Posts Issued on June 9, 2022

規格第2版のPMHF式の疑問(17)

posted by sakurai on June 9, 2022 #481

ISO 26262規格の疑問

そもそも論ですが、ISO 26262規格第2版の考え方には疑問があり、過去に何度も書いています。記事#68#69#109#130#313#329#344#473。弊社の見方では、

  • 第1版(the first edition, 2011年版)
    SMにはIFの代替機能無し。従ってIFがfailするとSMは機能を代替できないため、その場で故障が起きる。一方SMはフォールトしてもサブシステムは故障しない。すなわち、SMはリペアラブル、IFはアンリペアラブルが前提。

    PMHF式のべースとなるモデルは弊社に依れば図481.1のとおりIFU-SMUモデルとして構成されており、導出されたPMHF結果式は正しい。

    図%%.1
    図481.1 1st edition CTMC

  • 第2版(the second edition, 2018年版)
    SMにはIFの代替機能有り。従ってIFがfailするとSMは機能を代替する。例えば冗長構成が対象。IFもSMもフォールトすると代替機構が働くことにより、サブシステムは故障しない。すなわち、IFもSMもリペアラブルが前提。

    PMHF式のべースとなるモデルは図481.2のとおりIFRモデルとして構成されておらず、IFU-SMUモデルとして構成されている。従って、導出されたPMHF結果式は誤り。さらにPattern 2, 4には計算誤りまで含まれている。

    図%%.2
    図481.2 2nd edition CTMC

2nd editionの誤りは1st editionで用いたIFUモデルを引き続き用いたところにあります。本来は両方のエレメントがリペアラブルでなくてはなりません。ところが、2nd editionでは最初にIFがフォールトするとその後SMはアンリペアラブルとなります。逆に最初にSMがフォールトするとその後IFはアンリペアラブルとなります。つまり、最初にフォールトしたエレメントのみがリペアラブルという前提です。

例えばIFフォールト⇒IFフォールトリペア⇒SMフォールト⇒IFフォールトとなることはできません。(479.1)において、カッコ内の式に $$ \left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot\color{red}{R_\text{IF}(t)}\right] $$ とあるように、$R_\text{IF}(t)$が意味するところは時刻$t$まではIFは一度もダウンしていないことを表します。これはIFはアンリペアラブルであることを意味します。本来、IFのアベイラビリティである$A_\text{IF}(t)$でなくてはなりません。 従って、サブシステムは図481.3のとおりIFRモデルでなくてはなりません。

図%%.3
図481.3 2nd edition CTMC(本来)

第2版の誤りは、DPFのケース分類をする時に、

 ①IF⇒SM1、もしくは
 ②SM1⇒IF

の2通りしかないとしたところは正しかったのですが、本来は

 ①最後から2つ目のフォールトがIF⇒最後のフォールトがSM1、もしくは
 ②最後から2つ目のフォールトがSM1⇒最後のフォールトがIF

とすべきところを、

 ①最初のフォールトがIF⇒最後のフォールトがSM1、もしくは
 ②最初のフォールトがSM1⇒最後のフォールトがIF

と誤ったところにあると考えます。

なお、本稿は[RAMS 2024]に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢