5 |
2nd Editionでの時間制約 (2) |
- シナリオ3:FTTI内の危険事象を防ぐ安全機構が実装されたシステム。ただし、安全な状態に移行するには緊急操作が必要です。車両の動作状態を制限することにより、緊急動作許容時間内に安全状態が達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}$$
モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。 EOTTIの有効期限が切れる前に、車両の動作状態が制限されているため、バルブからの流れが危険事象を引き起こすことはありません。
- シナリオ4:FTTI内に危険事象を防ぐ安全機構が実装されたシステムですが、安全状態に移行するには緊急操作が必要です。ただし、移行時間はEOTTIより長くかかります。結果として、累積リスクは受け入れられなくなり、機能安全コンセプトで指定された目標を超えます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTTI}<T_\text{EOTI}$$
モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。このシナリオでは、車両の動作は制限されておらず、アイテムはEOTTIの有効期限よりも長く緊急動作しているため、安全目標違反の不当なリスクが生じます。
以上より、EOTTIは、安全機構がFTTIを超えて安全を担保しているとき(VSGを抑止しているとき)、安全機構の構造により担保時間(抑止時間)に制約がある場合、その制約の期間を意味します。従って、その制約時間内に修理するか、あるいは別の、例えばスタンバイ機構により機能が継続できなければ、安全機構の効果が無くなり、VSGとなってしまいます。仮に修理工場に持っていく場合は、EOTTIとして数百時間が必要となります。
Leave a Comment