 |
12 |
RAMS 2022採択へのマイルストーン (3) |
 |
予定どおり、9/15までに査読に対応した修正を登録しました。
| 年月日 | マイルストーン | 状態 |
|---|---|---|
| 2021/8/1 | 論文、プレゼン投稿締め切り(名前、所属無し版) | 済 |
| 2021/9/1 | 第1回論文、プレゼン資料査読コメント受領 | 済 |
| 2021/9/15 | 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) | 済 |
| 2021/?/? | 学会出席登録締め切り | |
| 2021/10/1 | 最終査読コメント受領 | |
| 2021/10/10 | 最終論文、プレゼン投稿締め切り(名前、所属有り版) |
|
1 |
RAMS 2022採択へのマイルストーン (2) |
|
予定どおり、8/31にレビュー者3名によるレビュー結果を受領しました。次のマイルストーンは9/15までにその対応の修正を登録することです。
表433.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。
| 年月日 | マイルストーン | 状態 |
|---|---|---|
| 2021/8/1 | 論文、プレゼン投稿締め切り(名前、所属無し版) | 済 |
| 2021/9/1 | 第1回論文、プレゼン資料査読コメント受領 | 済 |
| 2021/9/15 | 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) | |
| 2021/?/? | 学会出席登録締め切り | |
| 2021/10/1 | 最終査読コメント受領 | |
| 2021/10/10 | 最終論文、プレゼン投稿締め切り(名前、所属有り版) |
|
10 |
MPF detectedの別の考え方 |
|
MPF detectedは謎のフォールトと言えます。定義としては単純で、1st SMにより検出され、VSGから抑止されたフォールトです。抑止されなければVSGの可能性があるということは、IFのフォールトであることを意味します。
この単純なフォールトがなぜ謎なのかと言えば、MPF detectedが検出された後の対処が規格に書かれていないためです。他のフォールトとの組み合わせでVSGとなるようなDPFについては、2nd SMにより検出されLFになるのを抑止される場合には修理されることが書かれています。
そのため、MPF detectedが検出された後の対処は修理されるかされないかの2つの可能性が存在します。まず自然な解釈として、そのまま放置される解釈があります。
修理されなければ通常はそのまま放置され、しかるべき時間の後に他のフォールトとの組み合わせによりDPFとなります。これはLFとなることを意味します。式で書けば、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})+\Pr(\text{DPF,detected})$$ この考えに基づきPMHF計算を実施したものが、論文[1]です。これには問題があり、LFMの定義式を見てもMPF detectedはMPF latentとは区別されているので、LFMの定義と不一致となります。
修理されればそれは再び運転可能となります。従って、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ この考えに基づきPMHF計算を実施したものが、論文[2]です。この考えではLFMとは矛盾しませんが、車に修理者が乗車しており、いかなる時点での故障も直ちに修理する必要があります。論文[2]は、この点をプロージブル(もっともらしい)なシナリオを考えて解決したものです。
さらに別の考え方として、修理はされないがDPFにならないとする考え方もあります。具体的には、修理はされないが、運用を停止する等です。この場合は運用が継続されないので、確率としては分母から引く必要があります。 $$\Pr(\text{VSG})=\frac{\Pr(\text{SPF})+\Pr(\text{DPF,latent})}{1-\Pr(\text{DPF,detected})}\\ \approx(\Pr(\text{SPF})+\Pr(\text{DPF,latent}))(1+\Pr(\text{DPF,detected}))\\ \approx\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ 確率の2乗は非常に小さくなるため、近似をとれば2.と変わりません。
|
29 |
PMHF関連資料の渉猟 (2) |
|
次の資料は、「車載用半導体デバイスにおける機能安全 (ISO26262)への取組み」です。
PMHFに関しては次のような記述があります。
次に故障率に関してであるが,前述のメトリクス計算に加え,もう一つの数値化要素である安全目標の侵害確 率分析にこの故障率が採用される.(表 5)
まず誤りはPMHFのことを「故障率」と呼んでいますが、規格にもわざわざ章を設けて、故障率とPMHFは同じ単位を用いるが異なるものであることを説明しているので、誤りです。PMHFとは安全目標侵害確率の時間平均です。
続く文章で、
詳細は割愛するが,主に潜在故障(λRF:Residual Fault)で構成される本分析は,まさに安全目標を侵害する確率を一定の故障率如何に抑える事が目的である .
この文には3点誤りを含みます。
1つ目はRFを潜在故障と訳していることです。RFは残余故障です。で、文意はPMHFの構成を示しているため、残余故障率と修正するのが適切です。なぜならPMHFにおいて、LFも関係するものの、数値的に主な(おおむね95%以上の)構成要素はλRFであるからです。
2つ目はtypoの部類であり、一定の故障率以下に抑えると修正するべきです。前者もtypoといえそうですが、故障分類の理解度にも関わるのでtypoとは言えません。
3つ目は、確率と故障率を同一視していますが、両者は単位が異なるので、同一視できません。
|
28 |
PMHF関連資料の渉猟 |
|
検索においてPMHFと入力すると様々な資料が入手できますが、「未来の輸送システムに向けた安全で 堅牢な機能安全システム・ベース・チップ(SBC)」(NXP)という資料を見ていきます。
安全検出機構(モニタリング機能)のLFM(Latent Fault Metric:潜在的故障の評価指標)故障は、単一故障と同時に発生した場合にアプリケーションの安全目標の違反につながる可能性があります(ASIL Dの場合は90%以上)。BIST等で検出されない潜在的故障モードの残りのFITを使用して、同じ方法をLFMに適用します
何点かある誤りにお気づきでしょうか?まず誤りポイントは、「LFM故障」というところです。LFMはメトリクスであり、故障ではありません。LFが故障なので、LF故障の目標値がLFMです。
従って、ここはLFMではなく、LF(潜在故障/フォールト)に修正する必要があります。
次に、誤りポイントは「同時に発生した」というところです。数学的に故障が同時に発生する確率は、ほぼ確実にゼロです。LFの定義としては、第1のフォールトが発生している状況で時間が経過し、他の単一フォールトが起きそれにより安全目標侵害となる、最初のフォールトがLFです。ちなみに、2番目のフォールトはDPFです。
細かいことを言えば、
潜在的故障モードの残りのFITを使用して
は意味が良くわかりませんが、SPFMのほうを見ると1から引くことを残りと言っているようです。残りというと残余故障を想像しがちですが、ここでは別の意味のようです。
さて、問題のPMHFについては以下のように記述されています。
PMHFは、アプリケーションのライフタイム(自動車では最低15年)に対してSPFMとLFMから算出されます。
PMHFはSPFMとLFMからは計算できないので、誤りです。
|
15 |
【速報】RAMS 2022に弊社代表のアブストラクトが採択 |
|
前稿でご紹介した、2022年1月24日からアリゾナ州ツーソンのヒルトンホテルで開催される予定のRAMS 2022(68th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだ正式採択ではないため、8月の締め切りに向け論文をブラッシュアップしていくことになります。
表421.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。
| 年月日 | マイルストーン | 状態 |
|---|---|---|
| 2021/8/1 | 論文、プレゼン投稿締め切り(名前、所属無し版) | |
| 2021/9/1 | 第1回論文、プレゼン資料査読コメント受領 | |
| 2021/?/? | 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) | |
| 2021/?/? | 学会出席登録締め切り | |
| 2021/?/? | 最終査読コメント受領 | |
| 2021/10/10 | 最終論文、プレゼン投稿締め切り(名前、所属有り版) |
|
21 |
EOTTIの考え直し (3) |
|
前稿において、ようやくSM1にEOTTI制約がある場合についての$M_\text{PMHF}$が求められたので、今回は以前のブログ記事にならい、非冗長におけるEOTTIの制約を求めます。ただし、MPFDIを定めないとEOTTIが定まらないという制約があるので、MPFDIを100H, 10H, 1Hのように振ってみます。
さて、非冗長であることから(385.1)に$K_\text{IF,det}=1$を代入し、 $$ \begin{eqnarray} M_\text{PMHF}&=&(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF})\lambda_\text{IF}+\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\alpha \end{eqnarray}\tag{386.1} $$ ただし、 $$ \alpha:=\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}] $$ となります。よって、EOTTIの最大値は、 $$ \frac{M_\text{PMHF}-\lambda_\text{IF}}{\alpha-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\frac{M_\text{PMHF}-\lambda_\text{IF}}{\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}]-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{386.2} $$ で求められます。
規格に記述されている数値を入れてみたところ、矛盾が起きました。その理由は規格が誤ったPMHF方程式に基づいているためのようです。従ってEOTTIの最大値を具体的な数値について議論することは断念しました。
なお、本稿はRAMS 2027に投稿予定のため一部を秘匿していますが、論文公開後の2027年2月頃に開示予定です。
|
20 |
EOTTIの考え直し (2) |
|
前稿において、
(a) OPR$\rightarrow$SPF
が求められましたが、結果として$K_\text{IF,RF}$に対して$\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}$を代入した形となりました。よって、
(b) LAT2$\rightarrow$SPF
(c) LAT2$\rightarrow$DPF
(d) LAT1$\rightarrow$DPF
残りの(b), (c), (d)を同様に求めます。過去記事のPMHF結果式(373.1)において、上記を代入し、 $$ \begin{eqnarray} M_\text{PMHF}&=&\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\right)\lambda_\text{IF}+\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\color{red}{K_\text{IF,det}}\alpha+2\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\text{IF,RF}\color{red}{(1-K_\text{IF,det})}\beta\\ &=&\img[-1.35em]{/images/withinseminar.png}\\ \end{eqnarray}\tag{385.1} $$ ただし、 $$ \begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}],\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}T_\text{mpfdi}],\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \end{eqnarray} \end{cases} $$ となります。
以上の議論は、EOTTI時間間隔とMPFDI時間間隔の比に依存すると単純化してきましたが、実際にはIFのフォールトは図385.1のように生起します。
良く考えると、IFの1点フォールトでレイテントとなり、定期検査で修理されて正常に戻る図385.1の動作は、以前のMPF detectedがレイテントであった頃と変わりません。IFでのフォールト生起から検査・修理までの時間間隔においてSM1にフォールトが発生するとDPFとなるためです。従って、この条件でPMHFを求めると、元に戻って(LFMとは矛盾を起こすようにはなるものの)求められたPMHF式に、EOTTIの効果を入れれば良いことになります。
なお、本稿はRAMS 2027に投稿予定のため一部を秘匿していますが、論文公開後の2027年2月頃に開示予定です。
|
19 |
EOTTIの考え直し |
|
従来はMPF detectedはnon faultyでしたが、今回EOTTIの導入に伴い、SM1の時間制約としてのEOTTI後に、VSG抑止の時間切れとなることからSPFとするように変更しました。従って、MPF detectedといえどもSPF計算に関係してきます。 前稿#369を参照し、OPRからSPFへの平均PUD(66.13)を計算します。
OPRからSPFへの平均PUDは、 $$ \overline{q_{\mathrm{SPF(a),IFU}}}=\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{SPF\ via\ (a)\ at\ }T_\text{lifetime}\}\tag{384.1} $$ ここで、表368.1より、IF non preventableのupは(2)及び(4)のうちEOTTIでカバーされない分=miss分=(383.1)、の2排他条件であるため、 $$ \begin{eqnarray} (384.1)&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\left(\mathrm{OPR_\overline{prev}\ at\ }t\cup\mathrm{OPR_\text{prev}\ at\ }t\cap miss\right)\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ & &+\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\left(\mathrm{OPR_\overline{prev}\ at\ }t\cap miss\right)\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\overline{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\}\\ & &+\frac{\Pr\{miss\}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\text{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\text{prev}\ at\ }t\}\\ \end{eqnarray} \tag{384.2} $$ 前稿#369の(369.5)より、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\overline{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\mathrm{IF,RF})R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.3} $$ さらに、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_{prev}\ at\ }t\}\Pr\{\mathrm{OPR_{prev}\ at\ }t\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}K_\mathrm{IF,RF}R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.4} $$ は明らかであるから、これらを(384.2)に代入して、 $$ \require{cancel} (384.2)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-\bcancel{K_\text{IF,RF}})+K_\text{IF,RF}\left(\bcancel{1}-\frac{T_\text{eotti}}{T_\text{mpfdi}}\right)\right]R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\text{IF,RF}\right)R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.5} $$ よって、(103.6)の結果を用い、$\tau=T_\text{mpfdi}$であるから、 $$ \begin{eqnarray} (384.5)&\approx&\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\right)\lambda_\mathrm{IF}-\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\right)\alpha\\ &=&\img[-1.35em]{/images/withinseminar.png}\\ & &\text{ただし、} \alpha:=\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}\left[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}\right] \end{eqnarray} \tag{384.6} $$
MPFDIに対してEOTTI分だけSM1のカバレージが減少すると解釈すると、SM1のEOTTIの制約に対して理屈に合っています。
なお、本稿はRAMS 2027に投稿予定のため一部を秘匿していますが、論文公開後の2027年2月頃に開示予定です。
|
15 |
EOTTIとは (3) |
|
以下は、$T_\text{mpfdi}\gt T_\text{eotti}$の場合に限ります。反対に、$T_\text{mpfdi}\le T_\text{eotti}$の場合は必ずEOTTI中に検査・修理が含まれるためSPFとなることはないので、MPF detectedは過去記事のようにup状態となります。
PMHF式の修正が必要
SM1にVSG抑止の制約時間であるEOTTIが存在する場合は、CTMCの遷移条件が異なってきます。それにより、結果として得られるPMHF方程式が変わってきます。
CTMC遷移条件が変更⇒平均PUD微分方程式が変更⇒結果PMHF方程式が変更
MPFDIとEOTTIの性質の違い
過去記事のように、MPFDIとEOTTIは相反する時間制約であることから、相互に入れ替えることはできません。
図383.2に$T_\text{mpfdi}\gt T_\text{eotti}$の場合のMPFDIとEOTTIの関係を示します。MPFDIの周期は検出・修理周期です。これを固定し、EOTTIをずらして行くと、(1)~(2)まではEOTTI中に検出・修理は入らないため、この期間はミス期間(長さ=MPFDI-EOTTI)となります。一方、(3)~(4)まではEOTTI中に検出・修理が含まれるので、この期間はヒット期間(長さ=EOTTI)となります。
なお、本稿はRAMS 2027に投稿予定のため一部を秘匿していますが、論文公開後の2027年2月頃に開示予定です。
