リスクアセスメントの基礎概念ー ”適合”を包括的に示すために

TOPIX ーリスクアセスメントの基礎概念

リスクは重大度と発生率の組合せ
多くの方法論があり、適切な方法か実践しながら考える
危険源からのアプローチを推奨
上手に実施して、コスト・期間を短縮
規格との併用

リスクアセスメントとは

製品のリスクアセスメントの用語と概念について記述しています。リスクアセスメントの方法論は様々あります。大切なことは、メーカーが実施するリスクアセスメントは製品のリスクレベルが許容可能であることを提示できる内容であることです。これはＣＥマーキング指令への適合を提示することにつながります。ＣＥマーキングの技術文書にはこの内容を含めることが要求されています。（低電圧指令など）

リスクアセスメントの ”アセスメント” とは、”評価” と訳され、そのままの意味ですが、 ”リスク” という言葉は、様々な場面において様々な意味で用いられ、非常に広い意味を持つ言葉です。

金融リスク、損失リスク、経営リスク、健康リスク、ハイリスク、リスクヘッジ、・・・等々、同じ単語であっても業界によって、使用場面によって捉え方が異なります。

リスクの要素

ISO/IEC 規格のベースとなっている ISO/IEC Guide 51:2014 (JIS Z 8051:2015 IDT（完全一致）) の記述によれば、

リスク：危害が発生する確率及びその危害の程度の組合せ

また、リスクの要素として、下図が記載されています。

要約すると、

RISK ＝ｆ(severity, probability)

リスクは、考慮された危害の重度と、その危害の発生率の関数

です。ここでは、単に、危害の重度とその発生率の ”関数である”、”組合せ” である、としか述べていないことに注意してください。

危害の重度、その危害の発生率が、どのような関数・組合せになっているのか、そこまで言及せず、ただ、”組合せ” と言っているだけです。

リスクアセスメントの方法論

どのような関数・組合せなのか、大別して３通りをここでは紹介します。

◆マトリクス式

危害の重度とその発生率をそれぞれクラス分けし、重度 × 発生率のマトリクスを作成します。次に、マトリクス上のどこに具体的な危害事象が当てはまるかを評価します。その危害事象が、高リスクなのか、許容リスクなのか、当てはめられたマトリクス上の配置によって判定します。

◆点数式

危害の重度とその発生率のそれぞれに配点をあらかじめ決定しておき、具体的な危害事象について、危害の重度とその発生率のそれぞれの点数を評価します。点数が決まればそれぞれの点数を乗算して、リスク点数を求めます。リスク点数によってランク分けし、高リスクなのか、許容リスクなのかを判定します。

◆分別チャート式（リスクグラフ式）

具体的な危険事象が、重大か軽微かを先ず分別します。次にその発生率が頻繁かまれかを分別します。（事象によっては、暴露時間が長いか短いか。）さらに回避可能か不可能かを分別します。これにより８通りのリスクレベルに分別します。リスクレベルが低い順に、例えば、1点、2点、2点、3点、3点、4点、4点、5点というように配点します。CENELEC Guide 32 、EN/ISO 13849-1 などで採用されている方式です。EN/ISO 13849-1 では、このリスクグラフによって導き出された得点 (RISK INDEX) は、そのまま安全制御システムの要求パフォーマンスレベル (PLr) となり、要求に応じた信頼性が必要となります。

（CENELEC Guide 32 は、本来、低電圧指令の規格を作成する、整合規格として採用する人のためのガイドですので、そのことを理解して応用する必要があります。）

AdCosのリスクアセスメント

AdCos (Administrative Cooperation Groups《 AdCos 》) とは、ＥＵ加盟国によって任命される行政協力グループであり、ＥＵ各国の市場監査当局間の協力はこのグループを通じて行われています。

規則 Reg.(EC) No 765/2008 の第２０条２項により、その製品が深刻なリスクを呈しているかどうか、市場監査当局による適切なリスクアセスメントが必要になります。このため、欧州委員会は、AdCos 及び各国の市場監査当局に、EU general risk assessment methodology（ＥＵ一般リスクアセスメント方法論）という文書を作成しています。

このリスクアセスメント方法論は、その中に記述されているように、『監査当局によって行われるリスク評価の考慮事項を理解することができれば、当局のリスク管理の決定をよりよく理解することができる』ものです。

しかしながら、同じくその中に記載されているように、この方法論は、市場監査活動にのみ使用されるものであり、製造業者、輸入業者または販売業者が、ＥＵ市場で利用できるようにする製品のリスクを評価するために使用してはならならい、と記述されており、また、下記のように記述されています。

メーカーと市場監視当局がそれぞれ実施するリスクアセスメントの使用には、重要な違いがあります。製造業者は、市場に出す前に、（または製品がすでにサプライチェーンに入っている特別な場合に、）製品の適合性を評価するプロセスの一環として、包括的なリスクアセスメントを行う必要があります。製造業者のリスクアセスメントは、関連するすべての製品のハザードを考慮しなければならず、製品が設計または製造されたときに許容可能なレベルまでリスクを削減するための基礎となります。他方、市場監視当局は、既に利用可能になっている製品のコンプライアンスをチェックし、前に説明したように、リスクアセスメントを使用して規制 Reg.(EC) No 765/2008 第２０条の条件が満たされているかどうかを確認する作業を行う。さらに、通常、市場監視当局は、特定された不適合を対象としたリスクアセスメントを実施する。

ここに書かれていることは、監査当局によるリスクアセスメントのやり方と、メーカーの自社製品に対するリスクアセスメントのやり方は異なる、メーカーはメーカーのやり方をする、ということです。

メーカーによるリスクアセスメントの方法論として、危険源の有無をベースとしたアプローチを推奨します。

とにかく危険源が存在するのかしないのか。
危険源が存在するならば、まず、その危険源を除去、他の原理・手法を使えないか。
それが非現実的ならば、いかなる設計的手法（リスクに応じた手法）でリスクを低減するか。
そして残留リスクに関して如何にして告知（表示・取扱説明書）するか。
以上をもって、最終的なリスクは、すべて許容可能レベルに低減されたか。

（このアプローチは、３ステップメソッドに則っています。）

＞

＞

も併せてご覧ください。

この危険源をベースとしたアプローチの方が、指令に適合していることを具体的に提示するための技術文書を記述するにあたって、指令の必須要求事項の内容と製品に内在するリスクとの比較評価、整合規格（指令への適合に推定を与える技術仕様）を全面的／部分的に選んだ理由など、これらを一貫して記述でき、適切であると考えられます。

AdCos のリスクアセスメントの場合は、まず、製品がリスクを呈している、不適合であるという状況から始まり、危害発生に至るシナリオを立て、シナリオから危害の重度、発生率を数値化します。最大最悪のシナリオを想定します。
これは完成品に対するリスクアセスメントの方法論であるといえます。使用手順をベースにしたリスクアセスメントの方法論と似ています。

AdCosの “危害” の定義

EU general risk assessment methodology（ＥＵ一般リスクアセスメント方法論）にはまた、”危害” の定義についても記述があります。

Harm: injury or damage to the health of people or damage to property, economic damage to consumers, damage to environment, security and other aspects defined in the scope of New Approach Directives.

危害：人の健康や人身の損傷、消費者への経済的損害、環境へのダメージ、安全性、新アプローチ指令の範囲内で定義されたその他の側面

2.2 項）健康と安全を超えた既存の方法論の一般化｜機械翻訳｜

上記の危害の定義は、人々の健康と安全のみに及ぼす傷害および損傷よりもはるかに広い。また、ＥＵ調和法の対象となる他の公共利益、特に経済的負の影響（例えば、不正取引、詐欺）への損害も含まれます。場合によっては、人（例えば、消費者または労働者）、動物および環境（の一部）を含む被害対象の可能性のあるカテゴリに関しても、この危害の定義の結果として、製品の「リスク」は、安全衛生および/または他の公共目的に関連する可能性があります。

危害の概念とそれに続くリスクの概念の使用は、安全衛生分野における製品リスク評価のための確立された方法論の基本原則を、ＥＵの法律でカバーされている様々な種類の製品と公共の利益に拡張することを可能にします。（RAPEX ガイドライン手法、ISO 12100 など）

確かに、これらの概念は、人々の健康を危険にさらす可能性の低い製品のカテゴリにとってはむしろ新しいものです。しかし、このアプローチは、規制 (EC) 765/2008 を支えるリスクの概念と一致している。

人々に害を及ぼすより馴染みのあるケース（すなわち傷害）の外に、この新しい「危害」概念の使用を容易にするために、例えば、消費者の経済的利益、環境、安全保障などの「負の効果」または「否定的な結果」を「危害」と解釈することが示唆されている。

ＣＥマーキングの適合性リスクアセスメントで考慮するべき ”危害” は、例えば、高価なワークをたくさん損壊する、建屋を水浸しにする、有害物質を含む空気・水を排出する、など、人の怪我だけでなく、これらも忘れず考慮する必要があります。

”危険源” とは

危険源は、以下のように定義されています。

Potential source of harm

/ ISO/IEC Guide 51:2014

(JIS Z 8051:2015 IDT (完全一致))

Potential source of harm. The hazard, or danger, is intrinsic to the product.

/ EU general risk assessment methodology

（ＥＵ一般リスクアセスメント方法論）

危害を引き起こす可能性のある ”源” です。上述のように、AdCos の定義（ＥＵ一般リスクアセスメント方法論）では、”危害” は、人間に対する傷害よりも広い範囲を指しますので注意が必要です。

危険源は、例えば、規格 EN/ISO 12100 等で具体的に例示されています。「回転要素」「床からの高さ」「鋭利な端部」「活電部」「過負荷」「高温または低温」「紫外線、レーザー」「ガス」「ミスト」「酸欠」、その他さまざまな危険源が例示されています。

これら例示された危険源に限定せず、製品に特有の危険源も考慮にいれて、製品に危険源が内在するのかしないのかをまずシンプルに考えることが大切です。

先回りして考えると、危険源から如何に保護しているかの評価がおろそかになりがちです。

悪い例：サーマル保護しているから、ヒューズがあるから、危なくない。

保護しなければ危険だからサーマルスイッチ、ヒューズを取り付けている。危険源が無いと判断してしまっては、保護が適切に動作し、信頼できるシステムを構築しているかどうか、リスクレベルに相応しい防護方策かどうかを検証するステップに進めない。そもそも高温になる・過電流になること自体を回避する方策をまず検討しなければならない。本質的に危険でないのなら、保護する必要はない。

まず危険源をなくすことが重要です。完全になくすことができないとしても、危険度（危害の重度）を下げるために設計上できることが無いかを検討し実践することが大切です。

実際にリスクアセスメントを実践すると、リスクアセスメントの前提となる使用上の条件、仕様の決定、製品ラインナップのまとめ方、性能クラスの区切り方等が前提となります。したがって、これらを固める前にリスクアセスメントを実施しておかないと、後で身動きが取れなくなる可能性が考えられます。

本来ならば負う必要がなかったリスクを製品に作り込んでいませんか？

また、そのことをどのように適切にチェックしていますか？

危害の重度

危害の重度については、様々な定義があり、規格によっても異なります。

◆ CENELEC Guide 32 の場合

軽微な危害（短時間で回復・修理可能）、高い危害（長時間で回復・修理可能）、深刻な危害（回復・修理不可能、死亡）の３つに区分します。短時間または長時間の定義はありません。

危害が複数人に及ぶ場合は、発生率を頻繁にする。（EN/ISO 12100 の場合は危害の重度として考慮する。）

対人傷害だけではなく、機器自体や財産も危害の対象となる。

◆ EU general risk assessment methodology（ＥＵ一般リスクアセスメント方法論）の場合

４つのレベルに定義されます。

レベル

怪我の度合

抽象化された危害

脳死を含む致死的または致命的である可能性のある傷害または結果、生殖または子孫に影響を及ぼす結果、手足や機能の約１０％以上の障害をもたらす重度の喪失。

急激であるか否かにかかわらず、いくつかの面で不可逆的な重大な悪影響。

通常は入院が必要とされ、６ヶ月以上機能しなくなるか、機能が永久に失われる傷害または結果。

長期間に渡る重大な悪影響、専門家の介入による回復への重大な努力、この介入と努力がなければ回復不可能である。

Ａ＆Ｅ（救急）への訪問が必要かもしれないが、一般的に入院は必要ない傷害または結果。機能は、約６ヶ月以内の限られた期間内に機能への影響を受け、ほぼ回復する。

一定期間内に可逆的である、専門家の介入が必要な悪影響。

基本的な治療（応急処置、通常は医者ではない）の後に機能が実質的に妨げられない、または過度の痛みを引き起こすことのない傷害または結果。通常、その結果は完全に可逆的。

通常は専門家の介入なしに短期間で完全に可逆的な悪影響。

このガイドは一般論なので、より具体的な危害レベルの定義を開発し、そちらの定義に従う場合がある。（例えば、計量機器及び非自動計量機器。）

危害が複数人に及ぶ場合について明記されていないが、このガイドの性質上、危害の重度としてその位置分布を考慮して総合的に決定すると考えられる。

危害は、人的傷害に限らず、広範な意味を持つ。

その他、労働災害の等級に応じて定義する考え方もあります。

点数式の場合は、”軽微” の５回分が ”死亡” になるなど、感覚的に違和感を覚えるような配点は、リスク評価として適切ではないかも知れません。

いずれにしても、リスクアセスメントに関して、あいまいな部分を完全になくすということはまず不可能であると考えられます。製品のリスクが社会的に許容されるレベルに低減され、また十分に低減されていることを他の関連する整合規格による評価結果などとも合わせて提示できることが重要です。

高リスクか中リスクかの判断に悩まず、リスク判断が微妙な場合は厳しい方へ判定し、確実な危険源の除去、あるいは確実なリスク低減方策を実施することをお勧めします。

危害の発生率

危害の発生率についても、様々な定義があり、規格によっても異なります。

◆ CENELEC Guide 32 の場合

頻繁か、頻繁でないか、または危険源への露出が長時間か短時間かで分別します。数値化された基準はありません。

（危険状態への露出）
危険ゾーンへのアクセスの必要性が、通常動作で必要（＝頻繁）、誤動作の是正、修理や保守のため（＝頻繁ではない）
危険ゾーンへのアクセス頻度・時間・人数（数値基準なし）

（危険事象の発生）
信頼性及び他の統計的データ、類似条件からの比較推定などを、頻繁か、頻繁でないか、どちらに分別するかの判断に用いる。

危害を回避・制限できるかによって、さらに分別します。（CENELEC Guide 32 のリスクグラフ参照）

機器を扱うのは熟練者かそうでないか、逃げ場があるか、危険性を認知できるか（警告表示、等）、危害に至る状況として突然か、回避する時間があるか、等。

◆ EU general risk assessment methodology（ＥＵ一般リスクアセスメント方法論）の場合

AdCos による危害の発生率の決定は、まず、危害シナリオに基づく各ステップの確率の乗算によって求められる。一つの例が記載されている。

例：ハンマーが壊れて、「飛び出した」部分がユーザーの頭に当たるとする。この確率は、ハンマーの破壊確率 1/10、ユーザーに当たる確率 1/10、ユーザーの頭に当たる確率 1/3、ユーザー目に当たる確率 1/20、に基づいて 1/10,000 以上と推定される。全体の確率は、数字の乗算から得られる。

この方法論では、危害の発生率を、1/2、1/10、1/100、1/1,000、1/10,000、1/100,000、1/1,000,000、1/10,000,000 と、対数的に８段階に分別しています。上述のように、この方法論は、ひとつの方法論として参考になります。その中に記述があるように、メーカーの自社製品に対するリスクアセスメントのやり方ではありません。様々な方法があり、４段階、または５段階に分別しているものも数多くあります。

リスクアセスメントの手順

リスクアセスメントの手順は、よく下のようなフロー図で示されています。正確には、”３ステップメソッドによる反復的リスク低減プロセス説明図（EN/ISO 12100:2010《JIS B 9700:2013》より参考作成）” 、です。

（手順前後に注意－その１：リスク見積り・評価は後で考える）

危険源を同定するときに、先走って、保護されているから、めったに起こらないから、などとして危険源を考慮外にしないことが、リスクアセスメントを上手に実施するコツです。

保護されていることを説明するためには、危険源に対して有効な方策であることが必要です。めったに起こらないかどうかは、次のリスク見積りで発生率を検討します。

どのような除去できない危険源があって、それに対して確実にリスクを低減していることを、リスクアセスメントの方式（フォーム）に則り記述します。
この記述こそが、製品の安全性（指令への適合性）や規格選択の合理性を説明するものであり、技術文書に含めることを（指令により）求められています。

尚、リスク見積りの時に、予測可能な誤使用、単一故障条件を考慮にいれます。
これら誤使用・故障は、通常では、危害程度・危害発生率を増大させるものであり、危険源が存在しなければそもそも関係がありません。但し、誤使用・故障が危険源を発生させると考えられるならば、危険源同定時に考慮に入れてください。

（手順前後に注意ーその２：リスク低減方策の順番をまもる）

上図のフロー図のおよそ下半分のリスク低減のプロセスは、３ステップメソッドと呼ばれています。

STEP 1：危険源の除去、本質的設計方策
STEP 2：安全防護、付加保護方策
STEP 3：使用上の情報

この順番を違えずにリスク低減を実行してくださいというものです。STEP 1 を実施せず、保護装置・システムへの依存が過剰なもの、STEP 1, 2 を実施せず、警告表示だらけで、人間の注意力だけに依存しているものは、適切にリスクを低減しているとは考えられません。

リスクは許容レベルに低減されているか

ISO/IEC 規格のベースとなっている ISO/IEC Guide 51:2014 (JIS Z 8051:2015 IDT（完全一致）) の記述によれば、

安全（定義：許容できないリスクがないこと）は、許容可能なレベルにまでリスクを低減することにより達成される。

とあります。
しかしながら、許容可能なリスクレベルについて、具体的な記述はなく、下記の記述があります。

許容可能なリスクは、次によって決定することができる。

ー現在の社会の価値観
ー（以下、省略）

『許容可能なリスクとは、現在の社会の価値観』による。

従って、ＣＥマーキングならば、現在の欧州社会の価値観において、許容可能なリスクレベルにまで、リスクを低減しなければならないことになります。

ではどうすればよいのか？

ひとつには、適切なリスクアセスメントの結果、リスクが低く、許容できると誰もが考えられるリスクについては、それ以上低減する必要はないでしょう。

もうひとつには、許容可能なレベルかどうかの判断が難しい場合、規格に定義されている危険源と防護方策の技術仕様を参考にすることです。

ISO/IEC Guide 51 は、規格作成のベースとなるガイドであり、ＩＥＣ規格も、ＩＳＯ規格も、規格作成者はこのガイド５１を参照の上、規格を作成し、TC (Technical Committie) にて承認されたものが出版されているのです。

そして各欧州指令の整合規格もまた、CEN、CENELEC にて『指令への適合に推定を与える』として承認されている技術仕様ですので、”現在の欧州社会の価値観” が反映されているとみなせる ”筈” です。（但し、１００％完全に反映されているとは限りません、時代の変化に対して、後から遅れて作成・更新されます。規格に適合している製品で事故が発生している例もあります。（シュレッダーの事故は有名。））

『結局は、整合規格の通りに設計すればよい』、というのではありません。リスクアセスメントと、規格をうまく使って、製品のリスクを許容レベルにまで低減すること。そして、低減されていることを第３者が理解できる形で文書化することです。

ここで、

ＣＥマーキングの勘どころ

＞

整合規格とは

を参照してください。

関連指令の必須要求事項／安全目標と、製品のリスクアセスメントとの比較検討により、適用されるべき必須要求事項／安全目標を決定し、これをカバーする整合規格またはその一部分をメーカーが自由に選択する、と ”整合規格の役割” のなかで説明しています。