欧州の鉄道技術・日本の鉄道技術
【RAMS】1-機能安全とRAMS、SIL認証


もしRAMSについて、このページからご覧になられた場合、前のページからご覧下さい。


機能安全とRAMS、SIL認証

RAMSの考え方

日本のメーカー

RAMSは、12段階のライフサイクルの各段階で決められている手順をちゃんと行いました・・って、文書で説明すればいいのでしょう。
 作る必要がある文書は、車両を納入した後に必ず作るから、認証書だけ先に出してよ。

認証機関の審査員

「段階に分けて、一歩一歩進めた」か、どうかが重要なのです。いくら後から書類が整ったとしても、それは、まとめて2〜3歩進んでいるのだから、やり直しになりますよ。
  (…危険だ、この会社)
 ・・あ、いえ、何でもないです。RAMSによる手順と日本流の手順の業務比較をしていきますけど、その前に、RAMSと、そのベースになっている機能安全の要点だけ説明させて下さい。

RAMSとは

 

RAMS(ラムズ)は、国際規格IEC 62278:2002(及びEN 50126-1:2017)「鉄道分野−信頼性、アベイラビリティ、保全性、安全性(RAMS)の仕様と実証」という国際規格です。鉄道システムの安全性・信頼性等の評価を行う手順を規定しています。IEC 62425(いわゆる「セーフティケース」)も、RAMSと総称されることもあります。

RAMSでは、製品のライフサイクルを示す12段階(IEC 62278や旧EN 50126:1999では14段階)のそれぞれの業務と、各段階で行う確認作業を示した下図(EN 50126-1:2017の図7、IEC 62278では図5)で解説されることが多いのですが、ここでは、12段階に分かれていることと、各段階ごとに確認者(Verifier)が、各段階で行うべきことが終わっているかを確認(Verification)しないと基本的には次の段階に進めない(終わらさずに進んでいる場合は、最悪やり直し)、ということだけ押さえてください。

余談ですが、「モノづくり」としてイメージされる「設計」、「製造」といった活動は、第6〜第7段階で割合後のほうの段階であって、RAMSでは、設計や製造よりも前の様々な活動を1歩1歩進めていくことが求められているわけです。よくきく「RAMSの対応に苦労している」、という話は、よく聞くと第2段階〜第4段階あたりの活動で苦労しているという話が多いです。

【図】RAMSライフサイクルモデル(EN 50126:2017による12段階)
V-cycle
 

機能安全とは

機能安全規格(IEC 61508シリーズ)は、安全要求事項に適合するコンピュータプログラムを利用する製品(E/E/PE)を構築するための国際規格で、これを鉄道分野に特化した規格(セクター規格、といいます)がRAMSです。機能安全規格自体は、自動車分野、航空分野など、さまざまな産業における製品開発で使われています

現代の多くの電気製品は、内蔵コンピュータプログラムによって、状況によって複雑な動作をしますよね? 例えばIHヒーターは過加熱の場合にはスイッチを押しても加熱しないようになっています。こうした内蔵されたコンピュータプログラムで、危険を防止する機能を「安全機能(safety function)」と呼びます。

「安全」とは「危険がない状態」と定義されています。 機能安全では、さまざまな間違いや不具合は「いつか必ず起こる」と考えるため、その製品を開発・製造し、その後長年使っていく間にどんな「リスク」が起こるかを、開発段階であらかじめ想定しておきます。そして、営業投入後も、リスクを発見しては、リスク想定を更新していく活動を続けます(例えばRAMS(鉄道)では、PHA(初期)→SHA(システム)→SSHA・IHA(モジュール)を行い、運行開始後にもOHA(運行)→OSHA(運行維持)・・と絶え間なくリスク・ハザードの更新をします。)
 そうすることにより、その製品に起こりえると想定されるリスクすべてに対して、適切な対策をする、すなわち「安全機能」を持たせていくと、最後には下図のようにリスクが許されないレベル(青丸)より小さくなります。この製品には、許されないレベルのハザード(事故)は生じなくなる・・・・はずです。

【図】機能安全によるハザード防止の考え方

このような、リスクをあらかじめ列挙しておき、そのリスクを、自分たちでちょうどよいと決めた目標に入るよう、安全機能等の対策を行って潰していって、許容されないレベルのハザードが起こらないようにするのが「機能安全(functional safety)」の特徴です。

 鉄道信号分野の製品の機能安全については、1997年に鉄道総研がとりまとめた通称『(第3の)赤本』(列車保安制御システムの安全性技術指針)により、IEC 61508(当時は素案)に沿って、あるべき姿がガイドラインにまとめられていますので、信号分野に興味のある方はそちらをご参照下さい。このサイトでは、信号分野についてのノウハウは記載しておりませんので。

前ページに示した、登山ガイドAさん、Bさんの例は、山で起こりそうなあれこれがリスクで、これに対応する対策が装備ということになります。すべてのリスクに対して装備(対策)があれば、大きな事故(ハザード)は防げることになります。

どんなリスクが起こるかを想像することは、人によって考え方が違ったり、見逃したり、「それをリスクとして挙げるのは止めよう」という気持ちが働いてしまうことがありますので、RAMSでは独特の手法がとられています。後ほど、日本とRAMSとの違いとして紹介しますね。

また、SIL(Safety Integrity Level):安全度水準も、この規格で規定されています。このすぐ下の項目「SIL(安全性水準)認証について」では、SIL認証は、故障の種類を踏まえて必要な安全性に合う手法で開発したことの適合性評価である・・・、という話をしているのですが、書いてみたところ非常に細かく、99%の人にとって興味のない話になってしまいました。そのため、一旦は読み飛ばして下さい。「その5」の、proven in use(実際の運用実績)と関係しています。

 

SIL(安全度水準)認証について

SIL(シル)とは、製品/またはその部品/またはその機能について、安全レベルをSIL1からSIL4までに分類して数字で表したものです。 SIL 0は、安全性に関する要求が無いこと、つまり、安全性が期待できない部品だということを意味しており、SIL 4が最高水準となります。SIL 4の場合、1時間当たりの危険側故障率が1×10-9以下・・という1万年間に1回あるかどうかというきわめて小さい値になります。

雑誌や製品パンフレットで「SIL 4認証を得ている」と謳っているものを多数目にしますが、そのようなものです。鉄道分野の製品の場合、EN 50128(ソフトウェア)又はEN 50129(ハードウェア)のSILの定義に適合していることについて認証を受けることが多く、RAMS認証の一形態といえます

※より細かくいうと、ソフトウェアとハードウェアでは、製品品質を確保するためのRAMS手法が異なるため、1つの製品でもソフトウェアだけEN50128に基づき、ソフトウェアがSIL4(又はSIL2)だ、という認証を受ける場合があります。ソフトウェアの認証についてEN50128(IEC 62279)についてのところで後述します。

SILがこのような小さい値を目標としている理由としては、以下の効果があるためと考えられます。

  • 1つ一つの部品の故障率がいくら低くても、多くの部品を組み立てたシステム全体については安全性は下がってしまうものの、それでもなお安全性が十分保てる
  • 故障率が十分小さいので、長期間の検証試験をするまでもなく安全だ、と期待できる。
  • 制定当時(1990年代後半)の、さまざまな分野の安全関連E/E/PE(コンピューター内蔵製品)の実態とよく合っていて、技術者の相場観とも合っていた。

 

ところで、RAMS(EN 50126-1:2017)では、SIL 1より低いSILのことを「Basic SIL」と呼んでいますが、IEC 61508では「SILが無い」、という扱いになります。
 SILについて、認証機関では「SIL認証」という認証を行っています。認証機関の中には、SIL認証ができる能力を、権威のある機関(認定機関)からお墨付きを得るところもあり、SIL2(安全性が高い)かSIL4(非常に安全性が高い)を認証しています。

SIL認証は実プロジェクトではRAMS認証の一形態として扱われています。なぜかというと、この「SIL」の「I」は、Integrity(完全性)を意味しているのですが(※「完全性」とは、荒く言うと製品がいかに確実に機能を果たすか、という意味で、安全機能ごとに必要なSILを満たすように安全関連システムに必要となる機能を決定するための指標として使われます。)、具体的には、その安全機能に起こりうる故障等のリスクにあれこれ対策を立てて、そのSILを実現するためにこれが必要、とRAMSの関連規格に書かれた対策を行った、という過程を立証することで、SIL認証が得られる仕組みで、RAMS認証の部分集合に相当するためです。どちらの認証もマネジメントに対する認証です。

IEC 61508やRAMS(関連規格を含みます。)では、ハードウェアとソフトウェアでは故障の性質が異なっていることを前提としております。ハードウェアに起こる故障は確率的に起こる「ランダム故障」、一方、ソフトウェアに起こる故障は元々のプログラムミス(バグ)に起因する、いつか必ず生じる「決定論的原因故障」(システマティック故障と通称される)と表現されています。ソフトウェアの故障は、確率的に起こるのではなくて必然的に起こるわけです。

SIL認証では、こうしたソフトウェア、ハードウェアに起こる故障の性質の違いを踏まえて、ソフトウェアについては必要なSILの水準に合わせて、ハードウェアとはまた別のテクニック&メジャー(手法)を使用しているかどうか(IEC 61508-3で推奨しています)等を認証機関に立証し、認められることで、「この製品はSIL4(SIL 2)の手法に適合した開発が行われている」というSIL認証書が与えられます。

私(認証機関)

話をまとめます。SIL認証は、「1時間当たりの故障発生率が〇〇件だから、SIL4」、という類のものではなく、「開発の工程がSIL4に求められる方法で行われている」、という点について認証したものです。発行している認証書にもはっきり書いてありますよ。

日本のメーカー

ISO 9001でいうと、改善の機会※のような活動をしていないのに、「うちの製品は品質がいいんだからISO 9001適合事業所だ!」って主張してる感じかぁ。

 そんな人、昔は居たなあ・・・

※ISO 9001で最も大切なPDCAの根幹活動の一つです。