次に進む
1つ戻る
- 0.はじめに、RAMS認証書をすぐ出して
- 1.機能安全とRAMS、SIL認証
- 2.マネジメントメカニズムの活用
- 3.日本流とRAMS流の比較【初期段階】 MS構築
- 4.日本流とRAMS流の比較【第3段階・第4段階】PRA,SRA,セーフティケース
- 5.日本流とRAMS流の比較【第5段階〜第7段階】
- 6.Codes of Practice(実績に基づく評価)
- 7.テンプレートによる対応
- 8.HAZOP・FMEAについて
- 9.認証コストを抑える工夫・プロジェクト体制別認証対応
- 10.安全関連・非安全関連機能の分別、国際標準化活動
- 11.セーフティケースの概要(EN 50129)
- 12.日本流とRAMS流の比較【第8段階以降】
- 13.EN 50128(IEC 62279)の構造について
- 14.信頼度と安全性について
- 15.RAMSクイズ
- 16.認証書とセーフティケースはセット、参考文献
- 17.V&V
- 18.RAMSに基づくISA
- 19.RAMS認証についての誤解
- 20.RAMSの安全性立証戦略
目次
RAMSによる安全性評価機関、安全指令による評価機関
RAMSの考え方

ISAは安全性評価と同じなのかな
認証とは
ISO規格(及びその翻訳であるJIS Q部門の規格)では 、往々にして一般語とは少し異なる定義が行われていますので、まず初めに用語を紹介させていただいたうえで、適合性評価の一端を担う独立安全性評価「ISA」について紹介させていただこうと思います。

上図に示されるように「認証(certification)」は「適合性認証(conformity assessment)」の形態の一つです。
そのため、認証する場合と全く同じ「適合性評価」活動をしたとしても、その評価結果として第三者証明を発行しない場合は「認証」には該当しないのです。
海外での鉄道プロジェクトでは、現地の法令や国際規格等に適合しているかどうかを第三者機関が技術的に評価することはしばしば行われておりますが、その適合性評価結果を「認証(certification)」として提出するか「証明(attestation)」(※呼び名は、安全性証明(safety attestation)、適合性評価報告書(conformity assessment)等、様々)として提出するかは、その鉄道プロジェクトの内容や、ステークホルダーの要求、コスト、あるべき責任分担等を考慮して決められます。
認証、表明、宣言等の類例を下図に示します。ただ、どれにも該当しないケースもあり得ます。

安全性の第三者評価
鉄道関係で適合性評価が要求される場合としては、主に以下の3タイプがみられます。
- 各国法令に基づく適合性評価 (例)OQA(フランス法に基づく)、欧州のTSI((EU)2016/797)に基づくEC Certificate of Conformityなど必須のもの
- 鉄道事業者や発注者が任意に要求する適合性評価 (例)RAMS認証
- スポンサー(現地政府、ODA供与国、銀行)が要求する適合性評価
上記の1は、法令に定められたルールに基づく第三者評価が必要で、一般的に「認証」が求められる場合が多いと思います。しかし、2,3の場合には、法令や規格に適合していることだけ示せればよい、という方針から、「認証までは不要。適合しているという表明だけでよい」、と指示される鉄道案件も見られます。
その理由としては、認証は一般的にはISO/IEC 17065に適合していることを、他の有資格機関の認定(上述のとおりISO/IEC 17011に基づく能力を持つ、1国に数か所しかない機関です)から認証された機関が行うため(※有名な機関の中にはブランド力があるので当てはまらないところもありますが)、認証にはコスト(時間、工数、費用)もかかり、自由度も低い場合が多いことが理由の一つはないかと考えられます。
ISA業務とは
ISA(Independent Safety Assessment:独立安全性評価)とは、プロジェクトの担当者から独立した立場の十分な技術力を持った方が、設計者等とは独立の立場から安全性をアセスメントする活動のことです。
この業務をISAと呼びますが、この業務を行う技術者についても「ISA」と呼ばれることがあります。
海外の鉄道プロジェクトで適合性評価を要求されることの多いRAMSや、EN 50128(ソフトウェア安全)等のRAMSに基づく規格では以前からISAの独立性が規定されていましたが、2017年に改訂されたEN50126-1(RAMS)及びEN50126-2(RAMS実証)では、各段階での業務がより明確になりました。
例を挙げると、RAMS第9段階(システムバリデーション)や第7段階(製造段階、ただし初品生産時)において、要求される場合には「ISA report(ISA報告書)」の発行が必要であることが規定され、安全要求事項や鉄道運行を行う上で考慮すべき事項について安全性を検証する役割がより明確になりました。
RAMSの製品ライフサイクルに基づく安全性評価を行う規格におけるISAへの言及箇所は、以下のようなものが挙げられます。
- EN 50126-1:2017 RAMS。6.8.1、6.8.2 等
- EN 50126-2:2017 RAMS実証。6.2、7.、G.4等
- EN 50128(IEC 62279) 鉄道安全ソフトウェア。5.1.2.6
- EN 50129:2018(IEC 62425) (イギリスでの通称)セーフティケース。5.3.15
- EN 50657:2017 車上ソフトウェア。 5.1.2.6、図2
上述のうち、EN50126-1の6.8.2.においては、ISAが行う業務や独立性について、以下のような事項が規定されています。
- 安全性評価活動はすべて独立して行うこと。
- ※後述するように、プロジェクトマネージャーからの独立が規定されています。
- 独立安全性評価の内容・範囲は、評価を担当する組織が作成したISA(独立安全性評価)計画(Independent safety assessment plan)に基づいて行うこと。
- 要求事項からの逸脱を特定して評価すること。
- ISA活動は、EN 50126-2:201第7章に適合する組織(※次の節で後述します)で行うこと。
- ISA(独立安全性評価)報告書は、次の内容とすること
- システムにおける評価対象項目の特定
- ISA活動の記録
- 結論を明記
- 必要によっては、推奨事項
- ISA活動に関しては、主に次のものを作成しなければならない
- ISA(独立安全性評価)計画
- ISA(独立安全性評価)による分析記録
- ISA(独立安全性評価)報告書
[ただし書き]RAMS規格に規定する独立性に加えて、例えばISO/IEC 17020への適合性を要求される場合もある。
ISA業務を行う機関
前項において、EN50126-1(RAMS)6.8.2に「ISA活動はEN50126-2第7章に適合する組織で行うこと」、が書かれていることを述べましたが、詳細をご説明します。
この第7章は「Organisation and Independence of Roles」という、RAMS業務を行う専門家の役割や独立性を詳しく述べている章です。
ここでは、RAMS活動を行う組織(ISAも含み)は、ISO 9001に基づく文書と同等レベルでしっかりとした人員及び責任を管理する手順を持つ必要があることを述べられています。
その上でISAについては、さらに次の項目を要求しています。
- ISA担当者は任命され、ISA活動を実行する権限を付与されていること。
- ISA(独立安全性評価)は、常にプロジェクトマネージャーから独立していること。
- プロジェクトで、何らかの役割を引き受けている部署とは異なる組織であること。
・・・このような簡単なことが要求されています。ですのでISO 9001認証を取得している会社さんでは、簡単な要求事項のように見えると思いますが、ISA計画は製品の開発段階で作成され、ISAの権限は組織マネジメント上も明確になっていないとならないわけですから、製品開発の初期段階において、将来ISAが任命(または委託)された場合の実施する計画や、その活動を保証する権限を持たせる計画をもっているかどうか、が問われます。
まとめますと、ISAに安全性評価を行わせる必要がある案件でしたら、事前に活動や権限を計画しておくということが重要になります。
RAMSによるISAと、欧州の鉄道安全指令のAsBoの違い
ちょっと話を戻しますが、「認証」ではなく「証明(attestation)」は鉄道案件によって各種各様な形式で行われるのですけれど、鉄道安全指令によるAsBo(Assessment Body)とISAとはしばしば混同が見られます。
その理由としては、業務が近接している場合があるからです。近年は東南アジアや湾岸諸国の鉄道プロジェクトでも、SMS(安全マネジメントシステム)を作ることが必要になっているのですが、安全性全般をみるISAが、SMSへの適合性はAsBo(欧州法に基づく安全性評価機関)として適合性評価を行うように、同じ機関がRAMS規格によるISAと、AsBoの立場を使い分けているので、見分けがつきにくくなっています。
AsBoと、ISAの違いは図3のようなものですが、まとめると以下の表1のようになっています。
AsBoはISO/IEC17020に適合していることを認定機関から認定されている必要がありますが、EN 50128、EN 50129にはISAの要件は規定されていません。
そのため、ISAには図1に挙げている組織であれば理屈上はある程度技術力がある組織ならばどこでもISA業務自体は行えます。実際、さまざまな認証機関やメーカー自身等、様々な立場の方がISAとして活動しているようです。
ただし、図3の中央付近の点線部のように、主要なISA機関は検査機関(ISO/IEC 17020)の認定を受けておりますし、またグループ会社のどこかはAsBoとして欧州連合加盟国から認定されている状況になっております。

AsBo | ISA | |
能力要件 | (EU)402/2013(鉄道安全指令) | EN
50126-2:2017(G.4)、EN 50128、EN 50129等 |
独立性 | 必要(ISO/IEC 17020による) |
上記規格の表2による 組織内の独立性が必要 |
ISO/IEC 17020(検査機関)への適合要否 |
必要 (行政機関への立証も必要) |
不要 (立証も不要) |
ISO/IEC 17065(認証機関)への適合要否 | 不要 | 不要 |
第三者による認定の要否 |
必要 ISO/IEC 17011適合機関による認定 |
不要 |
適合性評価の対象製品 | 鉄道全般 | 安全関連鉄道製品 |
まとめ
RAMSに基づくISA(独立安全性評価)業務について、改訂版のEN50126-1:2017(RAMS)等に規定された、プロジェクトから独立した立場から、きちんとした権限を持って行うことを規定している内容をご紹介しました。
ISA業務は、事前に定めたISA計画に基づいて行われること、及びISAの権限は組織マネジメント上も明確になっていること、等が要求されている点に注意が必要です。この「事前に」定めておく、という点が重要(後からさかのぼることは困難)です。
また、ISAと混同されることの多い、欧州指令の鉄道安全指令によるAsBo(Assessment Body)との違いについてもまとめました。AsBoはISAに比べて、要件が厳格(※ISO/IEC 17020への適合と行政機関の承認が必要)であることを中心にご説明させていただきました。