Posts Tagged with "FTTI"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on November 6, 2019 #177

これらをタイムチャートにまとめた図(規格Part 10 Fig. 6)を示します。

図%%.1
図177.1 システム例
  • t1:障害が発生する前の診断テストの時間
  • t2:障害の発生、かつ障害は非検出
  • t3:障害の検出(たとえば、エラーカウンターがしきい値に達したため、ISO 26262-1:2018, 3.55 FDTIの例を参照)、障害反応時間間隔の開始
  • t4:安全状態への移行完了(シナリオ2)、緊急操作の開始(シナリオ3および4)
  • t5:緊急操作の終了(シナリオ3)
  • t6:緊急操作の制限時間
  • t7:危険事象の発生

左矢前のブログ 次のブログ右矢

posted by sakurai on November 5, 2019 #176
  • シナリオ3:FTTI内の危険事象を防ぐ安全機構が実装されたシステム。ただし、安全な状態に移行するには緊急操作が必要です。車両の動作状態を制限することにより、緊急動作許容時間内に安全状態が達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。 EOTTIの有効期限が切れる前に、車両の動作状態が制限されているため、バルブからの流れが危険事象を引き起こすことはありません。

  • シナリオ4:FTTI内に危険事象を防ぐ安全機構が実装されたシステムですが、安全状態に移行するには緊急操作が必要です。ただし、移行時間はEOTTIより長くかかります。結果として、累積リスクは受け入れられなくなり、機能安全コンセプトで指定された目標を超えます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTTI}<T_\text{EOTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。このシナリオでは、車両の動作は制限されておらず、アイテムはEOTTIの有効期限よりも長く緊急動作しているため、安全目標違反の不当なリスクが生じます。

以上より、EOTTIは、安全機構がFTTIを超えて安全を担保しているとき(VSGを抑止しているとき)、安全機構の構造により担保時間(抑止時間)に制約がある場合、その制約の期間を意味します。従って、その制約時間内に修理するか、あるいは別の、例えばスタンバイ機構により機能が継続できなければ、安全機構の効果が無くなり、VSGとなってしまいます。仮に修理工場に持っていく場合は、EOTTIとして数百時間が必要となります。


左矢前のブログ 次のブログ右矢

2nd Editionでの時間制約

posted by sakurai on October 31, 2019 #175

2nd EditionのPart 10の4.4.2のタイミングモデルを解説します。ここでは例としてモータ制御システムを取り上げています。ただし、数式は本ブログ独自の記述です。

以下に各種時間制約を列挙します。

  • $T_\text{FDTI}$:障害検出時間間隔(FDTI)
  • $T_\text{FTTI}$:耐障害時間間隔(FTTI)
  • $T_\text{FRTI}$:障害反応時間間隔(FRTI)
  • $T_\text{EOTTI}$:緊急操作許容時間間隔(EOTTI)
  • $T_\text{DTTI}$:診断テスト時間間隔(DTTI)

バルブ制御システムの例。 このシステムは、バルブ、位置センサー、コントローラー、電気モーターで構成されています。システムの機能は、電気モーターを使用してバルブを所望の位置に制御することです。

図%%.1
図175.1 システム例

バルブが意図した以上に開いた場合、意図しない流れに起因する危険なイベントが発生する可能性があります。故障反応として、モーターは、バルブをデフォルトの固定開位置に引っ張る機械的スプリングと組み合わせた別個の回路によって電源が切断されます。この固定されたバルブ位置は流れを制限するため、その結果、アイテムは安全状態になります。

  • シナリオ1:安全機構が一切無い場合です。モーターがショートすると、バルブは最大位置に達します。安全機構がないため、FTTIを超える危険なイベントが発生する可能性があります。 $$ T_\text{FTTI}<T_\text{FDTI}+T_\text{FRTI}=\infty$$

  • シナリオ2:緊急操作を行わずに安全機構を実装したシステムにより、安全状態がFTTI内で達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}=\infty$$

モーターがショートすると、バルブは最大位置に達します。すると、実装された安全機構によりバルブモーターの電源がオフになり、FTTI内でメカニカルスプリングがバルブを低流量位置に戻し、危険なイベントを防ぎます。安全機構(スプリング)は無期限に動作するように設計されており、従って安全状態は無限に続きます。


左矢前のブログ 次のブログ右矢