Posts Issued on January 16, 2024

posted by sakurai on January 16, 2024 #734

前項の矛盾解消案を示します。

. 主機能フォールトは100%検出され(修理されない)ため、レイテントにならないとの立場
この矛盾点は解消できない。

  1. 主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
    この矛盾点は主機能も修理系であると変更する。

  2. 主機能フォールトは、100%検出されてもレイテントになるとの立場
    この矛盾点は1.と同様LFとなるため、矛盾は解消できない。

条件1及び3はどうしても矛盾が解消できないため、極端な条件

「車両に修理人及び全ての故障に対応可能なスペアパーツを搭載している」

という条件を設け、条件2.の矛盾を解消しました。

従って2.の矛盾解消はいわばIFはMPFフォールトしないという仮定です。これを現実的にするためにありうるシナリオを考えたのがRAMS 2022論文です。それは以下のような仮定です。

  1. IFが運転中にフォールトする。MPF detectedなので車両はFTTI中に安全状態に移行する。
  2. IFがフォールトしているため、IFが冗長構成でない限り運転の継続は不可能。すなわち時間経過は無い=露出時間はゼロとみなされる。
  3. 通常は速やかに(年単位放置でも構わないが)修理工場に運ばれるが、E/Eシステムは修理まで電源オフであるため、再故障しない。すなわち時間経過は無い=露出時間はゼロとみなされる。
  4. 修理中はE/Eシステムは電源オフである。すなわち時間経過は無い=露出時間はゼロとみなされる。
  5. 修理完了後にAs good as newとして運用される。

このシナリオによれば、

  • IFのフォールト中の期間はFTTIを例外として露出時間はゼロであり、新品に交換された後に時間が経過する。
  • よって、車両に実際に修理人とスペアパーツを搭載して運用しなくても、それと同等と見なすことが可能。
  • 例外的なFTTI中のSMのフォールトは同時故障確率がゼロであることからゼロとみなす。

さて、上記からIFが(detectedの場合は)MPFフォールトしない前提であるため、PMHFのSPF/RF項だけが残り、IFの先故障によるDPF項はゼロとなります。従って、PMHFのDPF項は$\frac 1 2$が残ることになります。結論として1st edition/2nd editionのDPFの$\frac 1 2$は、SM1の先故障によるDPF確率だけをカウントするという意味で正しかったわけです。

図104.2
図104.2 1st edition規格第1式(引用)

一方で、1st editionのうち「故障順序によらない」場合の式は"MPF,detected"を加えている点で$\frac 1 2$が無いことから誤っています。2倍である理由は、DPFに関してSM1の先故障とIFの先故障の2つの場合を加えているためであり、上記のとおり、IFの先故障はカウントせずSM1の先故障のみをカウントするのが正解です。

図105.2
図105.2 ISO 26262 1st edition Part 10 第3式

左矢前のブログ 次のブログ右矢