3 |
PMHF論文das2016 (5) |
FTA
A. 定量的な FTA の適用可能性と使用の制限
PMHF論文das2016$\dagger$の続きです。
以下の段落では一般論を述べています。
Quantitative methodologies are a useful tool in safety assurance processes, where the objective is to reduce risk to a quantifiably acceptable level by estimating the rates of occurrence of hazardous events. Standards such as IEC 61508 are based strongly on this principle. Given such an estimate of the probability of safety-related hazards, the risk can in principle be mitigated to an acceptably low level.
定量的方法論は、危険事象の発生率を推定することにより、リスクを定量的に許容できるレベルまで低減することを目的とした安全保証プロセスにおいて有用なツールである。IEC 61508 などの規格は、この原則に強く基づいている。安全に関連するハザードの発生確率をこのように推定すれば、原則としてリスクは許容可能な低レベルにまで軽減することができる。
以下の段落ではシステマティックフォールトを混ぜて議論していますが、混ぜるとわけがわからなくなります。対処する手法が異なるからです。ここではランダムハードウェア故障に絞って議論したほうが良いでしょう。
However, there are several critical limitations to such methods that must be recognized. While random failures in electronic hardware may be modeled with probabilistic methods, systematic failures (for example in deterministic software) cannot be modeled in this way. This may lead the analyst to under-represent or overlook important systematic failures [8]. There is wide variability in underlying data available for the reliability failure of electronic components, which in turn leads to calculations with a relatively wide range of uncertainty. There is also evidence of a tendency for the analyst to believe in the independence of events which are represented independently in the FTA, while objective observation would find a correlation between events [9]. ISO 26262 takes steps to mitigate these limitations, for example by recognizing the primacy of process adherence in preventing and avoiding systematic faults, which are not generally quantifiable by probabilistic methods. It is important to remember that analyst judgment is a critical factor in the success of a quantified FTA. The analysis is neither a formal proof nor a validation of safety, but merely a structured record of the analyst's best understanding.
しかし、このような方法には、認識しなければならないいくつかの重大な限界がある。電子ハードウェアのランダムな故障は確率論的手法でモデル化することがでるが、系統的な故障(例えば決定論的ソフトウェア)はこの方法ではモデル化できません。このため、解析者は重要なシステマティックな故障を過小評価したり、見落としたりする可能性がありる[8]。電子部品の信頼性故障について利用可能な基礎データには大きなばらつきがあり、その結果、比較的広い範囲の不確実性を伴う計算が行われることになる。また、客観的な観察ではイベント間の相関関係を見つけることができるのに対し、分析者は、FTA で独立して表現されているイベントの独立性を信じる傾向があるという証拠もある[9]。ISO 26262 は、確率論的手法では一般的に定量化できないシステマティックな欠陥の予防と回避において、プロセスの堅持が重要であることを認識するなど、これらの制限を緩和するための措置を講じている。分析者の判断が定量化された FTA を成功させるための重要な要素であることを覚えておくことが重要である。解析は、安全性の正式な証明でも検証でもなく、解析者の最善の理解を構造化した記録に過ぎない。
$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.