25 |
ASILデコンポジション論文ward2012 (4) |
論文ward2012$\dagger$の続きです。
Figure 4 illustrates a plausible solution to this problem, where the secondary micro is also equipped with CAN hardware and therefore is able to fulfill REQ 22.2 independently from the primary microcontroller.
図4は、セカンダリマイクロがCANハードウェアを装備しているため、プライマリマイクロコントローラから独立してREQ 22.2を満たすことができるという、この問題の妥当な解決策を示しています。
このように変更することで、ASILデコンポジションが成立しています。2ステップに分解して確かめてみましょう。まず分解された安全要求は初期安全要求を単独で満足する必要があります。
安全要求
REQ 22.1. プライマリ・マイコンは、CANバス上で「ロック」コマンドを受信すると、ブリッジ・ドライブへのドライブ信号をアクティブにしなければならない。
は、初期安全要求
REQ 22: 「ロック」状態がCANバスで受信された場合、マイクロコントローラはブリッジドライブへのドライブ信号をアクティブにしなければならない。
を単独で満足します。また、安全要求
REQ 22.2. セカンダリマイコンは、CANバスを介して受信した車速がロック状態が妥当であることを示した場合(すなわち、車両が静止している場合)に、ブリッジドライブへのイネーブル信号をアクティブにしなければならない。[ASIL B(D)]
は、初期安全要求
REQ 22: 「ロック」状態がCANバスで受信された場合、マイクロコントローラはブリッジドライブへのドライブ信号をアクティブにしなければならない。
を単独で満足します。
次に、REQ 22.1と22.2が割り当てられたエレメントは、互いに独立となっていてASILデコンポジションが成立しそうです。論文中にもありますが、
Finally, as a cautionary note; one often overlooked aspect is that of support circuitry for the microcontrollers. In such architecture, care should be taken to ensure that there is an absence of common cause faults, and that no propagation of faults from one microcontroller to the other can occur via a common power supply or common clock circuit.
最後に、注意事項として、見落とされがちなのがマイクロコントローラのサポート回路です。このようなアーキテクチャでは、共通の原因となる故障が存在しないこと、そして、共通の電源や共通のクロック回路を介して、一方のマイクロコントローラから他方のマイクロコントローラへの故障の伝播が起こらないことを保証するために注意を払う必要があります。
エレメント間で電源やクロックの異常により、同時に異常動作が起きることが無いことの説明が必要ですが、それが成立する場合、ASILデコンポジションが成立します。
実は前稿にも書いたように、この例は無駄なASILデコンポジションの例であり、このような無駄をしないためにはASILデコンポジションを正しく理解することが必要です。
$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.