーキを二重にする安全対策が義務づけられました。
 しかし、先月、金沢市で事故が起きたエレベーターのように、法律が改正された平成21年より前に設置されたものについては対象になっていませんでした。
 今回の事故の原因は分かっていませんが、国土交通省は、安全性の確保が急がれるとして、6日、自治体や関連団体を通じて、エレベーターを設置している全国の施設に対し、ブレーキを二重にする安全対策を取るよう文書で求めました。
( → NHK 11月6日
 これから、次のことがわかる。
  ・ 「安全装置の二重化」とは「ブレーキの二重化」のことだ。
  ・ そのきっかけは6年前の事故だ。
  ・ 今回の事故の原因はわかっていない。

 
 さらに情報を求めよう。
 《 エレベーター事故 補助ブレーキ設置進めよ 》

 6年前、東京都港区で男子高校生が犠牲になった同様の事故が思い起こされる。この教訓をもとに国土交通省は平成21年、建築基準法施行令を改正し、二重の安全装置に当たる補助ブレーキの設置を義務付けた。
 ところが、改正以前に設けられたエレベーターは対象外で、今回の事故機にも補助ブレーキがなかった。事故を起こしたエレベーターは、6年前と同じ「シンドラーエレベータ」社(本社・東京都江東区)製で、ブレーキや制御盤なども同型だったという。
 日本エレベーター協会によると、改正以前に設置され、いまも補助ブレーキが付けられていないエレベーターは全国で60万台以上に達するという。
 補助ブレーキの普及が遅れているのは(1)設置費用が数百万円と高額(2)取り付け工事に1、2週間かかり、高齢者や体の不自由な人が利用できなくなる−などの理由があるからだ。
 国交省は今年4月から設置費用の3分の1を補助する事業を始めたが、事故が起きてしまった。国交省は全国のすべてのエレベーターに補助ブレーキを設置できるよう、ビル会社などに働きかけてほしい。とくに公共的な建物では、強く指導することも考えるべきだ。
( → 産経新聞・社説 2012.11.5
 これによると、「ブレーキの二重化」とは「補助ブレーキの設置」のことらしい。しかしそのためのコストは数百万円もかかるので、普及していないようだ。
 では、補助ブレーキとは何のことか? どうして数百万円もかかる方法しかないのか?
 《 エレベーター事故/教訓をないがしろにした 》
 シンドラーのエレベーターと聞いて、多くの人が「またか」と感じたに違いない。
 東京都のマンションで男子高校生=当時(16)=が亡くなったのは2006年6月。6年後の先月31日、金沢市のホテルでパート従業員の女性(63)も犠牲になった。
 6年前は降りる際の事故だったが、ドアが開いたまま動いた点は共通している。両方のエレベーターは、ブレーキや制御盤が同じタイプだという。
 国土交通省の調査では、6年前の事故原因は部品の摩耗でブレーキが利かなくなったことだった。摩耗の異常に気付きながら対策を取らなかったとして、シンドラー社などの5人が業務上過失致死罪で起訴された。
 同社をめぐる問題はこれまで何度も起きている。07年には社員53人の実務経験を偽り、エレベーター検査者の国家資格を不正に取得していたことが発覚した。
 おととし4月には、エレベーターをつり下げている金属製ロープ3本のうちの1本が破断するという、信じ難いトラブルもあった。
 国が即座に行うべきは、ドアが開いたままでは動かないような安全装置を全国のエレベーターに設置させることだ。建築基準法で09年以降に新設されたエレベーターは設置が義務化されたが、それ以前の約70万基は対象外になっている。
 新基準をさかのぼって適用する「バックフィット」を採用しない限り、エレベーターの安全性は到底確保できない。
( → 河北新聞・社説 2012年11月10日
 これを読むと、ようやく真相がわかってくる。
  ・ 6年前の事故では、ブレーキの部品の摩耗が理由だった。
  ・ そのせいで当時はブレーキが作動しなかった。
  ・ ブレーキを二重化すれば、一方が作動しなくてもOK。
  ・ だからブレーキを二重化しろという案が生じた。

 つまり、過去の事例の踏襲である。これについては、6年前の事故の被害者の遺族の声がある。
 《 エレベーター事故被害者遺族 》
 (事故当時)ブレーキが利かなくなると、扉が開いたまま上昇する事故を防ぐことができない状況だったのです。だからこそ、扉が開いたまま上昇する重大事故を防ぐためには、二重ブレーキが必要でした。
 なぜ日本は、二重ブレーキ設置義務化が遅れたのか。海外ではカナダ、アメリカ、韓国、香港、中国等ですでに二重ブレーキの設置が義務化されていました。
 日本では、このエレベーター事故をきっかけに平成21年9月に二重ブレーキ設置がやっと義務化されました。ところが‥‥既存不適格不遡及のため義務化される前の70万台のエレベーターは、二重ブレーキ設置義務化の対象外となっています!
 利用者の安全を平等にするために、全てのエレベーターに二重ブレーキを設置していただきたい。 事故から5年7カ月、46万もの署名を提出し、今も訴え続けています。
 つまり、6年前の事故の遺族が「二重ブレーキがなかったのが事故の原因だ」と強く訴えて、国に働きかけたので、今回の事故を見て、国が遺族の声を聞いた、ということらしい。

 ──

 ここで、以上を整理しよう。
 「安全装置の二重化」というのは、実は、「ブレーキの二重化」のことであった。それは「ブレーキが摩耗して作動しなくなっても大丈夫なように」という意味であった。そのために、ブレーキの二重という数百万円のコストのかかる方法を普及させよう、ということらしい。

 しかし、である。
 多大なコストがかかるのでは、普及しないのも当然だ。そして、それでは事故がなくならないのも当然だ。とすれば、「ブレーキの二重化」を推進する声は、「安全を高めよ」という方針とは合致しないことになる。
 「金がいくらかかってもやるべきだ」
 という主張もあるかもしれないが、そういう人がいるのだったら、その人に金を出してもらえばいい。「金は出さないが口だけ出す」なんていう意見の人は、口にチャックをかける方がいい。

 ──

 まず、原理的に考えよう。
 「ブレーキの二重化」は、実は、安全をもたらさない。なぜか? 次のようになるからだ。
 「ブレーキが摩耗して作動しなくなるが、その後は補助ブレーキが作動するので、とりあえずは安全だ。しかしやがて補助ブレーキが摩耗するので、今度は補助ブレーキの不作動によって事故が起こる。それを防ぐためには、第3のブレーキが必要となる。それもいつかは摩耗するから、さらには第4のブレーキが必要となる。……以下、繰り返し」
 要するに、「ブレーキを増やす」という方針は、「事故の確率をいくらか引き下げる」(事故が起こるまでの歳月を延ばす)という効果はあるので、それなりに有効だが、抜本的な対策とはなっていない。それでいて、コストが莫大にかかる。システムを大がかりに改修するからだ。
 簡単に言えば、
 「ブレーキの二重化は、効果があまり大きくない割には、コストが莫大にかかる」
 という方式であり、きわめて非効率なのである。こんな方針を推進するのは、馬鹿げている。はっきり言って、やるだけ無駄に近い。

 ──

 では、どうするべきか? まずは、事故の原因を探るといい。
 6年前の事故では、こうだった。
 「事故の直接の原因は、部品の摩耗だった。しかも、摩耗の異常に気付きながら対策を取らなかった」
 これだったら、対策は簡単だ。
 「部品の摩耗をチェックして、摩耗した部品の交換を義務づける。交換しない場合は、運行を停止させる」
 これを一言でいえば、
 「定期点検の実施と、部品の交換」
 である。それだけだ。そして、その当然のことがなされなかったから、事故が起こったのだ。

 なすべきことを間違えてはいけない。比喩的に示せば、次のようになる。
 「どこかの自動車が暴走して、通学の児童をたくさん死傷させた。事故の原因は、ブレーキのパッドが摩耗して、ブレーキが作動しなくなっていたことだった。自動車は点検を受けて、ブレーキの摩耗が判明していたのだが、点検した業者が修理しないで所有者に返却したため、整備不良のまま自動車が停止不作動になってしまったのだった。ところが、これを受けて、政府はあらゆる自動車にブレーキの二重化を命令した。すべての自動車の保有者は、ブレーキの二重化という改造をするために、数十万円の出費を強いられることになった」
 あまりにも馬鹿げている。誰かが整備不良のせいで事故を起こしたからといって、整備をしっかりやっている一般ユーザーが多大なコストを払う必要はないはずだ。確かに、ブレーキを二重化すれば、上記のような事故は免れるだろう。とはいえ、事故の原因は、ブレーキの二重化がなかったことではなく、自動車が整備不良だった(ブレーキを補修しなかった)ことなのだ。物事の対策の方向が、完全に狂っている。

 だから、6年前の事例に則して言えば、対策は「ブレーキの二重化」ではなくて、「整備をきちんとすること」なのである。つまり、
 「定期点検の実施と、部品の交換」
 だ。これならばコストは僅少で済む。数百万円の無駄な出費はまったく必要ない。
 やるべきことを間違えてはいけない。

 ──

 一方、今回の事故ではどうか? 
 まず、事故の原因を見ると、「事故の原因は不明」である。ブレーキの部品の摩耗が理由かもしれないが、そうでないかもしれない。まだはっきりとしていない。
 そして、「ブレーキの部品の摩耗」が理由でないとしたら、「ブレーキの二重化」は、対策としてはまったく無効である。なぜなら、その場合には、「ブレーキが働かなかったこと」が理由ではないからだ。

 そもそも、事故の直接の原因は、「ブレーキが働かなかったこと」ではない。自動車の暴走で言えば、暴走の理由は、「アクセルを過剰に踏んだこと」であるから、「ブレーキが利かなかった」ということは二の次なのだ。なぜならブレーキを踏んでいないのだから、ブレーキが故障しようがどうしようが関係ないからだ。
 今回の事故で言えば、「エレベーターが止まらなかったこと」が事故の直接的な原因ではない。「エレベーターが上昇したこと」が直接的な原因だ。
 正常ならば、「扉が閉まらなければ、エレベーターは上昇しない」というふうになる。ここでは、アクセルが踏まれない状態だから、ブレーキが作動する必要もない。もともと動いていなければ、あえて制動させる装置は必要ないのだ。

 今回の事故の直接的な原因は、「扉の開閉装置のセンサーが正常に働かなかったこと」である。これに尽きる。
 とすれば、なすべきことは、「扉の開閉装置のセンサーを正常に作動させること」であろう。
 とすれば、ここを二重化するといい。つまり、二通りのセンサーを設置して、そのうちの一方が異常を検知したら、エレベーターの作動(上昇・下降)を OFF にすればい。(ブレーキを ON にするのではなく、アクセルを OFF にするだけだ。特に莫大なコストはかからない。ハードの改修は特に必要なく、ソフトの改修で済む。せいぜい、安価なセンサーを追加設置するだけで済む。)

 ただ、このようなセンサーについては、もともと設置されているはずだ、という指摘もある。
  → 個人ブログ
 とすれば、今回および前回、どうしてそのセンサーが働かなかったか、というのが問題となる。
 おそらくこれは、シンドラー社のエレベーターに固有の問題なのだろう。つまり、ブレーキではなく、センサーに問題があるのだろう。

 だから、政府が何かをやるべきだとしたら、「安全の二重化」として、「センサーの二重化」を推進するべきなのだ。一方、「ブレーキの二重化」は、コストが莫大にかかる割には、見当違いの対策であるにすぎない。
 それはいわば、「酒酔い運転の事故」があったあとで、「酒酔い運転をするな」と人々に指導するかわりに、「ブレーキを二重化せよ」とすべての自動車の改修を要求するようなものだ。まったく見当違い。



 [ 付記 ]
 本項の解説を読むことで、話の真相がわかってくるだろう。
 それに比べると、「安全装置の二重化を」と主張するマスコミの報道は、てんで見当違いだとわかる。
 いや、マスコミがおかしいというより、政府がおかしい。「安全装置の二重化を」という言葉で「ブレーキの二重化」を推進しているのは、政府だからだ。
 《 「全エレベーターに二重の安全装置を」 》

 通達は、建築基準法に基づく確認・指導をしている自治体に、設置者が年1回、検査結果や管理状況の定期報告に来る際、二重の安全装置をつける指導をするよう求めている。
 国土交通省が6日に出した通達に、(新潟)県内の自治体が戸惑っている。全てのエレベーターの安全装置を二重化するよう設置者に求める内容だが、県内の民間のエレベーターは約7千台。改造は1台約500万円かかり、「指導」しても簡単には改善できそうにないからだ。
 担当者は「マンション管理組合ですぐ500万円出せるところはまずない」と言う。
 「本来、緊急点検を具体的に指示するのが先ではないか」。 県建築住宅課の担当者は、そうぼやく。
( → 朝日新聞・新潟版 2012年11月09日

 ここには政府の勘違いがある。その勘違いをマスコミも引き継いでいる。こうした事情をきちんと指摘しているのは、本サイトぐらいだ。
 


 [ 余談 ]
 今回もまた、トンデモマニアが湧き出てきそうだ。 (^^);
 「専門家の言うことは正しい! 素人が口を出すのはトンデモだ! 政府がブレーキを二重化するべきだと言ったら、それが正しいのだ! 真実は多数決で決まるのだ!」
 
 実は、今回の事故の本当の原因は、
 「専門家に任せておいたこと」
 である。つまり、シンドラー社にエレベーター管理を丸投げしていたことだ。
 そして、そのことは、東電の原発事故と同様だ。

 一般に、専門家というものは、専門知識があるが、それを自分の利益のために使うだけであって、他人(特に社会)のために使うのではない。シンドラー社の専門知識は自社のために使われるだけだったし、東電もまた同様だった。
 こういう状況において「専門家は常に正しい! 専門外のことに口を出す素人はトンデモだ!」という非難が、どういう結果をもたらすか、理解しておくといい。
 たとえば、私は「原発の安全性を高めよ」と主張したが、そういう発言者を「トンデモだ!」という非難したあげく、結果的に、原発事故が起こった。
 トンデモマニアは、ある意味、原発事故の共犯者なのである。



 【 追記 】
 安全装置二重化という言葉は、政府が誤解したものであるようだ。
 
 2006年の高校生の事故は、マイコンのバグであった可能性が高い。
 そこで、マイコンによる安全装置とは別の安全装置を用意せよ、という提言がなされた。これが「安全装置二重化」である。
 → 失敗学による分析と提言 (重要!)

 さて。この「安全装置二重化」が具体的に何をするかは、ここでは明示されていなかった。そのせいで、政府は「安全装置二重化」を「ブレーキの二重化」のことだと勘違いしてしまったらしい。それで、「安全装置二重化をせよ」というお触れを出して、「ブレーキの二重化」を推進した。

 以上が、従来の経緯であるようだ。
 そこで本項では、正しい方向を示している。「安全装置の二重化」とは「ブレーキの二重化」のことではない、と。特に、センサーによる開閉のチェックだ。ここをチェックして、扉が開いたままではエレベーターが動かなくなるという仕組みを設置するべきだ。
 そもそも、「扉が開いたままではエレベーターが動かなくなる」という仕組みぐらいは、大昔のエレベーターでさえ、機械的に成立していたはずだと思う。そんな機械装置を作ることがごく簡単だからだ。(扉という可動部品を使って 電源スイッチの ON・OFF をするだけだ。ごく簡単。)
 この程度の装置が付いていないエレベーターは、欠陥装置なのだから、使用停止にした方がいいだろう。最初に安物を買った人が悪い。この程度の安全装置は、たいていのエレベーターに付いているはずなのに、まともなものを買わない方が悪い。ブレーキの付いていない自動車を買ったようなものだ。使用停止にされても仕方あるまい。

 ※ 現状の安全規定
   → 扉が閉まらないと、エレベーターは動きません (日本エレベーター協会)

 なお、シンドラー社の場合には、この安全装置が付いていなかったのか、付いていたのに働かなかったのか、判明していない。付いていなかったのならば、「付けること」を義務づけるべきだ。付いていたのならば、「二重化」を義務づけるべきだ。

 ただ、事故がシンドラー社に限られていることから、義務の対象はシンドラー社のエレベーターだけでいいだろう。
 シンドラー社がやばいということは、下記の情報からわかる。
  → 失敗学による分析と提言 の「社会について」
  → 機能安全と安全工学: 昇降機の安全

 なお、安全装置の二重化について「費用が500万円」というのは、マスコミの誤報か勘違いだろう。ブレーキというシステムの二重化ならば、大がかりな変更が必要なのでそのくらいのコストはかかる。しかしセンサーの二重化ならば、ごく安価な費用で済むはずだ。
 マスコミの報道は、ブレーキの二重化と、安全装置(センサー)の二重化とが、ゴッチャになっている。
  
( ※ センサーが作動した場合には、ブレーキを作動させるのではなく、上昇モーターの作動が起こらなくなるだけだ。何かを作動させるのではなく、何かを作動させないだけだ。特に複雑な機構は必要としない。電気系の部品だけで足りる。)



 【 注記 】
 本項はコメントに重要な情報があります。是非お読みください。特に  2012年11月14日 00:32   の箇所。
posted by 管理人 at 09:37| Comment(7) | 安全・事故 | 更新情報をチェックする
この記事へのコメント
政府主導のブレーキ二重化はあまり意味がなくセンスが悪い。これはソフトの変更だけで解決できる。
ブレーキバッドの摩耗は急速に進行するものではなく兆候が出始めてから徐々に悪化する。
その兆候を捉えればいい。具体的にはブレーキドラムに回転検出センサを付け、本来動くべきでない時間帯にセンサから信号が出たら
それを異常として外部に知らせればいい。例えるなら車のオイルが減少したらオイル過小ランプが点灯し注意を促すのと同じ。
その信号を知り即座に対応するか、少し様子を見るかは運用方針次第。敢えてドラム自体の回転をセンシングしなくてもワイヤーの動きを
捉えるセンサーは既設のためそれを流用してもいい。これならソフトの変更だけで済む。要はセンサーを使うセンスの問題。
Posted by 検証家 at 2012年11月11日 11:29
ちょうど、エレベーターの2012年問題(日本国内の大手エレベーターメーカーが、製造中止から20年程度を超えた機種の交換部品の新規供給を停止予定)が有るので、この機会に全国的に更新が進めば良いなと思います。

費用は、エレベーター1台のリニューアルプラン(モーター・ロープ・制御盤交換・カゴ内パネル貼りなど)で、一発目の提案が500万円という場合が多い様です。もちろん、競合させれば下がります。

ブレーキ二重化よりも、動いちゃった事の方が問題というのは全くその通りだと思います。おそらくソフトウェア(といっても大昔は論理回路で作り込みしていたと思いますが)のバグではないでしょうか。エレベーター制御なんて一度作ると、もうソフト屋さんは不要なので、ノウハウが残っていない可能性が有ります。推測にすぎませんが...

どちらにしても本当に古いものは新型に入れ替えないと、ハードもソフトもマトモにはならないですね。
Posted by MSどす at 2012年11月12日 20:52
追記 メーカーが大手だからといって安全対策が信用できるわけではない。
私事になるが、以前コンテナクレーンのメンテをやっていた。エレベーターと同じ無励磁作動型
ドラムブレーキが付いている。このブレーキバッドとドラムの隙間を調整するメンテ指示書が
間違っていた。このミスを指摘したのだが誰も理解できない。そこでダンボールで模型を作り
シミュレーションで理解を得た。天下のIHIと言えどもこのようなミスを放置していた。

実は前記のような対策はNASAや航空機などでは超信頼性を得るために体系化されている。
主制御と異常検出制御とは別に組む必要がある。家電でも異常信号をコードで出しメンテの参照にしている。

センサーを使うセンスの問題と書いたが、安全対策の造詣と問題意識がないと的確な制御ができないものだ。
(HDDのバックアップに同じHDDの別領域を使うようなもの)

余談になるが、森ビルの回転ドアの安全対策案を事故当日に私はネットに書いた。
失敗学の畑村教授が同じ結論に達し、提案したのはそれからしばらく経った後だった。
(ドアを折れ曲がり式にし、挟まれてもケガに至らない方法。本質安全から帰納される)

シンドラー社の最初の事故でもこのセンサーの有効化と別制御の必要性をすぐ2ちゃんに書いた。
やる気とセンスのいい対策案で、コストをほとんどかけずとも事故は回避できる。
Posted by 検証家 at 2012年11月13日 00:00
私も追記...
30年以上前のコンピュータ業界では、高価なメモリの使用量を1バイトでも減らす事がプログラマーに求められていました。40年前のエレベーターも現存していますが、その頃は本当にギリギリでやっていた事でしょう。

ハードの追加で済めば改良出来るでしょうが、ソフト上の論理やチェック条件の追加は「古い機種」では難しいと思います。

エレベーターは定期検査が義務づけされていますが、どこかの時点で○○年以上古いものは不合格とするしか無いのでは。
Posted by MSどす at 2012年11月13日 08:55
最後に 【 追記 】 を加筆しました。
Posted by 管理人 at 2012年11月13日 12:38
管理者追記の 「失敗学による分析と提言」の中村氏は残念ながらセンスが悪い。本質を見ていない。
自身で制御回路を設計したことがないのが文面から窺い知れる。現場観察力も低い。これは悪口でなく
専門家らしき人間がいうことが正しいと盲目的に受け取ると改善すべきポイントがずれ的外れな対策になってしまため
その警鐘として前向きな批判であり氏を貶めるつもりはない。

確かにリレーの接点固着やコネクタの緩み等での接触不良、再現性のないノイズ(違法CB無線)等多数要因はある。
それを踏まえた上でどこを検出したら効果的かを考えるのが正しい。ブレーキドラムの回転量をチェックするのが一番いい。
それならバッドの摩耗やコイルのレイヤーショート(層間短絡 中途半端な出力になり究明が遅れる)も発見できる。

私は貨物用エレベーターを自作し工場に設置してある 2度リレーの短絡で異常動作している。しかし異常時は主モーターのメイン接点を
強制開にする物理的な対策をしていたため事故にはならなかった。(他の様々な工夫は略)

ソフト屋は現場知らずで機械的に組む。そこに接点異常やヒューマンエラーはあまり想定しない。特に制御に長けた数学系のソフト屋は
冗長な回路になりがちで迷路的なロジックを組む。

ある部分がOKにならないと次行程に進まないことをインターロックというが、そのスイッチの内部が劣化したことを盛り込んだ回路にすべきだ。
この辺りが現場知らずの設計屋の苦手なところだ。私は効くはずの非常スイッチが錆による劣化で「開」にならず何度もヒヤリとしている。

少しの工夫で機械は安全になる。最近は設計も保守も外注化し、仕様を満たしたら後は知らん、という風潮が安全を侵しつつある。
Posted by 検証家 at 2012年11月14日 00:32
中村氏は農学部の聴者として聞いてまとめただけで、ど素人です。
 講演者は失敗学の会長で、これも非専門家です。
 専門知識がないのは仕方ないですね。

 そちらの専門知識は有益なので、本文末尾に注記しておきました。ご指摘ありがとうございました。
Posted by 管理人 at 2012年11月14日 07:16
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

過去ログ