Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

機能安全課題の解決 (3)

posted by sakurai on April 14, 2023 #597

今回は品質管理部門の設立が重要と考えるので、案2で行くことにします。

ISO 26262に基づく品質管理部門の設立が最重要だと思います。それに対する要件を示してください。

ISO 26262に基づく品質管理部門の設立に必要な要件は、以下のようになります。

  1. 明確な目的と役割:
    • ISO 26262に適合した車載システムの開発・保守を実現する目的を設定
    • 品質管理部門の役割と責任を明確にし、他部門との関係性を定める
  2. 適切な組織構造と人員配置:
    • ISO 26262エキスパートや品質管理責任者を含む適切な人員配置
    • 各プロジェクトと連携し、品質管理部門の業務を効率的に実施できる組織構造
  3. 教育・研修プログラムの実施:
    • 社員に対してISO 26262の基礎から応用までをカバーする教育・研修プログラムを提供
    • 継続的なスキルアップや知識更新を促す仕組みを整備
  4. ガイドライン・手順書の策定:
    • ISO 26262に基づく品質管理プロセスや手順書を策定し、社内で共有
    • 適用範囲や目標、評価基準などを明確にする
  5. 監査・評価体制の構築:
    • 品質管理部門が定期的にプロジェクトのISO 26262遵守状況を監査し、評価を行う体制を確立
    • 改善策の提案や実行に関与し、組織全体の品質向上に貢献
  6. コミュニケーションと連携:
    • 品質管理部門とプロジェクトチーム間の円滑なコミュニケーションを促進
    • ISO 26262関連の情報やノウハウの共有を推進する仕組みを構築

グリーンの入力以下はChatGPTの出力です。


左矢前のブログ 次のブログ右矢

機能安全課題の解決 (2)

posted by sakurai on April 13, 2023 #596

さらにChatGPTに尋ねました。

サブイシューに対する優先順位とその理由を2案提案し、私に選ばせてください。

サブイシューに対する優先順位とその理由を2案提案します。

案1:

  1. ISO 26262の理解
  2. 品質管理部門の設立
  3. 専門家の育成・確保
  4. プロジェクトと品質管理部門との協力
  5. 規格適用の改善

理由:まず、組織全体でISO 26262の理解を深めることが重要です。次に、品質管理部門を設立し、専門家を育成・確保することで、プロジェクトと品質管理部門が連携しやすくなります。最後に、規格適用の改善を行い、効果的なISO 26262適用を実現します。

案2:

  1. 品質管理部門の設立
  2. 専門家の育成・確保
  3. ISO 26262の理解
  4. プロジェクトと品質管理部門との協力
  5. 規格適用の改善

理由:まず、品質管理部門を設立し、専門家を育成・確保することで、組織全体でISO 26262の理解が向上します。次に、プロジェクトと品質管理部門が連携し、規格適用の改善を行うことで、効果的なISO 26262適用を実現します。


グリーンの入力以下はChatGPTの出力です。


左矢前のブログ 次のブログ右矢

機能安全課題の解決

posted by sakurai on April 12, 2023 #595

ある車載システムを開発する会社を想定します。その会社には以下のような問題点があります。これは日本の会社で数多く見られるパターンです。

以下の情報のみから、課題を分析し解決します。分析エンジンにはChatGPT-4を使用し、課題をイシューツリーに分解してそれに対する対策を尋ねました。ChatGPTはそのたびに違う結果を出してくるので、あくまで一例と考えてください。

  • 現状:ISO 26262品質管理部門が無く、事業部のプロジェクトがISO 26262を進めている。そのため理解が浅く、製品への正しい規格適用ができていない。
  • あるべき姿:専門のISO 26262品質管理部門を設ける。事業部のプロジェクトがISO 26262を進めるのは当然だが、それを品質管理部門がチェックすべきである。品質管理部門は専門家としてISO 26262を深く理解する必要がある。

現状とあるべき姿のギャップをイシューとして表現すると、「ISO 26262の適用が不十分であり、専門の品質管理部門が必要」となります。このギャップを分解した要素を20個書き出し、5つのサブイシューにまとめます。

  1. ISO 26262の理解
    • 規格の理解不足
    • 規格適用方法の理解不足
    • 教育・研修の不足
    • 適切な資料・リソースの不足
  2. 品質管理部門の設立
    • 部門設立の必要性の認識
    • 設立責任者の選定
    • 部門の人員配置
    • 設立費用の確保
  3. 専門家の育成・確保
    • 専門家の採用
    • 専門家の育成プログラム
    • 専門家の定着率向上
    • 専門家のスキルアップ
  4. プロジェクトと品質管理部門との協力
    • コミュニケーションの確立
    • チェック体制の構築
    • 品質管理部門の役割と責任の明確化
    • プロジェクトへの品質管理部門の関与
  5. 規格適用の改善
    • ISO 26262適用プロセスの見直し
    • 適用範囲の確認
    • 適用結果の評価
    • 改善策の策定・実行

グリーンの入力以下はChatGPTの出力です。


左矢前のブログ 次のブログ右矢

σ加法族と有限加法族

posted by sakurai on April 11, 2023 #594

σ加法族と有限加法族を調べています。有限加法族にたいして無限和まで制約を厳しくしたものがσ加法族なので、有限加法族のほうが広い概念です。すなわち、

  • σ加法族であれば有限加法族である。
  • 有限加法族であっても σ加法族とは限らない。

そのため、有限加法族であっても σ加法族ではない例があるはずです。そこで、次の記事を参考にしました。https://sorai-note.com/math/algebra-of-sets/

Q 有限加法族であるが、σ加法族で無い例をひとつ挙げよ。

$\mathbb{N}$の部分集合からなる集合族 $$ \mathcal{F}=\left\{S\subseteq\mathbb{N}\mid Sまたは\overline{S}は有限集合\right\} $$ は$\mathbb{N}$上の有限加法族であることを示す。

  1. 空集合を含む:
    空集合$\varnothing$は有限集合であるから$\varnothing\in\mathcal{F}$
  2. 補集合で閉じること:
    $A\in\mathcal{F}$とすると、$\mathcal{F}$の定義より、$A$または$\overline{A}$のどちらかが有限集合。
    (i) $A$が有限集合のとき
    $\quad\overline{\overline{A}}$が有限集合なので、$\overline{A}\in\mathcal{F}$
    (ii)$\overline{A}$が有限集合のとき
    $\quad\mathcal{F}$の定義より、$\overline{A}\in\mathcal{F}$
  3. 有限和で閉じること:
    $A, B\in\mathcal{F}$とする。$A$または$\overline{A}$のどちらかが有限集合であり、$B$または$\overline{B}$のどちらかが有限集合。
    (i) $A$も$B$も有限集合のとき
    $\quad A\cup B$が有限集合となるので、$A\cup B\in\mathcal{F}$である。
    (ii)$\overline{A}$または$\overline{B}$が有限集合のとき
    $\quad\overline{A}\cap\overline{B}$が有限集合、すなわち$\overline{A\cup B}$が有限集合なので、$A\cup B\in\mathcal{F}$である。

ここまでで$\mathcal{F}$は有限加法族であることが証明された。次に$\mathcal{F}$が加算和で閉じないことを示す。各$n\in\mathbb{N}$に対し、$A_n={2n}$とすると、これらは有限集合なので、$A_n\in\mathcal{F}$であるが、 $$ \bigcup_{n\in\mathbb{N}}A_n=\{2n\mid n\in\mathbb{N}\}=\{0, 2, 4, 6, ...\} $$ は無限集合であり、その補集合 $$ \overline{\bigcup_{n\in\mathbb{N}}A_n}=\{2n+1\mid n\in\mathbb{N}\}=\{1, 3, 5, 7, ...\} $$ も無限集合である。従って、$\bigcup_{n\in\mathbb{N}}A_n\notin\mathcal{F}$となる。


左矢前のブログ 次のブログ右矢

従属故障の実例

posted by sakurai on April 10, 2023 #593

"Reliability Assessment of Safety and Production Systems"から従属故障の例を引用します。

Example 5.1 アポロ13号の月着陸船には、2つの酸素タンクが用意されていた(Jones 2016)。 1970年4月13日、1つの酸素タンクが爆発し、その爆発で2つ目の酸素タンクも破壊され、ミッションの失敗を招いた。3人のクルーは無事に地球に帰還することができた。2基目のタンクの故障はカスケード故障である。

図%%.1
図593.1

Example 5.2 1974年3月3日、パリ郊外のエルムノンヴィルの森にマクドネル・ダグラス社製飛行機DC-10が墜落した(JO 1976)。 この航空機の貨物ドアは、圧力で外側に開くように設計されていたが、圧力で各貨物扉をロックする特定のラッチ機構を備えていた。離陸後、ラッチシステムの1つが故障し、後部左の貨物ドアが開いた。客室の床の一部が飛び出した。 しかし、そのような状況でもパイロットは機体の制御を維持することができた。残念なことに、すべての冗長制御ケーブルが損傷した床の下を通っていたため、パイロットは空中で機体を制御することがでなかった。 346人が死亡した。 適切なゾーン分析が行われていれば、冗長制御ケーブルが同じ場所にあることが判明していたはずである。従って、設計を変更していれば、航空機が制御不能に陥ることはなかったはずである。

図%%.2
図593.2

Example 5.3 1979年3月28日、スリーマイル島原子力発電所の2号機で事故が発生し、炉心が一部メルトダウンした(Rogovin and Frampton 1979)。 これは、機器の不具合、設計上の問題、人為的なミスが重なった結果であった。このうち、加圧弁の位置が定期的なプルーフテスト後にずれていたことは、ヒューマンエラーによる共通原因故障の典型例と言える。人身事故はなかったが、この事故は人為的な原因による失敗の教科書的な事例として語られることが多い。このような事故が起こる確率を下げるには、オペレーターの訓練が必要である。

図%%.3
図593.3

Example 5.4 バイキング・スカイは2016年に就航したクルーズ船である(Wikipedia Viking Sky 2019)。 暴風雨警報が発令されていたにもかかわらず、トロムソからスタバンゲル(ノルウェー)に向けて2019年3月23日に1,373人を乗せた状態で航行していたところ4基のエンジンに不具合が発生した。 潤滑油の油圧が低下したことが4つのエンジンが停止した共通の原因である。 荒れたコンディションのため救助は困難であった(これも共通の原因!)。 3月24日の夜、3つのエンジンが再始動する前に、470人の乗客がヘリコプターで避難した。その後バイキング・スカイ号は再び航行できるようになった。 3人の重傷を含む16人が負傷した。 共通のユーティリティ(ここでは潤滑装置)を避けることは、故障のこのような共通原因を防ぐための良い方法である。

図%%.4
図593.4
これらの挿絵はMicrosoft EdgeのImage Creatorで作成しました。

左矢前のブログ 次のブログ右矢

posted by sakurai on April 7, 2023 #592

次回RAMS 2024に投稿する論文を "Gap Analysis of the Derivation Process of the Probabilistic Metric for Random Hardware Failures in ISO 26262""Bridging the Gap of the Derivation Process in ISO 26262 Probabilistic Metric (PMHF) Formulas" と改題し、アブストラクトを投稿しました。

表592.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(システム入力) 投稿済
2023/6/10 アブストラクト採択結果
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2023/9/1 第1回論文、プレゼン資料査読コメント受領
2023/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2023/10/22 最終査読コメント受領
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

過去に掲載した論文の実績と予定をアップデートします。

表592.2 PMHF論文の実績と予定表
No. 学会 論文タイトル 内容 採択/未
1 2017 ISPCE Generalized formula for the calculation of a probabilistic metric for random hardware failures in redundant subsystems PMHF式を初めて冗長系に拡張し提案 採択
2 2020 RAMS Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262 PMHF式を初めて理論的に導出、提案 採択
3 2021 RAMS A Framework for Performing Quantitative Fault Tree Analyses for Subsystems with Periodic Repairs 理論的に導出したPMHFのFTA構成法 採択
4 2022 RAMS Formulas of the Probabilistic Metric for Random Hardware Failures to Resolve a Dilemma in ISO 26262 LFMと整合するPMHF式の導出、提案 採択
5 2023 RAMS Stochastic Constituents for the Probabilistic Metric for Hardware Failures 確率構成要素を用いたIFRモデルの証明 採択
6 2024 RAMS Gap Analysis of the Derivation Process of the Probabilistic Metric for Random Hardware Failures in ISO 26262
Bridging the Gap of the Derivation Process in ISO 26262 Probabilistic Metric (PMHF) Formulas

Identifying and Rectifying the Potential Faults in Probabilistic Metric (PMHF) Formula in ISO 26262
2nd editionのPMHF式の誤りと正確なPMHF式の提案 アブストラクト投稿済
7 2025 RAMS 未定 Q(t)の導出
8 2026 RAMS 未定 Q-FTAのEPSにおける実例
9 2027 RAMS 未定 EOTTIの導出


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (7)

posted by sakurai on April 6, 2023 #591

規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。

図%%.1
図591.1

この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$

$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$

それぞれ、IF, SM1, SM2について説明を示します。

  • ミッションタイム:車両寿命$T_\text{lifetime}$です。
  • IF:ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
  • SM1:ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
  • SM2:SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。

左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (6)

posted by sakurai on April 5, 2023 #590

今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。

図%%.1
図590.1 規格1st editionのFTA図構成

今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。

正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (5)

posted by sakurai on April 4, 2023 #589

次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。

SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。

図%%.1
図589.1 規格1st editionのFTA図構成

ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。

ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。


左矢前のブログ 次のブログ右矢

定量FTAによるPMHF計算法 (4)

posted by sakurai on April 3, 2023 #588

別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。

図%%.1
図588.1 規格1st editionのFTA図構成

確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。

次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。

図%%.2
図588.2 規格1st editionのFTA図構成

ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。

ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。

$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。


左矢前のブログ 次のブログ右矢


ページ: