16 |
2nd Edition PMHF式の詳解 (6) |
Pattern 1と2
式の右側にPattern 1から4まで番号が振られていますが、以前の記事で解説した場合分けに対応しています。最初にPattern 1と2を見てみます。
- Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
- Pattern 2: SM1⇒IFの順にフォールトが発生し、SM1のフォールトは、SM2によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。
このように、Pattern 1も2も最初にSM1にフォールトが発生し、引き続き、IFにフォールトが発生する場合、つまりSM1⇒IFのDPFの状況を表しています。
暴露時間
DPFが起きる可能性のある期間は、Pattern 1と2で異なり、Pattern 1では車両寿命$T_\text{lifetime}$、Pattern 2では運転手が修理のために車両を持ち込む時間$T_\text{service}$です。この期間のことを、規格では暴露時間と呼んでいます。どうして暴露時間と呼ばれるかと言えば、本来、安全機構が意図機能を保護しているはずですが、安全機構が先にフォールトすることにより、保護が外れ、意図機能が故障に対して暴露されて脆弱になっている期間であるためです。
この期間は安全機構がレイテント状態となっています。これは潜在的に故障しているという意味です。潜在的とは、直ちに故障が危険状態にはつながらず、意図機能の保護が外れている状態を指します。
Pattern 1と2の条件
Pattern 1と2の条件を論理式で書いてみます。まず、Pattern 1の条件であるLFを増加する条件は、2nd SMであるSM2によるSM1のLFの $$ (緩和\cap \overline{通知})\cup\overline{緩和}=\overline{通知}\cup\overline{緩和}=\overline{(緩和\cap通知)} $$ であり、Pattern 2の条件であるLFを減少する条件は、SM2によるSM1のLFの $$ 緩和\cap通知 $$ です。条件としては全てをつくしています。これが正しいかを次の節で検証します。
緩和と通知、修理
ここで、緩和とは何でしょうか?緩和とは悪い影響を減らすことです。従って、ここでいう緩和とは「SM1のLFを減らすという意味」だと考えられます。例えばSM1とSM2が冗長となっている場合には、SM1のフォールトは直ちにLFとはならず、SM2がバックアップします。これは通知はしませんが緩和する場合のLF削減の例です。
一方、SM2がSM1のフォールトを検出すると、緩和はされず通知を行います。警告表示等によりドライバーが車両を修理工場へ持っていき、そこでSM1が修理されることにより、LFの削減が起こります。 Pattern 2の修理という文言で分かるように、規格はフォールトを検出・通知すると、そのフォールトは修理されるのが前提になっています。
このように考えると、SM1のLF削減条件は、 $$ 緩和\cup通知 $$ のように思われます。ところが、2nd Editionで新たに追加された条件である、SM1のフォールトがVSGの可能性を持つことを考えれば、先の緩和を拡張し「SM1のVSG(RF)及びLFの可能性を減らす」ことだと考えます。
SM1のVSG(RF)を減らす条件は、 $$ (VSG)緩和 $$ であり、SM1のLFを減らす条件は、上記のとおり、 $$ (LF)緩和\cup通知 $$ となり、$緩和\cap通知$とはならないようです。いずれにしろ、規格の用語の定義がはっきりしていないために、矛盾が起きてくる例です。例えば、
- SM1のフォールトによるVSGの可能性はあるのかないのか
- 緩和とはVSG(RF)の緩和なのかLFの緩和なのかその両方なのか
について、はっきりしていなかったり混乱が見られます。