31 |
ASILデコンポジションの論文 |
ASILデコンポジションの論文
ASILデコンポジションで検索すると上位に出てくる次の論文について考察します。 https://www.juse.or.jp/sqip/workshop/report/attachs/2006/3_3_report.pdf
第三分科会 機能安全グループ
安全関連システムの分割要件の考察
Consideration of requirement of decomposition for a safety related system
筆者は恐らくソフト屋さんなのでしょうか、誤りが見受けられます。
記事中の文章
図2は一般的な監視機構を表しているが、このシステムでは主機能システムの異常を監視システムが検出し、あらかじめ設定された安全状態(Safety State)にシステムを遷移させ、その状態を維持する。同様に監視システムの異常を主機能システムが検出し、 Safety State に遷移・維持する。これは監視システムの喪失が単一故障で即危険状態に至る潜在故障(Latent failure)を避けるためである。
IFの故障により直ちにVSGとならないようにSMがIFの故障検出を行い、(FTTI中に)SSに遷移するというのは正しいです。また、SMの故障によりLFとならないように、IFが?(正しくは2nd SMだが、IFに2nd SMの機能が有ったとして)(MPFDI中に)故障検出を行うというのも、誤りではないです。
しかしながら、LFとならないようにSSに遷移する、という部分が誤りです。そもそもSMのフォールトは直ちに非安全状態になるものではなく、そのうち(!)に修理すれば良いわけです。そのためにMPFDIはかなり長時間、例えば1 vehicle trip時間(key onからkey offまで)を想定しています。SMはその定義上、故障しても直ちに危険事象を引き起こすことはないので、SSに遷移する必要はありません。
例えば ABS/VSA 等の電子制御のブレーキシステムにおいて故障を検出した時に、警告灯の表示で運転者に異常を知らせると共にシステムを機械式ブレーキシステム相当に戻した時の状態が、安全状態である。
警告灯が故障したからといって、いちいち機械式ブレーキに遷移しては、使い物になりません。この例に限りませんが、警告灯が故障したからといって、直ちに問題にはなりません。主機能である電子制御ブレーキシステムは正常に動作します。
とはいえ、システムはレイテント状態、つまりフォールトの待ち受け状態になっており、準危険状態なのでMPFDI中に検出し、修理する必要があります。MPFDIは「そのうち」と読み替えて良く、あまり危険度合いが高くないシステムであれば、次の車検の時でも良いでしょう。MPFDIの時間間隔は主機能と安全機構の故障率にも依存しており、PMHF式から逆算することが可能です。
Leave a Comment