実務で使える LOPA 手順:防護層の「効き目」を数字で示す

HAZOPでリスクシナリオを洗い出したあと、

  • 「今の安全対策で本当に足りているのか」
  • 「どこまで対策すれば“やり過ぎでも不足でもない”と言えるのか」

を判断する場面が出てきます。

LOPA(Layer of Protection Analysis)は、重要なシナリオについて 防護層(IPL)の“効き目”を数値で評価し、現状のリスクが許容範囲かどうかを論理的に説明するための手法 です。

本記事では、化学プラントを想定して、LOPAを実務でどう進めるかを、手順書レベルの粒度で整理します。

目次

1. LOPAで目指すゴール

LOPAのゴールはシンプルです。

重要なリスクシナリオごとに「現状の防護層で残余リスクが許容範囲かどうか」 を数字で示すこと

そのために、シナリオごとに次を整理した LOPAシート を作ります。

  • 起点事象の頻度(どのくらい起こりそうか)
  • 有効な防護層(IPL)と、そのリスク低減効果(PFD)
  • 結果としての残余リスク頻度
  • 会社が定めた許容リスク基準(ターゲット頻度)との比較
  • 追加対策の要否と方向性

2. LOPAの前に決めておくべき3つのルール

いきなり計算に入る前に、会社として 共通ルール を決めておくと、LOPA結果の一貫性が保てます。

2-1. 許容リスク基準(ターゲット頻度)

まず、「どのレベルまでリスクを下げれば“許容”とするか」を決めます。

例(※あくまで一例):

  • 人身致命リスク:シナリオごとの許容頻度 1×10⁻⁴ /年 以下
  • 要治療の傷害リスク:1×10⁻³ /年 以下
  • 大きな設備損傷のみ:1×10⁻² /年 以下

自社の安全方針、法令要求(高圧ガス・危険物など)、業界ガイドラインとの整合を取りながら決めておきます。

2-2. 起点事象の頻度カテゴリ

起点頻度は、実績や信頼性データから 厳密な数値 を出せるケースもありますが、実務では次のような カテゴリ+代表値 で扱うことが多いです。

カテゴリイメージ代表値の例
Frequent年1回以上起こり得る1×10⁰ /年
Probable数年に1回程度1×10⁻¹ /年
Occasional10年に1回程度1×10⁻² /年
Remote100年に1回程度1×10⁻³ /年
Improbable1000年に1回程度1×10⁻⁴ /年

※上記の頻度カテゴリと代表値は、本記事で示した一例です。

実務では、自社の設備特性・トラブル実績・業界ガイドライン等を踏まえ、会社として統一したカテゴリと代表値 を定めておくことが重要です。

HAZOPで「しばしば起こりそう」「滅多にない」などと議論された内容も参考にしつつ、類似事例・設備のトラブル実績・データベースを総合してカテゴリを決めます。

2-3. IPLごとの標準PFDテーブル

防護層(IPL:Independent Protection Layer)の種類ごとに、標準的なリスク低減効果 PFD(Probability of Failure on Demand) を決めておきます。

例(※実務では自社基準を策定してください):

  • 高高液位インターロック(SIS SIL1程度):PFD = 1×10⁻¹
  • 高高液位インターロック(SIS SIL2程度):PFD = 1×10⁻²
  • 適切に設計・整備されたPSV:PFD = 1×10⁻²
  • アラーム+オペレーター介入(余裕時間と教育が十分):PFD = 1×10⁻¹
  • 手順・注意喚起だけ:原則 IPL としてはカウントしない(PFD≒1)

本記事のPFD値は、LOPAのイメージをつかむための代表値です。

実務では、IEC 61511 等の規格や社内標準、実際のSIS設計・試験周期・PSV管理水準に基づき、自社として妥当なPFD を定めて運用する必要があります。

この「標準PFD表」を用意しておくことで、設備ごとに評価がブレるのを防げます。

3. Step1:HAZOPからLOPA対象シナリオを選ぶ

LOPAは、すべてのHAZOPシナリオに適用する必要はありません。

次のような条件のシナリオを 優先対象 とします。

  • 人身・周辺・環境への影響が大きい
  • 法規上も重要(高圧ガスの重大事故想定など)
  • 一度起きると操業・経営インパクトが極めて大きい

例:

溶剤供給ラインでの 過大流量 → 反応器オーバーフロー → 可燃性溶剤漏洩 → 引火

といったシナリオが典型です。

4. Step2:シナリオを「起点事象」と「結果事象」に整理する

次に、対象シナリオを ボウタイ図のイメージ で整理します。

例)

  • 起点事象:
    「流量設定ミスや計装故障により、給液流量が上限を超える」
  • 結果事象:
    「反応器がオーバーフローし、可燃性溶剤が設備外に漏洩、火災に至る」

LOPAでは、「どの起点が、どの防護層を経て、どの結果に至るか」 を明確にします。

5. Step3:起点事象の頻度を決める

2章で決めた頻度カテゴリを使って、

シナリオごとの 起点頻度 f₀ [1/年] を決めます。

例(数字はイメージ):

  • 「流量設定ミス・計装トラブルにより過大流量になる」
    → 「10年に1回程度あり得る」
    → カテゴリ:Occasional → f₀ = 1×10⁻² /年

判断には次の情報を総合的に用います。

  • 自工場およびグループ工場のトラブル・ヒヤリハット履歴
  • 類似設備での事例
  • 信頼性データベース(故障率)
  • 設備の設計・保全状況、運転モードの複雑さ など

6. Step4:有効な防護層(IPL)を洗い出す

続いて、そのシナリオに対して 実際に効いている防護層 を列挙します。

例)

  • 高流量アラーム(FAH-101)+オペレーター介入
  • 反応器液位高アラーム(LAH-101)+オペレーター介入
  • 高高液位インターロック(LAHH-101 による自動給液遮断)
  • PSVによる圧力保護 など

6-1. IPLとしてカウントするための4条件

一般に、IPLとして認めるには、次の条件を満たす必要があります。

  1. 独立性(Independent)
    起点事象と同じ故障モードで潰れないこと。
  2. 特異性(Specific)
    対象シナリオに対して確実に動作すること。
  3. 信頼性(Dependable)
    所定のPFDを満たす設計・保全・試験が行われていること。
  4. 検証可能性(Auditable)
    点検・試験記録などにより、機能を確認できること。

単に「画面を見ていれば気づくはず」「ベテランが多い」といった要素は、通常 IPL にはカウントしません。

7. Step5:各IPLにPFDを割り当てる

2章で整備した標準PFDテーブルに従い、挙げたIPLごとにPFDを割り当てます。

例)

  • IPL1:高高液位インターロック(LAHH-101 → 自動遮断)
    → PFD₁ = 1×10⁻²
  • IPL2:高流量アラーム(FAH-101)+オペレーター介入
    → PFD₂ = 1×10⁻¹

この際、

  • 試験周期
  • 共通原因故障(電源喪失・計装系統の共通性)
  • 人的要因(夜勤・負荷の高い監視など)

も考慮し、必要に応じて PFDを保守的に 取ります。

8. Step6:残余リスク頻度を計算し、ターゲットと比較する

残余リスク頻度 f_res は、次式で求めます。

f_res = f₀ × PFD₁ × PFD₂ × …

ここでの掛け算は、採用しているIPL同士が 「独立している」 ことを前提としています。

共通原因故障(同一電源・同一計装系統・同一メンテナンス手順など)の影響が大きい場合は、PFDの見積りをより保守的にする、あるいは別途補正を行う必要があります。

先ほどの例を用いると、

  • f₀ = 1×10⁻² /年
  • PFD₁ = 1×10⁻²
  • PFD₂ = 1×10⁻¹

よって、

f_res = 10⁻² × 10⁻² × 10⁻¹ = 1×10⁻⁵ /年

となります。

これを、あらかじめ決めたターゲット頻度と比較します。

  • ターゲット(致命リスク):1×10⁻⁴ /年 以下
  • 結果:1×10⁻⁵ /年

→ 1桁以上余裕があるため、「現状の防護層で合理的に許容可能(ALARP)」 と判断できます。

もし、

  • f_res = 3×10⁻⁴ /年
  • ターゲット:1×10⁻⁴ /年

のようにターゲットを上回る場合は、次のような方針を検討します。

  • 追加IPL(SIS増設、二重遮断など)の導入
  • 既存IPLの信頼性強化(試験周期短縮、設計見直し)
  • プロセス条件の見直し(運転範囲制限、在庫量削減)
  • 起点頻度を下げる運転方法・設備構成への変更 など

9. Step7:対策方針を決め、アクション管理へ渡す

LOPAの最終アウトプットは、単なる計算結果ではなく、次をまとめた LOPAシート です。

  • シナリオ名・起点事象・結果事象
  • 起点頻度 f₀
  • 採用するIPLの一覧と PFD
  • 残余リスク頻度 f_res
  • ターゲット頻度との比較結果
  • 判断(Accept/要追加対策)
  • 追加対策案・担当部署・完了期限

ここから、

  • SIS設計(SIL選定)
  • 設備投資計画
  • 手順・教育計画
  • MOC/CAPA

といった既存のマネジメントプロセスに接続していきます。

10. HAZOP・QRAとの関係

整理すると、3つの役割は次のようになります。

  • HAZOP:
    プロセスのハザードとリスクシナリオを漏れなく洗い出す。
  • LOPA:
    重要シナリオに絞り、
    防護層の組み合わせで どこまでリスクが下がるかを定量評価 する。
  • QRA:
    複数シナリオを統合し、工場・地域全体としての
    リスクプロファイル(個別リスク・社会的リスク) を評価する。

HAZOPで作った「リスクシナリオのカタログ」を、

LOPAで「どこまで対策すべきか」の議論につなげ、

QRAで「工場全体として社会にどう説明するか」に展開していくイメージです。

まとめ:LOPAは「防護層の妥当性を説明するための道具」

本記事では、LOPAの実務手順を

  1. 許容リスク・頻度カテゴリ・標準PFDのルール作り
  2. HAZOPからのシナリオ選定
  3. 起点事象の頻度設定
  4. 有効なIPLの抽出
  5. IPLへのPFD割り当て
  6. 残余リスク頻度とターゲット頻度の比較
  7. 対策方針とアクション管理

という流れで整理しました。LOPAは、難しい数式を振り回すためのものではなく、「このレベルの防護層を入れているから、この頻度まではリスクを下げられている」と、経営層・現場・社会に対して 合理的に説明するための道具 です。

HAZOPと組み合わせて活用することで、化学プラントのリスクマネジメントを「感覚」から「説明できるレベル」へ引き上げることができます。

参考文献

前の記事

実務で使える HAZOP 手順:化学プラントのリスクシナリオを…