2点目の矛盾に感じる事項として、IEC/TR 62380の扱いがあります。これは故障データベースであり、ISO 26262の初版では基礎故障率の参照先となっていました。

ところがIEC/TR 62380自体が廃番になってしまったため、ISO 26262の第2版では参照先となっていません。ここで矛盾があるのは、第2版のPart 11においてこと細かにIEC/TR 62380の内容を紹介していることです。単なる規格番号の参照ではなく、62380の半導体の基本方程式、具体的にはパラメータも含めた方程式を紹介し、かつ具体的な値を入れて計算の手ほどきまで行っていることです。

ある規格において、廃番になった他の規格を内容の実例まで記載するのはある意味異常な状況とも言えます。これはISO 26262にとってIEC/TR 62380の廃番に困っており、なんとか救いたいという証とも言えるわけで、この矛盾をどのように解消すれば良いのかChatGPTに聞いてみました。

ChatGPT:
あなたが指摘した矛盾について、以下のように解釈することができます。

1. 技術の有用性を維持するための措置:

IEC/TR 62380は廃番となったものの、その技術内容（特に故障率計算の方法論）は依然として業界で広く受け入れられており、信頼性評価において重要な役割を果たしてきました。ISO 26262の第2版では、この技術的な有用性を維持しつつ、廃番規格の参照を避けるため、実質的にその内容を独自に取り込んだと考えられます。

2. 移行のための指針:

ISO 26262第2版がIEC/TR 62380の内容を詳細に記載しているのは、利用者が旧規格に慣れ親しんでいる状況を考慮し、新たな基準にスムーズに移行できるようにするための配慮と考えられます。このようにすることで、規格自体が廃番となっても、その内容や手法を引き続き活用できるようにしているのです。

3. 柔軟な適用を可能にする:

第2版でIEC/TR 62380の計算方法やパラメータが紹介されていることで、規格利用者は従来の方法論を引き続き使用できる一方で、新しいデータベースや手法にも対応できる柔軟性が提供されています。これは、規格の継続的な適用性を確保するための戦略ともいえます。

結論:

この矛盾を解消するためには、ISO 26262第2版はIEC/TR 62380を公式に参照せずとも、その手法を依然として信頼性評価に使用できるようにするための過渡的な措置と考えることができます。これにより、業界標準を維持しつつ、新たな規格に基づく評価も進めることが可能です。この解釈により、規格の一貫性と実務的な有用性の両立が図られていると理解することができます。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。

前のブログ 次のブログ

最終的にPMHFはどうなるかを聞いてみます。

ISO 26262では定量目標としてPMHFを算出するように要求しています。これは近似的に車両寿命間におけるアイテムの故障確率の時間平均として求められます(厳密には不稼働確率)。従って、不稼働時間も含めた評価で十分と考えます。

ChatGPT:
あなたの指摘は、ISO 26262におけるPMHF（Probabilistic Metric for random Hardware Failures）の定量評価の目的とその適用範囲に関連する重要な観点です。

1. PMHFの本質

PMHF（Probabilistic Metric for random Hardware Failures）は、システムの運用期間全体にわたる故障確率を表すものです。これは、システムが実際に稼働している時間だけでなく、稼働していない時間（不稼働時間）も含めた全体の故障確率を反映するために、時間平均として算出されます。

2. 不稼働時間の重要性

不稼働時間を考慮しない場合、システムが24時間365日連続して稼働しているかのように評価されてしまいます。これにより、実際には稼働時間が少ないにもかかわらず、システムの故障確率が過大評価されてしまいます。

3. ISO 26262の意図

ISO 26262の第2版におけるNote 2では、基礎故障率を算出する際に暦時間（稼働時間と不稼働時間を含む）を考慮することが推奨されています。これにより、システムの全体的な稼働状況に応じた現実的な故障確率が評価されることを意図しています。

4. 実際のアプローチ

具体的なアプローチとしては、システムのミッションプロファイル（稼働時間と不稼働時間の割合）を基に、故障率を以下のように計算します：

$$ \text{PMHF} = \text{稼働時間あたりの故障率} \times \frac{\text{稼働時間}}{\text{全体の時間（稼働時間 + 不稼働時間）}} $$

たとえば、1日1時間の稼働で残り23時間が不稼働時間である場合、稼働時間あたりの故障率を基に暦時間全体に対する故障確率を計算します。これにより、システム全体の故障リスクが過大評価されず、実際の稼働状況を反映したPMHFが得られます。

5. 結論

不稼働時間を考慮することは、PMHFが実際のシステム運用に即した現実的な故障確率を反映するために不可欠です。これにより、システムが常に稼働しているかのような過大評価を避け、ISO 26262の要求する安全性評価が適切に行われることになります。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。

弊社の見解
IEC/TR 62380を用いる場合にはその段階で上記のような不稼働時間を含めたミッションプロファイルを考慮しているため、ISO 26262の範囲内では不稼働時間を考慮しない方針とします。

前のブログ 次のブログ

文言だけでは曖昧なので、具体的な数値で聞いてみます。

抵抗の断線故障モード故障率が5FITだとして、一日の稼働時間が1時間の場合、具体的にはどうしたらよいですか？

ChatGPT:
抵抗の断線故障モードにおける故障率が5 FIT（Failure In Time: 10億時間あたりの故障数）であり、一日の稼働時間が1時間の場合、ISO 26262の第2版の考え方を適用することで、稼働時間に応じた評価が可能になります。

1. 暦時間あたりの故障率

最初に、5 FITは暦時間あたりの故障率ではなく、稼働時間あたりの故障率であることを確認します。5 FITは、抵抗が稼働している1時間あたりに発生する故障の期待値です。

2. 稼働時間の考慮

一日の稼働時間が1時間であるならば、この1時間における故障率は、暦時間ベースで評価する場合に調整が必要です。ISO 26262の第2版では、稼働時間と暦時間の違いを考慮することが推奨されています。

具体的には、以下のように調整を行います：

$$ \text{暦時間ベースの故障率} = \text{稼働時間あたりの故障率 (FIT)} \times \frac{\text{1日の稼働時間}}{\text{1日 (24時間)}} $$

ここで、稼働時間あたりの故障率が5 FITであり、1日の稼働時間が1時間の場合、次のようになります：

$$ \text{暦時間ベースの故障率} = 5 \text{ FIT} \times \frac{1}{24} = \frac{5}{24} \text{ FIT} \approx 0.208 \text{ FIT} $$

3. 評価の意味合い

この結果から、暦時間ベースでの故障率は約0.208 FIT、つまり10億時間あたり約0.208回の故障が期待されることになります。これは、システムが1日1時間だけ稼働する場合、暦時間全体での故障確率が稼働時間あたりの評価よりも低くなることを意味します。

結論

一日の稼働時間が1時間であれば、暦時間ベースでの故障率を計算し、システムの評価や安全目標に合わせてこの値を使用することが適切です。このように稼働時間を考慮することで、ISO 26262の第2版に沿った合理的な評価が可能になります。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。

前のブログ 次のブログ

ChatGPTも矛盾と感じているようなので、続いて第2版の文言に移ります。

ISO 26262-5:2018 8.4.3

NOTE 2 In applying a selected industry source the following considerations are appropriate to avoid artificial reduction of the calculated base failure rate:
— the mission profile;
— the applicability of the failure modes with respect to the operating conditions; and
— the failure rate unit (per operating hour or per calendar hour).
注2. 選択された業界ソースを適用する際には、算出された基本故障率の恣意的な低下を避けるため、以下の点を考慮することが適切である：
- ミッションプロファイル
- 運転条件に対する故障モードの適用性
- 故障率の単位（運転時間当たり又は暦時間当たり）

文言が若干和らぎました。初版では明確に「非稼働時間を算入することによる恣意的な故障確率の低下の防止」と言っていたものが、「ミッションプロファイルを検討し、恣意的な故障率の低下を避ける」と変わっています。

ChatGPT:
ISO 26262の第2版で示されている文言の変更は、確かに以前の矛盾をある程度解消する方向に向かっています。具体的には、以下の点が考えられます。

1. 柔軟性の強調

第2版では、次のような3つの考慮事項を挙げています。

• ミッションプロファイル: システムの実際の使用状況を考慮することで、評価が現実的になるようにしています。
• 稼働条件に関連する故障モードの適用性: 稼働時と非稼働時の故障モードの違いを考慮することで、評価の精度が向上します。
• 故障率の単位（稼働時間あたりか暦時間あたりか）: 故障率の計算単位に柔軟性を持たせることで、状況に応じた適切な評価が可能となります。

2. 矛盾の緩和

これらの考慮事項により、故障率の計算が実際の運用条件に即したものとなるため、第1版のNote 5で感じられたような不合理さがやわらいでいます。特に、稼働時間と暦時間を区別し、状況に応じた評価ができるようになったことで、非稼働時間を完全に無視するのではなく、適切に考慮する余地が生まれました。

3. 解釈の余地

新しい文言は、故障率の計算に関してより柔軟なアプローチを可能にしているため、前述の矛盾が直接的に解消されたわけではないものの、異なる評価方法や運用条件に対応できるようになっています。これにより、稼働率の低いシステムにおいても、現実的で納得のいく評価が行えるようになると考えられます。

結論

第2版の文言の変更は、以前のバージョンに比べて合理性が増し、現実の使用状況に応じた評価がしやすくなっています。これは、直接的な矛盾の解消というよりも、より包括的で柔軟なアプローチを提供することで、実務における課題を緩和するものと理解できます。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。

前のブログ 次のブログ

この矛盾はどう解釈したらよいですか？

ChatGPT:
ISO 26262初版 Part 5のNote 5に記載された内容について、合理性がないと感じられる理由を深掘りし、その背景や考え方を検討してみます。

1. ISO 26262におけるPMHFの役割

ISO 26262におけるPMHF（平均確率故障時間）は、安全性の評価指標であり、車両が動作中に発生するハードウェア故障のリスクを評価するものです。ここで重要なのは、車両が動作中に発生するリスクに焦点を当てているという点です。

2. Note 5の意図

Note 5では、システムが電源オフ（または低消費電力モード）の場合、その時間はPMHFの計算に含めないとされています。これは、システムが実際に稼働している時間だけを評価対象とし、非稼働時間を含めて平均故障確率が低く見積もられることを防ぐ意図があります。

例えば、あるシステムが1日1時間しか稼働しないとした場合、その1時間の間に発生する故障リスクを正確に評価するためには、残りの23時間（非稼働時間）を計算に含めないことが求められます。これにより、システムが実際に稼働している時間中のリスクを過小評価することを防ぎます。

3. 平均故障率の観点

一方で、あなたが指摘しているように、PMHFは車両寿命間の平均故障率に近似される値であり、稼働時間が少なければ少ないほど、全体の平均故障確率は下がると考えるのが一般的です。したがって、非稼働時間を考慮しないというNote 5のアプローチは、寿命全体でのリスク評価には適さないように見えます。

4. 解釈の可能性

ここで考えられる解釈の一つは、ISO 26262が車両の運行中の安全性を最優先しているため、動作中のリスクのみを厳密に評価しようとしている点です。これは、運行中に発生する故障が直接的な安全リスクにつながるため、これを正確に反映することが重視されているからです。

5. 矛盾の感覚

確かに、寿命全体での平均故障率という観点から見ると、非稼働時間を考慮しないことでPMHFが上昇し、システムの安全性が過剰に評価される可能性があります。この点で、Note 5の規定は、実際の運行条件にそぐわないと感じられるかもしれません。

6. 結論

Note 5のアプローチは、運行中のリスク評価を過剰に行い、安全目標を確実に達成するための保守的な手法と見ることができます。しかし、これが合理的でないと感じる場合、その理由は、車両寿命全体でのリスク評価との間にギャップが生じるためと考えられます。今後の議論や改定において、この点が再検討される可能性はあるかもしれませんが、現在の規定は運行中のリスクを重視する姿勢を示しています。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。

前のブログ 次のブログ

ISO 26262において、矛盾のように思える事項がいくつかあります。これは解釈の誤りかもしれませんが、規格自体に詳しい説明が無いため、解釈の誤りかさえ判然としません。

ヒントをもらおうとChatGPTに聞きました。ChatGPTは規格委員会ではないので必ずしも正解を与えてはくれませんが、比較的蓋然性の高い回答をしてくれます。さらには多角的な見方をするので、思考範囲を拡大するのに役に立ちます。

まず、初版ではありますが、

ISO 26262-5:2011 9.4.2.3

NOTE 5 Situations when the item is in power down mode are not included in the calculation of the average probability per hour, thereby preventing the artificial reduction of the average probability per hour. Thus, for an item that is only operational 1 hour each day, the remaining 23 hours are not considered in the calculation of this operational target value.
注5 機器がパワーダウンモードにある状況は、1時間当たりの平均確率の計算には含まれない。これにより、1時間当たりの平均確率の恣意的な低下が防止される。したがって、1日あたり1時間しか稼働しない機器の場合、残りの23時間は、この稼働目標値の計算には考慮されない。

これは合理的ではないように思えます。なぜならPMHFは車両寿命間の平均故障率に近似される値であり、車両寿命間の稼働時間が少なければ少ないほど平均故障確率は下がるためです。これを「不稼働時間を計算に入れた恣意的な平均確率の低下」と言われると、納得がいきません。

さらに、IEC/TR 62380を参照すると、基礎故障率に以下の稼働確率をかけています。 $$ \frac{\tau_{on}}{\tau_{on}+\tau_{off}} $$ ここで$\tau_{on}$は一日の稼働時間割合、$\tau_{off}$は一日の不稼働時間割合です。

これはまさに「不稼働時間を考慮した(恣意的な?)故障確率の低減」であり、Note 5が禁止しているところになります。一方で、OEMから提供されるミッションプロファイルには不稼働時間が含まれており、実際の車両の使用方法に合わせるために、稼働確率をかけて平均故障確率を下げるのは合理的な手段です。

ISO 26262の入力であるIEC/TR 62380の段階で稼働確率をかけ、ISO 26262内でもさらに稼働確率を掛けると2重になるので禁止というなら分かりますが、Note 5ではそのようには言っていません。

前のブログ 次のブログ

締め切りは7/15だったため、初版の論文及びプレゼン資料(名前、所属無し版)を作成し、RAMSサイトに登録しました。初版で査読を受け9/1までに査読結果を受領予定です。

前のブログ 次のブログ

論文及びプレゼン資料の名前、所属無し版を作成し、RAMSサイトに登録しました。締め切りは7/15であるため、ブラッシュアップしたものを再登録する予定です。

前のブログ 次のブログ

弊社コンテンツの5月の検索結果です。

前のブログ 次のブログ

昨日RAMS委員会からアブストラクトの採択の連絡がありました。ほぼ論文は完成してはいるものの、これから論文のブラッシュアップ及びプレゼンテーション原稿の作成を開始します。

前のブログ 次のブログ