低頻度・高重篤度リスクの評価と管理 — リスクマトリクスの適合化からALARP・LOPA・ボウタイ分析まで

高エネルギー産業における法規遵守とリスク低減の体系的アプローチ

機械安全

リスクアセスメント

リスクマトリクス

ALARP

LOPA

ボウタイ分析

低頻度高重篤度

IEC 61508

プロセス安全

作者

Space Antenna Lab

公開

2026年3月3日

更新日

2026年3月7日

1 はじめに — 「低頻度だから安全」という誤謬

「この設備では過去30年間、大規模な設備事故は発生していない。だから安全である。」

この論理は、直感的にはもっともらしく聞こえる。しかし機械安全の原理に照らすと、致命的な誤りを含んでいる。低頻度の事象が「安全」を意味しないことは、過去の大規模事故が繰り返し証明してきた。

CSB（米国化学安全性調査委員会）の報告書によれば、2005年のBP Texas City製油所爆発（死亡15名）では、ISOMユニットで30年以上重大事故がなかったという(1)。また2008年のImperial Sugar粉塵爆発（死亡14名）については、1925年のWilliam Gibbs論文以来、砂糖粉塵の爆発リスクは業界で広く認識されていたとされる。CSBの調査によれば、同社自身も1967年の経営層への警告メモで危険性を明確に認識していたにもかかわらず、41年間にわたり組織記憶が失われ「完全に防止可能な事故」が発生したという(2)。

低頻度・高重篤度リスクの評価と管理には、汎用的な手法をそのまま適用するのでは不十分であり、リスクマトリクスの等級定義を評価対象に適合させること、ALARP原則に基づくリスク低減の意思決定、そしてLOPA・ボウタイ分析による防護層の定量的・構造的な評価が求められる。本記事では、これらの手法を高エネルギー産業の法規・規格体系と関連づけながら解説する。

2 1. リスクマトリクスの限界と等級定義の適合化

2.1 リスクマトリクスの数学的限界

記事2bで解説したリスクマトリクス法は、ISO 12100に規定されるリスク推定の標準ツールであり、広く採用されている実務標準の一つである(3,4)。しかし、Cox (5) はカスタマイズされていない汎用マトリクスに対して以下の5つの限界を数学的に指摘した。

解像度不足（Poor Resolution）: ランダムに選んだ危険源の組のうち、正確に比較できるのは10%未満にすぎない
範囲圧縮（Range Compression）: 定量的に大きく異なるリスクに同一の等級を割り当ててしまう
逆転エラー: 定量的にリスクが小さい事象に高い定性評価を割り当てる誤りが生じうる
資源配分の非最適化: マトリクスの等級に基づく資源配分は最適解にならない
入出力の曖昧性: 不確実な帰結の重篤度カテゴリ化は客観的に行えない

Cox (5) はさらに、低頻度・高重篤度リスクに特有の問題として、頻度と重篤度の負の相関がある場合（リスク管理が進んだ組織ほど重大事故の頻度は低下する）、マトリクスがランダムな判断よりも悪い結果を導きうることを示した。

2.2 「等級定義の不適合」が本質的な問題

Coxの批判は正当であるが、それは手法そのものの限界ではなく、等級定義が評価対象のリスク特性に適合していないことの問題である(6)。Duijm (6)は設計・運用の改善による緩和策を提示し、Sutherland et al. (7)は2,699名を対象とした実験で、非線形設計によりマトリクスの理解度と意思決定品質が向上することを実証した。

「全部S3」問題: 製鉄所で転炉エリアのリスクアセスメントを行うと、溶鋼飛散・水蒸気爆発・CO漏洩・クレーン荷振れのいずれもがS3（重大）以上に分類される。

危険源	重篤度	発生確率	リスクレベル
溶鋼飛散	S4（壊滅的）	極低	?
水蒸気爆発	S4（壊滅的）	極低	?
CO漏洩（大規模）	S3（重大）	低	?
クレーン荷振れ	S3（重大）	中	III-IV

この問題の本質は重篤度等級の細分化不足——すなわち、等級定義が評価対象のリスク特性に適合していないことにある。MIL-STD-882Eでは、Catastrophic（壊滅的）を「1名死亡」と「複数名死亡・施設壊滅」に区分しており、NASAは3×3マトリクスでは不十分として5×5マトリクスを開発した(8)。

MIL-STD-882Eでは所管部門の正式承認による等級定義の適合化を認可し、FAAは「重篤度と尤度の基準を自ら策定することは、コンプライアンス証明の必須要素である」と明示している(8,9)。ALARP原則に基づいて低頻度・高重篤度セルを「許容不可」に設定する適合化により、上記の「?」にも明確な判定を与えられる。

ロケット射場の二極分布: ロケット射場では、リスクの分布が「軽傷 or 壊滅的」の二極になりやすい(10)。一般製造業ではリスクの件数が中間重篤度に集中する分布を示すのに対し、射場では中間重篤度のリスクが少なく、軽傷レベルのリスクと壊滅的レベルのリスクに二極化する傾向がある。

この二極分布に対しては、重篤度軸の不等幅カテゴリ設計（最高重篤度カテゴリを広く設定）や、ALARP原則を前提として低頻度・高重篤度セルを「許容不可」に設定する等級定義の適合化が有効である(6)。

3 2. 高エネルギー産業の法規・規格体系

3.1 安衛法を基軸とした法規遵守

高エネルギー産業——化学プラント、製鉄所、ロケット射場等——に共通する特徴は、低頻度だが壊滅的な帰結をもたらす危険源を内在していることである。これらの産業に適用される法規・規格体系を理解することが、リスク管理の前提となる。

安衛法（労働安全衛生法）は、業種を問わず全事業者に適用される基本法である(11)。

第20条（機械等による危険の防止）: 設備の設計・運用段階のリスク低減を義務づける
第22条（健康障害の防止）: 有害物質・有害エネルギーからの健康障害防止を義務づける
第28条の2（リスクアセスメントの実施）: 事業者にリスクアセスメントの実施を努力義務として課す

これに加え、業種固有の法規が重層的に適用される:

業種	安衛法に加えて適用される主要法令
化学プラント	高圧ガス保安法、消防法、毒劇法
製鉄所	高圧ガス保安法、電気事業法、消防法
ロケット射場	宇宙活動法、火薬類取締法、高圧ガス保安法

安衛法に基づく酸素欠乏症等防止規則は、射場であっても製鉄所であっても化学プラントであっても同様に適用される。窒素パージ作業における酸欠リスクの管理は、業種固有の技術ではなく、安衛法第22条に基づく共通の法的義務である。

3.2 米国の規制体系: PSM規則

米国では、OSHA（労働安全衛生庁）の29 CFR 1910.119 — Process Safety Management of Highly Hazardous Chemicals（PSM規則）が、130種以上の高危険性化学物質を扱うプロセス産業に適用される(12)。PSM規則は14の管理要素を定め、プロセスハザード分析（PHA）、変更管理（MoC）、機械的完全性の確保等を義務づけている。

BP Texas City爆発（2005年）は、このPSM規則の形式的遵守と実質的実施の乖離を示す典型事例として位置づけられる（セクション 7 で詳述）。

3.3 組織的課題 — 低頻度ゆえの落とし穴

低頻度であるがゆえに、安全管理上、以下の問題が生じることが広く認識されている:

正常性バイアス: 「今まで起きなかった→これからも起きない」
組織記憶の消失: 事故の教訓が世代交代で失われる
投資の正当化困難: 発生確率が低いために費用対効果が悪く見える
経験的学習の不可能: 「失敗から学ぶ」前に壊滅的被害が生じる

CSBの報告書によれば、Imperial Sugar社は1967年の経営層への警告メモで粉塵爆発リスクを明確に認識していたが、41年後の2008年に「完全に防止可能な事故」を起こしたという(2)。

4 3. ALARP原則

4.1 法的基盤と定義

ALARP（As Low As Reasonably Practicable）は、英国 Health and Safety at Work etc. Act 1974に由来するリスク管理原則である(13)。同法は事業者に「合理的に実行可能な限り」（so far as is reasonably practicable）安全を確保する義務を課している（Section 2(1)）。ALARP原則の法的起源（Edwards v. NCB 1949判決）と国際的発展については飛行安全基準の理論的基盤 §1を参照されたい。

ALARPの核心は、リスクを「合理的に実行可能な限り低減する」——すなわち、到達点としての状態——であり、「低減し続ける」（継続的改善）とは異なる(14)。リスク低減措置の費用が、得られるリスク低減効果と著しく不釣り合い（grossly disproportionate）でない限り、当該措置を実施すべきとされる。

4.2 R2P2による定量的閾値

HSE（英国安全衛生庁）のR2P2文書（Reducing Risks, Protecting People, 2001年）は、ALARPの判断に用いる個人リスクの定量的閾値を定めている(14):

リスク区分	労働者	一般公衆
許容不可能（Intolerable）	> 10^-3/年	> 10^-4/年
ALARP領域（Tolerable if ALARP）	10^-3 〜 10^-6/年	10^-4 〜 10^-6/年
広く許容可能（Broadly Acceptable）	< 10^-6/年	< 10^-6/年

一般公衆に対する許容上限が労働者より1桁厳しいのは、労働者は危険源への曝露について一定の選択と訓練があるのに対し、公衆はそうではないという原則に基づく。これらの閾値が産業横断的に収斂したメカニズムと国際基準との詳細な比較は飛行安全基準の理論的基盤 §4を参照されたい。

4.3 費用対効果の非対称性

ALARPの最も重要な特徴は、費用対効果の判断が非対称であることである(15,16):

リスクが高いほど、「費用が釣り合わない」ことの立証責任は重くなる。

ALARP領域の上端（許容不可能に近い）では、費用が非常に高くても対策を実施すべきであり、「コストが見合わない」と主張するためには極めて強い根拠が必要となる。逆にALARP領域の下端では、費用対効果が悪い場合の免除が比較的容易に認められる。HSEのSPC/Permissioning/37は、COMAH規則下でのALARP判断において、この比例原則を具体的なガイダンスとして提示している(16)。

4.4 3ステップメソッドとの関係

JIS B 9700の3ステップメソッド（①本質的安全設計→②安全防護→③使用上の情報）とALARP原則は、独立した枠組みであり、両方を適用する(3,17)。

3ステップメソッドの優先順位は、リスクレベルに関わらず原則として遵守すべきものである。本質的安全設計（ステップ①）は「許容不可能領域のリスクにのみ適用する」のではなく、すべてのリスクレベルにおいて最初に検討するものである（ISO 12100 第6.2節）(3)。安全防護（ステップ②）も同様に、許容不可能でなくても適用する。

一方、ALARP原則はリスク低減の意思決定基準を提供する。「②の対策が高額だから③の警告で代替する」ことは、ALARP原則に基づいて「②の費用がリスク改善に対して著しく不釣り合いである」ことについて合理的根拠が示されない限り、正当化されない。

つまり、3ステップメソッドはリスク低減の実施順序を定め、ALARP原則はリスク低減の十分性の判断基準を定める。両者は補完的に機能する。

5 4. IEC 61508/61511と機能安全

5.1 機能安全とSIL

IEC 61508は、安全関連の電気・電子・プログラマブル電子（E/E/PE）システムの機能安全に関する基本規格である(15)。機能安全とは、安全関連システムの正しい機能に依存する安全の側面を指す。

IEC 61508は4段階のSIL（Safety Integrity Level: 安全度水準）を定義し、それぞれに要求される信頼性（PFDavg: 要求時の平均故障確率）を規定している(15):

SIL	PFDavg	リスク削減倍率	適用例
1	10^-1 〜 10^-2	10〜100	一般的な安全機能
2	10^-2 〜 10^-3	100〜1,000	重要な安全機能
3	10^-3 〜 10^-4	1,000〜10,000	高度な安全機能
4	10^-4 〜 10^-5	10,000〜100,000	極めて高い安全要求

5.2 IEC 61511とプロセス産業

IEC 61511はIEC 61508のプロセス産業向けセクター規格であり、製鉄所や化学プラントのような連続プロセスを対象とする(18)。

ALARP原則の明示的採用: SIL決定にALARP原則を組み込んでいる
LOPAの推奨: IEC 61511-3 Clause 5.4はSIL決定手法としてLOPAを明示的に記載し、プロセス産業で広く用いられる手法として位置づけている。ただし同規格はLOPAを唯一の手法としておらず、リスクグラフ、キャリブレーションファクター法等も代替として認めている(18)
ライフサイクルアプローチ: 設計→運用→保全→廃棄の全段階を対象

5.3 機械安全規格との関係

機械安全の分野では、JIS B 9705-1（ISO 13849-1）とJIS B 9961（IEC 62061）が安全関連制御システムの設計要求を規定している(19,20)。

規格	信頼性指標	手法	主な対象
ISO 13849-1	PLr（a〜e）	リスクグラフ法	機械のSRCS
IEC 62061	SIL（1〜3）	リスクパラメータ法	機械のSRECS
IEC 61508	SIL（1〜4）	ALARP+LOPA	E/E/PE全般

ISO 13849-1のPLr eは、IEC 61508のSIL 3に概ね対応する。低頻度・高重篤度のシナリオでは、PLr d〜eまたはSIL 2〜3が要求されることが多い。

6 5. LOPA・ボウタイ分析

6.1 LOPA（防護層解析）

LOPA（Layer of Protection Analysis）は、HAZOP等で同定されたシナリオに対して、既存の防護層がどれだけのリスク削減を提供しているかを半定量的に評価する手法である(18,21)。IEC 61511においてプロセス産業のSIL決定の推奨手法として位置づけられている。

LOPAの基本計算:

\[\text{残留リスク} = \text{起因事象の頻度} \times \prod_{i}(\text{各IPLのPFD}_i)\]

LOPAの核心は独立防護層（IPL: Independent Protection Layer）の概念である。CCPSの定義によれば、IPLとは「起因事象または他の防護層の動作から独立して、シナリオが望ましくない帰結に至ることを防止できる装置、システム、または行為」である(21)。

IPLと認められるためには、以下の7つのコア属性すべてを満たす必要がある(21):

独立性: 他の防護層や起因事象から独立している
機能性: 指定された危険事象を検知・防止・緩和できる
統合性: 設計・実装が信頼性を確保している
信頼性: 故障率や保守性が定量的に評価可能
検証・保守・監査: 性能が検証・監査可能
アクセス制限: 不正な変更から保護されている
変更管理: 設定変更が適切に管理されている

IPLタイプ別の標準的PFD(21):

IPL種類	PFD	リスク削減効果
プロセス設計（本質安全設計）	0.001〜0.01	100〜1,000倍
基本制御ループ（BPCS）	0.05〜0.1	10〜20倍
警報＋操作者対応（ISA-18.2準拠、合理化済み）	0.01〜0.1	10〜100倍
警報＋操作者対応（未審査）	≥0.5	≤2倍
物理的防壁（安全弁等）	0.01〜0.05	20〜100倍
SIS（安全計装システム）SIL 1	0.1	10倍
SIS（安全計装システム）SIL 2	0.01	100倍
SIS（安全計装システム）SIL 3	0.001	1,000倍

重要: 検知センサ単体はIPLとならない。センサは検知機能のみを持ち、危険事象を防止する機能（遮断弁の閉鎖等）を備えていない。IPLとなりうるのは「検知＋ロジック＋実行装置」を統合したシステム全体である(21)。アラーム＋操作者対応についても、ISA-18.2に準拠したアラーム合理化がなされていない場合のPFDは0.5以上（リスク削減効果2倍以下）にとどまり、IPLとして不適切な場合がある(22)。

6.2 ボウタイ分析

ボウタイ分析は、FTA（故障木分析）とETA（事象木分析）を統合・簡略化した手法であり、ISO 31010:2019に収録されている(4)。

脅威

予防バリア

トップイベント

軽減バリア

結果

機械的故障
（部品摩耗・劣化）

定期点検

トップイベント
（例: 挟まれ）

非常停止装置

軽微な負傷

ヒューマンエラー
（操作ミス）

教育訓練

保護具

重篤な負傷

制御系統異常
（ソフトウェア障害）

安全PLC

救急体制

死亡災害

ボウタイ分析の強み:

全体俯瞰: 1枚の図でリスクの全体像を把握できる
バリア管理: どのバリアが機能しているか、喪失した場合の影響を可視化
組織横断的コミュニケーション: 技術者と経営層の共通言語として機能

ボウタイ分析の適用場面: 事前のバリア管理、運用中のリスクモニタリング、事後分析のいずれにも適用できる(4)。Shell、NAM等の石油・ガス業界では、運用中のバリア管理ツールとして広く活用されている。事前の定量評価にはLOPAやQRA（定量的リスク評価）が併用される。

7 6. 事例に見るリスク管理の教訓

7.1 BP Texas City爆発（2005年）— PSMの形式的遵守と実質的欠如

CSBの報告書は、BP Texas City爆発の分析においてPSM（プロセス安全管理）コンプライアンスの枠組みを用いている(1)。報告書の主要な結論は「BPコーポレーション全レベルでの組織的・安全性の欠陥」であり、PSMの14要素——特に変更管理（MoC）、プロセスハザード分析（PHA）、機械的完全性——の実質的な不備を指摘した。

Baker Panel Report（2007年1月、CSB報告書に先行）は、BPの全米5製油所における根本的なプロセス安全問題を分析し、個人安全指標（傷害率等）の良好さがプロセス安全の充足を意味しないことを明確に指摘した(23)。

なお、CSBの報告書はALARP原則の枠組みでは分析しておらず、米国のPSM規制（OSHA 29 CFR 1910.119）に基づくコンプライアンス分析を行っている(12)。ALARP原則の観点からこの事例を分析すると、液体レベル検知システムのコストは比較的低かったにもかかわらず設置されておらず、ALARP原則が求める費用対効果の非対称性——リスクが高い場合には低コストの対策であっても実施すべき——に照らして不十分であったと考えられる。

7.2 チャレンジャー事故（1986年）— 証明責任の逆転

ロジャーズ委員会報告書(24)は、チャレンジャー事故の分析においてALARP原則には言及していない（報告書は米国NASAの調査であり、英国由来のALARP概念は使用されていない）。報告書が重視したのは、「証明責任の逆転」——本来「安全であることを証明してから飛行する」べきところが、「危険であることを証明しなければ飛行する」に転じていた——という意思決定プロセスの構造的欠陥である。

報告書に記載された経緯:

Morton Thiokol技術者が低温（2℃）でのO-ringシール不全を指摘した
技術者はSRB設計仕様外の温度での打上げに反対を表明した
経営層がNASA Marshall担当者の圧力で技術者の反対を覆した
打上げ73秒後に機体が破壊し、7名全員が死亡した

ALARP原則の観点からこの事例を分析すると、打上げ延期の費用（数日〜数週間のスケジュール遅延）はリスク低減の便益（乗員7名の生命）に対して著しく不釣り合いとは言えず、延期判断が合理的であったと考えられる。報告書は、組織的圧力がこの技術的判断を歪めたと結論づけている(24)。チャレンジャー事故の組織的要因と飛行安全規制の発展についてはロケット飛行安全規制の全体像も参照されたい。

7.3 水蒸気爆発（製鉄所）— バリア喪失の可視化

厚生労働省の災害事例（事例番号100555）によれば、製鋼工場において故障した連続鋳造設備に代え、2日前から放置されていた非常用鍋（冷却水残留）に溶鋼を注入した結果、水蒸気爆発が発生し8名が火傷を負った(25–27)。

この事例にボウタイ分析を適用すると、どのバリアの喪失が事故を招いたかが構造的に可視化される:

%%{init:{"theme":"neutral","themeVariables":{"fontFamily":"Noto Sans JP, sans-serif"}}}%%
flowchart LR
    T1[鍋の水分残留] --> PB1["× 水分チェック手順"]
    T2[設備故障] --> PB2["× 代替設備<br/>準備手順"]
    PB1 --> TE[水蒸気爆発]
    PB2 --> TE
    TE --> MB1["× 退避手順"]
    TE --> MB2["○ 防護服"]
    MB1 --> C1[8名火傷]
    MB2 --> C1

予防バリア（水分チェック手順、代替設備準備手順）がいずれも機能しなかったことが、この事例の根本原因である。

7.4 窒素パージ事故と酸欠・CO中毒の区別

STS-1窒素パージ事故（1981年）: NASAの事故調査報告書によれば、STS-1打上げリハーサル中に窒素パージ事故が発生し2名が死亡した。窒素パージが「非危険作業」と分類されていたことが根本原因であったとされる(28)。このメカニズムは窒素による酸素置換→酸素欠乏である。

製鉄所でもパージ時の酸欠事故が報告されており、両者は「不活性ガスによる酸素欠乏」という類似のハザード構造を持つ。ただし、酸欠（酸素濃度低下）とCO中毒（COとヘモグロビンの結合による酸素運搬能力低下）はメカニズムが異なる点に注意が必要である(29)。

高炉ガス（CO 23〜30%含有）は無色であり、CO自体は無臭である(29)。高炉ガス漏洩時に「異臭」が感知されることがあるが、これは高炉ガスに含まれる微量の硫化水素（H₂S、腐卵臭）や高温ガスが周囲の有機物を焦がすことによる二次的現象であり、CO検知の主要な方法ではない。製鉄所では定置式ガス検知器とポータブルガスモニターを組み合わせた機器検知が標準的な対策となっている。

いずれの事例も、安衛法第22条（健康障害の防止）に基づく酸素欠乏症等防止規則が射場であっても製鉄所であっても同様に適用されることを示している(11)。

8 7. ISO 12100プロセスにおける手法の位置づけ

8.1 リスクアセスメントプロセスにおける各手法の役割

本記事で解説した各手法は、ISO 12100のリスクアセスメントプロセスにおいて異なる役割を果たす(3,4):

プロセスの段階	手法	役割
リスク推定	リスクマトリクス（等級定義を適合化）	重篤度×頻度によるリスクレベルの推定
リスク評価	ALARP原則	許容可能/不可能の判断基準
リスク低減の設計	LOPA	防護層のリスク削減効果の定量的評価、SIL決定
リスクの全体俯瞰	ボウタイ分析	バリアの可視化、ステークホルダー間の共有
安全関連制御システム	IEC 61508/61511, ISO 13849-1	SIL/PLrに基づく設計要件の決定

これらは相互に「補完」するのではなく、プロセス内の異なる段階で異なる目的に使用される手法である。

8.2 5つの実践指針

指針1: リスクマトリクスの等級定義を評価対象に適合させる

業界・対象設備に応じた等級定義の適合化が大前提である。重篤度軸を5段階以上に細分化し、「壊滅的（1名死亡）」と「壊滅的（複数名死亡・施設壊滅）」を区分する。ALARP原則に基づいて低頻度・高重篤度セルを「許容不可」に設定し、組織固有のリスク許容基準を明確にする(8,30)。

指針2: ALARP原則に基づくリスク低減の判断

「基準を満たしたから安全」ではなく、「合理的に実行可能な限り低減する」。R2P2が定める定量的閾値（労働者: 10^-3/年〜10-6/年）に照らし、リスクが許容上限に近いほど費用対効果の立証責任が重くなる(14,15)。

指針3: 防護層の定量的評価

LOPAまたはボウタイ分析により、各防護層の存在と信頼性を明示する。防護方策が講じられていないリスクを許容しない(21)。IPLの7つのコア属性を確認し、検知センサ単体のような不完全なIPLに過度のリスク削減効果を割り当てない。

指針4: PSM/変更管理の方法論を業種横断的に共有する

業種間で共有すべきは個別技術ではなく、安全管理の方法論——PSM（プロセス安全管理）、変更管理（MoC）、組織記憶の維持——である(12,23)。BP Texas City爆発が示したように、個人安全指標の良好さがプロセス安全の充足を意味しないことを認識する必要がある。

指針5: 組織的根本原因への対処

技術的対策だけでなく、安全文化・組織記憶・意思決定プロセスに対する対策を実施する(1)。ロジャーズ委員会報告書が記録した「証明責任の逆転」——危険であることを証明しなければ飛行する——は、組織文化の問題として技術的対策では解決できないことを示している(24)。

9 まとめ

低頻度・高重篤度のリスクは、リスクマトリクスの等級定義を評価対象のリスク特性に適合させなければ適切に評価できない。「全部S3」問題や二極分布は手法の限界ではなく、等級定義の不適合が原因である。

等級定義の適合化に加え、以下の枠組みがリスク管理の体系を構成する:

ALARP原則は、「安全か危険かの二値判定」ではなく、R2P2が定める定量的閾値に基づく「合理的に実行可能な限りの低減」というリスク低減の判断基準を提供する
LOPAは、防護層のリスク削減効果をIPLのPFDに基づいて定量的に評価し、SIL決定の根拠を与える
ボウタイ分析は、リスクの全体像と各バリアの役割を可視化し、事前のバリア管理から事後分析まで幅広く活用されるコミュニケーションツールである

これらの手法はいずれも、安衛法を基軸とする法規遵守の枠組みの中で適用される。業種固有の技術的差異はあっても、安衛法第20条（機械等による危険の防止）、第22条（健康障害の防止）、酸素欠乏症等防止規則といった法的義務は業種を問わず共通である。低頻度・高重篤度リスクへの対処は、法規遵守を前提とした体系的なリスク管理によってのみ実現される。

次の記事（記事4）では、リスク低減の中核を担う安全関連制御システムの設計——JIS B 9705-1（ISO 13849-1）のパフォーマンスレベル、JIS B 9961（IEC 62061）のSIL、そして具体的なインターロック設計——を解説する。

10 参考文献

U.S. Chemical Safety and Hazard Investigation Board. Investigation Report: Refinery Explosion and Fire, BP Texas City [Internet]. 2007年 [cited 2026年3月3日]. Available at: https://www.csb.gov/bp-america-texas-city-refinery-explosion/

U.S. Chemical Safety and Hazard Investigation Board. Investigation Report: Sugar Dust Explosion and Fire, Imperial Sugar Company [Internet]. 2009年 [cited 2026年3月3日]. Available at: https://www.csb.gov/imperial-sugar-company-dust-explosion-and-fire/

機械類の安全性 — 設計のための一般原則 — リスクアセスメント及びリスク低減. JIS B 9700:2013. 日本規格協会; 2013年.

International Organization for Standardization. Risk management – Risk assessment techniques. ISO/IEC 31010:2019. 2019年.

Louis Anthony Cox Jr. What’s Wrong with Risk Matrices? Risk Analysis. 2008年;28(2):497–512. doi:10.1111/j.1539-6924.2008.01030.x

Nijs Jan Duijm. Recommendations on the use and design of risk matrices. Safety Science. 2015年;76:21–31. doi:10.1016/j.ssci.2015.02.014

Heather E. A. Sutherland, Jennifer L. Hick, Dražen Prelec. How People Understand Risk Matrices, and How Matrix Design Affects Their Judgments. Risk Analysis. 2022年. doi:10.1111/risa.13822

US Department of Defense. MIL-STD-882E w/CHANGE 1: Department of Defense Standard Practice — System Safety [Internet]. US Department of Defense; 2023年 [cited 2026年3月4日]. Available at: https://safety.army.mil/Portals/0/Documents/ON-DUTY/SYSTEMSAFETY/Standard/MIL-STD-882E-change-1.pdf

Federal Aviation Administration. FAA Order 8040.4B: Safety Risk Management Policy [Internet]. FAA; 2023年 [cited 2026年3月4日]. Available at: https://www.faa.gov/regulations_policies/orders_notices/index.cfm/go/document.information/documentID/1038654

10.

Safety Standard for Explosives, Propellants, and Pyrotechnics [Internet]. NASA-STD-8719.12A. National Aeronautics; Space Administration; 2017年. Available at: https://standards.nasa.gov/sites/default/files/standards/NASA/A/2/nasa-std-871912a_with_change_2.pdf

11.

労働安全衛生法 [Internet]. 日本国; 1972年. Available at: https://elaws.e-gov.go.jp/document?lawid=347AC0000000057

12.

Process Safety Management of Highly Hazardous Chemicals [Internet]. 29 CFR 1910.119. Occupational Safety; Health Administration; 1992年. Available at: https://www.osha.gov/laws-regs/regulations/standardnumber/1910/1910.119

13.

Health and Safety at Work etc. Act 1974 [Internet]. Parliament of the United Kingdom; 1974年. Available at: https://www.legislation.gov.uk/ukpga/1974/37/contents

14.

Health and Safety Executive. Reducing Risks, Protecting People: HSE’s Decision-Making Process [Internet]. 2001年 [cited 2026年3月7日]. Available at: https://www.hse.gov.uk/managing/theory/r2p2.htm

15.

Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems [Internet]. IEC 61508:2010. International Electrotechnical Commission; 2010年. Available at: https://www.iec.ch/functional-safety

16.

Health and Safety Executive. Guidance on ALARP Decisions in COMAH [Internet]. [cited 2026年3月7日]. Available at: https://www.hse.gov.uk/foi/internalops/hid_circs/permissioning/spc_perm_37/

17.

厚生労働省. 機械の包括的な安全基準に関する指針 [Internet]. 2007年 [cited 2026年3月2日]. Available at: https://www.mhlw.go.jp/web/t_doc?dataId=00tb3487&dataType=1&pageNo=1

18.

International Electrotechnical Commission. Functional safety – Safety instrumented systems for the process industry sector. IEC 61511:2016. 2016年.

19.

Safety of Machinery — Safety-Related Parts of Control Systems — Part 1: General Principles for Design [Internet]. ISO 13849-1:2023. International Organization for Standardization; 2023年. Available at: https://www.iso.org/standard/73481.html

20.

Safety of Machinery — Functional Safety of Safety-Related Control Systems [Internet]. 2nd 版. IEC 62061:2021. International Electrotechnical Commission; 2021年. Available at: https://webstore.iec.ch/en/publication/59927

21.

Center for Chemical Process Safety. Layer of Protection Analysis: Simplified Process Risk Assessment. AIChE/CCPS; 2001年.

22.

Management of Alarm Systems for the Process Industries [Internet]. ANSI/ISA-18.2-2016. International Society of Automation; 2016年. Available at: https://www.isa.org/products/ansi-isa-18-2-2016-management-of-alarm-systems-for

23.

James A. Baker III, Frank L. Bowman, Glenn Erwin, Slade Gorton, Dennis Hendershot, Nancy Leveson, Sharon Priest, Isadore Rosenthal, Paul V. Tebo, Douglas Wiegmann, L. Duane Wilson. The Report of the BP U.S. Refineries Independent Safety Review Panel [Internet]. 2007年1月 [cited 2026年3月7日]. Available at: http://sunnyday.mit.edu/Baker-panel-report.pdf

24.

Presidential Commission on the Space Shuttle Challenger Accident. Report of the Presidential Commission on the Space Shuttle Challenger Accident [Internet]. 1986年 [cited 2026年3月3日]. Available at: https://www.nasa.gov/history/rogersrep/genindex.htm

25.

厚生労働省. 労働災害事例: 連続鋳造設備における水蒸気爆発 [Internet]. 職場のあんぜんサイト; [cited 2026年3月7日]. Available at: https://anzeninfo.mhlw.go.jp/anzen_pg/sai_det.aspx?joho_no=100555

26.

厚生労働省. 労働災害事例: 連続鋳造設備における蒸気爆発 [Internet]. [cited 2026年3月2日]. Available at: https://anzeninfo.mhlw.go.jp/anzen_pg/SAI_DET.aspx?joho_no=100555

27.

厚生労働省. 溶融作業における安全対策 [Internet]. [cited 2026年3月2日]. Available at: https://anzeninfo.mhlw.go.jp/user/anzen/kag/pdf/taisaku/Melting201903.pdf

28.

National Aeronautics and Space Administration. Report on the STS-1 Launch Pad Nitrogen Purge Asphyxiation Accident. 1981年.

29.

厚生労働省. 一酸化炭素中毒（CO中毒） — 安全衛生キーワード [Internet]. [cited 2026年3月2日]. Available at: https://anzeninfo.mhlw.go.jp/yougo/yougo08_1.html

30.

日本機械工業連合会. メーカのための機械工業界リスクアセスメントガイドライン Ver1 [Internet]. 2024年 [cited 2026年3月2日]. Available at: https://www.jmf.or.jp/jmf/wp-content/uploads/2024/03/hyojun_guideline.pdf