DERMSは統合できる。だが責任は統合できない —— 階層制御と手動介入が作る責任の空白

分散型エネルギーリソース管理システム（DERMS）やEMSは、「監視・制御・最適化」を統合する最先端のアーキテクチャです。蓄電池、再エネ、需給調整を束ねてグリッドの安定化を図るこの仕組みは、脱炭素社会における現実的な最適解と言えます。

しかし、現場の実運用において統合されているのは「制御」であって、「責任」ではありません。階層化された制御構造と、運用上の不可避な手動介入が、事故時や監査時において説明の経路を無限に増殖させ、結果として責任の所在を曖昧にしています。

本稿では、DERMSの運用で生じる「責任の蒸発」を名指しし、制御系を壊すことなく意思決定の境界を「検証可能な封止」によって閉鎖するADICのアプローチを提示します。

▼ADICデモ https://ghostdrifttheory.github.io/ghostdrift-adic-audit/

1. 最先端アーキテクチャとしてのDERMS/EMS

DERMS/EMSが現代のエネルギーインフラにおいて強力な基盤であることは疑いようがありません。それは、複雑なリソース群を「管理可能な単位」へと抽象化する優れた設計に基づいています。

• 階層制御の合理性: 上位系による広域的な需給最適化と、下位系（ローカル制御）によるリアルタイムな設備保護。この分離によって、スケーラビリティと安定性が両立されています。

• 実運用への適応能力: 予測不可能な事象に対し、アラーム監視やマニュアルによるオーバーライドを前提とした設計は、理論上の最適化を現場の「運用」へと着地させるための生命線です。

• マルチベンダ環境の受容: 異なるメーカーの機器や通信プロトコルを統合し、一つのアグリゲーションとして機能させる能力は、DERMSが持つ最大の強みです。

2. 性能が高いほど加速する「説明経路の破裂」

DERMS/EMSの統合能力が高まるほど、皮肉にも事故時の「なぜその判断に至ったか」の説明は困難になります。運用現場では、以下の3つの事実が説明の整合性を奪い去るからです。

2.1 階層制御における指令の衝突

上位系からの放電指令と、下位系（PCS等）のローカルな判断が不一致を起こした際、事故後に「どちらが最終的な決定主体であったか」が曖昧になります。決定権限が運用の瞬間に固定されていないことが、事後の解釈を分岐させます。

2.2 オーバーライド（手動介入）のブラックボックス化

緊急時のアラーム抑制や手動での運転停止といった「現場判断」は、最適化アルゴリズムの外側で行われます。この介入の許容範囲が事前に定義・固定されていないため、事故時には「現場の裁量」という言葉の下で責任が分散してしまいます。

2.3 ベンダ混在によるログの非整合

異なる制御器、不完全な時刻同期、バラバラなログ形式。何が起きたかの断片は残っても、階層を跨いだ「意思決定の連鎖」を再現することは、現状のシステムでは極めて困難です。

3. 問題の核心：DERMSは「決定権限」を定義していない

DERMSの仕様は、監視、制御、そして最適化については雄弁に語ります。しかし、「誰が最終的に決定したのか」「その権限の境界はどこか」については定義していません。

その結果、説明は「システム階層」「担当者」「ベンダ」の間で分裂し、最終的に誰が責任を負うべきかが蒸発してしまいます。DERMSの弱点は制御性能ではなく、この「決定境界の未定義」にあるのです。

4. ADICによる解決：制御を変えず、意思決定の境界を閉じる

ADIC（Accountable Deterministic Information Closure）は、既存のDERMS/EMSのアーキテクチャを維持したまま、意思決定の境界に「検証可能な封止」を施します。

4.1 決定権限境界の固定（S_core）

運用開始前に、上位系、下位系、および人間による介入の「最終決定権限ID」を定義し、登録します。また、オーバーライドが許容される条件や上限範囲を事前に固定することで、ルールの後出しを封鎖します。

4.2 介入・例外の「責任予算」としての計量

手動介入や例外的な挙動を「イベント」として計数します。説明経路を増殖させる要因を物理的な「コスト」として扱い、事前に合意された予算（許容上限）を超過した運用を「成立しない運用」として検知します。

4.3 決定の一意化（Ledger）

すべての制御イベントに対し、Decision Authority ID、Override Flag、Context ID を付与し、改ざん検知可能な連鎖構造（例：ハッシュ連鎖）で記録します。これにより、事故後に「誰が、どの権限で決めたか」を別の説明に差し替えることは、検証によって検出されます。

5. 実践ケース：需給逼迫時のオーバーライド

電力需給が逼迫し、上位DERMSから「最大放電」の指令が出された状況を想定します。しかし、現場では設備保護のために出力を抑制し、結果として系統側で事故が発生したとします。

• 従来の運用: 上位系は「指令は正しく出した」と主張し、現場は「機器保護のために適切な判断をした」と主張します。責任は両者の間で浮遊し、解決には膨大な時間の精査が必要となります。

• ADIC付き運用: その瞬間に誰が「最終決定権限」を行使したかがLedgerに確定しています。介入が事前に固定されたS_coreのルール内であれば、現場の判断は正当な運用として免責されます。逆にルールを逸脱していれば、それは即座に「S_core逸脱（non-compliant operation）」として検知されます。

6. 結論：境界を閉じることが、統合を完成させる

DERMS/EMSの真の完成は、制御の統合だけでは達成されません。決定権限と介入条件が事前に固定され、その境界が「検証可能な封止」によって閉じられて初めて、システムは社会的な信頼に足る「責任あるインフラ」となります。

ADICは制御ロジックには介入しません。ただ、その運用境界を閉鎖することで、分散したエネルギーリソースに「決定主体の一意化（decision authority closure）」を付与します。

▶AI説明責任プロジェクト