9 |
規格第2版のPMHF式の疑問 (17) |
ISO 26262規格の疑問
そもそも論ですが、ISO 26262規格第2版の考え方には疑問があり、過去に何度も書いています。記事#68、#69、#109、#130、#313、#329、#344、#473。弊社の見方では、
第1版(the first edition, 2011年版)
SMにはIFの代替機能無し。従ってIFがfailするとSMは機能を代替できないため、その場で故障が起きる。一方SMはフォールトしてもサブシステムは故障しない。すなわち、SMはリペアラブル、IFはアンリペアラブルが前提。
PMHF式のべースとなるモデルは弊社に依れば図481.1のとおりIFU-SMUモデルとして構成されており、導出されたPMHF結果式は正しい。図481.1 1st edition CTMC 第2版(the second edition, 2018年版)
SMにはIFの代替機能有り。従ってIFがfailするとSMは機能を代替する。例えば冗長構成が対象。IFもSMもフォールトすると代替機構が働くことにより、サブシステムは故障しない。すなわち、IFもSMもリペアラブルが前提。
PMHF式のべースとなるモデルは図481.2のとおりIFRモデルとして構成されておらず、IFU-SMUモデルとして構成されている。従って、導出されたPMHF結果式は誤り。さらにPattern 2, 4には計算誤りまで含まれている。図481.2 2nd edition CTMC
2nd editionの誤りは1st editionで用いたIFUモデルを引き続き用いたところにあります。本来は両方のエレメントがリペアラブルでなくてはなりません。ところが、2nd editionでは最初にIFがフォールトするとその後SMはアンリペアラブルとなります。逆に最初にSMがフォールトするとその後IFはアンリペアラブルとなります。つまり、最初にフォールトしたエレメントのみがリペアラブルという前提です。
例えばIFフォールト⇒IFフォールトリペア⇒SMフォールト⇒IFフォールトとなることはできません。(479.1)において、カッコ内の式に $$ \left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot\color{red}{R_\text{IF}(t)}\right] $$ とあるように、$R_\text{IF}(t)$が意味するところは時刻$t$まではIFは一度もダウンしていないことを表します。これはIFはアンリペアラブルであることを意味します。本来、IFのアベイラビリティである$A_\text{IF}(t)$でなくてはなりません。 従って、サブシステムは図481.3のとおりIFRモデルでなくてはなりません。
第2版の誤りは、DPFのケース分類をする時に、
①IF⇒SM1、もしくは
②SM1⇒IF
の2通りしかないとしたところは正しかったのですが、本来は
①(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがIF⇒最後のフォールトがSM1、もしくは
②(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがSM1⇒最後のフォールトがIF
とすべきところを、なぜか、
①最初のフォールトがIF⇒(IFのup/downが0回以上起きる)⇒最後のフォールトがSM1、もしくは
②最初のフォールトがSM1⇒(SM1のup/downが0回以上起きる)⇒最後のフォールトがIF
と誤ったところにあると考えます。最初のフォールトが起きるエレメントを決めてしまうと、相手のエレメントフォールトが起きる場合にはDPFになってしまいます。従って相手のエレメントのフォールトは最後に起きるしかありません。従って最後のフォールトが起きる、相手のエレメントは非修理系でなくてはならない過剰な制約がつきます。黄色で示した無視された部分の違いが示すように、本来はIFもSM1も修理系のはずです。
DPF項はPMHF全体に対して3%未満であるという経験からすると、どちらでも良いと考えがちですが、EOTTIにはこのDPFが大きく効いてくるため、無視はできません。弊社の計算では30~40倍もEOTTIが異なるため、規格式による設計では耐故障システムに関しては数十倍の厳しい設計制約となります。
なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。