An Introduction to the Combied Application of OSHA, PSM, PHA and LOPA　for Achieving “Safety Through Design”

「Safety through Design思想による本質的な安全の確保」

 

Safety through Designの思想とアプローチ

この思想・考え方は「人は必ずミスをする」という前提に基づいています。だからこそ、どんな場面でも事故が起こらないシステム設計を目指しています。

下図に具体的な米国の安全確保に関するレギュレーションの階層構造、関連性を示します。

法規制下のPSMモデルを用いて、安全なプロセスとなるよう各要素を設計し、優先順位を考慮してプラント設計を進めます。 検討事項は、

1. 回避（Elimination）:危険な原材料や工程そのものをなくす。
2. 代替（Substitution）:より危険の少ない材料やプロセスに変更する。
3. エンジニアリング対策（Engineering Controls）:安全装置やインターロックを設計に組み込む。
4. 警告・教育（Warnings & Training）:どうしても除去できないリスクに対して、警告表示や教育を行う。

 

 

 

 

Chapter １: はじめに

 

”事故は決して偶然ではありません”

note:「偶然」とは、予期できない出来事を指します。予知不能な出来事、事故の発生、結果、その両方が予測できなかったこと。

私たちの日常生活で発生するハザードには、ごく小さな音が絶えず存在しています。その多くは異常音であり、問題の原因となることが少なくありません。これらの異音を正確に聞き分ける専門家がいれば、思わぬ事故を未然に防ぐことができます。

エキスパートから報告を受けた管理監督者は、迅速に問題の解決に取り組むよう組織に指示します。関係する上司や社員は将棋や碁、チェスのプレイヤーのように盤面を分析し、それぞれの視点だけでなくチーム全体の観点からも考えます。さらに、実際にチームでハザード（異音や敵）が発生している現場に立ち会い、ミーティングを行います。

 

さて、２つの実例と一つの話題です。

実例１：1982年の半潜水型石油掘削リグ、オーシャン・レンジャー号の沈没に関するドキュメンタリー。

https://youtu.be/f0Zg9IerLPE

石油掘削基地オーシャンレンジャー号の物語は、ルーチンワークに深く没頭しすぎた結果、働く仲間まで巻き込む事態がどのように起こるかを示しています。乗組員は、一日に不具合がいくつも重なっても惨事に至ることはないとリスクを過小評価していました。本来の危険度よりも低く見積もってしまう状態です。その上、問題があっても“見ざる”、“聞かざる”、“言わざる”で、まるで壺の中にいるように無関心でした。（さて、この壺からどう抜け出せば良いのでしょうか？）

話題：第一次世界大戦中、英海軍の機動戦艦の艦隊がドイツ戦艦ゲーベンを取り逃がす原因

この災難にウィンストン チャーチルは「恐ろしい“もしも”、は累積していく習性をもっている」と述べた。　　　　　note: “The terrible ‘Ifs’ accumulate.”イフです。

ウィンストン・チャーチルが言及したゲーベンおよびブレスラウ追跡戦は、1914年8月の地中海における英海軍の一連の戦略的失策および不運として位置付けられます。ドイツ艦ゲーベンの逸脱に至った主因は、英艦隊司令官による過度な慎重姿勢、敵国通信能力に関する情報評価の誤認、ならびに燃料補給時期の選定や艦隊展開の判断ミスが複合的に作用した結果であったと考えられます。

「ゲーベンとブレスラウの追跡」における一連の事象は、司令官による意思決定及び認識違いに起因している。英地中海艦隊司令官アーチボルド・ミルン提督は、ゲーベンがオーストリアへ向かうと誤認し、アドリア海封鎖を優先した。ドイツ側は高度な暗号技術を駆使して通信を秘匿し、情報戦において優位性を確保していた。加えて、イギリス側はゲーベンの航行速度を過小評価するなど、リスク管理に瑕疵が見られた。不十分な情報に基づく戦術運用、アドミラルティ（海軍本部）と現地司令官間の意思疎通の不備、指示内容の食い違いや誤命令が、結果的にゲーベンの行動を利する要因となった。これらの連鎖的事象により、ゲーベンは地中海を突破しオスマン帝国へ到達、同盟国側での参戦を促進し、黒海におけるロシアへの脅威となるなど、戦争の長期化と拡大を招く重大な要因となった。

 

実例２：クラレ パサデナの放出と火災、テキサス州パサデナ2018/05/19事故発生。

最終事故レポートの公開日: 2022 年 12 月 21 日に、関するドキュメンタリーです。

クラレ・パサデナの爆発・火災

2018年5月19日にクラレアメリカで爆発が起こり、テキサス州パサデナにあるEVAL施設の従業員21人が負傷した。この施設では、EVAL として販売されるエチレン ビニル アルコール コポリマーを製造しています。クラレアメリカは東京に本拠を置く特殊化学品メーカーです。note: 商品名

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Ｑ：ドキュメンタリーや話題から何を学びましたか？

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

これから事故や偶然を防ぐ Chapter ２ を始めます。

 

 

Chapter ２: Kickoff

１．「製品のライフサイクル:人とモノと環境」

製品のライフサイクルには、関与する人々や設備、装置、プロセス、製品自体、そして周囲の環境や地域社会が含まれます。また、マーケティングまで含める場合、製品が市場に出て販売終了となるまでの全期間が対象です。

製品のライフサイクル全体で、人やモノ、環境へのリスクを除去し、できない場合は軽減して許容レベルまで下げます。そのためには、危険源や危険事象を特定し、リスクの分析・評価・除去・軽減が必要です。①②は国際規格です。

①ISO 12100 に代表される国際規格

1990年代以降、欧米では機械の製造者に責任を求める多くの法律や基準が作られました。その考え方と安全に関する思想を受け継いだ規格が、ISO 12100「機械類の安全性」です。わずか30年前のことです。また、日本でも1995年にWTO（世界貿易機関）のTBT（貿易に関する技術的障壁）協定を結んだことで、国際規格の導入が進みました。

②IEC 61508 は電気系システムに不可欠な国際規格

プラントや装置、機械は例外なく、電気・電子機器やコンピュータによってIT制御されています。機械本体の機械的リスクのみを抑えても十分な安全性は得られず、依然としてリスクが存在します。そのため、機械の安全を確保するにはISO 12100「機械類の安全性」だけでなく、電気・電子・プログラマブル式安全関連システムについて定めたIEC 61508も理解し、適切に導入することが求められます。これらの規格を遵守し、制御系の安全を高めることは必要不可欠です。また、AI技術の発展以降、高度化したサイバー攻撃への対策も重要になっています。

 

2．安全と品質の関わり

①安全性は品質の一部

製品が安全に使用できることは、品質において最も重要な要素です。安全性がなければ、製品や商品は成立しません。イギリスのHSE（労働安全執行委員会）も「労働安全衛生マネジメントのガイダンス」で、安全と品質の関係を定義しています。

“Health and safety management should be an integral part of an organization’s overall management system, just as quality or financial management is.”

「健康や安全の管理は、品質や財務の管理と同じように、組織の全体的な管理システムに欠かせない存在です。」

安全性と品質は密接に関連しており、あたかもコインの両面のような不可分の関係にあります。しかし、品質マネジメントシステムを導入しただけで自動的に安全性が確保されるわけではありません。とはいえ、「安全マネジメントの原理」と「品質マネジメントの原理」は本質的に一致しています。

アメリカでどのように安全を確保しているかについて下図の階層構造を見てください。上から法規制（労働安全法（日本では労働安全衛生法））、管理システム（PSM）、具体的なリスク評価手法（PHA,LOPAなど）

 

 

②米国OSHA／PSMが要求するプラントの安全　

図は管理システム（PSM）を門の形で示しています。毎日この門をくぐることで、「昨日の一日一善はできましたか？今日はどうしますか？」と問いかけてくれます。

米国のOSHAおよびPSMが規定する枠組みに基づき、日常的な安全活動を通じて製造プラントにおける製品品質の確保と安全性向上を体系的に構築する取り組みについて述べます。

• 本規定は、プロセス・システムの危機管理に関するプロセス安全管理（PSM：Process Safety Management）について詳細に定めるものです。プロセス安全の概念は、化学プラントのみならず、物流業界など他産業・業種にも応用可能であることが示されています。
• プラントの設計・施工・運用各段階で、行政当局は現地調査や審査を行い、安全性やエネルギー効率などの性能が満たされているか確認します。

Note:コミッショニング（Commissioning）とは、建築・設備・プラントなどのプロジェクトにおいて、設計・施工・運用段階を通して、要求される性能（エネルギー効率、快適性、安全性）を確実に満たしているか検証し、最適化する一連のプロセスです。

note:プロセス・システム：工場で製品を作る必要な機械や装置、パイプ、バルブ、タンクなどを組み合わせた設備類システムのこと、ガソリン、灯油、化学品、薬、シャンプー、鉄、アルミ、などなどを作る事業所です。

審査は、プラントを受注したEPCコントラクターが、PSM遵守のための「行動計画」（コンプライアンス・プログラム）に従って、設計段階でハザード分析によって抽出された非定常状態に対する「安全設計」が実施されているか確認します。

• 設計仕様に基づく品質の機器類が調達し、現地に搬入し、機器類は、設計仕様どおりに品質を保持した状態で据え付けられ、設計仕様に基づき施工され、配管、電気、計装、諸工事で品質確保がされていること。
• 設計仕様どおりの機器類とプロセスであることを確認するために試験、ドライ運転、調整が実施されている。
• ハザード分析に基づく非定常時の運転操作手順が記載されたO＆Mマニュアルがあり、それに基づく座学教育、試運転を実施している。
• プラントオーナーは運転要員、保全要員のトレーニングを完了している。

上記の実施を証明するための品質保証プログラムが整備されており、活動の証拠となる文書（例：教育履歴、検査記録など）が適切に管理されています。これらは審査対象の主要文書として文書管理システムに登録されており、⑤-1 審査官から要求された際には速やかに提示できる状態であることが求められます。また、⑤-2 管理された文書として存在し、即時のアクセスが可能であることが必要です。（readily accessible documents）

 

OSHA の根本的理念は、「プラントの安全性は各プロジェクト段階（フェーズまたはステージ）において体系的かつ継続的に実施される品質管理活動の積み重ねによって確立される」です。

参考：

出典　国立環境研究所　：「ライフサイクルアセスメント（LCA）について、循環・廃棄物のまめ知識です。http://www-cycle.nies.go.jp/magazine/mame/20070702.htm

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

ちょっと考えて：
ガソリン自動車と電気自動車はどちらが、資源採取―原料生産―製品生産―流通・消費―廃棄・リサイクルまでのCO₂排出量が少ないのか？

ガソリン自動車と電気自動車のCO2排出量については、走行時の排出量だけでなく、製造・廃棄時の排出量も含めた「ライフサイクル」全体で比較する必要があり、 一般的には、電気自動車の方がCO2排出量は少ないとされています。しかし、電気自動車の製造・廃棄時に発生するCO2排出量は、ガソリン車やハイブリッド車と比べて大幅に大きいとされています。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

キーポイント：部分最適解から最終は全体最適解を追究することが必須です、何事も中途半端にしない。

 

3．プラントの安全確保への基本的アプローチ

①プラント安全のための Layers of protection for plant

プラントの安全管理（PSM）における基本的アプローチは、設計、調達、建設、コミッショニング（試運転）、運転および保全といった各段階において、プロセスリスクアセスメントに基づいた体系的かつ段階的な安全確保活動を遂行し、その多層的な取り組みを積み重ねることでプラント全体の安全性を確保するという「Layer of Protection」の考え方に基づいています（下図参照）。

プロセス安全マネジメント（PSM）は、新設・既設を問わず、プラントが通常の運転状態から逸脱し非定常状態となる緊急事態への対応も含めて、その管理を目的としています。これらの目的を達成するためには、以下の事項を適切に実施する必要があります。

①PHAを実施し、最低5年後に見直しをする
②PHAに基づくデザインレビューと仕様の決定
③PHAに基づく見直しによるO＆Mマニュアルの作成、改定
④操作、保全、改造時の変更管理の実施とO＆Mマニュアルの作成、改定
⑤要員のリフレッシュ・トレーニング、リ・トレーニング
⑥緊急事態への対応計画の策定、見直し
⑦PSM規定の遵守に関するOSHAによる監査は、新設プラントはコミッショニングの段階において受ける、
既設プラントについては最低3年ごとに1者、2者監査を実施する

 

しかし、機械の安全性を確保するには、本質安全設計を行い、その後製造や保全を実施するだけでは十分とはいえません。機械は設計から工程を経て現場に搬入され、工事基準に従って据付けられ、試運転や調整がなされ、不具合はパンチリストで解決された上で商業運転へと進みます。重要なのは、運転・操作時の安全を守るためには、機械の仕様範囲内で定めた運転標準を遵守することです。（標準を超える生産速度で稼働していないか、今一度ご確認ください）

⑧EC機械指令は、機械の安全な設計・製造、正しい据付け、保守がされていれば、機械により直接起きる事故コスト、社会的コストを減らすことができるとしています。

89/392/EECは、1989年6月に採択された欧州共同体（EC）の初代「機械指令」です。EU圏内で流通する機械に対し、安全性に関する必須要求事項（設計・製造・防護策など）を統一し、CEマークの表示を義務付けています。安全性の高い設備、装置、部品、製品の自由流通を目指した規制です。

ECの機械指令概要と主な特徴：

目的:機械の安全基準を（CEマーク）統一し、加盟国間の貿易障壁を取り除く。

必須安全要求事項 (Annex I):機械の設計、防護装置、メンテナンスに関する厳格な基準を規定。

CEマーキングの義務化:本指令に適合する製品にCEマークを表示し、市場への自由な出荷・使用を可能にする。

対象:安全部品や可動部を持つ機械全般。

変遷: 現在は2006/42/EC機械指令に統合・廃止されています。

Pilzのサイトも参考になります。　 https://www.pilz.com/ja-JP/support/law-standards-norms/manufacturer-machine-operators/machinery-directive

この指令は、機械の設計・製造における安全性（リスク評価、安全ガードの設置など）の基本的な考え方です。

機械類の安全確保は、「設計段階、調達、製造、施工、試運転、運転、保全、停止および廃棄段階」で本質安全設計を実施、各段階においてリスクアセスメントを実施、ステージ毎に、安全防護策を決め、機能させ、その結果の積み重ねにより実現します。

プラントは「Safety through design（設計による安全）」という考え方にもとづいて構成されたシステム構造体です。プラントの安全性は設計段階から始まります。米国ではプラント安全の概念を「Layers of protection for plant（プラント安全のための防護層）」と呼び、OSHA／PSMでもこの方法が危機管理の基本として採用されています。つまり、プラントの安全は「設計・調達・製造・施工・試運転・運転・保全・停止・廃棄」など各段階で「本質的な安全設計」を行うSafety through design思想に根ざしています。

 

 

②設計の基本となるプロセス危険分析（PHA）

• PHA（プロセス危険分析）の位置づけを一度、OSHA・PSM・PHA/LOPA関連階層構造図を確認ください。
• PHAの位置づけを以下の赤い矢印で示します。

PSM門の構成要素である要件ブロックは、左端から①が始まり、③のPHA、そして頂上の⑦、最後に⑭業務上の秘密へと続いています。また、職場で働く人々は日々「従業員の参加（Employer participation）」を意識しながら、この門を出入りしています。

門を支える基礎は、『Management Commitmentの言行一致』、そして『Felt leadershipの発揮』です。

PSM基本要求事項      　　　　　　　　　　　　　　　　　　　　　　規定事項概要

①従業員の参加 (Employer participation)	ープロセス安全管理に従業員が参加するプログラムを策定することープロセス危険分析の開発、およびプロセス安全管理の策定には従業員に助⾔を求めること ⼀従業員がプロセス危険分析、プロセス安全情報などを利⽤できること
②プロセス安全情報(Process safety information)	⼀暴露限界、反応性など化学物質の物性情報ープロセスパラメーターの安全管理限界値などプロセス危険分析に基づ<技術情報 ⼀採⽤した準拠規格、物質収支など機器·設備情報
③プロセス危険分析 (Process Hazard Analysis)	ー　What-if、チェックリスト法、HAZOP、FMEA、FTAまたは同等のプロセス分析手法の実施
④操作手順の文書化 (Operating procedures)	⼀緊急シャットダウン、緊急操作などの操作手順の文書化 ⼀定常状態からの逸脱時の修正/回避に要する手順 ⼀暴露防⽌、⾝体保護具(PPE)などの安全衛生上の考慮事項ーロックアウト、閉鎖空間への⽴⼊りなどの安全確保
⑤トレーニング (Training)	ープロセス操作に関する教育訓練ートレーニングの実施と成果の記録管理
⑥コントラクター (Contractors/プロセスの保 全、改修、定修などの請負工事業者)	プラントオーナーの責任: ⼀業者選定時、業者の安全プログラムと実績に関する情報の⼊手と評価　⼀工事作業に関連する潜在的なハザードの存在の通知 ⼀緊急事態対応プランの説明 ープロセスエリア内における安全対策の実施 ⼀工事業者の責任履⾏に対する定期的評価の実施工事業者の責任: ⼀工事施工の安全確保に関する被雇⽤者の教育の達成 ー潜在的なサードに関する被雇⽤者への指示の徹底 ⼀教育の実施と成果の記録管理 ーロックアウト、閉鎖空間への⽴⼊りなどの安全規則の遵守 ⼀工事施工に伴うハザードのプラントオーナーへの通知
⑦試運転前安全レビュー(Pre- startup safety review)	プロセスへの危険物質投⼊前の下記事項の確認: ⼀機器および施工の設計仕様へ準拠 ⼀安全·操作·保全·緊急時の手順の妥当性 ⼀新設の場合:危険分析の実施と推奨事項の判断または実施 -改修の場合:変更に伴う安全性の検証管理ープロセス操作関係者のトレーニングの完了

 

⑧機器の健全性* (Mechanical integrity)*対象となるプロセス機器: ⼀圧⼒容器、貯槽タンクーバルブなどの配管系⼀安全弁、ベントシステム ⼀緊急遮断システム ⼀制御系(監視、センサー、警報、インターロックを含む) ーポンプ	ープロセス機器の健全性を保つための手順書の策定·実施ープロセス機器の健全性を保つための保全要員の訓練 ープロセス機器に対する下記試験検査の実施 ·試験検査法:ASME·ASTM·ULなどの規格に準拠 ·試験検査の頻度:メーカーの推奨、規格に準拠 ·試験検査記録:実施日、 当者名、試験項目、結果 ⼀前記②のプロセス安全情報に基づく仕様限界を逸脱しているプロセス機器の不適格事項の修復 新設プラントおよび機器の施工時に、製作された機器が、プロセスの⽤途に適するための品質保証 ·設計仕様とメーカーの指示どおりに機器を設置するための適切なチェックと検査の実施 ·プロセスの⽤途に適した保全⽤の機材、予備品の保証
⑨火気使⽤許可 (Hot work permit)	ープロセス内または近傍の火気使⽤に対しては、使⽤許可書を発⾏すること⼀工事開始前に火災予防に関する29CFR 規定事項が実施されたことで許可する ⼀許可書には、許可日、工事目的を記載する
⑩変更管理 (Management of change)	ープロセス上の化学物質、技術、機器および手順に対する変更、およびプロセスに影響する施設に対する変更を管理する手順書の策定とその実施⼀変更する前に下記事項を確実にすること: ·提案されている変更の論拠となる技術 ·安全衛生に及ぼす影響 ·操作手順の修正 ·変更に要する期間 ·提案されている変更に関する法的要求事項 ⼀操作および保全関係者、工事に影響のあるコントラクターに対して事前に、通知し訓練すること ⼀変更が②のプロセス安全情報に影響をもたらす場合には、プロセス安全情報を改訂すること ⼀変更が前記④の操作手順に影響をもたらす場合には、操作手順文を改訂すること
⑪事故調査 (Incident investigation)	⼀危険物の⼤規模漏洩に起因する事故を調査すること ⼀事故後48時間以内に可及的速やかに調査を開始すること ⼀下記の者から構成される調査チームを結成すること: ·最低1名の当該プロセスに精通している者 ·事故と関係があれば工事業者 ·事故調査と分析に精通している経験者 ⼀事故調査報告書には、下記事項を最小限記載すること: ·事故発生日 ·調査開始日 ·事故の実態 ·事故の⼀因となったファクター ·調査から得られた勧告 ⼀事故調査の成果および勧告を即時に特定し解明するシステムを確⽴すること ⼀事故調査報告書は、必要であれば工事業者も含めて、その勧告に関わるすべての関係者に吟味させる ⼀事故調査報告書は、5年間保管すること

 

⑫緊急時対応プラン (Emergency planning and response)	ー29CFR の規定に基づく全プラントの緊急時対応プランを策定し実施すること ⼀上記プランには、少量の漏洩に対する手順も含めること
⑬法令遵守監査 (Compliance audit)	ー29CFR 規定のPSMを遵守していることを検証するため最低3年ごとに評価し確認すること ⼀法令遵守の監査は、最低1名の当該プロセスに精通している者が実施すること 監査による勧告報告の書式を策定すること ⼀事業者は勧告に対して、直ちに決断し適切な措置を文書にし、不備を是正したことを文書に残すこと ⼀事業者は最新2回分の法令遵守監査報告書を保管すること
⑭業務上の秘密 (Trade secrets)	⼀事業者は、PSMの規定の業務を実施する責任者に必要なプロセス情報を利⽤させることープロセス情報の機密保持契約の締結を認める

 

 

社員や従業員の安全確保のため、上表のPSM基本要求事項①～⑭について現状を確認し、PHA③ではWhat-if法やチェックリスト法、HAZOP、FMEA、FTAなどの分析手法を使って「何が起こりうるか」に注目しながら危険を網羅的に特定します。また、PHAの次の段階でよく用いられるLOPAは、具体的な発生頻度を計算するツールです。

参考：PHAの次に「LOPA」を位置付けることで、手順の理解および両者の違いが明確になります。両者の相違点については、下記の表をご参照ください。

LOPAを使いPHAで特定された危険シナリオ、　　　　　　　　　　　　　　　　　　　　　　　　　　　LOPAを利用してPHAで特定された危険シナリオについて、発生確率と影響の規模を半定量的に算出します。独立保護層（IPL：インターロックや圧力逃がし弁など）の信頼性も考慮し、リスクが許容範囲内かどうかを評価します。これによって「安全対策は十分かどうか」を判断します。

 

 

 

 

特徴	PHA (Process Hazard Analysis)	LOPA (Layer of Protection Analysis)
主な目的	潜在的な危険の特定、ハザードの洗い出し	危険のリスク評価、保護層の妥当性評価
手法・性質	定性的（HAZOP、What-ifなど）	半定量的（頻度と影響を数値化）
対象範囲	プロセス全体、広範囲	PHAで特定された特定シナリオ
結果の出力	危険シナリオ、推奨対策リスト	シナリオの危険頻度、必要な保護層数
専門性	チームによるブレインストーミング	専門知識が必要（頻度データ等）

”Layers of protection for plant ミシガン大学のウェブページのLOPAの抜粋

防護層解析（ぼうごそうかいせき）（LOPA）

https://safeche.engin.umich.edu/tutorials/lopa-tutorial/　

導入

防護層解析（Layer of Protection Analysis, LOPA）は、特定のリスク要因に対する安全対策を体系的に特定し、それらが十分かつ適切に講じられているかを評価するために用いられる半定量的手法です。

LOPAは、プロセスリスクが規定された許容水準まで低減されていることを検証する目的で実施します。本図は、特定プロセスにおける各種保護層を視覚的に示したものであり、①から⑨の順に、プロセスの事象から地域社会に至るまでの防護層の階層構造を表現しています。

保護層（防護層）の例を示す図

LOPAは、ハザード・オペラビリティ・スタディ（HAZOP）などのリスク特定分析に基づいて作成されます。通常、HAZOPを最初に実施し、その後LOPAスタディが行われます。HAZOPは、事故が起きる前にプラントの脆弱なプロセスを特定するプロセス設計の分析手法です。HAZOPの概要については、HAZOPチュートリアルを参照ください。

商業運転前のHAZOPで発見された、人、環境、または事業に深刻な危害を与える可能性のある重大な危険シナリオは、LOPAの対象とします。
HAZOPは潜在的な危険を見つける手法であり、LOPAはその危険が実際に起こる確率を数値で評価し、リスクのあるシステムを詳しく調べて、危険から守るための対策を明らかにします。 LOPAは、限られたリソース下でも実施可能であり、主要課題に重点を置くことで不要な安全対策を排除し、プロセスの最適化に資する有効な保護手段の確立を支援します。また、防護層（保護層）管理のための基盤を提供します。

これらの緩和安全対策、つまり「保護層（防護層）」は、化学プロセス安全センター（CCPS）の独立保護層（防護層）（IPL）基準を満足する必要があります。

note: CCPS(アメリカの化学工学会（AIChE）が設置したCCPS（Center for Chemical Process Safety）、日本では主に化学・石油業界の安全指針として浸透しており、事故防止のメトリック（測定基準）やリスク評価手法として活用されています。

 

定義や関連情報については、サイトをご確認ください。独立した保護層（防護層）と見なされないものも多くあります。たとえば、消防隊や手動式放水システム、地域社会による対応などは、独立した保護層として扱われません。下図は、プロセスが独立しているかどうかを示した参考例です。

図（左）2は独立型IPLの例です。各レベルトランスミッタは専用の制御ロジックとバルブを持ちます。どちらかが故障しても、もう一方には影響しません。両者は独立しています。

図3（右）は、独立していないIPLの事例を示しています。2台のレベルトランスミッタが同じ制御ロジックを利用しているため、その制御ロジックに不具合が生じると両方のレベルトランスミッタが動作しなくなります。このように、レベルトランスミッタは相互に独立していません。

図2. 独立IPLの例

図3. 非独立IPLの例

 

結果のカテゴリー

影響はリスクに応じて1～5のカテゴリーで分類されます。カテゴリー1が最も軽微、カテゴリー5が最も深刻です。健康、安全、財務のリスクが含まれ、同じ事故でも安全と財務で影響度が異なる場合があります。深刻度は、安全面と事業への影響を個別に評価したうえで、一番深刻なものを選んでください。

結果のカテゴリーに関する例です、表1と表2を参照ください。

表1. 安全への影響に基づく分類

	重大度	安全への影響
カテゴリー1	わずかに	応急処置事例
カテゴリー2	マイナー	軽傷：1日 休業
カテゴリー3	厳しい	重傷： 病院イタルステイ
カテゴリー4	選考科目	単独死亡事故
カテゴリー5	壊滅的	複数死亡者

表2. ビジネスへの影響に基づく分類

	重大度	ビジネスインパクト
カテゴリー1	わずかに	0ドル～10万ドル
カテゴリー2	マイナー	10万ドル～100万ドル
カテゴリー3	厳しい	100万ドル～1000万ドル
カテゴリー4	選考科目	1,000万ドル～1億ドル
カテゴリー5	壊滅的	1億ドル

 

LOPA（リスク許容度）調査は主に重大なリスク問題の約5%を扱います。多くの企業はカテゴリー4または5の重大事故や死亡事故に焦点を合わせた許容基準を設定しています。また、ほとんどの事故が機器の起動時や停止時に起こるため、LOPAもそのタイミングでの事故結果を重視します。

開始事象の頻度（FOIE）

FOIEは、特定の結果を誘発する故障事象（開始事象）の発生頻度を示します。開始事象は受動的または能動的に分類されます。開始事象には自然災害、制御システムの機能不全、ならびに人的エラーが含まれます。各開始事象の発生確率については付録Aに詳細を記載しています。開始事象として人的エラーが認識された場合は、所定の手順に従って対応してください。

1. 機会率（人間が年間に行う活動の回数）を求めなさい。
2. 人的エラー確率（HEP）を求めます。これは、特定の機会における人的ミスの確率を表します。値は通常、10⁻² ^/機会として扱われます。

FOIE = 年間機会数 × HEP

オンデマンドIPLの失敗確率（PFD）

PFDは、保護層が故障する頻度を示します。特定の層が故障する確率は、付録B（下記参照）に記載されています。

軽減された結果の発生頻度（MCF）

MCFは、開始事象が発生し、IPLが失敗する頻度を表します。MCFは、特定の結果（表1の例を参照）が発生する頻度です。MCFは次の式で計算されます。

MCF = PFD × FOIE

LOPAプロセス

潜在的な危険性を有するあらゆるシステムに対してLOPAを実施するには、以下の方法を用いることができます。

1. 潜在的なプロセス安全上の危険に対する単一の結果を特定する
2. 事故のシナリオと、その結果に関連する原因を特定する。
3. シナリオの開始事象を特定し、開始事象の発生頻度（FOIE）を推定します。
4. この特定の結果に対して利用可能な独立した保護層を特定し、各保護層の要求時故障確率（PFD）を推定する。
5. 開始事象の発生頻度（FOIE）と独立保護層（IPL）の故障確率（PFD）を組み合わせて、特定の開始事象に対する軽減された結果の発生頻度（MCF）を決定する。
6. 結果の発生頻度と結果の深刻度をプロットして、リスクレベルを推定します（下の表2参照）。各点は、このリスクマトリックス上のどこかに該当します。
7. ステップ6で発見されたリスクを許容可能なリスクレベルと比較し、追加のIPLが必要かどうかを評価する。

𝑅𝑖𝑠𝑘 = 𝑀𝐶𝐹 ⅹ 𝑆𝑒𝑣𝑒𝑟𝑖𝑡𝑦

 

 

 

LOPAを作成する際は、安全性評価の実効性を高くするために以下の点に注意する必要があります。

1. すべてのIPLは適切に維持管理され、正常に機能しているか。LOPAでは、特定の原因（イニシエーター）によって事故が起こるのを防ぐ「独立防護層（IPL：Independent Protection Layer）」の信頼性に依存します。たとえ設計上でIPLとして認められる設備（緊急遮断弁、アラームなど）であっても、メンテナンス不良や手順の未整備により機能しなければ、事故を防げません。IPLは「監査可能（Auditable）」、「稼働可能（Available）」、「信頼できる（Reliable）」、「独立している（Independent）」の基準を満たす必要があります。定期的なテストや校正が必要。
2. CSBの報告書に基づく負傷者数／死亡者数／経済的損失　CSB（米国化学物質安全危険調査委員会）の報告書は、LOPAの重要性を理解する上で最も優れたケーススタディです。事故シナリオを想定する際、過去の類似事例から想定される被害規模を把握することが必要。プロセス安全事故（PSE）のティア1（重大事故）に相当する事例では、多くの場合、遮断装置が機能しなかったり、運転手順が配管構成に適合していなかったり（MOC：変更管理の失敗）が原因となっています。これらを分析することで、LOPAで考慮すべき「真の脅威」を特定できます。
3. 事故の引き金となる開始イベントはIPLとはみなされない。たとえば、「ポンプの故障」が事故の開始イベントであれば、その故障を起こしたポンプを、「故障を防ぐ防護層」として数えることはしません。独立した別の防護層（IEと独立した遮断システムなど）を考慮する必要です。
4. システムに複数のIPLが存在する場合、システムのPFDは各独立したIPLのPFDの積となる。

𝑃𝐹𝐷 = 𝑃𝐹𝐷ｘ 𝑃𝐹𝐷ｘ 𝑃𝐹𝐷

1. IPLが存在しない場合、PFD値は1になります。

このチュートリアルは、カリブ海石油会社（CAPECO）での爆発事故に関するLOPA（損失予測分析）の例とありますが、サイトをめくると、“Oops! That page can’t be found.”

LOPAに関する知識確認クイズが使えます。

 

付録A：開始イベントの頻度（FOIE）値

開始イベント	FOIEの価値（年間）
圧力容器の残留破損	10−6
配管からの漏水（10%区間）	10−3
大気圧タンクの故障	10−3
第三者による介入（例：車両による外部からの影響）	10-2
安全弁が予期せず開く	10-2
冷却水故障	10-1
ポンプシールの故障	10-1
基本プロセス制御システム（BPCS）計装ループの故障	10-1
外部火災	10-1
オペレーターの故障	10−2/ オプトウニティ

 

付録B：要求時故障確率（PFD）値

IPL	コメントと定義	PFD値
堤防	タンクの過充填、破裂、漏洩などによる重大な被害の発生頻度を低減します。	10−2
地下排水 システム	タンクの過充填、破裂、漏洩などによる重大な被害の発生頻度を低減します。	10−2
通気口を開ける	過圧を防ぐ	10−2
耐火性	熱入力速度を低下させ、減圧や消火活動などのための時間を確保します。	10-3
防爆壁または掩蔽壕	爆発の衝撃波を封じ込め、設備や建物などを保護することで、爆発による大きな被害の発生頻度を低減する。	10−1
シングルチェックバルブ／スライド バルブ	一方向のみに流れを許容することで、逆流の頻度を低減します。	10−2
デュアルチェックバルブ／スライド バルブ	逆流頻度を低減する点で、シングルチェックバルブよりも効率的	10−2
本質的に安全な設計	適切に実施すれば、シナリオを排除したり、シナリオに伴う影響を大幅に軽減したりすることができる。	10−2
炎または爆発 防止装置	適切に設計、設置、維持管理されていれば、配管システムや容器・タンクへの逆火の可能性を排除できる。	10−2
安全弁／破裂板	システムが規定の過圧を超えることを防ぎます。	10−2
アラーム	アラームは、オペレーターに何らかの行動を取るよう警告するようにプログラムできます。	10-1
基本プロセス制御 システム（BPCS）	アラームは、オペレーターに何らかの行動を取るよう警告するようにプログラムできます。	10-1
安全計装システム （SIS）	SISはオペレーターの操作を必要とせず、望ましくない事象発生 時にシステムを自動的に安全な状態に復旧させます。	10-1
手動緊急停止（ESD）	プロセス全体を停止するには、ボタンを手動で操作してください。	0.4

”プラントの安全は、最初の設計段階で９０％以上が確保される。プロセス情報の次ステップPHA（プロセス危険分析：Process Hazard Analysis）を抜けなくもれなく実施します.

 

安全設計は「Safety through design」の考え方に基づき、調達から廃棄まで全ライフサイクルの各段階で実施され、その結果が総合的な安全確保に大きく影響します。

設備設計上のルールだからといって、PHAをただ形式的や儀式的に実施するのではありません。PHAはエンジニアだけでなく、保全担当者、オペレーター、運転経験者、調達部門など、それぞれのチームが協力して進めます。　若手社員の参加も必須であり、経験の浅い若手は議論を通じて学び、技能の継承にもつながります。

 

 

プロセス危険分析（PHA）に基づく安全設計と防護対策

プラントの安全確保には、設計段階でリスク低減のためのプロセス危険分析とそれに基づく安全対策の採用が重要です。米国National Safety Councilは「Safety through design」の考え方を推奨しており、リスクマトリックスはMIL-STD-882が基準となっています。

PSM監査の対象事項OSHA/PSM Requirements

“Layers of protection for plant”　要求事項

設計から廃棄までの各段階で、Safety through design の考え方に基づいて安全設計を行います。

 

フェーズ	実施すべき事項	備考
設計段階	(1)        プロセス·セーフティ·マネジメント(OSHA/PSM) ①物性情報の収集評価 ②プロセス危険分析（PHA）の実施 ③PHAに基づくプロセス設計および機器設計 ④PHAに基づく運転限界の決定 ⑤PHAに基づく定常状態からの逸脱時の操作を含む操作手順 の文書化（O＆Mマニュアルの作成） ⑥PHAの結果に基づくプロセス機器、制御計装コンポーネン トのリスクランキング ⑦PHAの結果に基づく機器その他の仕様決定 ⑧関連マネジメントの実施： 一機器の健全性を主目的とした品質保証 調達·施工·試運転· 一設計、物質、技術、機器、手順に対する変更に対して安 運転·保全に共通して 全に及ぼす影響管理（コンフィギュレーション·マネジメント)-法令遵守プログラム	PSM監査の対象事項

 

フェーズ	実施すべき主要事項	備考
設計段階	(2)システムセーフティ·プログラム(MIL-STD-882)　下欄参考 ①システム、法的·契約上の要求事項への対応 ②過去の安全性データの活用 ③新しい材料·設計·生産·試験·技術の採用 ④リスク除去低減作業 （3）機能安全性スタディ（IEC 61508） ①SIL(Safety Integrity Level）の決定／顧客からの指定 ②耐用年数の決定／顧客からの指定 ③RCM（Reliability Centered Maintenance）による保全基本 計画の策定 ④制御系を含むプロセス機器のリスク評価に基づく仕様決定 ⑤制御系を含むプロセス機器の信頼性評価 （4）プロセス機器の安全性（ISO 12100） ①リスク除去低減作業 ②残留リスク情報の提示 ③アベイラビリティ·スタディ ④デペンダビリティ·スタディ

 

フェーズ	実施すべき主要事項	備考
調達段階	(1)プロセス·セーフティ·マネジメント(OSHA/PSM) ①プロセス機器の健全性： -MTTFに関するベンダーの推奨値の提出要求 PSM 監査の対象事項 一調達品の準拠規格の提出要求 -試験検査記録の提出要求 ②プロセス機器の健全性確保のための品質保証 ③プロセス危険分析に基づく仕様どおりのプロセス機器の調達 （2）調達品に対するFMECA の実施（ISO 9001、9004） ①RPNに基づくベンダーの選定 ②RPNに基づくレコードの作成保管要求 （3）安全性を織り込んだ調達品の仕様決定（MIL-STD-882）下欄参考１ （4）プロセス機器類の安全性（ISO 12100） ①残留リスク分析の要求 ②使用材料に関する物性情報の要求 ③耐用年数の要求 ④顧客の指定プラント耐用年数に応じた供給体制維持の要求 （5） SIL レベルに対応した安全仕様の要求（IEC 61508）	PSM監査の対象事項 MTTF:修理しない系統·機器·部品などの故障までの動作時間の平均値 PSM監査の対象事項

 

フェーズ	実施すべき主要事項	備考
施工段階	(1)プロセス·セーフティ·マネジメント(OSHA/PSM) ①EMRに基づく工事請負業者の選定②安全プログラム（S＆H）プランの策定（OSHA） -JHA(Job Hazard Analysis）による作業分析 -上記分析に基づく施エマニュアルの作成 -工事関係者に対するオリエンテーションの実施 -危険を伴う作業に対する作業手順 -事故時対応プログラム PSM監査の対象事項 -緊急事態対応アクションプランの策定 -火気使用等の作業許可（Permit Works） -作業保護具（PPE）プログラムの策定 ③工事請負業者の安全プログラム 機器健全性プログラム： （2）機器健全性プログラムの策定と運用（OSHA／PSM） ①機器点検リストの作成 品質保証プログラム： ②MTTFに基づく点検監視の優先順位の決定 ③外観検査基準の策定と運用 ④配管·バルブの点検基準の策定と運用 ⑤機器類の内部点検基準の策定と運用 （3）品質保証プログラムの策定と運用（OSHA／PSM） ①設計仕様書·機器メーカーの据付け要領書に合致した機器、設置のための検査 ②適正な機器および工事用資材の使用確認 設置のための検査 ③適正な機器および材料の認証ドキュメント類の取得 ④組立·施工手順および検査手順の適性確認 ⑤その他	EMR:労災指数 安全プログラム： PSM監査の対象事項

 

試運転段階	4）環境保全（Environmental Compliance）プランの策定　（1）コミッショニング·プログラムの策定（IEC 61508） ①コミッショニングプランの作成 ②プレコミッショニングプランの作成 （2）品質保証プログラムの策定と実施 ①機器および施工の設計仕様への準拠の確認 ②安全·操作·保全·緊急時の手順の妥当性の確認 ③プロセス危険分析に基づく対応策の実施の確認 ④改修の場合には、変更に伴う安全性の検証管理の確認 ⑤プロセス運転保全要員のトレーニングの実施済みの確認	PSM監査の対象事項
運転及び 保全段階	（1）機器健全性プログラムの策定と実施（OSHA／PSM） ①プロセスの用途に適した保全用の機材、予備品の保証 ②プロセス機器の健全性を保つための手順書の策定·実施 ③プロセス機器の健全性を保つための保全要員の訓練 ④プロセス機器に対する下記試験検査の実施 -試験検査法：ASME·ASTM·ULなどの規格に準拠 -試験検査の頻度：メーカーの推奨、規格に準拠 -試験検査記録：実施日、担当者名、試験項目、結果 ⑤プロセス安全情報に基づき仕様限界を逸脱しているプロセス機器の不適格事項の修復 （2）PHAに基づく操作手順（OSHA／PSM） ①下記事項のO＆Mマニュアルへの記載 -運転限界の明示 一定常状態における操作方法 一定常状態からの逸脱したときの操作方法 -安全衛生上の考慮事項：PPMなど ②保全事項のO＆Mマニュアルへの記載 -保全作業事項 -保全作業手順 -試験検査手順 -安全確保に要する補修作業 一保全に要する試験·予備品など （3）品質保証プログラム（OSHA／PSM） ①新設プラントおよび機器の施工時に、製作された機器がプロセスの用途に適するための品質保証 ②設計仕様とメーカーの指示どおりに機器を設置するための適切なチェックと検査の実施 -プロセスの用途に適した保全用の機材、予備品の保証 （4）変更管理／コンフィギュレーション·マネジメント（OSHA/PSM) ①操作手順、保全作業、改造作業などによる変更に対して安 全性の評価、ドキュメントの見直し、承認 （5）危機管理（OSHA／PSM） ①緊急時対応プランの策定 ②事故調査 （6）安全プログラム（S＆H）プランの策定（OSHA） （施工段階と同一）	RCM(IEC 61508)およびRBM(API RP 650)による保全計画の立案

 

参考：１

 

 

 

参考：２

「部分最適」はシステムや組織内の各部署や要素ごとに機能を最適化することです。例えば企業では、材料調達・生産・物流・販売など個別の業務効率を高めるのが「部分最適」となります。ただし、部署や従業員ごとにバラバラに最適化しても、「全体最適」とは限りません。

「全体最適」（英語名「total optimization」）とは、システムや組織の全体の最適。「全体最適化」のプロセスでは、企業の各部署や全ての従業員の歩調をあわせて同じ方向に最適化すること。「全体最適化」により、組織全体として管理され、過剰在庫や機会損失の問題を減らすことを可能にする。「部分最適」をいくら積み重ねても「全体最適」とはならない。「全体最適」には、企業のトップの積極的な関与が必要です。

「部分最適」を積み重ね「全体最適」を目指すための経営理念・ビジョンを全社に明確にコミット、周知し経営ミッションにチャレンジする組織管理が、企業組織には不可欠です。

まとめ

”事故はあくまで偶然ではありません”　「What if」を繰り返し、

「全体最適」（英語名「total optimization」）は、企業の各部署や全ての従業員の歩調をあわせて同じ方向の最適化を目指すこととしてください。そして、「全体最適化」により、組織全体みんなで管理し、管理され、過剰在庫や機会損失の問題を解決する！

 

 

Safety Management System through “Safety through Design”

 

 

 

 

 

Chapter 3: 危機管理マネジメント

はじめに

”事故はあくまで偶然ではありません”

…….石油掘削基地オー シャンレンジャー号の物語は、あまりにもルー チンワー クに寄りかかりすぎた人びとがどんな目にあうかを示しているが、かれらは、不具合発生など、[if] のシナリオが、一日にいくつも積み重なっても惨事に至ることなど絶対にない、と思い込んでいた。……………第一次世界大戦中、英海軍の機動戦艦の艦隊がドイツ戦艦ゲーベンを取り逃がす原因となった。ウィンストン チャーチルは災難の連鎖について、述べている。それは”恐ろしい「イフ、もしも」は、累積していく習性をもっている。

 

事業者は危機管理マネジメント

に基づき、事故防止と環境・人の保護のためにハザードの特定・分析・リスク評価を実施します。安全マネジメントシステムを策定・運用し、各設備の設計、施工、調達、試運転、運転、保全など日々のリスクアセスメントも行います。結果を「安全管理レポート」としてまとめ、必要に応じて監督官庁へ提出します。監督官庁はレポートを審査・連絡し、事業所を監査します。

昨今、多くの企業が品質・環境・安全に関する不祥事を従業員の責任とする傾向が見受けられます。しかし、日常的な事象に対して「また問題を起こしたのか」と単に責任転嫁することは適切ではありません。事業者には、QCDSH（品質・コスト・納期・安全・健康）およびIS（情報セキュリティ）のマネジメントシステムの構築と運用、その全責任を自ら担うリーダーシップを発揮することが求められており、これは現代の組織運営上の重要課題となっています。

さて、

PSMが要求する設計段階のプロセス危険分析（PHA）に基づき体系的に構築された、プラント全ライフサイクルにわたる安全管理および危機管理体制を実施することは、施設の安全性維持に関して社内外への指針となります。また、この取り組みは製品供給の信頼性を支える企業全体のマネジメント手法のあり方ならびに、グループ各社との協調体制の再検討につながります。

安全の座右の銘

“Safety through design”のベースにし、“Layers of protection for plant”の安全防護思想から学ぶ多くのことを実施する。

OSHA／PSMにより、事業者はプロセスの危険分析の基本、“Safety through design”の思想により、プラントの全フェーズの安全防護策を施し、“Layers of protection for plant”を構築し、災害防止および災害の最小化のための「エンジニアリングマネジメントシステム」と「プロセスセーフティーマネジメントシステム」を社内規定としています。PSMサイトをご覧ください。Process Safety Management

OHSHA/PSMが規定するエンジニアリングとマネジメントの重要課題は、プロセスの危険(hazards)分析PHAです。危険分析の結果に不備があれば、その後の各フェーズにおける安全防護策にドミノ現象的な問題が生じます。日常点検、安全巡視、安全対話、監査等で不備が表面に出たら、その課題を追求し、分析、問題対策のために、Ad hoc PHAチームミーティングを実施し、Charter (憲章）作成は事項を確認して、同様課題、問題、類似課題、問題が再発しないよう以下を決めていきます。

1. 危険分析チームのメンバー構成：
   「エンジニアリングおよびプロセス操作の専門家」「評価すべきプロセスについて経験と知識のある者を最低1名」および「採用するハザード分析手法を熟知している者」から構成されること
2. 危険分析は、最低5年ごとに再評価をすること
3. OSHA 当局による現地立入り監査は、危険分析結果の妥当性を検証する。危険分析の不備には、高額の罰金を科す
4. PSMの規定の遵守監査は、最低3年ごとに実施する
   なおIEC 61508に基づく機能安全性評価を実施は、プラントで事故が発生時の被害の大きさ、安全度（SIL）レベルに応じ、「独立した個人」「独立した部門」または「独立した組織」とすることがベストです。

OSHA／PSM が、プロセスの危険分析の次に重視すること、

「プロセス機器の健全性」

設計、調達、施工、試運転といった各プロセスを経て据え付けられた機器は、現地立ち入り審査によって健全性が監査されます。

ここで大事なことは、保全段階の規定は「機器健全性プログラム」策定を求めるものであり、「保全計画」の策定までは要求されていません。しかし、実務における健全性維持には、API RP 580（RBI）に規定されるような具体的な保全計画が不可欠です。「要求項目ではないから」と実施を先送りにすることは、本質的な安全を目指す「Safety through Design」の思想に反します。したがって、RBIの規定を準用した計画策定を推進すべきです。

RBIによる保全計画策定をすることは、海外市場におけるプラントをめぐる法的な案件およびプラントオーナーの経営視点からもメリット大です。

プラントの危機管理　(OSHA/PSM)

1．災害防止に関する法と規格

化学プラントなどのプラントの災害防止を目的とするエンジニアリングおよびマネジメントは「プラントの設計段階から運転および保全に至る全フェーズにおいて、リスク分析を基本とする」アプローチをします。欧米の制定法や規格類はRisk-based approachを採用しています。

プラント設計におけるリスクベースアプローチ（Risk-based approach：RBA）は、プラントの設計・建設・運用において、潜在的なリスク（事故、故障、環境影響など）を事前に特定・評価し、リスクの大きさに応じてリソース（コスト、人手、技術）を集中させる設計思想です。

• プラント設計におけるRBAの概要
• リスクアセスメントの実施:設計段階で、HAZOP（ハゾップ）やFMEA（故障モード影響解析）などの手法を用いて、事故が起きた時の重大度、頻度、回避可能性を評価。
• ALARP（アルプ）の原則:リスクは、それ以上対策を行うとコストや労力が効果を上回る「社会的に容認できるレベル（As Low As Reasonably Practicable）」まで低減させる。
• リスクベースメンテナンス（RBM）:設備故障のリスクに基づいて、点検の頻度や内容を決定する手法も含まれます。
• 法律との関連性・適合性

プラント設計のRBAは、法律との親和性が非常に高い。

• 「自律型高度保安」への移行:経済産業省や高圧ガス保安協会は、従来の詳細な規制に基づく管理から、事業者自らがリスクを評価して対策を講じる「自律型安全管理」への転換を推進している。
• 安全義務と責任:事業者は、法的にプロセス災害（爆発、火災、漏洩）を防止する責任を負います。RBAは、この「安全管理責任」を具体的な設計・運用に落とし込む合理的な手法と考えられている。
• 国際規格との連動:ISO 規格類、IEC 61508（機能安全）規格類などは安全・品質規格は、RBAを中核にしています。
• コンプライアンス（法適合性）の合理化:RBAを取り入れることで、法律で定められた安全水準をより高い確実性で達成し、なおかつ過剰投資を避ける設計が可能になります。

２. 主な構成要素（法規制への対応）

• 防護層解析（LOPA:レイヤー・オブ・プロテクション）:1つの故障が事故に繋がらないよう、複数の安全機能（インタロック、非常停止システムなど）を多重化する。
• 記録の完全性:コンピュータソフトウェアなどを用いた設計・運用記録は、関連法令に基づき正しく保管する。

RBAは、法令を「守るべき固定基準」としてだけでなく、「リスクベースで安全を能動的に創り出す」ための基盤として活用されています。

参考：１

参考：２

「部分最適」と「全体最適」とは何か：「部分最適」（英語名「suboptimization」）は、「局所最適」または「個別最適」。「部分最適」システムや企業組織の中で、それぞれの要素や部署の機能の最適化を図ること
例えば、そに１，企業やその企業のグループにおいて、材料の調達や製品の生産、物流、販売まで、それぞれの業務機能だけの生産性をあげることが「部分最適」になります。その２，事業を構成する各部署や従業員それぞれがバラバラな形で最適化されることは「部分最適」

「全体最適」（英語名「total optimization」）とは、システムや組織の全体の最適。「全体最適化」のプロセスでは、企業の各部署や全ての従業員の歩調をあわせて同じ方向に最適化すること。「全体最適化」により、業務が組織全体として管理され、過剰在庫や機会損失の問題を減らすことを可能にする。「部分最適」をいくら積み重ねても「全体最適」とはならない。「全体最適」には、企業のトップの積極的な関与が必要。

まず「部分最適」を積み重ね「全体最適」を目指すため。経営理念・ビジョンを全社に明確にコミット、周知し経営ミッションにチャレンジする組織管理となることが、企業組織には不可欠な要件です。

まとめ

「全体最適」（英語名「total optimization」）を、各部署や全ての従業員と歩調をあわせて同じ方向に進行すること。そして、「全体最適化」により、組織全体が管理、管理され、機会損失の問題を解消して減らし無事故、無災害を可能にする！

 

 

Safety Management System through “Safety though Design”

 

 

 

 

Chapter 4: 災害防止の法と規格

 

“Better safe than sorry（備えあれば憂いなし）”　何か悪いことが起きてから後悔するよりも、念には念を入れて事前に準備し、常に用心を重ねて危険を避けるべきだという考え方です。しかし、実態は必ずしもそうではありません。

リアセスメントの結果、リスクが十分に低く許容範囲内であると信頼できるのであれば、過度に心配する必要はないかもしれません。

例えば、航空機で死亡事故が起こる確率はフライト500万回に1回程度にすぎません。極めて可能性の低い事故を恐れるあまり、飛行機の利用を控えて不自由な暮らしを送るべきでしょうか。あるいは、通学時の交通事故を恐れて、子供たちの徒歩通学をすべて禁止することは合理的なのでしょうか。

LOPAはChapter 2でディスカッション済みです。

 

  

プラントの災害防止

プラントの危機管理　(OSHA/PSM)　

以下１．は”Chapter 3″でディスカッション済み.

 

1．災害防止に関する法と規格

化学プラントなどのプラントの災害防止を目的とするエンジニアリングおよびマネジメントは「プラントの設計段階から運転および保全に至る全フェーズにおいて、リスク分析を基本とする」アプローチをします。欧米の制定法や規格類はRisk-based approachを採用しています。

プラント設計におけるリスクベースアプローチ（Risk-based approach：RBA）は、プラントの設計・建設・運用において、潜在的なリスク（事故、故障、環境影響など）を事前に特定・評価し、リスクの大きさに応じてリソース（コスト、人手、技術）を集中させる設計思想です。

• プラント設計におけるRBAの概要
• リスクアセスメントの実施:設計段階で、HAZOP（ハゾップ）やFMEA（故障モード影響解析）などの手法を用いて、事故が起きた時の重大度、頻度、回避可能性を評価。
• ALARP（アルプ）の原則:リスクは、それ以上対策を行うとコストや労力が効果を上回る「社会的に容認できるレベル（As Low As Reasonably Practicable）」まで低減させる。
• リスクベースメンテナンス（RBM）:設備故障のリスクに基づいて、点検の頻度や内容を決定する手法も含まれます。
• 法律との関連性・適合性

プラント設計のRBAは、法律との親和性が非常に高い。

• 「自律型高度保安」への移行:経済産業省や高圧ガス保安協会は、従来の詳細な規制に基づく管理から、事業者自らがリスクを評価して対策を講じる「自律型安全管理」への転換を推進している。
• 安全義務と責任:事業者は、法的にプロセス災害（爆発、火災、漏洩）を防止する責任を負います。RBAは、この「安全管理責任」を具体的な設計・運用に落とし込む合理的な手法と考えられている。
• 国際規格との連動:ISO 規格類、IEC 61508（機能安全）規格類などは安全・品質規格は、RBAを中核にしています。
• コンプライアンス（法適合性）の合理化:RBAを取り入れることで、法律で定められた安全水準をより高い確実性で達成し、なおかつ過剰投資を避ける設計が可能になります。

２. 主な構成要素（法規制への対応）

• 防護層解析（LOPA:レイヤー・オブ・プロテクション）:1つの故障が事故に繋がらないよう、複数の安全機能（インタロック、非常停止システムなど）を多重化する。
• 記録の完全性:コンピュータソフトウェアなどを用いた設計・運用記録は、関連法令に基づき正しく保管する。

RBAは、法令を「守るべき固定基準」としてだけでなく、「リスクベースで安全を能動的に創り出す」ための基盤として活用されています。

 

３．法と規格に関する時系列的な関連するリストです。

①API RP 750：プロセス危険マネジメント（Management of Process Hazards）、1990年 　 ②29CFR OSHA／PSM（§ 1910.1200）：プロセス安全マネジメント（Process Safety Management）、1992年
③ 40 CFR RMP(Part 68) : リスクマネジメント·プログラム( Risk Management Program）、1996年
④EU Seveso II 指令：危険物大規模災害抑制に関する指令（Council Directive 96/082/EC of 9 December 1996 on the control of major-accident hazards involving dangerous substances）、1996年
⑤IEC 61508：電気·電子·プログラマブル電子式安全関連システムの機能安全性（Functional safety of electrical/electronic/programmable electronic safety-related system）、1998年　⑥API RP 580：RBI（Risk-based Inspection）、2002年

note:①のAPI RP 750は、下の図の８.赤い矢印　Mechanical Integrity に関連します。

 

規定事項を拡充,API RP750の規定事項も基本的に採用し、法制化した米国の連邦法が、OSHAが定めるPSMで、OSHA/PSMは、プラントの設計段階におけるプロセスハザード分析およびリスク分析には「安全は設計にあり設計からはじまる。（Safety through design）」思想に基づき、設計段階から調達、施工、試運転、操作および保全段階、廃棄、リサイクルに至るすべてのステージ、フェーズにおけるOSHA規定、PSM,PHA,LOPA（プラント安全のための防護層　Layers of protection for plant）を使いこなし、プロセスセーフティを貫いています。

note:事業所（サイト）内はOSHA／PSM担当、サイト外は環境保護庁の担当。

環境保護庁はRMP（リスクマネジメント·プログラム）を発行、これはOSHA／PSMの規定と類似構成となっています。環境保護庁はプラントの域外に責任を持っています。（違いは日本の環境庁と厚生労働省を思い浮かべてください）

このEPA／RMPと同様に、大規模災害が発生した場合の安全と環境保全への影響を軽減することを目的として、欧州連合（EU）が発効した指令が④のEU Seveso II指令です。
プラント事故の発生予防および災害化の防止を考える上で重要な課題は、プラントをコントロールする制御系システムの安全機能にまだまだ問題があります。

プロセスの運転状態が “非定常状態とよばれる、異常な状態” に陥った場合、定常状態に復帰させるために必要不可欠なプロセス監視制御システムが、プラントの耐用期間中には、一定の規定水準にあり、安全機能を十分に遂行できることを保証していることが証明されること。

近年、プラントの制御システムは、多数の電子デバイスやソフトウェアから構成されているコンピュータ制御方式を採用しているため電磁ノイズやプログラムエラーに起因するハザード要因あるいは電子デバイスの信頼性の問題が潜在的に存在します。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
“ちょっと気になる東電柏崎刈羽原発6号機の営業運転開始は4月以降の見通し　部品破損は金属疲労が原因”　。

 

さらにハッカーによるサイバーテロ攻撃です。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

⑤の国際規格IEC 61508は、このような背景からプラントなどのシステムの全ライフサイクルにわたる制御系の機能安全性を規定しています。プラントなどに潜在的に存在するリスクの大きさに応じて、制御システムが機能安全性のレベルを保持するように信頼性解析を加味しリスクベースド·アプローチによる制御系の安全関連システムの設計と保全計画の策定を求めています。
これに対して

⑥のAPI RP 580は、電気·計装·制御系を除くプロセス機器類の潜在なリスクの大きさに応じてMechanical Integrity 保全計画を実施することを求めています。

４．Safety through design（安全は設計から）

操業中のプラントに起因するリスク除去、低減を図るために、運用段階において点検·保全を十分に実施しても、プラントを構成する個々のプロセス機器、装置類、配管などの信頼性および品質が向上するわけではありません。
設計段階におけるプロセス機器の設計が不適切であれば、その仕様に基づいて機器が製造あるいは調達され施工された場合、運用段階において保全活動を実施しても、潜在的に存在する不適切な問題点が顕在化するおそれが多くあります。仮に運転保全段階で改修しそれを是正するにしても、設計段階で適正な設計を実施するフロントローディング、前工程にリソースを十分にかけ、問題点を解消するほうが、事故後に発生するコストや時間も困難さも解消できます。

プラントの全ライフサイクルのハザードをフロントローディング、すなわち前段階ステージである設計段階で可能な限り抽出・分析・評価し、リスクの除去軽減をします、結果、運転、保全段階における安全性の確保は容易になります。米国のNSC（全米安全協議会（National Safety Council））は、「Safety through design（安全は設計から）」をメッセージに、コミットしています。定義はSafety through designは、設計とエンジニアリングの初期の段階において危険分析およびリスクアセスメントを行い、傷害または損害のリスクが受け入れられるレベルになるまで組み合わせることです。

下は、NSCのモデルの考え方、それは責任部署が変われども、どれも類似ロジックを使い一貫性があることです。

安全の確保には、①から⑦のステージ上で、安全達成の容易化および安全達成に対するコストを追求する
①設計		③施工	⑤運転	⑦廃棄
②調達		④試運転	⑥保全	⑧リサイクル

 

課題は、「安全性の達成」に要するコストとその実現可能性のバランスにあります。したがって、プラントの安全確保および向上を図るためには、プロセス設計段階において全ライフサイクルを通じて発生し得る各種ハザードを可能な限り予見・予測・特定し、そのハザード分析結果に基づき、プロセス機器の仕様決定、機器調達、施工、試運転、さらには運転段階および保全段階に至るまで「Safety through design」を体系的に具現化することが不可欠です。担当部署が変わったとしても、一貫した論理的アプローチに基づき、システム全体に「Safety through design」の理念を組み込むことが求められます。なお、NSC『Accident Prevention Manual for Business & Industry: Engineering & Technology, 12th Edition, 2001』も参照ください。当該資料における基本的な枠組みは時代の変遷にかかわらず有効です。

５．事故防止と品質保証

API RP 580 Risk Based Inspection（RBI）が規定するリスク評価にベースを置く保全プログラムの策定は、プラントのプロセス機器類の健全性(Mechanical Integrity)を維持することです。

RBIによる保全段階における機器類の健全性の維持は、設計段階からプロセスおよびプロセス機器類に対する設計をして、その仕様に基づく機器類の調達と施工および試運転をし、それらが実施されたことを証明する設計段階から試運転段階に至る一連の品質保証活動の実施と記録によるプラントの一定水準の品質確保を示すことが前提条件となります。

一般に製品の安全性は、製品の品質の重要な一部であり、わたしたちは、この製品を安全に作り、お手元にお届けしています、HSE(英国の健康労働安全部）が「安全と品質は、コイン（硬貨）の表と裏のような一体の関係にある」と述べているように、プラントの安全も品質と表裏一体の関係です。OSHA は新設プラントに対して Pre-start up safety Review の目的で、コンプライアンス·オフイサー(Compliance Officer）がサイトに立ち入り、設備・プロセスの品質保証活動の実施までの組織活動、業務を示す証拠の提示をEPCコントラクターにし、EPCコントラクターが機器類および配管などの施工物の健全性を立証することを求めています。

でも、リスク分析を基本として事故防止あるいは災害の最小化に挑むアプローチも、プラント全体のプロセス品質の保証活動を抜きにしてはその目的は達成できません。

６.Layers of protection for plant

設計段階におけるプロセス危険分析（PHA）を基本とする分析を設計に活用していくリスクベースド·アプローチも、保全段階におけるRBIによる保全計画を策定実施するリスクベースド·アプローチも、単独で事故防止および災害の拡大化を防止する目的を必ずしも達成できません。

多くの制定法および規格、基準に規定されている要求事項は、働く人々が意図する事故防止と事故、災害の最小化という目的達成のために相互に補完する関係にあります。補完関係性を読んで見極めてください、法、規格、基準、標準は決して無駄にはなりません。

OSHA／PSMの背景にある“Layers of protection for plant”は、プラントの設計から廃棄まで、全ライフサイクルの各ステージ、フェーズにおいて、“Safety through design＂の思想を適確に実施することにより理想の安全達成ができるとしています。 OSHA/PSMの要求規定を遵守し履行し、API RP 580のRBIおよびIEC 61508の規定を順守し補完し合うことにより、“Layers of protection for plant”の思想とそのDNA構築が現実となります。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
Ｑ：さて日本はどこまで到達しているか？と疑問が出てきませんか。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

“Safety through design＂で展開されている要求事項を推進し、常に機会あるたびに見直しをすることにより文書偽造、改ざん、偽造申請、有害物質の垂れ流しなどは懸念事項でなく事実を知って解決できます。

 

 

Let’s Think to Design Safety System

Design Safety System Atsushi YOSHIDA