Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

PMHFの計算法の例(2)

posted by sakurai on October 20, 2020 #326

前稿の続きです。

PMHF式に誤りのある「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」は2015年3月発行です。著者に連絡を取ったところ、論文$\dagger$からの引用だとのことでした。これは2014年発行なので、この論文が元凶であり、ブログで取り上げたこの資料この資料に影響を与えたようです。IEEE発行の査読付き論文なのでそれなりに信用性があり、誤りが広まってしまうのかもしれませんが、非常に遺憾なことです。

図326.1に当該部分を引用します。

図%%.1
図326.1 ある論文中のPMHF式

図326.1では、ISO 26262にはPMHF式が出ていないため(実際はPart 10に書かれている)、IEC 61508から持ってきたと書かれていますが、そもそもIEC 61508にはPMHFはありません。近い概念としてはPFH(Probability of Failure per Hour)があります。Exidaの資料によればPFHは(326.1)式で表されます。 $$ PFH=\lambda_\text{DU}\tag{326.1} $$ 少なくともDPFは、主機能と安全機構の双方がフォールトしたときの故障であるため、(326.1)式のような1oo1の式ではなく1oo2のPFHのほうがベターなようです。ただし、ISO 26262はIEC 61508に基づいているといいながら、PMHFはISO 26262独特のものであるため、1oo2としても一致しません。結果的にIEC 61508を過度に適用することは、このような誤りにつながります。あくまでISO 26262の上で考えなくてはなりません。


$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.


左矢前のブログ 次のブログ右矢

PMHFの計算法の例

posted by sakurai on October 16, 2020 #325

前稿の続きです。

この誤りはどこかで見たと思ったら、財団法人日本電子部品信頼性センター発行の「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」の33ページにも、同じような式が書かれていたので、図325.1に引用します。

図%%.1
図325.1 ある資料中のPMHF式

前稿のMPFはLF($=\lambda_\text{MPF,lat}$)のみを加えていましたが、この式ではMPF全体となっており、より悪化しています。これはtypoではなく、図325.1中にも「全体から安全フォールトを除いたもの」とあり、図324.1を参照すれば、SPF/RFに加えMPF全体と考えているようです。ところが、MPFにはlatentとdetected/percievedがあり、後者は安全と考えられるので、より誤り度合いが大きいのです。前稿でも述べたように、LFは単独ではVSGとならないので、他のフォールトとのDPFとして計算する必要があります。DPF確率は、SMのレイテント確率とIFのフォールト確率の積になります。

図%%.2
図325.2 ある資料中のPMHF計算

本来DPFは2つのフォールト確率から成る確率事象であるため、その確率は非常に小さくなるはずです。ところが、図325.2ではDPFが支配的になっており、一見して誤りと判定できます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 15, 2020 #324

昆虫採集よろしく、業界内での事例収集を実施中です。アーキテクチャメトリクス(SPFMとLFMの総称)及びPMHFについて、「自動車の機能安全と部品安全ーISO 26262の概要ー」の資料を見つけました。

その中での、上記メトリクスの計算方法を紹介します。

図%%.1
図324.1 ある資料のメトリクス算出例

この資料によれば、SPFMは、 $$ SPFM=1-\frac{\beta}{\alpha}=1-\frac{\sum\left(\lambda_\text{SPF}+\lambda_\text{RF}\right)}{\sum\lambda} \tag{324.1} $$ LFMは、 $$ LFM=1-\frac{\delta}{\alpha-\beta}=1-\frac{\sum\lambda_\text{DPF,lat}}{\sum\left(\lambda-\lambda_\text{SPF}-\lambda_\text{RF}\right)} \tag{324.2} $$ (324.1)を図122.1、(324.2)を図123.1、SPFM及びLFMの規格式とそれぞれ比較すれば、一致していることがわかります。ここまでは問題ありません。

一方、$M_\text{PMHF}$は、 $$ M_\text{PMHF}=\beta+\delta=\lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{DPF,lat} \tag{324.3} $$ (324.3)は誤りです。LFは単一ではVSGを引き起こさないため、アイテムのVSG確率としては、他のフォールトとのDPFとして計算しなければなりません。DPF確率は、例えばSMのレイテント確率とIFのフォールト確率の積とする必要があります。

これは2015年の資料ですが、いったい(324.3)はどこから来たのでしょうか?


左矢前のブログ 次のブログ右矢

posted by sakurai on October 14, 2020 #323

弊社では、定量FTAを用いてPMHFを見積もる論文を、RAMS 2021に提出済みです。さて、PMHFが業界でどのように見積もられているかを調べたところ、この資料を見つけました。

図%%.1
図323.1 ある資料のFT構成法

図323.1は少々複雑なので、思想を曲げない範囲で簡略化します。まず、SPFはDC=0の時のRFであるため、SPF/RFをひとまとめにし、 $$ \lambda_\text{IF,RF}=(\lambda_\text{G}+\lambda_\text{K}+\lambda_\text{B}+\lambda_\text{F})(1-DC)=(1-DC)\lambda_\text{IF}\tag{323.1} $$ (323.1)はRFの式そのものであり、OKです。

次に、DPF1ですが、これはSM1の不信頼度がかかっていることから、SM1が先にLFとなり、続いてIFがフォールトしVSGとなるDPFだと考えられます。DPF1は、 $$ \lambda_\text{DPF1}=\lambda_\text{IF}\cdot DC\cdot\frac{1}{2}\lambda_\text{SM1}T=\frac{1}{2}DC\lambda_\text{IF}\lambda_\text{SM1}T, ただし、\lambda_\text{SM1}=\lambda_\text{C}+\lambda_\text{I}+\lambda_\text{M}\tag{323.2} $$ Fault Tree中は故障率で書かれているので、少々心配になりますが(このような誤りが多々あるので)、きちんと$T$をかけて単位を[1/H]としているので、(323.2)もOKです。

最後にDPF2は、IFの不信頼度がかかっていることから、IFが先にLFとなり、続いてSM1がフォールトしVSGとなるDPFだと考えられます。DPF2は、 $$ \lambda_\text{DPF2}=\lambda_\text{SM1}\cdot\frac{1}{2}\lambda_\text{IF}T=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM1}T\tag{323.3} $$ (323.3)は誤りです。以下に列挙すると、誤りは、

  1. まず、IFとSM1の両方がリペアラブルではないことです。もっともこれは規格式も誤っているので見逃します。

  2. 次に、$\lambda_\text{DPF2}$において、$\lambda_\text{IF}$に$DC$がかかっていないことが誤りです。なぜなら$\lambda_\text{IF}$のうち、$1-DC$分、つまり$(1-DC)\lambda_\text{IF}$=RFとなり、$DC$分、つまり$DC\lambda_\text{IF}$=LFとなるためです。従って、正しくは $$ \lambda_\text{DPF2}=\lambda_\text{SM1}\cdot\frac{1}{2}\lambda_\text{IF}DC T=\frac{1}{2}DC\lambda_\text{IF}\lambda_\text{SM1}T $$ ところが、$\lambda_\text{DPF1}$と比較すればわかるように$\lambda_\text{DPF1}\equiv\lambda_\text{DPF2}$なので、実は別のツリーとする必要はありません。

  3. さらに、2nd SMのカバレージであるDC2が全く考慮されていないことも問題です。ただし、DC2=0のワーストケースの評価であれば問題ありません。

従って、大きな誤りは2番目の項目となります。とはいえ、ほとんど全ての論文において定量FTAでDPFまで計算しているものが無いことから、本資料は良いほうだと言えます。

結論として、上記2.の修正を行えば、「故障順序によらないPMHF式」(105.6)と一致します。まず、(105.6)は、 $$ M_{\mathrm{PMHF}}= (1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\\ \tag{105.6} $$ ここで、2nd SMが不在というワーストケースを仮定して$K_{\mathrm{SM,MPF}}=0$とし、$K_{\mathrm{IF,RF}}=DC$と置きなおせば、 $$ M_{\mathrm{PMHF}}=(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}T_\text{lifetime}\\ =(1-DC)\lambda_{\mathrm{IF}}+ DC\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}T_\text{lifetime}\\ \tag{323.4} $$ (323.1)~(323.3)を全て加えると、(323.4)と一致することがわかります。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 6, 2020 #322

表322.1はRAMS 2021正式採択までのマイルストーンであり、今後適宜更新します。

表322.1 RAMS 2021へのマイルストーン
年月日 マイルストーン 状態
2020/7/3 学会出席確認
2020/8/5 論文、プレゼン投稿締め切り(名前、所属無し版)
2020/9/7→2020/9/16 第1回査読コメント受領
2020/10/2→2020/9/27 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2020/10/6→2020/9/21 学会出席登録締め切り
2020/10/13→2020/10/19 最終査読コメント受領
2020/10/27→2020/10/26 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

posted by sakurai on September 28, 2020 #321

表321.1はRAMS 2021正式採択までのマイルストーンであり、今後適宜更新します。

表321.1 RAMS 2021へのマイルストーン
年月日 マイルストーン 状態
2020/7/3 学会出席確認
2020/8/5 論文、プレゼン投稿締め切り(名前、所属無し版)
2020/9/7→2020/9/16 第1回査読コメント受領
2020/10/2→2020/9/27 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2020/10/6 学会出席登録締め切り
2020/10/13 最終査読コメント受領
2020/10/27 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

posted by sakurai on September 21, 2020 #320

表320.1はRAMS 2021正式採択までのマイルストーンであり、今後適宜更新します。

表320.1 RAMS 2021へのマイルストーン
年月日 マイルストーン 状態
2020/7/3 学会出席確認
2020/8/5 論文、プレゼン投稿締め切り(名前、所属無し版)
2020/9/7→2020/9/16 第1回査読コメント受領
2020/10/2→2020/9/27 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2020/10/6 学会出席登録締め切り
2020/10/13 最終査読コメント受領
2020/10/27 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

posted by sakurai on September 16, 2020 #317

第3問です。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図317.1 SGSジャパン株式会社の問題ー第3問ー

というものです。

ちなみに、パナソニックのサイトによれば、

EMC(電磁両立性)とは、電気製品から放出する電気的ノイズを抑え(エミッション:EMI)、かつ周囲からの電気的ノイズによって電気製品がトラブルを起こさない(イミュニティ:EMS)ための2つの性能

とのことです。また、ノイズ対策.comによれば、

EMC(Electro-Magnetic Compatibility:電磁両立性)は、妨害電波を規制するEMI(Electro Magnetic Interference)と外来ノイズの耐性を示すEMS(Electro Magnetic Susceptibility) の2面があります。

とのことです。

さて、前問と同様SRを補って考えます。安全機構(SM)であるEMC保護キャパシタは、EMCにより意図機能(IF)が動作失陥しないためのSMと想定します。例えば、外来ノイズが入るとマイコンが誤動作し、本来のSRを侵害する等が想定されます。SRとしては例えば、「意図せずにマイコンが誤動作しないこと」を想定します。

キャパシタのオープンフォールトにより、IFの保護がなくなります。従って、EMC保護キャパシタは、EMCによりIFがVSGとなるのを防止する1st SMとなります。ただし、注意が必要なのは、通常のようにIFのフォールトによりVSGとなるのではなく、IFにEMCが加わってVSGとなることです。そのため、普通のDPFとは異なりますが、これは後で説明します。

次に考慮することは、EMC保護キャパシタのオープンフォールトが、2nd SMにより検出され通知されるかどうかです。EMC保護キャパシタは通常2nd SMにより保護されていないので、レイテントフォールトになります。このことは規格Part5 Annex EのFMEDAシートでレイテントフォールトと分類されていることからも確認されます。

一方で、規格Part5 Annex E Note 3に例外的な記述があり、

If for example the ESD event is likely to occur during the vehicle lifetime and its effects can lead to the violation of the safety goal in the absence of the given protection, then the failure mode leading the loss of the protection is classified as a single-point fault.

例えば、車両の寿命中にESDイベントが発生する可能性が高く、その影響が与えられた保護がない場合に安全目標の違反につながる可能性がある場合、保護を失う原因となる故障モードは単一点故障に分類されます。

とあるため、EMCが車両寿命中に発生する可能性が高い場合は、IFがすでに動作欠陥し、かつEMC保護キャパシタでVSG抑止していると考えるため、EMC保護キャパシタのオープンフォールトはSPFとなります。

ここではEMC(EMI/EMS)やESDを電磁的な外来ノイズとして同様な事象として扱いました。これらはフォールトではないものの、上記のように、通常はEMC保護キャパシタのオープンフォールトはLFとして良く、EMC/ESDの頻度が高ければSPFと扱うことになります。そのため、焦点はEMCの頻度になります。

FMEDAにおいてEMCをフォールト扱いしていることからわかるように、頻度の判定はフォールト基準で考えます。頻度としては10~100FIT程度、確率は、車両寿命を10万時間とすれば0.1~1%でしょうか。それを超える場合は高頻度として扱うことになります。

最後に、EMC保護キャパシタのオープンフォールトがSF(Safe Fault)とできるかどうかですが、そもそもEMCが印加されることが無いのなら、EMC保護キャパシタも不要です。その対偶をとり、EMC保護キャパシタが存在する以上、稀にでもEMCが印加されることはあると考え、EMC保護キャパシタのオープンフォールトは、 $\img[-1.35em]{/images/withinseminar.png}$ とするのが妥当と考えます。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 15, 2020 #316

第2問です。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図316.1 SGSジャパン株式会社の問題ー第2問ー

というものです。

前問と同様、SRを補って考えます。安全機構(SM)であるリレーは、意図機能(IF)の遮断のためのSMと想定します。例えば、意図せずにアクチュエータが動作してしまうのを遮断する目的です。SRは「意図しないときは〇〇信号をOFFすること」となります。具体例を挙げれば、走行中のステアリングロック等があります。

走行中にリレーが溶着すると、常に信号がONしっぱなしとなり、意図しないときにもONになる可能性があり、その場合はSR違反となります。

さて、SRを明確にしたところで、このリレーはIFのVSGを抑止するためのSMであるので、リレーは1st SMです。従って1st SMのフォールトは、検出されなければレイテントフォールトとなる可能性があります。

次に考慮することは、1st SMがMPFDI中に2nd SM(1st SMのレイテント防止のためのSM)により検出され通知されるかどうかです。設問では初期のON/OFF診断で検出可能、とあるので、MPFDI中に1度故障検出が行われ通知されることになります。MPFDIは最短でもKey-ONからKey-OFFの時間あれば良いためです。従って2nd SMの診断率をDCとすれば、全リレー溶着フォールトのうち $\img[-1.35em]{/images/withinseminar.png}$になります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 14, 2020 #315

弊社のパートナー会社であるSGSジャパン株式会社によるオンラインセミナーで興味深い問題を見つけました。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図315.1 SGSジャパン株式会社の問題ー第1問ー

というものです。

本来は安全目標(SG)ないし安全要求(SR)の侵害により、故障となるかどうかを判定するので、SG/SRが必要です。本問はSG/SRが示されていないので、想定する必要があります。

安全機構(SM)であるWDTは、一般にはマイコン等の意図機能(IF)のデッドロック検出のためのSMとして用いられます。従ってWDTは1st SMです。例えばEPSにおいてマイコンがアクチュエータに指示をする際に、SGは「走行中にマイコンのデッドロックによるステアリング固着なきこと」等となります。

次にWDTにECCが付加されており、その機能を考えます。このECCはWDTのフォールトがレイテントになるのを抑止するための2nd SMです。弊社が2017年の論文で提案した「2nd SMはフォールトしない」という定理を適用すれば、WDTの1bitフォールトは常に修復されることになります。また、ECCのDCは99.999...%なのでDC=100%とします。

一般に、MPFDI以内は2nd SMによる検査・修理が行われないので、レイテントかどうかはMPFDI外で判定します。「通知されない」という条件に注目すると、通常の2nd SMではMPFDIで検出できても通知されなければ修理されないため、レイテントフォールトとなりそうですが、ECCは特殊で、前段落の議論から100%修理されるとして扱います。

レイテントフォールトは、定義の文字上では、通知されなければレイテントフォールトとなるのですが、真に問題となるのは通知の有無ではなく、修理の有無です。規格には、通知されれば修理されるという暗黙の条件があるためです。

従って、解答としては、ECC付きWDTカウンタの1bitフォールトは $\img[-1.35em]{/images/withinseminar.png}$ ということになります。


左矢前のブログ 次のブログ右矢


ページ: