解説: 飛行機事故とセンサー・フィードバックの分布

ボーイング 737 Max 8機が短い期間に2回の墜落死亡事故を起こし、多くの航空会社が同機種の運航を停止する事態となっています。多くの乗客が亡くなったとても悲しい事故ですが、リーンシックスシグマを生業としていると、「ボーイング737は一体どのくらいの確率で墜落しているのだろうか」などと、統計的なことを考えてしまいます。

一般に、飛行機は自動車と比べれば、比較にならないほど安全であることは良く知られています。しかし飛行機事故は一度で多数の死傷者を出し、またそれが大きなニュースとなって報道されるので、いくら「飛行機は安全」と聞かされていても、やはり離着陸の際は恐怖心から身構えてしまいます。

1. 航空機の重大事故の発生確率

今回の飛行機事故は特定の機種が問題になっているので、機種ごとの事故情報がないかどうかを調べてみました。するとAirSafe.comに、機種別の重大事故のデータがありました。

航空機タイプ別の重大事故の確率

それぞれの欄の情報は以下の通りです。

  • 欄1: 航空機のタイプ
  • 欄2: 100万飛行当たりの重大事故回数(DPMO)
  • 欄3: 飛行回数(100万回)
  • 欄4: 重大事故当たりの死亡率の合計
  • 欄5: 重大事故回数

この表を見る限り、ボーイング 737 の100万回飛行当たりの重大事故回数(DPMO: Defects Per Million Opportunities )はずいぶんと低いように思えます(0.13)。そこでDPMO値で並び変えて、安全な飛行機のトップ5を選んでみました。ついでにシグマ・レベルも計算してみました。

最も安全な航空機トップ5

この表を見る限り、ボーイング 737は歴代の飛行機の中でもトップ5に入る安全な機種だということが分かります。また二つ星(**)が付いている機種は現在は製造していないようですから、それらを除けば、現在作られている飛行機の中でもボーイング 737はトップ3に入る安全な機種だと言えそうです。

2. 飛行機の安全性のシグマ・レベル

DMPO値を使って、飛行の成功確率も計算してみましたが、 ボーイング 737 は0.99999987となり、ほぼ100%です(重大事故の確率は0.00000013)。とても安全な飛行機のようです。(もしボーイング 737を運航中止にするのなら、なぜもっと重大事故率が高い他の危険な飛行機を運行しているのでしょうか。確率論だけから言えば説明が付きません)

この確率情報と共に、もしボーイング 737 が一日当たりに何回飛行するのか、また重大事故の発生間隔などの情報があれば、ポワソン分布を作ることができます。ポワソン分布から、一定期間に2件の重大事故が発生する確率を求めることができるでしょう。恐らく、このように短い間隔で2件の墜落事故が起こる確率は極めて低いと思います。

情報が限られているのでポワソン分布は諦めて、シグマ・レベルに注目したいと思います。

DPMO値から計算したシグマ・レベルは5.15でした。日頃見慣れている生産現場(工場)のシグマ・レベルと比べると、5.15という数字は素晴らしい値です。

かつてGEはシグマ・レベル6を目指したと言われています(シックスシグマの名前の由来)。それがどれだけ大きな目標だったのかということが、この飛行機の安全性のシグマ・レベル5.15と比べることで実感することができます。

3. 部品とシステムの信頼性

飛行機の安全性のシグマ・レベルは、システムとしての信頼性を示しています。飛行機は何万という部品が組み合わされたシステムですから、システムとしての信頼性は個々の部品の信頼性の積(直列の場合、単純に言えば)として表されます。つまり部品単品の信頼性は桁外れに高いということが容易に想像できます。

例えばGEはジェット・エンジンも作っていますが、もしかしたらGEのジェット・エンジンは単体でシグマ・レベル6の信頼性を達成しているのかもしれません。そしてシステムとして飛行機に組み合わされたとき、飛行機全体の安全性がシグマ・レベル5.15程度に落ちることは理にかなっています。

今回の ボーイング 737 の事故原因はまだ特定されていませんが、センサーの異常が原因の一つだったと言われています。飛行機に使われるようなセンサー単体の信頼性は、恐らくシグマ・レベル6以上だったはずです。

4. もしセンサーの信頼性がシグマ・レベル5.15だったら

ボーイング 737の安全性はDPMO値から計算してシグマ・レベル5.15でした。そこで仮に、

  • センサー単体の異常で飛行機が墜落する
  • センサーの信頼性はシグマ・レベル5.15を維持する
  • センサーの異常はフィードバック値が実際よりも大きくずれることであって、フィードバックが止まってしまうことや、フィードバックの時間遅れなどの異常は除く
  • センサーは正常値は0(ゼロ)標準偏差は1の正規分布を取る
  • センサー・フィードバックはプラス側とマイナス側の両側を使用する

こと、とします。するとセンサーのフィードバック値の分布は以下のように表すことができます。

センサー・フィードバックの分布(安全な航空機)

DPMO値(0.13)から計算したシグマ・レベルは5.15ですが、センサーのフィードバックはプラス側にもマイナス側にも異常な値を出すことが考えられるので、DPMO値(0.13)を維持するためには、センサー・フィードバックの上限値と下限値がプラス・マイナス5.28以内に収まっている必要があります。

つまり、この標準化されたセンサーの例では、センサーからのフィードバック値がプラス・マイナス5.28に収まっていれば飛行機は安全に飛行でき、それを超えると墜落する可能性があることになります。

5. もしセンサーの信頼性が低かったら

仮に、フィードバックが標準偏差2の正規分布を取る信頼性の低いセンサーが飛行機で使われたとしたら、飛行機の安全性はどうなるのでしょうか。

センサー・フィードバックの分布(危険な航空機)

先の例から、センサーからのフィードバックがプラス・マイナス5.28を超えると飛行機が墜落すると仮定すると、この信頼性の低いセンサーを使った飛行機が墜落する確率は0.8291%となります。先の例と比べると、墜落の確率は8万倍高くなります。

センサーの信頼性一つで飛行機の安全性がまったく変わってしまうことに恐ろしさを感じると同時に、飛行機会社の納品管理や組立管理、試験などは恐ろしく厳しいものなのだろうと想像します。

6. IoTの時代にあって

今やIoTや、IoTから集めたビックデータを使ったAIの時代になりました。しかしデータの入り口は未だにセンサーです。センサーの信頼性一つで結果が全く違ってしまう危険性があることが、この飛行機事故からも分かります。

今はビッグデータをどのように利用するのか、ということが盛んに議論されていますが、IoTやAIがセンサーに依存する以上、もっとセンサーについても盛んな議論があってもいいのではないでしょうか。