Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on September 14, 2020 #315

弊社のパートナー会社であるSGSジャパン株式会社によるオンラインセミナーで興味深い問題を見つけました。次の事象はレイテントフォールトになるかという問題で、その事象は、

図%%.1
図315.1 SGSジャパン株式会社の問題ー第1問ー

というものです。

本来は安全目標(SG)ないし安全要求(SR)の侵害により、故障となるかどうかを判定するので、SG/SRが必要です。本問はSG/SRが示されていないので、想定する必要があります。

安全機構(SM)であるWDTは、一般にはマイコン等の意図機能(IF)のデッドロック検出のためのSMとして用いられます。従ってWDTは1st SMです。例えばEPSにおいてマイコンがアクチュエータに指示をする際に、SGは「走行中にマイコンのデッドロックによるステアリング固着なきこと」等となります。

次にWDTにECCが付加されており、その機能を考えます。このECCはWDTのフォールトがレイテントになるのを抑止するための2nd SMです。弊社が2017年の論文で提案した「2nd SMはフォールトしない」という定理を適用すれば、WDTの1bitフォールトは常に修復されることになります。また、ECCのDCは99.999...%なのでDC=100%とします。

一般に、MPFDI以内は2nd SMによる検査・修理が行われないので、レイテントかどうかはMPFDI外で判定します。「通知されない」という条件に注目すると、通常の2nd SMではMPFDIで検出できても通知されなければ修理されないため、レイテントフォールトとなりそうですが、ECCは特殊で、前段落の議論から100%修理されるとして扱います。

レイテントフォールトは、定義の文字上では、通知されなければレイテントフォールトとなるのですが、真に問題となるのは通知の有無ではなく、修理の有無です。規格には、通知されれば修理されるという暗黙の条件があるためです。

従って、解答としては、ECC付きWDTカウンタの1bitフォールトは $\img[-1.35em]{/images/withinseminar.png}$ ということになります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 11, 2020 #314

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。再度解説書の式を検討します。

パターン1

図314.1は、第1版にも存在した、パターン1=「安全機構、意図した機能の順でフォールトが発生する場合で安全機構のフォールトが検出されない場合」です。

図%%.1
図314.1 パターン1

この式において、一行目の中カッコの中のIFに関する確率は、 $$ \left(1-\int_0^t f_\text{IF}(t')dt'\right)\int_t^{T_\text{lifetime}}f_\text{IF,DPF}(t')dt'\\ =R_\text{IF}(t)\cdot\int_t^{T_\text{lifetime}}f_\text{IF,DPF}(t')dt' $$ と推測されます。この意味としては、IFについて、$0$から$t$までフォールトが起きておらず、かつ$t$から$T_\text{lifetime}$の間でフォールトが起きた場合の確率だと思われます。

前稿で指摘したように、IFどおしの確率の積をとっていますが、(結果としては一致するものの)本来条件付き確率としなければならない2項目が条件付き確率となっていない点が誤りです。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 10, 2020 #313

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。

パターン3, 4

IFとSMを入れ替えることで、同様にパターン3, 4を導き、パターン1から4までを加えれば、

$$ M_\text{PMHF}\approx\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM,DPF,lat}T_\text{lifetime}\\ +\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM,DPF,det}T_\text{service}\\ +\frac{1}{2}\lambda_\text{SM,DPF}\lambda_\text{IF,DPF,lat}T_\text{lifetime}\\ +\frac{1}{2}\lambda_\text{SM,DPF}\lambda_\text{IF,DPF,det}T_\text{service} \tag{313.1} $$ となりそうです。

規格の問題点

ところが、規格は最初のパターン分けから間違っているので、これは誤った式です。 なぜなら、IFがフォールトして、検出・修理される、次にSMがフォールトして、検出・修理されるというパターンやその逆パターンが、この4パターンには含まれていないためです。規格に従えば、一度フォールトしたエレメントは検出・修理を繰り返し、レイテント状態において相手のエレメントがフォールトする場合にのみDPFとして扱います。

規格のパターン分けは、パターン1,2とパターン3,4の組にはっきりと分かれており、

  • パターン1, 2: {SMがフォールトし検出・修理}が1以上の任意回、{IFのフォールト}
  • パターン3, 4: {IFがフォールトし、検出・修理}が1以上の任意回、{SMのフォールト}

という特殊例しか数え上げていないのです。リペアラビリティで表せば、

  • パターン1, 2: SMがリペアラブル、IFがアンリペアラブル⇒IFUモデル
  • パターン3, 4: IFがリペアラブル、SMがアンリペアラブル⇒SMUモデル

という状態を表しています。

図%%.1
図313.1 規格CTMC図

これをCTMCで示したものが図313.1です。パターン1,2ではIFがアンリペアラブル固定(検出・修理はされない)、パターン3,4ではSMがアンリペアラブル固定(検出・修理はされない)という、余分な制約がかかっています。

本来は、初期状態でIFとSMは共にリペアラブルであり、かつ相手がフォールト時には自分がアンリペアラブルとなるという、マルコフ図のような動作となります。

結果として規格に依れば、パターン1, 2ではIFのリペア、パターン3, 4ではSMのリペアの考慮が抜けているため、PMHFを過大評価することになります。故障確率の過大評価は過小評価よりは良いかもしれませんが、逆にEOTTIが厳しくなるという弊害が生じます。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 9, 2020 #312

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。

パターン2

次にパターン2=「安全機構、意図した機能の順でフォールトが発生する場合でかつ2nd SMにより検出可能となる場合」つまり修理可能部分です。解説書のパターン2を図312.1に示します。

図%%.1
図312.1 パターン2

(式変形の誤りのため削除)

「規格第2版のPMHF式の疑問(13)」に記載します。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 8, 2020 #311

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。

時刻パラメータ$t$が最初のSMのフォールトが起きた時刻、$t'$がVSGとなる2つ目のIFのフォールトが起きた時刻だと思われます。

正しい定式化

IFに関する$t'$の時の確率密度を$t$から$T_\text{lifetime}$まで積分し、$t$で表します。次に$t$について0から$T_\text{lifetime}$までVSGとなる確率密度を積分します。

(式変形の誤りのため削除)

「規格第2版のPMHF式の疑問(12)」に記載します。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 7, 2020 #310

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。

そもそもの(309.2)式ですが、意味を考えてみます。まずSMとIFのフォールトは独立なので、SMとIFの確率は積で表されるのは正しいです。一方で独立ではないIF同志の確率が積で表されるところが誤っています。具体的には、時刻$t$から$T_\text{lifetime}$までの、IFの故障確率は、遷移確率が故障率$\times dt$となるため、 $$ \int_t^{T_\text{lifetime}}d\!\Pr\{\text{IF fails in }(t', t'+dt]\ \cap\ \text{IF not failed till }t'\}\\ =\int_t^{T_\text{lifetime}}d\!\Pr\{\text{IF fails in }(t', t'+dt]\ | \text{IF not failed till }t'\}\cdot\Pr\{\text{IF not failed till }t'\}\\ =\int_t^{T_\text{lifetime}}\lambda_\text{IF}R_\text{IF}(t')dt'=\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt' \tag{310.1} $$ となるはずです。(310.2)は独立ではない事象を確率の積をとり、 $$ \int_t^{T_\text{lifetime}}d\!\Pr\{\text{IF fails in }(t', t'+dt]\ \cap\ \text{IF not failed till }t'\}\\ =\int_t^{T_\text{lifetime}}d\!\Pr\{\text{IF fails in }(t', t'+dt]\}\cdot\Pr\{\text{IF not failed till }t'\}\}\ \ \ \ ※1\\ =\int_t^{T_\text{lifetime}}f_\text{IF}(t')R_\text{IF}(t')dt'\\ =\int_t^{T_\text{lifetime}}f_\text{IF}(t')R_\text{IF}(\color{red}{t})dt'\ \ \ \ ※2\tag{310.2} $$ ※1 独立で無い事象の積としている
※2 積分変数を勝手に変更している

としているところが疑問です(疑問2, 3)。

どうやら、勝手に積分変数を変更しているのではなくて以下のように、 $$ \int_t^{T_\text{lifetime}}d\!\Pr\{\text{IF fails in }(t', t'+dt]\}\cdot\Pr\{\text{IF not failed till }t\}\\ =\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\tag{310.3} $$ と推測します。この場合、時刻$t$から$t'$の間の確率が無視されているので、結局誤りです。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 4, 2020 #309

第2版でのPMHF式の改訂

ISO 26262第2版になり、PMHF式が改訂されました。第1版にはなかったパターン3,4が加わった理由は、例えば冗長システムのように、IFのフォールトがレイテントになる場合を考慮したものだと認識していました。このたび「ISO 26262第2版解説書」(日本規格協会)を購入し、その背景等の情報が掲載されていたため、検討します。

さて、上記解説書によれば、パターン3, 4が加わった理由は、「フォールトトレラントが要求されるアイテムの場合では、それ以外の順序、状況も想定できる」とあります。それ、というのは第1版の前提の意味であり、「安全機構、意図した機能の順でフォールトが発生する場合」とあります。すなわち、それ以外というのは、意図機能(IF)、安全機構(SM)の順番でフォールトが発生する場合であり、IFのフォールトがレイテントとなる場合に他なりません。これは弊社論文で2017年に指摘していたとおり、初版のPMHF式は冗長システムに対応していなかったことを裏書きします。

解説書には、今まで謎だったPMHF式の導出過程が載っていたので、それを解析します。

パターン1

図309.1は、第1版にも存在した、パターン1=「安全機構、意図した機能の順でフォールトが発生する場合で安全機構のフォールトが検出されない場合」です。

図%%.1
図309.1 パターン1

パターン1の導出過程を、記法を弊社と合わせたものを示します。弊社では先に$T_\text{lifetime}$で割るため、 $$ \frac{1}{T_\text{lifetime}}F_\mathrm{DPF,SM_\text{latent}\rightarrow IF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left((1-K_\text{SM,MPF})f_\text{SM}(t)\\ \cdot\int_t^{T_\text{lifetime}}K_\text{IF,DPF}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\right)dt \tag{309.1} $$ そもそもこの式の成立に問題がありそうですが、それはさておき、式変形を辿ってみます。まず、(309.1)においてIFに関する演算を先に実行すれば、 $$ \require{cancel} \int_t^{T_\text{lifetime}}K_\text{IF,DPF}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\\ =K_\text{IF,DPF}\left(F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right) R_\text{IF}(t)\\ =K_\text{IF,DPF}\left((\bcancel{1}-e^{-\lambda_\text{IF}T_\text{lifetime}})-(\bcancel{1}-e^{-\lambda_\text{IF}t})\right)e^{-\lambda_\text{IF}t}\\ \approx\lambda_\text{IF,DPF}(T_\text{lifetime}-t)(1-\lambda_\text{IF}t) \tag{309.2} $$ (309.2)を(309.1)に代入して、 $$ \frac{1}{T_\text{lifetime}}F_\mathrm{DPF,SM_\text{latent}\rightarrow IF}\\ =\frac{1}{T_\text{lifetime}}(1-K_\text{SM,MPF})\int_0^{T_\text{lifetime}}f_\text{SM}(t)\lambda_\text{IF,DPF}(T_\text{lifetime}-t)(1-\lambda_\text{IF}t)dt \tag{309.3} $$ これと図309.1の2行目を比較すると、なぜか、 $$ \int_0^{T_\text{lifetime}}\color{red}{f_\text{SM}(t)}dt=\int_0^{T_\text{lifetime}}\color{red}{\lambda_\text{SM}}dt $$ と式変形しているようです(疑問1)。左辺の$f_\text{SM}(t)$に$R_\text{SM}(t)$をかければこうなりますが、$R_\text{SM}(t)$は式中に存在しないので、単純な計算ミスでしょうか?そうでなく、無理やり$R_\text{SM}(t)\approx1$を用いたと考えても、一方で$R_\text{IF}(t)$を計算しているのは片手落ちです。

【追記】 このようなことかもしれません。 $$ \int_0^{T_\text{lifetime}}f(t)dt=\left[F(t)\right]^{T_\text{lifetime}}_0=F(T_\text{lifetime})-F(0)=F(T_\text{lifetime})\\ =1-e^{-\lambda T_\text{lifetime}}\approx\lambda T_\text{lifetime}=\int_0^{T_\text{lifetime}}\lambda dt=\lambda\int_0^{T_\text{lifetime}}dt $$ $f(t)$の積分は$\lambda$として外に出せるという公式となります。上式の$R_\text{IF}(t)$にしても、式変形途中では$1-\lambda_\text{IF}t$としていますが、最終的に$R_\text{IF}(t)\approx1$としています。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 3, 2020 #308

FTA

A. 定量的な FTA の適用可能性と使用の制限

PMHF論文das2016$\dagger$の続きです。

以下の段落では一般論を述べています。

Quantitative methodologies are a useful tool in safety assurance processes, where the objective is to reduce risk to a quantifiably acceptable level by estimating the rates of occurrence of hazardous events. Standards such as IEC 61508 are based strongly on this principle. Given such an estimate of the probability of safety-related hazards, the risk can in principle be mitigated to an acceptably low level.

定量的方法論は、危険事象の発生率を推定することにより、リスクを定量的に許容できるレベルまで低減することを目的とした安全保証プロセスにおいて有用なツールである。IEC 61508 などの規格は、この原則に強く基づいている。安全に関連するハザードの発生確率をこのように推定すれば、原則としてリスクは許容可能な低レベルにまで軽減することができる。

以下の段落ではシステマティックフォールトを混ぜて議論していますが、混ぜるとわけがわからなくなります。対処する手法が異なるからです。ここではランダムハードウェア故障に絞って議論したほうが良いでしょう。  

However, there are several critical limitations to such methods that must be recognized. While random failures in electronic hardware may be modeled with probabilistic methods, systematic failures (for example in deterministic software) cannot be modeled in this way. This may lead the analyst to under-represent or overlook important systematic failures [8]. There is wide variability in underlying data available for the reliability failure of electronic components, which in turn leads to calculations with a relatively wide range of uncertainty. There is also evidence of a tendency for the analyst to believe in the independence of events which are represented independently in the FTA, while objective observation would find a correlation between events [9]. ISO 26262 takes steps to mitigate these limitations, for example by recognizing the primacy of process adherence in preventing and avoiding systematic faults, which are not generally quantifiable by probabilistic methods. It is important to remember that analyst judgment is a critical factor in the success of a quantified FTA. The analysis is neither a formal proof nor a validation of safety, but merely a structured record of the analyst's best understanding.

しかし、このような方法には、認識しなければならないいくつかの重大な限界がある。電子ハードウェアのランダムな故障は確率論的手法でモデル化することがでるが、系統的な故障(例えば決定論的ソフトウェア)はこの方法ではモデル化できません。このため、解析者は重要なシステマティックな故障を過小評価したり、見落としたりする可能性がありる[8]。電子部品の信頼性故障について利用可能な基礎データには大きなばらつきがあり、その結果、比較的広い範囲の不確実性を伴う計算が行われることになる。また、客観的な観察ではイベント間の相関関係を見つけることができるのに対し、分析者は、FTA で独立して表現されているイベントの独立性を信じる傾向があるという証拠もある[9]。ISO 26262 は、確率論的手法では一般的に定量化できないシステマティックな欠陥の予防と回避において、プロセスの堅持が重要であることを認識するなど、これらの制限を緩和するための措置を講じている。分析者の判断が定量化された FTA を成功させるための重要な要素であることを覚えておくことが重要である。解析は、安全性の正式な証明でも検証でもなく、解析者の最善の理解を構造化した記録に過ぎない。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

posted by sakurai on September 2, 2020 #307

FTA

PMHF論文das2016$\dagger$の続きです。

FTAの説明と、それによるPMHFの導出の概略を述べています。

FTA is a logical combination of intermediate events and basic events, which can be assembled using AND and OR logical operators to analyze the effects of component faults on system failures. In a safety analysis, the FTA typically begins with a top-level event representing a major hazardous event, and/or the violation of a safety goal or Functional Safety Requirement, as defined in ISO 26262. The analysis is then performed by deducing what conditions or events would lead to the top-level event, and in what logical combination. The method has been in use in industrial settings for several decades (see for example [3], [4], [5]). More recently, the method has been applied to automotive systems [6], [7] and suggested for wider use as an analysis framework. In some cases, the FTA may be qualitative in nature. If probabilities of the underlying lower-level events can be estimated, then an estimate of the probability can be made for the top-level event. The PMHF is just such a quantitative estimation.

FTA は、中間イベントと基本イベントを論理的に組み合わせたもので、AND と OR 論理演算子を使って組み立てることで、コンポーネントの故障がシステムの故障に与える影響を分析することができる。安全解析では、FTAは通常、主要な危険イベントや、ISO 26262で定義されている安全目標や機能安全要件の違反を表すトップレベルのイベントから始まる。次に、どのような条件や事象がトップレベルの事象につながるのか、どのような論理的な組み合わせで行われるのかを推論することで分析が行われる。この手法は、数十年前から産業界で使用されている (例えば [3], [4], [5] を参照)。最近では、この手法が自動車システムに適用され [6], [7]、解析フレームワークとしての幅広い利用が提案されています。いくつかのケースでは、FTA は定性的な性質を持っています。もし、基礎となる下位レベルのイベントの確率が推定できれば、上位レベルのイベントの確率を推定することができます。PMHF はまさにそのような定量的な推定である。

本論文は、初版の規格を別にすればPMHF式とFTAを結び付けた初めての論文で、重要論文です。しかしながら1st editionの範囲に留まっています。1st editionの範囲とは、IFがアンリペアラブルという意味です。従って、冗長サブシステムには用いることができません。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

posted by sakurai on September 1, 2020 #306

イントロダクション

PMHF論文das2016$\dagger$の続きです。

FTAの説明とフレームワークの必要性を述べています。

Fault Tree Analysis (FTA) is a method often proposed for calculation of the PMHF in real-world systems. However, FTA is a very general method, subject to a wide range of interpretations and techniques depending on the objectives of a given problem, the type of failures & faults being considered, and the terminology employed by various industries. There is not yet an accurate and well-explained practical guide to the specific techniques appropriate for PMHF calculation in the automotive industry. For example, large and complex systems, such as those that comprise real-world automotive products, are often difficult to capture in an FTA in a systematic and repeatable way. The use of diagnostic coverage (D.C.) (e.g., by an imperfect safety mechanism which may detect some but not all element faults) is often utilized in hardware metric calculations. However, D.C. concepts are not widely clarified in the industry literature, leaving a gap in understanding for many FTA practitioners. At lower levels of the FTA, specific frameworks for calculating the effect of single-point and dual-point faults (including dual-point latent faults) are necessary to obtain a correct PMHF estimation. All these topics will be addressed here along with a worked automotive example.

フォールトツリー解析(FTA)は、実世界のシステムにおけるPMHFの計算のためにしばしば提案される手法です。しかし、FTAは非常に一般的な手法であり、与えられた問題の目的、考慮される故障や故障の種類、そして様々な業界で採用されている用語に応じて、幅広い解釈や技術の対象となっています。自動車産業におけるPMHF計算に適した特定の技術については、正確かつ十分に説明された実用的なガイドはまだ存在しません。例えば、実際の自動車製品を構成するような大規模で複雑なシステムは、体系的で再現性のある方法でFTAに取り込むことが困難な場合が多い。診断カバレッジ(D.C.)(例えば、一部の要素の故障は検出できるが、すべての要素の故障は検出できない不完全な安全機構)の使用は、しばしばハードウェアメトリックの計算に利用されます。しかし、D.C.の概念は業界の文献では広く明確にされておらず、多くのFTA実務者にとっては理解にギャップがあります。FTA の低レベルでは、正しい PMHF 推定を得るためには、単点および二点故障(二点潜伏故障を含む)の影響を計算するための特定のフレームワークが必要となります。ここでは、これらすべてのトピックについて、実際の自動車の例を挙げながら解説します。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢


ページ: