あるTier1様にてコンサルテーションをしたときに、以下のようなご質問を頂きました。当時は2018年3月だったので、2nd Edition発行前になります。

あるECUのFMEDAを実施しています。冗長系ではない主機能の故障モードのレイテントフォールトについて考えます。他のエレメントの独立故障との組み合わせでSG侵害となるかを判定します。故障分類フローによれば、主機能故障が抑止されるのは、通常、1st SMにより検出されるから抑止されるのであり、抑止されている状態での検出率は100%です。従って、主機能故障がレイテントとなることはありません。よって、FMEDAのレイテントフォールトの欄はNoとなります。ここまではOKです。

その後を考えてみました。1st SMにより検出されたフォールトはMPF detectedとなりますが、このフォールトは、修理されるのか、修理されないのかのどちらでしょうか？

修理されないと考えると引き続くSMのフォールトでDPFとなってしまいます。これは主機能フォールトがMPF detectedではなくMPF latent(レイテントフォールト)となることを意味し、前提と矛盾します。

修理されると考えれば、PMHFの計算式の条件と整合しません。その理由は、PMHF式では主機能は非修理エレメント、SMは修理エレメントという前提のため。

通常だと故障分類フローでMPF detectedに分類して終わるのですが、このTier1様は慧眼で、その後の分析をされています。結論から言えば、1, 2, 3のどの立場を取っても矛盾が解消しません。

1. 主機能フォールトは100%検出されるため、レイテントにならないとの立場
   検出されても修理されないならば、いつかSMのフォールト発生によりDPFとなる。これはPMHF式のSMが、MPF detectedであっても検出周期内ではレイテントとなることからも分かる。よってレイテントフォールトとなることから前提と矛盾する。
2. 主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
   修理されるのでDPFとならない。ところが、PMHF式は式の前提から、主機能は非修理系であり、PMHF式の前提と矛盾する。
3. 主機能フォールトは、100%検出されてもレイテントになるとの立場
   上記議論から、100%検出されても修理されなければレイテントとなるが、故障分類フローではMPF detectedとMPF latentを明白に分けているため、故障分類フローと矛盾する。また、LFMの定義にはMPF detectedは除かれているため、LFMの定義とも矛盾する。

どの立場を取っても矛盾するということは、規格内部に矛盾があることを意味します。

前のブログ 次のブログ