Part 10
ここまで2nd EditionのPart 5について変更点をご紹介してきました。Part 10は以下の相違があります。
- 4.4 FTTIの追加
- 8.3.1 マイコンの取り扱い⇒Part 11へ
- 8.3.2 PMHF式の導出及び変更 1st Editionの式導出も含めて詳細にご説明します。
- 12 システム開発のガイダンス
- 13 ソフトウエアツールの使用への信頼(対象外)
- 14 安全関連特別特性(対象外)
- Annex A マイクロコントローラの安全分析詳細⇒Part 11へ移動
4.4 FTTI
用語を列挙します。
- FTTI(Fault Tolerant Time Interval): フォールトトレラント時間間隔
- FDTI(Fault Detection Time Interval): フォールト検出時間間隔
- FRTI(Fault Reaction Time Interval): フォールト反応時間間隔
- EOTI(Emergency Operation Time Interval): 緊急動作時間間隔
- EOTTI(Emergency Operation Tolerant Time Interval): 緊急動作トレラント時間間隔
- DTTI(Diag Test Time Interval): ダイアグテスト時間間隔
基本的には、フォールトが発生してからフォールトに対処するまでの最大時間がFTTIであり、これを超えると危険状態になるため、フォールトが発生してからそれを検出し、検出したフォールトに対して反応して安全状態に持っていく時間がそれを超えないようにします。つまり、 $$ T_{\mathrm{DTTI}}+T_{\mathrm{FDTI}}+T_{\mathrm{FRTI}}\lt T_{\mathrm{FTTI}} $$ となることが要求されます。もしくは、$T_{\mathrm{DTTI}}$が$T_{\mathrm{FDTI}}$に比べて小さいか、または$T_{\mathrm{FDTI}}$の中に$T_{\mathrm{DTTI}}$を含めるものと定義すれば、 $$ T_{\mathrm{FDTI}}+T_{\mathrm{FRTI}}\lt T_{\mathrm{FTTI}} $$ でもOKです。
問題は安全状態に持っていくのがFTTIに間に合わなかった場合です。その場合は緊急動作状態に持っていくことが求められており、今度はFTTIではなく、EOTTIで制約を受けます。本来なら安全状態になるはずの時刻からさらにEOTTIまでに緊急動作が終了すればOKです。従って、 $$ T_{\mathrm{EOTI}}\lt\img[-1.35em]{/images/withinseminar.png} $$