• 前稿の菱形の続きです。安全機構(SM)を取り去った場合に安全目標侵害(VSG)を侵害するかどうかを判定する菱形と説明しました。VSGとなる場合(yes)は下に移動します。VSGとならない場合(No)は右横に移動します。言い換えると、ここでは主機能(IF)かSMかを判定しています。故障してVSGとなる可能性のある(yes)部品はIFです。可能性の無い(no)部品はSMです。

• 下に来た場合(yes, IF)は、先ほど取り去ったSMを戻して、それに着目します。SMがあるかどうかを判定している菱形なので、SMがあれば(yes)下に移動します。SMが無い場合は(no)左下に行き、($\lambda_\text{SPF}$と書かれていますが、定性的に)SPFと判定されます。ここはこれで終了です。

• その下の円形では、SMによってVSGを抑止しているかどうかを判定します。要はSMが安全目標侵害を防止している割合を聞いています。ここで注意するのはあくまで「抑止」$\dagger$であって「検出」ではないことです。原文に抑止が無いのでわかりにくいのですが、どのくらい抑止されるかのカバレージを聞いています。本来定量的にするべきですが、カバーされない分は下に移動し、その故障をRF(Residual Fault)と判定します。一方、カバーされる分は故障があるが発現していない状態であるので、レイテント故障の候補として、上に移動します。

判定ボックスに菱形と円形とがありますが、菱形はYes/Noでいずれかを選択するのに比べて、円形は確率的な判断であり、Yesにx%、Noに1-x%となります。

$\dagger$ちなみに「抑止」は「検出」を含む広い概念です。逆に1st SMの機能を「検出」と言ってしまうと「検出ではない抑止」を含まないので誤りとなります。この誤りは、ある記事のように多く見られる誤りです。一般にはSMの機能は検出である場合が多いのですが、例えば冗長回路の場合は検出にはなりません。冗長回路は故障を全く検出しませんが、単一故障によるVSGを抑止します。

前のブログ 次のブログ