本年1月にUSのパームスプリングスで開催された、第67回国際信頼性学会のRAMS 2020において、投稿論文に対するポスターセッションを行いました。

以下はそのポスターの図で、論文ではほとんど文字や数式でしたが、図や表を多用して解説したものです。これからそれを解説していきます。

前のブログ 次のブログ

A paper by Atsushi Sakurai, President of FS Micro, Inc. (Nagoya, Japan), an ISO 26262 functional safety (Note 1) consulting firm, has been accepted for publication on December 3, 2020, at the 67th RAMS 2021, an international conference on reliability sponsored by the IEEE (Note 2). RAMS 2021 (Note 3) will be held January 25-28, 2021, in Orlando, Florida, USA. The author's paper was accepted by RAMS for the second consecutive time, following in January 2020. The author also received the best paper award at the 14th ISPCE 2017 (Note 4), an international conference on product safety, in 2017.

The title of the paper is "A Framework for Performing Quantitative Fault Tree Analyses for Subsystems with Periodic Repairs." This paper proposes a method to correctly evaluate "Random Hardware Failure Probabilistic Metrics" (PMHF, Note 5) of automotive electronics using quantitative "Fault Tree Analysis" (FTA, Note 6).

In 2018, the second edition of ISO 26262, the international standard for functional safety in automotive electronics, was published. In this second edition, the mathematical definition of the PMHF formula is not clearly stated. Furthermore, the method of quantitative FTA is not clear, and therefore there were no guidelines for calculating the PMHF value, as a design target.

This paper provides a concrete framework for calculating PMHF values using quantitative FTAs, based on the PMHF formula presented by the same author at RAMS 2020 in January 2020. It prevents underestimation of the PMHF value. This paper is expected to improve the safety of fault-tolerant systems (Note 7), such as automated driving systems, and to deter accidents due to failures.

Notes
Note 1: Functional safety is the concept of improving safety at the system level by implementing various safety measures. ISO 26262 is an international standard for functional safety for electrical and electronic equipment in vehicles.
Note 2: IEEE is an abbreviation for Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of the number of participants and countries.
Note 3: RAMS 2021 means The 67th Annual Reliability & Maintainability Symposium, an annual international conference on reliability engineering sponsored by the IEEE Reliability Society. http://rams.org/
Note 4: ISPCE is an abbreviation for IEEE Symposium on Product Compliance Engineering. It is an annual international conference on product safety sponsored by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: PMHF is an abbreviation for Probabilistic Metric for Random Hardware Failures. In automotive electrical and electronic systems, it is a design target value for hardware, averaging the probability of system failure over the lifetime of the vehicle.
Note 6: FTA is an abbreviation for Fault Tree Analysis. A deductive safety analysis method that quantitatively demonstrates the likelihood of hazardous events by constructing a tree structure of failure events and calculating the safety goal violation probability.
Note 7: A fault-tolerant system is a safety system that can substitute its original function without immediate loss of function in the event of a failure.

前のブログ 次のブログ

ISO 26262機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社：名古屋市)代表取締役社長 桜井 厚の論文が、2020年12月3日、IEEE(注2)主催の信頼性に関する国際学会である第67回RAMS 2021(注3)に採択されました。RAMS 2021は、2021年1月25日から28日まで、米国フロリダ州オーランドにて開催される予定です。同著者の論文がRAMSで採択されるのは、2020年1月に続いて2年連続となります。また、同著者は2017年に製品安全に関する国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しています。

論文の題名は「A Framework for Performing Quantitative Fault Tree Analyses for Subsystems with Periodic Repairs」であり、邦題は「定期修理を伴うサブシステムにおける定量フォールトツリー解析のためのフレームワーク」です。本論文は、定量「フォールトツリー解析」(FTA, 注5)を用いて、車載電子機器の「ランダムハードウェア故障の確率的メトリクス」(PMHF, 注6)を正しく評価する手法を提案します。

2018年に、車載電子機器における機能安全の国際規格であるISO 26262の第2版が発行されました。この第2版にはPMHF式の数学的な定義は明確に記載されていません。さらに定量FTAの手法も明確ではないため、設計目標であるPMHF値を算出するためのガイドラインがありませんでした。

本論文は、2020年1月に開催されたRAMS 2020で同著者が発表したPMHF式に基づき、定量FTAを用いてPMHF値を算出するための具体的なフレームワークを提供します。それによりPMHF値の過小見積りを防止することが可能となります。本論文により、自動運転システムに代表される耐故障システム(注7)の安全性が向上し、故障による事故が抑止されることが期待されます。

【お問い合わせ先】
商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com/

【注釈】
注1：機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方。ISO 26262は車載電気・電子機器を対象とする機能安全の国際規格
注2：IEEE(アイトリプルイー)は、Institute of Electrical and Electronics Engineersの略称。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 https://www.ieee.org/
注3：RAMS(ラムズ)は、The 67th Annual Reliability & Maintainability Symposiumの略称。IEEE信頼性部会が毎年主催する、信頼性工学に関する国際学会 http://rams.org/
注4：ISPCE(アイスパイス)は、IEEE Symposium on Product Compliance Engineeringの略称。IEEE製品安全部会が毎年主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5：FTA(エフティーエー)は、Fault Tree Analysisの略称。故障事象をツリー構造で構築し、安全目標侵害確率を算出することにより、危険事象の起きる可能性を定量的に論証する演繹的な安全分析手法
注6：PMHF(ピーエムエイチエフ)は、Probabilistic Metric for Random Hardware Failuresの略称。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ハードウェアに関する設計目標値
注7：耐故障システムは、故障した場合に直ちに機能を失うことなく、本来の機能を代替することができる安全性向上のためのシステム

前のブログ 次のブログ

あるTier1様にてコンサルテーションをしたときに、以下のようなご質問を頂きました。当時は2018年3月だったので、2nd Edition発行前になります。

あるECUのFMEDAを実施しています。冗長系ではない主機能の故障モードのレイテントフォールトについて考えます。他のエレメントの独立故障との組み合わせでSG侵害となるかを判定します。故障分類フローによれば、主機能故障が抑止されるのは、通常、1st SMにより検出されるから抑止されるのであり、抑止されている状態での検出率は100%です。従って、主機能故障がレイテントとなることはありません。よって、FMEDAのレイテントフォールトの欄はNoとなります。ここまではOKです。

その後を考えてみました。1st SMにより検出されたフォールトはMPF detectedとなりますが、このフォールトは、修理されるのか、修理されないのかのどちらでしょうか？

修理されないと考えると引き続くSMのフォールトでDPFとなってしまいます。これは主機能フォールトがMPF detectedではなくMPF latent(レイテントフォールト)となることを意味し、前提と矛盾します。

修理されると考えれば、PMHFの計算式の条件と整合しません。その理由は、PMHF式では主機能は非修理エレメント、SMは修理エレメントという前提のため。

通常だと故障分類フローでMPF detectedに分類して終わるのですが、このTier1様は慧眼で、その後の分析をされています。結論から言えば、1, 2, 3のどの立場を取っても矛盾が解消しません。

1. 主機能フォールトは100%検出されるため、レイテントにならないとの立場
   検出されても修理されないならば、いつかSMのフォールト発生によりDPFとなる。これはPMHF式のSMが、MPF detectedであっても検出周期内ではレイテントとなることからも分かる。よってレイテントフォールトとなることから前提と矛盾する。
2. 主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
   修理されるのでDPFとならない。ところが、PMHF式は式の前提から、主機能は非修理系であり、PMHF式の前提と矛盾する。
3. 主機能フォールトは、100%検出されてもレイテントになるとの立場
   上記議論から、100%検出されても修理されなければレイテントとなるが、故障分類フローではMPF detectedとMPF latentを明白に分けているため、故障分類フローと矛盾する。また、LFMの定義にはMPF detectedは除かれているため、LFMの定義とも矛盾する。

どの立場を取っても矛盾するということは、規格内部に矛盾があることを意味します。

前のブログ 次のブログ

本年1月にUSのパームスプリングスで開催された、第67回国際信頼性学会のRAMS 2020に採択された論文は、半年後にようやくIEEE Xploreに掲載されました。しかしながら、学会側で原論文の体裁を編集したときに、式に誤りが混入したようで、一部の式に誤りがありました。

具体的には、図336.1のように式(9)が編集されていましたが、図336.1の1行目がおかしい部分で、確率式の後のカッコの意味が取れません。

これに気づいたため、IEEE Xploreに連絡を取り、式(9)を原論文のものに戻してもらいました。IEEE Xploreに掲載されている論文に、以下のようにあまり見ない注が付けられているのは、このためのようです。

Notes: As originally published text, pages or figures in the document were missing or not clearly visible. A corrected replacement file was provided by the authors.

訳

注意: 元々公開されていたテキスト、文書内のページや図が欠落していたり、はっきりと見えなかったりしていたため、著者から訂正された差し替えファイルが提供された。

図336.2に原論文の式(9)を示します。黄色の部分が誤って削除されてしまった部分です。幸いこの他は原文どおりでした。

ちなみに、式の意味は各々以下のとおりです。

• 最初の等号: PMHFは車両寿命におけるアイテムのダウン確率の時間平均で定義されます(弊社の定義)。
• 次の等号: アイテムの時刻tにおけるダウン確率(PUA)を$Q(t)$とすると、車両寿命におけるアイテムのダウン確率は$Q(T_\text{lifetime})$で表されます。
• 次の等号: $Q(T_\text{lifetime})$はダウン確率密度(PUD)$q(t)$を0から車両寿命まで積分することで得られます。
• 次の等号: その時間平均とは平均ダウン確率密度(APUD)に他なりません。
• 次の等号: ダウン確率密度$q(t)$は、アイテムがtにおいて稼働(up)しており、かつその後の微小時間間隔$dt$中に不稼働(down)となる確率で表されます。

前のブログ 次のブログ

Pattern 3と4

Pattern 3と4は、Pattern 1と2のIFとSM1を入れ替えた形になっています。ただし、条件は微妙に異なります。

• Pattern 3: IF⇒SM1の順にフォールトが発生し、IFのフォールトはSM1によって緩和されるが通知されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
• Pattern 4: IF⇒SM1の順にフォールトが発生し、IFのフォールトは、SM1によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

このように、Pattern 3も4も最初にIFにフォールトが発生し、引き続き、SM1にフォールトが発生する場合、つまりIF⇒SM1のDPFの状況を表しています。

Pattern 3と4の条件

Pattern 3と4の条件を論理式で書いてみます。まず、Pattern 3の条件であるLFを増加する条件は、2nd SMであるSM1によるIFのLFの $$ 緩和\cap \overline{通知} $$ であり、Pattern 4の条件であるLFを減少する条件は、2nd SMであるSM1によるIFのLFの $$ 緩和\cap通知 $$ です。全てをつくしていないのは、言うまでもなく、IFのフォールトが緩和されなければVSGとなるためです。Pattern 3及び4の余事象は、 $$ \overline{\left(緩和\cap\overline{通知}\right)\cup\left(緩和\cap通知\right)}=\overline{緩和} $$ であり、この場合はVSGとなり、つまりフォールトはRFとなるのでLFになりません。逆に言えば、IFのフォールトがLFとなるのは、SM1によりVSGから緩和されるときとなります。

前のブログ 次のブログ

Pattern 1と2

式の右側にPattern 1から4まで番号が振られていますが、以前の記事で解説した場合分けに対応しています。最初にPattern 1と2を見てみます。

• Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
• Pattern 2: SM1⇒IFの順にフォールトが発生し、SM1のフォールトは、SM2によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

このように、Pattern 1も2も最初にSM1にフォールトが発生し、引き続き、IFにフォールトが発生する場合、つまりSM1⇒IFのDPFの状況を表しています。

暴露時間

DPFが起きる可能性のある期間は、Pattern 1と2で異なり、Pattern 1では車両寿命$T_\text{lifetime}$、Pattern 2では運転手が修理のために車両を持ち込む時間$T_\text{service}$です。この期間のことを、規格では暴露時間と呼んでいます。どうして暴露時間と呼ばれるかと言えば、本来、安全機構が意図機能を保護しているはずですが、安全機構が先にフォールトすることにより、保護が外れ、意図機能が故障に対して暴露されて脆弱になっている期間であるためです。

この期間は安全機構がレイテント状態となっています。これは潜在的に故障しているという意味です。潜在的とは、直ちに故障が危険状態にはつながらず、意図機能の保護が外れている状態を指します。

Pattern 1と2の条件

Pattern 1と2の条件を論理式で書いてみます。まず、Pattern 1の条件であるLFを増加する条件は、2nd SMであるSM2によるSM1のLFの $$ (緩和\cap \overline{通知})\cup\overline{緩和}=\overline{通知}\cup\overline{緩和}=\overline{(緩和\cap通知)} $$ であり、Pattern 2の条件であるLFを減少する条件は、SM2によるSM1のLFの $$ 緩和\cap通知 $$ です。条件としては全てをつくしています。これが正しいかを次の節で検証します。

緩和と通知、修理

ここで、緩和とは何でしょうか？緩和とは悪い影響を減らすことです。従って、ここでいう緩和とは「SM1のLFを減らすという意味」だと考えられます。例えばSM1とSM2が冗長となっている場合には、SM1のフォールトは直ちにLFとはならず、SM2がバックアップします。これは通知はしませんが緩和する場合のLF削減の例です。

一方、SM2がSM1のフォールトを検出すると、緩和はされず通知を行います。警告表示等によりドライバーが車両を修理工場へ持っていき、そこでSM1が修理されることにより、LFの削減が起こります。 Pattern 2の修理という文言で分かるように、規格はフォールトを検出・通知すると、そのフォールトは修理されるのが前提になっています。

このように考えると、SM1のLF削減条件は、 $$ 緩和\cup通知 $$ のように思われます。ところが、2nd Editionで新たに追加された条件である、SM1のフォールトがVSGの可能性を持つことを考えれば、先の緩和を拡張し「SM1のVSG(RF)及びLFの可能性を減らす」ことだと考えます。

SM1のVSG(RF)を減らす条件は、 $$ (VSG)緩和 $$ であり、SM1のLFを減らす条件は、上記のとおり、 $$ (LF)緩和\cup通知 $$ となり、$緩和\cap通知$とはならないようです。いずれにしろ、規格の用語の定義がはっきりしていないために、矛盾が起きてくる例です。例えば、

• SM1のフォールトによるVSGの可能性はあるのかないのか
• 緩和とはVSG(RF)の緩和なのかLFの緩和なのかその両方なのか

について、はっきりしていなかったり混乱が見られます。

前のブログ 次のブログ

DC添え字ネーミングルールの変更

• DCのネーミング法が1st Editionから変わった。

DC(Diagnostic Coverage)のネーミング法が、対象エレメントからプロパティオウナに変更になりました。

例えば図333.1の式において、

$K_\text{FMC,SM1,RF}$は、1st editionでは$K_\text{FMC,RF}$と書かれていました。これは、IF(対象)の検出カバレージであることから、$K_\text{FMC,IF,RF}$の意味でした。故障率の式中の記号、例えば故障率やDCが、全て対象エレメントで揃うため、誤りにくいことが利点でした。

しかし、2nd editionからこれはSM1のプロパティであるということから、$K_\text{FMC,SM1,RF}$と書かれるようになりました。対象ではなく、そのプロパティを所有しているエレメントに変わったので、わかりにくくなりました。

従来の形式で書けば、図333.1の添え字は、以下のように全てIFで統一されます。 $$ \lambda_\text{IF,DPF,secondary}=(1-F_\text{IF,safe})F_\text{IF,PVSG}K_\text{FMC,IF,RF}\lambda_\text{IF} $$

図333.2に別の例を示します。

これはSM1のフォールトのうちプライマリのLFとなる場合ですが、SM1のプライマリDPF故障率($\lambda_\text{SM1,DPF,primary}$)にSM2により検出できない割合($1-K_\text{FMC1,SM2,MPF})$をかけています。1st editionであればこれは$K_\text{FMC,SM1,MPF}$のように、添え字を対象で表したのですが、2nd editionではプロパティのオウナのSM2と表記されるため、式の統一感がなくなりました。

1st editionの形式で書けば、図333.2の添え字は、以下のように全てSM1で統一されます。 $$ \lambda_\text{SM1,DPF,latent,primary}=\lambda_\text{SM1,DPF,primary}\cdot(1-K_\text{FMC1,SM1,MPF})\\ =(1-F_\text{SM1,safe})(1-F_\text{SM1,PVSG})(1-K_\text{FMC1,SM1,MPF})\lambda_\text{SM1} $$

前のブログ 次のブログ

DPFの使用法の混同

図332.1に、あるエレメントに1点目のフォールトが起き、その後定期検査が行われ、フォールトが分類され、しばらく運転した後(数年後かもしれない)、関係するエレメントに2点目のフォールトが起きてSGを侵害する場合のDPFの状況を示します。

1点目と2点目のエレメントは関係するエレメントである必要があります。関係とは、1点目のIFのフォールトに対する2点目のSM1のフォールト、あるいはその逆の、1点目のSM1のフォールトに対する2点目のIFのフォールトの意味です。これらのフォールト生起順をIF⇒SM1、SM1⇒IFと記述します。この記法は弊社論文で初めて導入したものです。

ここで、primary DPFに注目すればSM1⇒IFの場合であり、図332.1において、最初がSM1のフォールト、次がIFのフォールトとなる場合です。

ところが、ややこしいことに、最初に起きるのはSMのDPF(=DPF,{latent, detected, percieved}の総称)=primary DPFであり、次にIFのDPFが起きるので、両方ともDPFと呼ばれます。実は、primary DPFもsecondary DPFも最初のフォールトのことです。これが規格を分かりにくくさせています。

まとめるとDPFには2とおりの意味があります。

1. 1点目のフォールトであり、ただちにVSGとならず、別のフォールトとの組み合わせによりVSGとなる可能性のあるもの
2. 2点目のフォールトであり、1点目のフォールトとの組み合わせによりただちにVSGとなるもの

このように、規格は誤解しやすいネーミング法を取っており、DPFといったときに2とおりの意味があります。最初に起きる「SMのDPF=primary DPF」は、あくまで1点目のフォールトです。これはどちらかと言えば誤った用語であり、本来は本当に2点目に起きるフォールトをDPFと呼ぶべきです。1点目フォールトのことをDPFと呼ぶのは紛らわしいので、用語を変え、例えばPotential Fault (PF)として欲しかったところです。

ただし、式の計算中のDPFは、全て1点目のフォールトと思えばOKです。その理由は、2点目のフォールトが起きる場合はVSGとなるので、その故障率を使用することはないためです。従って式の計算中にDPFとあれば、全て1点目のフォールトだと文脈で分かります。

前のブログ 次のブログ

secondary DPF

図172.1(再掲)にDPFがsecondaryとなる場合を示します。図172.1の箱qから箱tに分解される部分(violation prevented)の故障率がこのsecondary DPFです。

箱qの中には、

SMがSGを直接侵害を防止するフォールトの割合は($F_\text{RF}$)？

と書かれています。SMの場合、基本的にSGの直接侵害は無いため、$F_\text{SM,RF}$は通常0ですが、2nd editionでは存在するようになりました。規格には例としてECCが書かれており、ECCはSMといえども、そのフォールトがSGを直接侵害する可能性があるSMです。従って、SM(のIF部分)のSG侵害が(1st )SMにより防止される特殊な場合には、SMのsecondaryフォールトも存在します。

前のブログ 次のブログ