27 |
ASILデコンポジション論文ward2012 (6) |
論文ward2012$\dagger$の続きです。以下は誤りの例として論文中で取り上げているものです。まず、REQ 32の安全要求
REQ 32: Failure of the road-wheel actuation shall not lead to an absence of directional control of the vehicle. [ASILD]
REQ 32: 車輪の作動の故障により、車両の方向制御ができなくなることがあってはならない。 [ASIL D]
を誤って次のように冗長な要求REQ 32.1, REQ 32.2に分解しました。
REQ 32.1: The front road-wheel actuation shall provide directional control of the vehicle according to ECU commands. [ASIL C(D)]
REQ 32.1: 前輪駆動は、ECUの指令に従って車両の方向制御を行うこと。 [ASIL C(D)]
及び
REQ 32.2: The rear road-wheel actuation shall provide directional control of the vehicle according to ECU commands. [ASIL A(D)]
REQ 32.2: 後輪駆動は、ECUの指令に従って車両の方向制御を行うこと。 [ASIL A(D)]
分解された要求(REQ 32.1又は32.2)単独で初期安全要求(REQ 32)を満たしていないので、冗長な要求ではありません。例えば、前輪の方向制御が狂う故障が起きた場合に、後輪の方向制御のみで正常に車両を制御できるとは思えません。論文中にもあるように、例えば前輪が左一杯に舵が切られ固着していた場合等です。このような場合は後輪操舵だけで正常に走行することは困難です。さらに、ECUが共通であるため、独立なエレメント同士にもなっていません。
これはASILデコンポジションをエレメントのデコンポジションと誤って思い込んだ例です。論文でも主張しているように、エレメントを分解するのではなく、安全要求を(冗長、独立に)分解します。
この後に、REQ 49の分解例として、センサが3冗長の時、2段階のASILデコンポジションを実施する例が挙げられていますが、省略します。
最後に、図303.1は良くある誤りです。故障率を2乗すると次元が[$1/H^2$]となってしまい、本来$\lambda_1\lambda_2 T_\text{Lifetime}$としなければ次元が合いません。故障率と故障確率を混同しているようです。
$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.