Posts Tagged with "PMHF"

既に発行済みのブログであっても適宜修正・追加することがあります。
Even in the already published blog, we may modify and add appropriately.
posted by sakurai on May 18, 2017

English translation follows...

2017年5月にアメリカ・カリフォルニア州サンノゼにて開催された、IEEEの製品安全に関する国際学会であるISPCE 2017(2017 IEEE Symposium on Product Compliance Engineering)において、ISO 26262機能安全コンサルタントのFSマイクロ(本社:渋谷区)代表 桜井 厚の執筆した自動車の故障率に関する論文が最優秀論文賞を受賞しました。

2017年5月8日から10日まで、アメリカ・カリフォルニア州サンノゼにて開催されたIEEE(注1)の国際学会である第14回ISPCE 2017(注2)において、現地時間の5月9日午前11時、ISO 26262機能安全コンサルタントのFSマイクロ株式会社(本社:渋谷区)代表取締役社長 桜井 厚の執筆した論文が最優秀論文賞を受賞しました。

正式論文として投稿された20本のうち、最優秀論文賞は1本のみです。

最優秀論文賞を受賞した論文の題名は「Generalized Formula for the Calculation of a Probabilistic Metric for Random Hardware Failures in Redundant Subsystems」です。
これまで自動車の機能安全(注4)の国際規格であるISO 26262に従いFMEDA(注5)や定量FTA(注6)を用いて安全分析を行う場合、冗長サブシステムに関する故障率算出式が不明確であったため定量分析を正確に行うことが困難でした。
定量的な安全分析における同規格の適用範囲を拡大したことが評価され、最優秀論文賞に選ばれたものです。

注1:アメリカ合衆国に本部を持つ電気工学・電子工学技術に関する世界最大規模の学会
注2:2017 IEEE Symposium on Product Compliance Engineering。IEEEが2004年から年に一度主催する国際学会で、製品安全に関しては世界最高レベルの学会 http://2017.psessymposium.org/
注3:機能安全の対象となるシステムのうちの一部で、冗長性を持つもの
注4:様々な安全機構を付加することで、システムの安全性を担保する考え方
注5:部品の故障モードがシステム全体の安全にどのように影響するかを、故障率を用いて定量的に論証する帰納的な分析手法
注6:安全目標侵害確率を故障のツリーを用いて算出することにより、故障が危険な事象となる可能性を定量的に論証する演繹的な分析手法

A paper on the failure rate of automobiles authored by Sakurai Atsushi, who is the CEO & CTO of Functional Safety Consultant FS Micro (Headquarters: Shibuya Ward, Tokyo, JAPAN) received the Best Paper Award at ISPCE 2017 (2017 IEEE Symposium on Product Compliance Engineering) held in San Jose, California in May 2017.

On 14th, on May 9th morning of local time, a paper authored by Sakurai Atsushi, who is the CEO & CTO of FS Micro Corporation (Head office: Shibuya-ward, Tokyo, JAPAN), functional safety consultant) received the Best Paper Award at ISPCE 2017 (Note 2), an international conference of IEEE (Note 1) held in San Jose, California, from May 8th to 10th, 2017.

Among the 20 formal papers, there is only one to be deserved as the Best Paper Award.

The title of the paper won the Best Paper Award is "Generalized Formula for the Calculation of a Probabilistic Metric for Random Hardware Failures in Redundant Subsystems".

When performing safety analysis using FMEDA (Note 5) or quantitative FTA (Note 6) in accordance with ISO 26262 which is the international standard of automobile functional safety (Note 4), the failure rate calculation formula relating to the redundant subsystem is unclear, it was difficult to accurately perform quantitative analysis.

It was selected as the Best Paper Award, because it contributes to expand the application of the standard in quantitative safety analysis.

Note 1: The world's largest academic institute on electrical and electronics engineering headquartered in the United States.
Note 2: 2017 IEEE Symposium on Product Compliance Engineering. International conference organized by the IEEE's Product Safety Engineering Society, once a year from 2004, with regard to product safety.
Note 3: Subsystems subject to functional safety, those with redundancy
Note 4: Methodology to ensure system safety by adding various safety measures.
Note 5: Inductive analytical method which quantitatively demonstrates how failure modes of parts affect safety of the whole system using the failure rate.
Note 6: A deductive analytical method that quantitatively demonstrates the possibility of the safety goal violation by calculating the probability using the fault tree.

図PSES

左矢前のブログ

PMHF値の計算

posted by sakurai on September 21, 2016

PMHFの積算

部品個別のPMHF式は前回導出したものとなりますが、これをアイテムとして積算する必要があります。その方法には一般に、FMEDAによるもの、FTAによるものの2種類があります。単純な直列アイテムであれば、確率計算的には和を取るだけなので(ただし$\lambda t\ll 1$のとき)FMEDAとFTAは同じ値になります。一方、冗長構成等の並列アイテムの場合は、FTAでないと正しい値は求まりません。アイテムの故障率(2)でご紹介したように、並列アイテムの場合、アイテム不信頼度は部品不信頼度の積となるためです。FTAを用いると、ANDゲートで並列アイテム、ORゲートで直列アイテムを表すことができ、値の計算を正確に行うことができます。

ANDゲートでは確率の積算で、事象の確率が正確に求まります。一方ORゲートにおいては、$\lambda t\ll 1$のとき、例えば$\lambda t<0.1$の場合には加算で事象の確率が求められます。これをレアイベント近似と言います。以下に、近似ではなくExcelを使った方法で、簡単に正確に求めるやり方をご紹介します。

教科書等には信頼度で書かれていますが、故障率は不信頼度を時間平均したものですから、不信頼度で表すのが便利です。すると、ANDゲート=並列アイテムの不信頼度はアイテムの故障率(2)で求めた、 \[ F_{item}(t)=F_1(t)\cdot F_2(t)\cdot\cdots\cdot F_n(t)=\prod_{i=1}^n F_i(t)\tag{9.2} \]

のように、不信頼度の積で求められ、一方ORゲート=直列アイテムの不信頼度はアイテムの故障率(1)で求めた、 \[ F_{item}(t)=1-\prod_{i=1}^n[1-F_i(t)] \tag{8.4} \]

のように求められます。

Excelによる積算

確率計算において積算、加算を用いるレアイベント近似(FTA(2)で説明予定)の場合は特に関数を用意する必要はありませんが、(8.4)のようにレアイベント近似を用いない場合の計算については、以下のように関数を用意すると便利です。

public function lambda(range as range) as string
dim val as double
val = 1#
foreach cell in range
val = val * (1- cell)
next
lambda = format((1# - val)/100000#, "0.000E+00")
end function

Excelにおいて、確率計算の積は単純に掛け算を実施し、一方加算については上記関数を用いて(8.4)を計算します。


左矢前のブログ 次のブログ右矢

PMHF式の導出(4)

posted by sakurai on August 22, 2016

PMHF式と拡張PMHF式

規格(Part10)において、PMHF式はM⇒SMの場合と書かれており、また、順番を考慮しない場合はM⇒SMの場合の2倍と書かれています。しかし、順番を考慮しない場合とは本稿で求めようとしているM⇒SM及びSM⇒Mの加えあわせとなるはずです。本稿で説明するようにMとSMではレイテントとなる確率が異なるため2倍するのは誤りと考えます。

拡張PMHF式の計算

(16.2)の添字の意味を見ていきます。故障率の添字がl(=latent)とd(=detected)で表されていますが、規格Part10の表記あるいは図16.1の表記を用いれば、 \[ \lambda_{RF}=(1-K_{M,FMC,RF}\lambda_M\\ \lambda_{M,DPF,l}=(1-K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{M,DPF,d}=K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{SM,DPF,l}=(1-K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{SM,DPF,d}=K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{M,DPF}=K_{M,FMC,RF}\lambda_M\\ \lambda_{SM,DPF}=\lambda_{SM} \]

となります。これらを(16.2)に代入すれば、

式94
(18.2)

となります。(18.2)に至ってようやく主機能故障率、安全機構故障率、安全機構カバレージ等の数値を用いてPMHFの計算を実行することが可能となります。


左矢前のブログ 次のブログ右矢

PMHF式の導出(3)

posted by sakurai on August 10, 2016

対象ブロック図

図17.1にPMHFの計算となるブロック図を示します。主機能Mに対して1st SMであるSMが設置されており、Mの2nd SMであるSM2-M及びSMの2nd SMであるSM2-SMが設置されています。Part10の記法に従い、SMのDC(Diagnostic Coverage)は$K_{M,FMC,RF}$、SM2M及びSM2SMのDCはそれぞれ$K_{M,FMC,MPF}$及び$K_{SM,FMC,MPF}$と書かれます。M、SMの故障率はそれぞれ$\lambda_M$、$\lambda_{SM}$ですが、2nd SMはλ=0となります。さらにMは安全機構ではないため(冗長の場合はSMとなりますが)、DC及び$\tau$(故障検出周期)は存在しません。さらにM及びSMの$\tau$は存在せず、SM2M及びSM2SMの$\tau$はそれぞれ$\tau_M$及び$\tau_{SM}$となります。

規格には明確に書かれていませんが、故障が検出された場合はゼロ時間で完全に修理されることが、暗黙に仮定されています。

図17.1
図17.1 対象サブシステムブロック図

PMHF一般式の導出

SPFとDPFは排他事象であり、また、「主機能故障でレイテント⇒安全機構故障」とびその逆の「安全機構故障でレイテント⇒主機能故障」も排他事象です。排他事象は確率が加え合わせられることから、トータルのPMHFは上記を(11.1)に適用して、(17.1)となります。 \[ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,M\rightarrow SM}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.1} \]

これに対して、SPFに関しては(12.2)を適用します。さらに、DPFに関しては(15.2)に基づき、主機能故障と安全機構故障の順番を考慮して先の2パターンのPMHFを加え合わせれば、FSマイクロ株式会社の考えるPMHFの一般式(17.2)が得られます。

FSマイクロ株式会社の考えるPMHF一般式:

式46
(17.2)

(17.2)はISO26262 Part10の式の一般化となるため、使用の際には本稿で示すような論証が必要となります。


左矢前のブログ 次のブログ右矢

PMHF式の導出(2)

posted by sakurai on July 28, 2016

故障検出周期

検出時点での故障率を、以下のように安全機構により検出できる部分とできない部分に分解します。またそれぞれの場合の条件を以下に示します。

  1. 安全機構が周期$\tau_{SM}$で故障検出された際に検出できない故障率の部分は、なんど検出しても検出されないため、車両寿命の間中レイテントとなる。
  2. 安全機構が周期$\tau$で故障検出した際に検出できる故障率の部分は、$t=0$~$\tau_{SM}$まではレイテントとなる。その後$t=\tau_{SM}$においてゼロ時間で修理される。

次に車両寿命におけるそれぞれの頻度を考えると、

  1. $t=0$〜$T_{lifetime}$までの一回
  2. $\frac{T_{lifetime}}{\tau_{SM}}$回

従って、(15.1)は正確には、上記の2つの事象確率と頻度の積を加えあわせ、 \[ M_{PMHF,DPF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{DPF,A\rightarrow B}(T_{lifetime}) =\frac{1}{T_{lifetime}}[F_{DPF,l,A\rightarrow B}(T_{lifetime})+\frac{T_{lifetime}}{\tau_{SM}}F_{DPF,d,A\rightarrow B}(\tau_{SM})] \]\[ \approx\frac{1}{2}\lambda_B(\lambda_{A,DPF,l}T_{lifetime}+\lambda_{A,DPF,d}\tau_{SM})\tag{16.1} \]

となります。

(16.1)は、「レイテント状態のエレメントAの不信頼度」に「Bの故障率」をかけたものです。前者をグラフ化したものが図16.1です。$DC=0$、つまり定期的な故障検出によりエレメントの故障が検出されない場合は、(14.1)のとおりです。一方、エレメントの故障が検出される部分がある場合には、検出時点で修理されるため、その分の不信頼度はゼロとなり、故障が検出されない部分のみが累積していきます。

図16.1
図16.1 エレメントの不信頼度のグラフ

青のグラフがDC=0の場合、オレンジがDC=20%の場合、グレーがDC=40%の場合、黄色がDC=60%の場合、濃青がDC=80%の場合、緑がDC=100%の場合をそれぞれ表します。


左矢前のブログ 次のブログ右矢

PMHF式の導出(1)

posted by sakurai on July 17, 2016

DPFの場合のPMHFの導出

エレメントAが先に故障し、引き続いてエレメントBが故障する場合のDPFのPMHFは「エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する、車両寿命間のDPF確率の時間平均」であり、DPF(2)で求めたように、(14.6)を用いて \[ M_{PMHF,A\rightarrow B}=\frac{1}{T_{lifetime}}PoF_{A\rightarrow B,T_{lifetime}}=\frac{1}{T_{lifetime}}F_{A\rightarrow B}(T_{lifetime})\approx\frac{1}{2}\lambda_{A,DPF,l}\lambda_B T_{lifetime}\tag{15.1} \]

と求められます。

故障がレイテントとなる場合

ところが(15.1)はまだ場合分けが不足しています。先にエレメントAに起きた故障がレイテントになる場合は、一般的には時刻$t=\tau$において、安全機構の検出漏れとなる場合ですが、さらに安全機構の検出が間に合わない場合、言い換えれば検出までにエレメントAに故障が起きる場合も加える必要があります。なぜなら、安全機構は検出周期$\tau$で検出しますが、$\tau$までにエレメントAに発生した故障は$\tau$までは検出されないため、その間はレイテントとなる可能性が若干でも存在するからです。

この点について次稿で掘り下げて行きたいと思います。


左矢前のブログ 次のブログ右矢

DPF(2)

posted by sakurai on July 9, 2016

DPFの定義

ISO26262でいうDPFは、前述のように、まずエレメントAの故障がおき、かつレイテント状態(故障分類(1)で解説)になっていて、それに関連するエレメントBの故障が引き続いて起きた場合が対象となります。ここで関連するとは、エレメントAが主機能の場合はエレメントBは安全機構、エレメントAが安全機構の場合はエレメントBは主機能という意味です。主機能とそれとは別の主機能の故障はDPFとは考えず、一点故障が2回起きたと考えます。

さて、DPFの確率計算を行う場合、単純に主機能故障の起きる確率$PoF_{M,T_{lifetime}}=\Pr\{X_M\lt T_{lifetime}\}$と安全機構の故障の起きる確率$PoF_{SM,T_{lifetime}}=\Pr\{X_{SM}\lt T_{lifetime}\}$の乗算とはなりません。一般に安全機構が故障するとレイテントになる可能性が大であり、主機能は冗長構成を取らない限り、故障してレイテントになることはありません。従って、主機能故障がレイテントになる確率と安全機構がレイテントになる確率は異なるため、主機能と安全機構のどちらが先に故障したかで場合を分けて計算を行います。

A⇒BのDPFの確率計算

エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する確率の導出を行います。まず、時刻$t$において、エレメントAが故障してレイテントとなっている場合の確率は、時刻$t$におけるエレメントAの不信頼度に他ならないため、(14.1)となります。 \[ \Pr\{\text{A is a latent state at }t\}=\Pr\{X_A\leq t\}=F_A(t)\tag{14.1} \]

次に、時刻$t$までエレメントBは故障しておらず、時刻$t+\Delta t$までの微小区間$(t, t+\Delta t]$にBが故障する微小確率$\Pr\{\text{B receives a fault in}(t, t+\Delta t]\}$は、(14.2)となります。 \[ \Pr\{\text{B receives a fault in}(t, t+\Delta t]\}=\Pr\{t\lt X_B\leq t+\Delta t\}=F_B(t+\Delta t)-F_B(t)\\ =f_B(t)\Delta t=\lambda_B R_B(t)\Delta t\tag{14.2} \]

従って、$(t, t+\Delta t]$の微小DPF確率は両者の積となるため、(14.3)となります。

式49(14.3)

$\Delta t\rightarrow 0$とした極限を$dt$で表し、0から$t$まで積分すると、時刻$t$までのDPF確率が(14.4)として求められます。

式77(14.4)

ここでexponential関数のマクローリン展開は(14.5)です。 \[ e^x=1+x+\frac{x^2}{2}+\cdots\tag{14.5} \]

(14.5)の2次の項までとり(14.3)に代入すれば、(14.6)のようにA⇒BのDPFの確率の近似式が求められます。

A⇒BのDPFの確率の式:

式79(14.6)

左矢前のブログ 次のブログ右矢

DPF(1)

posted by sakurai on June 24, 2016

信頼度と故障率の関係式

DPF(Dual Point Failure; 2点故障)を説明する前に、時刻$t$から時刻$t+\Delta t$までの時間にエレメント$A$に関して起こる故障について、図13.1に示します。

fig13.1
図13.1 エレメントAに関して起こる故障

時刻$t$において、故障していない確率が$R_A(t)$であり、時刻$t+\Delta t$までの$\Delta t$時間における信頼度$R_A(t)$の減少分は、(2.6)から$\lambda_A R_A(t) \Delta t=f_A(t)\Delta t$となることから、

\[ R_A(t+\Delta t)=R_A(t)-\lambda_A R_A(t) \Delta t\tag{13.1} \]

DPFを考えるためにエレメント$A$とエレメント$B$の故障を考えます。エレメント$A$,$B$の故障は独立して起こるので、以下のようになります。

fig13.2
図13.2 エレメントA及びBに関して起こる故障

DPF

さて、次にエレメント$A$,$B$が有り、$A$が主機能の場合は$B$はそれに関する安全機構、$A$が安全機構の場合は$B$はそれに関する主機能であるとします。DPFの定義は

主機能または安全機構が故障してレイテント状態であるときに、それに関する安全機構または主機能の故障が起きること

であるため、「エレメントAが故障してレイテント状態であるときに、エレメントBの故障が起きること」を$A\Rightarrow B$で表し、「エレメントBが故障してレイテント状態であるときに、エレメントAの故障が起きること」を$B\Rightarrow A$で表すとき、以下の図13.3のように、どちらが先に故障するかによって、$A\Rightarrow B$または$B\Rightarrow A$の2つの場合となります。また、それらは排他であるため確率は和で表されます。

fig13.3
図13.3 片方がレイテント状態であるときに、他方の故障


左矢前のブログ 次のブログ右矢

故障分類(2)

posted by sakurai on June 9, 2016

SPF/RF

SPF(Single Point Failure; 一点故障)、RF(Residual Failure; 残余故障) はほぼ同義で、単一の故障により安全目標侵害する可能性のある故障です。前項の故障分類チャートに拠ればSPFは安全機構が存在しない故障であり、また、RFは安全機構が存在するが診断カバレージ(DC)から漏れる部分の故障です。これをPart10 8.1.8「フォールトの分類及びフォールトクラス寄与度計算のフローチャート」でのDCの定義$K_{FMC,RF}$を用いれば、 \[ \lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG}\tag{12.1} \]

となります。後で説明するように、SPF/RFを単純化記法でSPFまたはRFと記述することがあるのでご注意ください。(12.1)の場合はRFと表記していますが、SPF/RFの意味です。

さて、SPFに対するPMHFは(10.2)、(10.3)、及び(12.1)を用いれば、 \[ M_{PMHF,SPF}=\frac{1}{T_{lifetime}}PoF_{SPF, T_{lifetime}}\\ \]\[ =\frac{1}{T_{lifetime}}F_{SPF}(T_{lifetime})\approx\lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG},~\mbox{s.t.}~\lambda_{RF}T_{lifetime}\ll 1\tag{12.2} \]

と求められます。

ここで、一般的に用語SPFの使用法には狭義(SPFとRFを分ける)と広義(RFを含む)の2種が有り、(12.2)左辺では広義の単一故障の意味で用いています(図12/1上段)。一方、SPF/RFという記法もあり、このほうが紛れがありませんが長くなるためあまり用いられません(図12.1中段)。また(12.2)右辺のように、単一故障をRFと表記する場合もあり、これは単一故障のほとんどがRFであるためです(図12.1下段)。式を読む場合には、字面にとらわれることなく、紛らわしい用語の使用法については意味を考えて読む必要があります。

式a91
図12.1 SPF及びRFの使い分け

左矢前のブログ 次のブログ右矢

PMHFの意味

posted by sakurai on May 25, 2016

PMHFの定義式

式(10.1)はISO26262 Part10に掲載されているPMHFの式です。

\[ M_{PMHF} = \lambda_{RF} + \frac 1 2 \lambda_{M,MPF}(\lambda_{SM,MPF,l}T_{lifetime}+ \lambda_{SM,MPF,d}\tau) \tag{10.1} \]

これは安全機構が故障して次に主機能が故障する場合の式で、ISO26262 Part10に結論だけ記述がありますが、説明がほとんどありません。そのためこのブログで式の導出について説明していきたいと思います。

ところで、FSマイクロ株式会社では、(10.1)が安全機構が故障して次に主機能が故障する場合というのは誤りではないかと考えます。2項目以降はそのとおりですが、$\lambda_{RF}$は主機能が故障して安全機構が安全目標侵害を防止した残余の故障率なので、安全機構は動作していなければならないはずです。そのため、$\lambda_{RF}$は主機能の故障の際には安全機構は動作している場合に現れると考えます。

さて、PMHFとは、ランダムハードウェア故障のメトリック(数値目標)で、正確に表現すれば「アイテムの車両寿命における故障確率(=アイテムの車両寿命における不稼働率$PoF(T_{lifetime})$の時間平均)」となります。以下はISO26262規格には書かれていませんが、PMHFの定義式です。

PMHFの定義式: \[ M_{PMHF} \stackrel{def}{=} \frac{1}{T_{lifetime}}PoF_{item, T_{lifetime}} =\frac{1}{T_{lifetime}} \Pr\{\text{item is down at } T_{lifetime}\} =\frac{1}{T_{lifetime}} \overline{PA_{item}}(T_{lifetime}) \tag{10.2} \]

ここで、$\overline{PA_{item}}(t)$は時刻$t$におけるitemの時点不稼働率です。 $\overline{PA_{item}}(t)$は1から時点稼働率$PA_{item}(t)$を引いたものであり、以下の式で定義されるように、ある時刻$t$における不稼働確率(アイテムが稼働していない確率)です。

\[ \overline{PA_{item}}(t) = \Pr\{\text{item is down at } t\} \tag{10.3} \]

一方で、$PA_{item}(t)$は、修理が起きる場合のitemにおいて、$t$までに一度も故障が起きない確率と、$t$までに故障が起き修理された後$t$までに故障が起きない確率に分けられるので、

\[ PA_{item}(t) = \Pr\{\text{item is up in }(0, t]\} + \displaystyle \sum_{i=1}^{n} \Pr\{\text{item is repaired at }\tau_i \cap \text{item is up in }(\tau_i, t]\} \tag{10.4} \]

PMHFの意味

ここで、故障率はかなり低いため、(10.4)のうち修理される部分を無視しPMHFの定義式(10.2)に適用しすれば、

\[ M_{PMHF} \approx \frac{1}{T_{lifetime}} \Pr\{\text{item is failed in }(0, T_{lifetime}]\} =\frac{1}{T_{lifetime}} \Pr\{X_{item}\lt T_{lifetime}\} =\frac{1}{T_{lifetime}} F_{item}(T_{lifetime}) \tag{10.5} \]

式10.5の式に対して、不信頼度$F(t)$の近似式である(7.2)を用いて \[ F_{item}(t) \approx \lambda_{item}t, ~~\mbox{s.t.}~~ \lambda_{item}t \ll 1 \tag{10.6} \]

を適用すれば、次の(10.7)が得られます。 \[ M_{PMHF} \approx \lambda_{item},~~\mbox{s.t.}~~ \lambda_{item}T_{lifetime} \ll 1 \tag{10.7} \]

これにより、PMHFは$\lambda_{item}T_{lifetime} \ll 1$の場合に「アイテムの車両寿命間の平均的な故障率」とみなすことができます。


左矢前のブログ 次のブログ右矢