低頻度・高重篤度リスクの評価と管理 — リスクマトリクスのカスタマイズから防護層設計まで
ALARP原則、LOPA、ボウタイ分析による製鉄所とロケット射場の安全管理
1 はじめに — 「低頻度だから安全」という誤謬
「この設備では過去30年間、大規模な設備事故は発生していない。だから安全である。」
この論理は、直感的にはもっともらしく聞こえる。しかし機械安全の原理に照らすと、致命的な誤りを含んでいる。低頻度の事象が「安全」を意味しないことは、過去の大規模事故が繰り返し証明してきた。
CSB(米国化学安全性調査委員会)の報告書によれば、2005年のBP Texas City製油所爆発(死亡15名)では、ISOMユニットで30年以上重大事故がなかったという(1)。また2008年のImperial Sugar粉塵爆発(死亡14名)については、1925年のWilliam Gibbs論文以来、砂糖粉塵の爆発リスクは業界で広く認識されていたとされる。さらにCSBの調査によれば、同社自身も1967年に経営層への警告メモで危険性を明確に認識していたにもかかわらず、41年間にわたり組織記憶が失われ「完全に防止可能な事故」が発生したという(2)。
記事2bでは、リスク見積りの手法とALARP原則の基本概念を導入した。本記事では、低頻度・高重篤度リスクという特殊なカテゴリに焦点を当て、リスクマトリクスのカスタマイズによる評価の実践と、リスクアセスメントプロセスにおけるALARP原則・LOPA・ボウタイ分析の位置づけを論じる。
2 1. リスクマトリクスとカスタマイズの実践
2.1 リスクマトリクスが低頻度・高重篤度リスクに最適な理由
記事2bで解説したリスクマトリクス法は、ISO 12100に規定されるリスク推定の標準ツールであり、ISO/TR 14121-2が挙げる4種のリスク推定手法(マトリクス、リスクグラフ、数値スコアリング、ハイブリッド)の中で最も広く採用されている実務標準である(3,4)。OSHA(米国)、HSE(英国)、BG/BGIA(ドイツ)といった各国の安全当局も、リスクマトリクスを標準的手法として推奨している。
リスクマトリクス法が低頻度・高重篤度リスクの評価に最も適している理由は、そのカスタマイズ性にある(5)。業界・企業ごとに重篤度軸と頻度軸の等級定義を設計し、ALARP原則(合理的に実行可能な限りリスクを低減する)を前提として、許容/不許容の境界を組織固有のリスク許容基準に合わせて設定できる。MIL-STD-882Eでは所管部門の正式承認によるカスタマイズを認可し、FAAは「重篤度と尤度の基準を自ら策定することは、コンプライアンス証明の必須要素である」と明示している(6,7)。
2.2 カスタマイズの重要性 — 汎用テンプレートの問題
リスクマトリクスの強みはカスタマイズ性にあるが、裏を返せば汎用テンプレートをそのまま使うと問題が生じる。Cox (8) は、カスタマイズされていない汎用マトリクスに対して、解像度不足や誤判定の可能性を指摘した。この批判は正当であるが、それは手法そのものの限界ではなく、不適切な設計(カスタマイズ不足)の問題である。Duijm (9)は設計・運用の改善による緩和策を提示し、Sutherland et al. (10)は2,699名を対象とした実験で、非線形設計によりマトリクスの理解度と意思決定品質が向上することを実証した。
「全部S3」問題: 製鉄所で転炉エリアのリスクアセスメントを行うと、溶鋼飛散・蒸気爆発・CO漏洩・クレーン荷振れのいずれもがS3(重大)以上に分類される。
| 危険源 | 重篤度 | 発生確率 | リスクレベル |
|---|---|---|---|
| 溶鋼飛散 | S4(壊滅的) | 極低 | ? |
| 蒸気爆発 | S4(壊滅的) | 極低 | ? |
| CO漏洩(大規模) | S3(重大) | 低 | ? |
| クレーン荷振れ | S3(重大) | 中 | III-IV |
この問題の本質は重篤度等級の細分化不足(カスタマイズの欠如)である。MIL-STD-882Eでは、Catastrophic(壊滅的)を「1名死亡」と「複数名死亡・施設壊滅」に区分しており、NASAは3×3マトリクスでは不十分として5×5マトリクスを開発した(6)。ALARP原則に基づいて低頻度・高重篤度セルを「許容不可」に設定するカスタマイズにより、上記の「?」にも明確な判定を与えられる。
ロケット射場の二極分布: ロケット射場では、リスクの分布が「軽傷 or 壊滅的」の二極になりやすい(11)。
一般製造業のリスク分布: 射場のリスク分布:
│ │
頻度│ ████ 頻度│ ████
│ ████ │
│ █████ │
│ ████ │ █
└──────────→ └──────────→
軽傷 重篤 壊滅的 軽傷 重篤 壊滅的
↑ 正規分布的 ↑ 二極分布的この二極分布に対しては、重篤度軸の不等幅カテゴリ設計(最高重篤度カテゴリを広く設定)や、ALARP原則を前提として低頻度・高重篤度セルを「許容不可」に設定するカスタマイズが有効である(9)。
2.3 ALARP原則を前提としたリスクアセスメントプロセス
リスクマトリクスのカスタマイズは、ALARP原則に基づく「許容/不許容」の判断を行うためのツールである。カスタマイズされたマトリクスで「許容不可」と判定されたリスクに対しては、ALARP原則が求める「合理的に実行可能な限りの低減」を実現するために、リスクアセスメントプロセスの次のステップへ進む必要がある(ALARP原則の詳細は§3で展開する)。
この次のステップでは、リスクマトリクスとは目的の異なるツールが使われる:
- LOPA(防護層解析): 「許容不可」と判定されたリスクに対して、既存の防護層がどれだけのリスク低減を提供しているかを半定量的に評価し、ALARP原則に基づいて追加対策の要否とSIL(安全度水準)を決定する(§5で詳述)
- SIL/PLr決定: 安全関連制御システムの設計要件は、ISO 13849-1リスクグラフやIEC 61511の手法で決定する。これはリスクマトリクスとは別のプロセスである(§4・記事4で詳述)
- ボウタイ分析: リスクの全体像と各バリアの機能を1枚の図で可視化し、ALARP原則に基づく判断をステークホルダー間で共有するためのツールである(§5で詳述)
いずれのツールも、根底にあるのはALARP原則——「合理的に実行可能な限りリスクを低減し続ける」という判断基準である。リスクマトリクスのカスタマイズから始まり、LOPA・SIL決定・ボウタイ分析に至るまで、ALARP原則が一貫してプロセス全体の判断軸となる。
3 2. 低頻度・高重篤度産業の特徴
3.1 製鉄所とロケット射場の共通点
一見まったく異なる産業であるが、リスクの構造においては驚くほど共通点がある。
| 共通項目 | 製鉄所 | ロケット射場 |
|---|---|---|
| エネルギー密度 | 溶鋼(1,600℃)、高炉ガス | 推進剤(LOX/LH2、固体推進剤) |
| 事故の規模 | 複数名死亡・施設破壊 | 複数名死亡・射場壊滅 |
| 発生頻度 | 数十年に1回(大規模事故) | ミッション数十〜数百に1回 |
| 回避可能性 | 瞬間的(爆発は回避不能) | 瞬間的(爆発は回避不能) |
| 安全文化の課題 | 合理化による保全要員不足 | スケジュール圧力 |
| 規制体系 | 安衛法 + 高圧ガス保安法 | 安衛法 + 宇宙活動法 + 12法令 |
3.2 「低頻度」が意味するもの
低頻度であるがゆえに、安全管理上、以下の問題が生じることが広く認識されている:
- 正常性バイアス: 「今まで起きなかった→これからも起きない」
- 組織記憶の消失: 事故の教訓が世代交代で失われる
- 投資の正当化困難: 発生確率が低いために費用対効果が悪く見える
- 経験的学習の不可能: 「失敗から学ぶ」前に壊滅的被害が生じる
CSBの報告書によれば、Imperial Sugar社は1967年の経営層への警告メモで粉塵爆発リスクを明確に認識していたが、41年後の2008年に「完全に防止可能な事故」を起こしたという(2)。なお砂糖粉塵の爆発危険性自体は、1925年のGibbs論文で学術的に証明されており、業界全体では100年前から既知であったとされる。国内の製鉄所においても、2000年代に溶鋼鍋転倒による死亡災害が発生した事例があり、同時期の人員削減が安全水準の低下を招いた可能性が指摘されている(12)。
4 3. ALARP原則の詳細 — 記事2bの拡張
4.1 ALARP原則の法的・規格的基盤
記事2bで概要を導入したALARP原則を、ここで詳細に展開する。
法的根拠: 英国 Health and Safety at Work etc. Act 1974(13)。同法は事業者に「合理的に実行可能な限り」(so far as is reasonably practicable)安全を確保する義務を課している(Section 2(1))。この法的概念がALARPの基盤である。
規格への採用:
| 規格 | ALARP関連規定 | 用途 |
|---|---|---|
| IEC 61508:2010 | 安全度水準(Safety Integrity Level, SIL)とリスク低減目標 | 機能安全全般 |
| IEC 61511:2016 | プロセス産業向けのSIL決定にALARP適用 | 化学・製鉄プロセス |
| ISO/IEC Guide 51 | 許容可能リスクの概念 | 安全規格の指針 |
| JIS B 9700:2013(ISO 12100:2010 IDT) | 3ステップメソッドの継続的低減 | 機械安全 |
4.2 ALARPダイヤグラムの詳細
リスク増大 ↑
┌───────────────────────────────────────────┐
│ 許容不可能領域 │
│ (Intolerable Region) │
│ │
│ リスクは便益に関わらず正当化できない。 │
│ リスク低減措置がリスクの除去に不十分な場合、 │
│ 当該活動自体を禁止しなければならない。 │
├───────────────────────────────────────────┤ ← 許容不可能の限界
│ │
│ ALARP領域 │
│ (Tolerable if ALARP) │
│ │
│ リスクはALARP原則が適用された場合にのみ │
│ 許容される。リスク低減が実行不可能である │
│ こと、またはそのコストがリスク改善と著しく │
│ 不釣り合いであることの立証が必要。 │
│ │
│ 【費用対効果の非対称性】 │
│ リスクが高いほど、コスト正当化のハードルは │
│ 低く設定される(=高リスクでは少額の投資 │
│ でも実施すべき)。 │
│ │
├───────────────────────────────────────────┤ ← 広く許容される限界
│ 広く許容される領域 │
│ (Broadly Acceptable Region) │
│ │
│ リスクは無視できるほど低い。 │
│ 追加のリスク低減措置は不要だが、 │
│ モニタリングは継続する。 │
└───────────────────────────────────────────┘
リスク減少 ↓4.3 ALARP判断の実際 — 費用対効果の非対称性
ALARPの最も重要な特徴は、費用対効果の判断が非対称であることだ(14):
リスクが高いほど、「費用が釣り合わない」ことの立証ハードルは高い。
つまり、ALARP領域の上端(許容不可能に近い)では、費用が非常に高くても対策を実施すべきであり、「コストが見合わない」と主張するためには極めて強い根拠が必要となる。逆にALARP領域の下端では、費用対効果が悪い場合の免除が比較的容易に認められる。
CSBの報告書によれば、BP Texas City爆発の事例がこの原則の違反を端的に示しているという。液体レベル検知システムのコストは比較的低かったにもかかわらず設置されておらず、結果として200百万ドル以上の直接損害と15名の命が失われたとされる(1)。
4.4 JIS B 9700の3ステップメソッドとALARPの関係
JIS B 9700の3ステップメソッド(①本質的安全設計→②安全防護→③使用上の情報)は、ALARPと以下のように対応する(3,16):
ALARP原則 JIS B 9700 3ステップメソッド
───────────── ──────────────────────────
許容不可能 → 活動自体の禁止 ① 本質的安全設計(危険源の除去)
ALARP上部 → 高額でも実施 ② 安全防護・付加保護方策
ALARP下部 → 費用対効果判断 ③ 使用上の情報
広く許容 → モニタリング 残留リスクの管理ここで重要なのは、3ステップメソッドの優先順位は厳格であるという点である。「②の対策が高額だから③の警告で代替する」ことは、ALARP原則に基づいて「②の費用がリスク改善に対して著しく不釣り合いである」ことが立証されない限り、正当化されない。
5 4. IEC 61508/61511と機能安全
5.1 機能安全とは何か
IEC 61508は、安全関連の電気・電子・プログラマブル電子(E/E/PE)システムの機能安全に関する基本規格である(14)。
機能安全の定義: 安全関連システムの正しい機能に依存する安全の側面。つまり、安全制御システムが設計通りに動作することでリスクが低減される。
5.2 SIL(安全度水準)
IEC 61508は4段階のSILを定義し、それぞれに対して要求される信頼性(PFDavg: 要求時の平均故障確率)を規定している(14):
| SIL | PFDavg | リスク削減倍率 | 適用例 |
|---|---|---|---|
| 1 | 10^-1 〜 10^-2 | 10〜100 | 一般的な安全機能 |
| 2 | 10^-2 〜 10^-3 | 100〜1,000 | 重要な安全機能 |
| 3 | 10^-3 〜 10^-4 | 1,000〜10,000 | 高度な安全機能 |
| 4 | 10^-4 〜 10^-5 | 10,000〜100,000 | 極めて高い安全要求 |
5.3 IEC 61511とプロセス産業への適用
IEC 61511はIEC 61508のプロセス産業向けセクター規格であり、製鉄所や化学プラントのような連続プロセスを対象とする(15)。
IEC 61511の特徴:
- ALARP原則の明示的採用: SIL決定にALARP原則を組み込んでいる
- LOPAの推奨: SIL決定手法としてLOPA(防護層解析)を推奨
- ライフサイクルアプローチ: 設計→運用→保全→廃棄の全段階を対象
5.4 機械安全規格(ISO 13849/IEC 62061)との関係
機械安全の分野では、JIS B 9705-1(ISO 13849-1)とJIS B 9961(IEC 62061)が安全関連制御システムの設計要求を規定している(17,18)。
| 規格 | 信頼性指標 | 手法 | 主な対象 |
|---|---|---|---|
| ISO 13849-1 | PLr(a〜e) | リスクグラフ法 | 機械のSRCS |
| IEC 62061 | SIL(1〜3) | リスクパラメータ法 | 機械のSRECS |
| IEC 61508 | SIL(1〜4) | ALARP+LOPA | E/E/PE全般 |
ISO 13849-1のPLr eは、IEC 61508のSIL 3に概ね対応する。低頻度・高重篤度のシナリオでは、PLr d〜eまたはSIL 2〜3が要求されることが多い。
6 5. リスクアセスメントプロセスにおける他のツール
§1で述べた通り、リスクマトリクスによるリスク評価の後、リスクアセスメントプロセスの別のステップでは目的の異なるツールが使用される。これらはリスクマトリクスの「補完」ではなく、プロセス内の別の役割を担う手法である。
6.1 LOPA(防護層解析)— SIL決定のための手法
LOPA(Layer of Protection Analysis)は、HAZOP等で同定されたシナリオに対して、既存の防護層がどれだけのリスク削減を提供しているかを半定量的に評価する手法である(15,19)。IEC 61511においてSIL(安全度水準)決定の推奨手法として位置づけられており、リスクマトリクスとは異なる定量的な分析ステップである。
LOPAの基本計算:
残留リスク = 起因事象の頻度 × Π(各防護層のPFD)
PFD: Probability of Failure on Demand(要求時故障確率)独立防護層(IPL)の典型的なPFD(19):
| IPL種類 | PFD | リスク削減効果 |
|---|---|---|
| プロセス設計(本質安全設計) | 0.001〜0.01 | 100〜1,000倍 |
| 基本制御ループ | 0.05〜0.1 | 10〜20倍 |
| 警報+操作者対応 | 0.1〜0.5 | 2〜10倍 |
| 物理的防壁(安全弁等) | 0.01〜0.05 | 20〜100倍 |
| SIS(安全計装システム) | 0.001〜0.0001 | 1,000〜10,000倍 |
LOPAの長所: 既存の防護層を「見える化」し、追加で必要なリスク低減量を定量的に示す。
LOPAの限界: 各防護層の独立性が前提であり、共通原因故障(CCF)の評価が困難。
6.2 ボウタイ分析 — バリア管理・リスクコミュニケーションのためのツール
ボウタイ分析は、FTA(故障木分析)とETA(事象木分析)を統合・簡略化した手法であり、ISO 31010:2019に収録されている(4)。
脅威(原因) 予防バリア トップイベント 軽減バリア 結果(影響)
┌──────┐ ┌───────┐ ┌──────────┐ ┌───────┐ ┌──────┐
│ 原因1 │───→│ 予防A │─┐ │ │ ┌─│ 軽減X │───→│ 結果1 │
└──────┘ └───────┘ │ │ ハザード │ │ └───────┘ └──────┘
┌──────┐ ┌───────┐ ├─→│ トップ │──┤ ┌───────┐ ┌──────┐
│ 原因2 │───→│ 予防B │─┘ │ イベント │ └─│ 軽減Y │───→│ 結果2 │
└──────┘ └───────┘ └──────────┘ └───────┘ └──────┘ボウタイ分析の強み:
- 全体俯瞰: 1枚の図でリスクの全体像を把握できる
- バリア管理: どのバリアが機能しているか、喪失した場合の影響を可視化
- 組織横断的コミュニケーション: 技術者と経営層の共通言語として機能
ボウタイ分析の適用場面: 事後分析(なぜ事故が起きたか)に特に有効。事前の定量評価にはLOPAやQRAの方が適する。
6.3 シナリオベース評価
低頻度・高重篤度リスクでは、「確率×重篤度」の期待値計算よりも、シナリオの具体的展開を評価する方が有効な場合がある(4)。
手順:
- 特定のシナリオを詳細に記述する(例: 転炉からの溶鋼飛散シナリオ)
- 各段階での防護策の有無を確認する
- 防護策がすべて失敗した場合の最悪の結果を評価する
- 最悪の結果に対してALARP原則を適用する
この手法は、NASAの安全評価でも採用されている。文科省の安全対策評価基準では、飛行安全における飛行中断判断基準がシナリオベースで設定されている(20)。
7 6. 製鉄所の事例
7.1 蒸気爆発 — 低頻度・超高重篤度の典型
溶融金属と水が接触すると、水が瞬間的に気化膨張し爆発的なエネルギー放出が起こる。この蒸気爆発は製鉄所における最も壊滅的なリスクの一つである(21,22)。
事例: 連続鋳造設備での水蒸気爆発
厚生労働省の災害事例によれば、故障した連続鋳造設備に代えて、2日前から放置されていた非常用鍋(冷却水残留)に溶鋼を注入した結果、水蒸気爆発が発生し8名が火傷を負ったという事例がある。
ボウタイ分析の適用:
脅威 予防バリア トップイベント 軽減バリア 結果
───── ────── ───────── ────── ────
鍋の水分残留 ──→ ×水分チェック手順 ──→ 水蒸気爆発 ──→ ×退避手順 ──→ 8名火傷
設備故障 ──→ ×代替設備準備手順 ──→ ○防護服この事例では、予防バリア(水分チェック手順、代替設備準備手順)がいずれも機能しなかった。ボウタイ分析により、どのバリアの喪失が事故を招いたかが構造的に可視化される。
7.2 CO中毒 — 見えない化学的危険源
高炉ガス(CO 23〜30%含有)は無色・無臭であり、作業者が認知できない(23)。厚生労働省の災害事例によれば、ある焼結施設において、吸着塔内の清掃中に焼結機が再起動し、作業者がCO 130ppmの環境に暴露されたという事例がある。
LOPA的分析:
| 防護層 | 状態 | PFD |
|---|---|---|
| 作業間連携(再起動前の確認) | 機能せず | — |
| CO検知器による警報 | 機能(異臭検知16:34) | 0.1 |
| 避難手順 | 機能(避難命令発令) | 0.2 |
| 酸素濃度モニタリング | 部分機能(18.8%検知) | 0.15 |
起因事象(焼結機再起動中のガス逆流)に対して、最初の防護層(作業間連携)が機能しなかった。残りの防護層により重傷は免れたが、この事例はIPLの独立性の重要性を示している。
7.3 設備老朽化と人員削減 — 組織的根本原因
日本鉄鋼連盟の統計によれば、鉄鋼業の死亡災害は減少傾向にあるが、ひとたび発生すると壊滅的な結果をもたらすとされる(12)。国内製鉄所においては、合理化に伴う保全要員の削減が設備老朽化リスクの顕在化を招いた事例が指摘されている(12)。
CSBの複数の報告書は、低頻度・高重篤度事故の根本原因は技術的要因よりも組織的要因が支配的であると繰り返し指摘している(1,24)。
8 7. ロケット射場の事例
8.1 チャレンジャー事故に見るALARP逸脱
ロジャーズ委員会報告書によれば、1986年のスペースシャトル・チャレンジャー事故は、ALARP原則の逸脱を劇的に示す事例であるとされる(25)。
報告書に記載された経緯:
- Morton Thiokol技術者が低温(2℃)でのO-ringシール不全を指摘したという
- 技術者はSRB設計仕様外の温度での打上げに反対を表明した
- 経営層がNASA Marshall担当者の圧力で技術者の反対を覆したとされる
- 打上げ73秒後に爆発的燃焼が発生し、7名全員が死亡した
ALARP原則に基づく分析:
| 判断要素 | 実際の判断 | ALARP原則に基づく判断 |
|---|---|---|
| 打上げ延期の費用 | スケジュール遅延のコスト | 低(数日〜数週間) |
| リスク低減効果 | O-ring不全回避 | 極めて高(乗員7名の生命) |
| ALARP判断 | 延期せず→打上げ | 延期すべき(費用 << 便益) |
ALARP原則に照らせば、費用(打上げ延期)と便益(リスク低減)の比較から、延期以外の判断は正当化できない。報告書は、組織的圧力がこの判断を歪めたと結論づけている(25)。
8.2 射場設備へのLOPA適用例
ロケット射場の推進剤充填設備に対するLOPA的アプローチを示す(20,26)。
シナリオ: LH2充填中の漏洩→爆発
起因事象の頻度: 充填バルブ故障 — 0.01回/年(10年に1回相当)
許容基準: 公衆の年間死亡リスク — 10^-6
必要リスク削減: 0.01 / 10^-6 = 10,000倍 → SIL 4相当防護層の構成:
| 防護層 | PFD | 削減効果 |
|---|---|---|
| 漏洩検知センサ(冗長系) | 0.01 | 100倍 |
| 自動緊急遮断バルブ | 0.01 | 100倍 |
| 人員退避手順(遠隔操作) | 0.1 | 10倍 |
| 保安距離(QD表に基づく) | — | 結果軽減 |
総合PFD = 0.01 × 0.01 × 0.1 = 10^-5 → SIL 2〜3相当のリスク削減
10,000倍の削減が必要に対して100,000倍を達成しており、本シナリオでは既存の防護層でALARP要件を満たす。ただし、NASAのQuantity-Distance基準は結果軽減としての保安距離を別途要求しており(11)、防護層のみに依存しない多層防御が採用されている。
8.3 STS-1窒素パージ事故と酸欠の共通性
NASAの事故調査報告書によれば、1981年のSTS-1打上げリハーサル中に窒素パージ事故(2名死亡)が発生し、窒素パージが「非危険作業」と分類されていたことが根本原因であったとされる(27)。この事例は製鉄所で報告されているパージ時酸欠事故と同一メカニズムであるとみられる(23)。
| 事故 | 業種 | メカニズム | 根本原因 |
|---|---|---|---|
| STS-1窒素パージ事故 | 射場 | 窒素パージ→酸欠 | ハザード分類の誤り |
| 製鉄所パージ時酸欠 | 製鉄 | 窒素パージ→酸欠 | 作業間連携不足 |
これらの事例は、業種を超えた教訓共有の重要性を示唆している。安衛法は全事業者に適用され(28)、酸素欠乏症等防止規則は射場であっても製鉄所であっても同様に適用される。
9 8. 低頻度・高重篤度リスクへの実践的対処
9.1 手法選択の判断フロー
低頻度・高重篤度のリスクに対して、以下のフローで手法を選択する(4,29):
| 質問 | YES | NO |
|---|---|---|
| トップ事象が明確か? | FTA候補 | HAZOP → 同定から開始 |
| SIL決定が必要か? | LOPA必須 | リスクグラフ等 |
| 全体俯瞰が必要か? | ボウタイ分析 | 個別手法 |
| データが十分か? | 定量的手法(QRA) | 半定量(LOPA)+専門家判断 |
9.2 5つの実践指針
指針1: リスクマトリクスのカスタマイズ
ALARP原則を前提として、業界・対象設備に応じたカスタマイズが大前提である。重篤度軸を5段階以上に細分化し、「壊滅的(1名死亡)」と「壊滅的(複数名死亡・施設壊滅)」を区分する。ALARP原則に基づいて低頻度・高重篤度セルを「許容不可」に設定し、組織固有のリスク許容基準を明確にする(6,30)。
指針2: ALARPの徹底
「基準を満たしたから安全」ではなく、「合理的に実行可能な限り低減し続ける」。特に許容不可能の限界に近いリスクには高額な対策でも実施する(14)。
指針3: 防護層の見える化
LOPAまたはボウタイ分析により、各防護層の存在と信頼性を明示する。防護層のない「裸のリスク」を許容しない(19)。
指針4: 業種横断的教訓共有
製鉄所の蒸気爆発防止知見を射場の推進剤管理に、射場のGO/NOGO判断を製鉄所の非定常作業開始判断に適用する(31)。
指針5: 組織的根本原因への対処
技術的対策だけでなく、安全文化・組織記憶・意思決定プロセスに対する対策を実施する(1)。ロジャーズ委員会報告書が示すように、エンジニアが異議を唱えられる組織文化の確保は、チャレンジャー事故から得られた最も重要な教訓の一つであるとされる(25)。
10 まとめ — 「低頻度だから」で立ち止まらないために
低頻度・高重篤度のリスクは、リスクマトリクスのカスタマイズなしには適切に評価できない。「全部S3」問題や二極分布は手法の限界ではなく、カスタマイズの欠如が原因である。ALARP原則——すなわち「合理的に実行可能な限りリスクを低減する」という大原則——を前提として、業界・企業ごとに重篤度軸・頻度軸の等級を設計し、許容/不許容の境界を明確に設定することが大前提となる。
カスタマイズされたリスクマトリクスでリスク評価を行った上で、リスクアセスメントプロセスの別のステップでは以下のツールが役割を果たす:
- ALARP原則は、「安全か危険かの二値判定」から「合理的に実行可能な限りの継続的低減」への転換を提供する
- LOPAは、防護層のリスク削減効果を定量的に評価し、SIL決定のための手法として機能する
- ボウタイ分析は、リスクの全体像と各バリアの役割を可視化するコミュニケーションツールである
製鉄所とロケット射場は、エネルギー密度、事故規模、そして組織的課題において驚くほど共通している。業種の壁を越えた教訓共有こそが、低頻度・高重篤度リスクへの最も有効な対処法の一つである。
次の記事(記事4)では、リスク低減の中核を担う安全関連制御システムの設計——JIS B 9705-1(ISO 13849-1)のパフォーマンスレベル、JIS B 9961(IEC 62061)のSIL、そして具体的なインターロック設計——を解説する。