12 |
冗長構成サブシステム |
冗長構成とは以下のように定義されます。
- 冗長構成 --- 機能的に対称な冗長。1oo2の冗長であり、2つのチャネルから成り、主系も従系もどちらも主機能を果たす一方、他方が故障した場合にVSGを抑止するSMの機能を果たす。
この冗長構成サブシステムにPMHFの値は2つあるのでしょうか?
具体例でみてみましょう。図のヘッドライト回路において、マイコンとトランジスタスイッチの両方からヘッドライトを点灯する機能があるとします。両者ともコンビネーションスイッチ情報を読み込み、点灯するものとします。さて、この場合、どちらが主機能でどちらが安全機構でしょうか?
この場合は冗長構成であるため、両方とも主機能となります。両方ともヘッドライト点灯という主目的をはたしているからです。一方で両方とも安全機構です。他方がフォールトしたときに、ライト消灯という、システムとしての機能喪失を抑止するためです。
具体的に数値を入れて見てみます。故障率をそれぞれ、スイッチ入力回路は1FIT、マイコンは100FIT、ドライバ出力回路は1FITとします。仮にマイコン側のチャネルを主機能、反対側をSMとし、主機能とSMの互いのSG侵害防止率を99%とすれば、PMHF第1式は、 $$ M_\mathrm{PMHF}=1.025FIT $$ となります。一方、どちらを主機能と見ても良いので、逆にすれば、 $$ M_\mathrm{PMHF}=0.015FIT $$ となります。このようにPMHFの値は2つあることになります。
しかしながら、設計意図の違いでアイテムのダウン確率が変わるはずがないため、これは明らかに誤りと分かります。論文で指摘したとおり、規格式が冗長に対応しておらず、MとSMに関して対称でないためです。
2nd Editionでは、MとSMに関して対称となっているので、本問題が解決されているように見えますが、既述のとおりある問題が残っています。