安全性を達成するための戦略

機能安全規格の構造

「安全」と「機能安全」

「安全」とは、許容されないリスクが無い状態を表しています。

「機能安全」は、システムが持つ機能（※正確には「安全機能」）の働きによって、許容されないリスクが生じないことを達成するものです。

例えるならばリスクが攻めてくる大小さまざまな「敵」なら、機能は「ガードマン」です。ガードマンには役割が決まっており、このリスクにはガードマンαとガードマンβが防御する、と決めてあり、敵の強さに合ったガードマンの強さと勤務体制（※故障回避策）が決めてあり、さまざまな手を使って敵の攻撃頻度を減らしたり、敵の攻撃を受けないように設計していく手法が機能安全のイメージです。リスクと、安全機能が対応関係にあることが大切です。

ですが、機能安全で守りたいシステムはE/E/PEと呼ばれる電気を使うものが対象ですので、機能安全は、考え得るすべてのリスクを機能で防ぐのではなく、防げるリスクと防ぐ対象ではないリスクが生じます。この境界が不明確であったり、どの程度のリスクまで防ぐべきかという目標について、メーカーとユーザーの間でずれがあると大きな事故となりかねないため、機能安全規格に書かれている戦略を紹介したいと思います。

最近実現を目指している自動運転では、「事故シナリオ」による安全性の評価を行うことがガイドラインに示されております。これも、機能安全の目指す安全と、一般的な安全とのギャップが端的に現れた例だと思いますので、これについても図化していきたいと思います。

安全目標

機能安全規格で、許容できる安全目標についてここまで青丸でご説明してきましたが、その安全目標をどう決めるかということを考えるとRAMSの構造が分かりますので少し触れたいと思います。

ここで紹介したい要点を点を先に述べます。

安全目標（THR:Tolerable Hazard Rate)は機能単位に決めるものです。
安全目標が先にあり（←コンセプトから割り出します）、この目標に対して製品設計を行う順序です。
共通原因故障が起こりえる構造ではないか、気を付けること。

ブレークダウンについて

安全目標は、製品全体ではなく、製品の機能単位に決めます。したがって、製品を最小単位に分けて考えることが必要で、EN/TR 50126-3:2010では、取り換え可能な最小単位(LRU:Line Replaceable Unit)という、故障時に交換ができる単位を目安として示しています。

しかしLRUは基本的に車両部品を想定していますので、単に目安だと思ってください。

欧州の規格では、システムをbreakdownすることが往々にして書かれており、欧州共通技術基準であるTSIからも引用されているEN15380シリーズや鉄道品質マネジメントシステム・RQMS(ISO 22163)など、Breakdownは、一般的なものです。EN-15380では3～4階層程度に階層的に最小構造に分け、図面や調達仕様書等で名称を統一することBreakdown code（番号）を決めることなど決めております。日本ではなかなか出来ていない点です。

少し脱線しましたが、安全性に関しても、前述のEN/TR 50126-3ではFMEAを行う最小単位にできることもガイドされています。そもそも信号システムではLRU(取り換え可能な最小単位)という概念自体が成り立たない製品もありますが、交換の可否にこだわらず、ともかくも基本となる最小単位を決めます。この最小単位は、部品単位の場合も、機能単位（※例えば、列車検知機能、等）の場合が適切な製品もあると思いますが、ともかく決めてみます。

ここで、もし切り分けが難しい機能（部品）がある場合は、モノとしては１つでも、どんな機能があるかを箇条書きにしてみると機能分けができるのではないかと思います。しかし後述する共通原因故障としては、同じ部品を使っている限り、その部分に故障が発生すると複数の機能が影響を受けてしまいますので、安全関連のものとしては不利に働きます（後述します）。

【図1】要求事項を分析していく進め方