14 |
レイテントフォールトの問題 |
弊社のパートナー会社であるSGSジャパン株式会社によるオンラインセミナーで興味深い問題を見つけました。次の事象はレイテントフォールトになるかという問題で、その事象は、
というものです。
本来は安全目標(SG)ないし安全要求(SR)の侵害により、故障となるかどうかを判定するので、SG/SRが必要です。本問はSG/SRが示されていないので、想定する必要があります。
安全機構(SM)であるWDTは、一般にはマイコン等の意図機能(IF)のデッドロック検出のためのSMとして用いられます。従ってWDTは1st SMです。例えばEPSにおいてマイコンがアクチュエータに指示をする際に、SGは「走行中にマイコンのデッドロックによるステアリング固着なきこと」等となります。
次にWDTにECCが付加されており、その機能を考えます。このECCはWDTのフォールトがレイテントになるのを抑止するための2nd SMです。弊社が2017年の論文で提案した「2nd SMはフォールトしない」という定理を適用すれば、WDTの1bitフォールトは常に修復されることになります。また、ECCのDCは99.999...%なのでDC=100%とします。
一般に、MPFDI以内は2nd SMによる検査・修理が行われないので、レイテントかどうかはMPFDI外で判定します。「通知されない」という条件に注目すると、通常の2nd SMではMPFDIで検出できても通知されなければ修理されないため、レイテントフォールトとなりそうですが、ECCは特殊で、前段落の議論から100%修理されるとして扱います。
レイテントフォールトは、定義の文字上では、通知されなければレイテントフォールトとなるのですが、真に問題となるのは通知の有無ではなく、修理の有無です。規格には、通知されれば修理されるという暗黙の条件があるためです。
従って、解答としては、ECC付きWDTカウンタの1bitフォールトは $\img[-1.35em]{/images/withinseminar.png}$ ということになります。
Leave a Comment