フェールセーフについて

2005年から2006年にかけ、社会インフラである情報システムの事故、障害が続きました。これを受けて、経済産業省は「情報システムの信頼性向上に関するガイドライン」（※１）（2006/6/15）を公表しました。その中で情報システムの利用者及び供給者は、フェールセーフの観点から、各種障害に対する発生時の業務・サービスへの影響の防止及び最小化に努めることが挙げられています。

このフェールセーフ、あるいはフェールセーフ設計（Fail safe design）とは、「機械は必ず故障が発生するということを念頭に置き、故障が発生した場合にも、常に安全側にその機能が作用する設計思想」とWikipedia日本版に記載されています。

情報システムの供給者は、システム設計時から、障害の発生を予測し、それに対するプランを考慮しておくことが求められています。情報システムにおけるフェールセーフ設計とは、機械やシステムは必ず故障するという前提に立ち、機械やシステム、そして運用する要員までもが、起こる故障や障害に備え、二重化、多重化した設計、配置、運用を行うというものです。

もちろん、経済合理性を無視は出来ません。なぜなら「品質と構築運用コストはトレードオフ」の関係にあるからです。しかし、障害（リスク）の想定が十分で無く、また日頃から管理されていないと、障害影響は多大なものになることがしばしばあります。この点からガイドラインには、利用者及び供給者の合意を重要なポイントとして挙げています。

フェールセーフの一例として、アメリカのスペースシャトルに積み込まれている管制コンピュータAP-101（※２）が挙げられます。スペースシャトルには5台のコンピュータが積まれ、多重化されており、最初の4台と1台のバックアップで構成されています。4台は互いに監視しながら、故障した場合は残存機で処理をし、全て故障しても5台目のバックアップがある冗長構成となっております。4台は全て同一のデータが入力され、多数決で判定されます。このことが考えられたのは1975年でしたので、すでに30年以上前からこうした考え方があったことになります。

現在の多くのシステムは、このフェールセーフ設計、あるいは冗長（Redundant）な設計を様々なところで使っていて、たとえ一部の機械やシステムの故障が発生しても、サービス全体が機能停止とならないよう考えられていますが、発生した障害を見ると、まだまだ完全ではありません。

今後ともシステムの計画、構築、保守、運用に関わる全ての者が、フェールセーフの意識を持ち、推進して行くことが求められています。

（※１）経済産業省「情報システムの信頼性向上に関するガイドライン」2006/6/15

（※２）J.R.Sklaroff「Redundancy Management Technique for Space Shuttle Computers」1975,IBM journal of research and development

ご参考