アセッサー目線からみると、ASILが食い違うところはまずチェックします。当然ですが、低ASILから高ASILの、例えば図のように、ASIL-Bのエレメントからの信号をASIL-Cのエレメントで受けているような場合。しかしながら、規格Part9 6.4で述べられているように、QMないし低ASILの要求を割り当てられたエレメントは、ASILないし高ASILの割り当てられたエレメントへ干渉してはいけません。

干渉がある場合には、エレメントを高いASILへ引き上げる必要があります。これが前回も述べた、共存の基準と言われる規格要件です。

専門家(日本の機能安全関連団体の委員)の資料で、「無干渉は従属故障が無いこと」と書いてあるものを見ましたが、これは誤りです。無干渉とは、Part1-1.49に示されるとおり、カスケード故障が無いことです。従属故障というと、カスケード故障と共通原因故障の両方を含みます。 また同じ資料で、「干渉は片方からの故障の影響であり、独立は相互に故障の影響が無いこと」と書かれていましたが、これも誤りで「独立とは従属故障が無いこと」と規格で定義されています。

このように、専門家といえども規格の文言を誤解していることが無いとは言えないので、盲信せず聞く必要があると思われます。

前のブログ 次のブログ

デコンポジションの基本的な考え方は理解頂いたと思うので、同様に重要な要件を説明します。 同じくPart9に記載されている「共存の基準」です。

1. QMエレメントからASILエレメントへの無干渉を証明すれば、QMエレメントとASILエレメントが共存することができる。さもなければQMエレメントはASILエレメントのASILまでASILを引き上げなければならない。

2. 低ASILエレメントから高ASILエレメントへの無干渉を証明すれば、低ASILエレメントと高ASILエレメントが共存することができる。さもなければ低ASILエレメントは高ASILエレメントのASILまでASILを引き上げなければならない。

いずれも同様な要件であり、QMないし低ASILエレメントはいわば濁った水です。一方で高ASILエレメントはきれいな水です。従って、高ASILエレメントがQMないし低ASILエレメントに干渉しても、濁ったままで問題ないのに比べて、その逆の場合は、きれいな水が濁った水になってしまいます。従って、無干渉が証明できない限り濁った水をきれいにしてやる必要があるということです。

規格Part9 6.4.4及び備考1を見てみましょう。

これはQMからASIL付与エレメントへの無干渉条件(カスケード故障無き事)ですが、前述のとおり、低ASIL付与エレメントから高ASIL付与エレメントへの同様の条件があります。それが規格要件Part9 6.4.5です。

前のブログ 次のブログ