RAMS[19] GAの変更

鉄道信号の場合、Safety Platformから開発した各サブシステムのGA、例えば、VOBC(車上制御装置)、ATP地上装置や連動装置などを開発したのち、このGAを使って実際の個々の現地システムに対応させることになります。本来であれば、GAは事前に用意しておく基本装置なので、顧客現地システムへはデータのみを入れるという基本思想がRAMS規格になります。しかしながら、仕様は顧客毎に異なるのが当たり前です。この場合、データのみで異なる顧客のシステムに対応することは現実的ではありません。実際にはGAの機能変更を行うことがほぼ100%出てきます。この時に、安全機能と非安全機能を分離しておくことによって、非安全機能の変更であればRAMSの視点からも大きな影響はなく、既に取得したGAの更新時にも楽であるという一面はあるものの、装置そのものが安全装置である鉄道信号装置では、安全機能に触れてしまう機能変更も少なからず発生します。この時はどうしたらよいのでしょう。

結論から言うと、顧客毎のGAを用意することになります。GAを用意するという事はそれぞれのRAMS認証も取得するようになります。この時に重要なのは如何に楽に変更認証をするかという事なので、上記のように安全機能と非安全機能の分離は有用です。非安全機能の変更だからと言って、RAMSの再認証は要らないかというと、そうではなく、再認証を取得する必要があります。こういう事からも、案件装置設計の前に、既にあるGAの仕様を顧客と話をすることが大事です。実際に列車を動かした後に、機能が顧客の要求と会わないとなると、GAの機能変更設計の時間も必要ですし、認証にかかる時間も必要になり、プロジェクトの工程に大きな影響を及ぼします。

それでも、バグが現地試験で見つかることもあるでしょう。その場合、GAを規格に基づいて変更しなくてはなりません。変更プロセスが正しく行われていれば、ISAの審査も一か月位でできます。このISAはあくまでも、GAを評価したISAで、SAを担当しているISAはGAの変更に対して評価は行いません。