フォールトトレラントとフェイルセーフとフールプルーフの違い

えーと突然ですけどちょっと想像してみてほしいんですが、もしあなたが乗っている飛行機のエンジンが あの飛行中に一つ故障したらどうなると思いますか？あー、それはちょっと怖いですね。 ですよね。でも実は、すぐに墜落したりはしないんですよね。 残りのエンジンでちゃんと最寄りの空港まで飛べるように設計されてるんです。ええ。 この壊れるっていうのを、まあ、前提にした考え方、これがまさに今日のテーマ、フォールトトレラントなんです。 今回は、この言葉と、えーとよく混同されがちなフェイルセーフ、それからフールプルーフっていう 紛らわしい３つの設計思想について、あなたと一緒にすっきり整理していきたいなと思ってます。 そうですね。というのも、そもそも絶対に壊れない完璧なものって、まあ、作るのは現実的じゃないんですよね。 はいはい。だからこそ、じゃあもし壊れたらどうするか、っていう問いがものすごく重要になるわけです。 で、今日お話しする３つの言葉は、その問いに対する、それぞれ思想の違う答えということなんですね。 なるほど。では、まずそのフォールトトレラントからいきましょうか。故障、つまりフォールトに 寛容、トレラントってことですよね。なんだか壊れてもドンとこい、みたいな、すごく頼もしい響きです。 まさにその通りです。一部が壊れても、予備の系統に切り替えるとかして、システム全体としては動き続けると。 へえー。実はこの考え方こそ、今のクラウドコンピューティングを支える心臓部なんです。 例えば、GoogleとかAmazonの巨大なサービスも、個々のサーバーはいつか壊れるっていう前提で、 サービス全体は絶対に止まらないように作られてるんですよ。あー、なるほど。 つまり、サービスを止めないっていうのが絶対的な使命なんですね。でも場合によっては 動き続けるより、止まったほうが安全なんてこともありそうですけど。あ、いい点ですね。 まさにそこが、次に話すフェイルセーフとの決定的な違いなんです。フェイルセーフ。 はい。フェイルセーフは、壊れたらとにかく安全な状態で停止するっていうことを最優先にします。 目的が根本的に違うんですね。安全に止まる、ですか？ ええ。例えば、信号機。もしあれが故障して、全部が青信号になったら うわ、大事故ですね！そうなりますよね。だから故障を検知したら、被害が出ないように すべて赤で停止する。これがフェイルセーフです。交通はストップしてしまいますけど、 やっぱり人命より優先されるものはありませんから。なるほど。つまり、フォールトトレラントの使命がサービス継続なら、 フェイルセーフの使命は被害を出さないこと。どちらを優先するかで、設計思想が全く変わってくると。 いや、よく分かりました。となると、これまで話してきたのって、機械そのものが壊れるケースですけど、 問題を起こすのが機械じゃなくて私たち人間、っていう場合も結構多いですよね。 おっしゃる通りです。その人間のうっかりミスに備えるのが、３つ目のフールプルーフになります。 フールプルーフ。はい。フール、つまり愚か者でも扱えるっていうのが語源ですけど、 要はユーザーが間違った操作をしても、システムが危険な状態に陥らないようにする設計のことですね。 それって、言われてみれば私たちの身の回りに、すごくたくさんありそうですね。 そうなんですよ。一番身近な例で言うと、電子レンジ。ドアを開けると自動で運転が止まるじゃないですか。 あ、止まりますね！あれがまさにフールプルーフです。昔、濡れた靴下を乾かそうとした人がいた なんて話もありますけど。ええ、本当ですか？もしフールプルーフがなければ、火事になっていたかもしれない。 利用者がどんな使い方をするかも分かりませんから。だから危険な操作はそもそもできないように しておく、というわけです。面白いなあ。こうして伺ってると、この３つって なんだか技術が直面する問題の種類の進化を表してるようにも聞こえますね。と言いますと？ まず機械そのものの故障があって、それがフォールトトレラント。次に、その故障が社会に及ぼす影響、 これがフェイルセーフ。で、最後は、それを使う人間自身の問題、フールプルーフへと。 なんか視点が移ってる感じがします。ははあ。非常に鋭い視点ですね。まさにその通りかもしれません。 では今回のまとめです。フォールトトレラントは故障しても予備で動き続ける、サービス継続が目的。 フェイルセーフは、故障したら安全を最優先にして止まる、被害を出さないことが目的。 そして、フールプルーフは、人が間違った操作をしても安全なように設計されている。 この３つの違い、すっきりしましたか？ええ。で、最後に少しだけ、あなたに考えてみてほしいことが あるんですが。こうした設計思想って、実はシステムや機械だけの話じゃないんです。 ご自身の仕事の進め方とか計画に、この考え方を応用するとどうなるでしょうか？ 予期せぬトラブルが起きた時、あなたのフォールトトレラントやフェイルセーフは どんな形で準備されていますか？