安全性認証戦略

機能安全規格の構造

機能安全規格で、許容できる安全目標についてここまで青丸でご説明してきましたが、その安全目標をどう決めるかということを考えるとRAMSの構造が分かりますので少し触れたいと思います。

ここで紹介したい要点を点を先に述べます。

安全目標（THR:Tolerable Hazard Rate)は機能単位に決めるものです。
安全目標が先にあり（←コンセプトから割り出します）、この目標に対して製品設計を行う順序です。
共通原因故障が起こりえる構造ではないか、気を付けること。

ブレークダウンについて

安全目標は、製品全体ではなく、製品の機能単位に決めます。したがって、製品を最小単位に分けて考えることが必要で、EN/TR 50126-3:2010では、取り換え可能な最小単位(LRU:Line Replaceable Unit)という、故障時に交換ができる単位を目安として示しています。

しかしLRUは基本的に車両部品を想定していますので、単に目安だと思ってください。

欧州の規格では、システムをbreakdownすることが往々にして書かれており、欧州共通技術基準であるTSIからも引用されているEN15380シリーズや鉄道品質マネジメントシステム・RQMS(ISO 22163)など、Breakdownは、一般的なものです。EN-15380では3～4階層程度に階層的に最小構造に分け、図面や調達仕様書等で名称を統一することBreakdown code（番号）を決めることなど決めております。日本ではなかなか出来ていない点です。

少し脱線しましたが、安全性に関しても、前述のEN/TR 50126-3ではFMEAを行う最小単位にできることもガイドされています。そもそも信号システムではLRU(取り換え可能な最小単位)という概念自体が成り立たない製品もありますが、交換の可否にこだわらず、ともかくも基本となる最小単位を決めます。この最小単位は、部品単位の場合も、機能単位（※例えば、列車検知機能、等）の場合が適切な製品もあると思いますが、ともかく決めてみます。

ここで、もし切り分けが難しい機能（部品）がある場合は、モノとしては１つでも、どんな機能があるかを箇条書きにしてみると機能分けができるのではないかと思います。しかし後述する共通原因故障としては、同じ部品を使っている限り、その部分に故障が発生すると複数の機能が影響を受けてしまいますので、安全関連のものとしては不利に働きます（後述します）。

【図1】要求事項を分析していく進め方