ISO 26262機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社：名古屋市)代表取締役 桜井 厚の論文が、2021年10月26日、第68回RAMS 2022(注2)に採択されました。RAMS 2022は、2022年1月24日から27日まで米国アリゾナ州ツーソンにて開催予定の、IEEE(注3)信頼性部会主催の国際学会です。

弊社代表 桜井 厚は2017年にIEEEの製品安全に関する国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しました。同著者の論文は2020年から3年連続でRAMSに採択されており、IEEE学会としては今回で4回目の採択となります。今回RAMS 2022で採択された論文は「Formulas of the Probabilistic Metric for Random Hardware Failures to Resolve a Dilemma in ISO 26262」と題し、ランダムハードウェア故障の確率的メトリクス(PMHF：注5)を正しく計算する数式を提案するものです。

2018年に発効したISO 26262第2版ではPMHF式が改訂されていますが、その数学的な定義が明確ではありませんでした。桜井　厚は2020年に第2版で曖昧だった点を明確にし、新たなPMHF式を導出しました。しかしながら、この式は規格第2版にも存在する、検出された多点フォールト(MPF：注6)をレイテントフォールト(LF：注7)とみなすという前提に基づいており、一方でその前提は、規格自身の規定するレイテントフォールトメトリック(LFM：注8)と矛盾します。

本論文はこの規格の矛盾を解消することを目的とし、検出されたMPFがLFにならないという前提の下に、新たなPMHF式を導出しました。この式によりPMHF値が正しく評価され、緊急操作許容時間間隔(EOTTI：注9)に関する設計制約が40倍軽減されることから、耐故障システム(注10)での設計工数の削減が期待されています。

【お問い合わせ先】
商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com/

【注釈】
注1：機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方。ISO 26262は車載電気・電子機器を対象とする機能安全の国際規格
注2：RAMS(ラムズ)はThe Annual Reliability & Maintainability Symposiumの略。IEEE信頼性部会が毎年主催する、信頼性工学に関する国際学会 http://rams.org/
注3：IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注4：ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略。IEEE製品安全部会が毎年主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5：PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注6：MPF(エムピーエフ)はMultiple-point Faultの略。 一点のフォールトでは安全目標を侵害せず、複数のフォールトの組み合わせにより安全目標侵害となるようなフォールト
注7：LF(エルエフ)はLatent Faultの略。潜在フォールトと訳される。MPFのうち、安全機構により検出されないフォールト
注8：LFM(エルエフエム)はLatent Fault Metricの略。LFがシステムにどれほどあり、そのどれほどが検出できるかのカバレージであり、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注9：EOTTI(イーオーティーティーアイ)はEmergency Operation Tolerant Time Intervalの略。この期間内に修理するか代替処理に切り替えれば安全目標侵害が起こらない時間間隔
注10：耐故障システムは、故障した場合に直ちに機能を失うことなく、本来の機能を代替することができる安全性向上のためのシステム

前のブログ 次のブログ

10/10までに最終版を登録しました。査読者2名はパスしたものの、Reliability ModelingのVice Chairは保留中であり、他のエキスパートの意見を聞いているとのことです。

前のブログ 次のブログ

10/1までに査読に対応した修正を実施し、修正版を登録しました。

前のブログ 次のブログ

予定どおり、9/15までに査読に対応した修正を登録しました。

前のブログ 次のブログ

予定どおり、8/31にレビュー者3名によるレビュー結果を受領しました。次のマイルストーンは9/15までにその対応の修正を登録することです。

表433.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

MPF detectedは謎のフォールトと言えます。定義としては単純で、1st SMにより検出され、VSGから抑止されたフォールトです。抑止されなければVSGの可能性があるということは、IFのフォールトであることを意味します。

この単純なフォールトがなぜ謎なのかと言えば、MPF detectedが検出された後の対処が規格に書かれていないためです。他のフォールトとの組み合わせでVSGとなるようなDPFについては、2nd SMにより検出されLFになるのを抑止される場合には修理されることが書かれています。

そのため、MPF detectedが検出された後の対処は修理されるかされないかの2つの可能性が存在します。まず自然な解釈として、そのまま放置される解釈があります。

1. 修理されなければ通常はそのまま放置され、しかるべき時間の後に他のフォールトとの組み合わせによりDPFとなります。これはLFとなることを意味します。式で書けば、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})+\Pr(\text{DPF,detected})$$ この考えに基づきPMHF計算を実施したものが、論文[1]です。これには問題があり、LFMの定義式を見てもMPF detectedはMPF latentとは区別されているので、LFMの定義と不一致となります。

2. 修理されればそれは再び運転可能となります。従って、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ この考えに基づきPMHF計算を実施したものが、論文[2]です。この考えではLFMとは矛盾しませんが、車に修理者が乗車しており、いかなる時点での故障も直ちに修理する必要があります。論文[2]は、この点をプロージブル(もっともらしい)なシナリオを考えて解決したものです。

3. さらに別の考え方として、修理はされないがDPFにならないとする考え方もあります。具体的には、修理はされないが、運用を停止する等です。この場合は運用が継続されないので、確率としては分母から引く必要があります。 $$\Pr(\text{VSG})=\frac{\Pr(\text{SPF})+\Pr(\text{DPF,latent})}{1-\Pr(\text{DPF,detected})}\\ \approx(\Pr(\text{SPF})+\Pr(\text{DPF,latent}))(1+\Pr(\text{DPF,detected}))\\ \approx\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ 確率の2乗は非常に小さくなるため、近似をとれば2.と変わりません。

1. https://ieeexplore.ieee.org/document/9153704
2. RAMS 2022投稿論文、未発表

前のブログ 次のブログ

次の資料は、「車載用半導体デバイスにおける機能安全 （ISO26262）への取組み」です。

PMHFに関しては次のような記述があります。

次に故障率に関してであるが，前述のメトリクス計算に加え，もう一つの数値化要素である安全目標の侵害確 率分析にこの故障率が採用される．（表 5）

まず誤りはPMHFのことを「故障率」と呼んでいますが、規格にもわざわざ章を設けて、故障率とPMHFは同じ単位を用いるが異なるものであることを説明しているので、誤りです。PMHFとは安全目標侵害確率の時間平均です。

続く文章で、

詳細は割愛するが，主に潜在故障（λRF：Residual Fault）で構成される本分析は，まさに安全目標を侵害する確率を一定の故障率如何に抑える事が目的である ．

この文には3点誤りを含みます。

1つ目はRFを潜在故障と訳していることです。RFは残余故障です。で、文意はPMHFの構成を示しているため、残余故障率と修正するのが適切です。なぜならPMHFにおいて、LFも関係するものの、数値的に主な(おおむね95%以上の)構成要素はλRFであるからです。

2つ目はtypoの部類であり、一定の故障率以下に抑えると修正するべきです。前者もtypoといえそうですが、故障分類の理解度にも関わるのでtypoとは言えません。

3つ目は、確率と故障率を同一視していますが、両者は単位が異なるので、同一視できません。

前のブログ 次のブログ

検索においてPMHFと入力すると様々な資料が入手できますが、「未来の輸送システムに向けた安全で 堅牢な機能安全システム・ベース・チップ（SBC）」(NXP)という資料を見ていきます。

安全検出機構（モニタリング機能）のLFM（Latent Fault Metric：潜在的故障の評価指標）故障は、単一故障と同時に発生した場合にアプリケーションの安全目標の違反につながる可能性があります（ASIL Dの場合は90%以上）。BIST等で検出されない潜在的故障モードの残りのFITを使用して、同じ方法をLFMに適用します

何点かある誤りにお気づきでしょうか？まず誤りポイントは、「LFM故障」というところです。LFMはメトリクスであり、故障ではありません。LFが故障なので、LF故障の目標値がLFMです。

従って、ここはLFMではなく、LF(潜在故障/フォールト)に修正する必要があります。

次に、誤りポイントは「同時に発生した」というところです。数学的に故障が同時に発生する確率は、ほぼ確実にゼロです。LFの定義としては、第1のフォールトが発生している状況で時間が経過し、他の単一フォールトが起きそれにより安全目標侵害となる、最初のフォールトがLFです。ちなみに、2番目のフォールトはDPFです。

細かいことを言えば、

潜在的故障モードの残りのFITを使用して

は意味が良くわかりませんが、SPFMのほうを見ると1から引くことを残りと言っているようです。残りというと残余故障を想像しがちですが、ここでは別の意味のようです。

さて、問題のPMHFについては以下のように記述されています。

PMHFは、アプリケーションのライフタイム（自動車では最低15年）に対してSPFMとLFMから算出されます。

PMHFはSPFMとLFMからは計算できないので、誤りです。

前のブログ 次のブログ

前稿でご紹介した、2022年1月24日からアリゾナ州ツーソンのヒルトンホテルで開催される予定のRAMS 2022(68th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだ正式採択ではないため、8月の締め切りに向け論文をブラッシュアップしていくことになります。

表421.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

前稿において、ようやくSM1にEOTTI制約がある場合についての$M_\text{PMHF}$が求められたので、今回は以前のブログ記事にならい、非冗長におけるEOTTIの制約を求めます。ただし、MPFDIを定めないとEOTTIが定まらないという制約があるので、MPFDIを100H, 10H, 1Hのように振ってみます。

さて、非冗長であることから(385.1)に$K_\text{IF,det}=1$を代入し、 $$ \begin{eqnarray} M_\text{PMHF}&=&(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF})\lambda_\text{IF}+\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\alpha \end{eqnarray}\tag{386.1} $$ ただし、 $$ \alpha:=\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}] $$ となります。よって、EOTTIの最大値は、 $$ \frac{M_\text{PMHF}-\lambda_\text{IF}}{\alpha-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\frac{M_\text{PMHF}-\lambda_\text{IF}}{\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}]-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{386.2} $$ で求められます。

規格に記述されている数値を入れてみたところ、矛盾が起きました。その理由は規格が誤ったPMHF方程式に基づいているためのようです。従ってEOTTIの最大値を具体的な数値について議論することは断念しました。

なお、本稿はRAMS 2027に投稿予定のため一部を秘匿していますが、論文公開後の2027年2月頃に開示予定です。

前のブログ 次のブログ