Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on February 26, 2020 #209

再度図208.2を掲載します。

図%%.1
図209.1 図207.1の書き直し図(弊社作成)

本ブログではE1~E5までの事象では正当なのは事象E4, E5のみと判断しましたが、参照論文ではE4, E5は削除されると書かれているので、驚きます。原文を見てみましょう。

In Figure 7, A has a latent dual-point fault first, that is to say, the two faults’ combination will lead to the failure of A, but not be detected or perceived by the driver, then B has a single point/residual fault. That is, A’s latent dual-point fault combined with B’s single point/residual fault will lead to the violation of the safety goal, and they have a time sequence. The fault tree for the middle event E5 is the same as for E4. In this condition, there are three failures in a dual redundancy system, which is beyond the scope of the design, so when calculating the failure rate, the middle events E4 and E5 should be ignored.

Google翻訳したものを多少修正すると、

図7では、エレメントAに最初に潜在的なデュアルポイントフォールトレイテント故障があります。つまり、2つの故障の組み合わせはAの故障につながりますが、ドライバーによって検出または認識されず、エレメントBにSPF/RFが起こる場合です。 つまり、Aの潜在的なデュアルポイント故障とBのシングルポイント/残留故障を組み合わせることで、安全目標の違反が発生し、タイムシーケンスが発生します。 中間事象E5のフォールトツリーは、E4と同じです。 この状態では、二重冗長システムに3つの故障があり、これは設計の範囲を超えているため、故障率を計算するとき、中間事象E4およびE5は無視する必要があります。

ここで、参照論文の著者は「デュアルポイントフォールトレイテント」の意味を誤解しているようです。「デュアルポイントフォールトレイテント」は文字通りの2点の故障ではありません。1点の故障について、$\img[-1.35em]{/images/withinseminar.png}$ の故障のことを「デュアルポイントフォールトレイテント」もしくは短くレイテントフォールト(LF)と呼びます。

上記からすると、著者は事象E4においてAに2点故障が起き、さらにBにSPF/RFが起きるので3点と思っているのでしょうか(図209.2)?

図%%.2
図209.2 誤りの図

ところが、Aの2点目の可能性は、相手のエレメントであるBの故障を指すため、これは3点故障ではなく2点故障です。そもそもAとBはどちらも主機能、意図機能であり、それだけではSMではありませんが、AとBを並列に組み合わせることで冗長性が生まれ、その関係性によりお互いにSMとなる関係が生じます。

参照論文著者がエレメントAやB単独でSPF/RF/LFが起きると考えているため、E2~E5のような事象を考えついたようですが、上記の関係性からエレメントAやB単独では、RFやLFが起きるはずがありません。

この誤解は規格の故障のネーミングから来るようなので、最初からLFと名付けておけば誤解も無かったはずです。1点故障のことを「デュアルポイントフォールト」と呼ぶのはいかにも誤解を招きそうです。 このポイントは機能安全セミナーでも強調して説明しています。


左矢前のブログ 次のブログ右矢


ページ: