Posts Issued on August 8, 2020

posted by sakurai on August 8, 2020 #288

ADASについての言及

続けてADASの具体例を書いた記事が見つかりました。

ブレーキの基本機能は ASIL D だろう。画像解析のエレメントは ASIL D なの?という疑問が生まれる。 プリクラッシュブレーキ システムはシステム全体としては ASIL D だろうから、ブレーキの基本機能は ASIL D のままで、画像解析エレメントは ASIL C(D) にデコンボジションしたとする。 その際にブレーキエレメントと画像解析エレメントは独立しており従属故障は起こらないと言えるのだろうか。


図%%.1
図288.1 図は弊社で作成

ASILデコンポジションの記事を読んで理解された方は指摘できると思いますが、これは1.及び2.の2条件が成立していません。再掲すれば、ASILデコンポジションが成立する条件は、

  1. 安全要求の冗長性
  2. 安全要求を割り当てられたエレメント間の独立性

の2条件(AND条件)が必要ですが、両方共成立していません。

そもそも安全目標や安全要求が書かれていないので、ASILアロケーションができないことがまず問題です。通常ADASであれば、例えば「意図しない急ブレーキ無き事」等の安全目標があるはずです。書かれていない安全要求を仮定し、RBDを描くと、ブレーキエレメントと画像解析エレメントは冗長(並列)関係ではなく、直列関係(従属)となります。従って、そもそもASILデコンポジションが成立していません。著者が心配しているとおり、画像解析エレメントの単一故障により従属故障が起き、システム全体が危険な状態に陥いるのは当然です。

この情報だけだとシステムの安全要求がASIL-Dであれば、画像解析エレメントもブレーキエレメントもASIL-Dとなり、それ以上のことは言うことはできません。この例に限らず、センサーとしてのCMOS撮像素子や画像認識サブシステムを(ASIL-Dにしたくないから)ASIL-Bとする、等のような、エレメントへの自由なASIL割り当て手法が業界で幅広く蔓延しているため、注意が必要です。

故障率についての言及

さらに幅広く見られる誤解として、前の記事と同様の誤りも見られ、

ハードウェアの故障はランダム故障の場合が多いから、もとのシステムと安全装置の故障が二重に起こる確率は下がる。部品の故障率ならば1万分の1×1万分の1で、10億分の1など。

故障率を確率と混同し、故障率を掛け算することができると誤解しています。故障率の次元は[1/H]なので、掛け算すると$[1/H^2]$というわけのわからない次元になってしまいます。正しくは、故障率([1/H])を故障確率(無次元)に直すために車両寿命([H])をかけた上で乗算する必要があります。


左矢前のブログ 次のブログ右矢