次に進む
1つ戻る
- 0.はじめに、RAMS認証書をすぐ出して
- 1.機能安全とRAMS、SIL認証
- 2.マネジメントメカニズムの活用
- 3.日本流とRAMS流の比較【初期段階】 MS構築
- 4.日本流とRAMS流の比較【第3段階・第4段階】PRA,SRA,セーフティケース
- 5.日本流とRAMS流の比較【第5段階〜第7段階】
- 6.Codes of Practice(実績に基づく評価)
- 7.テンプレートによる対応
- 8.HAZOP・FMEAについて
- 9.認証コストを抑える工夫・プロジェクト体制別認証対応
- 10.安全関連・非安全関連機能の分別、国際標準化活動
- 11.セーフティケースの概要(EN 50129)
- 12.日本流とRAMS流の比較【第8段階以降】
- 13.EN 50128(IEC 62279)の構造について
- 14.信頼度と安全性について
- 15.RAMSクイズ
- 16.認証書とセーフティケースはセット、参考文献
- 17.V&V
- 18.RAMSに基づくISA
- 19.RAMS認証についての誤解
- 20.RAMSの安全性立証戦略
目次
マネジメントメカニズムの活用
RAMSの考え方

でも、RAMSの12段階の手順をちゃんと行っても、安全性は変わらないと思うな。
当たり前のことをいちいち文書にするのは、無駄だし。
うちは無駄なことは絶対やらないな。

・・・認証機関に、それ、言います??
RAMSの認証を取りたかったんじゃ・・・?
マネジメントの力を活用するRAMS
なぜRAMSは”無駄”なことをしているか、という点について説明します。
図1は、日本流(暗黙知ベースの流儀)と、RAMSのやり方が、製品に必要な安全性確保をどう達成しているかを模式的に表したものです。

この図を端的に言うと・・・
- 日本 従業員の資質や経験で、必要な安全性を達成
- RAMS 従業員の資質が相対的に低い分をマネジメントによって補って達成
つまり、日本の従業員は優秀なので、計画や上司のチェックのようなマネジメントが無くても、的確に業務遂行できます。なので、RAMSのマネジメントを取り入れても、上の図1のピラミッドの高さ(=安全性の高さを示す)はあまり変わらないため、「RAMSは無駄」と感じるのでしょう。
しかし長い目で見ると今後も、業務をきちんと行う優秀な従業員が確保され続けるのか? 従業員が仕事を辞めない前提で考えていて痛い目に遭わないのか? と考えるならば、熟練者がいるうちにルール化しておいたほうがいいとも言えます。
機能安全+マネジメント=RAMS
ここまでに機能安全の考え方と、マネジメントの力を利用して安全性等を確保する考え方をみてきました。
RAMSではこの両方を足して、リスクを想定しそのリスクへの対策を立てること(=機能安全)を、鉄道製品のライフサイクル上のどの段階で、何をどうマネジメントすればいいかを、図2のように、製品のライフサイクルの各段階ごとに、安全性(S)、信頼性等(RAM)、その両者(全体的事項)について、何をしなければならないかを規定しています。また、各段階で行った活動の実行状況や判断結果などはすべて文書に記録することが求められています。一見面倒ですが、メーカーの立場からするともし何かトラブルがあった場合でも、これらの文書が、メーカーとしては製品開発に最善を尽くし(state of the art)、手落ちが無いことの物証となります。
各段階で実施すべき項目は具体的にはEN 50126-1の6.2の表1に書かれていますので、そちらをご覧ください。

RAMSの3本柱
ここまでのまとめです。RAMSでは機能安全によるリスクを想定し対策することと、マネジメントの力でそれを実現する手順を決めているため、RAMSの主な機能は以下の3つにまとめられます。
- ライフサイクルモデルによる品質確保手順の提供 [EN 50126-1:2017 6.2、7]
- 鉄道プロジェクトを12フェーズに分類し、各フェーズで実施されなければならない業務が、確実に行われ、かつ、確実に検証されるための手順を規定。
- リスクベースの品質確保手順の提供 [EN 50126-1:2017 5.8、6.3、7、8.1、Annex C]
- RAMとSafetyに影響を与える「リスク」を列挙し、それらリスクを、その製品に許容されるレベル(図の青丸)まで低減させる対策を検討し、それら対策が確実に実施される手順を規定。
- 文書によるエビデンス [EN 50126-1:2017 6.6、6.7]
- 実行状況や判断結果とその証拠を記録する。上記1.の検証も、文書によって行う。文書があるため、将来何かあった場合でも、製品開発に最善を尽くし(state of the art)、手落ちが無いことが立証できる。


上図の1.に「確実に検証」というのがありますが、とても誤解されていましたので補足します。
日本流では、問題が見られないことをもって上司や客先の承認が得られますが、承認された際の評価尺度が何かが記録されず、承認されたことだけしか分からず、その根拠は不明確です。
一方RAMSでいう「検証」は、その段階で行うべき計画・方法に従い、各フェーズの活動がすべて正しく行われたを検証することを言います。RAMSはマネジメントを効かせることで安全性を達成する、というのが基本の考え方のため、最後にチェックして、一つの段階が完結するイメージで捉えてください。
もし、RAMS認証のために時間をさかのぼってつじつま合わせをしていたり、事前に計画せずに業務を実行している場合は、マネジメントが行われていない(またはその証拠がない)ため、RAMSの基本のプロセスに反しています。
RAMSについて端的に言うと、RAMSは、単に製品の安全性を確保する目的の国際規格(欧州規格)ではなく、「ライフサイクルモデルでマネジメントの力を使うこと(1本目の柱)と、機能安全による安全確保(2本目の柱)・・・というプロセスを経ることで安全性を確保する」目的の国際規格です。そのため、製品開発のプロセスをやっているかどうかが重要なのです。
「そんなプロセスはやらなくても、うちの製品は非常に安全なのだから、RAMSに適合している(またはRAMSを上回っている)」、と言う方は、前述のたとえ話に戻ってください。RAMSは、テストでいい点を取ったことは評価せず、テスト勉強を計画的に行ったかどうかを評価するのでしたね。
例えば「SIL認証」(IEC 61508、IEC 62425(EN 50129)又はIEC 62279(EN 50128)に基づく安全性レベルについての認証)では、「製品がとにかく安全だ」ということには着目せず、安全性を達成した過程やマネジメントを見て評価します。なぜならSIL 4ともなると同じ製品が一切改変せずに使われる時間はせいぜい数十年ですが、SIL 4の時間軸は(製品の複雑さによっても違いますが)100年以上使わないと証明できないほどの超長期の安全性が必要になりますので(※超長期間安全だと期待できるゆえに、実際に製品が使われる30年間は安全だと期待できる)、製品使用実績からSIL を認証することは実際問題として難しいためです。いずれにしましても、マネジメントが評価されるということは基本ですので、この点はよく押さえてください。
時間を巻き戻すことはできませんので、マネジメントを確立することや、念のためでも明確にしておくことが非常に重要です。そのため、RAMSに適合させようとお考えでしたら、次のページで紹介する初期段階の枠ぐみづくり、特に実施体制を決めておくことが必要です。やっておけばいい、というもので割合簡単ですので、これだけでも行っておくと、あとでだいぶ違います。ISO9001の認証を受けていない事業所で設計等の業務を行っている場合には特に足をすくわれるポイントです(別の手段で立証しようとしても、意外とむずかしいため)。該当する方はご注意ください。
−−−追記ーーー
RAMSシリーズの一つであるEN 50128(IEC 62279、ソフトウェアに関する規格)には、担当名と担当する職能について具体的な例が書かれています。ISO 9001に基づき各社では既に組織を定義していると思いますので、EN 50128 と見比べてみると相場観が掴めるのではないかと思います。
−−−追記 その2−−−
認証機関や認証員によって、その認証員の得意分野や不得意分野において、他の認証員と判断が異なる(エンジニアリング ジャッジ)、あまり好ましくはない現象がどうしても起こりえます。また、認証機関の傾向としても、プロセスの実施を重視するところと、製品のリスク解析方法や、設計技法まで細かく確認する認証機関もあります。ISO/IEC 17065は、明確な判定基準が規定されているわけではないため、このばらつきが生まれます。
対策としては、認証機関側では外部からの指摘を受けて業務を是正する手続きを持っています。また、認証を受ける側でも、鉄道プロジェクトマネージャーから「認証機関として〇〇社に依頼せよ」、と認証機関を指定する場合もあります(他の認証機関の認証は認めない)。認証機関は、欧州法に基づくNoBoとは違うため、同じではないのでこのようなことが生じております。
−−−−−−−−
(念のためフォロー)雇用形態の差
ここまで、勢いあまって海外の方が優秀ではないかのように言ってきましたが、そうではありません。
日本と海外とは雇用形態の違いが大きく、その影響という側面があります。例えば、海外ではプロジェクト毎に従業員を公募する(終われば契約終了)など、雇用形態が流動的で経験が蓄積されにくいため、従業員の資質に絶えず「波」が生じる環境の中で、この「波」が製品品質に影響しないようにするためにマネジメントが導入されていると考えられます。
RAMSではマネジメントするためのさまざまな計画を作り、かつ、計画通り実行されたかを確認することで、作業員のミスなどを防ぐことが行われています。これはISO 9001の考え方でもあります。
これまで付き合いのなかった会社と取引しよう、というような場合、こうした計画がある会社のほうが、より信頼性が高いと評価されがちなわけです。
欧米企業 | 日本企業 | |
ISO9001品質管理活動 |
ISO 9001のPDCAサイクル、会社の安全方針などを上位文書として、下位の設計・製造等の実務作業書類が作成され、つながりが明確(トレースが明確) |
ISO 9001の品質関係書類と、設計・製造等の実務作業書類とのつながりが弱い(トレースが不明確) |
製品品質の確保策 |
プロジェクト毎に要員が参集され、流動的。 ノウハウが蓄積されないため、製品の品質確保のためには文書規定が不可欠。 |
要員は固定的。 ノウハウを持つ同じ要員が継続的に担当するため、製品の品質確保は比較的容易 |
アフターセールス |
契約に基づき不具合対応等を実施(契約に記載されていない事項は対応できないという考え方)。 引き渡し後のアフターセールスは弱い。 |
契約に関わらず事故・不具合時等にとりあえず駆けつけるなどアフターセールスを重視。 |
不具合・事故の責任 |
鉄道運行事業者とメーカーとの間で紛争とならないよう、事前に責任の分担・範囲を明確にする必要がある。 |
一義的には鉄道事業者の責任。 鉄道事業者及びメーカーとも、早期復旧や再発防止を重視する文化がある。 |
製品の安全性の立証方法 |
RAMS規格への適合性による手法が広く利用されている。 一般に第一者(自己認証)又は第三者認証機関による認証が行われる。 |
国内案件ではRAMSは利用されない。 輸出向け製品のみで利用。 |
