Posts Tagged with "fault classification"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on September 16, 2020 #317

第3問です。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図317.1 SGSジャパン株式会社の問題ー第3問ー

というものです。

ちなみに、パナソニックのサイトによれば、

EMC(電磁両立性)とは、電気製品から放出する電気的ノイズを抑え(エミッション:EMI)、かつ周囲からの電気的ノイズによって電気製品がトラブルを起こさない(イミュニティ:EMS)ための2つの性能

とのことです。また、ノイズ対策.comによれば、

EMC(Electro-Magnetic Compatibility:電磁両立性)は、妨害電波を規制するEMI(Electro Magnetic Interference)と外来ノイズの耐性を示すEMS(Electro Magnetic Susceptibility) の2面があります。

とのことです。

さて、前問と同様SRを補って考えます。安全機構(SM)であるEMC保護キャパシタは、EMCにより意図機能(IF)が動作失陥しないためのSMと想定します。例えば、外来ノイズが入るとマイコンが誤動作し、本来のSRを侵害する等が想定されます。SRとしては例えば、「意図せずにマイコンが誤動作しないこと」を想定します。

キャパシタのオープンフォールトにより、IFの保護がなくなります。従って、EMC保護キャパシタは、EMCによりIFがVSGとなるのを防止する1st SMとなります。ただし、注意が必要なのは、通常のようにIFのフォールトによりVSGとなるのではなく、IFにEMCが加わってVSGとなることです。そのため、普通のDPFとは異なりますが、これは後で説明します。

次に考慮することは、EMC保護キャパシタのオープンフォールトが、2nd SMにより検出され通知されるかどうかです。EMC保護キャパシタは通常2nd SMにより保護されていないので、レイテントフォールトになります。このことは規格Part5 Annex EのFMEDAシートでレイテントフォールトと分類されていることからも確認されます。

一方で、規格Part5 Annex E Note 3に例外的な記述があり、

If for example the ESD event is likely to occur during the vehicle lifetime and its effects can lead to the violation of the safety goal in the absence of the given protection, then the failure mode leading the loss of the protection is classified as a single-point fault.

例えば、車両の寿命中にESDイベントが発生する可能性が高く、その影響が与えられた保護がない場合に安全目標の違反につながる可能性がある場合、保護を失う原因となる故障モードは単一点故障に分類されます。

とあるため、EMCが車両寿命中に発生する可能性が高い場合は、IFがすでに動作欠陥し、かつEMC保護キャパシタでVSG抑止していると考えるため、EMC保護キャパシタのオープンフォールトはSPFとなります。

ここではEMC(EMI/EMS)やESDを電磁的な外来ノイズとして、フォールトと同様な事象と扱いました。これらはフォールトではないものの、上記のように、通常はEMC保護キャパシタのオープンフォールトはLFとして良く、EMC/ESDの頻度が高ければSPFと扱うことになります。そのため、焦点はEMCの頻度になります。

FMEDAにおいてEMCをフォールト扱いしていることからわかるように、頻度の判定はフォールト基準で考えます。頻度としては10~100FIT程度、確率は、車両寿命を10万時間とすれば0.1~1%でしょうか。それを超える場合は高頻度として扱うことになります。

最後に、EMC保護キャパシタのオープンフォールトがSF(Safe Fault)とできるかどうかですが、そもそもEMCが印加されることが無いのなら、EMC保護キャパシタも不要です。その対偶をとり、EMC保護キャパシタが存在する以上、稀にでもEMCが印加されることはあると考え、EMC保護キャパシタのオープンフォールトは、 $\img[-1.35em]{/images/withinseminar.png}$ とするのが妥当と考えます。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 15, 2020 #316

第2問です。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図316.1 SGSジャパン株式会社の問題ー第2問ー

というものです。

前問と同様、SRを補って考えます。安全機構(SM)であるリレーは、意図機能(IF)の遮断のためのSMと想定します。例えば、意図せずにアクチュエータが動作してしまうのを遮断する目的です。SRは「意図しないときは〇〇信号をOFFすること」となります。具体例を挙げれば、走行中のステアリングロック等があります。

走行中にリレーが溶着すると、常に信号がONしっぱなしとなり、意図しないときにもONになる可能性があり、その場合はSR違反となります。

さて、SRを明確にしたところで、このリレーはIFのVSGを抑止するためのSMであるので、リレーは1st SMです。従って1st SMのフォールトは、検出されなければレイテントフォールトとなる可能性があります。

次に考慮することは、1st SMがMPFDI中に2nd SM(1st SMのレイテント防止のためのSM)により検出され通知されるかどうかです。設問では初期のON/OFF診断で検出可能、とあるので、MPFDI中に1度故障検出が行われ通知されることになります。MPFDIは最短でもKey-ONからKey-OFFの時間あれば良いためです。従って2nd SMの診断率をDCとすれば、全リレー溶着フォールトのうち $\img[-1.35em]{/images/withinseminar.png}$になります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 14, 2020 #315

弊社のパートナー会社であるSGSジャパン株式会社によるオンラインセミナーで興味深い問題を見つけました。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図315.1 SGSジャパン株式会社の問題ー第1問ー

というものです。

本来は安全目標(SG)ないし安全要求(SR)の侵害により、故障となるかどうかを判定するので、SG/SRが必要です。本問はSG/SRが示されていないので、想定する必要があります。

安全機構(SM)であるWDTは、一般にはマイコン等の意図機能(IF)のデッドロック検出のためのSMとして用いられます。従ってWDTは1st SMです。例えばEPSにおいてマイコンがアクチュエータに指示をする際に、SGは「走行中にマイコンのデッドロックによるステアリング固着なきこと」等となります。

次にWDTにECCが付加されており、その機能を考えます。このECCはWDTのフォールトがレイテントになるのを抑止するための2nd SMです。弊社が2017年の論文で提案した「2nd SMはフォールトしない」という定理を適用すれば、WDTの1bitフォールトは常に修復されることになります。また、ECCのDCは99.999...%なのでDC=100%とします。

一般に、MPFDI以内は2nd SMによる検査・修理が行われないので、レイテントかどうかはMPFDI外で判定します。「通知されない」という条件に注目すると、通常の2nd SMではMPFDIで検出できても通知されなければ修理されないため、レイテントフォールトとなりそうですが、ECCは特殊で、前段落の議論から100%修理されるとして扱います。

レイテントフォールトは、定義の文字上では、通知されなければレイテントフォールトとなるのですが、真に問題となるのは通知の有無ではなく、修理の有無です。規格には、通知されれば修理されるという暗黙の条件があるためです。

従って、解答としては、ECC付きWDTカウンタの1bitフォールトは $\img[-1.35em]{/images/withinseminar.png}$ ということになります。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 28, 2019 #174
  • 箱(v)ではMPFの検出率を聞いています。これも条件付き確率$\Pr\{\text{fault detected}\ |\ \text{fault occured}\}$ではありません。故障率や故障数に依らない、アーキテクチャで決まった定数です。
  • 検出された部分(detected)は下左に移動し、箱(w)で検出率$K_{FMCi,MPF}$を掛けられ$\lambda_{FMCi,MPF,det}$と名付けられます。次に下に移動し、箱(x)でMPF detected故障率として分類されます。$\dagger$ $$ \lambda_{FMi,MPF,det}=K_{FMCi,MPF}\lambda_{FMi,MPF}\tag{w, x} $$

  • 一方、検出されない部分(not detected)は下に移動し、箱(y)で不検出率$1-K_{FMCi,MPF}$を掛けられ、$\lambda_{FMCi,MPF,pl}$と名付けられます。 $$ \lambda_{FMi,MPF,pl}=(1-K_{FMCi,MPF})\lambda_{FMi,MPF}\tag{y} $$

  • 次の箱(z)では、ドライバーに認識される率を聞いています。認識率を$F_{FMC,per}$とします。

図%%.1
図174.1 Part 10故障分類フローチャート
  • ドライバーに認識される場合は下に行き、箱(aa)により認識率$F_{FMC,per}$を掛けられ、その下の箱(ab)でMPF, perceived故障率として分類されます。 $$ \lambda_{FMi,MPF,p}=F_{FMC,per}\lambda_{FMi,MPF,pl}\tag{aa, ab} $$

  • ドライバーに認識されない場合は右下に行き、箱(ac)において、不認識率$1-F_{FMC,per}$を掛けられ、その下の箱(ad)でMPF, latent故障率として分類されます。 $$ \lambda_{FMi,MPF,l}=(1-F_{FMC,per})\lambda_{FMi,MPF,pl}\tag{ac, ad} $$

以上で全ての箱の説明が終了であり、以上による分類された故障率を用いて、SPFM、LFM、PMHFを計算することが可能です。

$\dagger$このMPF,detectedフォールトについてですが、1st Editionでは、MPF detectedフォールトがリペアされるのか、されないのか、レイテントなのか言及されていません。数学的な検証の結果、これはリペアされずLFになることが判明しています。一方、2nd Editionでは規格中にリペアされることが初めて言及されました(pattern 3)。これも数学的な検証の結果LFになることが判りました。このMPF detectedは、1st Edition、2nd Edition共LFになることが判明しているにも関わらず、LFMに含まれていないのは規格の矛盾と考えられます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2019 #172
  • 箱(q)ではVSGのprevention(防止、抑止)を聞いています。それも、菱形ではなく四角の判定箱なので、比率を聞いています。質問は、SMがVSGを抑止する割合$K_{FMCi,RF}$は?ということですが、$K_{FMCi,RF}$はフォールトした条件でのVSG抑止率である$\Pr\{\text{violation prevented}\ |\ \text{fault occured}\}$という条件付き確率となりそうですが、そうではないことを前記事で示しています。
  • VSG抑止できる部分(Violation prevented)は右に移動し、箱(t)で割合を掛けられ$\lambda_{FMi,MPF,secondary}$と名付けられます。 $$ \lambda_{FMi,MPF,secondary}=K_{FMCi,RF}\lambda_{FMi,PVSG}\tag{t} $$

  • 次に箱(u)で、$\lambda_{FMi,MPF,primary}$と加えられ、$\lambda_{FMi,MPF}$となります。 $$ \lambda_{FMi,MPF}=\lambda_{FMi,MPF,primary}+\lambda_{FMi,MPF,secondary}\tag{u} $$

図%%.1
図172.1 Part 10故障分類フローチャート
  • 一方VSG抑止できない部分(Violation not prevented)は下に移動し、箱(r)で$1-K_{FMCi,RF}$を掛けられて下に移動し、箱(s)でResidual Fault故障率として分類されます。 $$ \lambda_{FMi,RF}=(1-K_{FMCi,RF})\lambda_{FMi,PVSG}\tag{r, s} $$

左矢前のブログ 次のブログ右矢

posted by sakurai on October 22, 2019 #171
  • 箱(k)において、Part5のフローチャートでもあった、IFとSMの切り分けを行います。ただしいずれかの選択ではなく、割合を聞いています。SMを取り除いた場合に、どれだけの割合が直接VSGとなる可能性があるかという問いです。VSG可能性あり(potential)の場合は下に移動します。一方、VSG可能性無し(no potential)の場合は右に移動します。
  • 下の箱(l)では、VSG可能性の割合$F_{FMi,PVSG}$を掛けて、VSG可能性の有る故障率$\lambda_{FMi,PVSG}$とします。 $$ \lambda_{FMi,PVSG}=F_{FMi,PVSG}\lambda_{FMi,nS}\tag{l} $$

  • 右の箱(ae)では、VSG可能性の無い割合$1-F_{FMi,PVSG}$を掛けて、VSG可能性の無い故障率$\lambda_{FMi,MPF,primary}$とします。$\dagger$ $$ \lambda_{FMi,MPF,primary}=(1-F_{FMi,PVSG})\lambda_{FMi,nS}\tag{ae} $$

  • 次の菱形(m)ではSMの有無を判定します。これは有無の選択なので、SMが無い場合(no)は左に移動します。

  • 左の箱(n)ではSMが無い場合の故障率は$\lambda_{FMi,SPF}$と名付けられ、下に移動し、下の箱(o)でSingle Point Fault故障率として分類されます。 $$ \lambda_{FMi,SPF}=\lambda_{FMi,PVSG}\tag{n, o} $$

  • 一方、菱形(m)でSMが有る場合(Yes)には箱(p)に移動します。

図%%.1
図171.1 Part 10故障分類フローチャート

$\dagger$primary MPFもsecondary MPFも加え合わせるので、識別の必要は特にありませんが、SMのレイテントフォールト候補をprimary MPFと呼び、IFのレイテントフォールト候補をsecondary MPFと呼ぶようです。なぜここの箱の故障率がprimaryかと言えば、通常レイテントフォールト候補となる故障率はSMの故障だからだと推測します。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 17, 2019 #170
  • 次の箱(g)はセーフフォルトの判定です。ここは菱形ではなく四角の箱であり、これは単純な選択ではなく、確率的に分類します。この場合だと、どれだけの割合が安全側かを聞いています。安全側(safe)と判断された故障率は左へ移動します。一方、非安全側(not safe)と判定された故障率は、右上の箱(i)に移動します。

  • 左の箱(h)において、安全側の割合($F_{FM,safe}$)を掛け、$\lambda_{FM,S}$と名付けられます。それがそのまま下に移動して、箱(i)でSafe fault故障率として分類されます。この故障率は分析に使用されます。 $$ \lambda_{FMi,S}=F_{FM,safe}\lambda_{FMi,SR}\tag{h, i} $$

  • 右上の箱(j)において、非安全側の割合($1-F_{FM,safe}$)を掛け、$\lambda_{FM,nS}$と名付けられます。 $$ \lambda_{FMi,nS}=(1-F_{FM,safe})\lambda_{FMi,SR}\tag{j} $$

図%%.1
図170.1 Part 10故障分類フローチャート

左矢前のブログ 次のブログ右矢

posted by sakurai on October 16, 2019 #169

Part 10の故障分類フローチャートもPart 5の故障分類フローチャートと同様、故障率データベースや信頼性試験で得られた要素故障率に基づき、故障率を分類していきます。Part 5のフローチャートでは故障率を入力しているものの、数式が無いため定量計算ができませんでしたが、Part 10のフローチャートでは、定量計算を実施します。

  • 左上のボックス(a)から、要素故障率$\lambda$を入力します。全ての部品の全ての故障モードに関する故障率を入力します。
  • 箱(b)において、故障率分配($D_{FMi}$)が掛けられ、故障モードの故障率$\lambda_{FMi}$となります。 $$ \lambda_{FMi}=D_{FMi}\lambda\tag{b} $$

図%%.1
図169.1 Part 10故障分類フローチャート
  • 菱形(c)の判定では、エレメントないし故障モードが安全関連かどうかを判定します。以前にも述べたように、例えばデバッグ回路のように運転中に動作しない場合に限り、非安全関連(No)と分類できます。他の回路は通常、安全関連(Yes)と分類されます。

  • 非安全関連(No)の場合は左下に移動し、箱(d)で$\lambda_{FMi,nSR}$となり、箱(e)で非安全関連フォールトnSR故障率と分類されます。この故障率は分析には使用されません。 $$ \lambda_{FMi,nSR}=\lambda_{FMi}\tag{d, e} $$

  • 一方、菱形(c)で安全関連(Yes)と判定された故障率は、右に移動し、箱(f)で新たに$\lambda_{FMi,SR}$と名付けられます。 $$ \lambda_{FMi,SR}=\lambda_{FMi}\tag{f} $$


左矢前のブログ 次のブログ右矢

posted by sakurai on October 15, 2019 #168

Part 5のフローチャートの次にPart 10 Figure 1を解説します。基本的な流れはPart 5のFigure B.2と同じです。

以下の図にPart 10の故障分類フローチャートの全体図を示します。Part 5の図と違う点は、

  • 個々のボックスに符号(アルファベット)が振ってあり、それによりどのボックスか明確に指示できる
  • 全てのボックスに数式やパラメータが明示されており、どの値をどのように計算するのかが定量的に書かれている

の2点です。

従って、Part 5の故障分類フローチャートは定性的に理解し、Part 10の故障分類フローチャートは定量的に理解することになります。FSマイクロでは、このPart 10の故障分類フローチャートをメインに考えて行きます。

図%%.1
図168.1 Part 10故障分類フローチャート

左矢前のブログ 次のブログ右矢

posted by sakurai on October 14, 2019 #167
  • 前稿で、IFとSMの判定の菱形と説明した判定において、VSGの可能性無し(no)の場合は右側に移動します。さらに、VSGの可能性が有るがSMでカバーされる部分の故障も、下方からここへ合流します。

  • 次の菱形はDPFの可能性が有るかどうかの判定です。ここに来る場合は単独でのVSGの可能性無しのSMの場合ですが、組み合わせてVSGにならない場合はISO 26262の範囲外(No)として右下に移動し、S (Safe Fault)と分類されます。一方、他のフォールト、通常はIFのフォールトとの組み合わせでVSGとなる場合(Yes)は下に移動します。

  • 次の菱形は、レイテントフォールト防止のSMがあるか、あるいはドライバーにより認識されるかどうかの判定であり、どちらかがYesであれば、レイテントフォールトとはなりません。両方共Noの場合、つまりレイテントフォールト防止SMが無く、かつドライバーに認識されなければ左下に移動し、レイテントフォールトMPF,L(LはLatentの意味)と判定されます。一方、どちらかがYesの場合は下に移動します。

  • 次の円形の判断においては、レイテントフォールト防止カバレージの値が問題になります。ここは定量的な質問であり、レイテントフォールトが防止される割合分の故障は下に移動し、MPF,DP(DPとはdetected or percievedの意味)と判定されます。逆に、レイテントフォールトが防止されない割合分の故障は左下に移動し、MPF,L(atent)と判定されます。

図%%.1
図167.1 Part 5故障分類フローチャート

左矢前のブログ 次のブログ右矢


ページ: