 |
25 |
RAMS 2026採択へのマイルストーン (5) |
RAMS 2026のwebsiteにプログラムマトリクスのドラフトが掲載されました。弊社の論文はFault Treeのセッションで発表することになると思います。
論文はドラフトを作成中で、同時に7月末までにプレゼン資料を作成しなければならないため、そちらもこれから作成予定です。
| 期限 | マイルストーン | 状態 |
|---|---|---|
| 2025/4/30 | AJEにアブストラクトを修正依頼 | 済 |
| 2025/4/30 | アブストラクト(氏名、所属無し版)投稿締め切り(システム入力) | 済 |
2025/5/27 |
アブストラクト採択結果 | 採択 |
| 2025/7/31 | 初稿論文、プレゼン投稿締め切り(氏名、所属無し版) | |
| 2025/9/30 | 最終論文、プレゼン投稿締め切り(氏名、所属有り版) | |
| 2025/10/10 | IEEEコピーライトフォーム提出 | |
| 2025/10/10 | 学会出席登録締め切り |
|
18 |
PMHF式の導出別法 (4) |
 |
規格Part 10ではSMの診断率DCを$K_\text{IF,RF}$、SM2の診断率DC2を$K_\text{SM,MPF}$としています。それらを用いれば(988.1)は、 $$ \Pr\{\text{VSG}\}=\Pr\{\text{VSG.RF}\}+\Pr\{\text{VSG.DPF'}\}\\ =\Pr\{\overline{\text{IF}}\cap\overline{\text{DC}}\}+\frac{1}{2}\Pr\{\overline{\text{IF}}\}\Pr\{\overline{\text{SM}}\cap\text{DC}\}\\ =(1-\text{DC})\Pr\{\overline{\text{IF}}\}+\frac{1}{2}\text{DC}\Pr\{\overline{\text{IF}}\}\Pr\{\overline{\text{SM}}\}\\ =(1-K_\text{IF,RF})\lambda_\text{IF}T_\text{lifetime}+\frac{1}{2}K_\text{IF,RF}\lambda_\text{IF}T_\text{lifetime}\left[(1-K_\text{SM,MPF})\lambda_\text{SM}T_\text{lifetime}+K_\text{SM,MPF}\lambda_\text{SM}\tau\right]\\ =(1-K_\text{IF,RF})\lambda_\text{IF}T_\text{lifetime}+\frac{1}{2}K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}\tau\right]\tag{990.1}\label{eq:990-1} $$ よって、PMHFは\eqref{eq:990-1}の両辺を$T_\text{lifetime}$で割って求められるので、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\Pr\{\text{VSG}\}\\ =(1-K_\text{IF,RF})\lambda_\text{IF}+\frac{1}{2}K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}\tau\right]\tag{990.2}\label{eq:990-2} $$
これは規格第1版のPMHF式と正確に一致します。規格式は両辺を$T_\text{lifetime}$で割ることをわざわざ明示しています。
ただし、以下のように読み替えます。$\text{m}\rightarrow\text{IF}$、$\text{sm}\rightarrow\text{SM}$、他の定数はPart 10で定義されています。 $$ \begin{eqnarray} \begin{cases} \lambda_\text{m,RF}&=(1-K_\text{IF,RF})\lambda_\text{IF}\\ \lambda_\text{m,DPF}&=K_\text{IF,RF}\lambda_\text{IF}\\ \lambda_\text{sm,DPF,latent}&=(1-K_\text{SM,MPF})\lambda_\text{SM}\\ \lambda_\text{sm,DPF,detected}&=K_\text{SM,MPF}\lambda_\text{SM}\\ \end{cases} \end{eqnarray}\tag{990.3}\label{eq:990-3} $$ 図104.2で示すように規格初版のPMHF式には0.5という定数がありましたが、実は「SMが先に故障した場合に限る」ことから0.5が掛かっていたわけでした。
|
17 |
PMHF式の導出別法 (3) |
|
ひとつずつ確率を求めます。まず(988.5)を用いると式(988.6)の第1項は $$ \Pr\{\overline{\text{IF}}\ \vec{\cap}\ \overline{\text{SM}}\cap\text{DC}\}=\Pr\{\overline{\text{IF}}\cap\overline{\text{SM}}\cap\text{DC}\cap(T_\text{IF}\lt T_\text{SM})\}\\ =\Pr\{\overline{\text{IF}}\cap\overline{\text{SM}}\}\cdot\text{DC}\cdot\frac{1}{2}=\frac{1}{2}\text{DC}\Pr\{\overline{\text{SM}}\ |\ \overline{\text{IF}}\}\Pr\{\overline{\text{IF}}\} \tag{989.1}\label{eq:989-1} $$ \eqref{eq:989-1}はIFの故障が起き、カバレージ範囲内なので通常はSMでFTTI中にカバーされるものの、さらにFTTI中にSMが故障するDPFの確率を表します。
IFの暴露時間と故障率
IFの暴露時間は車両寿命であり、故障確率は(988.2)から$\lambda_\text{IF}T_\text{lifetime}$となります。
$$
\Pr\{\overline{\text{IF}}\}\approx\lambda_\text{IF}T_\text{lifetime}\tag{989.2}\label{eq:989-2}
$$
SMの暴露時間と故障率
SMの暴露時間は上記からFTTI未満でありゼロとみなせます。
$$
\Pr\{\overline{\text{SM}}\ |\ \overline{\text{IF}}\}\tag{989.3}\approx0\label{eq:989-3}
$$
従って\eqref{eq:989-1}の値は0となります。
次に式(988.6)の第2項は $$ \Pr\{\overline{\text{SM}}\ \vec{\cap}\ \overline{\text{IF}}\cap\text{DC}\}=\Pr\{\overline{\text{SM}}\cap\overline{\text{IF}}\cap\text{DC}\cap(T_\text{SM}\lt T_\text{IF})\}\\ =\Pr\{\overline{\text{IF}}\cap\overline{\text{SM}}\}\cdot\text{DC}\cdot\frac{1}{2}=\frac{1}{2}\text{DC}\Pr\{\overline{\text{IF}}\ |\ \overline{\text{SM}}\}\Pr\{\overline{\text{SM}}\}\\ \tag{989.4}\label{eq:989-4} $$
よって、 $$ \Pr\{\overline{\text{SM}}\} =\Pr\{\overline{\text{SM}}\cap\overline{\text{DC2}}\}+\Pr\{\overline{\text{SM}}\cap\text{DC2}\}\\ =\Pr\{\overline{\text{DC2}}\}\Pr\{\overline{\text{SM}}\}+\Pr\{\text{DC2}\}\Pr\{\overline{\text{SM}}\}\\ =(1-\text{DC2})\int_0^{T_\text{lifetime}}f_\text{SM}(t)dt+\text{DC2}\int_0^{\tau}f_\text{SM}(t)dt\\ =(1-\text{DC2})F_\text{SM}(T_\text{lifetime})+\text{DC2}F_\text{SM}(\tau)\\ \approx(1-\text{DC2})\lambda_\text{SM}T_\text{lifetime}+\text{DC2}\lambda_\text{SM}\tau \tag{989.5}\label{eq:989-5} $$
|
16 |
PMHF式の導出別法 (2) |
|
排他事象の和が求められたので、式(987.6)は次のように確率式になおすことができます。 $$ \Pr\{\text{VSG}\}=\Pr\{\text{VSG.RF}\}+\Pr\{\text{VSG.DPF'}\}\\ =\Pr\{\overline{\text{IF}}\cap\overline{\text{DC}}\}+\Pr\{\overline{\text{IF}}\cap\overline{\text{SM}}\cap\text{DC}\}\tag{988.1}\label{eq:988-1} $$ ちなみに、2017年論文のPMHF式はこの排他事象が考慮されておらずダブルカウントしています。一方で2020年論文のPMHF式は正確です。
ここで、 $$ \Pr\{\overline{\text{IF}}\}=\int_0^{T_\text{lifetime}}f_\text{IF}(t)dt=F_\text{IF}(T_\text{lifetime})=1-e^{-\lambda_\text{IF}T_\text{lifetime}}\approx\lambda_{\text{IF}}T_{\text{lifetime}}\tag{988.2}\label{eq:988-2} $$ であることから、\eqref{eq:988-1}式第1項のVSG.RFの確率は、
$$ \Pr\{\text{VSG.RF}\}=\Pr\{\overline{\text{IF}}\cap\overline{\text{DC}}\} \approx(1-\text{DC})\lambda_\text{IF}T_\text{lifetime}\tag{988.3}\label{eq:988-3} $$ ただし、$f(t)$はPDF (Probability Density Function)、$F(t)$はCDF (Cumulative Distribution Function)です。
同様に(987.1)のVSG.DPF確率を計算します。 $$ \Pr\{\text{VSG.DPF’}\}\equiv\Pr\{\overline{\text{IF}}\cap\overline{\text{SM}}\cap\text{DC}\}\tag{988.4}\label{eq:988-4} $$
ここで問題はIFとSMの故障が同時には起きないので、IFが先に故障するか、SMが先に故障するかのいずれかとなります。これは論理式では表せないので、新たに時制論理$\ \vec{\cap}\ $を導入します。例えば、IFが故障し、かつその後SMが故障する事象は以下のように表せます。$T_\text{IF}$及び$T_\text{SM}$は無故障運転時間(Failure Free Operating Time)を表す確率変数です。 $$ \{\overline{\text{IF}}\ \vec{\cap}\ \overline{\text{SM}}\}\equiv\{\overline{\text{IF}}\cap\overline{\text{SM}}\cap(T_\text{IF}\lt T_\text{SM})\}\tag{988.5}\label{eq:988-5} $$
これを用いれば、式\eqref{eq:988-4}は、IFが先に故障する場合とSMが先に故障する場合のそれぞれの確率の和として表せます。両方が同時に故障する確率は、数学的には「ほぼ確実に(a.s.)0」です。 $$ \eqref{eq:988-4}=\Pr\{(\overline{\text{IF}}\ \vec{\cap}\ \overline{\text{SM}}\cap\text{DC})\sqcup(\overline{\text{SM}}\ \vec{\cap}\ \overline{\text{IF}}\cap\text{DC})\}\\ =\Pr\{\overline{\text{IF}}\ \vec{\cap}\ \overline{\text{SM}}\cap\text{DC}\}+\Pr\{\overline{\text{SM}}\ \vec{\cap}\ \overline{\text{IF}}\cap\text{DC}\}\tag{988.6}\label{eq:988-6} $$ ただし、$\sqcup$は互いに素な和を示す。
\eqref{eq:988-6}式第1項のIFが先に故障する場合と、第2項のSMが先に故障する場合の2パターンを順番に計算していきます。
|
13 |
PMHF式の導出別法 |
|
PMHF公式を別の方法で導出します。本来は過去記事にもあるようにマルコフ図を用いて確率微分方程式を建て、それを解いて求めるのが王道のやり方ですが、ここでは主に論理式だけでVSG確率からPMHFを求めます。
PMHFの対象となるサブシステムは冗長系ではなく、IFUモデルとします。IFUモデルとはSMはIFの代替機能を持たず、従ってIFが非修理系、SMが修理系となるものです。前提としてIFの故障とSMの故障は独立事象とします。
IFのフォールトがVSGとなる事象は、IFが故障し、かつSMがカバーできる場合を除く場合です。一方、SMがカバーできるのはSMが動作し、かつSMのカバレージ範囲内です。これを差集合を表す論理式で表せば次のようになります。 $$ \{\text{VSG}\}\equiv\{\overline{\text{IF}}\setminus(\text{SM}\cap\text{DC})\}\tag{987.1}\label{eq:987-1} $$ 式\eqref{eq:987-1}は次のように書き換えられます。 $$ \eqref{eq:987-1}=\{\overline{\text{IF}}\cap\overline{(\text{SM}\cap\text{DC})}\}=\{ \overline{\text{IF}}\cap(\overline{\text{SM}}\cup\overline{\text{DC})}\}=\{ (\overline{\text{IF}}\cap\overline{\text{SM}})\cup(\overline{\text{IF}}\cap\overline{\text{DC})}\}\tag{987.2}\label{eq:987-2} $$ 説明の順番を入れ替え、式\eqref{eq:987-2}の第2項は、IFの故障かつSMのカバー範囲外を示すため、RFを意味します。よって、VSG.RFを次のように定義します。 $$ \{\text{VSG.RF}\}\equiv\{\overline{\text{IF}}\cap\overline{\text{DC}}\}\tag{987.3}\label{eq:987-3} $$ 次に式\eqref{eq:987-2}の第1項は、IFの故障かつSMの故障を示すため、DPFを意味します。よって、VSG.DPFを次のように定義します。 $$ \{\text{VSG.DPF}\}\equiv\{\overline{\text{IF}}\cap\overline{\text{SM}}\}\tag{987.4}\label{eq:987-4} $$
ところがVSG.RFとVSG.DPFの事象は排他ではないので、新たにVSG.RFと排他になるような事象VSG.DPF'を考える$\dagger$と $$ \{\text{VSG.DPF'}\}\equiv\{\overline{\text{IF}}\cap\overline{\text{SM}}\cap\text{DC}\}\tag{987.5}\label{eq:987-5} $$
よって、式\eqref{eq:987-3}及び\eqref{eq:987-5}を用いてVSG事象を表せば、総合的なVSGは以下のように表せます。 $$ \{\text{VSG}\}\equiv\{\text{VSG.RF}\sqcup\text{VSG.DPF'}\}\\ =\{(\overline{\text{IF}}\cap\overline{\text{DC}})\sqcup(\overline{\text{IF}}\cap\overline{\text{SM}}\cap\text{DC})\}\tag{987.6}\label{eq:987-6} $$ ただし、$\sqcup$は互いに素な和を示します。
$\dagger$後で確率計算に移る場合に事象にダブりがあると、確率がダブルカウントとなるためです。
2026年1月26日から米国ネバダ州ラスベガスのプラネットハリウッドホテルで開催される予定のRAMS 2026(72th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだアブストラクトの採択ですが、正式採択されれば7年連続、IEEEとしては8回目の採択となります。正式採択に向け、7月末の締め切りまでに論文をブラッシュアップしていくことになります。
表980.1はRAMS 2026正式採択までのマイルストーンであり、今後適宜更新します。
| 期限 | マイルストーン | 状態 |
|---|---|---|
| 2025/4/30 | AJEにアブストラクトを修正依頼 | 済 |
| 2025/4/30 | アブストラクト(氏名、所属無し版)投稿締め切り(システム入力) | 済 |
2025/5/27 |
アブストラクト採択結果 | 採択 |
| 2025/7/31 | 初稿論文、プレゼン投稿締め切り(氏名、所属無し版) | |
| 2025/9/30 | 最終論文、プレゼン投稿締め切り(氏名、所属有り版) | |
| 2025/10/10 | IEEEコピーライトフォーム提出 | |
| 2025/10/10 | 学会出席登録締め切り |
|
20 |
PMHF式の誤りの論文 (2) |
|
そして、肝心のPMHFの式部分は以下のとおりです。
(3)では3つの故障率を単純に加えていますが、これは過去記事(下記)で取り上げた論文と同じく誤りです。
(3)式が誤りである理由はPMHFは確率由来だからであり、安全目標違反確率を求めるにはDPF項には故障率の二乗が必要だからです。具体的にはIFのMPF故障率とSMのレイテント故障率の二乗となります。一方(3)式はレイテント故障率を単純にSPF項と加算しています。
それにしてもPMHF式を引用する人たちはなぜ規格Part 10にPMHF式があるにもかかわらず、その公式を用いずに、論文$\dagger$の誤った式を参照するのでしょうか?参考にするなら規格式を参照すれば良いと思うのですが、今までに規格式を引用した論文を、ほぼ見たことがないことが不思議でなりません。
$\dagger$ Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.
|
19 |
PMHF式の誤りの論文 |
|
PMHF式が誤っている論文は大変に多く、その元凶は2014年のこの論文$\dagger$のようですが、また発見しました。
K, Lu and Y. Chen, "Safety-Oriented System Hardware Architecture Exploration in Compliance with ISO 26262,", Appl. Sci. 12(11), MDPI, 2022.
アブストラクトの翻訳文を示します。
要約:安全性が重要な自動車用インテリジェントシステムは、動作中に厳しい信頼性が要求されます。そのため、このような安全性が重要なシステムの開発では、安全性と信頼性の問題に対処しなければなりません。しかし、安全/信頼性の要件をシステムに組み込むと、設計の複雑さが大幅に増します。さらに、国際的な安全規格はガイドラインしか提供しておらず、具体的な設計手法やフローは示されていません。そのため、システム設計および検証の複雑さに対処し、国際的な安全規格の要件も満たす、システムエンジニアを支援する効果的な安全プロセスを開発することが、重要かつ価値のある研究課題となっています。本研究では、フォールトツリーに基づく脆弱性分析と安全志向のシステムハードウェアアーキテクチャの探索を統合した、安全志向のシステムハードウェアアーキテクチャ探索フレームワークを提案します。このフレームワークにより、ISO-26262 の安全要件およびハードウェアのオーバーヘッドの制約に準拠した、効率的なソリューションを迅速に発見することができます。探索フレームワークの実行後に、故障モード、影響、および診断分析(FMEDA)レポートが生成されます。提案したフレームワークは、システムエンジニアが、コスト効率の高い方法でシステムの安全性/堅牢性の設計、評価、および強化を行うことを容易にします。
ちなみに弊社の論文も[7]及び[10]の2件が参照されているものの、数式は全く考慮されていません。
これに対する本文での引用は以下のようです。
[7] の著者は、ISO 26262 に基づいて適用範囲を拡大するため、ミッション機能の故障率、安全機構の故障率、一次安全機構および二次安全機構の診断カバレッジ、二次安全機構の診断期間などの観測可能なパラメータを用いて、非冗長および冗長サブシステムにおける PMHF の計算のための一般化された式を提示しました。
全くこのとおりなので、このPMHF公式を参考にしてもらえば良かったのですが。
[10] の研究は、規格の重要な前提である定期的な検査と修理を考慮しながら、定量的なFTAのフレームワークを提供することを目的としています。このフレームワークは、マルコフ確率過程のモデルと、そのモデルから導式化したPMHF方程式に基づいています。
全くこのとおりなので、定期的な検査と修理を考慮したPMHF公式を参考にしてもらえば良かったのですが。 論文は批判的に読むものであって、このように自論文の飾りにするだけでは引用としての意味がありません。
$\dagger$ † Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.
|
24 |
RAMS 2026採択へのマイルストーン (4) |
|
AJEに依頼したアブストラクトの修正が返ってきたので反映し、システムに登録しました。今回のIDは#17で、採択の発表は6月2日とのことです。
| 期限 | マイルストーン | 状態 |
|---|---|---|
| 2025/4/30 | AJEにアブストラクトを修正依頼 | 済 |
| 2025/4/30 | アブストラクト(氏名、所属無し版)投稿締め切り(システム入力) | 済 |
| 2025/6/2 | アブストラクト採択結果 | |
| 2025/7/31 | 初稿論文、プレゼン投稿締め切り(氏名、所属無し版) | |
| 2025/9/31 | 最終論文、プレゼン投稿締め切り(氏名、所属有り版) | |
| 2025/10/10 | 学会出席登録締め切り |
|
13 |
RAMS 2026採択へのマイルストーン (3) |
|
AJEに依頼した論文のアブストラクトが返ってきたので、修正し再依頼しました。アブストラクトなのでそれほどやりとりなく、次で完了する予定です。
| 期限 | マイルストーン | 状態 |
|---|---|---|
| 2025/4/30 | AJEにアブストラクトを修正依頼 | 修正中 |
| 2025/4/30 | アブストラクト(氏名、所属無し版)投稿締め切り(システム入力) | |
| 2025/6/2 | アブストラクト採択結果 | |
| 2025/7/31 | 初稿論文、プレゼン投稿締め切り(氏名、所属無し版) | |
| 2025/9/31 | 最終論文、プレゼン投稿締め切り(氏名、所属有り版) | |
| 2025/10/10 | 学会出席登録締め切り |
