ISO 26262機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社：名古屋市)代表取締役 桜井 厚の論文が、2021年10月26日、第68回RAMS 2022(注2)に採択されました。RAMS 2022は、2022年1月24日から27日まで米国アリゾナ州ツーソンにて開催予定の、IEEE(注3)信頼性部会主催の国際学会です。

弊社代表 桜井 厚は2017年にIEEEの製品安全に関する国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しました。同著者の論文は2020年から3年連続でRAMSに採択されており、IEEE学会としては今回で4回目の採択となります。今回RAMS 2022で採択された論文は「Formulas of the Probabilistic Metric for Random Hardware Failures to Resolve a Dilemma in ISO 26262」と題し、ランダムハードウェア故障の確率的メトリクス(PMHF：注5)を正しく計算する数式を提案するものです。

2018年に発効したISO 26262第2版ではPMHF式が改訂されていますが、その数学的な定義が明確ではありませんでした。桜井　厚は2020年に第2版で曖昧だった点を明確にし、新たなPMHF式を導出しました。しかしながら、この式は規格第2版にも存在する、検出された多点フォールト(MPF：注6)をレイテントフォールト(LF：注7)とみなすという前提に基づいており、一方でその前提は、規格自身の規定するレイテントフォールトメトリック(LFM：注8)と矛盾します。

本論文はこの規格の矛盾を解消することを目的とし、検出されたMPFがLFにならないという前提の下に、新たなPMHF式を導出しました。この式によりPMHF値が正しく評価され、緊急操作許容時間間隔(EOTTI：注9)に関する設計制約が40倍軽減されることから、耐故障システム(注10)での設計工数の削減が期待されています。

【お問い合わせ先】
商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com/

【注釈】
注1：機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方。ISO 26262は車載電気・電子機器を対象とする機能安全の国際規格
注2：RAMS(ラムズ)はThe Annual Reliability & Maintainability Symposiumの略。IEEE信頼性部会が毎年主催する、信頼性工学に関する国際学会 http://rams.org/
注3：IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注4：ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略。IEEE製品安全部会が毎年主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5：PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注6：MPF(エムピーエフ)はMultiple-point Faultの略。 一点のフォールトでは安全目標を侵害せず、複数のフォールトの組み合わせにより安全目標侵害となるようなフォールト
注7：LF(エルエフ)はLatent Faultの略。潜在フォールトと訳される。MPFのうち、安全機構により検出されないフォールト
注8：LFM(エルエフエム)はLatent Fault Metricの略。LFがシステムにどれほどあり、そのどれほどが検出できるかのカバレージであり、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注9：EOTTI(イーオーティーティーアイ)はEmergency Operation Tolerant Time Intervalの略。この期間内に修理するか代替処理に切り替えれば安全目標侵害が起こらない時間間隔
注10：耐故障システムは、故障した場合に直ちに機能を失うことなく、本来の機能を代替することができる安全性向上のためのシステム

前のブログ 次のブログ

10/10までに最終版を登録しました。査読者2名はパスしたものの、Reliability ModelingのVice Chairは保留中であり、他のエキスパートの意見を聞いているとのことです。

前のブログ 次のブログ

10/1までに査読に対応した修正を実施し、修正版を登録しました。

前のブログ 次のブログ

予定どおり、9/15までに査読に対応した修正を登録しました。

前のブログ 次のブログ

予定どおり、8/31にレビュー者3名によるレビュー結果を受領しました。次のマイルストーンは9/15までにその対応の修正を登録することです。

表433.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

MPF detectedは謎のフォールトと言えます。定義としては単純で、1st SMにより検出され、VSGから抑止されたフォールトです。抑止されなければVSGの可能性があるということは、IFのフォールトであることを意味します。

この単純なフォールトがなぜ謎なのかと言えば、MPF detectedが検出された後の対処が規格に書かれていないためです。他のフォールトとの組み合わせでVSGとなるようなDPFについては、2nd SMにより検出されLFになるのを抑止される場合には修理されることが書かれています。

そのため、MPF detectedが検出された後の対処は修理されるかされないかの2つの可能性が存在します。まず自然な解釈として、そのまま放置される解釈があります。

1. 修理されなければ通常はそのまま放置され、しかるべき時間の後に他のフォールトとの組み合わせによりDPFとなります。これはLFとなることを意味します。式で書けば、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})+\Pr(\text{DPF,detected})$$ この考えに基づきPMHF計算を実施したものが、論文[1]です。これには問題があり、LFMの定義式を見てもMPF detectedはMPF latentとは区別されているので、LFMの定義と不一致となります。

2. 修理されればそれは再び運転可能となります。従って、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ この考えに基づきPMHF計算を実施したものが、論文[2]です。この考えではLFMとは矛盾しませんが、車に修理者が乗車しており、いかなる時点での故障も直ちに修理する必要があります。論文[2]は、この点をプロージブル(もっともらしい)なシナリオを考えて解決したものです。

3. さらに別の考え方として、修理はされないがDPFにならないとする考え方もあります。具体的には、修理はされないが、運用を停止する等です。この場合は運用が継続されないので、確率としては分母から引く必要があります。 $$\Pr(\text{VSG})=\frac{\Pr(\text{SPF})+\Pr(\text{DPF,latent})}{1-\Pr(\text{DPF,detected})}\\ \approx(\Pr(\text{SPF})+\Pr(\text{DPF,latent}))(1+\Pr(\text{DPF,detected}))\\ \approx\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ 確率の2乗は非常に小さくなるため、近似をとれば2.と変わりません。

1. https://ieeexplore.ieee.org/document/9153704
2. RAMS 2022投稿論文、未発表

前のブログ 次のブログ

前記部品の間接侵害フォールトに対応付けられる第３組の確率を計算するステップと、

IFの間接侵害というと$\lambda_\text{m,DPF}$でしょうか。LFに関する確率と考えれば、第3組の項目は、 $$0.5\cdot\left(\lambda_\text{sm,DPF,latent}T_\text{lifetime}+\lambda_\text{sm,DPF,detected}\tau_\text{SM}\right)$$ を指すように思われます。

前記第１組、前記第２組、および前記第３組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む

この後の請求項で、第1、2、3組の確率を加算し、さらに車両寿命で除算してメトリックを求めるとあるので、規格式図431.1を念頭に置いているようです。第1と第2の確率は規格式では第1項で表されます。

請求項1は、規格式図431.1を念頭に置いているようですが、それだけでは新規性が無いことは明白です。特許庁も請求項1の新規性を否定するでしょうから、その場合は従属クレームを含んだ形にして、特許範囲を狭めてくると思われます。この場合何が新規なのか、クレームからは判断がつきませんでした。

前のブログ 次のブログ

前稿の続きです。

前記安全機構は第１層安全機構と第２層安全機構とを含み、

SMには1st SMと2nd SMがあるという、規格にある図と同じサブシステムが、本特許の対象です。

第１層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、

1st SMにはそのDCがあることを言っています。$K_\text{IF,FMC,RF}$に相当します。

第２層安全機構は第１層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、

2nd SMにはそのDCがあることを言っています。$K_\text{SM,FMC,MPF}$に相当します。

前記方法は、

ここからが新規性があると思われる部分です。この前記方法とは、「電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法」です。

前記第１層安全機構に対応付けられる第１組の確率を計算するステップと、

1st SMに関連する確率を計算するステップのようです。ちなみに、PMHFは、安全目標侵害確率を計算してからそれを車両寿命で除算して算出するので、最初に確率計算するステップが続きます。

第1組の確率が何を指すかは定かではありません。1st SMのDCに関係すると解釈すれば、 $$\lambda_\text{m,RF}=(1-K_\text{m,RF})\lambda_\text{m}$$ に関する確率のようです。

前記部品の直接侵害フォールトに対応付けられる第２組の確率を計算するステップと、

前記部品というのはIFを指すようです。第1組の確率も直接侵害フォールトに関するものですが、第1組はSMで保護されており、第2組がSMの表現を含まないので保護されていないとすれば、 $$\lambda_\text{m,SPF}$$ に関する確率かもしれません。ここではSPFもRFも狭義の意味です。

前のブログ 次のブログ

今まではPMHF関連の記事、論文について検討してきましたが、新たに特許が引っ掛かりました。PMHF研究者としては特許も重要な研究対象です。ここでは 「偶発的なハードウェア故障の確率的メトリック」(ルネサスエレクトロニクス)を取り上げます。

本特許はその請求項で、PMHF式の算出法をクレームしているようです。

しかしながら請求項で、規格に従えば新規性が無く、逆に規格に従わなければ規格違反となるという、二律背反な主張を行わなければなりません。

それでは請求項を見てみましょう。

請求項1
エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって、前記安全機構は第１層安全機構と第２層安全機構とを含み、第１層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第２層安全機構は第１層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、前記方法は、前記第１層安全機構に対応付けられる第１組の確率を計算するステップと、前記部品の直接侵害フォールトに対応付けられる第２組の確率を計算するステップと、前記部品の間接侵害フォールトに対応付けられる第３組の確率を計算するステップと、前記第１組、前記第２組、および前記第３組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む、方法。

ここで、第１層安全機構は1st SM、第２層安全機構は2nd SMと読み替えることができます。

最初から見ていきます。

エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって

弊社でいうところの対象サブシステムにはIFであるエレメントとSMを含みます。そのPMHFを求める方法について、以下で詳細をクレームしています。

前のブログ 次のブログ

表428.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ