これらをタイムチャートにまとめた図(規格Part 10 Fig. 6)を示します。

• t1：障害が発生する前の診断テストの時間
• t2：障害の発生、かつ障害は非検出
• t3：障害の検出（たとえば、エラーカウンターがしきい値に達したため、ISO 26262-1：2018, 3.55 FDTIの例を参照）、障害反応時間間隔の開始
• t4：安全状態への移行完了（シナリオ2）、緊急操作の開始（シナリオ3および4）
• t5：緊急操作の終了（シナリオ3）
• t6：緊急操作の制限時間
• t7：危険事象の発生

前のブログ 次のブログ

• シナリオ3：FTTI内の危険事象を防ぐ安全機構が実装されたシステム。ただし、安全な状態に移行するには緊急操作が必要です。車両の動作状態を制限することにより、緊急動作許容時間内に安全状態が達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構（スプリング）は、限られた時間だけ動作するように設計されています（EOTTI）。 EOTTIの有効期限が切れる前に、車両の動作状態が制限されているため、バルブからの流れが危険事象を引き起こすことはありません。

• シナリオ4：FTTI内に危険事象を防ぐ安全機構が実装されたシステムですが、安全状態に移行するには緊急操作が必要です。ただし、移行時間はEOTTIより長くかかります。結果として、累積リスクは受け入れられなくなり、機能安全コンセプトで指定された目標を超えます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTTI}<T_\text{EOTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構（スプリング）は、限られた時間だけ動作するように設計されています（EOTTI）。このシナリオでは、車両の動作は制限されておらず、アイテムはEOTTIの有効期限よりも長く緊急動作しているため、安全目標違反の不当なリスクが生じます。

以上より、EOTTIは、安全機構がFTTIを超えて安全を担保しているとき(VSGを抑止しているとき)、安全機構の構造により担保時間(抑止時間)に制約がある場合、その制約の期間を意味します。従って、その制約時間内に修理するか、あるいは別の、例えばスタンバイ機構により機能が継続できなければ、安全機構の効果が無くなり、VSGとなってしまいます。仮に修理工場に持っていく場合は、EOTTIとして数百時間が必要となります。

前のブログ 次のブログ

2nd EditionのPart 10の4.4.2のタイミングモデルを解説します。ここでは例としてモータ制御システムを取り上げています。ただし、数式は本ブログ独自の記述です。

以下に各種時間制約を列挙します。

• $T_\text{FDTI}$：障害検出時間間隔（FDTI）
• $T_\text{FTTI}$：耐障害時間間隔（FTTI）
• $T_\text{FRTI}$：障害反応時間間隔（FRTI）
• $T_\text{EOTTI}$：緊急操作許容時間間隔（EOTTI）
• $T_\text{DTTI}$：診断テスト時間間隔（DTTI）

バルブ制御システムの例。 このシステムは、バルブ、位置センサー、コントローラー、電気モーターで構成されています。システムの機能は、電気モーターを使用してバルブを所望の位置に制御することです。

バルブが意図した以上に開いた場合、意図しない流れに起因する危険なイベントが発生する可能性があります。故障反応として、モーターは、バルブをデフォルトの固定開位置に引っ張る機械的スプリングと組み合わせた別個の回路によって電源が切断されます。この固定されたバルブ位置は流れを制限するため、その結果、アイテムは安全状態になります。

• シナリオ1：安全機構が一切無い場合です。モーターがショートすると、バルブは最大位置に達します。安全機構がないため、FTTIを超える危険なイベントが発生する可能性があります。 $$ T_\text{FTTI}<T_\text{FDTI}+T_\text{FRTI}=\infty$$

• シナリオ2：緊急操作を行わずに安全機構を実装したシステムにより、安全状態がFTTI内で達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}=\infty$$

モーターがショートすると、バルブは最大位置に達します。すると、実装された安全機構によりバルブモーターの電源がオフになり、FTTI内でメカニカルスプリングがバルブを低流量位置に戻し、危険なイベントを防ぎます。安全機構（スプリング）は無期限に動作するように設計されており、従って安全状態は無限に続きます。

前のブログ 次のブログ

ニュースリリースでも明らかにしたように、このブログで研究してきたPMHFの一般式が、RAMS 2020に採択されました。ブログにおいて機能安全の知識は前提として良いので、注釈を取り除き、逆にブログとの関連の注釈☆をつけて再掲します。リリース文を茶色、注釈を青色で表示します。

なお、RAMS 2020に投稿中だったため、最新の研究#103～108を非開示としていましたが、今回採択が決定したので、RAMS 2020終了後(2020年2月頃)に公開予定です。

ISO 26262機能安全コンサルティングを提供するFSマイクロ株式会社（本社：名古屋市）代表取締役社長 桜井 厚の論文が、2019年10月19日、IEEE Reliability Society主催の国際学会である第66回RAMS（RAMS 2020）に採択されました。RAMS 2020は、2020年1月27日から30日まで、アメリカ・カリフォルニア州パームスプリングスのマリオット・ルネッサンスにて開催予定です。(☆1月30日最終日の12:15～14:15に開催されるコロキアムセッションにて発表します。)

論文の題名は「Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262」です。邦題は「ISO 26262に準拠したランダムハードウェア故障の確率的メトリクスの一般式」であり、ランダムハードウェア故障の確率的メトリクス（PMHF）を正確に評価することを可能にするものです。(☆上記にもあるように、本ブログでは#103～108で書きましたが、暫定非公開中です。⇒RAMS 2020が終了したので、当該記事を公開に変更しました。)

2011年に車載電子機器における機能安全の国際規格であるISO 26262の初版が、また、2018年には改訂版が発効されました。この規格改訂版においてはPMHF式が変更されていますが、PMHF値の数学的な定義や、エレメントの前提条件が明確ではありませんでした。(☆エレメントの前提条件とは具体的には修理可能性のことです。規格初版と規格改定版で、この修理可能性の前提を変えていると推測します。) 本論文ではこれらの点を明確にし、さらに規格に準拠した周期的な検査が行われるエレメントの不稼働確率式を初めて明らかにしました。 (☆不稼働確率については前記事に記載しています。)

これに基づき、一般的なサブシステムに関するPMHF式を新たに導出しました。本論文によりPMHF値を正確に評価できるため、広範な車載ECUにおいて、適正な安全設計を実施することが可能となります。また、緊急操作許容時間間隔（EOTTI）に関する過剰な設計制約を軽減できるため、自動運転システムに代表される耐故障システムにおいて、設計工期の短縮や製品コストの低減が可能となります。 (☆EOTTIの31倍の過剰見積もりについては前記事に記載しています。)

商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com

前のブログ 次のブログ

Part 10

ここまで2nd EditionのPart 5について変更点をご紹介してきました。Part 10は以下の相違があります。

1. 4.4 FTTIの追加
2. 8.3.1 マイコンの取り扱い⇒Part 11へ
3. 8.3.2 PMHF式の導出及び変更 1st Editionの式導出も含めて詳細にご説明します。
4. 12 システム開発のガイダンス
5. 13 ソフトウエアツールの使用への信頼(対象外)
6. 14 安全関連特別特性(対象外)
7. Annex A マイクロコントローラの安全分析詳細⇒Part 11へ移動

4.4 FTTI

用語を列挙します。

• FTTI(Fault Tolerant Time Interval): フォールトトレラント時間間隔
• FDTI(Fault Detection Time Interval): フォールト検出時間間隔
• FRTI(Fault Reaction Time Interval): フォールト反応時間間隔
• EOTI(Emergency Operation Time Interval): 緊急動作時間間隔
• EOTTI(Emergency Operation Tolerant Time Interval): 緊急動作トレラント時間間隔
• DTTI(Diag Test Time Interval): ダイアグテスト時間間隔

基本的には、フォールトが発生してからフォールトに対処するまでの最大時間がFTTIであり、これを超えると危険状態になるため、フォールトが発生してからそれを検出し、検出したフォールトに対して反応して安全状態に持っていく時間がそれを超えないようにします。つまり、 $$ T_{\mathrm{DTTI}}+T_{\mathrm{FDTI}}+T_{\mathrm{FRTI}}\lt T_{\mathrm{FTTI}} $$ となることが要求されます。もしくは、$T_{\mathrm{DTTI}}$が$T_{\mathrm{FDTI}}$に比べて小さいか、または$T_{\mathrm{FDTI}}$の中に$T_{\mathrm{DTTI}}$を含めるものと定義すれば、 $$ T_{\mathrm{FDTI}}+T_{\mathrm{FRTI}}\lt T_{\mathrm{FTTI}} $$ でもOKです。

問題は安全状態に持っていくのがFTTIに間に合わなかった場合です。その場合は緊急動作状態に持っていくことが求められており、今度はFTTIではなく、EOTTIで制約を受けます。本来なら安全状態になるはずの時刻からさらにEOTTIまでに緊急動作が終了すればOKです。従って、 $$ T_{\mathrm{EOTI}}\lt\img[-1.35em]{/images/withinseminar.png} $$

前のブログ 次のブログ