欧州の鉄道技術・日本の鉄道技術
【RAMS】1-機能安全とRAMS、SIL認証

次に進む

1つ戻る

もしRAMSについて、このページからご覧になられた場合、前のページからご覧下さい。

機能安全とRAMS、SIL認証

RAMSの考え方

日本のメーカー

RAMSは、12段階のライフサイクルの各段階で決められている手順をちゃんと行いました・・って、文書で説明すればいいのでしょう。
 作る必要がある文書は、車両を納入した後に必ず作るから、認証書だけ先に出してよ。

認証機関の審査員

「段階に分けて、一歩一歩進めた」か、どうかが重要なのです。いくら後から書類が整ったとしても、それは、まとめて2〜3歩進んでいるのだから、やり直しになりますよ。
  (…危険だ、この会社)
 ・・あ、いえ、何でもないです。RAMSによる手順と日本流の手順の業務比較をしていきますけど、その前に、RAMSと、そのベースになっている機能安全の要点だけ説明させて下さい。

RAMSとは

 

RAMS(ラムズ)は、国際規格IEC 62278:2002(及びEN 50126-1:2017)「鉄道分野−信頼性、アベイラビリティ、保全性、安全性(RAMS)の仕様と実証」という国際規格です。鉄道システムの安全性・信頼性等の評価を行う手順を規定しています。IEC 62425(いわゆる「セーフティケース」)も、RAMSと総称されることもあります。

RAMSでは、製品のライフサイクルを示す12段階(IEC 62278や旧EN 50126:1999では14段階)のそれぞれの業務と、各段階で行う確認作業を示した下図(EN 50126-1:2017の図7、IEC 62278では図5)で解説されることが多いのですが、ここでは、12段階に分かれていることと、各段階ごとに確認者(Verifier)が、各段階で行うべきことが終わっているかを確認(Verification)しないと基本的には次の段階に進めない(終わらさずに進んでいる場合は、最悪やり直し)、ということだけ押さえてください。

余談ですが、「モノづくり」としてイメージされる「設計」、「製造」といった活動は、第6〜第7段階で割合後のほうの段階であって、RAMSでは、設計や製造よりも前の様々な活動を1歩1歩進めていくことが求められているわけです。よくきく「RAMSの対応に苦労している」、という話は、よく聞くと第2段階〜第4段階あたりの活動で苦労しているという話が多いです。

【図】RAMSライフサイクルモデル(EN 50126:2017による12段階)
V-cycle
 

機能安全とは

機能安全規格(IEC 61508シリーズ)は、安全要求事項に適合するコンピュータプログラムを利用する製品(E/E/PE)を構築するための国際規格で、これを鉄道分野に特化した規格(セクター規格、といいます)がRAMSです。機能安全規格自体は、自動車分野、航空分野など、さまざまな産業における製品開発で使われています

現代の多くの電気製品は、内蔵コンピュータプログラムによって、状況によって複雑な動作をしますよね? 例えばIHヒーターは過加熱の場合にはスイッチを押しても加熱しないようになっています。こうした内蔵されたコンピュータプログラムで、危険を防止する機能を「安全機能(safety function)」と呼びます。

「安全」とは「危険がない状態」と定義されています。 機能安全では、さまざまな間違いや不具合は「いつか必ず起こる」と考えるため、その製品を開発・製造し、その後長年使っていく間にどんな「リスク」が起こるかを、開発段階であらかじめ想定しておきます。そして、営業投入後も、リスクを発見しては、リスク想定を更新していく活動を続けます(例えばRAMS(鉄道)では、PHA(初期)→SHA(システム)→SSHA・IHA(モジュール)を行い、運行開始後にもOHA(運行)→OSHA(運行維持)・・と絶え間なく想定リスクやハザード・想定される結果の更新をします。)
 そうすることにより、その製品に起こりえると想定されるリスクすべてに対して、適切な対策をする、すなわち「安全機能」を持たせていくと、最後には下図のようにリスクが許されないレベル(青丸)より小さくなります。この製品には、許されないレベルの事故等は生じなくなる・・・・はずです。

【図】機能安全による許容されない事故等の防止の考え方

追記2021.12

リスクとハザードは、「ハザード」はリスクの元になりそうなもの、「リスク」は発生率と危害の度合(Severity)を割り出せる要因です。

懸念されるハザードは多数あっても、リスクにはならない(何もしなくても何も起きない、防護策でリスクを小さくできる等)場合もあります。

  • hazard ハザード

    • physical situation with a potential for human injury and/or damage to environment [IEC 62278 3.17]

    人間への障害及び/又は環境への損害の可能性がある物理的な状況

  • risk リスク

    • probable rate of occurrence of a hazard causing harm and the degree of severity of the harm [IEC 62278 3.34]

    危害(harm)を及ぼすハザード(hazard)の発生確率及びその危害の度合い

追記ここまでです。


このような、リスクをあらかじめ列挙しておき、そのリスクを、自分たちでちょうどよいと決めた目標に入るよう、安全機能等の対策を行って潰していって、許容されないレベルのハザードが起こらないようにするのが「機能安全(functional safety)」の特徴です。

 鉄道信号分野の製品の機能安全については、1997年に鉄道総研がとりまとめた通称『(第3の)赤本』(列車保安制御システムの安全性技術指針)により、IEC 61508(当時は素案)に沿って、あるべき姿がガイドラインにまとめられていますので、信号分野に興味のある方はそちらをご参照下さい。このサイトでは、信号分野についてのノウハウは記載しておりませんので。

前ページに示した、登山ガイドAさん、Bさんの例は、山で起こりそうなあれこれがリスクで、これに対応する対策が装備ということになります。すべてのリスクに対して装備(対策)があれば、大きな事故(ハザード)は防げることになります。

どんなリスクが起こるかを想像することは、人によって考え方が違ったり、見逃したり、「それをリスクとして挙げるのは止めよう」という気持ちが働いてしまうことがありますので、RAMSでは独特の手法がとられています。後ほど、日本とRAMSとの違いとして紹介しますね。

また、SIL(Safety Integrity Level):安全度水準も、この規格で規定されています。このすぐ下の項目「SIL(安全性水準)認証について」では、SIL認証は、故障の種類を踏まえて必要な安全性に合う手法で開発したことの適合性評価である・・・、という話をしているのですが、書いてみたところ非常に細かく、99%の人にとって興味のない話になってしまいました。そのため、一旦は読み飛ばして下さい。「その5」の、proven in use(実際の運用実績)と関係しています。

 

SIL(安全度水準)認証について

SIL(シル)とは、製品/またはその部品/またはその機能について、安全レベルをSIL1からSIL4までに分類して数字で表したものです。 SIL 0は、安全性に関する要求が無いこと、つまり、安全性が期待されていない部品だということを意味しており、SIL 4のように数字が大きいほうがその機能(製品の場合もある)の安全性が高い・・・ということになりそうなのですが、機能安全の考え方では「安全性の完全性(Integrity)がより高い」ことを表します(完全性については下にて後述します)。

SIL 4の場合、1時間当たりの危険側故障率が1×10-9以下(※故障には種類があるため、より正確にはこちらを参照ください)という1万年間に1回あるかどうかというきわめて小さい値を、安全性の目標(THR)にして開発されています。雑誌や製品パンフレットで「SIL 4認証を得ている」と謳っているものを多数目にしますが、そのようなものが典型的なものです。鉄道分野の製品の場合、EN 50128(ソフトウェア)又はEN 50129(ハードウェア)のSILの定義に適合していることについて認証を受けることが多く、RAMS認証の一形態といえます

※より細かくいうと、ソフトウェアとハードウェアでは、製品品質を確保するためのRAMS手法が異なるため、1つの製品でもソフトウェアだけEN50128に基づき、ソフトウェアがSIL4(又はSIL2)だ、という認証を受ける場合があります。ソフトウェアの認証についてEN50128(IEC 62279)についてのところで後述します。

SILがこのような小さい値を安全性目標としている理由としては、以下の効果があるためと考えられます。

  • 1つ一つの部品の故障率がいくら低くても、多くの部品を組み立てたシステム全体については安全性は下がってしまうものの、それでもなお安全性が十分保てる
  • 故障率が十分小さいので、長期間の検証試験をするまでもなく安全だ、と期待できる。
  • 制定当時(1990年代後半)の、さまざまな分野の安全関連E/E/PE(コンピューター内蔵製品)の実態とよく合っていて、技術者の相場観とも合っていた。

 

ところで、RAMS(EN 50126-1:2017)では、SIL 1より低いSILのことを「Basic SIL」と呼んでいます。IEC 61508では「SILが無い」、という扱いになります。
  このSILについて、認証機関では「SIL認証」という認証を行っています。認証機関の中には、SIL認証ができる能力を、権威のある機関(=認定機関)からお墨付きを得るところもあり、製品や、製品のある機能についてSIL2やSIL4だという認証しています。

このSIL認証も、実プロジェクトではRAMS認証の一形態として扱われています。

前述のように、この「SIL」の「I」は、Integrity(完全性)を意味しています(※「完全性」とは、荒く言うと製品がいかに確実に機能を果たすか、という意味で、安全機能ごとに、リスクを防ぐために必要なSIL(目標SIL)を分析し、これを満たすように安全関連システムに必要となる機能を決定するための指標として使われます。)。
 具体的には、その安全機能に起こりうる故障等のリスクにあれこれ対策を立てて、そのSILを実現するためにこれが必要、とRAMSの関連規格に書かれた対策を行った、という過程を立証することで、SIL認証が得られる仕組みで、RAMS認証の部分集合に相当するためです。どちらの認証もマネジメントに対する認証です。

IEC 61508やRAMS(関連規格を含みます。)では、ハードウェアとソフトウェアでは故障の性質が異なっていることを前提としております。ハードウェアに起こる故障は確率的に起こる「ランダム故障」、一方、ソフトウェアに起こる故障は元々のプログラムミス(バグ)に起因する、いつか必ず生じる「決定論的原因故障」(システマティック故障と通称される)と表現されています。ソフトウェアの故障は、確率的に起こるのではなくて必然的に起こるわけです。

SIL認証では、こうしたソフトウェア、ハードウェアに起こる故障の性質の違いを踏まえて、ソフトウェアについては必要なSILの水準に合わせて、ハードウェアとはまた別のテクニック&メジャー(手法)を使用しているかどうか(IEC 61508-3で推奨しています)等を認証機関に立証し、認められることで、「この製品はSIL4(SIL 2)の手法に適合した開発が行われている」というSILの書かれた認証書が与えられます。こうしたRAMS系規格に対する適合性を評価し、SILが書かれた認証書を得たことが、一般的にSIL認証を取得した、というように宣伝等で使われています。

 

追記:(なお細かい話ですが、機能に対してではなく製品にSILが割り当てられているのは、IEC 62278:2002 4.7.6 b)に根拠があります。SILを製品が称して(claim)よいとされているからです)。
追記ここまで(2021.10.14)

SIL認証のまとめ

一般的にSIL4=安全、と捉えられがちですので、その反動として「日本で長年の使用実績のある製品が、RAMS認証が得られない。困った。」という趣旨の話を耳にします。

しかし、前述のとおり、RAMS規格ではSILは「安全性の完全性がより高いこと」(箇条3.38)を表しています。SILは、確率論部分ではなく、SIL4というリスクを防ぐための安全性目標に対して適切な方法で開発された機能(製品)だという意味合いなのですから、実績では決まりません。

一方のRAMS規格では、評価したSILは仕様環境に依存することや、SILは製品の安全性の信頼度を推定したものでしかない、という注意も書かれています(箇条4.7.7)。

SILに関する認証は、2000年頃から海外プロジェクトでは広く求められるようになっていますけれど、SILの意味合いをご理解いただければ幸いです。

 

私(認証機関)

話をまとめます。SIL認証は、「1時間当たりの故障発生率が〇〇件だから、SIL4」、という類のものではなく、「開発の工程がSIL4に求められる方法で行われている」、という点について認証したものです。発行している認証書にもはっきり書いてありますよ。

日本のメーカー

ISO 9001でいうと、改善の機会※のような活動をしていないのに、「うちの製品は品質がいいんだからISO 9001適合事業所だ!」って主張してる感じかぁ。

 そんな人、昔は居たなあ・・・

※ISO 9001で最も大切なPDCAの根幹活動の一つです。
→次ページ  2-マネジメントメカニズムの活用