欧州の鉄道技術・日本の鉄道技術
【RAMS】6-Codes of Practice(実績に基づく評価)

次に進む

1つ戻る

日本流とRAMS手順との比較

Codes of Practice(実績に基づく評価)について(第5段階〜第7段階)

リスク分析に関連して、実績に基づく評価方法に関する前ページからの続きです。

実績があれば認証出せるんだったら、早く言ってよ。うちの実績はすごいんだから。

欧州流でも、実績に基づく製品安全性の証明を、計算値よりも優先しているんですよ・・・といっても、貴社が期待しているのとはちょっと違います。

CoP(Codes of Practice)の呼び名について

このページでは、Codes of Practiceを「実績に基づく評価」、と訳していますが、これはRAMS(EN 50126-1や、CSM-RA)ではリスク分析に使う手法だからです。

しかしながら、本来の意味では規格の一形態ですので「実施基準」と訳すべきものです。たとえば、英国の鉄道関係では多数のCodes of PracticeがStandardの一種として発行されています(イギリスの鉄道業界規格RSSBの規格(「COP」で検索してください)では、60件あります(2023年6月時点))。

イギリスに本部を置く技術者協会IET(Institution of Engineering and Technology)の出版物でも、「業界標準」としてのCoPの相場観が分かるのではないでしょうか。

つまり、広く業界で認知されている規範を、Codes of Practice(CoP)と呼ぶわけです。

後述するように、CoPを適用してよい場合には条件が付けられているのですが、業界で広く使われていることが必ず挙げられているは規格の一類型をイメージしているためと考えられます。そのことはCoPの前提としてご理解ください(「どのくらい業界で認められればCoPになるのか?」、という質問はナンセンスです)。また、評価機関が決めるような類の話でもありません。評価機関の評価は、相互承認されるものもあるため評価機関は責任が重大なのです。)。ただ、対外秘のものをCoPだと主張することは、なかなか無理筋ではないかと思います。前述のような他のCoPとされているものを参照願います。

なお、メーカーに承認されたCoPという意味で、システム設計書等ではRACoP(s) (Rail Industry Approved Codes of Practice)と表現されている場合のほうが、より目にします。

機能安全(IEC 61508)による運用実績に基づく評価

IEC 61508では、proven in use(実際の運用実績)という呼ばれ方をされています。

縷々述べてきたようにIEC 61508(機能安全)は、SIL(安全インテグリティレベル)を定めている規格で、RAMSの考え方(安全関連の製品の安全性等について目標をとするSIL(Safety Integrity Level)を定めておき、目標を満足しているかどうかを評価して確認する考え方)ことが書かれ、RAMSの元になっている規格です。その評価の際に、安全度故障の算出値によらずに、これまでの使用実績に基づいて評価(proven in use)することができる、とされていましたので、この点を紹介します。

ただし、「実績」を使用できる条件として、該当する機器の運用実績、運用実績期間、故障データ、使用環境データがあり、発生するリスクに差がないことが判明していること等が挙げられていますが、ここでは詳しく述べません。どう実証するかは、ノウハウだと思うためです(61508-2 7.4.10.2、61508-8 附属書
B.5.4に書かれています)。

【表】IEC 61508において「使用実績」に基づき評価できるケース
  • E/E/PE安全関連系[プログラムが内蔵された電子機器]に、使用実績による証明が要求されたときに実証する場合(61508-2 7.4.10、61508-7 附属書
    B.5.4など)
  • E/E/PE安全関連系のソフトウェアについて、安全度を実現していることを危険側から決定論的に実証する場合(61508-7附属書
    C.2.10.1)

  • EUC制御系[制御される側の装置]の危険側故障率について、実際の運用実績が利用できる(ソフトウェアは上述のもののため、ハードウェアに関して)(61508-1 7.5.2.6)

・・・機能安全規格IEC 61508に挙げられているのは以上の3点です(評価手段に掲載されている「実績のある手法・ツール」は除いています)。

「使用実績に基づきSILが認証できる」、というイメージに近いのは、2ポツ目だと思います。その場合、「附属書
C.2.10.1」に適合するソフトウェアであることを証明できれば、IEC 61508へ適合性認証がされますけれど、問題なのは、製品の一部であるソフトウェアについてのSIL認証だ、ということです(〇〇製品のソフトウェア、だけの認証)。このような部分的な認証が役立つケースは少ないと思います。

現実的にはIEC 61508の立証要件はかなり厳しいため、ソフトウェアがE/E/PEとしてではなく、ソフトウェア単体でIEC 61508に適合している、と立証することは非常に難しいため実質不可能ではないかともいわれています。もし可能だとしても、ソフトウェアだけのSILを証明したとしても、労力に見合う成果が得られるのかどうかは不明です。

・・おっしゃることはわかりました。

でも、実際うちの製品はSIL 4の製品より安全なんだから。何かうまい手を考えてよ。

    

RAMSによる使用実績に基づく評価(CoP)

 

次に、RAMSにおける使用実績に基づく評価について。RAMSでも安全性等の目標を達成したかどうかを、計算値から評価することが多いのですが、製品の使用実績に基づいて評価を行う規定RAMSの関係規格等の中にいくつかあります。

  • IEC 62425:2007(セーフティケース(イギリスでの通称))の5.3.9項から引用する表E.9(下図参照)
  • EN 50126-2:2018(欧州規格版RAMS)の8.3.1項

「セーフティケース」とは、前述のように安全性を証明する書類です。このセーフティケースをどのような構成で作ればよいかや、ハードウェアの安全性の立証方法を定めている国際規格(IEC 62425)も同じくセーフティケースと呼ぶので、ちょっと紛らわしいですね。ここでは、書類の方をセーフティケースと呼ぶことにします。

欧州の鉄道の安全性審査を行うルールを作っている欧州鉄道庁では、鉄道設備の安全性の審査をする際の方法についてガイドラインに、3方式(@RAMS、A類似システムを参照、B安全性の実績(CoP))を示しているのですが、この3つの中では安全性の実績(Code of Practice:CoP)を優先して使うべきであることが書かれています(2.3.7項関係(p40))。このように実績値を使ったほうが好ましいとされているくらいですから、長年の使用実績がある装置の安全性を説明する際には有利に働きそうです。

しかし、次に述べるように、CoPが使える条件や、使える範囲はかなり狭く決められています。規格は、基本的に書いてあることがすべてですので、技術者としての常識や、日本ではこうだ、ということを主張されたり、規定を拡大解釈したところで、認証機関や客先を説得できると考えることはリスクがあります。規格の解釈は、@規格に明記されたこと、A相手国の常識 の順で優先度が決まるため、日本の常識はなかなか通用しにくいこともご理解頂き、無理に安全性実績(CoP)を使うのではなく、後述する3手法で説明を(製品の機能別に)使い分けて説明するテクニックが大切だと思います。

前置きが長くなりましたが、ともかくこの2つの「使用実績に基づく評価」について述べたいと思います。

なお、欧州法令で紹介しますが、SMS(日本にもあります)及びCSM-RAとも密接に関係しています。

IEC 62425における使用実績に基づく評価

セーフティケースは、RAMS規格で求められている安全性の論拠をまとめた書類で、IEC 62425では考えられるリスクに対して、どう安全策を施したかを下図の各パートのようにまとめることが書かれています。

part6までの中で、使用実績に基づく評価が可能と規定されているのはpart4(塗色)だけです。そのため、part4以外の項目についてCoPを主張することは根拠に乏しい、と考えるべきです。

【図】Safety Case(安全性証拠)を構成する文書

 

IEC 62425(対応する規格はEN 50129です。ここでは国際規格で説明します)では、下の枠囲みに示したように、セーフティケースに書くべき項目について、ああだ、こうだと、本文とその別表に列記した規格構造になっています。

これらIEC 62425の規定を詳しく見ていくと、製品の使用実績(CoP)で立証ができるとされているのは、以下の【引用】の囲みに示している項目のうち、赤色の部分(規格本文5.3.9から引用される表E.9)に限られているのです。

RAMSでいう安全性とは、前に述べたようにある条件下(路線など)で考えられるリスクが、その条件下で許容される範囲(青丸)に収まっているかどうかのことです。ある製品にどのようなリスクが考えられるのかを規格本文5.3.6等を参照してまとめることは必要です。この点は、CoPで済ませることはできるように書かれていませんので、何十年も事故がない安全なシステムであっても、リスクを挙げていく活動からは逃れる根拠となるような規定はありません。

RAMSの元になっているIEC 61508において、安全性のレベルはSIL(安全性インテグリティレベル)によって表されます(SIL0からSIL4。RAMS(EN50126-1)ではSIL0をBasic SILと言い換えます。)。SILは、ある製品が、想定されるリスクを潰したかどうかによって決まることが根幹となっています。もし、実績がある装置だからといってリスクの想定等、他の決められた活動をしないのならばIEC 62425に適合しているとは言う根拠がなくなっています。

【表】IEC 62425:2007の中で、CoPに基づく評価が可能な規定(赤色部分だけ)
  • 5.3.4 Safety Planの作成・・・・表E.1
  • 5.3.5 ハザードログ作成
  • 5.3.6 安全要求事項の特定・・・・表E.2
    • (1)ハザードの特定と分析
    • (2)リスクアセスメント、リスク分類
    • (3)SILの割当て
  • 5.3.7 システム/サブシステム/機器の設計・・・・表E.7
  • 5.3.9 安全の検証と妥当性確認・・・・表E.9
    •   【表E.9】抜粋
    • 3 システムの機能テスト
    • 4 規定の環境条件下における機能テスト
    • 5 サージ・イミュニティ・テスト
    • 6 文書検査
    • 7 設計上の仮定条件への適合
    • 8 テスト施設
    • 9 設計レビュー
    • 11 使用状況が示す信頼性の高さ(過去のデータが示す証拠がない場合の選択肢として)
  • 5.3.10 Safety Caseによる証明

 

IEC 62425の本文5.3.9の規程は、CoPに基づいて評価が可能です。それなら、「本文5.3.6だって、CoPに基づいて説明できるならば、真面目にやらなくてもOKだろう」と考える方がいるかもしれませんが、CoPが使えるとされているのは上の表のうち、赤色部分だけです。法令や規格の世界では勝手に準用することはあり得ないため、上表のとおり、実績による評価(CoP)が使えるケースはかなり限られています。欧州では、RAMSが制定される以前からある既存線の既存設備について更新する場合に適用する(救済する?)ための規定、と解説されています。

EN 50126-2:2018における使用実績に基づく評価

次に、EN 50126-2 の規定について述べますが、その前に、欧州の法規について少し述べたいと思います

なぜなら、これから紹介する欧州の法規(CSM-RA)によるリスク分析を行う方法の一つとして、RAMS(EN 50126)が取り入れられているためです。欧州では、欧州法令に適合しているかどうかの判断を、欧州規格に委ねることが積極的に行われていますので、このような委任構造自体は頻繁に見かける形式です。

 

欧州には、鉄道運行事業者や、そのインフラ管理者、場合によってはメーカーに対する、日本の鉄道事業法のような鉄道の安全性を審査する法令(略称 CSM)が欧州指令(EC)として定められており、幹線鉄道に関わる運行事業者、インフラ管理会社等に義務づけられています。例えば、後述しますが、安全マネジメントシステム(SMS)を制定し、行政の認可を得ることが義務付けられていたりします。
  またCSMでは、鉄道運行事業者等が設備やルールを大きく(significant)に変更する場合には、CSM−RA(Common Safety Method - Risk Assessment-)という規則に基づいて安全性評価を行う義務が定められています。具体的には、CSMーRAでは、発生が考えられるリスクに対して、以下の3つの評価方法が挙げられており(下図の赤丸部分はその1つ)、リスクごとに、この3つのどれかの方法でリスクを評価することで安全性を示し、第三者評価機関(AsBo)の適合性評価を受けることが義務づけられています。

【図1】CSM-RAによるリスク評価の3方法

なお上図1は英国運輸省のガイドライン(Guidance on the Common Safety Method for Risk Evaluation and Assessment)2017年12月発行の抜粋です。欧州鉄道庁のガイドラインよりわかりやすいので使わせて頂きました。

上図1のフローチャート中、経路が3つに分かれた部分の左のもの(赤丸がついているもの)が、「実績による評価(CoP)」です。他の2つは以下のb)、c)となります。 順に紹介します。

  • a)CoPの適用
  • b)参照システムとの比較
  • c)明示的なリスク推定

a)〜c)については、製品別にどれかに特定する必要はなく、「異なるハザードには異なる手法を使用することができる。どの手法を選択するかは、リスクを管理する最も適切な方法に依存します」と書かれていますので、a)〜c)を使い分けることが可能であることが書かれています。

b)の「参照システムとの比較」の原則については、既存の類似システムとの比較を行い、リスクに対応できるかどうかを評価する手法です。ガイドラインでは、「今回の場所と、参照システムとの鉄道の環境の相違について注意深く検討する必要」があり、「安全であることが証明されている対策が、今回の場所におけるリスクや運用状況が十分に類似していることを確立することが課題」とされています。

c)の「明示的リスク推定」の原則については、適用に制限はないとされています。これは、他の原則の補完だからということだそうです。例示として、複雑で費用のかかる定量化されたリスク評価や、工学的判断によって単純な定性的評価でも十分な場合もあります。最も応用が広いのがc)です。

本題のa)の「CoPの適用」については、CSM−RA規制(付録I、2.3.2)において、CoPが満たさなければならない要件を定めております。CSM-RA規則に基づき評価を行う認証機関(AsBo)と、RAMSの認証機関は同じようなところが実施していますから、事実上守る必要があるでしょう。

  • 鉄道分野で広く認識されていること。そうでない場合CoPは正当化されて、評価機関に受け入れられること。
  • 今回の評価対象システムで考慮されるリスク管理に関連していること。
  • 要求に応じて、リスク管理プロセスの適用とその結果の両方の適合性の評価結果を、他のNoBo(評価機関)が利用できること。つまり、秘密にせずに、この評価結果を参照したい他の評価機関が入手可能であること
  • 1つ又は複数のハザードが、関連するCoPの適用によって適切にカバーされているかどうかを分析すること。
   

以上は、CSM-RAに対する行政機関の解釈です。このページの冒頭で申し上げたように、「鉄道分野で広く認識されているのがどの程度ならばよいか?」、というような話はナンセンスです。規格のように安心して皆が使っているようなものをCoPと呼ぶところから始まっていますので。

この要件を日本に置き換えて考えると、広く認識されていること[公的な技術基準への適合性と、評価機関(AsBo)相当の機関(実質当社のようなグローバルな認証機関)に認められる証拠があること]、実績がある路線と今回の路線が類似していることが証明されること[前提となるリスクが同じこと]、リスクが管理される証拠が他の認証機関に公開されること[情報公開の必要性]、・・が必要と考えられます。

【図2】リスク分析の3手法

 

なお、EN50126(RAMS)とCSM-RAは別物ではないか、と思われる向きもあろうかと思います。確かに欧州鉄道庁のCSM-RAのガイドラインでは、EN 50126は「参照資料」という扱いなのですが、EU各国が作成しているガイドラインでは、下の図3のように、CSM-RAを実行する上で適合することが必要な規格としてRAMS(EN 50126)が挙げられており(下の図3参照)、実質的にCSM-RAはRAMSと同等か、RAMSもその一例だと見なされていることは明らかです。

【図3】CSM-RAがRAMS(EN 50126)の一部だと見なされている例(デンマーク運輸局

【参考】CSM-RA T

2.3.2. The codes of practice shall satisfy at least the following requirements:

  • (a) be widely acknowledged in the railway domain. If this is not the case, the codes of practice will have to be justified and be acceptable to the assessment body;
  • (b) be relevant for the control of the considered hazards in the system under assessment;
  •  (c) be publicly available for all actors who want to use them.

欧州鉄道庁の公表するサンプル(フランス国鉄の例)

  • 7.a) Code of practice (402/2013/EU Annex I §2.3)
  • To be considered valid, a CoP must be:
    •  widely recognized in the railway domain. If this is not the case, the codes of practice will have to be justified and be acceptable to the assessment body
    •  relevant for the control of the considered hazards in the system under assessment à successful application of a code of practice for similar cases to manage changes and control effectively the identified hazards of a system in the sense of this Regulation is sufficient for it to be considered as relevant
    •  available upon request to assessment bodies for them to either assess (or where relevant mutually recognize) the suitability of both the application of the risk management process and of its results

    • Note that a CoP may require Explicit Risk Estimation (e.g. TSI Loc _ Pas) on some subjects
  • Typical CoPs are (to be validated by each NSA):
    • UIC leaflet
    • TSIs Harmonised standards:  e.g. http://ec.europa.eu/growth/single-market/europeanstandards/harmonised-standards/ Internal process/rules (but no mutual recognition)

 

以上です。

日本での安全使用実績が多くの国で高く評価されていることと、それを根拠に、なぜその製品が安全なのかを説明しなくてよいかどうかは別問題です。安全性の証拠書類(Safety Case)は結局提出が要求される(ことが多い)、という点はお忘れなく。

こうして立証させることで、もしものトラブルの際には、製造者、許認可者、鉄道運行事業者といった関係者の中で、どこ(誰)に落ち度があった(無かった)かの判断材料、証拠の一つとなるわけです。


欧州指令(TSI)でのRAMSシリーズ義務付け