次回RAMS 2024に投稿する論文を "Gap Analysis of the Derivation Process of the Probabilistic Metric for Random Hardware Failures in ISO 26262""Bridging the Gap of the Derivation Process in ISO 26262 Probabilistic Metric (PMHF) Formulas" と改題し、アブストラクトを投稿しました。

過去に掲載した論文の実績と予定をアップデートします。

前のブログ 次のブログ

規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。

この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$

$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$

それぞれ、IF, SM1, SM2について説明を示します。

• ミッションタイム：車両寿命$T_\text{lifetime}$です。
• IF：ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
• SM1：ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
• SM2：SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。

前のブログ 次のブログ

今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。

今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。

正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。

前のブログ 次のブログ

次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。

SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。

ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。

ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。

前のブログ 次のブログ

別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。

確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。

次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。

ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。

ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。

$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。

前のブログ 次のブログ

前ページ右下のORゲートから左下への事象です。これはRFの項を表しており、ALUのフォールトカバレージ残余である$1-DC$が接続されています。

ここで確率に着目すれば、 $$ Q=1-DC_\text{1}=0.8=8.00\times10^{-1}より\\ DC_\text{1}=20\% \tag{587.1} $$ と逆算されます。$DC_\text{1}$のような無次元の定数にはミッションタイムは自動掛算されません。

次に同じくORゲートから右下への事象です。これはDPF確率を示すANDゲートです。

このANDゲートの左下への分岐はLFのサブツリーとなっています。

右下への事象はIFのDPFフォールトを表す事象で、具体的にはSM1でVSG抑止された部分である$DC$を示しています。 $$ Q=DC_\text{1}=0.2=2.00\times10^{-1}より、\\ DC_\text{1}=20\% \tag{587.2} $$ となっています。

前のブログ 次のブログ

図585.1が小さいので拡大して見ていきます。まず部分FTのトップのANDゲートです。車両寿命間におけるALUの永久故障確率を表しています。

ANDゲートの左下の事象はALUの永久故障率です。ALUの2つの数字、故障率と確率に着目すれば、本文に$T_\text{lifetime}=5,000[H]$とあることを用いて、 $$ \lambda_\text{IF}=3.48\times10^{-11} および\\ Q=\lambda_\text{IF}T_\text{lifetime}=3.48\times10^{-11}\cdot5.0\times10^{3}=1.74\times10^{-7}\tag{586.1} $$ となります。

事象には故障率$\lambda_\text{IF}$を入力します。ここで故障率は$[H^{-1}]$の次元を持つため、FTAツールがデフォールトのミッションタイム(運用時間)である車両寿命$T_\text{lifetime}$を自動的に掛け、確率$Q$に直して計算します。

注目すべき記号としてLがあります。これはプライオリティを示すもので、Lで示される側のフォールトが後で生起する場合に限定されます。従って本FTはフォールト順序がSM1⇒IFの順であり、冗長性は持たないという前提です。すなわちDPF項には$\frac{1}{2}$が必要です。

トップのANDゲートの右下のORゲートは、ALUの検出されない永久故障と書かれており、SPFとDPFの確率を加算するためのORゲートです。

前のブログ 次のブログ

昨日某社様向けにISO 26262ハードウェアセミナーを実施しましたが、以下のご質問を受けました。

Q「DPFを表すにはIFのフォールトの基事象とSMのフォールトの基事象をANDゲートで結べば良いが、定量FTAによりPMHFを表すには具体的にはどうすれば良いのでしょうか」

これは実務においては重要なノウハウとなります。その理由は規格ではPMHFの目標値がいくらで、それを満足しなければならないと書かれていますが、実際のECUでどのように計算するかにはほとんど言及が無いためです。わずかにPart 10に式が掲載されているに過ぎません。実は1st editionではいくつかの例が掲載されていましたが、2nd editionで削除されています。

結論から言えば、定量FTAでイベントの組み合わせでPMHF式を構築することになります。まず、1st editionに参考になるFT図が掲載されているので、これを子細に見てみます。

左のFT図はALUのフォールトのFTであり2つに分離していたものを組み合わせています。半分より上側のFTがちょうどSPF/RF項を、下側のFTがDPF項を表しています。FTツールではフォールトイベントを確率で表現するため、故障率には指定しなければミッションタイム$T$が自動でかかり、確率として表します。例外はLFの黄色で示すイベントで、ミッションタイムを手で入力し、$\tau$＝定期検査周期としています。

FTは確率$P$を表し、そのまま式で表すと①式となります。PMHF式は車両寿命においてSG侵害確率の時間平均であるため、①を$T$で割ると②の式となります。これはSM⇒IFの順にフォールトが起きる場合のPMHF式と1/2を除き一致します。さらにIF⇒SMの順のフォールトのPMHFを合わせると②となりますが、前提としてIFのフォールトもLFとなる必要があります。これは冗長を意味するものです。

記事の(10.1)に1st editionのPMHF式を掲載していますが、1/2を除き②と一致していることが確認されます。 $$ M_\text{PMHF} = \lambda_\text{RF}+\frac{1}{2}\lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$ これをまとめたものをRAMS 2021に投稿し、採択されたので、以下に場所を示します。

https://ieeexplore.ieee.org/document/9605710

前のブログ 次のブログ

次回のRAMS 2024(国際信頼性学会)は以下のように、2024/1/22～25に米国ニューメキシコ州アルバカーキで開催されます。

弊社代表は、IEEE学会に4年連続5回目(以下にリリース文を示す)の論文採択の実績がありますが、

• ISPCE(国際製品安全学会) 2017採択リリース文
• RAMS(国際信頼性学会) 2020採択リリース文
• RAMS(国際信頼性学会) 2021採択リリース文
• RAMS(国際信頼性学会) 2022採択リリース文
• RAMS(国際信頼性学会) 2023採択リリース文

RAMS(国際信頼性学会)としては5年連続5回目の採択を目指し、"Systematic Faults in the Derivation Process of the Probabilistic Failure Metric (PMHF) in ISO 26262"と題した論文を投稿予定であり、アブストラクトを作成中です。

対象となる論文は以下のブログ記事をまとめたものとなります。

• 規格第2版のPMHF式の疑問(12) - パターン1
• 規格第2版のPMHF式の疑問(13) - パターン2
• 規格第2版のPMHF式の疑問(14)
• 規格第2版のPMHF式の疑問(15)
• 規格第2版のPMHF式の疑問(16)
• 規格第2版のPMHF式の疑問(17)

本論文は、ISO 26262第2版解説書に示された、2nd editionにおけるPMHF式の導出過程を詳細に検討するものであり、結果として4種類11個もの、2nd editionのPMHF式の誤りを検出しています。

以下に例年通り、RAMS 2024採択へのマイルストーンを示します。

前のブログ 次のブログ

RAMS 2023が予定どおり開催中ですが、その初日に当社代表が「Stochastic Constituents for the Probabilistic Metric of Random Hardware Failures (PMHF) in ISO 26262」というタイトルで論文発表を行いました。論文はプレスリリースにもあるように、RAMS 2020で発表した、以下の新PMHF式の傍証となる証明を論文にしたものです。

$$ M_\text{PMHF,IFR}\approx(1-K_\text{IF,RF})\lambda_\text{IF} +K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}T_\text{service}\right],\\ \text{where }K_\text{MPF}:=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF} $$

これは、ブログでは#484～#491でご紹介した「確率コントリビューション」記事に関連するものです。確率コントリビューションをStochastic Constituentsと英訳しました。

発表は図582.2のように"Reliablity Modeling - 1"の2人目で、米国に入国できないためZoomを用いて行いました。時差のため日本時間の夜中の0:45からの開始でした。アプリの時間は日本時間となっています。

以下のように質問を2件受けました。

1Q. 発表ではサブシステムはIFとSMの2つから構成されるサブシステムに対するものだが、他のアーキテクチャでは成立するのか？

1A. サブシステムの安全解析を行う際には、IFに対してそのSMが見えるまで中に入り込みます。従って、(SMが無い場合もあるかもしれませんが、その場合はDC=0とする)全ての場合でIFとSMから構成されると考えます。

2Q. 他の論文ではPMHFの算出にFault Treeを用いているものがある。この論文ではPMHFの算出はマルコフチェインだが、どのような違いがあるのか?

2A. マルコフチェインとフォールトツリーは競合するものではありません。実際に我々の2021年のRAMS論文ではマルコフチェインとフォールトツリーを組み合わせてPMHFを算出しています。ご興味があればRAMS 2021論文をご参照ください。

前のブログ 次のブログ