予定どおり、9/15までに査読に対応した修正を登録しました。

前のブログ 次のブログ

予定どおり、8/31にレビュー者3名によるレビュー結果を受領しました。次のマイルストーンは9/15までにその対応の修正を登録することです。

表433.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

MPF detectedは謎のフォールトと言えます。定義としては単純で、1st SMにより検出され、VSGから抑止されたフォールトです。抑止されなければVSGの可能性があるということは、IFのフォールトであることを意味します。

この単純なフォールトがなぜ謎なのかと言えば、MPF detectedが検出された後の対処が規格に書かれていないためです。他のフォールトとの組み合わせでVSGとなるようなDPFについては、2nd SMにより検出されLFになるのを抑止される場合には修理されることが書かれています。

そのため、MPF detectedが検出された後の対処は修理されるかされないかの2つの可能性が存在します。まず自然な解釈として、そのまま放置される解釈があります。

1. 修理されなければ通常はそのまま放置され、しかるべき時間の後に他のフォールトとの組み合わせによりDPFとなります。これはLFとなることを意味します。式で書けば、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})+\Pr(\text{DPF,detected})$$ この考えに基づきPMHF計算を実施したものが、論文[1]です。これには問題があり、LFMの定義式を見てもMPF detectedはMPF latentとは区別されているので、LFMの定義と不一致となります。

2. 修理されればそれは再び運転可能となります。従って、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ この考えに基づきPMHF計算を実施したものが、論文[2]です。この考えではLFMとは矛盾しませんが、車に修理者が乗車しており、いかなる時点での故障も直ちに修理する必要があります。論文[2]は、この点をプロージブル(もっともらしい)なシナリオを考えて解決したものです。

3. さらに別の考え方として、修理はされないがDPFにならないとする考え方もあります。具体的には、修理はされないが、運用を停止する等です。この場合は運用が継続されないので、確率としては分母から引く必要があります。 $$\Pr(\text{VSG})=\frac{\Pr(\text{SPF})+\Pr(\text{DPF,latent})}{1-\Pr(\text{DPF,detected})}\\ \approx(\Pr(\text{SPF})+\Pr(\text{DPF,latent}))(1+\Pr(\text{DPF,detected}))\\ \approx\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ 確率の2乗は非常に小さくなるため、近似をとれば2.と変わりません。

1. https://ieeexplore.ieee.org/document/9153704
2. RAMS 2022投稿論文、未発表

前のブログ 次のブログ

前記部品の間接侵害フォールトに対応付けられる第３組の確率を計算するステップと、

IFの間接侵害というと$\lambda_\text{m,DPF}$でしょうか。LFに関する確率と考えれば、第3組の項目は、 $$0.5\cdot\left(\lambda_\text{sm,DPF,latent}T_\text{lifetime}+\lambda_\text{sm,DPF,detected}\tau_\text{SM}\right)$$ を指すように思われます。

前記第１組、前記第２組、および前記第３組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む

この後の請求項で、第1、2、3組の確率を加算し、さらに車両寿命で除算してメトリックを求めるとあるので、規格式図431.1を念頭に置いているようです。第1と第2の確率は規格式では第1項で表されます。

請求項1は、規格式図431.1を念頭に置いているようですが、それだけでは新規性が無いことは明白です。特許庁も請求項1の新規性を否定するでしょうから、その場合は従属クレームを含んだ形にして、特許範囲を狭めてくると思われます。この場合何が新規なのか、クレームからは判断がつきませんでした。

前のブログ 次のブログ

前稿の続きです。

前記安全機構は第１層安全機構と第２層安全機構とを含み、

SMには1st SMと2nd SMがあるという、規格にある図と同じサブシステムが、本特許の対象です。

第１層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、

1st SMにはそのDCがあることを言っています。$K_\text{IF,FMC,RF}$に相当します。

第２層安全機構は第１層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、

2nd SMにはそのDCがあることを言っています。$K_\text{SM,FMC,MPF}$に相当します。

前記方法は、

ここからが新規性があると思われる部分です。この前記方法とは、「電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法」です。

前記第１層安全機構に対応付けられる第１組の確率を計算するステップと、

1st SMに関連する確率を計算するステップのようです。ちなみに、PMHFは、安全目標侵害確率を計算してからそれを車両寿命で除算して算出するので、最初に確率計算するステップが続きます。

第1組の確率が何を指すかは定かではありません。1st SMのDCに関係すると解釈すれば、 $$\lambda_\text{m,RF}=(1-K_\text{m,RF})\lambda_\text{m}$$ に関する確率のようです。

前記部品の直接侵害フォールトに対応付けられる第２組の確率を計算するステップと、

前記部品というのはIFを指すようです。第1組の確率も直接侵害フォールトに関するものですが、第1組はSMで保護されており、第2組がSMの表現を含まないので保護されていないとすれば、 $$\lambda_\text{m,SPF}$$ に関する確率かもしれません。ここではSPFもRFも狭義の意味です。

前のブログ 次のブログ

今まではPMHF関連の記事、論文について検討してきましたが、新たに特許が引っ掛かりました。PMHF研究者としては特許も重要な研究対象です。ここでは 「偶発的なハードウェア故障の確率的メトリック」(ルネサスエレクトロニクス)を取り上げます。

本特許はその請求項で、PMHF式の算出法をクレームしているようです。

しかしながら請求項で、規格に従えば新規性が無く、逆に規格に従わなければ規格違反となるという、二律背反な主張を行わなければなりません。

それでは請求項を見てみましょう。

請求項1
エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって、前記安全機構は第１層安全機構と第２層安全機構とを含み、第１層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第２層安全機構は第１層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、前記方法は、前記第１層安全機構に対応付けられる第１組の確率を計算するステップと、前記部品の直接侵害フォールトに対応付けられる第２組の確率を計算するステップと、前記部品の間接侵害フォールトに対応付けられる第３組の確率を計算するステップと、前記第１組、前記第２組、および前記第３組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む、方法。

ここで、第１層安全機構は1st SM、第２層安全機構は2nd SMと読み替えることができます。

最初から見ていきます。

エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって

弊社でいうところの対象サブシステムにはIFであるエレメントとSMを含みます。そのPMHFを求める方法について、以下で詳細をクレームしています。

前のブログ 次のブログ

表428.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

次の資料は、「車載用半導体デバイスにおける機能安全 （ISO26262）への取組み」です。

PMHFに関しては次のような記述があります。

次に故障率に関してであるが，前述のメトリクス計算に加え，もう一つの数値化要素である安全目標の侵害確 率分析にこの故障率が採用される．（表 5）

まず誤りはPMHFのことを「故障率」と呼んでいますが、規格にもわざわざ章を設けて、故障率とPMHFは同じ単位を用いるが異なるものであることを説明しているので、誤りです。PMHFとは安全目標侵害確率の時間平均です。

続く文章で、

詳細は割愛するが，主に潜在故障（λRF：Residual Fault）で構成される本分析は，まさに安全目標を侵害する確率を一定の故障率如何に抑える事が目的である ．

この文には3点誤りを含みます。

1つ目はRFを潜在故障と訳していることです。RFは残余故障です。で、文意はPMHFの構成を示しているため、残余故障率と修正するのが適切です。なぜならPMHFにおいて、LFも関係するものの、数値的に主な(おおむね95%以上の)構成要素はλRFであるからです。

2つ目はtypoの部類であり、一定の故障率以下に抑えると修正するべきです。前者もtypoといえそうですが、故障分類の理解度にも関わるのでtypoとは言えません。

3つ目は、確率と故障率を同一視していますが、両者は単位が異なるので、同一視できません。

前のブログ 次のブログ

検索においてPMHFと入力すると様々な資料が入手できますが、「未来の輸送システムに向けた安全で 堅牢な機能安全システム・ベース・チップ（SBC）」(NXP)という資料を見ていきます。

安全検出機構（モニタリング機能）のLFM（Latent Fault Metric：潜在的故障の評価指標）故障は、単一故障と同時に発生した場合にアプリケーションの安全目標の違反につながる可能性があります（ASIL Dの場合は90%以上）。BIST等で検出されない潜在的故障モードの残りのFITを使用して、同じ方法をLFMに適用します

何点かある誤りにお気づきでしょうか？まず誤りポイントは、「LFM故障」というところです。LFMはメトリクスであり、故障ではありません。LFが故障なので、LF故障の目標値がLFMです。

従って、ここはLFMではなく、LF(潜在故障/フォールト)に修正する必要があります。

次に、誤りポイントは「同時に発生した」というところです。数学的に故障が同時に発生する確率は、ほぼ確実にゼロです。LFの定義としては、第1のフォールトが発生している状況で時間が経過し、他の単一フォールトが起きそれにより安全目標侵害となる、最初のフォールトがLFです。ちなみに、2番目のフォールトはDPFです。

細かいことを言えば、

潜在的故障モードの残りのFITを使用して

は意味が良くわかりませんが、SPFMのほうを見ると1から引くことを残りと言っているようです。残りというと残余故障を想像しがちですが、ここでは別の意味のようです。

さて、問題のPMHFについては以下のように記述されています。

PMHFは、アプリケーションのライフタイム（自動車では最低15年）に対してSPFMとLFMから算出されます。

PMHFはSPFMとLFMからは計算できないので、誤りです。

前のブログ 次のブログ

前稿でご紹介した、2022年1月24日からアリゾナ州ツーソンのヒルトンホテルで開催される予定のRAMS 2022(68th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだ正式採択ではないため、8月の締め切りに向け論文をブラッシュアップしていくことになります。

表421.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ