12 |
ISO 26262のFTAに関する論文 (2) |
参照論文の問題点
参照論文では、EBDノードを含めた全体について、定量的にFault Treeを用いたMCS(Minimal Cut Set)分析を行っており、問題は2つあります。
- ISO 26262規格のPMHF式を参照していない
- On-lineモニタのカバレッジが参照されていない。
この2つは関連する問題です。具体的に表202.1のとおり数値を入れてみてみます。On-lineモニタは参照論文に数値が無かったため、SMとして低めの数値を入れました。
Subsystem | Component | Failure Rate [1/h] |
---|---|---|
EBD Node | Brake ECU | $3.3\times 10^{-7}$ |
Electronics Brake Module (EBM) | $4.2\times 10^{-7}$ | |
On-line monitor for EBM | $1.1\times 10^{-7}$ |
誤ったFTA
この数値に基づき、参照論文のEBDサブシステムのFTをツール(SAPHIRE)により構成すれば、図202.1のようになります。
誤ったMCS
図202.1は論文のFTですが、このFTに対してカットセット分析を実施し、EBDサブシステムの故障確率を求めます。ツールを用いてMCSを求めると、表202.2のように24個の積項(Minimal Cut)が得られ、EBDサブシステムの故障確率は$1.63\times 10^{-5}$となります。参照論文ではミッション時間を5,000[H]としているため、"PMHF"(本当は車両故障確率の時間平均)は3.26[FIT]となります。
ISO 26262では3つ以上のエレメント故障は安全故障としています。これは(規格には明確に書かれていませんが)確率が非常に低くなるためです。従って、3つ以上の故障を枝刈り(slice)すれば、表202.3のMCSとなります。積項数は6個に減少するものの、故障確率も"PMHF"も変わりません。