主な安全分析手法の概要
FTA
( Fault Tree Analysis)
故障原因
のリスト 単一の故障
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
HAZOPワークシートとガイドワードの例
Item No.
Item 属性
( Attribute )
ガイドワード 故障 モード
原因 影響 対策
(1) (2) (3) (4) (5) (6) (7)
もし、[アイテム] の [属性] が [ガイドワード] だったら?
HAZOP Question:
アイテム×属性×ガイドワードを組み合わせ分の実施が必要
⇒ (想定外も含めて)故障モードの網羅的な洗い出しが可能
一般的な性質に関する ガイドワード
• No
• More
• Less
• As well as(複製)
タイミングに関する ガイドワード
• Early
• Late
• Before
• After
• Part of(未完)
• Reverse
• Other than(不正)
【事例】安全分析結果
< 安全分析シートの記載項目の例>
• 機能グループ
• API
• コンフォーマンスクラス
• ガイドワード
• 故障モード
• SGへの影響
• 影響
• 原因
• 予防策
• 検出策
• 達成DC
• 検出後のOSの状態
• 参照ID
• 対策ID
※上記は(株)ヴィッツ開発ParOSの安全分析結果の記載内容
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【演習】題材概要( VCS )
• 車両は VCS (車両制御システム)を含む
• VCS は運転者に制限速度を表示し、速度超過
の場合は自動的にブレーキをかける
• VCS は車両の速度計とは独立に動作する
– ビーコン間の時間から、車速を計算する
• VCS に接続されたアンテナが、ビーコンからの
メッセージを受信する
– ビーコン信号は、ビーコンに十分近づいたときの み受信可能
– 通常速度では、 4 回から 2 回、メッセージが受信さ
れる
【演習】題材概要
A B C
自動ブ レーキ
運転者
ブレーキ 制限速度 VCS: 車両制御システム
車速超過保護システムは、車両の危険な速度超過に対する保護方策である 路側に一定間隔でビーコンが設置される
各ビーコンは、制限速度および ID を含むメッセージを送信する
自動運転 自動運転
ビーコン
車両は、以下の例外を除き、速度範囲
V_minから
V_maxの範囲で運用される
静止状態からすぐに
V_minに至る
進行方向は反転できる
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【演習】 VCS システム要求仕様
ビーコン信号
(制限速度、ビーコンID)
アンテナ
ビーコン
電波
自動 ブレーキ
運転者 ブレーキ
運転者ブレーキ デマンド
表示器
制限速度
(表示パターン)
自動ブレー キ指示
VCS: 車両制御システム
ID 要求事項
SR1 車両起動時に、システムの初期化を行う。
SR2 隣接するビーコン間の移動に要する時間から、車速を計算する。
SR3 車速計算結果と、ビーコンから送信される制限速度を比較する。計算車速が制限 速度を超過する場合は、自動ブレーキをかける。
SR4 自動ブレーキは、運転者がブレーキをかけたときにリリースされる。ただし自動ブ レーキは、少なくともT_brake時間は、かけ続ける。
SR5 ビーコンから受信した制限速度を、表示する。
【演習】安全ゴール、安全状態
• 以下の安全ゴールを想定する:
– SG1: 制限速度を超過した場合、少なくとも T_brake の間は自動ブレーキをかけ続けなければならない
/ ASIL D 相当
– SG2 :制限速度を過小に表示してはならない
/ ASIL B 相当
• 以下の安全状態を想定する:
– 自動ブレーキ:かかっている状態
– 制限速度の表示器:何も表示しない状態
Atelier Inc. & WITZ Inc. © 2015 All Rights Reserved 2015/7/30 SECセミナー
【演習】システムアーキテクチャ設計
RIU BCU DC
データバス
自動ブレーキ 指示
運転者 ブレーキ デマンド
制限速度
(表示パターン)
VCS: