ISO 26262において、矛盾のように思える事項がいくつかあります。これは解釈の誤りかもしれませんが、規格自体に詳しい説明が無いため、解釈の誤りかさえ判然としません。

ヒントをもらおうとChatGPTに聞きました。ChatGPTは規格委員会ではないので必ずしも正解を与えてはくれませんが、比較的蓋然性の高い回答をしてくれます。さらには多角的な見方をするので、思考範囲を拡大するのに役に立ちます。

まず、初版ではありますが、

ISO 26262-5:2011 9.4.2.3

NOTE 5 Situations when the item is in power down mode are not included in the calculation of the average probability per hour, thereby preventing the artificial reduction of the average probability per hour. Thus, for an item that is only operational 1 hour each day, the remaining 23 hours are not considered in the calculation of this operational target value.
注5 機器がパワーダウンモードにある状況は、1時間当たりの平均確率の計算には含まれない。これにより、1時間当たりの平均確率の恣意的な低下が防止される。したがって、1日あたり1時間しか稼働しない機器の場合、残りの23時間は、この稼働目標値の計算には考慮されない。

これは合理的ではないように思えます。なぜならPMHFは車両寿命間の平均故障率に近似される値であり、車両寿命間の稼働時間が少なければ少ないほど平均故障確率は下がるためです。これを「不稼働時間を計算に入れた恣意的な平均確率の低下」と言われると、納得がいきません。

さらに、IEC/TR 62380を参照すると、基礎故障率に以下の稼働確率をかけています。 $$ \frac{\tau_{on}}{\tau_{on}+\tau_{off}} $$ ここで$\tau_{on}$は一日の稼働時間割合、$\tau_{off}$は一日の不稼働時間割合です。

これはまさに「不稼働時間を考慮した(恣意的な?)故障確率の低減」であり、Note 5が禁止しているところになります。一方で、OEMから提供されるミッションプロファイルには不稼働時間が含まれており、実際の車両の使用方法に合わせるために、稼働確率をかけて平均故障確率を下げるのは合理的な手段です。

ISO 26262の入力であるIEC/TR 62380の段階で稼働確率をかけ、ISO 26262内でもさらに稼働確率を掛けると2重になるので禁止というなら分かりますが、Note 5ではそのようには言っていません。

前のブログ 次のブログ