次に進む
1つ戻る
- 0.はじめに、RAMS認証書をすぐ出して
- 1.機能安全とRAMS、SIL認証
- 2.マネジメントメカニズムの活用
- 3.日本流とRAMS流の比較【初期段階】 MS構築
- 4.日本流とRAMS流の比較【第3段階・第4段階】PRA,SRA,セーフティケース
- 5.日本流とRAMS流の比較【第5段階〜第7段階】
- 6.Codes of Practice(実績に基づく評価)
- 7.テンプレートによる対応
- 8.HAZOP・FMEAについて
- 9.認証コストを抑える工夫・プロジェクト体制別認証対応
- 10.安全関連・非安全関連機能の分別、国際標準化活動
- 11.セーフティケースの概要(EN 50129)
- 12.日本流とRAMS流の比較【第8段階以降】
- 13.EN 50128(IEC 62279)の構造について
- 14.信頼度と安全性について
- 15.RAMSクイズ
- 16.認証書とセーフティケースはセット、参考文献
- 17.V&V
- 18.RAMSに基づくISA
- 19.RAMS認証についての誤解
- 20.RAMSの安全性立証戦略
目次
具体的な規格対応
セーフティケース(EN 50129、IEC 62425)
この部分を追記します。
EN50129(IEC 62425)の概要
この規格は、システムや部品の安全に関して、必要な安全性を確保するための管理を行ったことを立証する書類である「セーフティケース」をまとめることを記述しています。ハードウェアの安全についての証明については、後述します。
セーフティケースは、RAMSに基づく活動で様々に作られる計画や検証結果の文書を参照するものですので、具体的な個々の活動はそのリンク先の文書を参照する形になりますが、一般的に複雑なシステムほどセーフティケース本文とリンク先文書の総量は膨大な量になります。よく言われる「RAMSの文書がトラック〇台分だった」という話はこれの話ではないかと思います。
セーフティケースは製品の安全性を立証するものですので、行政機関、利用者、サプライヤ同士、あるいは認証機関やNoBo又はAsBoの審査対象となるため、認証書が求められない案件であってもセーフティケースは求められることはあります。
主力製品がすでにあるけれど「セーフティケース」として文書がまとまっていないメーカーさんにおかれては、セーフティケースに書かなければならない文書(図1参照)が、現状でどのくらいそろっているか、という観点からこのEN50129(又はIEC62425)を逆から眺めることで、もしある日突然セーフティケースの提出を求められた場合にも、あわてずに、どのくらいの文書が準備できそうかが把握できるのではないかと思います。
EN50129の位置付け まとめ
- EN50129は、RAMS(EN 50126-1:2017)において作成しなければならない各種文書のうち安全性に関して、品質管理、安全管理手法、安全を担保する技術的な理由を立証する書類「Safety Case(セーフティケース)」のまとめ方を規定するもの。
- EN50129は、安全関連システム全体にも、単体の部品にも適用することが可能とされている。一般的に複雑なシステムほど膨大な量となる。
Safety Caseの利用状況
- Safety Caseは、サプライヤ同士、鉄道事業者、行政等の安全性の確認・審査に利用されている。
- RAMS認証書は不要でも、Safety Caseの提出を求められる場合がある。
図をクリックすると、見やすいpdfファイルが表示されます。ご参考に。
RAMSのテンプレートより「検証の深さ」
RAMS対応をしようとした際に、何から手をつければよいか情報がない、という話を聞きます。
そのような方はこれまでご紹介した機能安全に基づいて、マネジメントを行える組織が、計画を作ってリスク分析してリスクを減らしていくイメージが規格の概要ですので、そのような背景が分かった上で規格を読めば、RAMS規格に書いてある内容から想像がつくと思います。
このセーフティケース(Safety Case)については、英国とドイツでは違う傾向だ、と、2002年度に鉄道総研さん事務局で開催された第1回RAMS講習会で、ドイツ・ブラウンシュバイク大学の教授であった(当時)講師から聞いています。英国は手順の確かさの証明に重点がおかれ、そのような書類が多く添付されるが、ドイツはリスクをどのように解決しているかの検証に重きがおかれる傾向がある等、欧州域内でも特定のやり方はなく、ドイツからみれば、イギリスのセーフティケースは「ケース」(書類入れ)だ、という話です。規格に具体的なやり方やフォーマットまで決まっている訳ではないので、会社や、認証機関によって違うのは構わない、むしろ当然なわけです。
最小限、押えなければならないポイントは規格に書かれているので、規格に書いてあることに応えていけばいいのです。その深さや網羅性については迷うと思いますが、取りあえず簡潔に書いて全体を一旦完成させる方針で進めると頓挫しないと思います。
テンプレートがあったとしても、製品の種類によっては過剰な検証をしているかもしれませんので、テンプレートなどというものは却って弊害が大きいように思います。2005年度(平成17年度)に国交省鉄道局が、主要鉄道事業者さんやメーカーさんの参画を得て検討した「車両分野テンプレート」と「信号分野テンプレート」という2つのRAMSを踏まえたテンプレートを配布していますが、その後名前を聞かないことからも明らかだと思います。どんな製品にも合うテンプレートなんて作れないですから。
このテンプレートは内容的にも各項目に趣旨の説明もしている点も、しっかりしており良書なのですが(※GA製品・SP製品の区別や、トレーサビリティの言及が弱かった欠点もありますが)、一度ともかくも作成作業を始めてみると、このようなRAMSテンプレートよりも、ある項目についてどこまで検討すればよいのか、検討の深さがこれで必要十分なのかどうか?、という点に指標・相場観・何か専門家のアドバイスがあることのほうが役立つと実感していただけると思います。
追記はここまでです
具体的な対応
前おきが長すぎてすみません。Safety Caseに関しての具体的なやり方なのですが、・・・
@関係する規格、具体的にはIEC 62425の5章が関係することを理解しつつ、本文から参照される付属表を以下の表のように整理していきます。本文の5.章から、別表が多数引用されていますね。
A次に、RAMSライフサイクルのどの段階の活動にあたるか、IEC 62278(EN 50126-1)と対照しながら決めていきます。E1については、セーフティプランの計画ですので、RAMSでは第2段階で確立(Establish)し、第3段階で更新することになっていますので、第2、第3段階は必須です(第1段階での分析が関係する場合もあります)。
Bそのあと、その段階の時点で、実際にその活動を行っていきます。
C後の第5段階で設計を決める際か、第6段階で計画を実施する際において不足している項目が見つかる場合、第1〜3段階に戻って不足を補っていきます。
初回は行きつ戻りつして大変ですが、次回の案件の際にはより円滑に検討作業ができると思います。
| 節・ 表番号 |
内容 | 5.2品質管理方法 | 5.3安全管理方法 | 5.4機能的・技術的安全性 | 5.5安全性受入 (結論) |
B.3 故障の影響 |
| 附属書 A |
SIL | x | ||||
| 附属書 B |
詳細技術的要求事項 | x | ||||
| B.2 | 正しい動作の保証 | x | ||||
| B.3 | 故障の影響 | x | ||||
| B.4 | 外部からの影響 | x | ||||
| B.5 | 安全関連適用条件 | x | ||||
| B.6 | 品質管理試験 | x | ||||
| 附属書 C |
部品のハードウェア故障モード | x | ||||
| 附属書 D |
補足技術情報 | x | ||||
| 附属書 E |
E/E/PEへの技法 | |||||
| E.1 | セーフティプラン、品質保証活動 | x | x | |||
| E.2 | システム要件 | x5.3.6 | ||||
| E.3 | 安全組織 | x 5.3.3 | ||||
| E.4 | 機器のアーキテクチャ | x | ||||
| E.5 | 設計の特徴 | x | ||||
| E.6 | ハザード解析方法 | x | ||||
| E.7 | 設計と開発 | x5.3.7 | ||||
| E.8 | 設計関係文書化 | x | ||||
| E.9 | 設計の検証と妥当性確認 | x5.3.9 | ||||
| E.10 | アプリケーション | x5.3.12 | ||||
| IEC 62279 | 6.7.4 | x |