2017年5月にアメリカ・カリフォルニア州サンノゼにて開催された、IEEEの製品安全に関する国際学会であるISPCE 2017（2017 IEEE Symposium on Product Compliance Engineering）において、ISO 26262機能安全コンサルタントのFSマイクロ（本社：渋谷区）代表　桜井　厚の執筆した自動車の故障率に関する論文が最優秀論文賞を受賞しました。

2017年5月8日から10日まで、アメリカ・カリフォルニア州サンノゼにて開催されたIEEE（注1）の国際学会である第14回ISPCE 2017（注2）において、現地時間の5月9日午前11時、ISO 26262機能安全コンサルタントのFSマイクロ株式会社（本社：渋谷区）代表取締役社長　桜井　厚の執筆した論文が最優秀論文賞を受賞しました。

正式論文として投稿された20本のうち、最優秀論文賞は1本のみです。

最優秀論文賞を受賞した論文の題名は「Generalized Formula for the Calculation of a Probabilistic Metric for Random Hardware Failures in Redundant Subsystems」という、PMHF（注3）に関する論文です。
これまで自動車の機能安全（注4）の国際規格であるISO 26262に従いFMEDA（注5）や定量FTA（注6）を用いて安全分析を行う場合、冗長サブシステム（注7）に関する故障率算出式が不明確であったため定量分析を正確に行うことが困難でした。
定量的な安全分析における同規格の適用範囲を拡大したことが評価され、最優秀論文賞に選ばれたものです。

注1：アメリカ合衆国に本部を持つ電気工学・電子工学技術に関する世界最大規模の学会
注2：2017 IEEE Symposium on Product Compliance Engineering。IEEEが2004年から年に一度主催する国際学会で、製品安全に関しては世界最高レベルの学会 http://2017.psessymposium.org/
注3：PMHF (Probabilistic Metric for Random Hardware Failures)は、車両寿命間における故障確率の時間平均を表す指標
注4：様々な安全機構を付加することで、システムの安全性を担保する考え方
注5：部品の故障モードがシステム全体の安全にどのように影響するかを、故障率を用いて定量的に論証する帰納的な分析手法
注6：安全目標侵害確率を故障のツリーを用いて算出することにより、故障が危険な事象となる可能性を定量的に論証する演繹的な分析手法
注7：機能安全の対象となるシステムのうちの一部で、冗長性を持つもの

前のブログ 次のブログ

プレスリリース

プレスリリースでもご紹介したように、当ブログでご紹介したPMHFの導出式に基づいた論文が、5月にアメリカ・カリフォルニア州サンノゼにて開催予定のISPCE 2017に採択されました。

論文のタイトルは「Generalized Formula for the Calculation of a Probabilistic Metric for Random Hardware Failures in Redundant Subsystems」です。邦題は「冗長サブシステムに関するランダムハードウェア故障の確率的メトリクス計算の一般式」で、冗長サブシステムも含めた車両寿命間の故障率の一般式を導出するものです。

前のブログ 次のブログ

PMHFの加算

部品個別のPMHF式は前回導出したものとなりますが、これをアイテムとして積算(総和)する必要があります。その方法には一般に、FMEDAによるもの、FTAによるものの2種類があります。単純な直列アイテムであれば、確率計算的には和を取るだけなので(ただし$\lambda t\ll 1$のとき)FMEDAとFTAは同じ値になります。一方、冗長構成等の並列アイテムの場合は、FTAでないと正しい値は求まりません。アイテムの故障率(2)でご紹介したように、並列アイテムの場合、アイテム不信頼度は部品不信頼度の積となるためです。FTAを用いると、ANDゲートで並列アイテム、ORゲートで直列アイテムを表すことができ、値の計算を正確に行うことができます。

ANDゲートでは確率の乗算で、事象の確率が正確に求まります。一方ORゲートにおいては、$\lambda t\ll 1$のとき、例えば$\lambda t<0.1$の場合には加算で事象の確率が求められます。ただしこの場合はレアイベント近似となります。以下に、近似ではなくExcelを使った方法で、簡単に正確に求めるやり方をご紹介します。

教科書等には信頼度で書かれていますが、故障率は不信頼度を時間平均したものですから、不信頼度で表すのが便利です。すると、ANDゲート＝並列アイテムの不信頼度はアイテムの故障率(2)で求めた、 \[ F_{item}(t)=F_1(t)\cdot F_2(t)\cdot\cdots\cdot F_n(t)=\prod_{i=1}^n F_i(t)\tag{9.2} \]

のように、不信頼度の積で求められ、一方ORゲート＝直列アイテムの不信頼度はアイテムの故障率(1)で求めた、 \[ F_{item}(t)=1-\prod_{i=1}^n[1-F_i(t)] \tag{8.4} \]

のように求められます。

Excelによるレアイベント近似を用いない積算法

確率計算において乗算、加算を用いるレアイベント近似(FTA(2)で説明予定)の場合は特に関数を用意する必要はありませんが、(8.4)のようにレアイベント近似を用いない場合の計算については、以下のように関数を用意すると便利です。

public function lambda(range as range) as string
dim val as double
val = 1#
foreach cell in range
val = val * (1- cell)
next
lambda = format((1# - val)/100000#, "0.000E+00")
end function

Excelにおいて、確率計算の積は乗算を行い、一方和については上記関数を用いて(8.4)を計算します。

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
https://fs-micro.com/post/show/id/59.html

前のブログ 次のブログ

PMHF式の計算

(16.2)の添字の意味を見ていきます。故障率の添字がl(=latent)とd(=detected)で表されていますが、規格Part10の表記あるいは図16.1の表記を用いれば、 $$ \lambda_{RF}=(1-K_{M,FMC,RF}\lambda_M\\ \lambda_{M,DPF,l}=(1-K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{M,DPF,d}=K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{SM,DPF,l}=(1-K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{SM,DPF,d}=K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{M,DPF}=K_{M,FMC,RF}\lambda_M\\ \lambda_{SM,DPF}=\lambda_{SM} \tag{18.1} $$ となります。これらを(16.2)に代入すれば、 $$ \img[-1.35em]{/images/withinseminar.png}\tag{18.2} $$ となります。(18.2)に至ってようやく主機能故障率、安全機構故障率、安全機構カバレージ等の数値を用いてPMHFの計算を実行することが可能となります。

前のブログ 次のブログ

対象ブロック図

図17.1にPMHFの計算となるブロック図を示します。主機能Mに対して1st SMであるSMが設置されており、Mの2nd SMであるSM2-M及びSMの2nd SMであるSM2-SMが設置されています。Part10の記法に従い、SMのDC(Diagnostic Coverage)は$K_{M,FMC,RF}$、SM2M及びSM2SMのDCはそれぞれ$K_{M,FMC,MPF}$及び$K_{SM,FMC,MPF}$と書かれます。M、SMの故障率はそれぞれ$\lambda_M$、$\lambda_{SM}$ですが、2nd SMはλ=0となります。さらにMは安全機構ではないため(冗長の場合はSMとなりますが)、DC及び$\tau$(故障検出周期)は存在しません。さらにM及びSMの$\tau$は存在せず、SM2M及びSM2SMの$\tau$はそれぞれ$\tau_M$及び$\tau_{SM}$となります。

規格には明確に書かれていませんが、故障が検出された場合はゼロ時間で完全に修理されることが、暗黙に仮定されています。

PMHF式の導出

規格の「SMが先に故障してその後Mが故障する場合」は誤りであることは説明しましたが、式を吟味すると「SMがどうであれMが故障してSG侵害となる場合」であるようです。従ってそのように読み替えれば、規格第1式は、

$$ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.1} $$ であり、これを計算すると、 $$ M_{PMHF,M}\approx \lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM}\lbrace (1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\rbrace\tag{17.2} $$ となり、これは規格第1式と正確に一致します。

最終的なPMHFを求めます。SPFとDPFは排他事象であり、また、「主機能故障でレイテント⇒安全機構故障」とその逆の「安全機構故障でレイテント⇒主機能故障」も排他事象です。排他事象は確率が加え合わせられることから、トータルのPMHFは上記を(11.1)に適用して、(17.3)となります。 $$ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,M\rightarrow SM}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.3} $$

これに対して、SPFに関しては(12.2)を適用します。さらに、DPFに関しては(15.2)に基づき、主機能故障と安全機構故障の順番を考慮して先の2パターンのPMHFを加え合わせれば、PMHF式(17.4)が得られます。

$$M_{PMHF}\approx \lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM}\lbrace (1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\rbrace\tag{17.4}$$ となり、これは$K_{SM,FMC,MPF}\tau_{SM}\approx0$の場合、規格第3式と一致します。

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
https://fs-micro.com/post/show/id/59.html

前のブログ 次のブログ

故障検出周期

検出時点での故障率を、以下のように安全機構により検出できる部分とできない部分に分解します。またそれぞれの場合の条件を以下に示します。

1. 安全機構が周期$\tau_{SM}$で故障検出された際に検出できない故障率の部分は、なんど検出しても検出されないため、車両寿命の間中レイテントとなる。
2. 安全機構が周期$\tau$で故障検出した際に検出できる故障率の部分は、$t=0$～$\tau_{SM}$まではレイテントとなる。その後$t=\tau_{SM}$においてゼロ時間で修理される。

次に車両寿命におけるそれぞれの頻度を考えると、

1. $t=0$〜$T_{lifetime}$までの一回
2. $\frac{T_{lifetime}}{\tau_{SM}}$回

従って、(15.1)は正確には、上記の2つの事象確率と頻度の積を加えあわせ、 \[ M_{PMHF,DPF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{DPF,A\rightarrow B}(T_{lifetime}) =\frac{1}{T_{lifetime}}[F_{DPF,l,A\rightarrow B}(T_{lifetime})+\frac{T_{lifetime}}{\tau_{SM}}F_{DPF,d,A\rightarrow B}(\tau_{SM})] \]\[ \approx\frac{1}{2}\lambda_B(\lambda_{A,DPF,l}T_{lifetime}+\lambda_{A,DPF,d}\tau_{SM})\tag{16.1} \]

となります。

(16.1)は、「レイテント状態のエレメントAの不信頼度」に「Bの故障率」をかけたものです。前者をグラフ化したものが図16.1です。$DC=0$、つまり定期的な故障検出によりエレメントの故障が検出されない場合は、(14.1)のとおりです。一方、エレメントの故障が検出される部分がある場合には、検出時点で修理されるため、その分の不信頼度はゼロとなり、故障が検出されない部分のみが累積していきます。

青のグラフがDC=0の場合、オレンジがDC=20%の場合、グレーがDC=40%の場合、黄色がDC=60%の場合、濃青がDC=80%の場合、緑がDC=100%の場合をそれぞれ表します。

前のブログ 次のブログ

DPFの場合のPMHFの導出

エレメントAが先に故障し、引き続いてエレメントBが故障する場合のDPFのPMHFは「エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する、車両寿命間のDPF確率の時間平均」であり、DPF(2)で求めたように、(14.6)を用いて $$ M_{PMHF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{A\rightarrow B}(T_{lifetime})\approx\frac{1}{2}\lambda_{A,DPF,l}\lambda_B T_{lifetime}\tag{15.1} $$ と求められます。

故障がレイテントとなる場合

ところが(15.1)はまだ場合分けが不足しています。先にエレメントAに起きた故障がレイテントになる場合は、一般的には時刻$t=\tau$において、安全機構の検出漏れとなる場合ですが、さらに安全機構の検出が間に合わない場合、言い換えれば検出までにエレメントAに故障が起きる場合も加える必要があります。なぜなら、安全機構は検出周期$\tau$で検出しますが、$\tau$までにエレメントAに発生した故障は$\tau$までは検出されないため、その間はレイテントとなる可能性が若干でも存在するからです。

この点について次稿で掘り下げて行きたいと思います。

前のブログ 次のブログ

DPFの定義

ISO26262でいうDPFは、前述のように、まずエレメントAの故障がおき、かつレイテント状態(故障分類(1)で解説)になっていて、それに関連するエレメントBの故障が引き続いて起きた場合が対象となります。ここで関連するとは、エレメントAが主機能の場合はエレメントBは安全機構、エレメントAが安全機構の場合はエレメントBは主機能という意味です。主機能とそれとは別の主機能の故障はDPFとは考えず、一点故障が別々の主機能に2回起きたと考えます。

さて、DPFの確率計算を行う場合、単純に主機能故障の起きる確率$PoF_{M,T_{lifetime}}=\Pr\{X_M\lt T_{lifetime}\}$と安全機構の故障の起きる確率$PoF_{SM,T_{lifetime}}=\Pr\{X_{SM}\lt T_{lifetime}\}$の乗算とはなりません。一般に安全機構が故障するとレイテントになる可能性が大であり、主機能は冗長構成を取らない限り、故障してレイテントになることはありません。従って、主機能故障がレイテントになる確率と安全機構がレイテントになる確率は異なるため、主機能と安全機構のどちらが先に故障したかで場合を分けて計算を行います。

A⇒BのDPFの確率計算

エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する確率の導出を行います。まず、時刻$t$において、エレメントAが故障してレイテントとなっている場合の確率は、時刻$t$におけるエレメントAの不信頼度に他ならないため、(14.1)となります。 \[ \Pr\{\text{A is a latent state at }t\}=\Pr\{X_A\leq t\}=F_A(t)\tag{14.1} \]

次に、時刻$t$までエレメントBは故障しておらず、時刻$t+\Delta t$までの微小区間$(t, t+\Delta t]$にBが故障する微小確率$\Pr\{\text{B receives a fault in}(t, t+\Delta t]\}$は、(14.2)となります。 \[ \Pr\{\text{B receives a fault in}(t, t+\Delta t]\}=\Pr\{t\lt X_B\leq t+\Delta t\}=F_B(t+\Delta t)-F_B(t)\\ =f_B(t)\Delta t=\lambda_B R_B(t)\Delta t\tag{14.2} \]

従って、$(t, t+\Delta t]$の微小DPF確率は両者の積となるため、(14.3)となります。

(14.3)

$\Delta t\rightarrow 0$とした極限を$dt$で表し、0から$t$まで積分すると、時刻$t$までのDPF確率が(14.4)として求められます。

(14.4)

ここでexponential関数のマクローリン展開は(14.5)です。 \[ e^x=1+x+\frac{x^2}{2}+\cdots\tag{14.5} \]

(14.5)の2次の項までとり(14.3)に代入すれば、(14.6)のようにA⇒BのDPFの確率の近似式が求められます。

A⇒BのDPFの確率の式:

(14.6)

前のブログ 次のブログ

信頼度と故障率の関係式

DPF(Dual Point Failure; 2点故障)を説明する前に、時刻$t$から時刻$t+\Delta t$までの時間にエレメント$A$に関して起こる故障について、図13.1に示します。

時刻$t$において、故障していない確率が$R_A(t)$であり、時刻$t+\Delta t$までの$\Delta t$時間における信頼度$R_A(t)$の減少分は、(2.6)から$\lambda_A R_A(t) \Delta t=f_A(t)\Delta t$となることから、

\[ R_A(t+\Delta t)=R_A(t)-\lambda_A R_A(t) \Delta t\tag{13.1} \]

DPFを考えるためにエレメント$A$とエレメント$B$の故障を考えます。エレメント$A$,$B$の故障は独立して起こるので、以下のようになります。

DPF

さて、次にエレメント$A$,$B$が有り、$A$が主機能の場合は$B$はそれに関する安全機構、$A$が安全機構の場合は$B$はそれに関する主機能であるとします。DPFの定義は

「主機能または安全機構が故障してレイテント状態であるときに、それに関する安全機構または主機能の故障が起きること」

であるため、「エレメントAが故障してレイテント状態であるときに、エレメントBの故障が起きること」を$A\Rightarrow B$で表し、「エレメントBが故障してレイテント状態であるときに、エレメントAの故障が起きること」を$B\Rightarrow A$で表すとき、以下の図13.3のように、どちらが先に故障するかによって、$A\Rightarrow B$または$B\Rightarrow A$の2つの場合となります。また、それらは排他であるため確率は和で表されます。

前のブログ 次のブログ

SPF/RF

SPF(Single Point Failure; 一点故障)、RF(Residual Failure; 残余故障) はほぼ同義で、単一の故障により安全目標侵害する可能性のある故障です。前稿の故障分類チャートに拠ればSPFは安全機構が存在しない故障であり、また、RFは安全機構が存在するが診断カバレージ(DC)から漏れる部分の故障です。これをPart10 8.1.8「フォールトの分類及びフォールトクラス寄与度計算のフローチャート」でのDCの定義$K_{FMC,RF}$を用いれば、 \[ \lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG}\tag{12.1} \]

となります。後で説明するように、SPF/RFを単純化記法でSPFまたはRFと記述することがあるのでご注意ください。(12.1)の場合はRFと表記していますが、SPF/RFの意味です。いうまでもなくRFの式(12.1)において、カバレージ$K_{FMC,RF}=0$の時はSMが存在しないのと同義であり、SPFを意味します。

さて、SPFに対するPMHFは(10.2)、(10.3)、及び(12.1)を用いれば、 $$ M_{PMHF,SPF}=\frac{1}{T_{lifetime}}F_{SPF}(T_{lifetime})\approx\lambda_{RF}\\ =(1-K_{FMC,RF})\lambda_{M,PVSG},~~\mbox{s.t.}~~\lambda_{RF}T_{lifetime}\ll 1\tag{12.2} $$

と求められます。

広義のSPFと教義のSPF

ここで、一般的に用語SPFの使用法には狭義(SPFとRFを分ける)と広義(RFを含む)の2種が有り、(12.2)左辺では広義の単一故障の意味で用いています(図12/1上段)。一方、SPF/RFという記法もあり、このほうが紛れがありませんが長くなるためあまり用いられません(図12.1中段)。また(12.2)右辺のように、単一故障をRFと表記する場合もあり、これは単一故障のほとんどがRFであるためです(図12.1下段)。式を読む場合には、字面にとらわれることなく、紛らわしい用語の使用法については意味を考えて読む必要があります。

前のブログ 次のブログ