欧州の鉄道技術・日本の鉄道技術
【RAMS】19-RAMS認証についての誤解

RAMS認証についての誤解

RAMSはプロセス重視で安全を実現

RAMS認証機関

誤解されています

「製品評価」とは違います

RAMS認証について一般製品の制度と同じように誤解されている方が多いため、ここで改めて図解します。

図1は一般消費者の手に渡る製品にみられる〇〇マーク(例えばSGマーク) の製品を評価する制度の模式図です。

全部が全部ということではありませんが、一般的には製品を作った上で、その製品や製品の試験データを示すことで「〇〇マーク認証」等を取得していますので、製品の設計段階のような上流についての審査を行っていません。

ただ、SGマークでも大量生産品に対する「型式認証」を行うタイプの場合にはもう少し上流にあたる製造段階も審査を受ける必要があるのですが、いずれにしましても製造段階以降を主に審査しています。

RAMSについても、このような審査をするように考えられている方が非常に多いのですが、これは誤解です。

【図1】一般製品の認証審査の模式図

ところがRAMSのような機能安全規格に基づく仕組みでは、考えられるリスク(受容できない危害が起こるリスク)が生じない状態、すなわち安全な状態になるように製品開発に当たったか、という観点から確認をしますので、図1の一般製品よりも、ずっと上流段階で、どのような手順でどうリスクを潰していったかというプロセス確認します。この段階ではこの手順、という必要な手順はEN50126-1(RAMS)等の規格に書かれていますので、そのとおりに行っているかどうかを見る訳です。

もし途中で何か手順が抜けていた場合には、基本的にはその段階まで戻って正しい手順を行い、再度やり直していくことになります。プロセスが大切なため、途中の手順は違うけれど結果は同じだ、というようなこことはRAMSの考え方と整合しないわけです。

【図2】RAMSによる認証審査の模式図

ここまでのRAMSの紹介で触れてきたとおり、機能安全規格のキモは、図2または図3のような安全対策を製品開発時に検討し、施してきたかどうか、です。
  この際に想定すべきリスクは、確率的に生じる「ランダムハードウェア故障」と、原因を取り除かない限りいつかは必ず生じる「決定論的原因故障」・・などという予見可能性が異なる2種類があったりするのですが、ともかくもこうした考慮をして設計を進め、その対策をしたことを記録(トレースを取る、といいます)することが、RAMSの最低限の流儀です。

繰り返しますが、RAMSは、図1のような製品を見る審査ではなく、図2のような開発手順を行っているかどうかをみるのが流儀だ、ということがポイントです。

メーカーさん以外の方はよく誤解されており、安全な仕様実績がある製品だからといって認証を取れない、という理由を誤解されているようですので次の項でももう少し補足します。

【図3】(再掲)機能安全規格でのハザード防止のコンセプト

RAMS流

世の中に製品の安全を保つための方法は無数にあります。

細かく見れば会社の数だけあるかもしれません。でも、WTO(世界貿易機関)のTBT協定があるため、外国の公的機関が入札をする案件の入札仕様書では、技術的な理由がない限りは国際規格があるものは国際規格を使用することが義務となっています(詳しくはこちら(冒頭のもの)で参照ください)。

そのため、鉄道安全を謳うRAMS(IEC 62278)や、ソフトウェア安全(IEC 62279)、国際規格ではないですが鉄道車上ソフトウェア(EN 50657)等の規格は、仕様書に挙げられがちです。

その場合、例えば、IEC 62279:2011 or its equivalent(※同等のもの) ・・・というように要求されますので、同等だと主張する方法もあり得ますが、あるものとあるものの同等性を実証するのはかえって困難かと思います。

民間の調達であっても、欧州の技術規格TSIではRAMSが要求されているため、海外の車両メーカーに納入するような案件ではRAMS系の規格が要求されているものと考えます。

【図4】手法は無数にある

・・と、上の図のように安全に関する手法は多数ありますが、国際規格であるRAMS又はIEC 61508(機能安全規格)は要求されやすいことから、これらの規格に基づいて製品開発を行えるものは行うべきではないでしょうか。もし既製品であるならば、例えば相手国向けにアレンジする部分だけや、安全に関する機能だけでもRAMSによる手法で開発をやり直すことで、何とかして相手国の理解を得るような説得が必要ではないかと思います。