欧州の鉄道技術・日本の鉄道技術
【RAMS】10-安全関連・非安全関連の分別、国際標準化活動

次に進む

1つ戻る

そして、なんとかなった

次回案件でまた会いましょう

A国と交渉したら、認証が必要なのは安全に関わる部分だけでいいって。
 安全に関わる/関わらないの機能整理は、ブレーキと、制御装置だけになったよ。
 さっそく対象の部品メーカーに、SIL2かSIL4の認証を取得するようにぐいぐい圧力をかけているところよ。

安全関連機能(モジュール)/安全非関連機能(モジュール)が整理されていたのがラッキーでしたね。
 それはそうとして、自分の会社の問題でなくなるやいなや、部品メーカーに認証を求めるのって、自分に甘く、他人に厳しすぎじゃないですか?

安全関連・非安全関連機能の分別

複数の認証を組み合わせにより認証コスト(時間・費用)を低減させることを前述しましたが、認証を組み合わせられるためには、製品の機能(部品)がモジュールとして切り分けられるとともに、そのモジュールが安全関連なのか、非安全関連なのかが分析されている必要があります。

もし明確に切り分けられていなかったり、安全関連かどうかが明確ではない場合には、下の図1(上半分)のように、安全関連の機能に対して信頼性が低い「機能A」からの怪しい出力が入ってくることによって、製品全体の目標とする安全性が期待できなくなってしまいます。

この切り分けが出来ていないと、下の図2のように、改めて製品全体を認証することになりかねず余分なコストを要する可能性が生じます(切り分けられていれば、前述のように、認証を取得していない差分部分だけで済む可能性)。そうならないためには、製品のモジュール又は有している機能の相互関係、入出力データの関係を整理し、そのモジュールや機能が安全関連か非安全関連かを決定し、かつ両者が混在し非安全機能が安全機能に悪影響を及ぼさないように対策することが、認証コスト低減の上で重要です。 

特に、客先からの依頼でカスタマイズした便利機能のような、スペシフィックな機能は、普段は便利なのでしょうけれど、もしかすると本来の安全機能を台無しにしてしまうかもしれませんので、構成(system configuration)はよく確認をすることが大切です。

【図1】 (上)安全関連/非安全機能の混在  (下)明確化及びSIL混在の防止

 

【図2】安全性の異なる機能が混在している場合

※認証済みの部分(点線部)も、影響度合いが不明なため安全性を評価しなおす必要がある。

モデル駆動型アーキテクチャの考え方

上記の切り分けについては、一見複雑なことをしているように見えますが、実はソフトウェアが組み込まれた製品作りではよく行われている手法です。

システムをプラットホーム(一般的な土台部分)に依存する部分(PSM:Platform Specific Mode)と、プラットホームから独立している部分(PIM:Platform Independent Model)とに分けて製作することは、MDA:Model Driven Architectureと呼ばれています。

鉄道製品においても製品開発や認証対応を考えるためには、まず機能ダイアグラム又はデータフロー図を作成することが有効で、その際にプラットホームと、その他に分けて記述することで機能分別を行い、製品の展開戦略に合わせて認証戦略を考えることが必要ではないかと考えております。

安全性は中立性によって担保

RAMSでは、安全性が要求されるものほど(SILが高くなるほど)、中立性が高い技術者(ICP:Independent Competent Person)が、RAMSライフサイクルの各段階で実行結果の検証をすることで、安全性を担保しようとします(前述)(ICPは自社の状況に合わせて第2段階において検討し、計画しておきます)。

検証作業を後からやり直すことはほぼ不可能ですので、新製品の開発前には検証者を他部門やプロジェクトメンバー外から検証の専属者を宛てるなど、IEC 62279(ソフトウェア,EN 50128)、IEC 62425((英国での通称)セーフティケース,EN 50129)、IEC 62278(RAMS,EN 50126)に定められている組織に合致するように規定しておくことは、後々のために行っておくべきと考えます。担当者同士では分かり切っている業務分担や、その検討結果を、箇条書きで書いてみるようなイメージですよ。

【図3】検証者の中立性(左:日本流(暗黙知ベースの流儀) 、 右:RAMS流)

安全性等の目標値

RAMSでは個々の部品に安全性目標、信頼性目標などを事前に決めておき、部品や、システムが目標を達成したかどうかを検証します(達成していないと前の段階に戻ってやり直しです)。これにより、システムが組み上がったときのシステム全体が安全性目標、信頼性目標等を達成することを確実にします。また目標を決めることで、必要以上の過剰な安全性を求めないことも特徴です。

【図4】 目標値との対比

RAMSライフサイクルにおける第1段階でのコンセプトや、客先の要望から目標値を定めていくことが必要ですが、日本流では既存品を目安にする相場観はありますが、明確にはしていません。

前述の安全関連/非安全関連の区別を決められるのですから、システム全体の目標値は決めることができると考えます。

 


・・・という訳でね、部品メーカーに聞いたら、今回使う部品は認証取得済みで、安全性目標値に十分入っているって。
 その部品メーカー、A国のカスタマイズ要求に妙に抵抗しているなあって思ってたんだけれど、今思うと、認証済の機能が変わらないように守っていたんだね。A国に認証書は提出できるし、一件落着。慌てて損したわ。

「認証は安全関連部品だけでいい」と断言してくれたA国の審査力と、部品メーカーに救われましたね。

・・・というわけで、認証書問題は一件落着しました。次回の海外案件では同じバタバタを繰り返さないことを期待したいです。

組織体制を決めておくことや、何も問題点が出なかった場合でも検討記録を取ることだけはすぐ出来るんじゃないかと思うのですけれど、変える気は無いかなあ。

国際標準化活動の必要性

ここまで読んでこられた方は、元々RAMSに相当詳しい方と存じます。ありがとうございます。


 ここまでRAMS流の業務と日本流の業務の比較をしてきましたが、 「なんでうちがRAMS流に合わせないとならないのか、問題だ」、と思われる方は、まさにその気持ちが、国際標準化活動へ参画する重要性です。今後機会を捉え、国際標準化活動への参加をおすすめしたいです。 国際標準化活動は、JISCが日本を代表して取り組んでいますが、実際に会議に参画する方は、関係メーカーや関係ユーザーですから機会を捉えて、国際規格審議団体にご参加下さい(鉄道分野の場合、鉄道国際規格センターが国際規格審議団体です)。ただ、日本は1票、欧州は30票近く(会議によって違いますが)あるため、多数決では到底勝てません。

鉄道分野に限らず、他分野も共通して欧州規格がベースになって提案され、制定された国際規格が多くなっています。詳しくは述べませんが、国際標準化団体(ISO、IEC)と欧州標準化団体(CEN、CENELEC)らとのドレスデン協定、ウィーン協定があることでも、欧州規格は国際規格になりやすい仕組みがあるためです。また、欧州規格は力がある(※)ので、日本企業など産業界も、欧州規格と、国際規格が違ってしまうと個別対応になってコストがかかるから、多少の違いは気にせず、欧州規格=国際規格 となることを望んでいます。そのため、欧州規格と同じ国際規格が多数出来ています。

補足

※「欧州規格は欧州地域のものでしょ」(アジアは関係ない)と考える方が多い気がしますが、東南アジア案件は基本的に欧州規格で要求事項が書かれています。まず、この理由を考えてみます。

欧州のコンサルタントの方が仕様書を書いているから、という面もありますが、欧州規格に対応する国際規格よりも、参照規格が多いために製品の仕様が絞れることから好んで欧州規格で要求事項が書かれているという話も聞きます

欧州規格で要求されているものについては、受託する方が発注側に、欧州規格と国際規格が同じ、又はproduct deviationが無い(※製品に、要求されているの欧州規格からの逸脱がない)ということを説明して了解をもらう手続きが必要になっているのが現状です。

ISOやIECの国際規格もそのような扱いを受けている状況ですので、「アジアにJISで売りこもう」と意気込まれてる方もおられますが、相手がある話ですからdeviation次第だと思ったほうがよいと思いますです。もちろん乖離が小さければOKされやすく、乖離が大きいと受け入れられにくくなります。

 補足はここまでです。

その背景としてはここで紹介したように、ニューアプローチ指令により、欧州法令を下請けするEN規格(ハーモナイズド規格)を欧州の行政機関が必要としている事情があり規格化のモチベーションやコストが全然違うからなのですが、欧州域内の各国や、欧州のグローバル企業は、CENやCENELECといった欧州規格制定の場で頑張っているので、欧州の組織も苦労をしている訳です。この辺の事情は、ここに後述します。

RAMSは、ハーモナイズド規格ではありませんが、車両TSIや信号TSIから引用されているものです。国際標準化活動における綱引きの結果生まれた国際規格です。その前の欧州規格になる段階でも欧州各国で厳しい綱引きがあったそうです。

国際規格審議では「自社(自国)では使っていない」「自社が対応できない」というような理由では、いかに切実であっても、反対する理由にはなりません。
 そのことを言うならば、「他により良い方法がある」ことを主張し、自社(自国)が少しでも有利になるように持っていくことが賢明な方法です。国際規格自体、貿易の円滑化、産業コスト縮減、地球温暖化対策、など、誰も反対できないような大所高所レベルで国際規格化を進める理由付けをして規格審議が進められていますので、自社(自国)が使っていないことは、理由にはならないのです。そのため、自分の意見をいう場合も誰も反論できないような理由を挙げて、「他の既存の国際規格をより生かすため」「科学的にみてよりよい方法がある」などを元にして三段論法で意見を出することが必要です。その結果、自分の都合がよいように少しでも変えるか、そこまでは難しくとも何か項目を追加するなどが可能になると思います。


 国際規格審議に参加している他の国の委員も、同じように、(100%は無理だとしても)少しでも自社(自国)のコスト増とならないために どうすべきか計算しながら、うまい理屈をこねて戦っています。そのような中で、「自社(自国)では使っていない」と言う人は、参加しようという意気込みは立派ですが、ぜひ理由作りを磨くことで活躍して欲しいと思っています。


自社に有利な提案

例えばですが、ISO 14001:2015(環境マネジメントシステム:EMS)の鉄道セクター版規格(REMS:仮称)を作ろう!、と、他国から提案されたとし、紆余曲折を経たのち、多数決の結果国際標準化を進めることが決まり、WGが設置されて審議が始まったところに出席するとします。

EMSの趣旨は立派ですし、国際標準化を進めること自体は上部委員会で決まったことですから、WGの席で規格の必要性自体を論じることは賛同が得られないです。また、規格ができたからといって規格が普及したり、その認証が広く使われるかどうかは別問題ですので、以下のような提案をする対応が考えられます。

【規格が使われる機会を減らす提案】

@各国で法規制されるべき「重い」内容は規格になじまないため含めないことを提案する・・・こうすると、この鉄道版規格を使う動機が減りますので、規格が使われる可能性が下がるでしょう

A鉄道特有の内容だと提案される内容が鉄道特有ではないことを示し、欧州地域限定の参考情報(informative)など、規格要求事項から格下げする・・・例えば、「欧州で使っている」という理由は欧州のローカル事象だということで反駁できるため、アジアなどの他の地域の鉄道案件で使われる動機が減らせます

【自社の悪影響を減らす提案】

@業態によって大きく内容が異なるもの(例えば「環境目標の設定」等)は、各社に任さざるを得ないので具体的な内容は規定しないことを提案する。

これが成功すれば、新たに行わなければならない事項が減り、取り組み中の環境活動が規格に適合した活動と位置づけられることでよい影響が生まれるでしょう。

A自社では行っているが、大メーカーでは実施が難しい事項に置き換える提案をする。

例えば、「クレームの収集については、「待ちの姿勢」の対策Aではなく、製品のユーザーと定期的な会合を持って積極的に収集する対策Bを規格で要求すべきだ」、と提案する・・・グローバル企業では対応できないような代替案がより有効だという提案することで、最終的には『環境配慮に対する取り組みへの顧客クレームの収集は、対策A(←大企業に有利)又は対策B(←自社に有利)により行う。」と、出来ない事項(対策A)は出来る事項(対策B)と並列記載になれば、自社への影響を減らす。

B自社では行っていないことが規格に多数書かれている場合、他の規格の概念を持ち込み、自社では行っていないことが非主流事項であるように見えるようにする。

例えば、ISO 22163への「機能要求」「非機能要求」という概念を持ち込むことで、発注仕様書の客先要求として書かれた項目を機能要求と呼び重点対策と評価を行うが、明示的に要求され無い事項は非機能要求と位置付け、自社がコストの範囲で取り組めばよいベーシックな事項にするような切り分けに利用するようなことです。

 

→次ページ 11-セーフティケースの概要(EN 50129)へ