RAMS[9] 監視
前回はプロセスについて本当に簡単に説明しました。今後、もう少しプロセスについても順を追って書いていきたいと思います。まずは、全体的をつかんでもらうために一回で深く入るのは止めて浅い段階で次に移っていこうと思います。深い話はまた後日書きます。
今回は監視です。RAMSを始める前に設計体制を計画しますが、その中で、Safety Manager (SM)と Quality Manager (QM)を用意します。これって、規格の中では登場しないのですが、ISAの認証の時には必ず用意するように言われるので、体制には入れておきます。名称から想像が付くと思いますが、安全管理者と品質管理者です。彼らは設計プロセスを横で監視します。最初に開発プロセス全部にわたって、安全と品質の視点から実施される安全計画と品質計画を作ります。ここで重要なのは、彼らが設計者と独立しているということです。RAMS全般に言えますが、みんなで牽制しあいながら製品を作っていこうという考えで規格ができています。日本の企業でこういうやり方をやっているというところはあるのかどうかわかりませんが、一開発製品にここまで手をかけるのは結構大変かなと思います。ちなみに、SMとQMは独立でなくてもいいことが多いです。本来は別が良いのでしょうけどね。
この独立性に少し触れるますが、例えば、設計者はテストをしてはいけないとなっているので、設計者とテスターは別な人が要求されます。詳細は規格に書かれていますので読んでみてください。ここで、面白いのが第三者評価者が出てくることです。これって、既に規格を作る段階から商売が見えてますよね(笑)。
こういう欧米が作った規格を見てると文化の違いを感じることがあります。このような体制が組めるということは欧米はJOB型で仕事をしているんだろうなと思います。SMはSafetyを生業として、複数の開発プロジェクトに関与していないと開発製品それぞれにSM、QM他もろもろのエンジニアを用意するって不可能ですものね。
RAMSなのでSMに特化して話していきたいと思います。先ほど書いたように、SMは安全計画書 Safety Planの責任を持ちます。ただ、Safety Planは安全のことだけを書いているわけではなく、その装置本来の機能や、前提条件、使い方、構成など様々な設計入力情報が書かれているので、SM一人では書けません。設計者が主に製品周りを、SMはそれに伴う安全に関するプロセス、主にリスク分析系と安全監査の仕組みなどを書くことになります。当然、設計者の書いたことが安全の視点から間違いがあるようであれば、指摘して修正をしてもらいます。
Safety Planの他に、RAM Plan や Configuration Planなども作りますが、RAM Planは稼働率を達成するための計画で、 Configuration Plan は構成管理の仕組みです。これは大体どこの企業も既に持っているのではないでしょうか。これらも後で書きます。
SMに話を戻します。SMはSafety Taskを監視します。Safety Task とはその安全を担う装置/製品に関する機能になります。ここで非機能を外したのは通常非機能は品質であり、それはQMの仕事だからです。 Safety Task そのものはプロジェクトがやります。SMはその結果を第三者的にジャッジするのが役割です。大体は Safety Plan を承認して、プロジェクトがそのプランに基づいて開発を行っているのか、分析は甘くないか、判断は間違っていないかなどをチェックします。このような役割は開発プロジェクトを作る時に体制を作りますが、その時に各役割のやることと責任を明確にしましょう。そして、それを Safety Plan に書きましょう。あとは、そのプランに沿って実行するのみです。通常、SMは機能安全に詳しいでしょうから、結果が出てから修正をかけさせるのではなく、直接中に入って、リスク分析に参加するとか、アーキテクチャの構想にかかわるとかが効率がいいでしょう。ただ、あくまでも第三者なので、プロジェクトの方針に流されないことが重要です。プロジェクトを進めていると、SMとプロジェクトと意見が異なることがあります。SMは安全を第一に考えていますが、PMそれにコストや納期などほかに考える必要もあるため、SMの言うことを何でも聞くわけにはいきません。その時は、SMとPMと相談して合理的な点に着地させます。この時、重要なのは、どういうプロセス、理由でその結論に至ったのかを明確に記載することです。RAMSはアカウンタビリティが重要です。隠すことはいけません。一緒に第三者評価機関が入っているのなら、相談してみましょう。本来であれば、評価者はアドバイスをしてはいけないことになっていますが、実際は判断を教えてくれます。そうではないと、RAMS規格と評価・認証というスキームは成り立ちません。ただISAに公に訊いても答えてくれないとは思います。社内にそういう合議委員会があるならそれを利用することもあります。間違っても、一人で結論を出さないでください。