リスク見積り・評価の手法 — 危険源を見つけた後、どう判断するか
リスクマトリクスからALARP原則まで、定量的なリスク判断の基礎
1 はじめに — 危険源を見つけた後、どう評価するか
記事2aでは、リスクアセスメントの出発点である危険源同定の手法を解説した。チェックリスト法やHAZOPによって「何が危険か」を特定した後、次に必要なのは「どの程度危険か」を定量化し、「どこまで低減すべきか」を判断するプロセスである。
JIS B 9700:2013(ISO 12100:2010 IDT)のリスクアセスメントプロセスにおいて、本記事が扱うのは③リスク見積りと④リスク評価のステップである(1)。
① 機械類の制限の決定
② 危険源の同定 ← 記事2aで解説済み
③ リスクの見積り ← 【本記事の主題・前半】
④ リスクの評価 ← 【本記事の主題・後半】
⑤ リスク低減(3ステップメソッド)2 1. リスク見積りの手法
2.1 リスクの構成要素
JIS B 9700は、リスクを以下の要素の組み合わせとして定義している(1):
- 危害のひどさ(Severity): 傷害や健康障害の程度
- 危害の発生確率: 以下の3要素から推定
- 危険源への暴露(Exposure/Frequency)
- 危険事象の発生(Occurrence)
- 危害の回避可能性(Avoidance)
これらの要素を組み合わせてリスクの大きさを推定する方法が、以下の各手法である。ISO/IEC Guide 51は、許容可能なリスクの概念を「所与の状況において、社会の現時点での価値観に基づき受け入れられるリスクのレベル」と定義しており(2)、この定義が各リスク見積り手法の根底にある。なおISO 31010:2019(JIS Q 31010)は、リスクアセスメント技法の選択指針を提供する規格であり(3)、本記事で紹介する各手法の位置づけを理解する際の参考になる。
2.2 リスクマトリクス法
概要: 重篤度と発生確率(または暴露頻度)の2軸でマトリクスを構成し、リスクレベルを判定する。最も広く使われている手法である(4)。
典型的な構成:
| 発生確率:低 | 発生確率:中 | 発生確率:高 | |
|---|---|---|---|
| 重篤度:高(死亡・永久障害) | III | IV | V |
| 重篤度:中(休業災害) | II | III | IV |
| 重篤度:低(軽傷・応急処置) | I | II | III |
リスクレベルの判定基準(例):
| レベル | 判定 | 対応 |
|---|---|---|
| V | 直ちに低減が必要 | 作業中止、緊急対策 |
| IV | 重大なリスク | 早急に低減措置を実施 |
| III | 中程度のリスク | 計画的に低減措置を実施 |
| II | 軽微なリスク | 残留リスクとして管理 |
| I | 無視できるリスク | 追加対策不要 |
長所: 直感的で理解しやすい、意思決定に使いやすい
2.3 リスクグラフ法
概要: JIS B 9705-1(ISO 13849-1)の附属書Aに規定されているリスクグラフ法は、安全関連制御システムの必要パフォーマンスレベル(Performance Level, PLr)を決定するために使用される(7)。
3つのパラメータを順次判定してPLrを導出する:
| パラメータ | 記号 | 選択肢 | 意味 |
|---|---|---|---|
| 傷害のひどさ | S | S1 / S2 | 軽傷(可逆) / 重傷(不可逆・死亡) |
| 危険源への暴露頻度 | F | F1 / F2 | まれ / 頻繁 |
| 回避の可能性 | P | P1 / P2 | 可能 / ほぼ不可能 |
リスクグラフの判定結果:
S1 → F1 → P1 → PLr = a
P2 → PLr = b
F2 → P1 → PLr = b
P2 → PLr = c
S2 → F1 → P1 → PLr = c
P2 → PLr = d
F2 → P1 → PLr = d
P2 → PLr = ePLr aが最も低い要求、PLr eが最も高い要求である。
用途: このリスクグラフは汎用的なリスク見積りではなく、安全制御システムの設計に特化した手法である。詳細は記事4で解説する。
2.4 数値スコアリング法
概要: リスクの各要素に数値スコアを割り当て、演算(加算または乗算)によりリスク値を算出する方法(8)。
加算法の例(厚生労働省「リスクアセスメント評価基準(例)」で紹介されている方式(9)):
リスクポイント = 重篤度 + 可能性 + 頻度| 要素 | スコア | 基準例 |
|---|---|---|
| 重篤度(S) | 10 / 6 / 3 / 1 | 死亡・重篤 / 休業(長期)/ 休業(短期)/ 軽微 |
| 可能性 | 6 / 4 / 2 / 1 | 確実 / 可能性高 / 可能性あり / ほぼない |
| 頻度 | 4 / 2 / 1 | 毎日・頻繁 / 時々(週1回程度)/ まれ(年1回程度) |
リスクポイントの合計(最大20点)に応じて優先度I〜IVに分類する。例えば、重傷(6)+可能性あり(2)+時々(2)=10点は優先度III(重大な問題がある)となる。
機械設備向けの加算法(S+F+Q方式)
厚生労働省の機械設備向け指針(表18〜21)では、3因子を「危害のひどさ(S)+危険源にさらされる頻度(F)+危害回避の可能性(Q)」とする方式を示している(10)。これはISO/TR 14121-2に準拠しており、回避可能性(Q)を明示的に評価する点が上記の一般職場向け方式と異なる。
| 要素 | スコア | 基準例 |
|---|---|---|
| 危害のひどさ(S) | 10 / 6 / 3 / 1 | 重大(死亡・後遺障害)/ 重傷(休業)/ 軽傷(不休業)/ 軽微 |
| 頻度(F) | 4 / 2 / 1 | 頻繁(毎日)/ 時々(週1回)/ まれ(半年に1回以下) |
| 回避可能性(Q) | 6 / 4 / 2 / 1 | ほぼ不可能 / 困難 / 注意すれば可能 / 容易に回避 |
回避可能性(Q)の意義と限界: 一般職場向けの重篤度+可能性+頻度方式では、回避可能性が考慮されない。回避可能性とは、危険源にさらされた場合に作業者が危害を回避または軽減できるかどうかであり、その判断には危険源の発生速度(瞬間的か緩慢か)、危険状態の認知可能性(視覚・聴覚で検知できるか)、退避経路の有無、作業者の熟練度が影響する(1)。
しかし、回避可能性のある危険事象は実務上きわめて限定的である。Q因子が低値(回避可能)となりうるのは、小型機械の低速可動部(250mm/s以下)のように、危険源の動きが視認でき、かつ作業者が退避行動をとる時間的余裕がある場合に限られる。大型機械の挟まれ・巻き込まれは低速であっても力量が人間の抵抗力を超えるため回避不能であり、プレス機の急速降下やバースト(破裂)は認知から危害発生までの時間が極めて短く回避が困難である。結果として、産業現場の多くのハザードでQ因子は最悪値(Q=6: ほぼ不可能)に張り付き、ハザード間の弁別力を持たない。加えて、回避可能性の適切な評価は容易ではなく、楽観的なQ値の設定はリスクの過小評価に直結する。
加算法の適用範囲:
加算法は簡便で現場導入が容易であり、厚生労働省や中災防(JISHA)の解説で広く紹介されている(8)。ただし、加算法が有効に機能する範囲は、対象とするハザードの性質に依存する:
- 一般職場(転倒、切傷、打撲等): 重篤度・頻度・可能性が中程度の範囲に収まるため、加算法による優先度付けは実用的である。
- 機械安全(ISO 12100の文脈): 厚生労働省の機械設備向け指針ではQ因子を含むS+F+Q方式を示しているが、Q因子が実際に弁別力を持つのは小型機械の低速可動部など限定的な場面である。大型機械の挟まれ・巻き込まれは低速でも回避不能であり、プレス・剪断機等の高速動作も同様である。Q因子の適用可能な場面は狭く、多くの機械安全の文脈では回避可能性は最悪値に張り付く。
- 重工業・プロセス安全(製鉄所、化学プラント等): 溶鋼飛散・水蒸気爆発・有毒ガス漏洩等のハザードは瞬時発生または不可視であり、回避可能性は例外なく最悪値となる。加算法のスコアリング自体が適用範囲を超えており、LOPA(防護層解析)等の確率論的手法が必要である(11)。
なお、上記のMHLWスコア体系では、致命傷(S=10)の場合は他の因子が最低でも合計12点で最高優先度IV(極めて重大なリスク)となるため、加算法の過小評価は最上位重篤度では生じにくい。問題は重傷(S=6)前後の中間領域で顕在化する。
JIS B 9702:2000(機械類の安全性——リスクアセスメントの原則)は、これらの手法を適用する際の原則と手順を規定しており、リスク見積りにおける体系的な枠組みを提供している(12)。
3 2. リスクパラメータの設定
3.1 重篤度(Severity)の設定
重篤度の等級設定は、対象産業によって大きく異なるべきである(1)。
| 等級 | 一般製造業 | 製鉄所 | ロケット射場 |
|---|---|---|---|
| S1(軽微) | 擦り傷、打撲 | 軽度の熱傷 | 軽傷 |
| S2(中等度) | 骨折、切断(指) | 重度の熱傷、CO中毒 | 化学物質曝露 |
| S3(重大) | 切断(腕)、永久障害 | 溶融金属接触、複数名負傷 | 爆発による重傷 |
| S4(壊滅的) | 死亡(1名) | 蒸気爆発、複数名死亡 | 大規模爆発、施設壊滅 |
「低頻度・高重篤度」産業の課題: 製鉄所やロケット射場では、S3-S4クラスの事象が現実に起こり得る。重篤度の上位等級の細分化が重要である。
3.2 暴露頻度(Frequency/Exposure)の設定
暴露頻度は作業形態によって大きく異なる(4):
| 等級 | 一般製造業 | 製鉄所 | ロケット射場 |
|---|---|---|---|
| F1 | 年数回 | 定期修理(年1回) | 打上げ(年数回) |
| F2 | 月1回程度 | 月次点検 | 設備保全(月次) |
| F3 | 週1回以上 | 日常巡回点検 | 組立作業(週次) |
| F4 | 毎日・常時 | 連続操業 | — |
3.3 回避可能性(Avoidance)
JIS B 9700が定める第3のパラメータ。危険事象が発生した際に、作業者が危害を回避できるかどうかを評価する(1)。
回避可能性に影響する要因:
- 危険事象の速度(瞬間的 vs 緩慢)
- 作業者の認知可能性(視覚・聴覚で検知できるか)
- 退避経路の有無
- 訓練の程度
4 3. リスク評価 — 低減の優先順位付け
4.1 「安全か危険か」の二値思考の限界
リスク見積りの結果を受けて、次に行うのがリスク評価——「このリスクは許容できるか、低減が必要か」の判断である。
ここで多くの実務者が陥る落とし穴がある。「安全か危険かのラインを引いてほしい」という要求である。
この思考には根本的な問題がある。安全は二値(安全/危険)で判断できるものではない。JIS B 9700自体が「絶対的な安全」(absolute safety)は達成できないと明記しており、残留リスク(Residual Risk)は常に存在する(1)。
4.2 ALARP原則の導入 — 安全ラインは「誰かが引くもの」ではない
ここで導入すべきがALARP原則(As Low As Reasonably Practicable)である。
ALARPとは、「合理的に実行可能な限り、リスクを低減し続ける」という動的な原則である。その法的基盤は英国の Health and Safety at Work etc. Act 1974であり、同法は事業者に “so far as is reasonably practicable”(合理的に実行可能な限り)安全を確保する義務を課している(13)。この法的概念がALARPの基盤となり、IEC 61508:2010(機能安全の基本規格)にも取り入れられている(14)。
ALARPの核心思想:
リスクが「許容可能」かどうかは、二値判定ではなく連続的な判断である。リスク低減の費用と、低減によって得られるリスク削減効果を比較し、合理的に実行可能な限りリスクを下げ続ける。
ALARPダイヤグラム(概要):
┌─────────────────────────┐
│ 許容不可能領域 │ ← リスクが高すぎて、いかなる便益があっても許容不可
│ (Intolerable Region) │
├─────────────────────────┤
│ │
│ ALARP領域 │ ← リスクは許容不可能ではないが、
│ (Tolerable if ALARP) │ 合理的に実行可能な限り低減すべき
│ │ 費用と効果の比較衡量が必要
├─────────────────────────┤
│ 広く許容される領域 │ ← リスクが十分に低い
│ (Broadly Acceptable) │
└─────────────────────────┘
↑ リスク大 リスク小 ↓ALARPダイヤグラムの詳細な解説と、IEC 61508/61511における機能安全との関係については、記事3で詳述する。このダイヤグラムの概念は、英国HSEの安全方針に基づくものであり(13)、IEC 61508がこれを国際規格として体系化した(14)。プロセス産業向けのIEC 61511:2016はALARP原則をSIL(安全度水準)の決定に組み込んでおり(15)、製鉄所のような連続プロセスを有する産業にも適用可能である。
4.3 なぜALARPが重要か
特にロケット射場のような新興産業において、ALARP原則は決定的に重要である。
宇宙活動法(2016年制定、2018年施行)の安全審査では(16)、「安全基準を満たしていればよい」という最低基準(prescriptive)アプローチが取られがちである。しかし安衛法は全事業者に適用され(17)、基発指針・JIS B 9700の3ステップメソッドは「残留リスクの低減」を継続的に求める(1,18)。
ALARP原則は、「基準を満たしたから安全だ」という受け身の姿勢から、「合理的に可能な限りリスクを低減し続ける」という能動的な姿勢への転換を促す。
4.4 低減措置の優先順位 — 3ステップメソッドとの対応
リスク評価の結果、低減が必要と判断された場合の優先順位は、基発指針・JIS B 9700の3ステップメソッドに従う(1,18):
| 優先順位 | 方策 | 例 |
|---|---|---|
| 1 | 本質的安全設計 | 危険源の除去、エネルギー削減 |
| 2 | 安全防護・付加保護方策 | ガード、インターロック、検知装置 |
| 3 | 使用上の情報 | 警告表示、取扱説明書 |
この優先順位は厳格に適用されるべきである。厚労省「機械の包括的な安全基準に関する指針」もこの3ステップメソッドに準拠した手順を示している(18)。「警告ラベルを貼って終わり」は、上位の方策が検討された後の最終手段であり、最初の選択肢ではない。
5 4. 製鉄所でのリスク見積り実践
5.1 複合危険源のリスク見積り
製鉄所では、記事2aで述べた通り複数カテゴリの危険源が同時に存在する。リスク見積りにおいては、個々の危険源を独立に評価するだけでなく、相互作用を考慮する必要がある。
転炉エリアのリスクマトリクス適用例:
| 危険源 | 重篤度 | 暴露頻度 | 回避可能性 | リスクレベル |
|---|---|---|---|---|
| 溶鋼飛散 | S4(壊滅的) | F2(転炉操業時) | P2(瞬間的) | V |
| 輻射熱 | S2(中等度) | F3(日常作業) | P1(移動可能) | III |
| CO漏洩 | S3(重大) | F2(設備異常時) | P2(無臭) | IV |
| クレーン荷振れ | S3(重大) | F3(搬送作業) | P1(視認可能) | IV |
注目点: 溶鋼飛散はS4×F2×P2でレベルVとなり、直ちに低減が必要である。しかし「発生確率が低いから」という理由でレベルを下げてはならない——これがまさにALARP原則が求める姿勢である。
5.2 「全部S3」問題
製鉄所のリスクアセスメントでしばしば発生する問題が、重篤度をすべてS3(重大)以上に設定してしまうケースである。
溶融金属、高圧ガス、大型クレーンが常在する環境では、確かに重篤度は高い。しかし全項目がS3以上になると、リスクの差がつかず優先順位が定まらない。結果として「全部重大だが、どこから手をつけるか分からない」状態に陥る。
対策: 重篤度の上位等級を細分化する(S3→S3a/S3b、S4→S4a/S4b等)ことで、低頻度・高重篤度領域でも差別化を可能にする。この手法の詳細は記事3で論じる。
6 5. ロケット射場でのリスク見積り実践
6.1 射場特有のリスク見積り課題
ロケット射場では、通常のリスクマトリクスが前提とする「高頻度・中重篤度」モデルが適合しない場面がある(19)。
| 特性 | 一般製造業の前提 | 射場の実態 |
|---|---|---|
| 暴露頻度 | 日常的・反復的 | 年数回〜十数回 |
| 重篤度分布 | 軽傷〜重傷の連続分布 | 軽傷 or 壊滅的の二極分布 |
| リスク低減の選択肢 | 段階的に選択可能 | 本質安全設計に制約(推進剤は削減不可) |
6.2 リスクグラフ法の射場設備への適用
射場設備のうち安全関連制御システムが必要な部分——推進剤充填の遠隔制御、緊急停止システム等——にはリスクグラフ法(JIS B 9705-1 附属書A)を適用できる(7)。
推進剤充填設備の例:
| パラメータ | 判定 | 根拠 |
|---|---|---|
| S(重篤度) | S2(重傷・死亡) | 推進剤漏洩→爆発・火災 |
| F(暴露頻度) | F1(まれ) | 打上げ時のみ(年数回) |
| P(回避可能性) | P2(ほぼ不可能) | 爆発は瞬間的 |
→ PLr = d(高い安全性能が要求される)
この結果から、安全制御システムの設計にはカテゴリ3以上のアーキテクチャが必要となる。詳細は記事4で解説する。
7 6. よくある失敗
7.1 失敗1: 「全部S3」問題(再掲・対策詳細)
前述の通り、低頻度・高重篤度産業では全項目が高リスクに分類されがちである。
根本原因: 標準的なリスクマトリクス(3×3や4×4)の粒度が、製鉄所や射場の重篤度分布に合っていない。
改善策:
- 重篤度軸を5段階以上に拡張する
- 「壊滅的(1名死亡)」と「壊滅的(複数名死亡・施設壊滅)」を区分する
- 暴露頻度と回避可能性を独立パラメータとして扱う(2軸→3軸化)
- リスクマトリクスの限界を認識し、必要に応じてLOPA等の代替手法に移行する
7.2 失敗2: 低減後リスクの甘い見積り
症状: 安全対策を講じた後のリスク(低減後リスク)を過度に楽観的に見積もる。
事例: 「ガードを設置したから重篤度がS3→S1に下がった」——ガードの有無は暴露頻度(F)に影響するが、ガードが破損した場合の重篤度(S)は変わらない(1)。
対策: 低減後リスクの見積りでは、低減措置の信頼度(故障確率)を考慮する。完全な措置は存在せず、残留リスクは常にある。
7.3 失敗3: リスク評価の形骸化
症状: リスク評価シートを記入することが目的化し、実際のリスク低減に結びつかない。
対策: リスク評価の結果は対策の実行計画に直結させる。「リスクレベルIV → いつまでに → 誰が → 何をする」を明記し、PDCAサイクルを回す(20)。
8 まとめ — 定量的判断と継続的低減
リスク見積りは、危険源同定の結果を「数値」に変換するプロセスである。リスクマトリクス法、リスクグラフ法、数値スコアリング法にはそれぞれ長所と限界があり、対象設備の特性に応じた選択が求められる。
リスク評価においては、「安全か危険かの線引き」ではなく、ALARP原則に基づく「合理的に実行可能な限りの低減」が基本姿勢であるべきだ。特に製鉄所やロケット射場のような低頻度・高重篤度の産業では、この姿勢が安全文化の根幹を成す。
次の記事(記事3)では、低頻度・高重篤度リスクの評価と管理を正面から論じる。リスクマトリクスのカスタマイズによる評価の実践、ALARPダイヤグラムの詳細、そしてリスクアセスメントプロセスにおけるLOPA(防護層解析)やボウタイ分析の位置づけを解説する。