RAMS[8] ザックリと理解する
RAMS規格で要求されていることを私なりに書くと下記の4つになると思っています。細かく分ければもっと細かくなるのですが、あえてザックリ分けるとこんな感じでしょうか。
- 設計プロセス
- 監視
- 設計手法
- アーキテクチャー
1番目はISO9001とさほど変わりません。その製品が持つべき機能・非機能を特定して、その機能が正しく設計・製造されて、ちゃんと最終的に満足していることが確認できることができれば良いのです。
2番目は監視です。安全や品質に関することなどは設計者や製造者、検査者などプロセスにかかわる人が行った行為がちゃんと安全や品質を満足するために決めた事柄をちゃんとやったか、正しかったか監視します。
3番目は設計間違いやバグを入れこまないための決められた設計手法を使って設計することです。
4番目は製品のアーキテクチャーが規格に書かれていることを満足しているかです。規格には奨励するアーキテクチャ、使ってはいけないアーキテクチャーが書かれています。
これだけではわかりませんよね。もう少し詳しく説明していきましょう。RAMSを必要とする装置がほかの装置と違うのは、安全を担うということです。安全を担うということは、この装置が間違った動きをしたら人や財産に障害を与えてしまうということです。裏を返せば、どんな動きをしても別にどうでもいいやという装置ならRAMS規格を適用する必要はないということになります。なので、まず最初にその装置がRAMS規格を適用しなければいけないのか、どうかを見定めるプロセスが必要になります。この詳細はまた別の機会に説明しようと思いますが、このことをリスク分析と言います。そのリスクとはこの装置に起因した事柄でどんなハザード(危険事象)が起きる可能性があるのかを全部見つけます。分析のやり方は別途また説明していきたいと思います。
危険事象と見つけると同時にその事象が起こる確率も考えます。リスクとは危険事象が起こった時の酷さとその危険事象が起こる確率の両方を鑑みて決めます。想像してもらえばわかりますが、人が沢山死ぬという事象が想定されても、その事象の起こる確率が十分低ければ許容していいのではないか?という考えに基づきます。ここで問題になるのは、その判断を誰がするのか? ということになります。定量的に決まってもいないし、誰に相談してもその判断はしてくれないでしょう。実際は設計者、安全の責任者(Safety Assessor)やISAが決めることになるはずです。しかし、その判断基準は社会で受け入れてくれるかどうかという判断基準になります。なので、正しくは鉄道事業者もしくは国が決めるべき事柄でしょう。しかし、現実問題として、コストとのトレードオフになることもしばしばです。安全性が高いから高く買ってくれるという市場が形成されていればいいのでしょうが、現実は違いますから。
見つけたリスクはリスクの大きさで5つに分類します。一番リスクが高いのがレベル4、続いて、3,2,1,0となります。これが前に出てきたSIL4~SIL0となるわけです。正確には、SIL0は非安全だという分類になり、IEC 62425の中では出てきません。SIL0はSSIL0という形でIEC 62279に規定されています。
RAMS規格はこのSIレベルによってプロセスや設計方法が変わってくるのがISO91001とは異なります。
新しいことやる時はいつでも計画をし、実行してみて計画と異なったら計画を修正して、また実行するというPDCAのサイクルは当たり前のように行われています。これはRAMSになっても全く変わっていません。IEC 62278を見ると何回も同じプロセスをやるように書いてありますが、フェーズが上がれば同じ作業でも内容は変わるということです。言い換えると、ドキュメントは初めに完成するわけではないということです。それがたとえ、計画であっても。