平成18年6月3日に東京都港区シティハイツ竹芝において起こってしまったエレベータ事故に関して、社会資本整備審議会建築分科会建築物等事故・災害対策部会昇降機等事故対策委員会(長い・・・・)が、事故調査報告書を公表致しました。
国土交通省:報道発表資料:「シティハイツ竹芝エレベーター事故調査報告書」の公表について
また、報告書PDFは、シティハイツ竹芝エレベーター事故調査報告書
にて参照できます。55頁の報告書で詳細に調査してありました。
まず、この悲しいエレベータ事故で亡くなられた方(高校生)にお悔やみ申し上げます。日常的に使われており、技術もこなれているエレベータでこのような事故が起こってしまったのは本当に悲しいことです。彼の死を無駄にしないためにも、事故の再発が無いように努めなければなりません。まず、あらゆる業種のエンジニアの皆さん(ソフトウェア・エンジニアも含む)は、上記の報告書を是非読んで頂きたいと思います。報告書後半の付録では、エレベータのブレーキの原理も図示されよく分かりますし、今回の事故が複合的に起こっているのもよく分かります。設計に関する不具合、安全性(フェイルセーフ)の考え方、メンテナンス・保守の方法、実施体制などあらゆる面で勉強になりますし、皆さんの業種・ジャンルでも学ぶべき所がきっとあるかと思います。エレベータ業界の事故と客観視せず、同じ様な視点で自分の業種を見たときに、同じ様な事故・不具合に繋がらないか再考して頂きたいです。もちろん私の人工衛星開発の分野でも学ぶ的ところは多いと思いました。また、マンション・ビルなどの管理者の方でエレベータを設置している方も参考にされると良いかと思います。メンテ業者に依頼されているかと思いますが、今回はそのメンテ業者が直接的な原因となっている箇所を”チェックしていなかった”ので、お金を払ってメンテをしていても事故は起こりうることを認識された方が良いかと思います。
さて、今回の事故の原因ですが、詳しくは報告書をご覧頂きたいですが、複合的な理由で起こっています。簡単に述べてしまうと
■エレベータのカゴが各階に停止する際に掛ける電磁ブレーキがあり、この電磁ブレーキが摩耗によって効かなくなり、扉が空いた状態でカゴが昇降を始めた。
これが原因となっていますが、この事故に至るまでは複合的な要因があります。
1)電磁ブレーキは、ブレーキドラムをブレーキライニングを介して、ブレーキアームで挟み込むことで摩擦力を発生させてブレーキとする。ブレーキアームは、バネを用いて”何もしなければブレーキが掛かる”様にドラムをデフォルトで挟む仕組みである。ソレノイド(ブレーキコイル)に電流を流す事によって、ブレーキアームをドラムから引き離しブレーキを解放する仕組みである。今回、このブレーキコイルの抵抗値が、規定より半減していた(コイルの途中が振動などの摩耗で端子と接触してしまい、抵抗値が半減した)。そのため、ソレノイドの電磁力が低下し、アームを十分にドラムから引き離すことができず、事故前まで”常に半ブレーキが掛かりながら運用していた”。その為、ブレーキライニングが大きくすり減っていた。その為、バネを用いてデフォルトで制動される(効く)はずのブレーキが効かなくなった(つまり階に停止中にカゴをしっかりと固定ができない)=摩擦する部分がすり減ってなくなっていたため。エレベータはカウンターウエイトによりバランスを取っているため、このブレーキが効かないことで動き出して事故に繋がった。
2)ブレーキコイルは、コイルですので導電線が何回も巻いてあります。その導線の末端と末端に電流を加えないといけないのですが、振動など?の影響でコイルの途中と末端がショートして繋がってしまったようです。コイルの途中でショートしないように一般的な絶縁対策は取られていたようですが、結果的にはショートしたわけですから、根源的な原因はこの部分の設計ミス(またはショートしない対策方法が甘かった)と言えます。
3)直接的な原因は1)、2)で述べたものですが、エレベータは人の命を運ぶものですし、長期間に渡って使われるものですから、メンテナンス・保守が必須のエンジニアリングです。設計ミス要因は確かにありましたが、壊れないものなど世の中には存在しないので、壊れそうな部分を定期的にメンテナンスする必要があります。今回、マンション管理者(公団)からエレベータの保守業務を受けた業者は、この”ブレーキライニング”の摩耗に関しては、”検査していない”とのことでした。
4)シンドラーの専用メンテナンスマニュアルがなかった:マンション管理者(公団)も、エレベータ保守業者も、今回事故が起こったエレベータ専用の保守マニュアルを持っていませんでした。事故前にメンテを行った業者は、マニュアルがなかったため、東京都が定める”東京都昇降機等定期検査報告実務マニュアル(発行:東京都昇降機安全協議会)”をベースにメンテを行っていたとのこと。そのマニュアルには、今回の直接的原因となったブレーキの摩耗をチェックする項目がなかったかは不明ですが、メンテをした業者の定期検査成績書(上記PDF報告書の付表2)を見る限り、ブレーキの摩耗量を”定量的”に評価する項目は、そもそも”チェック欄”がないことがわかりました。このあたりが上記で複合的に起こった事故と述べた理由です。シンドラーとしては、エレベータ設計がどうなっている(このブレーキライニングが摩耗したら危ないという情報)情報を、メンテ業者に示すためにも、メンテマニュアルは必ず発行すべきですし、マンション管理者も設置エレベータのマニュアルを取り寄せるべきですし、メンテ業者もメンテを引き受けるなら一般マニュアルじゃなく、エレベータの個体マニュアルを取り寄せるべきだと思います。各プレーヤーがそれぞれ曖昧にやってしまったため、直接的な原因である摩耗をチェックするというメンテが”行えなかった”ことになります。つまり問題なのは、直接的原因に対して、”注目していなかった”ことです。
さて、原因は上記に述べたとおりですが、人が一人亡くなっているわけですから、同じ事を繰り返さないように我々も努力しなければなりません。我々エンジニアとしては、やはり設計技術を高めていかなければなりません。今回は、コイルの途中部分が剥げて短絡したという原因ですが、報告書から判断するにシンドラーの設計者の考え方が、”全系が全て正常に動作して成立する”設計思想と見受けられます。つまり、エレベータ全体のシステムを考えたときに、1つ故障箇所が起こっても他の部分でカバーする、サポートするという(いわゆる冗長系)が全く考慮されていないように思われます。今回のコイルの問題に置いても、短絡だけが問題ではなく、仮に短絡した際にアームが正常位置まで開いていないのを”検知”せずに、無理矢理動き出しているのが問題です。コイルにしろ、ソレノイドにしろ、コイルに投入する電力にしろ、アームが正常に広がらない要因は何個も思いつきます。複数の要因が考えられるわけですから、アームが規定位置まで正常に開いたかを検知するセンサーを搭載し、そのセンサーが作動しない限り昇降ロックを解除しないなり、いろいろ方法はあるはずです。報告書の説明は簡易的であるかもしれませんが、シンドラーエレベータ(事故機)のシステムは全体的に”全部がちゃんと動いている”のを前提とした設計であり、客観的に状態を把握するセンシング機能などが明らかに不足している印象を持ちました。
報告書:40頁付録3の事故発生前に発生した不具合報告において、”C:着床位置ずれ・目的階不停止・閉じ込め”に注目してください。床の位置ずれ、目的の階に止まらないという現象が数十回起こっています。これは、インバーターからのノイズで位置制御がずれるという原因の様ですが、ノイズ対策をしていないのがもちろん論外ですし、床の位置ずれを検知するセンシングができていないのが大問題です。おそらくこの設計思想ですと、どの部分が壊れるとどのような事故が起こるという想像力がエンジニアに欠けていると言わざるを得ません。故障が予想される箇所を想像できていれば、センサーなどを設置すると思いますし、この部分の点検をするように、メンテナンス業者にマニュアルを供給すると思われます。メンテ業者・管理会社が提出を求めなかったのも問題ですが、現実問題として、メンテ担当者はマニュアルを持っていなかったため、今回の事故を事前に防ぐことができませんでした。
私が行っている人工衛星開発では、打ち上げてしまったら修理ができないので、信頼性の確保はいろいろな方法で行っています。FMECA (Failure Mode Effect and Criticality Analysis)と呼ばれる手法で、衛星システム全体で、どういった故障モードが想定され、どのようにシステム全体に影響を与えるかを徹底的に解析します。その解析で、この部分が1つ壊れたら衛星全体が停止するような単一故障点になる箇所は、設計を変更したり、冗長系を組んだりして、信頼性を確保して行きます。ここはエンジニアと宇宙環境との想定される故障を事前に想像できるかの知恵比べです。そういったスタイルで設計して行きますので、基本的には”あらゆるところで故障が起こるのではないか?”という設計思想になり、上のシンドラーの思想(勝手に決めつけていますが)とは全く逆であると今回の報告書を読んで感じました。逆に宇宙開発では、ここが神経質になりすぎて、冗長構成を採用しすぎるあまりシステムが複雑化し、逆に故障モードが増えてしまったり、地上試験の項目が増えすぎて開発期間が延び、コストが指数関数的に増大しているという現実もあります。前回のブログで宇宙開発はほとんど世の中の役に立っていないと自分の首を絞めるような事を書きましたが、この辺の信頼性の考え方は少し技術転用できるかもしれませんね。(と、書きましたが、おそらくそれも自動車業界のブレーキなどの安全審査にはかなわないでしょう)
エンジニアとしては、とにかく想像力を働かせて、1)故障点を減らす設計を検討する、2)長期使用に耐えうる設計を検討、3)何か部分的な不具合が生じたときにセンサーなど客観的に状態を判断して停止するような機能を導入する、4)長期的に摩耗などが起こり得る箇所を全て洗い出し、メンテ業者に正確に伝える、などが今回の事故から改めて重要だと感じました。(物作りの正に基本ですが・・・)
ビル・マンションの管理者は、結局事故が起きれば入居者も去って行き不動産収入が減ることになるので、エレベータなどの設置インフラに対して、製品のマニュアルを取り寄せ、確実にメンテ業者に渡す姿勢が必要です。メンテ業者も、安易に入札して安いけど信用がおけない業者ではなく、誠実に仕事をしてもらうところを選ぶべきです。今回のシンドラー社を見ていると、やはり日本では国内メーカーおよび、そのメーカーがメンテをしているようなエレベーターが良いかもしれませんね。やはり設計者とメンテは同じ会社であるべきということが今回の事故からも良いことは明白です。エンジニアは私も含め、概してマニュアル作りが下手であり、摩耗などが起こり得る箇所を提示するメンテマニュアルがちゃんとできあがるか不安です。さらに会社がまたぐと、特許云々でより伝達精度が落ちる気がします。
メンテ業者は、基本的には”正常であることが多い”お仕事ですから、仕事が単調になり、問題箇所を見落としてしまう可能性は否定できません。更に、マニュアルもない状態で、東京都が作ったような汎用マニュアルでは、個別の故障点をメンテできるわけもないので、今回の様な事故は今後も起こる気がします。やはりマニュアルだけではなく、プロ意識を持って、故障しやすい箇所を想像して、自発的に検査する姿勢になって頂きたいと思います。
そして、今回のニュースを読んだ別業種の方(エスカレーター、プールの監視員、自動車、飛行機、自転車、電車、子供の遊具・・・・)は、ご自身の業種で事故が起こることを想像し、全ての物は”必ず壊れる”ことを前提に、それを適切な方法で検査しているかをもう一度検討して頂きたいと思います。
今回の一番の教訓は、設計の甘さの指摘ももちろんそうですが、”検査を実施していても、故障が起こりうる箇所を気付かず検査になっていないことがあり得る”ことだと思います。
最後に、普段お使いのエレベータで”床がずれる”、”異常な振動がある”、”望みの階に止まらなかった”、”突然急上昇・急降下を始めた”など、1回でもあった場合は、必ずメンテ業者および、エレベータの管理人に連絡すべきです。いつも確実に動いてあたりまえのエレベーターシステムにおいて、1回でもエラーがあった場合は、故障の前兆です。そのメッセージを見逃してはいけません。ちなみに私は、このブログでも以前紹介しましたが、六本木ヒルズ森タワーのエレベーターの異常振動に気づいていながらも森ビルに連絡しませんでした。その数ヶ月後にワイヤーが切れる事故がありました。起こらないならそれはむしろ良いことなので、世の中のシステムで何か異常に気付いたら大事をとって連絡するべきです。