Q 31010:2012 (IEC/ISO 31010:2009)
(1)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 2
2 引用規格························································································································· 2
3 用語及び定義 ··················································································································· 2
4 リスクアセスメントの概念 ································································································· 2
4.1 目的及び効用 ················································································································ 2
4.2 リスクアセスメント及びリスクマネジメントの枠組み ··························································· 3
4.3 リスクアセスメント及びリスクマネジメントプロセス ··························································· 3
5 リスクアセスメントプロセス ······························································································ 6
5.1 概要 ···························································································································· 6
5.2 リスク特定 ··················································································································· 6
5.3 リスク分析 ··················································································································· 7
5.4 リスク評価 ·················································································································· 10
5.5 文書化 ························································································································ 10
5.6 リスクアセスメントのモニタリング及びレビュー ································································ 11
5.7 ライフサイクルの諸フェーズでのリスクアセスメントの適用 ················································· 11
6 リスクアセスメント技法の選択 ·························································································· 12
6.1 一般 ··························································································································· 12
6.2 技法の選択 ·················································································································· 12
6.3 資源の可用性 ··············································································································· 13
6.4 不確かさの性質及び程度 ································································································ 13
6.5 複雑性 ························································································································ 13
6.6 ライフサイクルの諸フェーズでのリスクアセスメントの適用 ················································· 13
6.7 リスクアセスメント技法の種類 ······················································································· 14
附属書A(参考)リスクアセスメント技法の比較 ······································································ 15
附属書B(参考)リスクアセスメント技法················································································ 20
Q 31010:2012 (IEC/ISO 31010:2009)
(2)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
まえがき
この規格は,工業標準化法第12条第1項の規定に基づき,財団法人日本規格協会(JSA)から,工業標
準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業
大臣が制定した日本工業規格である。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
日本工業規格 JIS
Q 31010:2012
(IEC/ISO 31010:2009)
リスクマネジメント−リスクアセスメント技法
Risk management-Risk assessment techniques
序文
この規格は,2009年に第1版として発行されたIEC/ISO 31010を基に,技術的内容及び構成を変更する
ことなく作成した日本工業規格である。
いかなる種類及び規模の組織も,その目的の達成に影響するような様々なリスクに直面する。
組織の目的は,戦略案から組織の運用,プロセス及びプロジェクトに至る様々な組織の活動に関係し,
社会,環境,技術,安全及びセキュリティ上の結末,営業,金融及び経済上の対策,並びに社会的,文化
的,政治的及び世評という側面に影響する。
組織のあらゆる活動には,運用管理するのが望ましいリスクが伴う。リスクマネジメントプロセスは,
将来の事象又は状況(想定済みのもの又は想定外のもの)の不確かさ及び可能性,並びに目的に対する不
確かさ及び可能性の影響(すなわちリスク)を考慮することによって意思決定を支援する。
リスクマネジメントは,次のための論理的及び体系的な方法の適用を含む。
− 当該プロセス全体でのコミュニケーション及び協議を実施する。
− 任意の活動,プロセス,機能又は成果に付随するリスクを特定,分析,評価,及び対処するための組
織の状況を確定する。
− リスクのモニタリング及びレビューを実施する。
− 結果を適切に報告及び記録する。
リスクアセスメントは,目的がどのようにして影響を受けるかを特定し,更に対応が必要かどうかを決
定する前に,結果及びその確からしさによってリスクを分析する構造化されたプロセスを提供する,リス
クマネジメントの一部である。
リスクアセスメントは,次の基本的な問いに答えることを企図する。
− どのようなことが起こる可能性があり,なぜ起こるのか(リスク特定によって)。
− 結果は何か。
− 将来起きる発生確率はどの程度か。
− リスクのもたらす結果を緩和又はリスクの確からしさを低減するファクタが何かあるか。
− リスクのレベルは許容又は受容可能か,更なる対応が必要か。
この規格は,リスクアセスメント技法の選択及び活用に関する現行の優良な実践方法を示すためのもの
であって,専門家の十分な合意レベルに達していない新しい概念又は進化する概念に言及するものではな
い。
この規格は,その性質上,汎用的なものであるため,多くの産業及び多くの種類のシステムの手引とな
る。これらの産業の中には,特定の用途向けに好ましい方法及びアセスメントのレベルを定めた,より具
体的な規格が存在しているかもしれない。これらの規格がこの規格と整合していれば,一般には,その特
2
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
定の分野規格で十分である。
1
適用範囲
この規格はJIS Q 31000の支援規格であり,リスクアセスメントのための体系的技法の選択及び適用に
関する手引を提供する。
この規格に従って実施するリスクアセスメントは,他のリスクマネジメント活動に役立つ。
様々な技法の適用について紹介するが,他の国際規格が技法の概念及び適用について詳述している場合
は,その規格にも言及する。
この規格は,認証,規制又は契約のためのものではない。
この規格は,リスク分析の必要性を特定するための具体的な基準を示すものでもなければ,特定の適用
のために要求するリスク分析法の種類を規定するものでもない。
この規格は,全ての技法を記述していない,しかし,ある技法がこの規格に記述がない場合でも,その
技法が無効だということではない。ある方法が特定の状況に適用可能だという事実は,その方法を必ず適
用すべきだということを意味しない。
注記1 この規格は,安全を特別には扱わない。この規格は,一般的なリスクマネジメント規格であ
って,安全に関する事項は参考として記述している。IEC規格に対応するJISへの安全の観
点の導入に関する指針はJIS Z 8051に記載している。
注記2 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
IEC/ISO 31010:2009,Risk management−Risk assessment techniques(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”
ことを示す。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,その最新版(追補を含む。)を適用する。
JIS Q 0073 リスクマネジメント−用語
注記 対応国際規格:ISO Guide 73,Risk management−Vocabulary(IDT)
JIS Q 31000 リスクマネジメント−原則及び指針
注記 対応国際規格:ISO 31000,Risk management−Principles and guidelines(IDT)
3
用語及び定義
この規格で用いる主な用語及び定義は,JIS Q 0073による。
4
リスクアセスメントの概念
4.1
目的及び効用
リスクアセスメントの目的は,特定のリスクにどのように対応し,どのようにして対応の選択肢の中か
ら選択するかに関して,情報を得た上での意思決定を下すために,証拠に基づいた情報及び分析を提供す
ることにある。
リスクアセスメントに基づいた実施の主な効用には,次を含む。
− リスク,及びそのリスクが目的に及ぼす潜在的影響の理解
3
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 意思決定者への情報の提供
− 対処手段の選択を支援するためのリスクの理解の促進
− システム及び組織におけるリスク及び弱点への重要な寄与因子の特定
− 代替システム,技術又はアプローチにおけるリスクとの比較
− リスク及び不確かさの情報提供
− 優先順位を決定するための支援
− 事態の事後調査に基づく事態予防への貢献
− 様々なリスク対応形態の選択
− 規制における要求事項への適合
− 事前に決めた基準と比較して,リスクを受容すべきかの評価に有用な情報の提供
− 寿命終了時の廃棄に関わるリスクの評価
4.2
リスクアセスメント及びリスクマネジメントの枠組み
この規格は,リスクアセスメントをJIS Q 31000に記載するリスクマネジメントの枠組み及びプロセス
の範囲内で実施することを前提としている。
リスクマネジメントの枠組みは,組織全体のあらゆるレベルにリスクマネジメントを組み込む方針,手
順及び組織構成を提供する。
この枠組みの一部として,組織は,リスクをいつ,どのようにアセスメントを行ったらよいかを決める
ための方針又は戦略を備えることが望ましい。
特に,リスクアセスメントを実施する人は,次の点について熟知することが望ましい。
− 当該組織の状況及び目的
− 許容できるリスクの範囲及び種類,並びに許容できないリスクへの対処
− 組織のプロセスへのリスクアセスメントの統合
− リスクアセスメントに用いる方法及び技法,並びに,それらのリスクマネジメントプロセスへの寄与
− リスクアセスメントを実施するためのアカウンタビリティ,責任及び権限
− リスクアセスメントの実施に使用可能な資源
− リスクアセスメントの報告及びレビュー
4.3
リスクアセスメント及びリスクマネジメントプロセス
4.3.1
一般
リスクアセスメントは,JIS Q 31000に定義するリスクマネジメントプロセスの中核要素を構成する。リ
スクマネジメントプロセスは,次の要素を含む。
− コミュニケーション及び協議
− 状況確定
− リスクアセスメント(リスク特定,リスク分析及びリスク評価を構成する。)
− リスク対応
− モニタリング及びレビュー
リスクアセスメントは独立した活動ではなく,リスクマネジメントプロセスの他の構成要素と完全に結
びつけることが望ましい。
4.3.2
コミュニケーション及び協議
リスクアセスメントの成功は,ステークホルダとの有効なコミュニケーション及び協議に依存する。
リスクマネジメントプロセスにステークホルダが参加することは,次の点で役立つことになる。
4
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− コミュニケーション計画を策定する。
− 状況を適切に定義する。
− ステークホルダの利害を理解及び配慮することを確実にする。
− リスク特定及び分析のための異分野の専門知識を結集する。
− リスクの評価とは異なる見解を適切に考慮することを確実にする。
− リスクを適切に特定することを確実にする。
− 対応計画の承認及び支援を確保する。
ステークホルダは,変更マネジメント,プロジェクト及びプログラムマネジメント,金融マネジメント
など,他のマネジメントの分野とリスクマネジメントプロセスとの相互作用に貢献することが望ましい。
4.3.3
組織の状況の確定
状況の確定では,リスクを管理するための基本パラメタを定義し,プロセスの後続の部分に対する範囲
及び基準を設定する。状況の確定は,組織全体に関わる内部及び外部パラメタ,並びに,評価対象となる
特定のリスクの背景の検討を含む。
状況の確定に際しては,リスクアセスメント目的,リスク基準及びリスクアセスメントプログラムを決
定し,合意する。
個々のリスクアセスメントでは,状況の確定に,外部状況,内部状況及びリスクマネジメント状況の定
義,並びにリスク基準の分類を含めることが望ましい。
a) 外部状況の確定は,次のものを含み,組織及びシステムを運用する環境の熟知を含む。
− 国際的,国内,地域又は地方にかかわらず,文化,政治,法,規制,金融,経済及び競合する環境
の諸要因
− 当該組織の目的に影響する主要な原動力及び動向
− 外部ステークホルダの認識及び価値観
b) 内部状況の確定は,次の理解を含む。
− 資源及び知識に関する組織の能力
− 情報の流れ及び意思決定プロセス
− 内部ステークホルダ
− 目的及びその達成に設ける戦略
− 認識,価値基準及び文化
− 方針及びプロセス
− 組織が採用する規格及び参照モデル
− 構成(統治方法,役割,諸アカウンタビリティなど)
c) リスクマネジメントプロセスの状況の確定は,次を含む。
− アカウンタビリティ及び責任の規定
− 実施するリスクマネジメント活動の範囲の決定(範囲内の特定の事項及び範囲外の特定の事項を含
む)
− プロジェクト,プロセス,機能又は活動の,時間及び場所に関する範囲の決定
− 組織の特定のプロジェクト又は活動と,他のプロジェクト又は活動との関係の決定
− リスクアセスメントの方法論の決定
− リスク基準の決定
− リスクマネジメント能力の評価方法の決定
5
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 下すべき決定及び実施すべき対策の特定及び規定
− 必要とする範囲設定又は枠組設定の調査,その範囲,目的及び当該調査に必要とする資源の特定
d) リスク基準の決定は,次のものの決定を含む。
− 含めるべき結果の性質及び種類,並びにその見積方法
− 発生確率を表現する方法
− リスクレベルの決定方法
− リスク対応が必要となるときに,それを決定する基準
− どのようなときに,リスクが許容及び/又は受容可能となるかを決定するための基準
− リスクの組合せ及び組合せ方法
基準は,次のような資料に基づいて決めることができる。
− 合意したプロセス目的
− 仕様に明示された基準
− 一般的なデータ源
− 安全度水準のような,一般に受け入れられている工業基準
− 組織のリスク選好
− 特定の機器又は適用に対する法的又はその他の要求事項
4.3.4
リスクアセスメント
リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的なプロセスである。
リスクは組織レベル又は部門レベルで,プロジェクト,個々の活動又は具体的なリスク別にアセスメン
トを実施できる。状況の違いによって,異なるツール及び技法を適応することがある。
リスクアセスメントは,リスク,その原因,結果,及びその発生確率に関する理解を提供する。これに
よって,次のものの決定に対するインプットを得る。
− 活動実施の判断
− 機会を最大化する方法
− リスクに対応する必要の有無
− それぞれ異なるリスクに関する選択肢からの選択
− リスク対応の選択肢の優先順位の決定
− 不都合なリスクを許容レベルにするような,リスク対応戦略の中から最も適切な選択
4.3.5
リスク対応
リスクアセスメントが完了すると,リスク対応では,リスクの発生確率,リスクの発現結果又はその両
方を変更するための一つ以上の適切な選択肢を選定し,合意を得て,それらの選択肢を実践する。
この後に,更なる対応が必要かどうかを決めるために,事前に設定した基準に照らして新リスクレベル
の許容性を再度アセスメントする周期的プロセスが続く。
4.3.6
モニタリング及びレビュー
リスクマネジメントプロセスの一環として,次のことを検証するために,リスク管理策を定期的にモニ
タリングし,レビューを行うことが望ましい。
− リスクに関する前提条件が依然として有効である。
− 内部及び外部状況を含めて,リスクアセスメントが依拠する仮定が依然として有効である。
− 予想した結果を達成している。
6
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− リスクアセスメントの結果が実際の経験と一致している。
− リスクアセスメント技法を正しく適用している。
− リスク対応策が有効である。
モニタリング及びレビューの実施に関する,アカウンタビリティを確定することが望ましい。
5
リスクアセスメントプロセス
5.1
概要
リスクアセスメントは,意思決定者及び責任当事者に,目的の達成を左右するおそれのあるリスク,並
びに既に施行している管理策の適性及び有効性について,より深い理解をもたらす。これによって,リス
ク対応に用いる最適なアプローチに関する決定の基礎を得ることができる。リスクアセスメントのアウト
プットは,組織の意思決定プロセスのインプットとなる。
リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的プロセスである(図1参照)。
このプロセスの適用の仕方は,リスクマネジメントプロセスの状況だけでなく,リスクアセスメントを実
施するために採用する方法及び技法にも依存する。
図1−リスクマネジメントプロセスに対するリスクアセスメントの寄与
リスクは広範囲の原因及び結果に関わることがあるので,リスクアセスメントは学際的アプローチを必
要とすることがある。
5.2
リスク特定
リスク特定は,リスクを発見,確認,及び記録するプロセスである。
リスク特定の目的は,システム又は組織の目的の達成に,影響を与えるどのような事態が発生するか又
はどのような状況が存在するおそれがあるかを特定することである。リスクを特定した後,組織は,設計
上の特徴,人,プロセス及びシステムに関わる,既存の管理策を特定することが望ましい。
リスク特定プロセスは,リスクの原因及び発生源(物理的危害につながるハザード),目的に有形の影響
を与えるおそれのある事象,状況又は状態,及びその影響の性質の特定を含む。
リスク特定法には,次のものがある。
− 証拠に基づく方法。その例としてはチェックリスト及び履歴データのレビューがある。
− 系統的チームアプローチ。専門家のチームが,系統的プロセスに従って,一連の体系的なプロンプト
組織の状況の確定
リスクアセスメント
リスク特定
リスク分析
リスク評価
リスク対応
モニタリング
及び
レビュー
コミュニケーション
及び
協議
7
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
又は質問によってリスクを特定する。
− HAZOPスタディーズ(B.6参照)のような帰能的推論法。
リスク特定の正確さ及び完全性を改善するためには,ブレーンストーミング及びデルファイ法を含む,
様々な支援技法を利用できる。
実際に採用する技法の種類によらず,リスクを特定するときは,人的要因及び組織的要因に適切に配慮
することが重要である。したがって,人的要因及び組織的要因として予想できる事態からの逸脱は,“ハー
ドウェア”又は“ソフトウェア”事象とともにリスク特定プロセスに含めることが望ましい。
5.3
リスク分析
5.3.1
一般
リスク分析は,リスクの理解を深めるためのものである。リスク分析は,リスクアセスメントへのイン
プットを提供し,リスクに対応する必要性の有無,並びに最適な対応戦略及び方法に関する決定のインプ
ットを提供する。
リスク分析は,既存の管理策の有無及び有効性を考慮して,特定したリスク事象の結果及び発生確率の
決定で構成する。その結果と発生確率とを組み合わせて,リスクのレベルを決定する。
リスク分析は,リスクの原因及び発生源,結果,並びに結果が起こり得る発生確率の検討を伴う。結果
及び発生確率を左右する要因を特定することが望ましい。一つの事象が複数の結果をもたらし,複数の目
的を左右することがある。既存のリスク管理策及びその有効性を考慮することが望ましい。分析の様々な
方法について,附属書Bに記載する。複雑な分析の場合には,複数の技法が必要になることがある。
リスク分析は,一般に,リスクレベルを決定するために,ある事象,状況又は事情から発生する潜在的
結果の範囲,及びそれに関連する発生確率の算定を含む。ただし,例えば結果がそれほど重大なものでな
い場合,又は発生確率が極端に低いと予想できる場合では,判定を下すために一つのパラメタの算定で十
分なことがある。
事情によっては,異なる様々な事象又は条件の結果として,一つの結果が発生することがある。すなわ
ち,具体的な事象が特定できない場合である。このような場合では,防護レベル又は復旧戦略に関係する
対応策を決定する観点から,システム構成要素の重要性及びぜい(脆)弱性の分析にリスクアセスメント
の焦点を絞る。
リスクの分析に用いる方法は,定性的,半定量的又は定量的方法のいずれかである。要求する詳細さの
程度は,その用途,信頼できるデータの可用性及び組織の意思決定の必要性に依存する。方法及び分析の
詳細さの程度は,法律によって規定されることがある。
定性的アセスメントは,“高い”,“普通”,“低い”のような重大さのレベルによって,リスクの発現結果,
発生確率及びレベルを定義し,結果と発生確率とを組み合わせることもあり,その結果として,リスクレ
ベルを定性的基準に照らし合わせて判定する。
半定量的方法は,結果及び発生確率に関して数値による評定尺度を用い,その二つを組み合わせて式を
使ってリスクレベルを導き出す。評定尺度は線形,対数,又はその他の関係を用いてもよい。使用する方
式も様々である。
定量的分析は,結果及びその発生確率の実用的値を算定し,状況設定のときに定義する具体的な単位で
リスクレベルの値を算出する。完全な定量的分析は,分析対象のシステム又は活動に関する不十分な情報,
データ不足,人的要因の影響などのために,又は定量的分析作業が保証若しくは要求されていないという
理由で,必ずしも可能又は望ましいとは限らない。このような事情下では,それぞれの分野に精通してい
る専門家による,相対的なリスクの半定量的又は定性的評定が依然として有効である。
8
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
定性的分析の場合は,採用する用語の明確な説明があることが望ましく,全ての基準の根拠を記録する
ことが望ましい。
完全な定量化を実施した場合でも,算出したリスクのレベルが,推定値であることを認識する必要があ
る。採用するデータ及び方法の正確さに整合しない正確さ及び精度のレベルを,リスクレベルに付与しな
いように注意することが望ましい。
リスクレベルは,そのリスクの種類に最適な用語及びリスク評価を助けるような形式で表現することが
望ましい。場合によっては,リスクの大きさを様々な結果に対する発生確率分布として表現できる。
5.3.2
管理策のアセスメント
リスクレベルは,既存の管理策の適性及び有効性に依存する。問いかけるべきは,次のような問いであ
る。
− ある特定のリスクの既存の管理策は何か。
− その管理策は,リスクを許容できるレベルに制御できるように,リスクに適切に対応可能なものか。
− 実際に管理策を所定どおりに運用しており,要求時に有効であると実証可能か。
これらの問いには,適切な文書化及び保証プロセスが設けられている場合にだけ,自信をもって答える
ことができる。
ある特定の管理策又は関連する一組の管理策の有効性のレベルは,定性的,半定量的又は定量的のいず
れの方法で表してもよい。大半のケースでは,高レベルの正確さを保証しない。しかしながら,管理策の
改善又は別のリスク対応策の提供に最善の労力が払われているかを判断できるように,リスク管理策の有
効性の程度を表現し,記録することには価値がある。
5.3.3
結果分析
結果分析は,特定の事象状況又は事情が発生したものと仮定して,発生する影響の性質及び種類を決定
する。一つの事象は,大きさの異なる様々な影響を及ぼし,様々な,異なる目的及びステークホルダに影
響することがある。分析対象となる結果の種類及び影響を受けるステークホルダは,状況設定のときに決
める。
結果分析は,単純な結果の記述から詳細な定量化モデル又はぜい(脆)弱性分析まで,様々なものがあ
る。
影響は,重大な結果とはならないが,その発生確率が高いものもあれば,重大な結果で発生確率が低い
ものも,その中間の結末もある。潜在的に極めて大きな結末となるリスクを重視することが適切な場合が
ある。このようなリスクは,経営層にとっては最も危惧すべきことが多いからである。これ以外のケース
として,重大な結果とそれほど重大でない結果との両方を別々に分析することが重要となることがある。
例えば,頻繁に起こるが影響の少ない(すなわち慢性的)問題は,累積的又は長期的作用が大きいことが
ある。さらに,この2種類のリスクの対応策は全く異なったものとなることが多いので,別々に分析する
と有用である。
結果分析は,次の作業を伴う。
− 結果に対応するための既存の管理策と合わせて,結果に影響を及ぼす関連する全ての寄与要因を検討
する。
− リスクの発現結果を最初の目的に関連付ける。
− アセスメントの適用範囲と整合していれば,直接的な結果と一定時間が経過した後に起こることがあ
る結果との両方を検討する。
− 関連するシステム,活動,機器又は組織に及ぼす結果のような,二次的結果を検討する。
9
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
5.3.4
起こりやすさ分析及び発生確率の算定
発生確率の算定には次の三つの一般的なアプローチをよく用いる。これら三つのアプローチは,単独又
は複数で用いてもよい。
a) 過去に起きた事象又は状況を特定するための,したがって,将来の発生確率の推定に使用可能な関連
履歴データの使用。使用するデータは,検討するシステム,施設,組織又は活動,及び関与する組織
の運用規格にも該当するものであることが望ましい。これまでの発生頻度が極めて低ければ,発生確
率の推定値は極めて不確かである。このことは,特に,発生がゼロであるが,その事象,状況又は事
情が,今後発生しないと仮定することができないときに当てはまる。
b) 故障の木解析(fault tree analysis: FTA,以下FTAという。附属書B参照。)及び事象の木解析(effect tree
analysis: ETA,以下ETAという。附属書B参照。)のような予測法を用いた発生確率予測。履歴デー
タがないとき又は不適切なときは,システム,活動,機器又は組織,並びにそれに関連する故障及び
成功状態の分析によって発生確率を導出する必要がある。運用経験又は公表済みのデータ源から得た
機器,人,組織及びシステムの数値データを組み合わせて,頂上事象の生起確率の推定値を算出する。
予測法を用いるときは,同じ原因から発生するシステム内の多数の異なる部品又はコンポーネントの
共通モード故障の可能性の,分析への十分な配慮が重要である。エージング及びその他の劣化プロセ
スによる機器及び構造的故障の発生確率の算出には,不確かさの影響を計算するために,シミュレー
ション技法が必要となることがある。
c) 発生確率を推定する系統的・構造化プロセスでは,専門家の意見を利用できる。専門家の判断は,履
歴,システム固有情報,組織固有情報,実験情報,設計情報など,利用可能な全ての関連情報に依拠
したものであることが望ましい。適切な質問の立案に役立つ,専門家の判断を導き出す形式にのっと
った手法は数多くある。利用可能な方法は,デルファイアプローチ,一対比較法,カテゴリ評価,絶
対確率値の評価などを含む。
5.3.5
予備的分析
最も重大なリスク群を発見するために,又はあまり重大でないリスク若しくは軽微なリスク群を更なる
分析から除外するために,リスクをふるいにかけてもよい。その目的は,最も重要なリスクに資源を集中
させることである。低いリスクでも,頻繁に発生し,重大な累積的作用をもつものはふるい落とさないよ
うに注意することが望ましい。
ふるい分けは,背景状況で定義する基準にのっとって行うことが望ましい。予備的分析では,次の一つ
以上の行動方針を決定する。
− これ以上のアセスメントを行わずにリスク対応を決める。
− 対応理由のない,重大でないリスクを除外する。
− より詳細なリスクアセスメントに進む。
これらの最初の仮定及び結果は,文書化することが望ましい。
5.3.6
不確かさ及び感度(Uncertainties and sensitivities)
リスクの分析には,しばしば無視できない不確かさが伴う。リスク分析結果を解釈し,それを伝えて有
効なものとするためには,不確かさの理解が必要である。リスクの特定及び分析に用いるデータ,方法及
びモデルに付随する不確かさの分析は,それらの適用に重要な役割を果たす。不確かさの分析は,結果の
定義に用いるパラメタ及び仮定の全体的変動に由来する,結果のばらつき又は不正確さ(imprecision)の
算定を伴う。不確かさの分析に密接に関連する分野が,感度分析である。
感度分析は,個々のインプットパラメタの変化に対する,リスク変動規模の大きさ及び重篤度の算定を
10
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
伴う。この分析は,正確でなければならないデータと,感度が低い,すなわち全体の正確さにあまり影響
をもたないデータとを区分するために用いる。
リスク分析の完全性及び正確さは,できる限り完全な形で明記することが望ましい。不確かさの原因は,
できれば究明して,データ並びにモデル及び方法の不確かさについて取り上げることが望ましい。分析の
論拠となるパラメタ及びその依存度は,明記することが望ましい。
5.4
リスク評価
リスク評価では,リスクのレベル及び種類の重大さを決定するために,リスクの推定レベルと,状況の
確定時に決定するリスク基準との比較を行う。
リスク評価は,リスク分析時に得たリスクの知見を用いて,将来の行動に関する決定を下す。倫理的,
法的,財務的及びその他の考慮事項は,リスクの認識を含めて意思決定のインプットともなる。
決定事項は,次のものを含むことがある。
− リスク対応の必要の有無
− 対応への優先順位
− 行動の必要性の有無
− 幾つかある選択肢からの選択
決定しなければならない事項の性質及び決定するために用いる基準は,状況確定時に決めているが,特
定したリスクに関する詳細が判明するこのステップで,更に詳細に検討する必要がある。
リスク基準を定義するための最も簡単な枠組みは,対応の必要なリスクと,対応が不要のリスクとを区
分する単一レベルである。これは結果がシンプルとなるので魅力的だが,リスクの推定及び対応が必要な
リスクと不要なリスクとの境界の定義に伴う不確かさを踏まえていない。
リスク対応を行うかどうか,どのように対応するかに関する決定は,リスクを取る場合のコスト及び効
用,並びに管理策の改善を実施するコスト及び効用に依存することがある。
一般的なアプローチは,リスクを次の三つの帯域に分けることである。
a) 上部帯域 活動がどのような効用をもたらすかのいかんにかかわらず,リスクレベルを許容できない
と推定し,コストがどんなにかさんでも,リスク対応が不可欠の場合。
b) 中間帯域(すなわち,“グレーゾーン”) コスト及び効用を考慮しつつ,機会と潜在的結果とのバラン
スをとる場合。
c) 下部帯域 リスクのレベルが無視できる場合,又はリスクレベルが低くてリスク対応策が不要の場合。
安全の分野で採用している“合理的に実施可能な限り低くする”というALARP(as low as reasonably
practicable)基準システムはこのアプローチに従っており,ALARPでは,中間帯域の場合,低リスクに関
してはコストと効用とを直接比較できるスライド方式を採用するのに対して,高リスクに関しては,更な
る軽減のためのコストが,それによって得る安全面の効用と完全に不釣り合いになるまで,危害の可能性
を軽減しなければならない。
5.5
文書化
リスクアセスメントプロセスは,アセスメントの結果と合わせて文書化することが望ましい。リスクは
分かりやすい用語で表現し,リスクレベルを表すときの単位は明確に表現することが望ましい。
報告書の範囲は,アセスメントの目的及び適用範囲に依存する。文書に含む事項は,簡単なアセスメン
トの場合を除き,次による。
− 目的及び適用範囲
− システム及びその機能の関連部分の説明
11
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 組織の内部及び外部状況の要旨,並びに,その状況をアセスメントする状態,システム又は環境への
関連
− 適用したリスク基準及びそれを採用した理由
− 制限事項,前提条件及び仮定の理由
− アセスメントの方法
− リスク特定の結果
− データ,前提条件並びにその出典及び妥当性
− リスク分析結果及びその評価
− 感度及び不確かさ分析
− モニタリングする必要のある重要な前提条件及び他の要因
− 結果の議論
− 結論及び勧告
− 参考文献
リスクアセスメントが継続するリスクマネジメントプロセスを支援するためには,システム,組織,機
器又は活動のライフサイクルを通じてマネジメントプロセスを維持できるように,リスクアセスメントを
実施し,文書化することが望ましい。 アセスメントは,重要な新情報を入手し,状況が変化するのに応じ
て,マネジメントプロセスのニーズに従って更新することが望ましい。
5.6
リスクアセスメントのモニタリング及びレビュー
リスクアセスメントプロセスは,経時的に変化すると予想でき,リスクアセスメントを変更又は無効な
ものとするおそれのある状況及びその他の要因を浮き彫りにする。このような要因は,必要なときにリス
クアセスメントを更新できるように,継続的なモニタリング及びレビューによって,明確に特定すること
が望ましい。
リスクアセスメントの改良のためのモニタリングデータも,特定し,収集することが望ましい。
管理策の有効性も,モニタリングを行い,リスク分析に使用するデータを得るように文書化することが
望ましい。証拠及び文書の作成,並びにレビューに関するアカウンタビリティを定義することが望ましい。
5.7
ライフサイクルの諸フェーズでのリスクアセスメントの適用
多くの活動,プロジェクト及び製品は,最初の概念及び定義に始まり,実現を経て,運用終了及びハー
ドウェアの処分を含む最終完了に至るライフサイクルをもつと考えることができる。
リスクアセスメントはライフサイクルの全ステップで適用することができ,通常は何回も,詳細さのレ
ベルを変えながら適用可能で,各フェーズで決める必要のある決定事項の手がかりを与える。
ライフサイクルの各フェーズは,それぞれ要求事項が異なり,異なる技法が必要となる。例えば,機会
を特定する概念・定義フェーズでは,先に進むか否かの決定にリスクアセスメントを用いてよい。
複数の選択肢がある場合は,リスクアセスメントを活用して代替概念を評価し,どの選択肢からリスク
の最上のバランスを得られるかを決定する手助けとすることができる。
設計開発フェーズの場合,リスクアセスメントは次の点に役立つ。
− システムリスクの許容性の確保
− 設計改良プロセス
− コスト有効度調査
− それ以降のライフサイクルフェーズに影響するリスクの特定
活動が進むにつれて,リスクアセスメントは,通常時及び緊急時の手順開発を助ける情報を得るために
12
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
用いることができる。
6
リスクアセスメント技法の選択
6.1
一般
この箇条では,どのようにリスクアセスメント技法を選択したらよいかについて規定する。附属書A及
び附属書Bでは,リスクアセスメントを実施するとき,又はリスクアセスメントプロセスを支援するため
に使用できる様々なツール及び技法について一覧し,詳しい説明を記載する。ときには,複数のアセスメ
ント方法を採用しなければならないことがある。
6.2
技法の選択
リスクアセスメントは,単純なものから複雑なものまで様々ある一つ以上の方法を用いて,様々な深さ
及び詳細さの程度で実施してよい。アセスメント及びそのアウトプットの形式は,状況の確定の一環とし
て開発したリスク基準に整合していることが望ましい。附属書Aでは,リスクアセスメント技法の幅広い
分類法と所定のリスク状況に存在する要因との概念的関係について説明し,どのようにすれば,組織は特
定の状況に合致したリスクアセスメント技法を選択できるかの実例を紹介する。
一般論として,適切な技法は,次の特徴を示すものであることが望ましい。
− 正当な理由があり,対象となる状況又は組織に合致したものである。
− リスクの性質の理解が深まり,対応可能となるような形式の結果を得るものである。
− 追跡可能で,再現性があり,検証可能となるようにして利用できるものである。
技法の選択理由については,関連性及び適合性に関して明示することが望ましい。異なる調査の結果を
統合するときは,採用する技法群とアウトプット群とが比較できるものであることが望ましい。
リスクアセスメントを実施すること,目的及び適用範囲が決まったら,技法は次のような適用ファクタ
に基づいて,選定することが望ましい。
− 調査の目的 リスクアセスメントの目的は,使用する技法に直接影響する。例えば,異なる選択肢の
比較調査を行う場合,その違いによって影響を受けないシステムの部分については,あまり詳細でな
い結果モデルを採用してもよい。
− 意思決定者のニーズ ときには,正しい決定を下すために高レベルの詳細さが必要となることがある
が,より大まかな理解で十分となるケースもある。
− 分析対象となるリスクの種類及び範囲
− 結果の潜在的な規模 リスクアセスメントを実施する深さに関する決定は,結果に関する最初の認識
を反映するものであることが望ましい(ただし,予備評価が完了した時点で,修正を余儀なくするこ
とがある。)。
− 必要な専門知識,人的資源及びその他の資源 単純な方法でも,うまくやれば,アセスメントの目的
及び適用範囲を満たしている限り,より高度な手順を不完全に実施したときよりも,よい結果を得る
ことがある。通常,アセスメントに注ぎ込む労力は,分析対象となるリスクの潜在的レベルに合致し
ていることが望ましい。
− 情報及びデータの可用性 技法によっては,他のものより多量の情報及びデータが必要となるものが
ある。
− リスクアセスメントの修正/更新の必要性 アセスメントは将来,修正/更新の必要となるものがあ
り,技法の中には,この点で対応しやすいものがある。
− 規制及び契約上の要求事項
13
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
資源の可用性,利用可能なデータ及び情報の不確かさの性質並びに程度,適用の複雑さ(表A.2参照)
など,リスクアセスメントのアプローチの選択には様々な要因が影響する。
6.3
資源の可用性
リスクアセスメント技法の選択を左右する資源及び実施能力には,次がある。
− リスクアセスメントチームの技能,経験量及び実施能力
− 組織内の時間及び他の資源の制約条件
− 外部資源が必要な場合に利用可能な予算
6.4
不確かさの性質及び程度
不確かさの性質及び程度の理解には,検討対象となるリスクに関して利用できる情報の品質,量及び完
全性の理解が必要である。これは,リスク,その発生源及び原因,並びに,それが目的の達成に及ぼす結
果に関する十分な情報が入手できる範囲を含む。不確かさは,貧弱なデータ品質に由来することもあれば,
信頼できる必須データの不足に由来することもある。例えば,特定したリスクに関するデータを収集する
ために,テータの収集法が変わることもあれば,組織がその方法を使用する仕方が変わることもあり,組
織が有効な収集法をもっていないこともある。
不確かさは,組織の内部及び外部状況に本来内在していることもある。利用できるデータがあるからと
いって,将来の予測にとっての信頼できる基礎を常に提供できるとは限らない。独特な種類のリスクの場
合は,そもそも,履歴データがないこともあれば,ステークホルダの違いによって利用可能なデータの解
釈が異なることもある。リスクアセスメントを行う人は,不確かさの種類及び性質を理解し,リスクアセ
スメント結果の信頼性との関わり合いを認識しておく必要がある。このような点については,常に意思決
定者と情報交換しておくことが望ましい。
6.5
複雑性
リスクはそれ自体が複雑な場合がある。例えば,複雑なシステムでは,コンポーネントの相互作用を無
視して,コンポーネントごとに別々に対処するよりは,システム全体でリスクを評価する必要がある。別
の事例では,一つのリスクに対応すると,別のところに影響が出て,他の活動に影響を与えることがある。
一つのリスクを運用管理するときは,どこか別のところに許容できない状況を作り出さないように,結果
の影響及びリスクの依存関係を理解する必要がある。リスクアセスメントの適切な方法又は技法を選択す
るためには,組織の単一のリスク又は各種リスクの全体の複雑性を理解することが不可欠である。
6.6
ライフサイクルの諸フェーズでのリスクアセスメントの適用
多くの活動,プロジェクト及び製品は,最初の概念及び定義に始まり,実現を経て,運用終了及びハー
ドウェアの処分を含む最終完了に至るライフサイクルをもつと考えることができる。
リスクアセスメントはライフサイクルの全ステップで適用することができ,通常は何回も,詳細さのレ
ベルを変えながら適用可能で,各フェーズで決める必要のある決定事項の手がかりを与える。
ライフサイクルの各フェーズは,それぞれ要求事項が異なり,異なる技法が必要となる。例えば,機会
を特定する概念・定義フェーズでは,先に進むか否かの決定にリスクアセスメントを用いてよい。
複数の選択肢がある場合は,リスクアセスメントを活用して代替概念を評価し,どの選択肢であればリ
スクの最上のバランスを得られるかを決定する手助けとすることができる。
設計開発フェーズの場合,リスクアセスメントは次の点に役立つ。
− システムリスクの許容性の確保
− 設計改良プロセス
− コスト有効度調査
14
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− それ以降のライフサイクルフェーズに影響するリスクの特定
活動が進むにつれて,リスクアセスメントは,通常時及び緊急時の手順開発を助ける情報を得るために
用いることができる。
6.7
リスクアセスメント技法の種類
リスクアセスメント技法は,それぞれの相対的長所及び短所の理解を助けるような様々なやり方で分類
できる。附属書Aの表は,説明のために幾つかの可能な技法とその適用区分とを関係付けたものである。
個々の技法については,その技法がもたらすアセスメントの性質及びそれぞれの状況への適用の手引に
関して,附属書Bに詳細に記述する。
15
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
附属書A
(参考)
リスクアセスメント技法の比較
A.1 技法の種類
第1の分類は,次のリスクアセスメントプロセスの各ステップに対し,どのように技法を適用するかを
示す。
− リスク特定
− リスク分析−結果分析
− リスク分析−定性的,半定量的又は定量的な発生確率による算定
− リスク分析−既存の管理策の有効性のアセスメント
− リスク分析−リスクレベルの算定
− リスク評価
リスクアセスメントプロセスのステップ別に,技法の適用性を,推奨,適用可能,又は適用不可として
分類する(表A.1参照)。
A.2 リスクアセスメント技法の選択に影響する要因
さらに,次の点に関して,技法の属性について記載する。
− 問題の複雑さ及びその問題の分析に必要となる技法
− 利用可能な情報の量及び目的を満たすために必要な事項に基づいた,リスクアセスメントの不確かさ
の性質及び程度
− 時間及び専門知識,使用するデータ又はコストの観点から必要となる資源の範囲
− 定量的アウトプットの可否
利用可能なリスクアセスメント技法の種類の例については表A.2に記載し,各技法の属性を高,中,又
は低のいずれかで評価する。
16
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表A.1−リスクアセスメントに使用するツールの適用性
ツール及び技法
リスクアセスメントプロセス
附属書B
参照
リスク
特定
リスク分析
リスク
評価
結果
発生
確率
リスク
レベル
ブレーンストーミング
SA
NA
NA
NA
NA
B.1
構造化又は半構造化インタビュー
SA
NA
NA
NA
NA
B.2
デルファイ法
SA
NA
NA
NA
NA
B.3
チェックリスト
SA
NA
NA
NA
NA
B.4
予備的ハザード分析(PHA)
SA
NA
NA
NA
NA
B.5
HAZOPスタディーズ
SA
SA
A
A
A
B.6
ハザード分析及び必須管理点(HACCP)
SA
SA
NA
NA
SA
B.7
環境リスクアセスメント
SA
SA
SA
SA
SA
B.8
構造化“Whatif”技法(SWIFT)
SA
SA
SA
SA
SA
B.9
シナリオ分析
SA
SA
A
A
A
B.10
事業影響度分析(BIA)
A
SA
A
A
A
B.11
根本原因分析(RCA)
NA
SA
SA
SA
SA
B.12
故障モード・影響解析(FMEA)
SA
SA
SA
SA
SA
B.13
故障の木解析(FTA)
A
NA
SA
A
A
B.14
事象の木解析(ETA)
A
SA
A
A
NA
B.15
原因・結果分析
A
SA
SA
A
A
B.16
原因影響分析
SA
SA
NA
NA
NA
B.17
防護層解析(LOPA)
A
SA
A
A
NA
B.18
決定木解析
NA
SA
SA
A
A
B.19
人間信頼性分析(HRA)
SA
SA
SA
SA
A
B.20
ちょう(蝶)ネクタイ分析
NA
A
SA
SA
A
B.21
信頼性重視保全(RCM)
SA
SA
SA
SA
SA
B.22
スニーク回路解析(SCA)
A
NA
NA
NA
NA
B.23
マルコフ解析
A
SA
NA
NA
NA
B.24
モンテカルロシミュレーション
NA
NA
NA
NA
SA
B.25
ベイズ統計及びベイズネット
NA
SA
NA
NA
SA
B.26
FN曲線
A
SA
SA
A
SA
B.27
リスク指標
A
SA
SA
A
SA
B.28
リスクマトリックス
SA
SA
SA
SA
A
B.29
費用/便益分析(CBA)
A
SA
A
A
A
B.30
多基準意思決定分析(MCDA)
A
SA
A
SA
A
B.31
SAは推奨,NAは適用不可,Aは適用可能を表す。
17
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表A.2−リスクアセスメントツールの選択の属性
リスクアセ
スメント技
法の種類
説明
影響要因の関与度
定量的ア
ウトプッ
トの可否
資源及び
能力
不確かさ
の性質及
び程度
複雑さ
洗い出し法
チェックリ
スト
リスク特定の簡単な方法。検討すべき典型的な不確かさ
のリストを作る技法。ユーザは,あらかじめ作成された
リスト,コード又は規格を参照する。
低
低
低
不可
予備的ハザ
ード分析
簡易な帰納的分析法であり,その目的は,ハザード及び
危険な状態,並びに所定の活動,施設又はシステムに危
害を引き起こす可能性のある事象を明らかにすることで
ある。
低
高
中
不可
支援法
構造化イン
タビュー及
びブレーン
ストーミン
グ
大量のアイデア及び評価を集め,チームによってその順
位付けを行うための手段。ブレーンストーミングを,助
言又は一対一及び一対多のインタビュー法によって促進
させることがある。
低
低
低
不可
デルファイ
法
原因及び影響の究明,発生確率及び結果の推定,並びに
リスク評価を支援することがある専門家の意見を集約す
る手段。専門家の間にコンセンサスを築くための技法。
独立した分析及び専門家による投票を含む。
中
中
中
不可
SWIFT
構
造化
“what-if”
リスクを特定するチームの活動を促進するシステム。通
常は,助言者のいるワークショップで使用し,リスク分
析及び評価法にリンクする。
中
中
低,中
又は高
不可
人間信頼性
分析(HRA)
人間信頼性分析(HRA)は,システム性能に及ぼす人間
の影響を取り上げ,システムへのヒューマンエラーの影
響の評価に用いることができる。
中
中
中
可
シナリオ分析
原因分析
(単一損失
分析)
発生した単一損失は,誘発原因を理解し,どのようにす
ればシステム又はプロセスを改善し,同じような損失が
将来起きないようにすることができるかを理解するため
に分析する。分析では,損失が発生した時点でどのよう
な管理策が設けられており,どのように管理策を改善す
ればよいかを検討しなければならない。
中
低
中
不可
シナリオ分
析
現在あるリスク及び別のリスクを検討し,類推又は推定
によって起こる可能性がある将来のシナリオを特定する
方法。形式の整った手法に従ってもよいし独自の手法に
従ってもよい。定性的なものもあれば定量的なものもあ
る。
中
高
中
不可
毒性リスク
アセスメン
ト(環境リ
スクアセス
メントを用
いた)
ハザードを明らかにし,分析して,指定の対象がハザー
ドにばく(曝)露される経路を明らかにする。ばく(曝)
露レベルに関する情報と一定レベルのばく(曝)露に起
因する危害の性質とを組み合わせて,指定の危害が発生
する確率の尺度を策定する。
高
高
中
可
事業影響度
分析
主要な中断リスクがどのように組織の運営に影響するか
の分析を行い,組織の運営管理に必要となる能力を明ら
かにして,それを定量化する。
中
中
中
不可
18
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表A.2−リスクアセスメントツールの選択の属性(続き)
リスクアセ
スメント技
法の種類
説明
影響要因の関与度
定量的ア
ウトプッ
トの可否
資源及び
能力
不確かさ
の性質及
び程度
複雑さ
FTA
好ましくない事象(頂上事象)から始めて,それが発生
する全ての筋道を決める技法。その筋道は,論理的な樹
形図で図示する。故障の木(fault tree: FT図,以下FT図
という。)が作成されたら,考えられる原因/発生源の削
減又は除去方法を検討することが望ましい。
高
高
中
可
ETA
機能的推理によって,様々な起因事象の確率を可能性の
ある結果に翻訳する。
中
中
中
可
原因/結果
分析
FTAとETAとを組み合わせたもので,時間の遅れの算定
が可能となる。起因事象の原因と結果との両方を検討す
る。
高
中
高
可
原因影響分
析
影響の要因は幾つか考えられ,その要因は様々なカテゴ
リに分類できることがある。要因はブレーンストーミン
グによって明らかとなることが多く,樹形図又は特性要
因図で示される。
低
低
中
不可
機能分析
FMEA及び
FMECA
FMEA(故障モード・影響解析)は,故障モード及びメ
カニズム並びにその影響を明らかにする技法である。
FMEAには数種類のものがある。コンポーネント及び製
品用の設計(又は製品)FMEA,システム用のシステム
FMEA,製造組立プロセス用のプロセスFMEA,サービ
スFMEA及びソフトウェアFMEAである。
FMEAに続いて,各故障モードの重大さを定性的,半定
量的又は定量的に定義する致命度解析(FMECA)を行う
ことがある。致命度解析は,故障モードがシステム故障
に至る発生確率,又は故障モードに関連するリスクレベ
ル,若しくはリスク優先順位番号を基に行ってもよい。
中
中
中
可
信頼性重視
保全
あらゆる種類の機器で,要求される運転の安全,アベイ
ラビリティ及び経済性を効率的かつ有効に達成するよう
に,故障を管理するために実施することが望ましい方針
を明らかにする方法。
中
中
中
可
スニーク分
析(スニー
ク回路分
析)
設計エラーを発見する方法。スニーク状態とは,ハード
ウェア,ソフトウェア又はこれらの組合せが,コンポー
ネント故障では発生しない,好ましくない事象を発生す
る又は好ましい事象の発生を阻害する潜在的な状態のこ
とである。これらの状態は,その偶発性,及び最も厳格
な標準システム試験での検出のしにくさによって特徴付
けられる。スニーク状態は,異常動作,システムアベイ
ラビリティの損失,プログラムの遅延,又は要員の死若
しくは傷害を引き起こすことがある。
中
中
中
不可
HAZOPス
タディーズ
予想又は所定の性能からの,考えられる逸脱を定義する
ための一般的なリスク特定プロセス。ガイドワードに基
づくシステムを使用する。
逸脱の重大性を査定する。
中
高
高
不可
19
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表A.2−リスクアセスメントツールの選択の属性(続き)
リスクアセ
スメント技
法の種類
説明
影響要因の関与度
定量的ア
ウトプッ
トの可否
資源及び
能力
不確かさ
の性質及
び程度
複雑さ
HACCP
ハザード分
析及び必須
管理点
決められた限界内にあることが要求される特定の特性の
測定及びモニタリングによって,製品の品質,プロセス
の信頼性及び安全を確保するための系統的な,事前対応
型の予防システム。
中
中
中
不可
管理策のアセスメント
LOPA
(防護層解
析)
バリア分析とも呼ぶことがある。管理策及びその有効性
の評価を可能にする。
中
中
中
可
ちょう(蝶)
ネクタイ分
析
ハザードから結果までのリスクの経路を記述し,分析し
て,管理策のレビューを行う単純な図式法。事象の原因
を分析するFT図[ちょう(蝶)の結び目で表される]
と,結果を分析する事象の木(event tree: ET図,以下ET
図という。)との論理を組み合わせたものとみなすことが
できる。
中
高
中
可
統計的手法
マルコフ解
析
マルコフ解析は,状態空間解析とも呼ばれることがあり,
一般に,様々な劣化状態を含めて,複数の状態で存在し
得る修復可能な複雑システムの分析に使用する。
高
低
高
可
モンテカル
ロシミュレ
ーション
モンテカルロシミュレーションは,特定の確率分布に従
う複数のインプットがあり,そのインプットがアウトプ
ットと特定の関係がある場合,システム内のインプット
の変化によるシステム内の全体的な変化を定めるために
用いる。この分析は,様々なインプットの相互作用を数
学的に定義できる特別なモデルに使用できる。インプッ
トは,不確かさの性質に応じて,それを表現するための
様々な分布の型に準拠させることができる。リスクアセ
スメントでは,一般に三角分布又はベータ分布を使用す
る。
高
低
高
可
ベイズ解析 事前分布データを利用して結果の発生確率を見積もる統
計的手順。ベイズ解析は,正確な結果を推論するための
前提となる分布の正確さに依存する。ベイズ確信度ネッ
トワークは,結果を出す可変のインプットの確率論的関
係を捉えることで,多様な領域で原因・影響をモデル化
する。
高
低
高
可
20
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
附属書B
(参考)
リスクアセスメント技法
B.1
ブレーンストーミング
B.1.1 概要
ブレーンストーミングは,知識のある人々のグループ間に自由な会話を促し,奨励して,潜在的故障モ
ード及び関連するハザード,リスク,意思決定のための基準,及び/又は対応選択肢を明らかにする作業
である。“ブレーンストーミング”という用語は,あらゆる種類のグループ討議を意味するものとして極め
て漠然と使用されることが多い。しかし,本当のブレーンストーミングは,人々の想像力がグループの他
人の考え及び意見によって確実に誘発されるように努める特殊な技法を含む。
この技法では有効な議事進行が極めて重要であり,議事進行には,最初の討議のきっかけを与えること,
定期的にグループに他の関連分野への参画を促すこと,及び(通常は極めて活発な)討議からもち上がる
問題の把握を含む。
B.1.2 用途
ブレーンストーミングは,他のリスクアセスメント方法と併用することが可能であり,また,リスクマ
ネジメントプロセスの任意のステップ,及びシステムのライフサイクルの任意のステップに創造的思考を
助長する技法として単独で行ってもよい。問題を特定する高レベルの討議として用いてもよいし,具体的
な問題の詳細なレベルのレビューとして用いてもよい。
ブレーンストーミングでは,極めて想像力を重視する。そのため,データがない新技術,又は問題の斬
新な解決策が必要となる新技術のリスクを明らかにするときに特に有用である。
B.1.3 インプット
アセスメントの対象となる,組織,システム,プロセス又はアプリケーションの知識をもつ人のチーム。
B.1.4 プロセス
ブレーンストーミングは,形式にのっとったものであっても,形式に縛られないものであってもよい。
形式にのっとったブレーンストーミングは構成が決まっており,参加者は事前に準備を行い,セッション
の目的が決まっており,アイデアの評価手段を備えた結果を提出する。形式に縛られないブレーンストー
ミングは,構成はあまり決まっておらず,しばしばその場限りである。
形式にのっとったプロセスの構成は,次による。
− ファシリテータが,セッションの前に,状況に適した思考のヒント及び議論のきっかけを用意してお
く。
− セッションの目的を決定し,ルールの説明がある。
− ファシリテータが話の筋道を切り出し,誰もができるだけ多くの問題を究明するアイデアを探る。こ
の時点では,議題とすべきか否か,特定の発言が何を意味するものかなどについての議論は行わない。
議論すると,自由な考えが妨げられがちになるからである。全てのインプットを受け入れ,どれも批
判せず,グループはすぐさまアイデアの出し合いに進み,水平思考を誘発する。
− ある方向の考えの種が尽きたとき,又は議論があまりにかけ離れたところにそれたときは,ファシリ
テータは新しい議題に移ってもよい。ただし,この考え方は,後の分析のために,できるだけ多様な
アイデアを集めるためのものである。
21
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.1.5 アウトプット
アウトプットは,これを実施するリスクマネジメントプロセスのステップに依存する。例えば,特定す
るステップであれば,アウトプットはリスク及び現行の管理策のリストとなる。
B.1.6 長所及び短所
長所の例を,次に示す。
− 新たなリスク及び斬新な解決策の特定を助ける想像力を助長する。
− 主要なステークホルダが参加するので,全体的にコミュニケーションが促進される。
− 比較的素早くかつ簡単に準備ができる。
短所の例を,次に示す。
− 参加者が有意義な貢献者となれるだけの技能及び知識に欠けることがある。
− 比較的構成が厳格でないために,例えば全ての潜在的リスクが特定されたかなど,プロセスが包括的
であると実証することが難しい。
− 価値あるアイデアをもつ人が発言せず,他の人が議論を支配するというグループダイナミクスが働く
ことがある。これは,チャットフォーラム又はノミナルグループ技法を用いた,コンピュータ・ブレ
ーンストーミングによって克服できる。コンピュータ・ブレーンストーミングは匿名で行うように設
定できるので,アイデアの自由な流れを妨げるおそれのある個人的問題及び政治問題を回避できる。
ノミナルグループ技法の場合,アイデアは匿名で仲介者に提出してから,グループによって議論する。
B.2
構造化又は半構造化インタビュー
B.2.1 概要
構造化インタビューでは,インタビューを受ける個々の人々に,回答記入シートにあるあらかじめ用意
した一連の質問をして,異なる視点からその見解を求め,その視点からリスクを特定する。半構造化イン
タビューもこれと類似するが,提起された問題の究明について自由に会話する余地を残している。
B.2.2 用途
構造化インタビュー及び半構造化インタビューは,ブレーンストーミングセッションのために人を集め
ることが難しい場合,又はグループでの自由な討議が状況的に若しくは参加する人々に不都合な場合に役
立つ。このインタビューは,リスク分析の一環として,リスクの特定又は既存の管理策の有効性の評価に
最も頻繁に利用される。これは,プロジェクト又はプロセスのどのステップで行ってもよい。これは,ス
テークホルダにリスクアセスメントへのインプットを与える手段である。
B.2.3 インプット
インプットは,次を含む。
− インタビューの目的の明確な定義
− 関連するステークホルダの中から選んだインタビューを受ける人のリスト
− あらかじめ用意した質問集
B.2.4 プロセス
インタビューをする人の手引となる関連質問集を作成する。質問はできる限りオープンエンド型である
ことが望ましく,簡潔で,インタビューを受ける人の分かる言語になっており,一つの問題だけを取り上
げることが望ましい。さらに明確化するための追加の質問も用意しておく。
次に,インタビューを受ける人に質問を行う。詳しい答えが欲しいときは,オープンエンド型の質問が
望ましい。インタビューを受ける人を“誘導”しないように注意することが望ましい。
22
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
インタビューを受ける人が進みたいと願っている分野を見つけ出す機会が得られるように,回答はある
程度,柔軟に考慮することが望ましい。
B.2.5 アウトプット
アウトプットは,インタビューのテーマである問題に対するステークホルダの見解である。
B.2.6 長所及び短所
長所の例を,次に示す。
− 人に,問題についての考えを熟考する時間を与える。
− 一対一のコミュニケーションは,問題のより深い検討を可能にすることがある。
− 比較的小グループを対象とするブレーンストーミングより,多数のステークホルダの参加を可能にす
る。
短所の例を,次に示す。
− ファシリテータが,この方法で多数の意見を得るのに時間がかかる。
− 偏見が容認され,グループ討議では取り除かれない。
− ブレーンストーミングの特徴である,想像力の誘発が達成できないことがある。
B.3
デルファイ法
B.3.1 概要
デルファイ法は,専門家のグループから信頼性のある意見の一致を得る手順である。この用語は,現在,
ブレーンストーミングのいかなる形式をも意味するものとして広く使用されることが多いが,デルファイ
法の本質的な特徴は,当初策定されたように,専門家が,プロセスが進行するにつれて,他の専門家の見
解を確認しながら,自分の意見を独自に匿名で表明することである。
B.3.2 用途
デルファイ法は,専門家の意見の一致が必要となる場合,リスクマネジメントプロセスのどのステップ
でも,システムライフサイクルのどのステップでも利用できる。
B.3.3 インプット
コンセンサスが必要な一連の選択肢。
B.3.4 プロセス
半構造化アンケートを用いて,専門家のグループに質問する。専門家が一堂に会することはないので,
それぞれの意見は独立している。
手順は,次のとおりである。
− デルファイプロセスを請け負い,監視するチームの結成
− 専門家のグループ(一人以上の専門家の回答者)の選定
− 第一回目のアンケートの作成
− アンケートの検証
− 回答者個々へのアンケートの送付
− 第一回目の回答で得られた情報を分析し,それらを統合して再度回答者に送付
− 回答者が回答し,コンセンサスを得るまで,このプロセスを繰り返す。
B.3.5 アウトプット
当該問題に関するコンセンサスに向けた意見の収束。
B.3.6 長所及び短所
23
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
長所の例を,次に示す。
− 匿名の見解なので,不評な意見でも表明しやすい。
− 全ての見解は重みが同一であり,威圧する人の問題が生じない。
− 成果の所有権が得られる。
− 同時に一つの場所に,人々が会する必要がない。
短所の例を,次に示す。
− 労働集約型の作業であり,時間がかかる。
− 参加者は,自分の意見を書面で表明する必要がある。
B.4
チェックリスト
B.4.1 概要
チェックリストは,前回のリスクアセスメントの結果又は過去の失敗の結果のいずれかとして,通常経
験によって作成した,ハザード,リスク又は管理ミスのリストである。
B.4.2 用途
チェックリストは,ハザード及びリスクの特定又は管理の有効性の評価に使用できる。製品,プロセス
又はシステムのライフサイクルのどのステップでも使用可能である。他のリスクアセスメント技法の一環
として使用してもよいが,新たな問題を特定する更に想像力を必要とする技法を適用した後に,全てが万
全であるかを検査するために適用する場合に,最も有用である。
B.4.3 インプット
関連する,できれば妥当性確認のなされたチェックリストを選択又は作成できるような,問題に関する
事前情報及び専門的知識。
B.4.4 プロセス
手順は,次のとおりである。
− 作業の適用範囲を定義する。
− 十分に適用範囲をカバーするチェックリストを選択する。チェックリストは,目的に合うように慎重
に選択する必要がある。例えば,新たなハザード又はリスクの特定には,標準的な管理策のチェック
リストを使用することができない。
− チェックリストを使用する人又はチームは,プロセス又はシステムの各要素にわたり,チェックリス
トにあるアイテムの有無についてレビューを行う。
B.4.5 アウトプット
アウトプットは,リスクマネジメントシステムプロセスを適用するステップに依存する。例えば,アウ
トプットは不適切な管理策のリストであったり,リスクのリストであったりする。
B.4.6 長所及び短所
長所の例を,次に示す。
− 専門家でない人が用いてもよい。
− うまく作成されているときは,多様な専門知識を組み込んで使いやすいシステムになる。
− 共通の問題を見逃さないことを確実にする手助けになる。
短所の例を,次に示す。
− リスクの特定において,想像力を妨げる傾向がある。
− “知っていると分かっていること”は取り上げるが,“知らないと分かっていること”又は“知らない
24
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ということが分かっていないこと”は取り上げない。
− “チェックマークを入れる”式の行動を勧めてしまう。
− 観察中心になる傾向があるので,簡単には見えてこない問題を見逃す。
B.5
予備的ハザード分析(Preliminary hazard analysis: PHA)
B.5.1 概要
PHAは簡易な帰納的分析法であり,その目的は,所定の活動,施設又はシステムで危害を引き起こす可
能性のある,ハザード,危険状態及び事象を特定することである。
B.5.2 用途
設計の詳細又は運用手順に関する知識がほとんどない,プロジェクト開発の早い時期に実施するのが最
も一般的であり,詳細検討の先駆け,又はシステムの設計仕様情報を得るためのものとなることが多い。
詳細分析のために,既存のシステムを分析してハザード及びリスクの優先順位を決めるとき,又はより包
括的な技法を利用できない事情がある場合にも有用となる。
B.5.3 インプット
インプットは,次を含む。
− 評価すべきシステムに関する情報
− 入手可能かつ関連するシステムの設計の詳細など
B.5.4 プロセス
ハザード及び一般的な危険状態,並びにリスクのリストは,次のような特性を考慮して作成する。
− 使用又は製造する材料及びその反応性
− 採用する機器
− 運用環境
− レイアウト
− システムコンポーネント間のインタフェース
詳細アセスメント用にリスクを特定するために,好ましくない事象の結果及びその確率の定性的分析を
実施してよい。
PHAは,新たなハザードを発見し,必要ならば修正するために,設計,構築及びテストの諸ステップで
更新することが望ましい。得られた結果は,表及び樹形図のような様々な方法で表してよい。
B.5.5 アウトプット
アウトプットは,次を含む。
− ハザード及びリスクのリスト
− 受入,推奨管理策及び設計仕様書の形式での勧告又は詳細アセスメントの要請
B.5.6 長所及び短所
長所の例を,次に示す。
− 情報が限られているときも使用可能
− システムライフサイクルの極めて早期にリスクの検討が可能
短所の例を,次に示す。
− PHAで得られるのは,予備的情報だけである。包括的なものではなく,リスクに関する詳細情報及び
リスクの最善の防止方法は得られない。
25
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.6
HAZOP(Hazard and Operability)スタディーズ
B.6.1 概要
HAZOPスタディーズは,計画中又は既存の,製品,プロセス,手順又はシステムの構造化された系統
的な調査を行い,人,機器,環境及び/又は組織の目的に対するリスクを特定する技法である。場合によ
って,調査チームは,リスク対応策を提供することが期待される。
HAZOPスタディーズのプロセスは,設計,プロセス,手順又はシステムのステップで,どのようにな
ると設定の意図又は動作条件が達成されなくなるかを問いかけるガイドワードの使用を基本とする定性的
技法である。一般的に,一連の会議によって諸専門分野からなるチームが実施する。
HAZOPスタディーズは,プロセス,システム又は手順の故障モード,その原因及び結果を特定すると
いう点で,FMEAと類似している。FMEAは故障モードの特定から始めるのに対して,HAZOPスタディ
ーズは,チームが好ましくない結果及び想定される結果と条件との差異を検討し,可能性のある原因及び
故障モードにたどり着く点で異なる。
B.6.2 用途
HAZOPスタディーズ技法は,当初,化学プロセスのシステムの分析用に開発されたが,別種のシステ
ム及び複雑な運転に拡張された。このようなものには,機械及び電子システム,手順,並びにソフトウェ
アシステムを含み,組織の変更並びに法的契約設計及びレビューまで含む。
HAZOPスタディーズのプロセスは,設計,コンポーネント,計画手順及び人の動作の欠陥による,あ
らゆる種類の設計意図からの逸脱を取り扱うことができる。
これは,ソフトウェア設計レビューに広く使われている。安全が重要な器具の制御及びコンピュータシ
ステムに適用するときは,CHAZOP分析[Control(又はComputer)Hazards and Operability analysis]とし
て知られている。
HAZOPスタディーズは,通常,対象とするプロセスの全体図が入手可能であるが,設計変更がまだ可
能な詳細設計ステップで実施する。ただし,設計が詳細なものに進む中,各ステップでガイドワードが異
なる,ステップ的アプローチで実施してよい。HAZOPスタディーズは,運転中に実施してもよいが,そ
の段階では,要求される変更は経費がかさむ。
B.6.3 インプット
HAZOPスタディーズの必須インプットは,レビュー対象のシステム,プロセス又は手順に関する最新
情報,並びに設計の意図及び性能仕様書である。インプットには,図面,仕様書,工程図,プロセス制御
論理図,レイアウト図面,運転及び保全手順,並びに緊急対応手順を含めることがある。ハードウェア以
外に関連するHAZOPスタディーズでは,調査対象のシステム又は手順の機能及び要素を記述した文書は,
いずれもインプットになり得る。例えば,組織図及び役割説明書,契約案,又は手順案さえもインプット
になり得る。
B.6.4 プロセス
HAZOPスタディーズは,調査対象のプロセス,手順又はシステムの“設計”及び仕様を取り上げ,そ
の各部分のレビューを行って,想定される性能からどれほどの逸脱が発生するか,考えられる原因は何か,
逸脱の結果としてどのような事態が起こり得るかを見つけ出す。これは,適切なガイドワードを用いて,
システム,プロセス又は手順の各部分が,主要パラメタの変化にどのように反応するかを系統的に調べる
ことによって達成する。ガイドワードは,システム,プロセス又は手順に合うように特別にあつらえるこ
とができるが,あらゆる種類の逸脱を包含する汎用語を使用することもできる。表B.1に,技術システム
に一般に使用するガイドワードの例を示す。ヒューマンエラーモードを特定するためには,これと類似し
26
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
た“早すぎる”,“遅すぎる”,“多すぎる”,“少なすぎる”,“長すぎる”,“短すぎる”,“方向の誤り”,“対
象の誤り”,“動作の誤り”のようなガイドワードが使用できる。
HAZOPスタディーズの通常のステップは,次を含む。
− HAZOPスタディーズを実施し,調査から出現した対策が完了したことを確認する,必要な責任及び
権限をもつ人の任命
− 調査の目的及び適用範囲の定義
− 調査のためのキーワード又はガイドワードの設定
− HAZOPスタディーズのチームの結成。このチームは,通常,諸専門分野からなるチームであり,想
定された設計又は最新設計からの逸脱の影響を評価する技術の専門知識を備えた,設計及び運転要員
を含むことが望ましい。チームには,設計若しくはレビュー対象のシステム,プロセス又は手順に直
接関与していない人を入れることを推奨する。
− 必要な文書の収集
調査チームが行うワークショップの中で次のステップを行う。
− システム,プロセス又は手順をより小さな要素若しくはサブシステム,又はサブプロセス若しくは副
要素に分け,レビューを具体的なものにする。
− 各サブシステム,サブプロセス又は副要素の設計の意図,次に,そのサブシステム又は要素の各アイ
テムの設計の意図を一致させ,順々にガイドワードを当てはめ,好ましくない結果が出そうな逸脱を
仮定する。
− 好ましくない結果が特定された場合は,状況ごとに原因と結果とを一致させ,どのように対処すれば
その発生を防げるか,又は発生した場合,事態を緩和するにはどうするかを提案する。
− 議論の内容を文書化し,特定されたリスクに対処するための具体的な対策について合意する。
表B.1−考えられるHAZOPスタディーズガイドワードの例
語句
定義
No又はnot
想定された結果のどの部分も達成されない,又は想定された状態が存在しない
より多く(より高く)
アウトプット又は運転条件の量的増加
より少なく(より低く) 量的減少
と同様に
量的増加(例,材料の追加など)
の一部
量的減少(例,混合物の一つだけ又は二つのコンポーネント)
逆又は反対
反対(逆流など)
以外
意図したもののどの部分も達成されない,全く異なる事態が生じる
適合性
材料,環境
次のようなパラメタに,ガイドワードを当てはめる。
− 材料又はプロセスの物理的特性
− 温度,速度のような物理的条件
− システムのコンポーネント又は設計の指定された意図(情報伝達など)
− 運用面
B.6.5 アウトプット
各レビュー点について記録したアイテムを含むHAZOPスタディーズ会議の議事録。これには,使用し
たガイドワード,逸脱,考えられる原因,明らかになった問題の対応策,及び対策責任者を含めることが
望ましい。
修正できない逸脱については,逸脱のリスクを評価することが望ましい。
27
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.6.6 長所及び短所
長所の例を,次に示す。
− システム,プロセス又は手順を,系統的かつ徹底的に調べる手段を提供する。
− 運用の実経験がある人及び対応策を実施しなければならなくなることがある人を含む,諸専門分野か
らなるチームが取り組む。
− 解決策及びリスク対応策を生み出す。
− 広範囲なシステム,プロセス及び手順に適用できる。
− ヒューマンエラーの原因及び結果の,明確な検討が可能となる。
− 当然払うべき注意義務の実証に使用できる,プロセスの記録文書が作成される。
短所の例を,次に示す。
− 詳細な分析のためには,極めて時間がかかり,そのため費用がかかる。
− 詳細な分析のためには,高レベルの文書又はシステム/プロセス及び手順仕様書が必要となる。
− 根本的な仮定に取り組むことよりも,詳細な解決策の発見に比重が置かれてしまう(ただし,この点
は段階的アプローチによって緩和できる。)。
− 討議が設計の詳細な問題に集中し,より広範囲の問題又は外部の問題がおろそかになる。
− 設計(案)及び設計の内容並びにチームに課された適用範囲及び目的に制約される。
− プロセスが,設計の問題点を追求するために,十分に客観的になることが難しい設計者の専門知識に
頼りすぎる。
B.6.7 参考文書
IEC 61882,Hazard and operability studies (HAZOP studies)−Application guide
B.7
ハザード分析及び必須管理点(Hazard analysis and critical control points: HACCP)
B.7.1 概要
HACCPは,ハザードを特定し,ハザードを防止するために,プロセスの全ての関連部分に対して適切
な管理を行い,製品の品質,信頼性及び安全を維持するための構造を提供する。HACCPは,最終製品の
検査によってではなく,プロセス全体を管理することによってリスクを最小化することを目的とする。
B.7.2 用途
HACCPは,NASA宇宙計画で食品の安全を確保するために開発された。現在では,フードチェーン内
のあらゆる組織において,食品の物理的,化学的又は生物学的汚染のリスクを管理するために,使用され
ている。HACCPは,更に製薬業及び医療機器製造業においても使用されている。製品の品質に影響する
事項を特定し,重要なパラメタをモニタリングでき,ハザードを管理できるプロセスの管理点を決定する
という原則は,他の技術システムにも一般化できる。
B.7.3 インプット
HACCPは,基本的な流れ図又はプロセス図,製品又はプロセスアウトプットの品質,及び安全又は信
頼性に影響するハザードの情報から開始する。ハザード及びハザードのリスク並びにハザードの管理方法
に関する情報がHACCPのインプットである。
B.7.4 プロセス
HACCPは,次の七つの原則から構成する。
− ハザード及びハザードの予防手段を特定する。
− プロセスの中で,そのハザードを管理又は除去できる管理点[必須管理点(critical control points: CCP,
28
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
以下CCPという。)]を決定する。
− ハザードの管理に必要な管理基準を定める。すなわち,各CCPは,ハザードを確実に管理できる特定
のパラメタの範囲内で運用することが望ましい。
− 定めた間隔で各CCPの管理基準をモニタリングする。
− プロセスが規定の基準外に逸脱したときの,是正処置を定める。
− 検証手順を定める。
− 各ステップで,記録保存及び文書化を行う。
B.7.5 アウトプット
HACCPのアウトプットは,ハザード分析ワークシート及びHACCP計画書を含む記録文書である。
プロセスの各ステップのハザード分析ワークシートには,次を記入する。
− 当該ステップで発生する,制御される又は激化する可能性のあるハザード
− ハザードが,重大なリスクをもたらす可能性(経験,データ及び技術文献を組み合わせた,因果関係
及び発生確率の検討に基づく。)
− 重大さの根拠
− 各ハザードの考えられる予防手段
− 当該ステップでのモニタリング又は管理手段の適用可能性(すなわち,これはCCPか否か)
HACCP計画書には,特定の設計,製品,プロセス又は手順の管理策を確実にするために,手順を記述
する。当該計画書には,全てのCCPに対するリストを含める。各CCPに対しては,次を含める。
− 予防手段の管理基準
− モニタリング及び継続的管理活動(モニタリングは,どのようなものを,どのように,いつ,誰が実
施するかを含む。)
− 管理基準からの逸脱が検出された場合の是正処置
− 検証及び記録保存活動
B.7.6 長所及び短所
長所の例を,次に示す。
− 構造化されたプロセスによって,リスクの特定及び軽減並びに品質管理の証拠文書が得られる。
− プロセスにおいて,どのように及びどこでハザードを防止し,リスクを管理するかという実用性に焦
点を置いている。
− プロセス全体でのリスク管理。これは,最終製品の検査に頼ることよりも優れている。
− 人の動作によってもち込まれるハザードを明らかにし,ハザードがもち込まれた時点又はその後に,
どのようにすればハザードを管理できるかを明らかにする。
短所の例を,次に示す。
− HACCPは,ハザードを特定し,そのハザードが代表するリスクを決定し,その重大さをプロセスの
入力として理解することを要求する。適切な管理策も決定する必要がある。これらは,CCP及びHACCP
での管理パラメタを指定するために必要であり,これを得るためには他のツールと組み合わせること
が必要となることがある。
− 管理パラメタが定めた限界を超えたときに対策をとる場合は,統計的に有意であり望ましい対策であ
る,管理パラメタを緩やかに変化させる対策を見逃すことがある。
29
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.7.7 参考文書
ISO 22000,Food safety management systems−Requirements for any organization in the food chain
B.8
環境リスクアセスメント(毒性アセスメント)
B.8.1 概要
環境リスクアセスメントは,様々な環境ハザードへのばく(曝)露の結果として,動物,植物及び人に
生じるリスクのアセスメントを網羅的に実施するために使用する。リスクマネジメントとは,リスク評価
及びリスク対応を含む意思決定ステップを指す。
この手法は,ハザードすなわち危害源,及びそれが対象母集団にどのように影響するかの分析,並びに
ハザードが,影響を受けやすい対象母集団に達するときの経路の分析を含む。次に,この情報を組み合わ
せて,危害の考えられる範囲及び性質の推定を行う。
B.8.2 用途
このプロセスは,化学薬品,微生物又は他の生物種のようなハザードにばく(曝)露された結果として
の,植物,動物及び人に対するリスクを評価する目的で使用する。
対象がリスク源にばく(曝)露されるときの様々な経路を調査する経路分析のような方法論の側面は,
人の健康及び環境以外の,極めて幅広い様々なリスク分野で適用及び利用可能で,リスク軽減のための対
応策を明らかにするのに役立つ。
B.8.3 インプット
この手法には,ハザードの性質及び特徴,対象母集団(又は母集団群)の感受性,並びにこれら二つの
相互作用に関する良質なデータが必要となる。このデータは,通常は実験室ベースの研究又は疫学研究に
基づくものである。
B.8.4 プロセス
手順は,次のとおりである。
a) 問題設定−対象母集団の範囲及び対象となるハザードの種類の定義による,アセスメントの適用範囲
の設定を含む。
b) ハザードの特定−調査の適用範囲内にあるハザードの中からの,考えられる対象母集団の全ての危害
源の特定を伴う。ハザードの特定は,通常,専門家の知識及び文献調査に依存する。
c) ハザード分析−ハザードの性質,及びハザードと対象とがどのように相互作用しているかの理解を伴
う。例えば,人体の化学的作用へのばく(曝)露を検討するときは,ハザードには,急性及び慢性毒
性の可能性,並びにDNA損傷の可能性(すなわち発がん性又は出生異常の可能性)が含まれる。危
険な影響別に,影響(反応)の大きさを,対象がばく(曝)露されるハザードへのばく(曝)露の程
度と比較し,可能であれば,影響の発生機構を決定する。無効果(No Observable Effect Level: NOEL,
以下NOELという。)及び無副作用(No Observable Adverse Effect Level: NOAEL,以下NOAELという。)
となるレベルを注記する。これらは,リスクの許容基準として使用することもある。
化学ばく(曝)露では,試験結果を用いて,図B.1に示すようなばく(曝)露の程度−反応曲線を
導き出す。これらは一般に,動物実験,組織又は細胞の培養などの実験システムから導き出す。
微生物又は外来種のような他のハザードの影響は,フィールドデータ及び疫学研究から決定するこ
とがある。疾病又は害虫と対象との相互作用の性質を確定し,特定のハザードへのばく(曝)露によ
る特定の危害レベルの発生確率を推定する。
30
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図B.1−ばく(曝)露の程度−反応曲線
d) ばく(曝)露評価−このステップは,有害物質又はその残留物が,どのように,どれほどの量で,影
響を受ける母集団に到達するかを調べる。ハザードがとる別の経路,ハザードが対象に到達するのを
防止できる防壁,及びばく(曝)露レベルに影響する要因を検討する経路分析を伴うこともある。例
えば,薬剤散布によるリスクを検討する場合であれば,ばく(曝)露分析は,どれほどの量の薬剤が,
どのような条件下で散布されたか,人若しくは動物への直接的なばく(曝)露があったか否か,植物
に残った残留量がどれほどか,地面に到達した農薬の環境運命,薬剤は動物に蓄積されるものか否か,
又は地下水に入り込むか否かを検討する。バイオセキュリティの場合であれば,経路分析で,国に侵
入した害虫がどのようにして環境に入り込み,定着し,広がるかを検討する。
e) リスクの特性解明−このステップでは,ハザード分析とばく(曝)露分析とで得られた情報を合わせ
て,全ての経路からの影響を総合したときの特定の結果の発生確率を推定する。ハザード又は経路が
多数ある場合,最初に選別を実施して,高位のリスクシナリオに対して詳細なハザード及びばく(曝)
露分析並びにリスクの特性解明を実施することがある。
B.8.5 アウトプット
アウトプットは,通常,問題となる状況で特定の対象が特定のハザードにばく(曝)露されることによ
るリスクレベルの表示である。リスクは,定量的に表しても,半定量的に表しても,定性的に表してもよ
い。例えば,がんのリスクは,人が汚染物質に特定のばく(曝)露をした場合に,特定の期間で発がんす
る確率として定量的に表すことが多い。特定の汚染物質又は害虫のリスク指標を求めるために半定量的分
析を用いることがある。定性的アウトプットは,リスクレベル(例えば,高,中,低)でも,起こりそう
な影響の実用データを盛り込んだ記述でもよい。
B.8.6 長所及び短所
この分析の長所は,問題の性質及びリスクを高める要因の極めて詳細な理解が得られることである。
経路分析は,一般に全てのリスク分野で役立つツールであり,どのように,どこで,管理策の改善又は
新たな管理策の導入が可能となるかの特定を可能にする。
ただし,これには良質のデータが必要である。このようなデータが得られることは多くなく,高レベル
の不確かさが付きまとうことが多い。例えば,高レベルのハザードにばく(曝)露された動物から導き出
されるばく(曝)露の程度−反応曲線を外挿して,低レベルの汚染物資の人間への影響を推定することが
望ましい。これを行うための多数のモデルがある。対象が人ではなく環境であり,かつ,ハザードが化学
31
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
薬品でない場合は,調査の特定の条件に直接関係するデータは限定されることがある。
B.9
構造化“What-if”技法(Structured “What-if” Technique: SWIFT)
B.9.1 概要
SWIFTは,当初,HAZOPスタディーズの簡易代替技法として開発された。これは,ファシリテータが,
ワークショップの参加者にリスクを特定するように促すために,一連の“プロンプト”語又は語句を用い
る,系統的な,チームで行う調査である。ファシリテータ及びチームは,標準的な“what-if”形式の語句
をプロンプトと組み合わせて使用して,システム,プラントアイテム,組織又は手順が,正常な運転及び
行動からの逸脱によってどのように影響されるか調査する。SWIFTは,一般に,HAZOPスタディーズに
比べて詳細さのレベルが低いシステムレベルで適用することが多い。
B.9.2 用途
SWIFTは,当初,化学及び石油化学プラントのハザード調査のために設計されたものであるが,現在で
は,システム,プラントアイテム,手順及び組織で,広く一般的に適用されている技法である。特に,変
更の結果,及び変更によって変化又は新たに発生するリスクの調査に用いる。
B.9.3 インプット
調査を始める前に,システム,手順,プラントアイテム及び/又は変更を慎重に定義する必要がある。
インタビュー並びにファシリテータによる文書,計画書及び図面の調査を通じて,内的及び外的な前後関
係の両方を定める。通常,調査するアイテム,状況又はシステムは,分析プロセスを促進するノード(接
点)又は主要要素に分割するが,HAZOPスタディーズに必要な定義のレベルに至ることはほとんどない。
もう一つの主要なインプットは,調査チームのもつ専門知識及び経験であり,これらを慎重に選定する
ことが望ましい。全てのステークホルダが,可能であれば,類似のアイテム,システム,変更又は状況に
ついての経験のある人とともに,参加することが望ましい。
B.9.4 プロセス
一般的なプロセスは,次のとおりである。
a) ファシリテータは,調査を開始する前に,標準セットに基づいた,又はハザード若しくはリスクの総
合的レビューが可能となるように新たに作成した,語又は語句の適切なプロンプトリストを用意する。
b) ワークショップで,アイテム,システム,変更又は状況の外的及び内的な前後関係,並びに調査の適
用範囲について討議し,合意する。
c) ファシリテータは,参加者に次の事項を提起し,討議するよう求める。
− 既知のリスク及びハザード
− これまでの経験及びインシデント
− 既知及び既存の管理策並びに保護手段
− 法的要求事項及び制約
d) “what-if”語句及びプロンプト語又は題目を使用した質問を作成し,討議を進行させる。使用する
“what-if”語句は,“もし〜ならばどうなるか”,“もし〜ならば何が起こるか”,“誰か又は何かが〜”,
“誰か又は何かが過去に起きた〜”といったものである。調査チームが,考えられるシナリオ,その
原因並びに結果及び影響を調査することを促進することを意図する。
e) リスクを要約し,適切な管理策をチームで検討する。
f)
リスク,その原因,結果,及び想定する管理策を記述したものをチームで確認し,記録する。
g) チームは,管理策が適切で有効か否かを検討し,リスク管理策の有効性の記述に合意する。もしこの
32
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
記述が満足のいくものでなければ,チームは更にリスク対応タスクについて検討し,見込みのある管
理策を決定する。
h) この討議の中で,更なるリスクを特定するために,更なる“what-if”形式の質問を提出する。
i)
ファシリテータは,討議をモニタリングするために,並びにチームが討議できるように追加の問題及
びシナリオを提案するために,プロンプトリストを用いる。
j)
作成した対策の優先順位を決めるときは,通常,定性的又は半定量的リスクアセスメント手法を使用
する。このリスクアセスメントは,通常,既存の管理策及びその有効性を考慮に入れて実施する。
B.9.5 アウトプット
アウトプットは,リスクランク別の対策又はタスクを記入したリスク一覧表である。これらのタスクが,
対応計画の基礎となる。
B.9.6 長所及び短所
長所の例を,次に示す。
− あらゆる形態の施設又はシステム,状況又は環境,及び組織又は活動に広く適用できる。
− チームが準備する必要のあるものが少ない。
− ワークショップのセッションで,比較的早急かつ主要なハザード及びリスクがすぐに明らかになる。
− 調査は“システム志向”であり,参加者が,コンポーネント故障の結果を調査できるというよりは,
むしろ逸脱に対するシステムの応答を見ることができる。
− プロセス及びシステムの改善の機会の特定に使用でき,一般的に,成功をもたらし,その確率を高め
るような対策の特定に利用できる。
− 既存の管理策及びリスク対応策にアカウンタビリティを負う人が参加するワークショップでの改善
は,彼らの責任を強化する。
− 少ない労力で,リスク一覧表及びリスク対応計画を作成できる。
− リスクアセスメント,及びその結果分かる対策への配慮事項に優先順位を付けるときは,定性的又は
半定量的方式のリスクレーティングを採用することが多いが,SWIFTは,定量的調査にまで進めるこ
とができるリスク及びハザードの特定に使用できる。
短所の例を,次に示す。
− 効率的に行うためには,経験があり,かつ,有能なファシリテータが必要となる。
− ワークショップチームの時間を無駄にしないように,慎重な準備が必要となる。
− ワークショップチームが幅広い十分な経験をもっていない場合,又はプロンプトシステムが包括的で
ない場合,リスク又はハザードによっては特定されないものがある。
− この技法の高レベルな適用によっても,複雑な原因,詳細な原因又は相関している原因が明らかにな
らないことがある。
B.10 シナリオ分析
B.10.1 概要
シナリオ分析とは,将来どのようになるかについての記述的モデル展開を行う分析手法である。考えら
れる将来の進展を検討し,その影響を調べることによって,リスクを特定するときに使用できる。例えば
“最善のケース”,“最悪のケース”及び“予想されるケース”を表すシナリオ集を使用して,そのシナリ
オごとに,リスクを分析するときの感度分析の形態として,考えられる結果及びその発生確率を分析でき
る。
33
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
シナリオ分析の威力は,技術,消費者の好み,社会的態度などの過去50年以上にわたる主要な変動を考
えることによって例証できる。シナリオ分析はそのような変化の発生確率を予測することはできないが,
結果を検討することができ,組織が予測可能な変化に対応するために必要となる長所及び回復力の育成を
手助けする。
B.10.2 用途
シナリオ分析は,方針決定,将来の戦略の立案,及び既存の活動の検討について支援できる。これらの
リスクアセスメントの三つのコンポーネントの全てで役割を果たせる。特定及び分析に対しては,例えば,
“最善のケース”,“最悪のケース”,及び“予想されるケース”を表すシナリオセットを用いて,シナリオ
ごとに,特定の環境でどのようなことが起こるかを特定し,考えられる結果及びその発生確率を分析でき
る。
シナリオ分析は,脅威及び機会の両方がどのように進展するかの予想に使用でき,時間枠が短期と長期
との両方のあらゆる種類のリスクに使用できる。時間枠が短期かつデータが良質の場合,有望なシナリオ
は,現在から外挿してよい。時間枠が長期又はデータが貧弱の場合,シナリオ分析はより想像力に富んだ
ものとなり,将来分析と呼ばれるものになる。
シナリオ分析は,空間,時間,及び地域のグループ又は組織の中で,肯定的な結果と否定的な結果との
間に大きな分布差がある場合に有用である。
B.10.3 インプット
シナリオ分析の必須条件は,関連する変化(例えば,起こり得る技術の進歩)の性質及び必ずしも過去
からの外挿によらずに将来を考察する想像力について,互いに理解し合っている人々のチームである。既
に起きている変化に関する文献及びデータの利用も役に立つ。
B.10.4 プロセス
シナリオ分析の構成は,形式にのっとったものもあれば形式に縛られないものもある。
チーム及び関係する伝達経路を定め,検討すべき問題点及び論点の背景を定義したら,次のステップは,
起こる可能性がある変化の性質を明らかにすることである。このためには,将来についての想像的思考と
同様に,主要な傾向及び傾向の変化が起きそうな時期の調査が必要となる。
検討すべき変化には,次のものを含む。
− 外的変化(技術の変化など)。
− 近い将来に下す必要がある,様々な結果をもたらすかもしれない決定事項。
− ステークホルダのニーズ及びそのあり得る変化。
− マクロ環境の変化(法規制,人口など)。不可避のもの,不確かなものがある。
ときには,変化が別のリスクの発現結果によるものであることがある。例えば,気候変動のリスクは,
フードマイル関連の消費者の需要の変化をもたらす。これが,どの食品なら輸出して利益を上げられるか,
どの食品なら地域で生産可能かを左右する。
この段階で,地域的及びマクロ的要因又は動向を一覧表にし,それを重要さ及び不確かさで順位付けで
きる。最も重要及び最も不確かな要因には,特に注意する。主要な要因又は傾向を互いに突き合わせて,
シナリオが作成できる領域を示す。
各パラメタの妥当な変化に的を絞った,一連のシナリオを提案する。
次に,シナリオ別に,ここからどのように本題のシナリオに移っていくかを物語る“ストーリ”を書く。
ストーリには,シナリオに価値を付加する妥当な細部を含むことがある。
次に,シナリオは,当初の疑問の検証又は評価に使用できる。検証では,重大だか予測可能な要因を考
34
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
慮し(例えば,パターンの使用),この新シナリオであれば,方針(活動)がどれほど“成功を収めるか”
を調査し,モデルの仮説を基にした“what-if”形式の質問を使って結果の“予備検証”を行う。
各シナリオに対する質問又は提案の評価を終えたら,シナリオを修正して,より確実性の高いもの又は
より危険性の少ないものにする必要があるかが明らかとなる。また,いつ変化が起こるかを示す有力な指
標を特定できる可能性もある。有力な指標をモニタリングし,それに対応すれば,予定していた戦略の変
更の機会を得ることができる。
シナリオは,考えられる将来の定義された“一片”にすぎないので,特定の結果(シナリオ)が発生す
る確率が考慮されていることを確認すること,すなわち,リスク枠組みを採用することが重要である。例
えば,“最善のケース”,“最悪のケース”及び“予想されるケース”のシナリオを使用する場合,各シナリ
オの発生確率の認定又は表示を試みることが望ましい。
B.10.5 アウトプット
最適なシナリオではないこともあるが,選択範囲を明確に認識し,かつ,選択した活動を指標の動きに
応じてどのように修正するかを示した結果となっていることが望ましい。
B.10.6 長所及び短所
シナリオ分析は,考えられる様々な将来を考慮しているので,履歴データを使用することによって,将
来の事象がおそらく過去の傾向を踏襲するものと仮定する,高−中−低の予測に頼る従来型のアプローチ
よりも優れていることがある。これは,予測の基礎となる,現下の知識がほとんどない場合,又はリスク
を長期的な将来にわたって検討する場合には重要である。ただし,これには,不確かさが大きい場合,シ
ナリオが非現実的なものになるという短所が付きものである。
シナリオ分析を採用することの主たる難点は,データの可用性,並びに,考えられる結果の厳密な調査
に従う現実的なシナリオを作成できる分析者及び意思決定者の能力に依存することである。
意思決定ツールとしてシナリオ分析を用いることの危険性は,使用するシナリオが妥当な根拠をもたな
いことがある,データが推測的なことがある,非現実的な結果が認識されないことがあるなどである。
B.11 事業影響度分析(Business impact analysis: BIA)
B.11.1 概要
BIAは,事業影響度アセスメント(Business impact assesment)とも呼ばれ,主要な中断リスクが組織の
運営にどのように影響するかを分析し,運用管理するために必要な能力を特定及び定量化する。BIAは,
特に次の事項の合意した理解を与える。
− 主要な事業プロセス,機能,並びに組織のために存在する関連資源及び主要な相互依存性の特定及び
致命度
− 重大な事業目的を達成する対応能力及び運用管理能力への中断事象の影響
− 中断の影響を管理し,組織を合意した運営レベルまで復旧させるのに必要な対応能力及び運用管理能
力
B.11.2 用途
BIAは,目的の継続的達成を確保するためのプロセス及び関連資源(人,機器,情報技術)の致命度並
びに復旧期限の決定に用いる。さらに,プロセスと内部及び外部の当事者とサプライチェーンのつながり
との相互依存性及び相互関係の決定を支援する。
B.11.3 インプット
インプットは,次のとおりである。
35
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 分析を引き受け,計画を作成するチーム
− 組織の目的,環境,運用及び相互依存性に関する情報
− プロセス,支援資源,他の組織との関係,委託契約,ステークホルダなど,組織の活動及び運営に関
する詳細
− 重大プロセスの損失が財務及び運営にきたす結果
− 用意したアンケート
− 組織及び/又はステークホルダの関連分野の中から,コンタクトしインタビューする人のリスト
B.11.4 プロセス
BIAは,アンケート,インタビュー,構造化ワークショップ,又はこれら三者の組合せを用いて実施し,
重大なプロセス,そのプロセスの損失の影響,並びに必要な復旧期間及び支援資源に対する理解を得るこ
とができる。
主要なステップは,次のとおりである。
− プロセスの致命度を決定するために,リスク及びぜい(脆)弱性のアセスメントに基づいて,組織の
主要なプロセス及びアウトプットを確認する。
− 定義した期間にわたって,特定した重大なプロセスの財務及び/又は運営面の中断の結果を決定する。
− 主要な内部及び外部のステークホルダとの相互依存性を特定する。これには,サプライチェーンを通
じた相互依存性の性質の記述を含むことがある。
− 中断後に最低の許容レベルで運営を継続するのに必要な,現下に手元にある資源及び資源の必須レベ
ルを決定する。
− 現在,採用している,又は開発する予定のある代替策及びプロセスを特定する。代替策及びプロセス
は,中断時に資源又は管理能力が得られない又は不十分な場合には,開発が必要になることがある。
− 特定した結果及び機能の重要成功要因に基づいて,各プロセスの最大許容停止時間(maximum
acceptable outage time: MAO,以下MAOという。)を決定する。MAOは,組織が管理能力の損失を許
容できる最大期間を表す。
− 専門機器又は情報技術の復旧時間目標[recovery time objective(s): RTO,以下RTOという。]を決定す
る。RTOは,組織が専門機器又は情報技術の管理能力の復旧を目指す時間を表す。
− 中断を管理するための,重要プロセスの現行準備しているレベルを確認する。これには,プロセス内
の冗長性レベル(スペア機器など)又は代替サプライヤの存在の評価を含めることがある。
B.11.5 アウトプット
アウトプットは,次のとおりである。
− 重要プロセス及び関連する相互依存性の優先順位リスト
− 重要プロセスの損失による財務及び運営影響度を表す文書
− 特定した重要プロセスに必要な支援資源
− 重要プロセスの停止時間枠及び関連する情報技術の復旧時間枠
B.11.6 長所及び短所
長所の例を,次に示す。
− 明記した目的を継続的に達成する能力を組織に与える重要プロセスの理解
− 必須資源の理解
− 組織の回復力を支援する組織の運営プロセスを再定義する機会
短所の例を,次に示す。
36
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− アンケートに記入し,インタビュー又はワークショップを引き受ける参加者の知識不足
− グループダイナミクスによる重要プロセスの完全な分析への影響
− 復旧要求事項の単純すぎる期待又は過度に楽観的な期待
− 組織の運営及び活動について,適度の理解を得ることの難しさ
B.12 根本原因分析(Root cause analysis: RCA)
B.12.1 概要
再発を防止するための主要な損失の分析は,一般に,RCA,根本原因故障分析(root cause failure analysis:
RCFA)又は損失分析という。RCAが様々な種類の失敗による資産の損失を対象としたものであるのに対
して,損失分析は,主に,外的要因又は災害による財務又は経済的損失の懸念を対象にする。分析は,す
ぐ目に見える兆候だけに対処するのではなく,根本又は発端となる原因の特定を試みる。是正措置は,必
ずしも常に完全に有効であるとは限らず,継続的改善が必要になることがあると認識されている。RCAは,
主要損失の評価に適用することが最も多いが,より広範な意味での損失の分析に用いて,改善の余地がど
こにあるかを判定してもよい。
B.12.2 用途
RCAは,次のような広い分野の用途の様々な状況に適用する。
− 安全性におけるRCAは,事故調査及び労働安全衛生で使用する。
− 故障分析は,信頼性及び保全性に関わる技術システムで使用する。
− 生産性におけるRCAは,工業生産部門の品質管理の分野で適用する。
− プロセスにおけるRCAは,事業プロセスを対象とする。
− システムにおけるRCAは,複雑なシステムの変更管理,リスクマネジメント及びシステム分析に利
用する従来の領域の組合せとして発展してきた。
B.12.3 インプット
RCAの基本インプットは,失敗又は損失から収集した全ての証拠である。類似した別の失敗のデータも,
分析で検討してよい。具体的な仮説を検証するために実施される結果もインプットにしてよい。
B.12.4 プロセス
RCAの必要性が判明したら,分析を実施し,勧告を行う専門家のグループを任命する。専門家の種類は,
主に当該失敗の分析に必要となる専門知識に依存する。
分析を実施するために様々な手法を用いることができるが,RCAを実施する基本ステップは互いに似て
おり,次のようなものである。
− 分析チームの結成
− RCAの適用範囲及び目的の設定
− 故障又は損失のデータ及び証拠の収集
− 原因を究明するための構造化分析の実施
− 解決策の立案及び勧告
− 勧告の実施
− 実施した勧告の成否の検証
構造化分析技法は,次のうちの一つで構成してよい。
− “なぜなぜ5回”技法。すなわち,繰り返し“なぜ”を問いかけて,原因及び副原因の層を剝いでい
く。
37
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 故障モード・影響解析(FMEA)
− FTA
− 特性要因図(魚の骨線図又は石川線図ともいう。)
− パレート分析
− 根本原因マッピング
原因の評価は,はじめに明らかとなる物理的原因から,人に関係する原因を経て,最後に基礎をなすマ
ネジメント又は根本原因へと進めることが多い。原因の要因は,是正措置を有効で価値あるものとするた
めに,関係当事者によって管理又は除去できる必要がある。
B.12.5 アウトプット
RCAのアウトプットは,次のとおりである。
− 集めたデータ及び証拠を文書化したもの
− 検討した仮説
− 失敗又は損失の最も有力な原因に関する結論
− 是正措置の勧告
B.12.6 長所及び短所
長所の例を,次に示す。
− 適切な専門家チームの参加
− 構造化分析
− 有力な全ての仮説の検討
− 結果の文書化
− 最終勧告の作成
短所の例を,次に示す。
− 必要な専門家が見つからないことがある。
− 決定的証拠が,当該失敗時に破壊されること又は清掃のときに除去されることがある。
− 状況の万全な評価のための十分な時間又は資源が,チームに与えられないことがある。
− 勧告を適切に実施できないことがある。
B.13 故障モード・影響解析(Failure mode and effects analysis: FMEA)並びに故障モード・影響及び致命
度解析(Failure mode, effects and criticality analysis: FMECA)
B.13.1 概要
FMEAは,コンポーネント,システム又はプロセスが,どのようにして設計の意図を満たすことに失敗
するかを明らかにするために用いる技法である。
FMEAは,次の点を明らかにする。
− システムの様々な部分の,考えられる全ての故障モード(故障モードとは,故障している,又は正し
く動作していないと観測される状態である。)
− 故障がシステムに与えるおそれのある影響
− 故障のメカニズム
− 故障を回避する方法,及び/又は故障のシステムへの影響の軽減方法
FMECAは,明らかになった故障モードを,その重要性又は致命度によって順位付けするようにFMEA
を拡張したものである。
38
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
致命度分析は,通常,定性的又は半定量的分析であるが,実際の故障率を用いて定量化することもある。
B.13.2 用途
FMEAの適用は幾つかある。コンポーネント及び製品用の設計(又は製品)FMEA,システム用のシス
テムFMEA,製造及び組立プロセス用のプロセスFMEA,サービスFMEA及びソフトウェアFMEAであ
る。
FMEA/FMECAは,実際のシステムの設計,製造又は運転時に適用してよい。ただし,信頼性を向上さ
せるためには,通常,設計段階で変更を実施するほうが容易である。FMEA及びFMECAは,プロセス及
び手順に適用してもよい。例えば,医療システムの医療ミス及び保全手順の故障の可能性を明らかにする
ために使用する。
FMEA/FMECAは,次の目的で使用できる。
− 信頼性の高い設計代案の選択を支援する。
− システム及びプロセスの全ての故障モード,並びにその故障モードの正常動作への影響が検討された
ことを保証する。
− ヒューマンエラーモード及びその影響を明らかにする。
− 実際のシステムの試験及び保全計画の基礎とする。
− 手順及びプロセスの設計を改善する。
− FTAのような分析技法に,定性的又は定量的情報を与える。
FMEA及びFMECAは,FTAのような他の分析技法に,定性的又は定量的なインプットを与えることが
できる。
B.13.3 インプット
FMEA及びFMECAでは,各要素が故障する可能性のある状態の有意義な分析をするために,システム
の要素に関する詳細な情報が必要となる。詳細設計FMEAの場合,要素は詳細な個別コンポーネントレベ
ルのものでもよいし,より高次のレベルのシステムFMEAでは,要素は,より高レベルのもので定義して
もよい。
情報には,次のものがある。
− 分析対象のシステム及びそのコンポーネントの図面若しくはフローチャート,又はプロセスのステッ
プ
− プロセスの各ステップ又はシステムのコンポーネントの機能の理解
− 運転に影響する可能性のある環境及びその他のパラメタの詳細
− 特定の故障の結果の理解
− 故障率データがあれば,それを含めた故障に関する詳細情報
B.13.4 プロセス
FMEAプロセスは,次のとおりである。
a) 調査の範囲及び目的を決定する。
b) チームを招集する。
c) FMECAの対象となるシステム又はプロセスを理解する。
d) システムをそのコンポーネント又はステップに分解する。
e) 各ステップ又はコンポーネントの機能を決定する。
f)
記載したコンポーネント又はステップごとに次の点を明らかにする。
− 各部は,どのように故障する可能性があると考えられるか。
39
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− どのようなメカニズムで故障モードが発生し得るか。
− 故障が発生すると,どのような影響が出るか。
− 故障は害のないものか,それとも害があるものか。
− どのようして故障を検出するか。
g) 当該故障を補償するための,設計における固有の対策を明らかにする。
FMECAの場合は,調査チームは,特定した各故障モードをその致命度によって分類する作業に進む。
これを行う方法は幾つかある。一般的な方法は,次のとおりである。
− モード致命度指標
− リスクのレベル
− リスク優先数
モデル致命度は,対象となるモードが,システム全体としての故障につながる確率の尺度である。モデ
ル致命度を,次のように定義する。
故障影響確率×モード故障率×システムの運転時間
この式の項のそれぞれを定量的に定義することができ,故障モードが全て同じ結果をもたらす場合,こ
の式は,機器の故障に最も多く適用される。
リスクのレベルは,発生する故障モードの結果と故障確率とを組み合わせて得る。これは,異なる故障
モードの結果が異なるときに使用し,機器システム又はプロセスに適用できる。リスクのレベルは,定性
的に,半定量的に,又は定量的に表すことができる。
リスク優先数(risk priority number: RPN,以下RPNという)は,故障の結果に関する評定尺度(通常は
1から10までの間)と故障の起こりやすさと故障の検出力とを乗じて得る,致命度の半定量的尺度である。
故障の検出が困難である場合,その故障には,より高い優先順位を与える。この手法は,品質保証に対し
て使用することが最も多い。
故障モード及びメカニズムを特定すると,上位の故障モードについては是正措置を決定し,実施できる。
FMEAは,次の事項を記載した報告書として文書化する。
− 分析したシステムの詳細
− 動作試験の実施方法
− 解析に基づく仮説
− データ源
− 記入済みのワークシートを含む結果
− 致命度(得た場合)及びその定義に用いた方法
− 更なる分析,設計変更,試験計画に盛り込む機能などに対する推奨事項
システムは,対策の完了後に別のサイクルのFMEAで再評価してよい。
B.13.5 アウトプット
FMEAの一次アウトプットは,各コンポーネント又はシステム若しくはプロセスの,故障モード,故障
メカニズム及び影響のリストである。これには故障の起こりやすさに関する情報を含めてよい。故障の原
因及びシステム全体に及ぶ結果に関する情報も示す。FMEAのアウトプットは,システムの故障の起こり
やすさに基づく重要性の格付け,故障モードに起因するリスクのレベル,又はリスクのレベルと故障モー
ドの“検出可能性”とを組み合わせたものを含む。
適切な故障率データ及び定量的結果を使用すれば,定量的なアウトプットを得ることができる。
B.13.6 長所及び短所
40
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
長所の例を,次に示す。
− 人,機器及びシステムの故障モードに対して広く適用でき,ハードウェア,ソフトウェア及び手順に
対して広く適用できる。
− コンポーネントの故障モード,その原因及びシステムへの影響を特定し,それを読み取りやすい形式
で表示する。
− 問題を設計プロセスの早期に発見することによって,コストがかさむ販売後の機器の改修が不要とな
る。
− 単独故障モード,及び冗長性又は安全システムに関する要求事項が明らかになる。
− モニタリングすべき主要機能を浮き彫りにすることによって,モニタリングプログラムの開発に対す
るインプットを提供する。
短所の例を,次に示す。
− 単独故障モードの特定だけに使用可能で,複合故障モードの特定には使用できない。
− 適切に管理し,焦点を絞らない限り,調査は時間がかかり,コストがかさむものとなる。
− 複雑な多層システムでは,分析が難しくなり,冗漫になる。
B.13.7 参考文書
JIS C 5750-4-3 ディペンダビリティ マネジメント−第4-3部:システム信頼性のための解析技法−故
障モード・影響解析(FMEA)の手順
B.14 故障の木解析(Fault tree analysis: FTA)
B.14.1 概要
FTAは,調査対象の望ましくない事象(“頂上事象”という)の原因となり得る要因を突き止め,分析
するための技法である。原因となる要素は演えき(繹)的に特定し,論理的に関係付け,原因となる要素
と頂上事象との論理的関係を描き出した樹形図で図示する(図B.2参照)。
樹形図で明らかにした要素は,望ましくない事象に帰着する,コンポーネントのハードウェア故障,ヒ
ューマンエラー又は他の関連事象である。
41
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図B.2−FTAの例
B.14.2 用途
FTAは,潜在的な原因及び失敗(頂上事象)までの経路を特定するために定性的に使用する場合と,原
因事象の発生確率が判明しているときに,頂上事象の発生確率を計算するために定量的に使用する場合と
がある。
FTAは,システムの設計段階で,潜在的な故障の原因を究明するために使用することがある。異なる設
計オプションを選択するために使用することもある。主要な故障がどのように発生し得るかを明らかにし,
頂上事象までの異なった経路の相対的重要性を明らかにするために,運用段階で使用することもある。FTA
は,異なる事象がどのように一体となって故障を引き起こしたかを図で表示するために,発生した故障の
分析にも使用することがある。
B.14.3 インプット
定性的分析では,システムがどのようにして失敗する可能性があるのかの技術的な情報,又はシステム
及び故障原因の情報がインプットである。その際,詳細な図表は分析を支援するのに有用である。
定量分析では,全ての基本的事象の故障率又は故障状態にある確率に関するデータがインプットである。
B.14.4 プロセス
FT図を展開するステップは,次のとおりである。
− 分析する頂上事象を決定する。頂上事象は,故障のこともあれば,その故障の広い意味での結果のこ
ともある。結果を分析する場合,ツリーは,実際の失敗の軽減に関する項目を含む場合がある。
− 頂上事象から出発し,頂上事象を引き起こす可能性のある直接的原因又は故障モードを特定する。
− 各原因又は故障モードを分析し,その故障がどのようにして引き起こされるかを明らかにする。
− 望ましくないシステム動作を,逐次,段階を追ってより下位のシステムレベルまで特定し続ける。こ
れを,更なる分析が非生産的になるまで行う。ハードウェアシステムの場合,最下位のレベルはコン
42
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ポーネントの故障レベルのことがある。最下位のシステムレベルにおける事象及び原因となる要素を,
基本事象という。
− 基本事象の発生確率を定めることができる場合は,頂上事象の発生確率を計算することがある。有効
な定量化を行うためには,各ゲートに対する全ての入力が,出力事象を生み出すために必要かつ十分
であることを示すことができる必要がある。そうでない場合は,FT図は発生確率の分析には有効では
ないが,因果関係の表示には有用なツールとなる。
定量化の一環として,FT図は,重複する故障モードを取り除くために,ブール代数を用いて簡単化する
必要があることがある。
頂上事象の確率の推定を行うだけでなく,頂上事象までの独立した個々の経路を形成する最小カット集
合を抽出し,最小カット集合ごとの頂上事象への影響を計算できる。
簡単なFT図の場合を除けば,FT図の数箇所に反復事象があるときは,適切に計算を行い,最小カット
集合を求めるために,ソフトウェアパッケージが必要となる。ソフトウェアツールは,一貫性,正確性及
び検証可能性を確保する手助けとなる。
B.14.5 アウトプット
FTAのアウトプットは,次のとおりである。
− 二つ以上の事象が同時に発生する場合,それらが相互に影響し,どのように頂上事象が発生するかを
示す図式表示
− 最小カット集合(故障に至る独立した個別の経路)のリスト及び(データがある場合)それぞれが発
生する確率
− 頂上事象の発生確率
B.14.6 長所及び短所
長所の例を,次に示す。
− 高度に系統的であるが,同時に十分に柔軟で,人の干渉及び物理的現象を含めた,様々な要因の分析
が可能となる規律的なアプローチを提供する。
− この技法の暗黙的な“トップダウン”アプローチの適用で,頂上事象に直接関係する故障の影響に焦
点を絞れる。
− FTAは,多くのインタフェース及び相互作用をもつシステムの分析に特に有用である。
− 図式表示のためにシステム挙動及びそこに含まれる要因が簡単に理解できるが,ツリーが大きなもの
になることが多いので,FTAの処理にはコンピュータシステムが必要になることがある。この特徴は,
より複雑な論理的関係(例えば,NAND及びNOR)を含めることを可能にしているだけでなく,FTA
の検証を難しいものにもしている。
− FT図の論理的分析及びカット集合の特定は,頂上事象に至る事象の特定の組合せを見逃すおそれがあ
る極めて複雑なシステムにおいて,単純な故障経路を特定するのに有用である。
短所の例を,次に示す。
− 頂上事象の発生確率の計算には,基本事象の発生確率の不確かさが含まれている。このために,基本
事象の正確な故障確率が判明していない場合,高レベルの不確かさが発現する。ただし,広く知見の
得られたシステムでは,高度の確かさが見込まれる。
− 状況によっては,原因となる事象が結束されず,頂上事象に至る全ての重要な経路が含まれているか
否かを確かめることが難しくなる。例えば,火災の分析では,全ての発火源が頂上事象の原因に含ま
れる。この場合,発生確率の分析は不可能である。
43
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 優先ANDゲートなどの動的ゲートを用いない限り,FT図は静的モデルであり,時間への依存性が取
り上げられない。
− FT図が処理できるのは,二値的な状態(故障又は故障でない)だけである。
− 定性的なFT図には,ヒューマンエラーモードを含めることはできるが,ヒューマンエラーの特徴で
ある一般的な失敗の程度又は品質は容易には含めることはできない。
− FT図には,ドミノ効果又は条件付き故障を容易には含めることができない。
B.14.7 参考文書
JIS C 5750-4-4 ディペンダビリティ マネジメント−第4-4部:システム信頼性のための解析技法−故
障の木解析(FTA)
B.15 事象の木解析(Event tree analysis: ETA)
B.15.1 概要
ETAは,結果を緩和するために設計される様々なシステムの動作又は不動作に従って,起因事象に続く
事象の相互排他的順序を表す図式技法である(図B.3参照)。ETAは,定性的にも定量的にも適用できる。
図B.3−ET図の例
図B.3は,枝が完全に独立しているときのET図の例における簡単な計算を示している。
ETAは,木のように扇形に広げることによって,追加されるシステム,機能又は防壁を考慮しながら,
起因事象に対応して悪化又は緩和する事象を表すことができる。
B.15.2 用途
ETAは,起因事象に続く様々な事故シナリオを(リスクの観点から)モデル化し,計算し,順位付ける
ために使用できる。
ETAは,製品又はプロセスのライフサイクルのどの段階でも使用できる。定性的な使い方をして,可能
なシナリオ及び起因事象に続く一連の事象のブレーンストーミング,並びに望ましくない結果の緩和を目
発火
スプリンク
ラーシステ
ムの動作
起因事象
火災警報
の作動
結果
頻度
(/年)
警報があって
消火
7.9×10−3
はい
0.999
警報なしで
消火
7.9×10−6
いいえ
0.001
警報があって
火災を放置
8.0×10−5
はい
0.999
警報なしで
火災を放置
8.0×10−8
いいえ
0.001
はい
0.99
いいえ
0.01
2.0×10−3
火災なし
はい
0.8
いいえ
0.2
爆発
10−2/年
44
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
的とした様々な対応策,防壁又は管理策によって,結果がどのような影響を受けるかのブレーンストーミ
ングの手がかりにしてもよい。
定量的分析は,管理策の受容可能性の検討に役立つ。複数の防護策がある場合に,失敗のモデル作りに
使用することが最も多い。
ETAは,損失又は利益をもたらすことがある起因事象のモデル化に使用できる。ただし,利益を最大化
する経路を考える場合は,意思決定ツリーを用いてモデル化することのほうが多い。
B.15.3 インプット
インプットは,次のとおりである。
− 該当する起因事象のリスト
− 対応策,防壁及び管理策に関する情報,並びにその失敗確率(定量的分析の場合)
− 最初の失敗が拡大するときのプロセスの理解
B.15.4 プロセス
ET図は,起因事象の選択から開始する。これは粉じん(塵)爆発のようなインシデントのこともあれば,
電源故障のような原因事象のこともある。次に,結果の緩和用に設けられている機能又はシステムを順に
記載する。各機能又はシステムごとに,線を引いて,その成否を表す。各線には,専門家の判断,FTAな
どによって推定した条件付き確率を付けて,具体的な故障の発生確率を割り振ることができる。このよう
にして,起因事象からの様々な経路がモデル化される。
ET図に記載される確率は,条件付き確率であることに注意する。例えば,スプリンクラーの作動確率は,
通常の条件下で行う試験で得る確率ではなく,爆発によって発生した火災の条件下における作動確率であ
る。
ツリーの各経路は,その経路上の全ての事象が発生する確率を表す。したがって,結果の頻度は,様々
な事象が独立していれば,個々の条件付き確率と起因事象の頻度との積で表される。
B.15.5 アウトプット
ETAのアウトプットは,次のとおりである。
− 起因事象から様々な種類の問題(結果の変動範囲)を生起させる事象の組合せとしての,潜在的な問
題の定性的記述
− 事象の頻度又は確率の定量的推定値,並びに様々な故障の順序及び寄与事象の相対的重要度
− リスクを軽減するための推奨リスト
− 推奨の有効性の定量的評価
B.15.6 長所及び短所
長所の例を,次に示す。
− ETAは,起因事象に続く潜在的なシナリオを分析し,システム又は機能の成否の影響を明確な図で示
すことができる。
− FTAではモデル化することが煩雑な,タイミング,依存関係及びドミノ効果に対応できる。
− FTAでは動的ゲートを用いない限り表現できない事象の順序を図示できる。
短所の例を,次に示す。
− 総合的なアセスメントの一環としてETAを用いるためには,可能性のある全ての起因事象を特定する
必要がある。これには別の分析方法(HAZOPスタディーズ,PHAなど)を用いて行ってもよいが,
重要な起因事象を見落とすおそれが常にある。
− ET図ではシステムの成否状態しか扱わないので,遅延成功又は回復事象を組み込むことが難しい。
45
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− いかなる経路も,その経路に沿った手前の分岐点で発生した事象に条件付きである。したがって,可
能性のある経路に沿った多くの依存関係を扱う。ただし,共通のコンポーネント,ユーティリティシ
ステム及び運用担当者のように,取扱いに注意しなければ見落とされる依存関係があり,楽観的なリ
スク推定を行うおそれがある。
B.16 原因・結果解析
B.16.1 一般
原因・結果解析は,FTAとETAとを組み合わせたものである。決定的事象から始めて,発生する可能性
がある条件又は起因事象の結果を緩和するように設計したシステムの失敗を表す,はい/いいえ分岐ゲー
トの組合せによって結果を解析する。条件又は失敗の原因は,FTAによって解析する(B.14及びB.15参
照)。
B.16.2 用途
原因・結果解析は,本来,システムの失敗をより完全に理解するための安全最重視システム用の信頼度
ツールとして開発した解析技法である。ETAと同じように,決定的事象に至る故障論理を表す目的で使用
するが,順序依存形故障の解析を可能にすることによって,ETAに機能を追加する。原因・結果解析では,
ETAでは不可能な,時間の遅れを結果の解析に組み込むことが可能になる。
原因・結果解析は,特定のサブシステム(緊急対応システムなど)の挙動次第で決定的事象に続いてシ
ステムがたどる可能性のある様々な経路の分析に用いる。定量化することで,決定的事象発生後の,考え
られる様々な結果の発生確率の推定値が得られる。
原因・結果図の各順序は,下位のFT図の組合せであるため,原因・結果解析は,全体のFT図を作るた
めのツールとして使用できる。
原因・結果図は,作成も使用も複雑なため,可能性のある失敗の結果の程度が,集約的作業を行う正当
な理由になるときに用いる傾向がある。
B.16.3 インプット
システムの理解,並びに故障モード及び失敗のシナリオが必要である。
B.16.4 プロセス
図B.4に,典型的な原因・結果解析の概念図を示す。
46
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図B.4−原因・結果解析の概念図
原因・結果解析の手順を次に示す。
a) 決定的(又は起因)事象(FTAの頂上事象及びETAの起因事象と同じ)を特定する。
b) B.14で示す,起因事象の原因に関するFT図を作成し,その妥当性を確認する。通常のFTAと同じ記
号を使用する。
c) 条件を検討する順番を決める。これは,発生する時間順のような論理的順序であることが望ましい。
d) 条件の違いに応じて,結果の経路を設ける。これはET図と似ているが,経路の分かれ目は,そこに
当てはめる特定の条件を記入したボックスで示す。
e) 各条件ボックスの失敗が独立したものであれば,各結果の発生確率を計算できる。これは,条件ボッ
クスの各アウトプットに(適切な場合は,関連するFT図を用いて)発生確率を書き込むことによっ
て行う。特定の結果に至るある一つの順序の発生確率は,その特定の結果の終端となる条件の各順序
の発生確率を掛け合わせることによって得る。二つ以上の順序が同じ結果に帰着していれば,各順序
の発生確率を加算する。一つの順序の条件の諸失敗の間に依存関係(例えば,電源故障は,故障の幾
つかの条件の原因になることがある。)があれば,計算の前に依存関係を処理することが望ましい。
B.16.5 アウトプット
原因・結果解析のアウトプットは,どのようにしてシステムが故障するか,その原因と結果との両方を
示す図表である。可能性のある各結果の発生確率の推定値は,決定的事象に続く特定条件の発生確率の解
析に基づく。
B.16.6 長所及び短所
原因・結果解析の長所は,ETAとFTAとの利点を合わせたものである。さらに,時間の経過とともに進
展する事象の解析も可能なことから,両解析法の短所の幾つかを克服している。原因・結果解析は,シス
47
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
テムの全容を捉える。
短所は,FTA及びETAよりも,作成時及び定量化時の依存関係の処理方法が複雑なことである。
B.17 原因影響分析
B.17.1 概要
原因影響分析は,好ましくない事象又は問題について,考えられる原因を究明する構造化した方法であ
る。考えられる全ての仮説を検討できるように,影響する可能性のある要因を広義のカテゴリに整理する。
しかし,仮説は,実際の証拠及び仮説の経験的検証によってしか決められないので,それ自体が実際の原
因を示すわけではない。情報は,特性要因図(魚の骨線図又は石川線図ともいう。)又はしばしば樹形図に
まとめる(B.17.4参照)。
B.17.2 使用
原因影響分析は,ある影響の原因のリストの構造化した図表をもたらす。影響は,状況次第で,好まし
いもの(目標と合ったもの)もあれば,好ましくないもの(問題なもの)もある。
原因影響分析は,専門家のチームが作り出した,可能性のある全てのシナリオ及び原因を検討できるよ
うにするために使用し,経験的に,又は利用可能なデータの評価によって検証できる最も有力な原因に対
する合意を可能にする。考えられる原因の究明の幅を広げ,より正式に検討できる,可能性のある仮説を
確立するための分析の初期に最も有効である。
次のことを行う必要性があるとき,原因影響図を作成する。
− ある影響,問題及び条件に関する,考えられる根本原因及び基本的な理由の究明
− 特定のプロセスに影響する要因間の,幾つかの相互作用のよ(選)り分け及び関係付け
− 是正処置をとれるようにするための,既存の問題の分析
原因影響図を作成する効用には,次のものがある。
− レビュー構成員の注意を特定の問題に集中させる。
− 構造化アプローチを用いて問題の根本原因の究明を助ける。
− グループの参加を促し,製品又はプロセスに関するグループの知識を活用する。
− 原因と影響との関係を図示するために,整然とした,読み取りやすい形式を使用する。
− プロセス中の変化の考えられる原因を示す。
− 更なる調査を行うためにデータを集めるべき分野が明らかになる。
原因影響分析は,根本原因分析(RCA)(B.12参照)を進める方法として使用できる。
B.17.3 インプット
参加者の専門知識及び経験から得た情報,又は,以前に開発し,過去に使用したことがあるモデルから
の情報をインプットとする。
B.17.4 プロセス
原因影響分析は,解決する必要のある問題について知識のある専門家のチームによって実施することが
望ましい。
原因影響分析を実施する基本的な手順を次に示す。
− 分析する影響を決め,それをボックスに記入する。その影響は,状況次第で,好ましいもの(目標と
合ったもの)もあれば,好ましくないもの(問題なもの)もある。
− 特性要因図(魚の骨線図又は石川線図ともいう。)の中でボックスで表す,原因の主要なカテゴリを決
める。一般に,システムの問題であれば,カテゴリは,人,機器,環境,プロセスなどになる。ただ
48
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
し,カテゴリは,特定の状況に合致するように選ぶ。
− 主要なカテゴリ別に,考えられる原因を記入し,枝及び小枝を付けて,原因同士の関係を記述する。
− “なぜか”又は“その原因は何か”と問い続けて,原因をつなぎ合わせる。
− 全ての枝のレビューを行って,整合性及び完全性を検証し,原因が主要な影響につながっていること
を確実にする。
− チームの意見及び利用可能な証拠に基づいて,最も有力な原因を究明する。
結果は,通常,特性要因図又は樹形図のいずれかで示す。特性要因図は,原因を主要なカテゴリに分け
る(魚の背骨から枝分かれした線で表す。)ことによって構造化し,そのカテゴリの中のより具体的な原因
を記述する枝及び小枝が付く。特性要因図の概念図を図B.5に示す。
図B.5−特性要因図の概念図
原因影響分析の樹形図は,外観がFT図と似ているが,上から下に伸びていくのではなく,左から右に
伸びていくように作成することが多い。ただし,頂上事象の発生確率を算出するように,定量化すること
はできない。原因が,発生確率の判明している故障ではなく,可能性のある誘発要因だからである。原因
影響分析の樹形図の概念図を,図B.6に示す。
図B.6−原因影響分析の樹形図の概念図
原因影響図は,一般に定性的に使用する。問題の発生確率を1とすれば,まず包括的な原因に,次に下
位の原因に,それらの関連性に関する確信度に基づいて発生確率を付与すると考えることはできる。しか
49
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
し,誘発要因は相互に作用し合うことが多く,複雑に影響に作用するので,定量化は妥当ではない。
B.17.5 アウトプット
原因影響分析のアウトプットは,可能性のある有力な原因を示す特性要因図又は樹形図である。勧告を
行う前に,この図を検証し,実験的に試験する。
B.17.6 長所及び短所
長所の例を,次に示す。
− チーム環境で作業する適任の専門家の参加
− 構造化した分析
− 有力な全ての仮説の検討
− 分析結果が読み取りやすい図
− 更なるデータが必要な領域の特定
− 好ましい影響及び好ましくない影響の,誘発要因の究明に使用し,問題に積極的に集中することによ
る,リスク所有意識及び参加意識の増大
短所の例を,次に示す。
− チームが必要な専門知識をもっていないことがある。
− 原因影響分析自体が完全なプロセスではなく,勧告を作成するためにはRCAの一部とするほかない。
− 独立した分析技法というよりは,ブレーンストーミング用の表示技法である。
− 分析のはじめに原因の要因を主要なカテゴリに分けるために,カテゴリ間の相互作用が適切に検討さ
れないことがある。例えば,機器故障の原因がヒューマンエラーにある場合,又は貧弱な設計が原因
で人の問題が起こる場合である。
B.18 防護層解析(Layer of protection analysis: LOPA)
B.18.1 概要
LOPAは,好ましくない事象又はシナリオに付随するリスクの,半定量的算定方法である。リスクを抑
制又は緩和するための,十分な対策があるかどうかを解析する。
原因・結果の対を選択し,好ましくない結果をもたらす原因を防ぐ防護層を特定する。防護がリスクを
許容水準まで低減する上で適切かどうかを判定するために,大きさの等級計算を実施する。
B.18.2 用途
ハザード又は原因事象と,結果との間の防護層のレビューを行うだけであれば,LOPAを定性的に使用
してもよい。一般には,例えば,HAZOPスタディーズ又はPHAに続いて,選別のプロセスを厳格に行う
目的で,半定量的アプローチを採用する。
LOPAは,安全計装システムの安全度水準(safety integrity level: SIL,以下SILという。)要求事項を定
めるとき,計装システムの独立防護層(independent protection layers: IPL,以下IPLという。)及びSILの仕
様の根拠を提供する。SIL及びIPLについては,JIS C 0508規格群及びJIS C 0511規格群に示す。LOPA
は,各防護層によって生み出されるリスク低減度を解析することによって,リスク低減資源を有効に配分
するための手がかりとして使うことができる。
B.18.3 インプット
LOPAのインプットには,次を含む。
− PHAなどによって得たハザード,原因,及び結果を含むリスクに関する基本情報
− 既にある管理策又は管理策案に関する情報
50
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 原因事象の頻度,防護層失敗確率,結果の尺度,及び許容リスクの定義
− 起因事象の頻度,防護層失敗確率,結果の尺度,及び許容リスクの定義
B.18.4 プロセス
LOPAは,次の手順を行う専門家のチームによって実施する。
− 好ましくない結果の発端原因を突き止め,その頻度及び結果に関するデータを探す。
− 単一の原因・結果の対を選ぶ。
− 原因が好ましくない結果まで進行することを防ぐ防護層を明らかにし,その有効性について解析する。
− IPLを特定する(全ての防護層がIPLであるとは限らない。)。
− 各IPLの失敗確率を推定する。
− 発端原因の頻度と,各IPLの失敗確率及び条件付き変更因子(条件付き変更因子とは,例えば,人が
打撃を受ける場所に存在することがあるかどうか)の確率を合わせて,好ましくない結果の発生頻度
を求める。頻度及び確率には大きさの等級を用いる。
− 算出したリスクレベルをリスク許容レベルと比較して,更なる防護が必要かどうかを決める。
IPLとは,原因事象又は当該シナリオに関係する他の防護層の全てに独立して,そのシナリオが好まし
くない結果に進むことを阻止できる装置システム又は対策である。
IPLは,次を含む。
− 設計の特徴
− 物理的防護装置
− インターロック及びシャットダウンシステム
− 緊急警報及び手動介入
− 事象後の物理的防護
− 緊急対応システム(手順及び点検はIPLではない。)
B.18.5 アウトプット
更なる管理策の勧告,及び全ての管理策がリスクを低減する有効性についての勧告を提示する。
LOPAは,安全関連系及び/又は安全計装システムを取り扱うSILのアセスメントに用いる技法の一つ
である。
B.18.6 長所及び短所
長所の例を,次に示す。
− FTA又は完全に定量化したリスクアセスメントほど時間も資源もかからないが,定性的な主観的判断
よりも厳密である。
− 最も重要な防護層を明らかにし,そこに資源を集中するための手助けとなる。
− 安全防護が不十分な運転,システム及びプロセスが明らかとなる。
− 最も深刻な結果に焦点を当てる。
短所の例を,次に示す。
− LOPAが同時に扱えるのは,一つの原因・結果の対及び一つのシナリオだけである。リスク又は管理
策同士の間の複雑な相互作用は扱えない。
− 定量化したリスクは,共通モード故障に対応しないことがある。
− LOPAは,多数の原因・結果の対があるか,又は様々なステークホルダに影響を及ぼす多様な結果が
起こる,極めて複雑なシナリオには使えない。
B.18.7 参考文書
51
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
JIS C 0508規格群 電気・電子・プログラマブル電子安全関連系の機能安全
JIS C 0511規格群 機能安全−プロセス産業分野の安全計装システム
B.19 決定木解析
B.19.1 概要
決定木は,不確かな結果を考慮した,順番に置いた決定のための選択肢及び結果を表す。起因事象又は
最初の決定で始まり,発生することがある事象及び下すことがある様々な決定の結果としての,異なる経
路及び結果をモデル化する点でETAに似ている。
B.19.2 用途
決定木は,プロジェクトリスクの管理及びその他の状況で使用し,不確かさがある場合に最善の行動方
針の選択を手助けする。図表示は,決定理由の意思疎通も手助けできる。
B.19.3 インプット
決定点をもつプロジェクト計画。決定の考えられる結果及び決定に影響することがある偶発事象に関す
る情報。
B.19.4 プロセス
決定木は,例えば,プロジェクトBではなくプロジェクトAに進むという,最初の決定で始まる。仮定
上の二つのプロジェクトが進むと,異なる事象が発生し,異なる予測上の決定を下す必要が出てくる。こ
れらを,ETAと同じような樹形図で表す。事象の発生確率は,経路の最終結果のコスト又は効用と併せて
推定できる。
最善の決定経路に関する情報は,経路上の全ての条件付き確率の積及び結果値によって算出した最大の
期待値を提示する点で論理的である。
B.19.5 アウトプット
アウトプットには,次を含む。
− 選択する可能性のある,異なる選択肢をもつリスクの論理的分析
− 考えられる経路別の期待値の計算
B.19.6 長所及び短所
長所の例を,次に示す。
− 決定に関する問題の詳細の,明確な図表示が得られる。
− 状況に応じた最善の経路の計算が可能となる。
短所の例を,次に示す。
− 大きな決定木は,複雑すぎて簡単にほかの人に伝えられない。
− 樹形図として表現できるように,状況を単純化しすぎがちになる。
B.20 人間信頼性アセスメント(Human reliability assesment: HRA)
B.20.1 概要
HRAは,システム性能に及ぶ人の影響を取り扱い,システムに対するヒューマンエラーの影響の評価に
用いることができる。
多くのプロセスはヒューマンエラーの余地を残しており,特にオペレータが決定に利用できる時間が短
いときがそうである。問題が深刻になるまで進展する確率は小さいかもしれない。しかし,ときには人間
行動が,最初の故障が事故にまで進展することを防ぐ唯一の防御となることがある。
52
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
HRAの重要性は,致命的なヒューマンエラーが一連の壊滅的な事象を誘発した様々な事故が示している。
このような事故は,システムのハードウェア及びソフトウェアだけを中心にしたリスクアセスメントに対
する警告である。事故は,ヒューマンエラー要因の可能性を無視する危険性を物語っている。さらに,HRA
は,生産性の妨げとなるエラーを浮き彫りにし,これらのエラー及びその他の故障(ハードウェア及びソ
フトウェア)を,操作・運転要員及び保全要員によって“修復する”方法を明らかにすることに役立つ。
B.20.2 用途
HRAは,定性的にも定量的にも使用できる。定性的には,エラーの可能性及びその原因を突き止める目
的にこれを使用すれば,エラーの発生確率を下げることができる。定量的なHRAを使用すれば,ヒュー
マンエラーに関するデータをFTA又はその他の技法に提供できる。
B.20.3 インプット
HRAのインプットは,次を含む。
− 人が行うべきタスクを定義するための情報
− 実際に起こるエラーの種類及びエラーの可能性に関する経験
− ヒューマンエラーに関する専門知識及びその定量化
B.20.4 プロセス
HRAのプロセスを,図B.7及び次に示す。
− 問題の定義 調査及び評価の対象とする,人の関与の種類を定義する。
− タスク分析 タスクをどのように遂行するか,及び遂行能力を維持するためにどのような種類の支援
が必要かを分析する。
− ヒューマンエラー解析 どのようにタスク遂行能力が落ちるのか,どのようなエラーが発生すること
があるのか,及びどのようにすれば復旧できるのかを解析する。
− 表現方法 エラー又はタスク遂行能力の喪失を,他のハードウェア,ソフトウェア及び環境の事象と
統合し,システム全体の失敗確率を計算できるようにする。
− 選別 詳細な定量化を必要としないエラー又はタスクがある場合は,選別する。
− 定量化 個々のエラー及びタスクの失敗の起きやすさを定量化する。
− 影響度アセスメント どのエラー又はタスクが最も重要か,すなわち,信頼性又はリスクに最も関わ
り合っているものはどれかアセスメントする。
− エラーの低減 より高い人間信頼性を達成できる方法でエラーを低減する。
− 文書化 詳細に文書化する必要がある部分はHRAのどこかを考慮して文書化する。
HRAのプロセスは,実際にはステップごとに進むが,ときにはその一部(タスク分析及びエラーの究明)
を並行して進めることがある。
53
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図B.7−HRAのプロセス
B.20.5 アウトプット
アウトプットには,次を含む。
− 発生するかもしれないエラー及びそのエラーを低減できる方法(できればシステムの再設計による)
のリスト
− エラーモード,エラーの種類,原因及び結果
− エラーがもたらすリスクの定性的又は定量的アセスメント
B.20.6 長所及び短所
長所の例を,次に示す。
54
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− HRAは,人が重要な役割を果たすことの多いシステムに関係するリスクを検討するとき,ヒューマン
エラーを包含する形式の整った仕組みを提供する。
− ヒューマンエラーのモード及び発生の仕組みを形式に従って検討することによって,エラーに起因す
る失敗の発生確率の低減を支援できる。
短所の例を,次に示す。
− 人の複雑さ及び多様性のために,単純な失敗モード及び発生確率の定義が難しい。
− 人の多くの活動は,単純な合否モードになっていない。HRAは,部分的失敗若しくは品質上の失敗又
は貧弱な意思決定に対処することが難しい。
B.21 ちょう(蝶)ネクタイ分析
B.21.1 概要
ちょう(蝶)ネクタイ分析は,原因から結果までのリスクの経路を記述し,分析する簡易な図式方法で
ある。事象[ちょう(蝶)ネクタイの結び目で表す]の原因を分析するFTAの考え方と,結果を分析する
ETAとを組み合わせたものと見ることができる。ただし,ちょう(蝶)ネクタイ分析で重要なのは,原因
とリスクとの間,及びリスクと結果との間のバリアである。ちょう(蝶)ネクタイ図は,FT図及びET図
を起点に構成できるが,ブレーンストーミングで検討し,直接描くことのほうが多い。
B.21.2 用途
ちょう(蝶)ネクタイ分析は,様々な考えられる原因及び結果をもつリスクを示すために用いる。状況
から,完全なFTAの採用が正当なものにならないとき,又は各失敗経路にバリア若しくは管理策があるこ
とを確実にすることに重点を置くときに用いる。故障につながる,はっきりと独立した経路がある場合に
役立つ。
ちょう(蝶)ネクタイ分析は,しばしば,FT図及びET図よりも理解しやすいことが多く,したがって,
分析をより複雑な技法を用いて行う場合に役立つコミュニケーションツールとなり得る。
B.21.3 インプット
リスクの原因及び結果,並びにそれを防止,緩和又は誘発する,バリア及び管理策に関する情報をイン
プットとする。この分析を成功させるためには,インプットを十分に理解する必要がある。
B.21.4 プロセス
ちょう(蝶)ネクタイ図は,次のように作成する。
a) 分析用に一つのリスクを特定し,ちょう(蝶)ネクタイの中央の結び目として描く。
b) リスク源(又は安全面のハザード)を検討して,事象の原因を一覧表にする。
c) リスク源が決定的事象に至るメカニズムを明らかにする。
d) ちょう(蝶)ネクタイの左側を形成する各原因と事象とを線で結ぶ。事象進展につながるおそれのあ
る要因を特定し,図に記載する。
e) 好ましくない結果をもたらす各原因を防止するはずのバリアを,横線と交差する縦棒で表すことがで
きる。事象進展の原因となる要因がある場合は,事象進展のバリアを描くこともできる。縦棒が事象
の生成を誘発する“管理策”を表している場合,このアプローチは好ましい結果に使用できる。
f)
ちょう(蝶)ネクタイの右側には,可能性のある,リスクの異なる結果を示し,リスク事象から,可
能性のある各結果に放射状に広がるように線を引く。
g) 結果のバリアは,放射状の線と交差する棒として描く。縦棒が結果の生成を支援する“管理策”を表
している場合,このアプローチは,好ましい結果に使用できる。
55
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
h) 管理策(トレーニング,検査など)を支援するマネジメント機能は,ちょう(蝶)ネクタイの下に示
し,それぞれの管理策と結びつけることができる。
経路が独立しており,ある結果又は成果の発生確率が判明していて,管理策の有効性に関する数値が推
定できる場合は,ちょう(蝶)ネクタイ図のある程度の定量化が可能である。しかし,多くの状況では,
経路及びバリアが独立しておらず,また,管理策は手順となることがあるので,有効性がはっきりしない。
定量化は,FTA及びETAを用いて行うほうがよいことが多い。
B.21.5 アウトプット
アウトプットは,主なリスク経路,並びに好ましくない結果の防止若しくは緩和,又は好ましい結果の
誘発及び促進のために設けたバリアを示す簡単な図となる。ちょう(蝶)ネクタイ図の概念図を,図B.8
に示す。
図B.8−好ましくない結果に関するちょう(蝶)ネクタイ図の概念図
B.21.6 長所及び短所
長所の例を,次に示す。
− 単純で理解しやすく,問題を明快に図表示できる。
− 防止及び緩和用に導入する予定の管理策,並びにその有効性に注意を喚起する。
− 好ましい結果についても使用できる。
− 使用するために高度の専門知識が必要ない。
短所の例を,次に示す。
− 複数の原因が同時に発生して結果を引き起こすような場合[すなわち,ちょう(蝶)ネクタイの左側
に当たるFT図で,ANDゲートが複数ある場合]を図示することができない。
− 特に,定量化を試みる場合には,複雑な状況を簡略化しすぎることがある。
B.22 信頼性重視保全(Reliability centred maintenance: RCM)
B.22.1 概要
RCMは,あらゆる種類の機器に要求する,運転の安全性,アベイラビリティ及び経済性を効率的かつ効
56
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
果的に達成するように,故障の管理において実現するとよい方針を明らかにする方法である。
RCMは,現在,幅広い様々な産業界が用いる実証済みの方法である。
RCMは,特定可能な故障が安全性,経済性及び運用にもたらす結果に従った,機器に適用可能で有効な
予防保全要求事項,並びにその故障の原因となる劣化機構を特定するための決定プロセスを提供する。こ
のプロセスを通じた作業の最終結果は,保全作業の実施又は運用の変更のような他の対策の必要性に関す
る決定である。IEC 60300-3-11は,RCMの使い方及び適用に関する詳細を提供する。
B.22.2 用途
全ての作業は,運用上又は経済性の問題に基づき,かつ,要員及び環境に関しては安全性にも基づく。
ただし,基づく基準は,製品の性質及び適用によって異なることに留意することが望ましい。例えば,生
産プロセスは経済的に成り立つ必要があり,環境に関する厳しい条件にも配慮しなければならないことが
あるのに対して,防衛用のアイテムは,作戦上で役立つことが望ましいが安全性,経済性及び環境の厳重
な基準はない場合がある。故障が安全性,経済性又は運用上で深刻な影響を及ぼすところに分析の目標を
置くことによって,最も大きな効用を達成できる。
RCMは,適用可能で有効な保全の実施を確実にするために,一般に設計及び開発ステップで適用し,運
用及び保全の期間に実施する。
B.22.3 インプット
RCMのインプットは,機器及び構成,運用環境及び関連するシステム,サブシステム並びに機器のアイ
テムと併せて,考えられる故障及びその故障の結果を含む。RCMを適用して成功させるためには,インプ
ットを十分に理解する必要がある。
B.22.4 プロセス
RCMプログラムの基本ステップを,次に示す。
− 開始及び計画
− 機能失敗の分析
− タスクの選択
− 実施
− 継続的改善
RCMは,リスクアセスメントの基本ステップを踏むことから,リスクに基づいた技法といえる。FMECA
と同じ種類のリスクアセスメント技法であるが,RCMでは分析のための特別のアプローチが必要となる。
リスク特定では,考えられる故障を,保全作業の実施によって,除去並びに頻度及び/又は結果を低減
できる状況に着目する。リスク特定を実行するためには,必要な機能及び性能の規格,並びに機器及びコ
ンポーネントの機能を損なう故障を特定する。
リスク分析は,保全を行わないときの各故障の頻度の推定から成る。結果は,故障影響を定義すること
によって定める。故障頻度及び結果を組み合わせたリスクマトリックスによって,リスクレベルのカテゴ
リを定める。
次に,各故障モードに適切な故障マネジメント方針を選択して,リスク評価を実施する。
将来,参照及びレビューするために,RCMプロセス全体を広範に文書化する。故障及び保全関連データ
の収集によって,結果のモニタリング及び改善の実施が可能となる。
B.22.5 アウトプット
RCMのアウトプットは,状態モニタリング,計画的修復,計画的交換,故障発見,事後の修理などの,
保全作業に関する情報である。分析の結果によって考えられるその他の活動には,再設計,運用手順又は
57
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
保全手順の変更,訓練の追加などがある。これらによって,作業間隔及び必要な資源が明らかになる。
B.22.6 参考文書
IEC 60300-3-11,Dependability management−Part 3-11: Aplication guide−Reliability centred maintenance
B.23 スニーク解析(Sneak analysis: SA)及びスニーク回路解析(Sneak circuit analysis: SCA)
B.23.1 概要
SAは,設計エラーを発見するための方法である。スニーク状態とは,ハードウェア,ソフトウェア又
はこれらの組合せが,コンポーネント故障では発生しない,好ましくない事象を発生する又は好ましい事
象の発生を阻害する潜在的な状態のことである。この状態は,偶発性があり,最も厳格な標準のシステム
試験でも発見できない特徴をもつ。スニーク状態は,不適正な動作,システムのアベイラビリティの損失,
プログラムの遅延,又は要員の死傷の原因となることがある。
B.23.2 用途
SCAは,1960年代末にNASAが設計の完全性及び機能性の検証のために開発した。電気回路の想定外
の経路を発見するための有用なツールとなり,各機能を分離するための解決法の考案を支援した。しかし,
技術が発展するにつれて,SCAのためのツールも進化しなければならなかった。SAの範囲は,SCAも含
み,更に広い。SAは,どのような技術を使用しているハードウェア及びソフトウェアでも,いずれの問
題も究明できる。SAツールは,FTA,FMEA,信頼性推定などのような幾つかの解析法を一つに統合して,
時間及びプロジェクト経費を節約できる。
B.23.3 インプット
SAは,様々なツール(ネットワークツリー,ネットワークツリー群,及び分析者によるスニーク状態
の発見を支援する手がかり又は質問)を使って特定の種類の問題を発見する点で,設計プロセスの中で独
特である。ネットワークツリー及びネットワークツリー群とは,実際のシステム上のネットワークトポロ
ジーの分類である。各ネットワークツリーは,下位の機能を表し,下位の機能のアウトプットに影響する
ことがある全てのインプットを示す。システムの特定のアウトプットに寄与するネットワークツリーを組
合せて構成したものがネットワークツリー群である。適切なネットワークツリー群は,システムのアウト
プットを,関連する全てのインプットによって示す。これらは,解析のためのインプットになる。
B.23.4 プロセス
SAを実施する基本ステップの構成を,次に示す。
− データの準備
− ネットワークツリーの作成
− ネットワーク経路の評価
− 最終勧告及び報告書の作成
B.23.5 アウトプット
SAのアウトプットは,SCAのインプットである。スニーク回路は,システム内の予期しない経路又は
論理フローであり,一定の条件下で,望ましくない機能を始動したり,又は必要な機能を阻害したりする
ことがある。経路は,ハードウェア,ソフトウェア,オペレータの動作,又はこれらの要素の組合せから
なる。スニーク回路は,ハードウェア故障の結果ではなく,意図せずシステムに設計したり,ソフトウェ
アプログラムにコーディングしたり,又はヒューマンエラーがきっかけとなって発生する,潜在的な条件
である。スニーク回路には,次の四つの部類がある。
a) スニーク経路:電流,エネルギー又は論理シーケンスが意図しない方向に流れる予期しない経路
58
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
b) スニークタイミング:予期しないシーケンス又はシーケンスの衝突で発生する事象
c) スニーク表示:システム又はオペレータが好ましくない行動をとる原因となる,システムの運転状態
の曖昧な,又は誤った表示
d) スニークラベル:システム機能の誤った又は不正確なラベル。例えば,オペレータがシステムに誤っ
た指示を出す原因となるような,システムの入力,制御,表示バスの名称
B.23.6 長所及び短所
長所の例を,次に示す。
− SAは,設計エラーの発見に適している。
− HAZOPスタディーズと併用したとき,最善の働きをする。
− バッチプラント及び半バッチプラントのような,複数の状態をもつシステムを扱う場合に極めて適し
ている。
短所の例を,次に示す。
− 電気回路,プロセス産業のプラント,機械機器又はソフトウェアのどれに適用するかによって,解析
のプロセスがやや異なる。
− 正確なネットワークツリーの作成が必要となる。
B.24 マルコフ解析
B.24.1 概要
マルコフ解析は,システムの将来の状態がシステムの現在の状態だけに依存している場合に使用する。
一般に,複数の状態で存在することができ,信頼性ブロック解析がシステムの適正な解析に適さない場合
の,修理系の解析に使用する。この方法は,高次のマルコフプロセスを採用することによって,より複雑
なシステムに拡張でき,モデル,数値計算及び前提による制限がある。
マルコフ解析プロセスは,定量的技法であり,離散的(状態間の変化の確率を使用)にも連続的(状態
の変化率を使用)にもなる。
マルコフ解析は手計算でも実施できるが,この技法の性質上,コンピュータプログラムの使用に向いて
おり,市販ソフトウェアも多数ある。
B.24.2 用途
マルコフ解析技法は,修理の有無に関係なく,次のような様々なシステム構成に使用できる。
− 並列の独立コンポーネント
− 直列の独立コンポーネント
− 負荷分担システム
− 待機系(スイッチング故障が発生することのある場合を含む)
− 劣化するシステム
マルコフ解析技法は,修理用の予備コンポーネントを考慮することを含めて,アベイラビリティの計算
にも使用できる。
B.24.3 インプット
マルコフ解析に必須のインプットを,次に示す。
− システム,サブシステム又はコンポーネントがとり得る様々な状態[例えば,完全に運転可能な状態,
部分的な運転(いわゆる劣化状態),故障状態,その他]のリスト。
− モデル作成に必要な,考えられる遷移の明確な理解。例えば,車のタイヤの故障には,スペアタイヤ
59
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
の状態,すなわちスペアタイヤの点検の頻度を考慮する必要がある。
− ある状態から別の状態への変化率。一般に,離散的事象では状態間の変化の確率,連続的事象では故
障率(λ)及び/又は修理率(μ)で表す。
B.24.4 プロセス
マルコフ解析技法は,例えば,“利用可能な”,“故障している”といった“状態”の概念,及び一定の変
化の確率に基づいた,二つの状態間の経時的な遷移を中心に展開する。様々なアウトプットの計算が可能
となるように,確率論的な遷移確率マトリックスを用いて,各状態間の遷移を記述する。
マルコフ解析技法を説明するために,三つの状態だけをとる複雑なシステムを考える。三つの状態とは,
機能可能状態,劣化状態,故障している状態であり,順に状態S1,S2,S3とする。いずれの日も,シス
テムは,三つのうちの一つの状態で存在する。表B.2は,明日,システムがSi(iは1,2又は3)の状態
にある確率を示す。
表B.2−マルコフマトリックス
今日の状態
S1
S2
S3
明日の状態
S1
0.95
0.3
0.2
S2
0.04
0.65
0.6
S3
0.01
0.05
0.2
この確率の配列を,マルコフマトリックス又は遷移マトリックスと呼ぶ。各列の合計は,各ケースにつ
いて考えられる結果の合計であるため,1になることに注意する。システムは,マルコフ図で表すことも
できる(図B.9参照)。円は状態を表し,確率を付記した矢印は遷移を表す。
図B.9−システムのマルコフ図の例
通常,ある状態からそれと同じ状態に向かう矢印は表示しないが,この例では完全なものにするために
表示している。
システムが状態I (i=1, 2, 3)にある確率をPiとすると,次の連立方程式で表すことができる。
3
P
20
.0
2
P
30
.0
1
P
95
.0
1
P
+
+
=
····················································· (B.1)
3
P
60
.0
2
P
65
.0
1
P
04
.0
2
P
+
+
=
····················································· (B.2)
3
P
20
.0
2
P
05
.0
1
P
01
.0
3
P
+
+
=
····················································· (B.3)
これら三つの式は独立していないので,三つの未知数を解けない。次の式(B.4)を用いて,上記の式の一
つを無視する。
60
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
3
P
2
P
1
P
1
+
+
=
······································································· (B.4)
解は,状態1が0.85,状態2が0.13,状態3が0.02である。システムは,85 %の時間は完全に機能し,
13 %は劣化状態にあり,2 %は故障している状態にある。
並列で動作する二つのアイテムを考える。システムが機能するためには,いずれかが動作する必要があ
る。アイテムは,動作可能状態又は故障している状態のいずれかしかなく,システムのアベイラビリティ
は,アイテムの状態に依存する。
状態は,次のように考えることができる。
状態1 両アイテムとも正常に機能可能である。
状態2 一方のアイテムは故障している状態で修理中,他方は機能可能状態である。
状態3 両アイテムとも故障している状態で,一方は修理中である。
各アイテムの連続的な故障率をλとし,修復率をμとしたときの状態遷移を図B.10に示す。
図B.10−状態遷移図の例
二つのアイテムのいずれかの故障は,システムを状態2に遷移させるので,状態1から状態2への遷移
は,2λとなることに注意する。
時刻tで初期状態iにある確率をPi (t)とする。
時刻t+δtで最終状態にある確率をPi (t+δt)とする。
遷移確率マトリックスは,表B.3のようになる。
表B.3−最終マルコフマトリックス
初期状態
P1(t)
P2(t)
P3(t)
最終状態
P1(t+δt)
−2λ
μ
0
P2(t+δt)
2λ
−(λ+μ)
μ
P3(t+δt)
0
λ
−μ
状態1から状態3,又は状態3から状態1への移行が不可能なとき,値は0になることに注意する。ま
た,率を指定するとき,列の合計は0になる。
連立方程式は,次のようになる。
()
()t
t
t
2
μP
1
P
2
d
1
dP
+
−
=
λ
····························································· (B.5)
()
(
)()
[
]
()t
t
t
t
3
μP
2
P
μ
1
P
2
d
2
dP
+
+
−
+
=
λ
λ
·········································· (B.6)
()
()
[
]
t
t
t
3
μP
2
P
d
3
dP
−
+
=λ
···························································· (B.7)
61
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
簡略化するために,必要なアベイラビリティは,定常アベイラビリティであると仮定する。
δtが無限大に近づくと,dPi/dtは限りなく0に近くなり,式は解きやすくなる。加えて,式(B.4)も使用
することが望ましい。
ここで,アベイラビリティA(t)をA(t)=P1(t)+P2(t)と表すと,定常状態では,
2
P
1
P
A
+
=
したがって,
2
2
2
2
μ
2
μ
μ
2
μ
A
λ
λ
λ
+
+
+
=
B.24.5 アウトプット
マルコフ解析からのアウトプットは,様々な状態における様々な確率であり,したがって,それらはシ
ステムの必須の特性値である,故障の発生確率及び/又はアベイラビリティの推定値となる。
B.24.6 長所及び短所
長所の例を,次に示す。
− 修理能力及び複数の劣化状態のあるシステムの確率を計算できる。
短所の例を,次に示す。
− 状態(故障しているか又は修理中のどちらか)の変化の確率が一定であることを前提としている。
− 将来の状態は,直前の状態を除いて,全ての過去の状態から独立しているため,全ての事象は統計的
に独立している。
− 状態の変化の全ての確率の知識が必要になる。
− マトリックスを使用するための知識が必要になる。
− 専門家以外の人に結果を伝えることが難しい。
B.24.7 比較
マルコフ解析は,システム状態のモニタリング及び観察ができる点でペトリネット解析に似ているが,
ペトリネットは同時に複数の状態でも存在できる点が異なる。
B.24.8 参考文書
IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods
IEC 61165,Application of Markov techniques
ISO/IEC 15909 (all parts),Software and systems engineering−High-level Petri nets
B.25 モンテカルロシミュレーション
B.25.1 概要
多くのシステムは,非常に複雑であるため,解析的技法を用いて不確かさの影響をモデル化することが
できないが,インプットを無作為の変数とみなし,インプットのサンプリングによってN回の計算(いわ
ゆるシミュレーション)を実行し,N個の出力を得ることによって,不確かさの影響を評価できる。
この技法は,解析的技法では解くことが極めて難しい複雑な状況を取り扱うことができる。この技法を
実行するためのシステムは,スプレッドシート(表計算ソフト)及びその他の従来型のツールを用いて開
発できる。しかし,今では,より複雑な要求事項に対応するより高度なツールが簡単に手に入り,その多
くが比較的安価である。この技法が開発された当初は,モンテカルロシミュレーションに必要な計算回数
のため,処理に長時間を必要としたが,コンピュータの進歩とラテン・ハイパーキューブサンプリングの
ような理論の発展とで,処理時間の長さは多くの用途で大きな問題ではなくなっている。
62
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.25.2 用途
モンテカルロシミュレーションは,様々な状況でシステムへの不確かさの影響を評価する手段となる。
一般に,考え得る結果の値の範囲の評価,並びにコスト,所要時間,スループット,需要のようなシステ
ムの定量的尺度及び類似の尺度に関して,その範囲の値の相対的頻度の評価に用いる。モンテカルロシミ
ュレーションは,異なる次の二つの目的に使用できる。
− 従来の解析的モデルにおける不確かさの伝ぱ(播)
− 解析的技法を用いることができないときの発生確率計算
B.25.3 インプット
モンテカルロシミュレーションへのインプットは,システムモデルであり,また,インプットの種類,
表示される不確かさの原因及び要求されるアウトプットに関する情報である。不確かさのあるインプット
データは,その不確かさの程度に応じて,大小に広がる分布をもつ確率変数として表される。この目的に
は,一様分布,三角分布,正規分布及び対数正規分布を使用することが多い。
B.25.4 プロセス
手順は,次のとおりである。
a) 対象となるシステムの挙動にできる限り近い挙動を示す,モデル又はアルゴリズムを定義する。
b) 乱数を用いて,モデルによる計算を複数回実行し,モデルのアウトプットを生成する(システムのシ
ミュレーション)。不確かさの影響をモデル化するために利用する場合,モデルはインプットパラメタ
とアウトプットとの関係を規定する式の形となる。インプットとする値は,これらの変数の不確かさ
の性質を表すことができる適切な確率分布から取り出す。
c) いずれにせよ,コンピュータでモデル計算を複数回(10 000回までのことが多い)インプットを変え
て実行し,複数のアウトプットを生成する。このアウトプットを通常の統計的技法で処理することに
よって,平均値,標準偏差,信頼区間などの情報が得られる。
次に,シミュレーションの例を示す。
並列動作する二つのアイテムを取り上げる。システムが機能するには,一つだけ機能していればよい。
第一アイテムの信頼度は0.9,もう一つは0.8である。
表B.4のようになった,スプレッドシートを構築できる。
表B.4−モンテカルロシミュレーションの例
アイテム1
アイテム2
シミュレー
ション番号
乱数
機能するか
乱数
機能するか
システム
1
0.577 243
はい
0.059 355
はい
1
2
0.746 909
はい
0.311 324
はい
1
3
0.541 728
はい
0.919 765
いいえ
1
4
0.423 274
はい
0.643 514
はい
1
5
0.917 776
いいえ
0.539 349
はい
1
6
0.994 043
いいえ
0.972 506
いいえ
0
7
0.082 574
はい
0.950 241
いいえ
1
8
0.661 418
はい
0.919 868
いいえ
1
9
0.213 376
はい
0.367 555
はい
1
10
0.565 657
はい
0.119 215
はい
1
0から1までの間の数値を生成する乱数発生器を用いて,各アイテムの動作確率を比較し,システムが
63
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
動作しているかどうかを判定する。10回実行しただけでは,0.9という結果を正確な結果と期待しないほ
うがよい。通常のアプローチは,シミュレーション処理の結果を要求される精度と比較するための比較機
能を計算機に組み込む。この例では,0.979 9という結果が20 000回のシミュレーション後に得られた。
上記のモデルは,様々な方法で拡張できる。例を次に示す。
− モデルそのものを拡張する(一方のアイテムが故障したときに,もう一方のアイテムが即座に動作す
るとみなすなど)。
− 発生確率を正確に定義することができないときは,固定した値ではなく可変の発生確率(良い例は三
角分布)とする。
− 故障率と乱数とを使って故障の発生時刻(指数分布,ワイブル分布又はその他の適切な分布)を導き
出し,修理時間を組み入れる。
用途としては,特に,財務予測,投資成果,プロジェクトコスト及びスケジュール予測,ビジネスプロ
セスの中断,並びにスタッフ配置要求の不確かさの評価を含む。
インプットデータの不確かさによってアウトプットの不確かさが生じる場合には,解析的技法では不確
かさの影響に関する適切な結果を出すことができない。
B.25.5 アウトプット
アウトプットは,上記の例で求められたような一つの値となること,発生確率若しくは頻度分布として
表される結果になること,又はアウトプットに最も大きな影響を及ぼすモデル内の主要機能の特定となる
ことがあり得る。
一般に,モンテカルロシミュレーションは,発生する可能性のある結果の全分布,又は,次のような分
布の主要尺度の評価に用いる。
− 定義された結果の発生確率
− 問題の当事者が一定の信頼度をもち,その信頼度を超えないか,又は超えることになる結果の値,例
えば,超える見込みが10 %未満となるコスト,又は80 %を超えることが確実な期間
インプットとアウトプットとの関係の分析によって,システム上の要因の相対的重要度を明らかにし,
結果の不確かさに影響する有益な取組み目標を特定できる。
B.25.6 長所及び短所
長所の例を,次に示す。
− この方法は,原則的に,関連システムの観測から導き出される経験的分布を含め,任意の分布をイン
プット変数に適用できる。
− モデルは比較的簡単に構築でき,必要に応じて拡張できる。
− 条件付き依存関係のような僅かな作用を含めて,現実に発生する影響又は関係を表すことができる。
− 感度分析を適用して,強い影響及び弱い影響を明らかにできる。
− インプットとアウトプットとの関係が分かりやすいため,モデルの理解が容易である。
− モンテカルロシミュレーションを極めて効率化することが可能と判明しているペトリネット(将来の
IEC 62551)のような,効率的挙動モデルが利用できる。
− 結果の精度の尺度が得られる。
− 利用可能なソフトウェアがあり,比較的安価である。
短所の例を,次に示す。
− 解の正確さは,実施するシミュレーションの回数に左右される(コンピュータの処理速度の向上によ
って,この短所はそれほど重要ではなくなりつつある。)。
64
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 妥当な分布によってパラメタの不確かさを表すことができるか否かに左右される。
− 大きく複雑なモデルはモデル化が困難で,ステークホルダがこのプロセスに対応することは難しい。
− この技法は重大な結果で低い発生確率の事象を正しく見積もれないことがあるため,分析時に,組織
のリスク選好が反映されなくなる。
B.25.7 参考文書
IEC 61649,Weibull analysis
IEC 62551,Analysis techniques for dependability−Petri net techniques 1)
ISO/IEC Guide 98-3:2008,Uncertainty of measurement−Part 3: Guide to the expression of uncertainty in
measurement (GUM:1995)
注1) 現在検討中。
B.26 ベイズ統計及びベイズネット
B.26.1 概要
ベイズ統計は,レバレンド・トーマス・ベイズに由来する。その前提は,既知の情報(事前分布)をそ
の後の測定(事後分布)と組み合わせれば,発生確率を設定できるというものである。ベイズ定理の一般
式は,次のように表すことができる。
(
)
()(
)
(
)()
∑
=
i
i
i
E
E
B
A
B
A
B
A
P
|
P
|
P
P
|
P
ここに,
P(X): Xの発生確率
P(X|Y): Yが発生した条件でのXの発生確率
Ei: i番目の事象
この式は,最も簡易な形では,次のように表すことができる。
(
)
()(
)
()
B
A
B
A
B
A
P
|
P
P
|
P
=
ベイズ統計は,全ての分布パラメタが固定しておらず,パラメタは確率変数であるとする前提の点で古
典的統計と異なっている。ベイズ確率は,客観的証拠を論拠とする古典的確率と異なり,ある事象につい
て人が信ずる度合いと考えると容易に理解できる。ベイズ的アプローチは確率の主観的解釈を論拠にして
いるので,決定思考及びベイズネット(確信度ネット,確信度ネットワーク又はベイズネットワーク)の
開発に使用できる。
ベイズネットは,グラフモデルを使用して変数の集合及びその確率論的関係を表す。ネットワークは,
確率変数を表すノードと,親ノードと子ノードとをつなぐ矢印とで構成される[親ノードが別の(子)変
数に直接影響する変数である場合]。
B.26.2 用途
近年,ベイズ理論及びベイズネットの使用がある程度広まってきたのは,直感的に分かりやすいこと,
及びソフトウェア計算ツールが利用できるようになったためでもある。ベイズネットは,医学的診断,画
像のモデル化,遺伝子学,音声認識,経済,宇宙探査などの多様な分野,及び今日の強力なweb検索エン
ジンで使用されている。構造的関係及びデータの利用によって,未知の変数を発見する必要のあるあらゆ
る分野で,ベイズネットは貴重なものとなる。ベイズネットを因果関係の学習に使用して,問題の領域を
理解し,介入の結果を予測できる。
65
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.26.3 インプット
インプットは,モンテカルロシミュレーションの場合と似ている。ベイズネットが踏襲するステップの
例を,次に示す。
− システム変数の定義
− 変数間の因果関係の定義
− 条件確率及び事前確率の指定
− 観測値をネットに追加
− 確信度更新の実施
− 事後確信度の抽出
B.26.4 プロセス
ベイズ理論は,多種多様な方法で適用できる。例として,臨床検査によって患者の病気を判定する場合
のベイズ表の作成に関して取り上げる。検査を行う前の確信度は,集団の99 %が病気でなく,1 %が病気
であるというものである。これが事前情報である。精密検査によって,人が病気と思われていれば,検査
結果はその時点で98 %が陽性であることを示した。病気でないと思われていれば,検査結果がその時点で
10 %が陽性である確率を示した。ベイズ表を表B.5に示す。
表B.5−ベイズ表データ
事前分布
確率
積
事後分布
病気
0.01
0.98
0.009 8
0.090 1
病気でない
0.99
0.10
0.099 0
0.909 9
合計
1
−
0.108 8
1
ベイズ則に従い,積は事前分布と確率とを組み合わせて求める。事後分布は,積の値を積の合計で除す
ことよって求める。アウトプットは,陽性の検査結果によって,病気と思われる人の事前分布が1 %から
9 %に増加したことを示している。さらに重要なことは,検査結果が陽性でも,病気ではないとみなして
しまう結果が大きいことである。式(0.01×0.98)/[(0.01×0.98)+(0.99×0.1)]を調べると,“事前に病気でない
とみなしたが陽性結果であった”値が事後分布で大きな値を示していることが分かる。
次の図B.11に示すベイズネットを検討する。
図B.11−サンプルベイズネット
事前確率を表B.6,並びに条件付き事前確率を表B.7及び表B.8のように定義して,Yが陽性,Nが陰性
という表記を用いると,陽性は前述のように“病気である”を意味する。すなわち,Yは大きな値となり,
Nは小さな値となる。
66
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表B.6−ノードA及びノードBの事前確率
P(A=Y)
P(A=N)
P(B=Y)
P(B=N)
0.9
0.1
0.6
0.4
表B.7−定義されたノードA及びノードBをもつノードCの条件付き事前確率
A
B
P(C=Y)
P(C=N)
Y
Y
0.5
0.5
Y
N
0.9
0.1
N
Y
0.2
0.8
N
N
0.7
0.3
表B.8−定義されたノードA及びノードCをもつノードDの条件付き事前確率
A
C
P(D=Y)
P(D=N)
Y
Y
0.6
0.4
Y
N
1.0
0.0
N
Y
0.2
0.8
N
N
0.6
0.4
P(A|D=N, C=Y)の事後確率を求めるためには,最初にP(A, B|D=N, C=Y)を計算する必要がある。
ベイズ則に従って,値P (D|A, C) P (C|A, B) P (A) P (B)を求める(表B.9参照)。この表の最後の列は,前
の例で導出したように,合計が1となる正規化確率を示している(結果は丸めてある。)。
表B.9−定義されたノードD及びノードCをもつノードA及びノードBの事後確率
A
B
P (D|A, C) P (C|A, B) P (A) P (B)
P (A, B|D=N, C=Y)
Y
Y
0.4×0.5×0.9×0.6=0.110
0.4
Y
N
0.4×0.9×0.9×0.4=0.130
0.48
N
Y
0.8×0.2×0.1×0.6=0.010
0.04
N
N
0.8×0.7×0.1×0.4=0.022
0.08
P(A|D=N, C=Y)を得るためには,Bの全ての値を合計する必要がある。
表B.10−定義されたノードD及びノードCをもつノードAの事後確率
P(A=Y|D=N, C=Y)
P(A=N|D=N, C=Y)
0.88
0.12
表B.10は,P(A=N)の事前確率0.1(表B.6参照)が事後確率0.12に増加したことを示しているが,変
化はごく僅かである。他方,P(B=N|D=N, C=Y)は0.4(表B.6参照)から0.56(表B.9参照)に変化し,
この変化はかなり大きい。
B.26.5 アウトプット
ベイズアプローチは古典的統計と同じ範囲に適用することができ,点推定量及び信頼区間を導き出すた
めのデータ分析など,アウトプットの範囲は広い。近年,一般にみられるのは,ベイズネットに関連付け
て事後分布を導き出すことである。アウトプットが図式表現であるため,モデルは理解しやすく,データ
はパラメタの相関及び感度を考慮するように簡単に修正できる。
B.26.6 長所及び短所
長所の例を,次に示す。
67
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 必要なのは事前分布に関する知識だけである。
− 推論記述は理解しやすい。
− ベイズ則が必要なものの全てである。
− 課題における主観的な確信度を使用する仕組みが得られる。
短所の例を,次に示す。
− 複雑なシステムを対象として,ベイズネットの全ての相互作用を定義することは,問題がある。
− ベイズ的アプローチは多くの条件付き確率の知識が必要であり,この確率は一般に,専門家の判断に
よって提供される。ソフトウェアは,これらの前提に基づく答えを出すことができるだけである。
B.27 FN曲線
B.27.1 概要
FN曲線は,指定されたレベルの危害を指定の母集団に引き起こす事象の発生確率を図に表したもので
ある。所定の数の死傷者が出る頻度を指すことが最も多い。
FN曲線は,母集団のN人以上の構成員が影響を受ける累積頻度(F)を示す。高い頻度Fで発生するN
の値が高ければ,社会的にも政治的にも許容できないので,重大な問題である。
B.27.2 用途
FN曲線は,リスク分析のアウトプットを表現する一方法である。事象の多くは,結果の重篤度が低い
が発生確率は高いか,又は結果の重篤度が高いが発生確率は小さいかのいずれかである。FN曲線が表す
リスクレベルは,結果と発生確率との対を表す一点ではなく,範囲を示す直線となる。
FN曲線は,リスクの比較に用いてよい。例えば,予想されるリスクとFN曲線として定義される基準と
の比較,又は予想されるリスクとインシデントの履歴若しくは判定基準(FN曲線で表すこともある。)と
の比較に用いてよい。
FN曲線は,システム若しくはプロセス設計,又は既存のシステムのマネジメントのいずれかに使用で
きる。
B.27.3 インプット
インプットは,次のいずれかである。
− 所定の期間にわたる発生確率と結果との対の集合
− 指定された数の死傷者に関する推定発生確率を示す,定量的リスク分析のデータのアウトプット
− 履歴と定量的リスク分析との両方のデータ
B.27.4 プロセス
死傷者数(指定のレベルの危害,この場合,死亡)を横軸,N人以上の死傷者が出る発生確率を縦軸に
したグラフとしてデータを記入する。値の範囲が大きいので,通常は両対数グラフである。
FN曲線は,過去の死者数の“実数”を使って統計的に構築してもよいし,シミュレーションモデルの
推定値から計算してもよい。使用するデータ及び設定する仮説は,この2種類のFN曲線が異なる情報を
示すことを意味することがあるので,それぞれ別々の目的に分けて使用することが望ましい。一般に,理
論的FN曲線はシステム設計に最も役立ち,統計的FN曲線は特定の既存システムのマネジメントに最も
役立つ。
いずれの導出方法も極めて時間がかかるので,両方を混ぜて使用することもまれではない。経験的デー
タは,指定された期間に,既知の事故/インシデントで発生した正確に分かっている死傷者の定点を形成
し,定量的リスク分析は,外挿又は内挿によって,それ以外の点を構成する。
68
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
低頻度かつ重篤な結果の事故を検討するためには,適切な分析に十分なデータを集めるために長期間に
わたる検討が必要になることがある。起因事象が時間の経過とともに変化するようなことがあれば,この
ために利用できるデータが疑わしくなることもある。
B.27.5 アウトプット
様々な値の結果を網羅するリスクを表す直線。これは,調査対象となる母集団及び指定レベルの危害と
して適切な基準と比較できる。
B.27.6 長所及び短所
FN曲線は,リスク及び安全レベルに関する決定を下す上で管理者及びシステム設計者が手かがりとし
て使用できる,リスク情報を表す有用な方法である。FN曲線は,頻度及び結果情報の両方を利用しやす
い形式で示す役立つ方法である。
FN曲線は,データが豊富にある類似の状況のリスクの比較に適している。データの質及び量が変わる
状況では,性格が様々であることから,別種のリスクの比較には使用しないほうがよい。
FN曲線の短所は,インシデントの影響又は結果の範囲については,影響を受ける人の数以外には何も
語らず,危害レベルが生じる別種の筋道を明らかにする手段が何もないことである。FN曲線は,特定種
類の結果,通常は人への危害を書き表す。FN曲線はリスクアセスメント方法ではなく,リスクアセスメ
ントの結果を表す一つのやり方である。
FN曲線は,リスクアセスメント結果を表す十分に確立した方法であるが,熟練分析者による準備が必
要であり,専門家でない人が解釈し,評価することは難しいことが多い。
B.28 リスク指標
B.28.1 概要
リスク指標は,順序尺度を用いた採点方式を採用して導出する推定値であり,リスクの半定量的尺度で
ある。リスク指標は,比較できるように類似の基準を用いて,一連のリスクを格付けして使用する。評点
は,例えば,汚染要因特性(汚染源),考えられるばく(曝)露経路の範囲,受容体への影響など,リスク
の各構成要素に付ける。
リスク指標は,基本的にリスクの順位付け及び比較のための定性的方法論である。数字を使用するが,
これは操作しやすいようにするためのものでしかない。基礎になっているモデル又はシステムがよく分か
っていないか,又は説明ができない多くのケースでは,より明白な定性的方法論を採用したほうがよい。
B.28.2 用途
システムについての理解が十分な場合は,ある活動に関連する様々なリスクの分類に指標を使用できる。
これによって,リスクレベルに影響を及ぼす様々な要因を,リスクレベルに応じて一つの数字による評点
に統合できる。
指標は,通常,リスクレベルに応じてリスクを分類するための判定方策として,多くの種類のリスクに
使用する。どのリスクが,より綿密な検討を必要とし,場合によっては定量的アセスメントを必要とする
かの判定に用いてもよい。
B.28.3 インプット
システムの分析又は状況の広範な記述から導出された情報をインプットとする。この情報を獲得するた
めには,リスク源,考えられる経路,及び何が影響を受けるかについて十分に理解しておく必要がある。
FTA,ETA及び一般的な意思決定分析のようなツールを使用すれば,リスク指標の作成を支援できる。
順序尺度の選択は,ある程度自由にできるので,指標の妥当性確認には十分なデータが必要となる。
69
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.28.4 プロセス
最初のステップは,システムの理解及び記述である。システムの定義が終わったら,リスクの各構成要
素の評点を組み合わせて複合指標ができるように作成する。例えば,環境問題であれば,発生源,経路及
び受容体の評点を決めるが,ときには,各発生源に複数の経路及び受容体があることに注意する。個々の
評点は,システムの実態を踏まえた方式に従って組み合わせる。システムの各部分(発生源,経路及び受
容体)の評点が内部的に整合し,正しい関係を維持するようにすることが重要である。評点は,リスクの
構成要素[例えば,発生確率,ばく(曝)露,結果]に与えてもよいし,リスクを高める要因に与えても
よい。
評点は,この高レベルモデルに応じて,加算,減算,乗算及び/又は除算してよい。累積的影響は,評
点の加算によって考慮できる(例えば,異なる経路の評点の加算)。順序尺度に数式を当てはめことは,厳
密にいえば妥当ではない。したがって,採点方式ができあがったら,既知のシステムに適用して,モデル
の妥当性を確認することが望ましい。指標の作成は反復アプローチであり,分析者が満足できる妥当性確
認を得るために,評点を組み合わせるための異なる幾つかのシステムで試してもよい。
不確かさは,感度分析によって,また,どのパラメタが敏感かを見つけるために評点を変えてみること
によって,対応できる。
B.28.5 アウトプット
アウトプットは,特定の発生源との関係を示し,同一システム内又は同じようにモデル化できる他の発
生源用に開発した指標との比較が可能な,一連の数値(複合指標)である。
B.28.6 長所及び短所
長所の例を,次に示す。
− 指標は様々なリスクを順位付ける格好のツールとなる。
− リスクレベルに影響する複数の要因をリスクレベルに対する単一の点数にまとめることができる。
短所の例を,次に示す。
− プロセス(モデル)及びそのアウトプットの妥当性が十分に検証されていなければ,結果は無意味な
ものとなる。アウトプットがリスクを表す数値であるという事実が,例えば,続いて実施する費用/
便益分析で,誤解され,誤用されるおそれがある。
− 指標を使用する多くの状況では,リスク要因の個々のスケールが線形であるのか,対数であるのか,
それともそれ以外の形のものなのかを決める基本モデルがなく,要因をどのように結び合わせるかを
決めるモデルがない。このような状況では,等級化には本質的に信頼性がないので,実データに基づ
いた妥当性確認が特に重要である。
B.29 リスクマトリックス
B.29.1 概要
リスクマトリックスは,リスクレベル又はリスクの等級化を決めるために,結果の定性的又は半定量的
等級化と起こりやすさを結合する手段である。
マトリックスの形式及びそれに加える定義は,それを使用する状況に依存し,その状況に合った適切な
仕組みを用いることが重要である。
B.29.2 用途
リスクマトリックスは,リスクレベルに応じて,リスク,リスク源又はリスク対応の順位付けに用いる。
数多くのリスクが特定されたとき,どのリスクが更なる分析又はより詳細な分析が必要となるか,どのリ
70
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
スクを最初に対応する必要があるか,若しくは,どのリスクをより上位の経営層に委託する必要があるか
などを決める目的で,一般に選別ツールとして使用する。この種のリスクマトリックスは,リスクがマト
リックス上のどの領域にあるかに応じて,所定のリスクがおおむね受容可能か,受容できない(5.4参照)
ものかを決めるときにも広く使用されている。
リスクマトリックスは,リスクの定性的レベルに関して組織全体の共通の理解を促進する手段としても
使用できる。リスクレベルの設定方法及びリスクレベルを定めるときの決定規則は,組織のリスク選好と
一致していることが望ましい。
リスクマトリックスの形は,FMECAの致命度解析に,又はHAZOPスタディーズに続いて実施する優
先順位の設定に使われる。詳細分析用のデータが不十分な状況,又はより定量的な分析のための時間及び
労力を確保できない状況で使用してもよい。
B.29.3 インプット
プロセスへのインプットは,結果及び発生確率に関して個別設定された尺度,並びに,その二つを組み
合わせたマトリックスである。
結果の尺度(又は複数の尺度)は,検討対象となる,様々な種類の異なる結果(例えば,経済的損失,
安全,環境又は状況次第で他のパラメタ)の全範囲に及ぶものであることが望ましい。また,最も信ぴょ
う(憑)性の高い結果から,注目度の最も低い結果に拡張できることが望ましい。例(一部)を図B.13
に示す。
尺度の点数はどのようなものでもよい。3点,4点又は5点という尺度が最も一般的である。
起こりやすさの尺度の点数も,どのようなものでもよい。起こりやすさの定義は,できる限り曖昧でな
いように選択する必要がある。異なる起こりやすさに数字の指針を用いる場合は,単位を示すことが望ま
しい。起こりやすさ尺度は現下の調査に関係する全範囲に及ぶ必要がある。ただし,最低の起こりやすさ
は最高と定義された結果との組合せで受容可能なものでなければならず,そうでなければ,最高の重大結
果となる活動は全て許容できないと定義される。例(一部)を図B.14に示す。
マトリックスは,一方の軸を結果,他方の軸を起こりやすさにして作成する。図B.15は,結果が6点,
起こりやすさ尺度が5点のマトリックスの例を示している。
セルに割り振られるリスクレベルは,起こりやすさ/結果の尺度の定義に依存する。マトリックスは,
用途に応じて,結果(図に示したもの)又は起こりやすさのいずれかによって大きな比重をかけるように
設定してもよいし,対称となるようにしてもよい。リスクレベルは,経営層の注目度又は対応が必要とな
る時間スケールのような,意思決定則と連動させてもよい。
71
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図B.13−結果基準表の例(一部)
図B.14−リスク順位付けマトリックスの例(一部)
起
こ
り
や
す
さ
の
格
付
け
E
IV
III
II
I
I
I
D
IV
III
III
II
I
I
C
V
IV
III
II
II
I
B
V
IV
III
III
II
I
A
V
V
IV
III
II
II
1
2
3
4
5
6
結果の格付け
図B.15−リスクマトリックスの例(一部)
72
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
等級の尺度及びマトリックスは,定量的尺度を付けて設定してよい。例えば,信頼度を問題にするとき,
起こりやすさの尺度として直接故障率を,結果尺度として故障に掛かる費用で表すことができる。
ツールを使用すると,相応の専門知識をもつ人々(理想的にはチーム),並びに結果及び起こりやすさの
判断を助けるようなデータが必要となる。
B.29.4 プロセス
使用者はまず,リスクを順位付けするために,状況に適した結果を記述し,その結果の起こりやすさを
定める。次に,マトリックスからリスクレベルを読み取る。
多くのリスク事象は,起こりやすさがそれぞれ異なる様々な結果を伴う。通常,軽微な問題は,破局的
問題に比べれば,ごく当たり前のように発生する。したがって,最もありふれた結果若しくは最も重大な
結果,又はその他の組合せを順位付けの対象として選択する。多くの場合,最も重大で,信ぴょう(憑)
性の高い結果を中心に据えるのが適切である。こういう結果が最大の脅威となり,最も重大なものとなる
ことが多いからである。場合によっては,最もありふれた問題とあまり発生しそうもない重大災害の両方
を,別のリスクとして順位付けするのがよいことがある。選択した結果に該当する起こりやすさを使用し,
事象全てに該当する起こりやすさを使用しないことが重要である。
マトリックスによって定義されるリスクレベルは,リスクに対応するかしないかのような決定規則に関
連付けてよい。
B.29.5 アウトプット
アウトプットは,各リスクの格付け,又は定義された重大性レベル付のリスクの順位付けリストである。
B.29.6 長所及び短所
長所の例を,次に示す。
− 比較的使いやすい。
− リスクを重大性別に迅速に順位付けできる。
短所の例を,次に示す。
− マトリックスは状況に適したように構成することが望ましいので,組織に該当する様々な状況に適用
できる共通のシステムを作り上げることが難しい。
− 評価尺度を曖昧さのないように定めることが難しい。
− 使い方が極めて主観的で,そのために評価者によって著しい違いが出やすい。
− リスクを総計することができない(すなわち,一定数の低リスク群又は一定回数繰り返される一つの
低リスクは中リスクと同じだと定めることができない。)。
− 結果の異なるカテゴリ別に,リスクレベルを組み合わせる又は比較することが難しい。
結果は,分析の詳細さの程度に依存する。すなわち,分析が詳細になればなるほど,シナリオの数が増
え,それぞれの発生確率は低くなる。このため,実際のリスクレベルを過小に評価することになる。リス
クを記述するとき,シナリオをグループに分ける方法を整合化させ,調査のはじめに定義しておくことが
望ましい。
B.30 費用/便益分析(Cost and benefit analysis: CBA)
B.30.1 概要
CBAは,最善の,又は最も利益がある選択肢を選択するために,予想総費用と予想総便益とを比較検討
するリスク評価に用いることができる。これは,多くのリスク評価体系の暗黙の一部である。定性的なも
のもあれば定量的なものもあり,定量的なものと定性的なものとを組み合わせたものが含まれることもあ
73
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
る。定量的CBAは,その範囲に含まれる,全ステークホルダに及ぶ全ての費用及び便益の金銭的価値を
総計し,費用及び便益が生じる異なる期間ごとに調整する。作り出される正味現在価値(net present value:
NPV,以下NPVという。)は,リスクに関する決定のインプットになる。対応策に付随するNPVがプラス
であれば,普通,その対応策は行ったほうがよいことを意味する。ただし,マイナスのリスク,特に人命
に対するリスク又は環境破壊を伴うリスクには,ALARP[as low as reasonably practicable: ALARP,以下
ALARPという(図B.12参照)。]の原則を適用してよい。ALARPでは,リスクを三つの領域に分ける。三
つの領域の一つ目は,マイナスのリスクが許容されず,特別な事情がない限り,リスクをとってはいけな
いことになるレベルよりも上の領域,二つ目は,リスクを無視することができ,低いままであることを確
認するためにモニタリングするだけでよいというレベルより下の領域,三つ目は,リスクを合理的に実施
可能な程度に低くする(ALARP)ことになる中間領域である。この中間領域のより低いリスクの下端に向
かうにつれて,厳格なCBAを適用してよいが,リスクが許容できないものに近い場合,ALARP原則の期
待するものは,対応費用が得られる便益と著しく釣り合いがとれないことがない限り,対応するというも
のである。
図B.12−ALARPの概念
受容できない領域
特別な事情がない限り,
リスクを正当化するこ
とはできない
リスク軽減が実行でき
ない場合,又は得られる
改善に比して費用が甚
だしく不釣り合いの場
合だけ許容
軽減費用が得られる改善を
上回る場合に許容
リスクがこの水準にとどま
ると保証する必要がある
広く許容できる領域
(ALARPを実証するため
の詳細な作業は不要)
ALARP,すなわち,許容域
(効用が得られない場合に
限ってリスクは引き受けら
れない)
無視できるリスク
74
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.30.2 用途
CBAは,リスクを伴う選択肢のいずれにするかの意思決定に使用できる。
例えば,次のように使用する。
− リスクに対応したほうがよいかどうかの意思決定のインプットとして使用する。
− リスク対応の最善の形態を区別し,意思決定するために使用する。
− 行動方針を意思決定するために使用する。
B.30.3 インプット
インプットは,当該ステークホルダに及ぶ費用及び便益,並びにその費用及び便益の不確かさに関する
情報を含む。有形無形の費用及び便益を考慮することが望ましい。費用は,費やされる資源及びマイナス
の成果を含む。便益は,プラスの成果,回避されるマイナスの成果及び節減される資源を含む。
B.30.4 プロセス
費用を負担するか又は便益を受ける可能性のあるステークホルダを特定する。完全なCBAには,全て
のステークホルダを含める。
全ての当該ステークホルダに及ぶ直接的及び間接的便益及び費用については,検討する選択肢を明らか
にする。直接的便益とは,対応策から直接派生する便益であり,間接的又は付随的便益とは,偶発的だが,
それでも意思決定に資するところが大きい便益である。間接的便益の例としては,評判の向上,担当者の
満足,“心の平和”などが挙げられる(これらが,意思決定を大きく左右することがある。)。
直接費用とは,対策に直接関係する費用である。間接費用とは,ユーティリティの損失,マネジメント
時間の消耗,又は他の可能性のある投資からの資金の転用のような,追加費用,付随的費用及び埋没費用
である。リスクに対応するかどうかの決定にCBAを適用するときは,リスク対応及びリスクをとること
に関係する費用及び便益を含めることが望ましい。
全ての有形無形の費用及び便益を明らかにする定量的CBAでは,全ての費用及び便益(無形の費用及
び便益を含む)に金銭的価値を割り当てる。これを行う標準的な方法は,“支払い意志額”アプローチを含
むもの,及び代替価値を使用するものなど,幾つかある。よくあることだが,費用が短期間(例えば1年)
で発生し,便益がその後長期にわたって生じる場合は,一般に,便益を割り引いて,それを“今日の金額”
に組み込み,有効な比較が行えるようにする必要がある。全ての費用及び便益は,現在価値として表す。
全てのステークホルダに及ぶ全費用と全便益の現在価値とを組み合わせれば,NPVを得ることができる。
NPVがプラスであれば,対応策の便益があることを意味する。費用便益比も使用する(B.30.5参照)。
費用又は便益に不確かさがある場合は,その発生確率に従って,そのどちらか一方又は両方を重み付け
できる。
定性的CBAでは,無形の費用及び便益の金銭的価値を見つけることを試みないで,費用及び便益を要
約した一つの数値を出して,それぞれ異なる費用及び便益間のいずれをとるかを定性的に検討する。
関連技法に,費用有効度分析がある。これは一定の便益又は成果が望まれ,それを得る方法が幾つかあ
るものと仮定する。この分析は費用だけを対象にして,便益を得る最も安価な方法がどれかを調べる。
B.30.5 アウトプット
CBAのアウトプットは,様々な選択肢又は是正措置の相対的費用及び便益に関する情報である。これは,
定量的にNPV又は内部収益率(internal rate of return: IRR)として表してもよいし,便益の現在価値と費用
の現在価値との比として表してもよい。定性的な分析のアウトプットは,通常,様々な種類の費用便益の
費用と便益とを比較し,いずれをとるかに注目させる表である。
75
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
B.30.6 長所及び短所
長所の例を,次に示す。
− 一つの尺度(金額)を用いて,費用と便益との比較が可能となる。
− 意思決定の透明性が得られる。
− 考えられる決定の全側面に関して,詳細な情報の収集が必要となる。これは,知識の伝達という点だ
けではなく,知らないことが露見する点でも価値がある。
短所の例を,次に示す。
− 定量的CBAは,経済的価値に非経済的便益を割り当てる方法次第で,歴然と異なる数値が出ること
がある。
− 用途によっては,将来の費用及び便益の有効な割引率を決めることが難しい。
− 大きな集団に生じる便益は推定が難しい。特に,市場で交換されない公益への便益がそうである。
− 選択した割引率によっては,割引の実行は,遠い将来に得られる便益が,決定に無視し得るほどの影
響しか与えないことを意味する。この方法は,割引率を極めて低く,又はゼロに設定しない限り,将
来の世代に影響するリスクの検討には適さないものとなる。
B.31 多基準意思決定分析(Multi-criteria decision analysis: MCDA)
B.31.1 概要
この技法の目的は,一連の選択肢の総合的価値を客観的かつ分かりやすく評価するために,様々な基準
を使用することである。一般に,全体の目標は,利用可能な選択肢の選好順序を定めることである。分析
は,選択肢と基準とのマトリックスの作成を含む。基準は,順位付けかつ総計して,各選択肢の総合点数
を出す。
B.31.2 用途
MCDAは,次の目的に使用できる。
− 初めての分析のための複数の選択肢を比較及び優先し,可能性のある選択肢及び不適切な選択肢を決
める。
− 複数の,ときには矛盾する基準がある場合に選択肢を比較する。
− 様々なステークホルダが対立する目的又は価値をもっている場合に,決定に関する合意に到達させる。
B.31.3 インプット
分析用の一連の選択肢。選択肢を区別するために,全ての選択肢で同じように使用できる目的を満たす
基準。
B.31.4 プロセス
一般に,精通したステークホルダのグループが次のプロセスを実行する。
a) 目的(群)を定義する。
b) 各目的に関係する属性(基準又は性能尺度)を決定する。
c) 属性を階層形式に構成する。
d) 基準に照らして評価すべき選択肢を作成する。
e) 基準の重大性を決め,その重大性に相当する重み付けを与える。
f)
基準の代替案を評価する。これは,評点のマトリックスとして表すこともある。
g) 複数の単一属性点数を複合して,単一の総合多属性点数とする。
h) 結果を評価する。
76
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
各基準の重み付けを引き出す方法は様々であり,各選択肢の基準点数を総計して,一つの多属性点数に
する方法も様々である。例えば,点数は加重和として総計してもよいし,加重積,すなわち,一対比較に
基づく加重及び点数の抽出法である階層分析法を用いて総計してもよい。こうした方法は全て,任意の一
つの基準の選好は他の基準値に依存しないという前提に立っている。この前提が妥当でない場合は,別の
モデルを使用する。
点数は主観的なものなので,重み付け及び評点が選択肢間の選好順序全体に影響する範囲を調べるとき
は感度分析が役立つ。
B.31.5 アウトプット
最も好まれるものから,最も好まれないものまでの,選択肢の順位の表示。プロセスがマトリックスを
作り出し,マトリックスの軸が加重付きの基準及び各選択肢の基準評点であれば,高い加重付き基準とな
り得ない選択肢は除外することもできる。
B.31.6 長所及び短所
長所の例を,次に示す。
− 効率的な意思決定のシンプルな構成,並びに前提及び結論の表示が得られる。
− CBAで扱いにくい複雑な意思決定問題を,より管理しやすいものにできる。
− トレードオフが必要となる問題の合理的検討の支援になる。
− ステークホルダの目的が異なり,したがって,基準も異なるときに,協定の締結を助けることができ
る。
短所の例を,次に示す。
− 偏見又は決定基準の劣等な選択によって影響を受ける。
− MCDA問題の大半は,決定的な結論又は唯一の解決策がない。
− 決められた選好順から基準の重み付けを計算する,又は異なる見解を示す総計アルゴリズムは,意思
決定の真の論拠を曖昧にすることがある。
77
Q 31010:2012 (IEC/ISO 31010:2009)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
参考文献 JIS C 0508(規格群) 電気・電子・プログラマブル電子安全関連系の機能安全
注記 対応国際規格:IEC 61508 (all part),Functional safety of electrical/electronic/programmable
electronic safety-related systems(IDT)
JIS C 0511(全ての部) 機能安全−プロセス産業分野の安全計装システム
注記 対応国際規格:IEC 61511 (all part),Functional safety−Safety instrumented systems for the
process industry sector(IDT)
JIS C 5750-4-3 ディペンダビリティ マネジメント−第4-3部:システム信頼性のための解析
技法−故障モード・影響解析(FMEA)の手順
注記 対応国際規格:IEC 60812,Analysis techniques for system reliability−Procedure for failure
mode and effects analysis (FMEA)(IDT)
JIS C 5750-4-4 ディペンダビリティ マネジメント−第4-4部:システム信頼性のための解析
技法−故障の木解析(FTA)
注記 対応国際規格:IEC 61025,Fault tree analysis (FTA)(IDT)
JIS Z 8051 安全側面−規格への導入指針
注記 対応国際規格:ISO/IEC Guide 51,Safety aspects−Guidelines for their inclusion in
standards(IDT)
ISO 22000,Food safety management systems−Requirements for any organization in the food chain
IEC 60300-3-11,Dependability management−Part 3-11: Application guide−Reliability centred
maintenance
IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods
IEC 61165,Application of Markov techniques
IEC 61649,Weibull analysis
IEC 61882,Hazard and operability studies (HAZOP studies)−Application guide
IEC 62551,Analysis techniques for dependability−Petri net techniques 2)
ISO/IEC 15909 (all parts),Software and systems engineering−High-level Petri nets
ISO/IEC Guide 98-3:2008,Uncertainty of measurement−Part 3: Guide to the expression of
uncertainty in measurement (GUM:1995)
注2) 現在検討中。