• 前稿の菱形の続きです。安全機構(SM)を取り去った場合に安全目標侵害(VSG)を侵害するかどうかを判定する菱形と説明しました。VSGとなる場合(yes)は下に移動します。VSGとならない場合(No)は右横に移動します。言い換えると、ここでは主機能(IF)かSMかを判定しています。故障してVSGとなる可能性のある(yes)部品はIFです。可能性の無い(no)部品はSMです。

• 下に来た場合(yes, IF)は、先ほど取り去ったSMを戻して、それに着目します。SMがあるかどうかを判定している菱形なので、SMがあれば(yes)下に移動します。SMが無い場合は(no)左下に行き、($\lambda_\text{SPF}$と書かれていますが、定性的に)SPFと判定されます。ここはこれで終了です。

• その下の円形では、SMによってVSGを抑止しているかどうかを判定します。要はSMが安全目標侵害を防止している割合を聞いています。ここで注意するのはあくまで「抑止」$\dagger$であって「検出」ではないことです。原文に抑止が無いのでわかりにくいのですが、どのくらい抑止されるかのカバレージを聞いています。本来定量的にするべきですが、カバーされない分は下に移動し、その故障をRF(Residual Fault)と判定します。一方、カバーされる分は故障があるが発現していない状態であるので、レイテント故障の候補として、上に移動します。

判定ボックスに菱形と円形とがありますが、菱形はYes/Noでいずれかを選択するのに比べて、円形は確率的な判断であり、Yesにx%、Noに1-x%となります。

$\dagger$ちなみに「抑止」は「検出」を含む広い概念です。逆に1st SMの機能を「検出」と言ってしまうと「検出ではない抑止」を含まないので誤りとなります。この誤りは、ある記事のように多く見られる誤りです。一般にはSMの機能は検出である場合が多いのですが、例えば冗長回路の場合は検出にはなりません。冗長回路は故障を全く検出しませんが、単一故障によるVSGを抑止します。

前のブログ 次のブログ

まず、ECUのPCB上の部品を全てリストアップします。FMEAの考え方により、抜け漏れを防止するため、全ての部品を検討する必要があります。

• ISO 26262の入り口は、他の規格、例えばIEC TR 62380やSN29500等の故障率データベース、ないしは信頼性試験から算出された、部品の要素故障率です。この故障率を$\lambda$とし、左上の入り口から入ります。ただし、Part 5のフローチャートは定量計算ができないので、以下は定性的に考えます。

• 最初の菱形の判断は、この部品が安全関連であるかどうかです。Noの場合は「非安全関連」に分類され、分析から除かれます。最初に全ての部品を検討する理由は、抜け漏れの防止となるためですが、一方、無関係な部品はここでふるい落とされます。ちなみに、無関係な部品は実務上はあまり存在せず、例えばデバッグ回路等のように運転中に全く動作しない回路が相当します。他はたいていの場合安全関連です。Yesの場合は右に行き、「安全関連」と分類されます。言葉として紛らわしいのは、安全関連＝危険側、非安全関連＝安全側ということです。従って、安全関連と分類された部品は危険側を意味します。

• 次にこの部品に関して全ての故障モードを検討します。以下のフローは全ての故障モードに対して通ります。

• 次の菱形の判断は、安全機構(SM)を取り去った場合に安全目標侵害(VSG)を侵害するかどうかです。SMが無い場合はもちろん取り去るSMはありません。なぜ仮定の話を考えるかというと、ある部品の故障がVSGにつながるかどうかを考えるのがFMEAですが、一般的にSMが入っているので、ほとんどの部品はVSGとならないと判定されてしまうためです。それでは意味がないので、まずSMを除いて考えるわけです。

前のブログ 次のブログ

機能安全のハードウェア編の最初の山場が故障分類です。

特に、故障分類フローチャートは大変重要なトピックスです。規格では、Part 5のFigure B.2に簡略化された故障分類フローが掲載されています。さらにPart10のFigure 10では重要なKパラメータである$K_\text{FMC,RF}$と、$K_\text{FMC,MPF}$、加えてそれらの計算式が掲載されています。従って、簡略化されたPart 5 Figure B.2を解説し、概要を述べた後にPart 10のFigure 10を解説します。さらに、本ブログでは、分かりにくいと思われている理由を挙げ、理解するノウハウを解説します。

以下はPart 5の簡略化された故障分類フローチャートです。

前のブログ 次のブログ