Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

安全機構の効果

posted by sakurai on December 30, 2022 #577

半導体開発の試験時には通常Biult In Self Test (BIST)を用います。BISTにはLogic-BISTとMemory-BISTがあり、動作が異なります。Logic-Bistは論理の形式と全く無関係にスキャンF/Fを数珠繋ぎにし、長大なシフトレジスタと見立てます。内部回路のATPGからデータパタンを入れ、内部回路が設計どおりに動作するかを外部端子で確認します。シリアルで確認するために時間がかかることが難点です。Memory-BISTはテストパターンとして全ビットに0/1を書いてから読み出し、正しく0/1になっているか、あるいは0, 1をチェッカーボードパターンと呼ばれる交互に書き込み、読み出す方法等があります。いずれもテスタを用いずに内部的にパターンジェネレータを搭載します。

通常のLSIの試験にはテスタが用いられますが、BISTはテスタからのパタンジェネレータが内蔵されているため、運用時の故障検出に使いたくなります。もし安全機構として使用できれば、リアルタイムに故障検出ができることになります。故障検出率は高いものの、2点問題があります。それはFTTI中に実行しなければならない問題と、I/Oや動作に厳しい制約がかかる点です。

まず1st SMとして主張するためには、故障検出はFTTI中に実行しなければなりません。従って、Key-ON/OFF時のBISTチェックではこれを守れません。従って通常は2nd SMという扱いになります。他方、無理やりFTTI中に実行する設計にした場合は、次の問題に引っ掛かります。それは、L-BISTにしろM-BISTにしろ、F/Fやメモリの内容を基本的には全て破壊するため、車両システムから切り離して実行する必要があります。例えば、F/Fやメモリの内容が変化しても正常状態に影響を与えない工夫、FTTI中に元の値に戻す工夫、さらにはI/Oが変化しても車両に伝えないようにする工夫等が必要になり、非常に困難です。例えば冗長サブシステムの片側だけを交互に行えばできるかもしれません。そうだとしても、FTTI中に検出するためには2倍の速度で交互に検査する必要があります。

従って、L-Bist、M-BistはKey-ON/OFF時にのみ使い、2nd SMという扱いにするのが常道と言うことができます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 26, 2022 #539

図%%.1

On October 22, 2022, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Head Office: Nagoya, Japan), a leading provider of functional safety (Note 1) consulting services, was formally accepted by RAMS (Note 2) 2023, an international conference on reliability organized by IEEE (Note 3). This is the fourth consecutive year that the author's paper has been accepted to RAMS. The author also received the Best Paper Award at the 14th ISPCE 2017 (Note 4), an international conference hosted by IEEE in 2017.

RAMS 2023 is scheduled for January 23-26, 2023, at the Florida Hotel and Conference Center in Orlando, Florida, USA.

図%%.2

In 2018, the second edition of ISO 26262 (Note 5), the international standard for functional safety in automotive electronics, was published, and the PMHF (Note 6) equation was also revised. At RAMS 2020, the author clarified the mathematical background of the PMHF formula and proposed a new PMHF formula with which optimal values can be calculated.

This paper re-proves the author's PMHF formula by using the newly proposed stochastic constituents. Specifically, the PMHF formula in ISO 26262 Edition 1 is decomposed into stochastic constituents by considering the combined elements of the intended function and the safety mechanism, and the PMHF formula is proved to be the PMHF formula in the case where the intended function and the safety mechanism are repairable. This makes it possible to prevent overestimation of the PMHF, which has been seen in the past. As a result, it is expected to reduce design man-hours and time-to-market for fault-tolerant systems (Note 7), as represented by self-driving systems.

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures.
Note 2: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 3: RAMS stands for The 69th Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: ISO 26262 is a functional safety standard for in-vehicle electrical and electronic systems, an international standard that aims to reduce the possibility of dangerous events to an acceptable level occurring during vehicle operation due to malfunctions of in-vehicle electrical and electronic systems.
Note 6: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 7: Fault-tolerant systems are safety-enhancing systems that can substitute the original function without immediately losing the function in the event of a failure.


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2022 #538

図%%.1

機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社:名古屋市)代表取締役社長 桜井 厚の論文が、2022年10月22日、IEEE(注2)主催の信頼性に関する国際学会であるRAMS 2023(注3)に正式採択されました。同著者の論文がRAMSに採択されるのは4年連続となります。また同著者は、2017年にIEEE主催の国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しています。

RAMS 2023は、2023年1月23日から26日まで米国フロリダ州オーランドのフロリダホテルアンドカンファレンスセンターにて開催される予定です。

図%%.2

2018年に車載電子機器における機能安全の国際規格であるISO 26262(注5)第2版が発行され、併せてPMHF(注6)式も改訂されました。同著者はRAMS 2020において、このPMHF式の数学的な背景を明らかにし、最適値が算出可能な新しいPMHF式を提案しました。

本論文は、新提案の確率的構成要素を用いることで、同著者の提唱するPMHF式を再度証明したものです。具体的には主機能と安全機構の合体エレメントを考えることで、ISO26262第1版におけるPMHF式を確率的構成要素に分解し、主機能と安全機構が修復可能な場合におけるPMHF式となることを証明しました。そのため、従来見られたPMHFの過剰見積りを防止することが可能となります。これにより、自動運転システムに代表される耐故障システム(注7)の設計工数の削減と市場投入期間の短縮が期待されます。

【お問い合わせ先】
商号      FSマイクロ株式会社
代表者     桜井 厚
設立年月日   2013年8月21日
資本金     3,200万円
事業内容    ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地   〒460-0011
        愛知県名古屋市中区大須4-1-57
電話      052-263-3099
メールアドレス info@fs-micro.com
URL      http://fs-micro.com/

【注釈】
注1:機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方
注2:IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略称。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注3:RAMS(ラムズ)2023はThe 69th Annual Reliability & Maintainability Symposiumの略称。IEEE信頼性部会が主催する、信頼性工学に関する国際学会 http://rams.org/
注4:ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略称。IEEE製品安全部会が主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5:ISO 26262とは車載電気・電子システムに関する機能安全規格であり、自動車の運行中に車載電気・電子システムの故障により危険な事象が起きる可能性を、許容できる範囲にまで減少させることを目的とした国際規格
注6:PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略称。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262のハードウェアに関する設計目標値のひとつ
注7:耐故障システムとは、故障した場合に直ちに機能を失うことなく、本来の機能を代替可能な安全性向上のためのシステム


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2022 #537

10/22に最終論文を提出するようにRAMS委員会から返答がありました。10/25に最終論文及びプレゼン資料を登録し、これで正式採択となります。

RAMS 2023は2023年1月にフロリダ州オーランドで開催予定ですが、CDCによる入国制限が今だ継続しており、米国入国が可能かどうかは現段階では不透明です。なお、入国できない場合は録画等で発表予定です。

表537.1 RAMS 2023へのマイルストーン
期限 マイルストーン 状態
2022/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/9/12022/9/27 第1回論文、プレゼン資料査読コメント受領 受領済
2022/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/10/22 最終査読コメント受領 受領済
2022/10/10 学会出席登録締め切り 登録済
2022/10/102022/10/25 最終論文、プレゼン投稿締め切り(名前、所属有り版) 登録済


左矢前のブログ 次のブログ右矢

PMHFの誤解 (10)

posted by sakurai on October 14, 2022 #530

故障分類フローでの検証 (続)

前稿で規格の故障分類フローの箱(p)まで見たので、その続きを確認します。

図172.1
図172.1 Part 10故障分類フローチャート(再掲)
次の箱は(q)で、

Fraction of faults that the safety mechanism prevents from directly violating the safety goal?

安全機構が安全目標に直接違反することを防いだフォルトの割合?

とあります。ここに来たフォールトはVSGを起こします。ここから右と下の枝の違いはSMがそれを防いだかどうか(ゼロイチではなく割合)です。

VSGを防げない部分の割合を故障率$\lambda_\text{FMi,PVSG}$にかけて下の箱(r)、(s)へ移ります。これが残存フォールト$\lambda_\text{FMi,RF}$の箱(s)です。ということで、直接侵害する故障のうち、安全機構でカバーされない部分は残存フォールトだという結論です。マルチプルポイントフォールトではありません。

被引用論文の調査

ここで、「研究成果報告書」の引用元論文であるPMHF式の誤り論文$\dagger$を再度確認したところ、そこにも同じ図526.1の表が有り、全てMPFと分類されていました。そのため元論文$\dagger$から表を引き写したための誤りと判明しました。当該箇所を引用すれば、

Note that each fundamental building block in our exemplary safety microprocessor is protected with SM. This causes every hardware failure mode is classified as MPF. As the result, the summation of the single-point fault and the residual fault is zero.

各基本構成要素はSMで保護されている。 このため、すべてのハードウェア故障モードがMPFに分類される。その結果、一点故障と残留故障の和はゼロになる。

とあり、結論として元論文$\dagger$の2個目の誤りがそのまま引き継がれたようです。まとめれば、元論文$\dagger$には

  1. PMHF式のDPF項を過剰に見積もる(故障率が2乗されていない)誤り
  2. 故障分類において残存フォールトを全てマルチプルポイントフォールトと勘違いする誤り

の二重の誤りが存在しており、それが「研究成果報告書」をカスケード故障させたということになります。元の誤りは罪深く、その引用だけでも4~5本ほどあり、さらに今後孫引きされることを考えると、増殖する害虫を見るようで憂慮するばかりです。


$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.


左矢前のブログ 次のブログ右矢

PMHFの誤解 (9)

posted by sakurai on October 13, 2022 #529

故障分類フローでの検証

念のため残存フォールトとなるかどうか、過去記事でも解説した故障分類フローを用いて確認します。

図171.1
図171.1 Part 10故障分類フローチャート(再掲)

図172.1の上方の箱(k)において、

Fraction of faults that in absence of a safety mechanism have the potential to dicrectry violated the safety goal?

安全機構が無い場合、安全目標に違反する可能性のある故障の割合は?

この表現が誤解の元かもしれませんが「安全機構が無い場合」とは、安全機構が配備されていない場合ではありません。安全機構を仮に無いものとすることを示しています。実はこの箱(k)でやりたいのは主機能か、安全機構かの見極めです。

もし安全機構の配備であれば、安全目標を直接侵害せず(no potential)、全てのエレメントが安全機構と判定されてしまうので、仮に安全機構を取り除いて考えます。そうすると、主機能であれば安全機構が配備されていても、仮に無いものと考えると安全目標を直接侵害するため、下の箱(l)に移ります。

このように、先の引用(k)の"in absence of a safety mechanism"が安全機構が無い場合と間違い易いのですが、安全機構の有無を判断するのは次のひし形の箱(m)です。

Are there safety mechanisms in place to control faults for at least one failure mode of the element (yes/no)?

エレメントの少なくとも1つの故障モードに対して、故障を制御する安全機構があるか(yes/no)?

ここでは安全機構の配備の有無を聞いています。これで分かるように、もし箱(k)が安全機構の有無であって、無い場合に下のひし形の箱(m)に来たなら、再度安全機構の有無を聞くのはおかしいはずです。


左矢前のブログ 次のブログ右矢

PMHFの誤解 (8)

posted by sakurai on October 12, 2022 #528

どこが誤りの起点かを調査します。まず、前稿の図527.2において、「研究成果報告書」を引用していますが、

3.1項の(15)のシングルポイント故障の定義の備考2に示されているように、安全機構が定義されている場合、シングルポイント故障にならないので、全ての故障モードはマルチプルポイントフォールトに分類される

とあります。これは誤りです「研究成果報告書」における規格の引用箇所を確認します。

図%%.1
図528.1 シングルポイント故障の定義(「研究成果報告書」の規格の引用箇所)

たしかに規格には「シングルポイントフォールトとならない」とありますが、とはいえマルチプルポイントフォールトには絶対になりません。その理由は最初の部分に書かれているように、安全目標を直接侵害するフォールトだからです。マルチプルポイントフォールトの定義は、別のエレメントのフォールトとの組み合わせにより安全目標侵害(VSG)となるフォールト、つまり安全目標を直接侵害しないフォールトです。

実際には図528.1備考1にもあるとおり、安全機構がある場合はシングルポイントフォールトにはならずに、残存フォールトとなります。「研究成果報告書」における規格の引用箇所を確認します。

図%%.2
図528.2 残存フォールトの定義(「研究成果報告書」の規格の引用箇所)

以上まとめると、「研究成果報告書」の筆者は故障分類フローを見ておらず、シングルポイントフォールトでなければマルチプルポイントフォールトだという思い違いにより、残余フォールトが全てゼロという結果となったと考えられます。

ところがこの文章の前に故障分類フローも記述されていました。であれば、この誤りはどこから来たのでしょうか?


左矢前のブログ 次のブログ右矢

PMHFの誤解 (7)

posted by sakurai on October 11, 2022 #527

過去記事で財団法人日本電子部品信頼性センター発行の「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」におけるPMHF式の誤りを指摘しました。それは例のPMHF式の誤り論文$\dagger$から来ているものでした。

指摘した記事の最後に、

もっとも$\lambda_\text{SPF/RF}$がゼロならDPF項は必ず100%ですが、そもそも$\lambda_\text{SPF/RF}$がゼロという点が信じられません。その理由はDPF項は経験的に3%未満だからです。

とありますが、なぜ$\lambda_\text{SPF/RF}$がゼロになるかの原因を調べました。すると驚くべきことが分かりました。全てのフォールトがMPFに分類されているため$\lambda_\text{SPF/RF}$がゼロとなっています。この「研究成果報告書」の当該部分を図527.1に示します。

図%%.1
図527.1 「研究成果報告書」の表
弊社で黄色い囲み線を加えましたが、全てのフォールトがMPFとなっていますが、本来はRFのはずです。このようになった理由を調べたところ、当該の表の前に
図%%.2
図527.2 「研究成果報告書」の引用

との記述がありました。通常SMが付いている回路がほとんどなので、この記述に従えば全ての回路のRFがゼロになってしまいます。これは故障分類の誤りであり、「安全機構が定義されている場合...残存フォールトは0になる」という記述では、いかなるSMでもカバレージは常に0%になってしまいます。

安全機構がある場合、一旦取り除いて考えるのが機能安全の基本です。


左矢前のブログ 次のブログ右矢

PMHFの誤解 (6)

posted by sakurai on October 7, 2022 #526

また、別の論文 "Safety-Oriented System Hardware Architecture Exploration in Compliance with ISO 26262"において、PMHF式の問題点を発見しました。この論文も例のPMHF式の誤り論文$\dagger$を下敷きにし、誤りを再生産しています。この誤りの連鎖はどうしたら止められるのでしょうか。

この論文の当該部分を図526.1に示します。

図%%.1
図526.1 論文のPMHF式

繰り返しになりますが、$\lambda_\text{MPF,l}$は、PMHFに単純に足すことはできません。シングルポイントとレイテントフォールトの危険度は桁違いに異なります。具体的には単一の故障率どうしで比較するのではなく、確率で比較しなければならないため、レイテントフォールトの場合はさらに別のフォールトの生起確率をかける必要があります。つまりDPF確率が問題となってきます。

従って、それらを一緒にすることはレイテントフォールト確率の過剰評価となります。実際の経験ではレイテントフォールトの効果は3%未満でした。従って理論的には無視できませんが、実際上は無視しても良いレベルの値と言えます。


$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.


左矢前のブログ 次のブログ右矢

posted by sakurai on October 6, 2022 #525

レビュー結果に対する応答を行いました。RAMS 2023は2023年1月にフロリダ州オーランドで開催予定ですが、CDCによる入国制限が継続しており、実際に米国入国が可能かどうかは現段階では不透明です。なお、入国できない場合は録画等で発表予定です。

表525.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

表525.1 RAMS 2023へのマイルストーン
期限 マイルストーン 状態
2022/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/9/12022/9/27 第1回論文、プレゼン資料査読コメント受領 受領済
2022/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/?/? 最終査読コメント受領
2022/10/10 学会出席登録締め切り 登録済
2022/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢


ページ: