欧州の鉄道技術・日本の鉄道技術
【RAMS】16-認証書とセーフティケースはセット、参考文献

次に進む

1つ戻る

セーフティケース

セーフティケースは必須

日本の製品をそのまま購入すると相手国が了解しているように日本側で考えている案件であっても、技術力のある相手国側では、認証書及びセーフティケース(安全性を示す書類)を提出するように求められる、とお考え下さい。これは、相手国の行政機関はセーフティケースによって安全性が検証されている製品かどうか審査を行うためです。米国の高速鉄道案件のような「日本の仕様で売り込めた」案件でも、セーフティケースの提出は要求されています。米国の高速鉄道の基準についてはこちらの§ 299.205や§ 299.207の、(PTC Safety Plan:PTCSP)を参照ください。

冒頭のページで以下のようなシーンを紹介しましたように、RAMS認証を求められた場合、認証ばかり目が行ってしまいがちです。でも、セーフティケースが作成されていないことのほうが深刻だ、という話を述べたいと思います。



一部抜き出してみます。

日本のメーカー
 

さっそく来てくれてありがとう。
 今、当社で製造中のA国向け車両に「RAMS認証書」が突然要求されたのよ。A国案件はインフラ海外展開の目玉案件だから、なるべく早く認証してよ。
・・・もしもRAMS認証書が出ないようなことがあったら、あなたの会社にタタりがあるからね。

RAMS認証機関(私)

タタりって、何!?
 ・・まあ、最優先で協力しますし、さっそく認証審査計画書を作って提出しますから、「セーフティーマネジメントプラン」や安全性を示す「セーフティケース」を見せて下さい。
 完成しているRAMS関係書類から、サクサク審査していきますから。




・・という感じで漫画にしていますが、「RAMS認証書」はセーフティケースが無い限り出ません・・・いえ、審査自体はじめられません。

上述漫画のように、突然「RAMS認証書」が要求されてしまうと、とりあえずRAMS認証機関に認証できるかどうか相談したくなります。ですが、セーフティケースが無い状態では審査の材料がない状態なのですから、RAMS認証書が早く出せるかどうかはセーフティケース等の審査書類がいつ提出されるか次第で、認証機関側では判断のしようがないわけです。

それに、セーフティケースは、通常、認証の根拠として製品の納入先にも認証書とセットで提出される(※信号製品は話が別です)ものなのですから、セーフティケースが無いとすると、そもそも認証審査も始められないほどの深刻な状態です。時折「RAMSで膨大な書類を作った」、という話を聞きますが、多くはセーフティケースだと思います。それが無いというのは、・・・かなりまずい状態です。

例えるなら、これから著名な画家が描く予定の絵に、評価鑑定書が出せるかどうかを聞かれている感じです。まあ、出せるのかもしれませんが、評価鑑定書だけあっても肝心の絵がなければ話にならないですし、客先は受け取らないですよね。こんなとき、評価鑑定家としては、お客さん相手ですから「任せてください! 次回の打ち合わせではその絵を見せてください!」と、引き受けたようで、実質引き受けてないような大人な対応をして相談料もいただいてしまうかもしれませんが、実際のところ何も進んでないですよね。

メーカーさんにおかれれては一筋縄にはいかないご苦労があるとは存じますが、セーフティケースを急ぎまとめることに最優先で取り組むべきで、そのためには外部のコンサルタントの方のような慣れた方のノウハウを借りたり、リスク分析だけ専門機関に外注したり、・・・ともかく実際に手を動かしていかないと、その案件は本当に間に合わなくなってしまうと思います。

 

セーフティケースについて

セーフティケースがどのくらいで提出できるかは分からないとしても、セーフティケースが作れる材料が現状どのくらいあるかだけでも把握しておくと、見通しが立てられると思います。時間の節約となりますので、以下の点はぜひあらかじめ参照願います。

図1は、セーフティケース(書類)の構成の模式図です。RAMSによって作成する書類の中から、その安全機能に関して安全性が管理されていることを立証するための書類を集める形になっておりますが、一気にまとめ上げるのではなく、RAMSの製品ライフサイクルの各段階が進むごとに、徐々に充実していくことがRAMSに規定されています。なお図1は、IEC 62425(EN 50129)に定められているものから抜粋しております。

IEC 62425(EN 50129)は、安全関連電子システムの中でも、安全に関係する鉄道信号の構成システム/構成品(safety-related railway signalling systems/subsystem/equipment)に適用することを前提として規定されています。ですが、特に指定がなく、高いSILが要求される製品の場合にはだいたい図1のような感じのものになると思います。

【図1】セーフティケース

図1の右側のPart2は安全を守る組織体制、Part3はSIL(安全レベル)を決めて適切な手をうてることとハザードに対するリスク分析、といった内容になります。製品ごとにはさほど変わらない(少なくとも、起こりえるハザードは同じでは?)ように思いますので、問題となる前に事前に用意すべきだと思うのですが・・? 

図2は、RAMSのキモになる基本的な考え方を示しています。RAMSは機能安全の考え方、すなわちリスク分析をして、許容できる大きさ(青丸)になっていることを検証するという内容ですので、そもそもSIL目標がなかったり、起こりそうなハザードやその対策が書類化されずに製品として完成していては、どうしようもありません。

もしセーフティケースがないのに認証書だけ入手できたとしても(←そんな認証機関があったら、業界から追放だと思いますが)、認証書の証拠として同じく提出を求められるセーフティケースは提出できないのですから、慌てて認証書だけ入手することに、意味はありません。

【図2】RAMSの基本構造

 

セーフティケースの内容について規定しているIEC62425やEN50129では、SIL別に行うべきことが規定されています(図3のようなイメージです)。

メーカーさんには、製品が目指すべきSILはおおよそ見当がつくのではないかと思いますので、IEC 62425やEN 50129の参考情報(AnnexE)をみると、これはできそう、これは無理だ、とわかるのではないかと思います。図3はIEC 62279(ソフトウェア)の図の転用ですけれど、附属書Eもこんな感じですので、ぜひ、ざっと見てみてください。

part3の「安全レポート」部分ついては、規格に書かれている書類名と、各社の文書・検証方式・テスト名とは一致しないはずです。わざわざ合わせていくのもやり方ではありますが、そうすると今の仕事やり方と比べると効率が落ちてしまうと思います。例えば、「規格で要求しているこの検証は、当社ではこの方式だ」という対照表を作るやり方が便利です。これなら、規格への適合性やインプットとアウトプットが対応していることがわかる上に、仕事の仕方の変更は最小限で済ませられます。

検証の深さも問題になると思います。基本的には、ハザードがSILを満たす程度に解決していることを示すように、インプットとアウトプットが対応するトレースが取れていればいいことから、製品の納入先が納得する内容になっているかどうか、という観点で書類がまとめられるかどうかで判断すればいいと思います。

【図3】SILごとに要求される事項(イメージ図)

ソフトウェア(IEC 62279)

ある程度ソフトウェアが使われている場合、セーフティケースを作成する上では、IEC 62425のB.2.6のhardware and softwareの機能の正しさを説明することや、A.4.2.1でソフトウェアに起こるハザードの分析を行うことが要求されております。規格上はわずか数行の要求事項ですが、IEC 62279全部を行うことになりかねないもので、これはかなり大変な作業です。ソフトウェア主体の製品の場合にはIEC 62279に取り組むか、ソフトウェアが適用除外にできる余地がないか、別に行った認証済みの製品の認証を利用する余地がないか、など、広く検討しておくことが必要です。

 、

RAMSに関する参考文献

「参考文献を教えてください」という連絡をかなりいただいています。レスポンスをいただきありがとうございます。

私の旧知の方には理由を詳しくうかがってしまい申し訳ありませんでしたが、いくらでも詳しく分析できるが正直者が馬鹿を見る事態を避けたいことと、検討が足りない事態を避けたい、・・ということで、要は無難に済む相場観を知りたいということですね。

相場観については、『「隕石が落ちてきたらどうするか」も検討すべきか?』とも聞かれています(←これはRAMに対する皮肉か冗談ですよね)。

こうしたことは、私が参考文献にしている文献にも規模感・相場観は書かれていませんし、規格にも書かれていませんので、書いていないということは、起こりえるハザードとそのリスクは、それぞれ検討する人が採択基準や検討を打ち止めにする基準を、製品の特質に応じて決められるのです。

そのため、これまでの事業の歴史から「隕石が落ちてきた」ことがあったか又はあり得るかについて、技術力のある人が判断しても、しなくても、規格には合致していますし、ハザードに採択したとしてもその発生確率は不明ながらも、起こり得るものは検討した(逆に無視しうるほど相当低いと判断したハザードは記述されていない)ことを記載しておけばよいのではないかと思います。つまりは合理的かどうか(無駄かどうか)が、メルクマールです。

合理的かどうかは審査員の判断次第ですから、認証機関の審査員、行政機関の審査員、それぞれ意見が違い、独善的な意見の可能性だってあり得ます。そこでひっかかってしまうようなら議論して、自分たちの判断の妥当性を説明すればよいだけだと思います。面倒ですけれど、仕方ありません。議論に発展しないようにしたい、と考えること自体が日本的な発想で、これならすんなり通る、というようなものは無いのではないか、と思います。

もし、審査員の言うように確かに検討に抜けがあったなら、検討を加えるしかないものと思いますが、結論が変わるほどの抜けが指摘されることは、長年の実績がある日本企業の製品においては起きないと思います。

以下に、RAMSの参考書籍を挙げますが、私のほうが知りたいくらいです。
 最近「ISO 9001の本がいい」という話を聞いたことがあるのですが、ISO 9001の解説本はCheck活動と、Do活動を本当にちゃんと行うための方策について詳しく説明されていることが多い気がしますので、どちらかというとIEC 61508(機能安全)についての解説本が役立つと思います。Design Review活動について進めるコツが書いてあったりと、読み物としてなかなか面白いですよ。

  • Mise en œuvre des normes CENELEC 50128 et IEC 62279  ,Jean-Louise Boulanger著, 2014
    →ソフトウェア規格について、事例と解釈が詳細に書かれている。 英訳版の「CENELEC EN 50128 and IEC 62279 Software for Safety Related Systems」,2015年、も出版されています。

  •  Matériel roulant dans le système ferroviaire ,Tome 1,Eric Fontanel及びReinhard Christeller著,2016
    →車両部品のリスク分析について、様式や考え方が紹介されています。
  • 「(調達する)列車に要求すべき主要事項」英国

上記の3つめについては、英国の鉄道運行事業者とインフラ管理会社の集合体(RDG)がまとめている、車両に要求すべき事項を傘下の鉄道事業者に示している「ひな形」文書です。具体的な数値は除外されていますが、RAMSについての要求事項も書かれていますので参考になるのではないかと思います。

また、私が勝手に師匠だと尊敬してやまない方のRAMSブログを是非ご紹介させてください。こちらのリンクが八木技術研究所さんのインターネットサイトです。CBTCについてのブログも実際に各地で導入に当たっておられただけにおもしろい情報があふれています。

 

参考文献ではないですが、NoBoを務めているような著名な認証機関では、1〜5日間程のEN50126等の規格のトレーニングコースを有償で開催しています。国内でコンサルタントを行われている方も、こうしたセミナーを修了されていると伺っております。開催頻度は年に1回以下ですが、「EN xxxxx training」 で検索したりすると見つかります。

RAMSの最新版の欧州規格EN50126-1:2017では、ISA(独立安全評価者)が行う活動のうち、RAMSに関するISA業務について明確化され、また、independent safety assessment reportという語も登場(従来はEN50129・IEC62425(セーフティケース規格)のみでしたが)するように改訂されていますので、知識のアップデートは必須です。: