Posts Tagged with "PMHF"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

定量FTAによるPMHF計算法 (7)

posted by sakurai on April 6, 2023 #591

規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。

図%%.1
図591.1

この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$

$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$

それぞれ、IF, SM1, SM2について説明を示します。

  • ミッションタイム:車両寿命$T_\text{lifetime}$です。
  • IF:ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
  • SM1:ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
  • SM2:SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。

左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (6)

posted by sakurai on April 5, 2023 #590

今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。

図%%.1
図590.1 規格1st editionのFTA図構成

今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。

正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (5)

posted by sakurai on April 4, 2023 #589

次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。

SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。

図%%.1
図589.1 規格1st editionのFTA図構成

ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。

ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (4)

posted by sakurai on April 3, 2023 #588

別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。

図%%.1
図588.1 規格1st editionのFTA図構成

確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。

次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。

図%%.2
図588.2 規格1st editionのFTA図構成

ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。

ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。

$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (3)

posted by sakurai on March 31, 2023 #587

前ページ右下のORゲートから左下への事象です。これはRFの項を表しており、ALUのフォールトカバレージ残余である$1-DC$が接続されています。

図%%.1
図587.1 規格1st editionのFTA図構成

ここで確率に着目すれば、 $$ Q=1-DC_\text{1}=0.8=8.00\times10^{-1}より\\ DC_\text{1}=20\% \tag{587.1} $$ と逆算されます。$DC_\text{1}$のような無次元の定数にはミッションタイムは自動掛算されません。

次に同じくORゲートから右下への事象です。これはDPF確率を示すANDゲートです。

図%%.2
図587.2 規格1st editionのFTA図構成

このANDゲートの左下への分岐はLFのサブツリーとなっています。

右下への事象はIFのDPFフォールトを表す事象で、具体的にはSM1でVSG抑止された部分である$DC$を示しています。 $$ Q=DC_\text{1}=0.2=2.00\times10^{-1}より、\\ DC_\text{1}=20\% \tag{587.2} $$ となっています。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (2)

posted by sakurai on March 30, 2023 #586

図585.1が小さいので拡大して見ていきます。まず部分FTのトップのANDゲートです。車両寿命間におけるALUの永久故障確率を表しています。

図%%.1
図586.1 規格1st editionのFTA図構成

ANDゲートの左下の事象はALUの永久故障率です。ALUの2つの数字、故障率と確率に着目すれば、本文に$T_\text{lifetime}=5,000[H]$とあることを用いて、 $$ \lambda_\text{IF}=3.48\times10^{-11} および\\ Q=\lambda_\text{IF}T_\text{lifetime}=3.48\times10^{-11}\cdot5.0\times10^{3}=1.74\times10^{-7}\tag{586.1} $$ となります。

事象には故障率$\lambda_\text{IF}$を入力します。ここで故障率は$[H^{-1}]$の次元を持つため、FTAツールがデフォールトのミッションタイム(運用時間)である車両寿命$T_\text{lifetime}$を自動的に掛け、確率$Q$に直して計算します。

注目すべき記号としてLがあります。これはプライオリティを示すもので、Lで示される側のフォールトが後で生起する場合に限定されます。従って本FTはフォールト順序がSM1⇒IFの順であり、冗長性は持たないという前提です。すなわちDPF項には$\frac{1}{2}$が必要です。

トップのANDゲートの右下のORゲートは、ALUの検出されない永久故障と書かれており、SPFとDPFの確率を加算するためのORゲートです。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法

posted by sakurai on March 27, 2023 #585

昨日某社様向けにISO 26262ハードウェアセミナーを実施しましたが、以下のご質問を受けました。

Q「DPFを表すにはIFのフォールトの基事象とSMのフォールトの基事象をANDゲートで結べば良いが、定量FTAによりPMHFを表すには具体的にはどうすれば良いのでしょうか」

これは実務においては重要なノウハウとなります。その理由は規格ではPMHFの目標値がいくらで、それを満足しなければならないと書かれていますが、実際のECUでどのように計算するかにはほとんど言及が無いためです。わずかにPart 10に式が掲載されているに過ぎません。実は1st editionではいくつかの例が掲載されていましたが、2nd editionで削除されています。

結論から言えば、定量FTAでイベントの組み合わせでPMHF式を構築することになります。まず、1st editionに参考になるFT図が掲載されているので、これを子細に見てみます。

図%%.1
図585.1 規格1st editionのFTA図構成

左のFT図はALUのフォールトのFTであり2つに分離していたものを組み合わせています。半分より上側のFTがちょうどSPF/RF項を、下側のFTがDPF項を表しています。FTツールではフォールトイベントを確率で表現するため、故障率には指定しなければミッションタイム$T$が自動でかかり、確率として表します。例外はLFの黄色で示すイベントで、ミッションタイムを手で入力し、$\tau$=定期検査周期としています。

FTは確率$P$を表し、そのまま式で表すと①式となります。PMHF式は車両寿命においてSG侵害確率の時間平均であるため、①を$T$で割ると②の式となります。これはSM⇒IFの順にフォールトが起きる場合のPMHF式と1/2を除き一致します。さらにIF⇒SMの順のフォールトのPMHFを合わせると②となりますが、前提としてIFのフォールトもLFとなる必要があります。これは冗長を意味するものです。

記事の(10.1)に1st editionのPMHF式を掲載していますが、1/2を除き②と一致していることが確認されます。 $$ M_\text{PMHF} = \lambda_\text{RF}+\frac{1}{2}\lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$ これをまとめたものをRAMS 2021に投稿し、採択されたので、以下に場所を示します。

https://ieeexplore.ieee.org/document/9605710


左矢前のブログ 次のブログ右矢

posted by sakurai on March 13, 2023 #584

次回のRAMS 2024(国際信頼性学会)は以下のように、2024/1/22~25に米国ニューメキシコ州アルバカーキで開催されます。

図%%.1
図584.1 RAMS 2024

弊社代表は、IEEE学会に4年連続5回目(以下にリリース文を示す)の論文採択の実績がありますが、

RAMS(国際信頼性学会)としては5年連続5回目の採択を目指し、"Systematic Faults in the Derivation Process of the Probabilistic Failure Metric (PMHF) in ISO 26262"と題した論文を投稿予定であり、アブストラクトを作成中です。

対象となる論文は以下のブログ記事をまとめたものとなります。

本論文は、ISO 26262第2版解説書に示された、2nd editionにおけるPMHF式の導出過程を詳細に検討するものであり、結果として4種類11個もの、2nd editionのPMHF式の誤りを検出しています。

以下に例年通り、RAMS 2024採択へのマイルストーンを示します。

表584.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(名前、所属無し版)
2023/6/10 アブストラクト採択結果
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2023/9/1 第1回論文、プレゼン資料査読コメント受領
2023/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2023/10/22 最終査読コメント受領
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

RAMS 2023での論文発表

posted by sakurai on January 24, 2023 #582

RAMS 2023が予定どおり開催中ですが、その初日に当社代表が「Stochastic Constituents for the Probabilistic Metric of Random Hardware Failures (PMHF) in ISO 26262」というタイトルで論文発表を行いました。論文はプレスリリースにもあるように、RAMS 2020で発表した、以下の新PMHF式の傍証となる証明を論文にしたものです。

$$ M_\text{PMHF,IFR}\approx(1-K_\text{IF,RF})\lambda_\text{IF} +K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}T_\text{service}\right],\\ \text{where }K_\text{MPF}:=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF} $$

これは、ブログでは#484#491でご紹介した「確率コントリビューション」記事に関連するものです。確率コントリビューションをStochastic Constituentsと英訳しました。

発表は図582.2のように"Reliablity Modeling - 1"の2人目で、米国に入国できないためZoomを用いて行いました。時差のため日本時間の夜中の0:45からの開始でした。アプリの時間は日本時間となっています。

図%%.1
図582.1 セッション

以下のように質問を2件受けました。

1Q. 発表ではサブシステムはIFとSMの2つから構成されるサブシステムに対するものだが、他のアーキテクチャでは成立するのか?

1A. サブシステムの安全解析を行う際には、IFに対してそのSMが見えるまで中に入り込みます。従って、(SMが無い場合もあるかもしれませんが、その場合はDC=0とする)全ての場合でIFとSMから構成されると考えます。

2Q. 他の論文ではPMHFの算出にFault Treeを用いているものがある。この論文ではPMHFの算出はマルコフチェインだが、どのような違いがあるのか?

2A. マルコフチェインとフォールトツリーは競合するものではありません。実際に我々の2021年のRAMS論文ではマルコフチェインとフォールトツリーを組み合わせてPMHFを算出しています。ご興味があればRAMS 2021論文をご参照ください。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 26, 2022 #539

図%%.1

On October 22, 2022, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Head Office: Nagoya, Japan), a leading provider of functional safety (Note 1) consulting services, was formally accepted by RAMS (Note 2) 2023, an international conference on reliability organized by IEEE (Note 3). This is the fourth consecutive year that the author's paper has been accepted to RAMS. The author also received the Best Paper Award at the 14th ISPCE 2017 (Note 4), an international conference hosted by IEEE in 2017.

RAMS 2023 is scheduled for January 23-26, 2023, at the Florida Hotel and Conference Center in Orlando, Florida, USA.

図%%.2

In 2018, the second edition of ISO 26262 (Note 5), the international standard for functional safety in automotive electronics, was published, and the PMHF (Note 6) equation was also revised. At RAMS 2020, the author clarified the mathematical background of the PMHF formula and proposed a new PMHF formula with which optimal values can be calculated.

This paper re-proves the author's PMHF formula by using the newly proposed stochastic constituents. Specifically, the PMHF formula in ISO 26262 Edition 1 is decomposed into stochastic constituents by considering the combined elements of the intended function and the safety mechanism, and the PMHF formula is proved to be the PMHF formula in the case where the intended function and the safety mechanism are repairable. This makes it possible to prevent overestimation of the PMHF, which has been seen in the past. As a result, it is expected to reduce design man-hours and time-to-market for fault-tolerant systems (Note 7), as represented by self-driving systems.

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures.
Note 2: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 3: RAMS stands for The 69th Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: ISO 26262 is a functional safety standard for in-vehicle electrical and electronic systems, an international standard that aims to reduce the possibility of dangerous events to an acceptable level occurring during vehicle operation due to malfunctions of in-vehicle electrical and electronic systems.
Note 6: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 7: Fault-tolerant systems are safety-enhancing systems that can substitute the original function without immediately losing the function in the event of a failure.


左矢前のブログ 次のブログ右矢


ページ: