Proven in Use とナノと

今回は,ISO26262 Part 10 の話しに戻ります.再利用の手段の一つに proven in use があります(このほかの再利用手段としては,SEooC やQualification of SW componentというのがあります).これは定まった訳語がなく,それ自身が説明的名称になっています.「長く使っていて問題ないので,あらためて証明するまでもない」ものということになります.あえて訳すと,「実績が示された」くらいでしょうか.以下では,長いので,PiUとしておきます.正式発行のPart 10では例(といっても想像するほど具体的なわけではありませんが)があります.

***

さて,今回はこのPiUについて見てみます.定義しているのは,Part 8 のClause 14です.例えば,8-14.4.5.2.4では,ASILに応じた観測可能なインシデント率が定められています.それぞれ以下の左側に示すような数字になっています.右側は,インシデントがゼロの場合の最小のサービス期間(実績)を示した表ですが,左側と同等のものです.そこで,もう少し数字の感覚を掴むために詳しく見てみることにします.

右側の平均故障間隔に関して一般に以下の式に従います.もちろん条件が必要で,例えば故障率が期間中一定で,期間を限定するということになります(故障率が一定でない場合は,8-14.4.5.2.6にあるとおり別の考慮が必要になります).また,これは,8-14.4.5.2.4の NOTE 4にある式と同一です.

規格では,カイ2乗分布に従うものとして信頼レベルが70%以上を求められています(α=0.3).また,期間中の故障はこの表ではゼロとしますから(n=0),自由度は2となります.これから計算するカイ2乗分布の境界値の値は,2.4079….ですから,計算の都合が良いように,2.4としておきます.そうすると,故障間隔は,単純にT/1.2と云うことになります.

いま,(故障のない)最小サービス期間が,表右側に示すものですから,Tにこの値(1.2×109)を代入すると,少なくとも109時間という切りの良い数字になります.従って,逆数をとれば,上記の表は,左右で基本的に同一だということが分かるかと思います.

さて,この想像しがたい時間を待たないとPiUといえないかというとそうではありません.同一のエレメントを使用した車はたくさんあるでしょうから,加算によって稼ぐことができます.10,000台の場合で考えます.また,時間だとイメージしづらいので,平均一日2時間使用されているとします(商用車はそんなことはないのですが,対象が3.5トン以下の乗用車ですから自ずと限定されると思います).この場合,年に730時間.従って,先の最小時間を達成するためには,簡単な割り算で,137年ほどかかることになります.結局,なかなか達成は難しい.

逆に,2年ほどで,達成できる台数を考えると68万台強ということになります.こちらも難しい.ASIL D にこのPiUを適用するのは現実的ではないということになります.一方で,それ以下の場合だと,オーダで変化しますから,可能性は高いかもしれません.

観測中にインシデント(n)がゼロではなかった場合の最小期間についてもせっかくなので計算しておくことにします.ついでの計算ということで,比較的線形性があることと,困難さが(当然ながら)増加するということを見て頂ければと思います.

ところで,機能安全の説明によく10-9といった数値が使われます.しかし,ISO 26262 ではこういった数字を目にするところは限られています.PiUはその数少ない場所です.しかし,幾つかの恣意性を感じます.例えば,先の表ですが,ASIL CとASIL Bで同じ値です(間違いではありません).ISO 61508のSILとASILとは単純な対応をしていないと云われますが,その例の一つです(もちろん対応しなくてよいという考えもありますが,わかりにくさは残ります.同じことはSIL 4 とASIL D の関係についてもいえます.自動車で SIL 4 はないという主張もありますが,そうだとするとPIUにおける10-9は,市場での評価ということでより厳しい条件を与えられていると云うことになります).
また,最低期間には残念ながら達していないが用いることが可能と判断可能な場合の暫定インシデント率は,ASIL D で3×10-9以下と示されています(8-14.4.5.2.5 Table 9).この3についても,不思議な3であり,特段の合理的な説明はなく,いわゆるエイヤだろうと思います.

自動車のように市場に多数出荷される製品において,このPiUに期待される役割は大きく,上記に挙げた課題を含めて,これからより研究が進められ,その結果が反映されてくるのではと思います.

また,実務上は,如何に市場におけるインシデントの発生状況を把握するかです.これができていないと,結局は n はゼロのままなので,そのエレメントは実際以上に安全とみなしてしまうことになります.Part-10 では実績の観測手段として,以下を例として挙げています.

  • 保証クレーム
  • フィールド欠陥分析 ないしは
  • 車輌製造業者からの欠陥パーツの返却

こちらは,(先の研究以前に)PiU規格を適用する上で困難な点だろうと思います.いまのところ販売した乗用車がつねに追跡されているわけではありませんから.

***

さて,タイトルのナノですが,これは本文中でも使用した10-9の別名です.ナノメートルといえば原子よりは少し大きく有名なフラーレンの修飾を含まないサイズくらいでしょうか.どちらにしろ小さなものです.


故障率ではきわめてマレであることを示すために,よくナノが用いられます.別の例をあげると,原子力発電所の場合,10万炉年に一回といういい方をします.時間換算するとおおむねナノになります(24時間*365日=8760≒104).世界で約400炉あるので,250年に一回は起きるという頻度になります.稼働年数を考えるとそれほど気の遠くなる数字ではなくなります.

(nil)

This entry was written by nil, posted on 23/09/2012 at 2:02 PM, filed under ISO 26262, SOUP, 安全. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Both comments and trackbacks are currently closed.