Posts Issued in June, 2019

posted by sakurai on June 15, 2019

1st Editionと2nd Editionとの変化点

本稿ではISO 26262:2011を1st Edition、ISO 26262:2018を2nd Editionと呼びます。さて、7年間の議論を経て発効された2nd Editionではどこがどう変わったのでしょうか?

本ブログではハードウェア領域においての変化点をご紹介していきます。ISO 26262においてのハードウェア領域は主にPart 5、Part 10、及びPart 11となります。

Part 5

本文中の細かいところも変更されていますが、一見して目に付くのがAnnexの章立てが変更されていることです。

  • 1st Edition Annex F (スケーリングファクタ)の廃止
  • 2nd Edition Annex F (PMHFの評価例)の追加
  • 2nd Edition Annex G (PMHFバジェッティング例)の追加
  • 2nd Edition Annex H(レイテントフォールト取扱い例)の追加

これらひとつひとつについて、「ISO 26262変化点セミナー」でご説明予定ですが、ブログでも簡単に解説していきたいと思います。

Annex F (スケーリングファクタ)の廃止

スケーリングファクタは異なる故障率データベースからの故障率を混ぜて使用する場合、土台を合わせないと正しく使用できないことから、それについての注意点を記述した章でした。ところが2nd Editionでは削除されています。元々、1st Editionでは9.2.4.7にのみスケーリングファクタが書かれており、そこからAnnex Fへ参照となっていたものです。この9.2.4.7はPMHF手法による、安全目標侵害確率の評価の最後の章となっています。つまり1st Editionでは、PMHFを正しく求める方法としてスケーリングファクタを導出し、故障率の土台を合わせて計算することを要求していました。

一方2nd Editionでは、章が削除されたとはいえ、スケーリングの議論は8.4.3に新設されています。8.4は故障率を異なるデータソースから算出する話なので、スケーリングについて触れるにはちょうど良い場所です。さらに備考に、スケーリングを正しく行わない場合SPFM/LFMにも悪影響が及ぶとあり、スケーリング対象をPMHFのみからアーキテクチャメトリクスまで広げていることは妥当と考えます。

まとめると、独自の章としては削除されたものの、スケーリングは一層重要だということです。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 13, 2019

組み立てたPCBをUltra96と組み合わせ動作確認を行います。4層だから電源、グラウンドノイズが抑えられるかと思いましたが、2層とあまり変わらず、400mVp-pくらいありました。やや大きい気がします。

2層と言えどもベタ電源、ベタグラウンドとしているので4層と変わらないのか、それとも3端子レギュレータのノイズがかなり強力で、バイパスしきれていないのか不明です。パスコンをかなり入れている割にはあまり効いていない感じがします。

3端子レギュレータの温度上昇が心配だったので、デジタル温度計を繋ぎ、数時間動作させてみました。39度までは上がらないようです。12Vから3.3Vに落としているのでドロップ電圧が大きく、ドロップ電圧×電流の電力を熱として消費するため熱暴走が心配でした。このレベルの消費電力であれば、ヒートシンクは不要のようです。

図111.1
図111.1 PCB基板

ところで、前回使用したFusion PCBは実装費用が(BokTechに比べたら)高額だったのですが、今回実装費用を約65 USDも値下げしてきました。比較してみると、この基板を製造費、実装費、部品費、配送料込みで、

ベンダー Fusion PCB BokTech
2層板(5枚製造、2枚SMD実装) 89.13⇒23.52 USD 54.83 USD
4層板(5枚製造、2枚SMD実装) 129.13⇒63.52 USD 92.02 USD
2019年5月調べ

図111.2
図111.2 PCB基板価格

と競合であるBokTechを下回る価格を打ち出してきました。従来はBokTechよりも約35 USD高かったのですが、BokTechよりも約30 USDも安くなっています。

そもそも実装費用がこれだけ安ければ、全てSMDにして実装を任せても良くなります。また、部品費用はそのほうが安いものが多いため、メリットがあるでしょう。手ハンダを前提としたスルーホール中心の考え方まで変える必要がありそうです。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 9, 2019

あまりにもPCB製作が安いので、4層板も試作してみました。PCB業者は前回と同様Bocktechです。今回は、PCB製造に7.78日と4層のせいかかなりかかりました。PCB(SMDのみ)実装に0.90日、配送(DHL)に6.13日と、ネットでの支払い完了から数えて到着まで14.81日かかりました。またコストは、送料込みで92.02 USDで、PCB製造が42.19 USD、PCB実装に29.83 USD、配送(DHL)に20.00 USDという内訳です。

完成した回路図を図110.1に示します。EAGLEにより作図しました。UltraZedボードとUltra96ボードの兼用であるため、電源のORをショットキーバリアダイオードで取っています。どちらの電源がONしているかを2色LEDの色で表示しています。初版から比べてリセットSWとDIP SWを追加しました。

図110.1
図110.1 論理回路図

PCBアセンブリはSMD部品2個のみを実装してもらいました。garberデータの他にBOMのエクセルファイルをアップロードします。PCBアセンブリ費用29.83 USDの内訳は、部品費6.64 USD、セットアップ費20.00 USD、組み立て費0.92 USD、サービス費2.27 USDとのことでした。2枚SMD実装してもらって29.83 USDなら苦労してハンダリフローや手付ハンダをしなくても良いかもしれません。

図110.2
図110.2 PCB BOM

Boktechにより5枚を製造し、2枚をSMD実装したPCBです。

図110.3
図110.3 PCB表面

図110.4
図110.4 PCB

組み立てを実施したPCBです。電源や主要信号にテストポストを立てています。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 4, 2019

1st EditionのPMHF式

以下に1st EditionのPMHF第1式及び第3式を示します。第1式はIFによりSPFもしくはDPFが発生する場合のみを数え上げた式であり、第3式はそれに加えてSM1によるDPFも加えた式です。従って、全ての場合を考えるならば第3式を使うのが正しいと考えます。

図109.1
図109.1 1st EditionのPMHF第1式

図109.2
図109.2 1st EditionのPMHF第3式

1st EditionにおいてはIFがアンリペアラブル、SM1がリペアラブルという前提での計算に基づいていると考えらえます。その理由は、この前提で、前項のCTMCからADRを求めると、正確に上2式と一致するためです。

2nd EditionのPMHF式

以下に2nd EditionのPMHF式を示します。

図109.3
図109.3 2nd EditionのPMHF式

ISO 26262の2nd EditionのPMHF式は、1st Editionとpattern3、4が異なっており、対称性からみて前提が追加されていると考えます。2nd Editionでは1st Editionの前提(pattern 1, 2)に加えて、その反対の状態(pattern 3, 4)つまりIFがリペアラブル、SM1がアンリペアラブルの場合の両側についてPMHFを求めていると推測します。ただし、$T_{\mathrm{lifetime}}$項と$T_{\mathrm{service}}$項がなぜ2倍異なるのかの理由は判明していません。

しかしながら、弊社ではこの前提は誤りではないかと思います。初期状態、つまりフォールトが起きていない状態においては、IF、SM1の両方ともがリペアラブルが正しく、上記の仮定においては故障確率を過大に見積もりすぎています。

例えば、SM1がフォールトし、そのフォールトがSM2により検出され、検出周期の最後でリペアされる場合(pattern 2)を考えます。規格ではこの場合は最初にSM1がフォールトしてしまうと、最終的にはIFのフォールトによりDPFとなる場合のみがカウントされます。なぜなら、どちらかがリペアラブルだと他方はアンリペアラブルだからです。つまりこの場合、SM1がリペアラブルの場合は自動的にIFはアンリペアラブルという前提です。

ところが、実際にはSM1がリペアされた場合は初期状態と同じ状態に戻るため、次にIFがフォールトし、SM1により検出されリペアされる場合(pattern 4)もありえます。典型的な例は、SM1がフォールトしリペアされ、次にIFがフォールトしリペアされるように、交互にリペアされる場合です。この場合はDPFが起きないにも関わらず、2nd EditionではSM1がフォールトから始まると、SM1はリペアラブルと仮定されます。そしてIFはアンリペアラブルと仮定されます。従って、実際にはDPFは起きませんが、IFのフォールトでDPFとカウントされ、結論として過大にフォールト確率を見積もっています。

弊社ではこの過剰見積もりに関する論文をRAMS 2020に投稿中であり、そのため、PMHFに関する最新の研究を一旦非開示としました。2019年10月中に採択の決定が行われる予定であり、その後に開示する予定です。


左矢前のブログ 次のブログ右矢