News & Columns
2023年6月、タイタニック号の残骸を見学する潜水艇「タイタン」が行方不明となり、乗船した5名が死亡する悲しい事故が起こりました。この事故の原因は今後の調査の結果を待つところですが、こうした人間のリスク行動と技術の進化の相互作用による失敗の歴史は数多くあります。
エンジニアリングの歴史に詳しいヘンリー・ペトロスキー氏は、スペースシャトル事故やタイタニックの沈没などさまざまな失敗事例から人間のミスや判断の失敗をシステム的に分析することを通じて、失敗から学び、将来に同じ過ちを犯さないことを提唱してきました。ペトロスキー氏もこの6月に亡くなりましたが、今回のような事故が起き続けていることをさぞ無念に思っていることでしょう。亡くなられた方たちのご冥福をお祈りします。
この記事では、ペトロスキー氏が考察したタイタニック号の沈没について、システム思考で考えます。
Image credit: Nan Fry titanic / Flickr
最新技術を集めた「不沈の豪華客船」
タイタニック号は1909年に建造を開始し、1911年に完成しました。当時としては革新的な技術を用いた豪華客船でした。まず、その巨大な船体は、全長269メートル、幅28メートル、高さ53メートルあって、乗客2435人と貨物7500トン収容可能で、運営する船員も900人に及びました。また、3つの独立駆動プロペラと高速タービンエンジンを備えて、最大巡航速度は時速23ノット(約43km)とそれまでの大型蒸気船の時速20ノットを上回るスピードです。当時最新技術の無線通信装置が配備され、陸上の無線局と通信を行うことができました。そして、船の最下層は16の区画に分かれ、一部の区画が浸水しても隔離することによって浮力を維持する仕組みで、排水ポンプも備えていました。
当時の最新技術を結集したタイタニックの設計は、「不沈の豪華客船」としての賞賛をえました。最新技術の粋と豪華な内装を備えたタイタニックは、高いプレステージをもってメディアから注目されていたのです。このような評判を背景に、1912年4月10日、タイタニック号は大西洋を行き来する定期船として英国サウサンプトンを出港し、フランスのシェルブール、アイルランドのクィーンズタウンに寄港して後、乗客1300人以上、船員約900人を乗せてニューヨークへ向けての処女航海に出発します。
以下は4月14~15日にかけて、タイタニック号がニューファウンドランド島沖を航行し、沈没するまでに起こった出来事を時系列でまとめたものです。
4月14日
9:00 最初の氷山の警告を他船から受け、その後21:40まで合計6回の警告を受信する
船はフルスピードに近い時速22ノットで航海続ける
23:30 氷山のある海域に進入する
23:39 見張りが進路に氷山を発見、ベルをならし、無線でもブリッジに連絡、副操縦士は回避を試みる
23:40 右舷が氷山に衝突、浸水が始まる
4月15日
0:05 スミス船長は救命ボートの準備を始め、乗客の集合を命ずる
無線オペレーターに周辺の船舶へのSOS発信を命ずる
0:15 乗客に救命胴衣着用を命ずる
0:20 救命ボートへの乗船を始める
0:45 救命ボートの一隻が漕ぎ出す;ボートは数分おきに下ろされていく
1:20 すべての乗客に事態の深刻さがあきらかになる
救命ボートへの乗船は混乱状況に陥る
2:20 船は乗客・船員約1000人を乗せたまま沈没
その後1500人以上が溺死、寒冷ショックなどで死亡
4:00 RMSカルパシア号が救難で到着
9:15 他に2隻の船が到着し710人の生存者を救助
こうして、カルパシア号に救助された乗客・船員たちは4月18日にニューヨークへ到着する一方、1500人以上の人が亡くなる大惨事となりました。この大惨事はなぜ起こってしまったのでしょうか? 私たちは何を学べるのでしょうか?
なぜタイタニック号は事故を回避、緩和できなかったか?
起きた出来事を順に並べると図1のようになります。
しかし、このような因果は必然ではなく、多くの場合は適切な措置によって回避されるものです。そうした技術や人間による対処メカニズムを加えたものが図2のループ図となります。
B1ループ:氷山海域への警戒
タイタニック号の通信担当者は6回にもわたり氷山があることの警告を他の行き来する船から受けていました。この時点で、航行スピードを緩める、停泊するなどの措置をとることが可能でした。
B2/B2'ループ:氷山への接近時の警戒
氷山海域に入った時点で航行スピードを緩めることで、見張りの発見や対処がしやすくしたり、回避行動がとりやすくしたりすることが可能でした。
B3ループ:接触・衝突の回避
氷山が視認できた時点で、舵などを調整して氷山の衝突を回避し、あるいは、損傷を最小限にすることが可能でした。
B4ループ:浸水の封水・排水による浮力の確保
最新技術を用いたタイタニック号にでは、16区画に分けて、万が一浸水してもその区画を封水し、最大4区画までの浸水なら浮力を確保することが可能でした。また、排水ポンプ機能も備えていたので、区画された浸水を排出することで航行能力を回復する仕組みも備わっていました。
B5ループ:人命救助
万が一、浸水の結果避難が必要と判断される場合には、救命ボートに乗員を避難させることができます。また、最新鋭の通信装置を備えていましたので、近くを航行する他の船や陸の基地局に向かって、救助を求めることができます。
B6ループ:救難船への避難
救助に訪れた救難船へ乗り換えることで、食料、水、医療サービスなどを確保し、最寄りの港まで航海を続けることができます。
巨大な客船・貨物船のように、それ自体が複雑なシステムでは、フェイルプルーフとして、何か機能しないことがあったとしても冗長的にフィードバックの仕組みを組み込むことで安全を確保します。当時の最新技術の粋ともいえるタイタニック号もまた、そうした仕組みが設計され、万が一の際には適切に機能するはずでした。これらの対処メカニズムにもかかわらず、私たちが知るような大惨事が起こってしまいました。こうした事故に詳しいヘンリー・ペトロスキー氏は、単独の要因だけでなく、技術面と人的側面を含む複合的な要因によって事故が起こることを指摘します。
タイタニック号惨劇の複合的な要因
タイタニック号では、どのような複合要因が絡み合っていたのでしょうか? 下記の図3は、ペトロスキー氏や他の文献などで確認できた主要な事故及び被害拡大の要因を赤で書き加えたループ図です。
コミュニケーション問題(B1ループ周辺)
まず氷山海域進入の警戒がなぜ十分強まらなかったのでしょうか? 4月14日近くを航行する他の船から氷山や野氷の警告を最初は9:00に、ついで13:42に受け、スミス船長及び船会社の会長に報告されました。しかし、その後も21:40まで計6回の警告を受けたにもかかわらず、上記以降はブリッジに報告されていませんでした。このコミュニケーション障害の大きな要因は、通無線オペレーターは船会社の乗組員ではなく、乗客のために私信を送受信する無線電信会社の社員であったことです。無線オペレーターにとっては航行の安全のための無線業務は二の次となっていて、また前日の無線機の故障のため送信メッセージの大きな滞留を抱えて、氷山の警戒を伝えるどころではなかったというのです。こうして、他船からの氷山に関する警告は、一部しかブリッジまで伝えられていませんでした。
航行スピードと到着期限(B2/B2Aループ)
さて、起きた出来事から見るに、最大のレバレッジ・ポイントは航海スピードを減速することだったと言えるでしょう(B2ループ周辺)。しかし、氷山の発見された海域に入ってもタイタニックはスピードを緩めるどころか、最大速度に近い時速41kmで航行を続けていました。それはなぜでしょうか? これには、システムのゴールと関係者のメンタル・モデルが関わっています。氷山を警戒して航行スピードを減速すれば、到着時間の延着が確実に予期されます。しかし、当時の北大西洋航路定期船では、時間厳守を厳格にうたっており、加えて、最新鋭の船としてライバル船との時間競争をしている状況でした。こうして、期限目標が安全目標よりも優先されることとなります(B2Aループ)。また、当時の海事の習慣では、「氷は発見してから時間内にすくい上げて回避する」ような発想があったことに加えて、1907年に氷山に衝突して船首が砕けた船がそのまま航海を続けた実績があり、スミス船長は「現代の造船は超越している」「沈没するような状況は想像できない」と断言していました。こうして、減速するという選択が選ばれることはありませんでした。
氷山への衝突(B3/B3'ループ周辺)
氷山への警戒心が弱かった一方で、意図的にはぶつかろうとするものではありません。現場の航海士や操縦士たちは最大限回避の努力を図ります(B3/B3'ループ周辺)。物見は必死に氷を見張りますが、状況は簡単ではありませんでした。出発前のゴタゴタで双眼鏡を持たず、水平線にはもやがかかり、星灯りだけを頼りに、氷を探します。この日は海面が鏡のような凪であったために、波があれば見つかるだろう氷も見つけることは容易ではありませんでした。それでも見張りが氷山を発見するや否や、ただちにブリッジに報告され、操縦士は回避行動を図ります。しかし、方向を調整して回避するのは間に合いませんでした。航行スピードが最速に近かったために回避のための時間がわずかしかありません。それに対して、世界最大級の客船ですので、舵を切り始めてからの反応速度は少なくとも30秒かかります。また、船の舵は、前進の推進力があって効くものですが、減速のために中央プロペラとタービンのエンジンを停止させてしまったために舵が十分効きませんでした。背景にある一つの要因として、タイタニック号の乗組員の中で訓練を受けていたベテランは全体の5%ほどに過ぎず、エンジン室などを担当する機関士や他の乗組員のほとんどは寄せ集められ、タイタニック号の運営のための訓練はなされずつい数日前から働き始めた状況にあったそうです。こうして、さまざまな要因が重なって、タイタニック号の回避行動はうまくいかず、右舷が氷山にぶつかる事態となりました。
設計上の課題(B4/B4'ループ周辺)
さて、実質「不沈の豪華客船」との評判をもつタイタニック号ですが、最新鋭の技術と設計は機能したのでしょうか? 浸水の原因には諸説ありましたが、沈没したタイタニック号発見後の調査では、外から氷山で船体が裂かれたのではなく、船体プレートが氷山とぶつかった圧力でめくれ上がりその亀裂から浸水が起きていました。これが意味するのは、船体プレートを打ち付ける鋲であるリベットが裂けたかはじけたのだと考えられます。事故後の調査では、このリベットの品質や強度に問題があったことが判明したほか、当時の建造技術や完成までの時間のプレッシャーのもとでリベットの打ち込みも適切ではなかった可能性が指摘されています。こうして、16の区画中6つで浸水が発生します。区画の封水はなされたものの、浸水スピードは想定以上のものでした。排水ポンプを装備してたとはいえ、浸水(インフロー)は排水(アウトフロー)の15倍のスピードであったために、船内に溜まる水の量(ストック)はどんどんと増えていきます。そしてまた、想定外とも言えるのは、16の区画間の封水は、区画の上部ではなされていませんでした。したがって、区画の最上部に達した水は、次々と隣接する区画へと移動して、すべての区画を浸水させることとなったのです。
救命ボートの不備(B5/B5'ループ周辺)
処女航海に乗船していた設計者のアンドリューは、浸水の状況の報告を受けて、沈没は避けられないこと、そして完全な沈没まで衝突から2時間半ほどであることを予期します。スミス船長は全乗員の避難を決意し、乗員の避難を開始します(B5ループ周辺)。タイタニックの最大の悲劇の一つは、危機管理にあったと言えるでしょう。機関室など船の底では大変な状況になっていたものの、乗客用の船室やデッキでは大きな音や振動があったくらいであったために船長や船員の指示に懐疑的な人たちであふれていました。救命ボートによる避難は、ボートデッキに配置したボートに乗客たちを乗せて、海面まで下降させるとても複雑なものです。1等船室に比べて2等や3等船室の乗客に対応する船員の数は十分とは言えません。タイタニック号で行った船員による避難訓練は小規模なものを港で1回行っただけに過ぎず、出港後救命ボート訓練は予定されていたものも中止となっていました。船員は救命艇毎に割り当てられていたにもかかわらず、ほとんどの船員は割当を認識していませんでした。案の定、大混乱の中での避難となります。
もっとも致命的であったのは、当時乗船していた乗客と船員2200人余に対して、配備していた救命ボートは20隻、1200人ほどの収容能力しかありませんでした。この背景には、陸に近い航路の定期船での避難はピストンで輸送するため、最大の収容能力よりも遙かに少ない救命ボートしか用意してないのが当時の定期船運航会社の慣行でした。北大西洋を航行する客船としては妥当ではないメンタル・モデルです。数時間にわたって救助を待たなければいけない状況までイマジネーションを広げたならば、最大収容能力である3500人の救命ボートを用意して然りであったでしょう(B5'ループ)。実際に設計上では平均68隻の救命ボートを配備することが可能でした。しかし、この案は経営陣によって却下されてしまいます。それは、救命ボートを配備することよりも、海を一望できる広いプロムナード・デッキの視界を確保することを優先したためでした(B5Aループ)。加えて、多くの船員たちは一隻の救命ボートに何人乗船できるかについて、明確に認識できていませんでした。そのため、多くの救命ボートは定員近くの人数を乗せるよりも前に、母船から離れていったのでした。もし標準の救命ボートを定員68人まで乗せていたら、後500人の乗員を船に乗せることができたことが試算されています。ここでもまた、人材のトレーニング不足の影響が現れています。
未曾有の大混乱のもとに行われた救命ボートの最後の浸水は2:05頃でした。そして2:20頃にタイタニック号は沈没します。沈没の際にはまだ1000人以上が船に取り残され、凍てつくような海水に入っては、溺死や入水後数分で心停止やコールドショックのために亡くなりました。
救難船の到着遅れ(B6ループ周辺)
しかし、救命ボートへ乗船できた乗員たちのその後もけして穏やかではありませんでした。海水から助けられたものの、そのまま低体温症で息を引き取る人や、バランスの悪いゴムボートで海に落ちて溺死する人もいたそうです。最初の救命ボートが救助に向かったカルパチア号に救助されるのが4:00。その後2隻の船が到着して生存者710人を救助し終えたのは9:15でした。多くの人たちは数時間にわたって極寒の海の凍てつく夜を灯りも食料もない救命ボートで過ごしました。もし救難船がもっと早く到着していたならば、もっと多くの命を救えたかも知れません(B6ループ周辺)。ここでも、人的なエラーが重なって、最善の活動を妨げています。浸水してから0:05には船長からSOSメッセージの発信の指示が出されます。しかし、最初のメッセージには、救難場所を誤って伝えてしまっていました。また、電信通信会社の社員たちは、預かっていた40万通の郵便物を救おうと努力をしていた(結局ムダな努力となります)ことも、その後の発信メッセージが適切さに欠けるものにしていました。しかし、機関室など、タイタニック号の電気をできるだけ長く使えるように必死の努力を続け、最後の救助要請は1:40に発信されます。
最速のタイタニック号に対して後ろからでは簡単に追いつけるものではありません。事故の当時もっとも近かったのは、先に航行し氷山の警告を発信し、かつ氷山の難を逃れるために停泊していたカリフォルニア号でした。ところが、23:30には無線オペレーターが無線機を止め、また0:30頃にあった目視したロケット号砲の意味を理解することができず、救助に向かうのは翌朝を待つこととなりました。カリフォルニア号の船長は、大きな批判を受けることになります。
失敗の事例から何を学ぶか?
以上が、タイタニック号の周囲で起きていたことの考察の一部です。あなたは、この事例から何を感じ、あるいはもし学べることがあるとしたら、何だと考えますか? 大きな惨事は、さまざまな危機管理のメカニズムにもかかわらず、複合的な要因で起こります。とりわけ、技術的な課題とあいまって関係者たちのもっているメンタル・モデルや複数の目標、コミュニケーション問題などの人的な側面が相まって、その相互作用によって起こることも少なくありません。こうしたシステムの複雑性に取り組むには、包括的に取り組む必要があります。
図4:失敗からの教訓(青字及び青の太い矢印がその後の介入の一部を示す)
ペトロスキー氏は、氷山がタイタニック号の航海のタイミングであったことは確率の問題であったと言える一方で、例え確率が100万分1であっても、それが今起こるのか、あるいは何年も経って起こるのか、予測しがたいものだといいます。低確率であるゆえに考慮しないというのは、特に人命の関わる重要な問題では適切な思考プロセスではありません。
一方で、関係者たちの間に起こる共通したパターンが浮かび上がります。例えば、「タイタニック号は沈まない」というメンタル・モデルが共通で浮かび上がってきます。経営者も、投資家も、乗船を望んだ富裕層も、メディアも、みなこの前提を信じていることが、現場リーダーであったスミス船長が抱く「氷山にぶつかったくらいでは沈まない」という過信につながりました。おそらく、これだけ多くの人たちが信じ込むグループシンクが機能している状況では、誰もフィードバックすることは難しかったでしょう。
また、過信の裏には、さまざまな非一貫性や矛盾が潜みます。どんなに優れた技術や設計でも、それを作る人、運営する人、利用する人たちのヒューマンエラーによって、システムのほころびが簡単にできあがっていきます。世紀の豪華客船を航行させるために、航海の専門家以外にも無線、電気、エンジン、消防、ホテル、食事、音楽さまざまな人たちが集まります。しかし、1300人の乗客たちを組織化したり、巨大な蒸気船を動したりするには、さまざまな訓練が必要です。訓練を受けているのがわずか5%に満たない船員たちという状況では心許なく、より多くの人たちを巻き込んださまざまな訓練や統制を必要としました。にもかかわらず、不沈の船の過信の裏では、組織化や訓練のための努力が削られていきました。
そして、最終的には人々に賞賛されていた船のデザイン設計そのものも、事後にしてみると重大な欠陥があったことが判明します。ペトロスキー氏は、船体のプレートの固定にリベット接合を選択したこと、隔壁の数や高さが不十分であったこと、さらには設計者とエンジニアたちが自分たちの能力を過信していたことを指摘します。また、製造、設計、運営などさまざまな経営判断において、安全性よりも時間、競争、期限を重視したことが、今回の惨劇を招くことになりました。「不沈の豪華客船」と最速スピードという社会的期待を醸成するマーケティングが、関係者たちの意思決定の質を下げ、複合的な失敗の合成を誘発したと言えるかも知れません。
この災害をきっかけに、蒸気船のブームで技術開発が進み、競争が激しくなっていく海事の規制が不十分なものであったことが露呈します。技術の進歩は、えてして今までの規制では対応できない新たな問題を創り出すことにつながります。タイタニック号の事故を経て、救命艇の増設、救命艇訓練の適切な実施、旅客船の無線設備の24時間体制の確保など、新たな安全対策を実施するための海事規制が大幅に変更されました。北大西洋における氷山の存在を監視するために国際氷上パトロール隊が設置され、「海上における人命の安全のための国際条約(SOLAS)」が結ばれました。
技術に関わる悲劇の多くは、究極的には設計や経営を含めてそこに関与する人たちのヒューマンエラーによって引き起こされるといってもよいでしょう。一方で、技術に関わるのは、技術の仕組みをよくわからない多数の関係者たちであり、技術と関係者、関係者間の相互作用は、関係者たちのよかれと考える意図を超えて、合成によって問題を創発することがしばしばです。「技術は無実中立であり、すべて人の問題だ」として技術サイドはそこまで考慮しなくてもよいという論調もありますが、この考え方はシステムの視点から見ると無責任であり、結果的に社会へのネガティブなインパクトを助長しかねません。悪意ある利用に対しては難しいまでも、善意による利用、そしてその時代の通念、人間にありがちなメンタル・モデルから生じる盲点を十分考慮して設計がなされることを望みます。
ペトロスキー氏は、「責任あるエンジニアリング」という言葉を使って、デザインやエンジニアリングに携わる人の倫理として、エラーを起こしがちである人の関与を含めた技術と人の相互作用にまで、よくよく吟味することを求めます。技術的側面だけでは無く、倫理、持続可能性、安全とリスク、社会的インパクトまでシステム的なアプローチでデザインをすることが必要です。そして何よりも、技術の進歩を過信すること無く、状況的な謙虚さを備え、継続的に学習し、改善し続けるエンジニアリングの専門家としての意識と姿勢を強調します。
失敗から学び、将来同様の災害を防ぐことが、亡くなった多くの方たちへのせめてもの報いとなることを願います。
(小田理一郎)
参考文献
- To Forgive Design: Understanding Failure, Henry Petroski
- Wikipedia, Sinking of the Titanic