イントロダクション

論文sae2020$\dagger$のイントロダクションです。

まずISO 26262の概要を述べています。

ISO 26262 is an international standard for functional safety of electrical and/or electronic systems in production automobiles.

ISO 26262 は、生産用自動車の電気・電子システムの機能安全性に関する国際規格である。

The standard applies to all activities during the lifecycle of safety-related systems comprised of electrical, electronic, and software components.

この規格は、電気・電子・ソフトウェアコンポーネントで構成される安全関連システムのライフサイクルにおけるすべての活動に適用される。

The 2011 version of the standard [1] consists of 10 parts covering various aspects of the system's design and development at the system, software, hardware, production and operation and the new 2018 version of the standard [2] has 12 parts, adding applications to semi-conductors and motorcycles to the mix.

2011年版の規格[1]は、システム、ソフトウェア、ハードウェア、生産、運用におけるシステム設計と開発の様々な側面をカバーする10のパートで構成されており、2018年版の新規格[2]は12のパートで構成されており、オートモビリティへの適用が追加されている。半導体とオートバイを合わせたものである。

次に、ランダムハードウェア故障について、規格での位置づけを述べています。

ISO 26262 requires that the impacts of random hardware faults on hardware to be analyzed and the risk of safety-critical failures due to such faults is shown to be below a certain threshold.

ISO 26262では、ハードウェアのランダムな故障がハードウェアに与える影響を分析し、そのような故障による安全上の重大な故障のリスクが一定の閾値以下であることを示すことを要求している。

The document defines the ASIL (Automotive Safety and Integrity Level) classifications and sets the particular ASIL safety goals designated A through D, with D being the most stringent.

この文書では、ASIL (Automotive Safety and Integrity Level) の分類を定義し、AからDまでのASILの安全目標を設定している。

For most hardware design and validation engineers, this requirement exposed them to a new paradigm with unaccustomed procedures and terminology such as ASIL, PMHF (Probabilistic Metric for Random Hardware Failures), and others.

ほとんどのハードウェア設計および検証エンジニアにとって、この要件は、ASIL、PMHF（ランダムハードウェア障害のための確率的メトリック）などのような、慣れない手順や用語を使用した新しいパラダイムに触れることになった。

この論文の目的を述べています。

The goal of this paper is to explain some of the terminology and the engineering approaches of ISO 26262 and make them more compatible with the terminology and methods used by design and reliability professionals involved in calculating PMHF to assess the ASIL levels of safety-critical systems.

この論文の目的は、ISO 26262の用語とエンジニアリングアプローチの一部を説明し、安全クリティカルシステムのASILレベルを評価するためにPMHFを計算する際に設計・信頼性の専門家が使用する用語と方法との互換性を高めることである。

イントロダクションは特に問題ありません。

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

In order to clarify how PMHF is calculated within the content of ISO 26262, this paper will discuss how to calculate both the failure rate and the average probability of failure per hour in terms of definitions, sources of the data, applications, and advantages and disadvantages.

本稿では、ISO 26262 の内容の中で PMHF がどのように計算されるのかを明確にするために、定義、データの出所、アプリケーション、メリットとデメリットの観点から、故障率と時間当たりの平均故障確率の計算方法を議論する。

PMHFの定義や前提、導出過程を説明した文献は、弊社のブログや論文以外に全く無いため、非常に興味深い部分で本文を読むのが楽しみです。

It will also present examples of calculating PMHF including the average probability of failure per hour for a non-exponentially distributed failure population as well as an example of a system with redundancy.

また、指数関数的に分布していない故障集団の1時間当たりの平均故障確率を含むPMHFの計算例と、冗長性を持つシステムの例を紹介する。

弊社は、ISO 26262の精神の基礎は以下の2つに置かれていると考えます。

• 故障率は一定＝故障率はバスタブカーブの偶発故障期間
• 定期検査・修理による故障からの復旧(リニューアル)

従って、非指数分布の故障を考えることはISO 26262を逸脱するものであり、不要だと考えます。単純な指数分布でさえ、項目2が十分考慮されていない現状を鑑みると、まず上記2項目をきちんと理解することが先だと考えます。

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

The new version of the standard expands the PMHF concept by further promoting a new metric “average probability of failure per hour over the operational lifetime of the item”, which has not been commonly used by the reliability engineering community.

本規格の新バージョンでは、これまで信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という新しい指標をさらに推進することで、PMHFの概念を拡張しています。

既に2つ問題があります。まず1つ目は、新バージョンになってPMHFが進化した、拡張されたと書かれていますが、PMHFの文字上の定義は初版と第２版の間では変わっていません。規格を見てみましょう。

ISO 26262:2011(初版) Part5

• 9.4.2.1 "Quantitative target values for the maximum probability of the violation of each safety goal due to random hardware failures"
• 9.4.2.2 "Quantitative target values of requirement 9.4.2.1 shall be expressed in terms of average probability per hour over the operational lifetime of the item"

ISO 26262:2018(第2版) Part5

• 9.4.2.1 "Quantitative target values of requirements 9.4.2.2 or 9.4.2.3 shall be expressed in terms of average probability per hour over the operational lifetime of the item"
• 9.4.2.2 "Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures"

初版と第2版で定義の順番が変わっていたり、"at item level"と微小な追加があったりしますが、基本的には同じことを言っています。日本語に訳せば、「アイテムの稼働期間中の1時間あたりの平均確率で表した、ランダムハードウェア故障によるアイテムレベルでの各安全目標違反の最大確率の定量的目標値」となります。

もう一つの問題は、信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という部分で、これは既にISO 12489の3.1.23に書かれているPFHが相当します。ISO 12489の原文を読めば3.1.23の平均故障頻度(average failure frequency)の項に、

The average failure frequency is also called “Probability of Failure per Hour” (PFH) by the standards related to functional safety of safety related/instrumented systems (e.g. IEC 61508[2]): PFH = $\overline{w}(T)$ where $T$ is the overall life duration of the system.

平均故障頻度は、安全関連／計装システムの機能安全に関連する規格（例：IEC 61508[2]）では、"Probability of Failure per Hour"（PFH）とも呼ばれている。PFH = $\overline{w}(T)$ ここで、$T$はシステムの全体的な耐用年数である。

と書かれています。平均故障頻度はPFHとも呼ばれ、故障頻度(=故障確率密度)を0から車両寿命まで積分したものを車両寿命で平均化したものです。

この段落の問題をまとめると、

• PMHFの定義は第2版で拡張されていない(=初版と同じ定義である)
• PMHFは新しいなじみのない概念ではない(=ISO 12489で既に定義されているPFHと同じ)

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

他の論文を読む意味

論文を執筆するにあたって、既存の論文の調査は必須です。論文には必ず新規な発見や理論を記述する必要がありますが、既存の論文で書かれていることを再度書いても意味が無いためです。特許と同様、論文にも新規性が最も重要です。

IEEE XploreにおいてキーワードをPMHFとして検索すると、以下の4つの論文が検索されました。そのうち2つは弊社の論文ですので、他の2つの論文を検討します。

sakurai2017:

A. Sakurai, "Generalized formula for the calculation of a probabilistic metric for random hardware failures in redundant subsystems," 2017 IEEE Symposium on Product Compliance Engineering (ISPCE), San Jose, CA, 2017, pp. 1-5, doi: 10.1109/ISPCE.2017.7935021.

　 sae2020:

Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies," in The Safety of Controllers, Sensors, and Actuators , SAE, 2020, pp.85-94.

　 das2016:

N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

　 sakurai2020:

S. Atsushi, "Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262," 2020 Annual Reliability and Maintainability Symposium (RAMS), Palm Springs, CA, USA, 2020, pp. 1-6, doi: 10.1109/RAMS48030.2020.9153704.

RAMS 2020論文の参照論文

RAMS 2020で論文を発表しましたが、その参照論文を読んで行きます。論文中に他の論文を参照する場合は、紙面が限られているため、大まかに一言でまとめるしかないのですが、ブログではもう少し細かく見ていくことが可能です。

早速sae2020,「Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies(ISO 26262 機能安全新版におけるランダムハードウェア故障の確率メトリック(PMHF)の算出方法とケーススタディ)」$\dagger$を取り上げます。

アブストラクト

以降翻訳はDeepLによるものです。

The Automotive Functional Safety standard ISO 26262 introduced a PMHF (Probabilistic Metric for Random Hardware Failures) in Part 5 and Part 10 by calculating the system failure rates and assessing the ASIL (Automotive Safety and Integrity Level) for functional safety.

自動車機能安全規格ISO26262では、第5部と第10部で、システムの故障率を計算し、機能安全のためのASIL(Automotive Safety and Integrity Level)を評価することでPMHF(Probabilistic Metric for Random Hardware Failures)を導入している。

ここまでは特に問題ありません。PMHFはPart 5で概念が提供され、Part 10で結果方程式が示されています。規格の問題は定義式が規格中に無いことです。

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

表記の論文について、本年2020年1月にU.S.カリフォルニア州パームスプリングスで開催された、RAMS 2020において発表した論文は以下のところで公開中です。
https://www.xcdsystem.com/rams/proceedings2020/

著者リンクです。 以下が論文(魚拓)のURLです。
https://www.xcdsystem.com/rams/proceedings2020/pdfs/13E1-006.pdf

しかしながら、正規の発行場所であるIEEE Xploreにおいて半年たっても公開されないため、問い合わせを行いました。RAMS 2020の論文は、RAMS事務局からIEEE Xploreに7/22に到着したため、公開まで3、4週間待ってほしいとのこと。従って、IEEE Xploreで公開されるのは8/12～8/19あたりになると予想されます。こちらは有料になりますが、公開された後にこの記事に追記します。

[8/3追記]
以下でようやく公開されました。
https://ieeexplore.ieee.org/document/9153704

---

前のブログ 次のブログ

表記のとおり、2021年1月25日からフロリダ州オーランドのローズンプラザホテルで開催される予定のRAMS 2021(67th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されました。論文の内容は、今年1月に開催されたRAMS 2020で発表したPMHF式をFTAにどのように実装するかを明らかにするものです。まだ正式採択ではないため、これから論文をブラッシュアップしていくことになります。

---

前のブログ 次のブログ

元に戻って最初の論文を見てみたいと思います。元の論文のFTはLFが考慮されていないものでした。これに対して、前稿において、ワーストケース評価をするため、2nd SMのDC(Diagnostic Coverage)をゼロとして評価しました。

これに対して2nd SMのDCを考慮したらどうなるかを前稿と同様の考え方でやってみます。数式やFTの書き換えルールは基本的に前稿を踏襲しますが、IFUモデルとIFRモデルで数式が異なります。いずれにせよ、$K_\text{SM,MPF}=0$とおいたところに仮に$K_\text{SM,MPF}=0.6$と仮定して計算します。

すると、係数$C_\text{SM,MPF}=0.5368$となり、この係数をEBMとOn-line monitorのDPF項に掛けることになるため、そのFTは図219.1のようになります。

図219.1 Fault Tree

図219.2に図219.1のFTの拡大図を示します。C100として上記係数0.5368をかけています。

図219.2 Fault Treeの拡大

MCS分析を実施すると、42個のMCが得られ、3個以上のエレメント故障をカットすると、24個のMCが残ります。結果として、全く変化はありませんでした。

今回カットされた積項を表219.1に示します。加えた定数(赤字)は全て3点故障以上の積項に掛けられており、全てカットされています。ただし、カットされた積項は18個のはずですが、ツールのバグか17個となっています。

表219.1 図219.1のMCSのカット部分

得られたMCSを表219.2に示します。エレメント故障は2以下のみであり、定数を青字で示しています。

表219.2 図219.1のMCS

元々2 outof 4という変則的な2冗長内部のSMなので、IFとSMのANDはそれだけで4エレメント故障の積項となります。従って、この積項に何を追加しても元々消えるべき項でした。

RAMS 2021において、PMHF式に基づくFTA構築法の論文発表が終了したため、本記事を開示します。

---

前のブログ 次のブログ

参照論文では、前提が誤っている$\dagger$ものの、2nd Edition規格式に近い形でFTを構成しているようです。例えば、AのRFが先に起きて、BのSPF/RFが後から起きる場合と、その逆パターンのORとなっています。一方、規格式ではAのLFが先に起きて、BのSPF/RFが後から起きる場合と、その逆パターンのORとなっています。従って、参照論文のRFをLFと読み替えれば、規格式と結果的に同じになります。

$$ \begin{eqnarray} \Pr\{\text{TOP Failure}\}&=&M_\text{PMHF}T_\text{L} \\ &=&\frac{1}{2}\lambda_\text{E1}\left[(1-K_\text{E1,MPF})T_\text{L}+K_\text{E1,MPF}\tau\right]\cdot \lambda_\text{E2}T_\text{L} \\ &+&\frac{1}{2}\lambda_\text{E2}\left[(1-K_\text{E2,MPF})T_\text{L}+K_\text{E2,MPF}\tau\right]\cdot \lambda_\text{E1}T_\text{L}\\ &=&\frac{1}{2}(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})\left(2-K_\text{E1,MPF}-K_\text{E2,MPF}+(K_\text{E1,MPF}+K_\text{E2,MPF})\cdot\frac{\tau}{T_\text{L}}\right)\\ &=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})C_\text{1, 2}' \end{eqnarray} $$

今回のE1, E2のペアで$C_\text{1, 2}'$を計算したところ、表218.1に示すようにC10からC19の10種類の定数が得られました。

表218.1

定数記号	定数値
C10	0.23572
C11	0.27046
C12	0.30520
C13	0.38626
C14	0.42100
C15	0.53680
C16	0.61786
C17	0.65260
C18	0.76840
C19	1.00000

よって、2AND項にそれぞれこの定数項を加えて3ANDとすれば、図218.1のようなFTとなります。

図218.1 Fault Tree このMCSを取得したところ、表218.2のような結果となりました。 表218.2 図218.1のFTのMCS 頂上事象侵害確率は$1.159\times 10^{-3}$、PMHFは77.3[FIT]となりましたが、これは真値に対して38%もの過大評価となっています。

---

$\dagger$前稿でご説明したように、冗長チャネル内のSMは、2nd order SMなので、冗長チャネル内のエレメントの故障の場合は、RFではなくLFとなります。参照論文ではRF、LFの両方が起きると考えています。

---

前のブログ 次のブログ

この結果はワーストケースの評価であり、2nd order SMを無視しているものです。従って、この結果をより実際に近づけるには、2nd order SMのDCをFTに入れる必要があります。

まず、数式で書けば、 $$ \begin{eqnarray} \Pr\{\text{TOP Failure}\}=M_\text{PMHF}\cdot T_\text{L}&=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L}) \left[ (1-K_\text{MPF})+K_\text{MPF}\cdot \frac{\tau}{T_\text{L}} \right]\\ &=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})C_\text{1, 2} \end{eqnarray} $$ ただし $$ K_\text{MPF}=1-(1-K_\text{E1,MPF})(1-K_\text{E2,MPF}) $$ $C_\text{1, 2}$はE1, E2に依存する定数で、 $$ C_\text{1, 2}\equiv(1-K_\text{MPF})+K_\text{MPF}\cdot \frac{\tau}{T_\text{L}} $$

車両寿命$T_\text{L}=15,000[H]$、定期検査周期$\tau=3,420[H]$として、今回のE1, E2のペアで$C_\text{1, 2}$を計算したところ、表217.1に示すようにC1からC9の9種類の定数が得られました。

表217.1

定数記号	定数値
C1	0.2280772
C2	0.2287720
C3	0.2310880
C4	0.2357200
C5	0.2588800
C6	0.3052000
C7	0.3515200
C8	0.5368000
C9	1.0000000

よって、2入力AND項にそれぞれこの定数項を加えて3ANDとすれば、図217.1のようなFTとなります。今回はマニュアル作業により付加しましたが、モデルもしくはツールを開発した暁には自動的に計算が行われる見込みです。

図217.1　2nd order SM効果を追加したFault Tree

このMCSを取得したところ、表217.2の表のような結果となりました。

表217.2　図217.1のMCS

頂上事象侵害確率は$8.321\times 10^{-4}$、PMHFは55.5[FIT]となりました。このように2nd order SMの効果を入れると、PMHFは25%まで低減することがわかります。

RAMS 2021において、PMHF式に基づくFTA構築法の論文発表が終了したため、本記事を開示します。

---

前のブログ 次のブログ

前稿で作成したFTLをSAPHIREにインポートすると、図216.1のようなFTが構成されます。MCSの論理式で示されるとおり、2入力ANDの積項が40個、ORで接続されています。

図216.1 MCSのFault Tree

検証としてこのFTのMCSを確認しますが、当然前々稿と同一のMCSになるはずです。MCS前後で論理は変化しません。表216.1に得られたMCSを示します。

表216.1 MCSのFTをさらにMCS

この頂上事象侵害確率は$3.380\times 10^{-3}$、PMHFは、225[FIT]となりましたが、前回の結果と同一です。

---

前のブログ 次のブログ