論文の概要

あるASILデコンポジション(またはASIL分解とも言う)論文$\dagger$を読み込みます。これは投稿論文の参照論文ではありませんが、ASILデコンポジションを題材としていて非常に参考になるため、ここで取り上げます。

アブストラクト

アブストラクトは非常に短く、以下の1文だけです。

This paper examines the ISO 26262 approach to ASIL decomposition, more appropriately called “requirements decomposition”, and how it may be applied correctly during the requirements analysis and architectural design of a safety-related automotive control system.

本稿では、ASIL分解（より適切には「要求分解」と呼ばれる）に対するISO 26262のアプローチを検証し、安全関連の自動車制御システムの要求分析やアーキテクチャ設計の際に、どのようにして正しく適用できるかを検討する。

本論文の筆者は一貫してASIL分解は良くない言葉であり、その代わりに要求分解と言うべきであると主張しています。その通りであり、本来は要求を分解するのが主目的で、結果的に要求の属性であるASILも分解されるということです。

しかしながら、本論文の筆者も論文タイトルであえて使用しているように、「ASIL分解」が一般化してしまっているのが現状です。要は、ASILデコンポジションの正しい意味を理解し、要求分解によるASILの低減のことであると認識した上で、ASILデコンポジションの用語を使用すれば良いと思います。

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

PMHFと基本的な信頼性計算(続き)

論文sae2020$\dagger$のPMHFと基本的な信頼性計算(続き)です。

ISO 26262-2018 designates the average probability of failure per hour over the operational lifetime as the probability that the item will fail before its lifetime $T_\text{Lifetime}$ as $Prob(t ≤ T_\text{Lifetime})/T_\text{Lifetime}$. In order to simplify the notations and improve the understanding, in this paper we will designate the average probability of failure per hour (assuming these faults are independent) as $P_{avg/t}$ and express it as a product of probabilities of failures required for a system to fail over the time of operation:

ISO 26262-2018 では、運用寿命における 1 時間当たりの平均故障確率を、その品目がその寿命$T_\text{Lifetime}$までに故障する確率を$Prob(t ≤ T_\text{Lifetime})/T_\text{Lifetime}$として指定している。表記を簡略化して理解を深めるために、本稿では、1時間あたりの平均故障確率を（以下のように仮定して）指定することにする。 これらの故障は独立している)を$P_{avg/t}$とし、システムが運転中に故障するのに必要な故障確率の積として表現します。

ISO 26262-2018がPMHFを $$\frac{\Pr(t ≤ T_\text{Lifetime})}{T_\text{Lifetime}}$$ のように規定していると書かれているが、これは正しくありません。

たしかに、ISO 26262:2018ではPart10 8.4において、PMHFを次のように書いています。

The following shows the derivation of the average probability of failure per hour over the operational lifetime of the item regarding single point faults.
(略)
Then, average probability of failure per hour (according to ISO 26262-5), over operational life time (Tlifetime) is:
$$\frac{\Pr(t ≤ T_\text{Lifetime})}{T_\text{Lifetime}}$$

つまり、SPFについての式であると限定しています。SPFにおいてはフォールトの発生により直ちにVSGとなるため、修理の時間が全く取れないので、分子はReliabilityで良いのですが、本来は、Reliabilityに加えて修理を考慮したAvailabilityでなければなりません。

確率式で書き直すと、SPFに限れば、PMHFは $$M_\text{PMHF,SPF}=\frac{\Pr(\text{item fail till }T_\text{Lifetime})}{T_\text{Lifetime}}$$ で良いですが、一般には $$M_\text{PMHF}=\frac{\Pr(\text{item down at }T_\text{Lifetime})}{T_\text{Lifetime}}$$ とするべきです。本論文に限らず、多数の論文がPMHF結果式を無視していますが、PMHF結果式を適用すべきです。

この論文の次の段落からは、ISO 26262の精神のひとつである指数分布をワイブル分布に一般化しており、ISO 26262を逸脱するため、検討はここまでとします。

結論として、PMHF式についての信頼性工学的な議論を期待していたのですが、SPFのみに通用する話を一般化した上、ISO 26262非互換な議論に脱線しており、期待はずれに終わりました。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

PMHFと基本的な信頼性計算(続き)

論文sae2020$\dagger$のPMHFと基本的な信頼性計算(続き)です。

The assumption of a constant failure rate, though often debated by reliability professionals, provides simplified and expedient closed-form calculations which have been utilized to assess the ASIL safety goals throughout the ISO 26262. Table 1 provides the PMHF values expressed as failure rates in units of FIT (Failures In Time) defined as 10^9 times the number of failures divided by the product of the number of components and their operating hours before failure. A convenient metric is 1 FIT = 1 PPM per 1000 hours of operation corresponding to each ASIL safety goal.

一定の故障率の仮定は、信頼性の専門家によってしばしば議論されているが、簡略化された簡便なクローズドフォーム計算を提供し、ISO 26262 の ASIL 安全目標を評価するために利用されている。表1は故障率を、$10^9$倍した故障回数を部品点数と故障前の稼働時間の積で除した値のFIT (Failures In Time)の単位で表したPMHF値を示している。便利な指標は、各ASILの安全目標に対応する運転時間1000時間あたりの1FIT=1PPMである。

1000時間につき1PPM(=$10^{-6}$)とは、誤りではありませんが、中途半端な例示です。PPMを持ち出すなら1時間に1PPB(=$10^{-9}$)とするか、1回/$10^9$時間とするかいずれかでしょう。

Determining the probability of a fault causing a safety-critical failure ISO 26262 Part 5 requires that they are analyzed and classified into six different categories: (a) Safe, (b) Single point, (c) Residual, (d) Detected multi-point, (e) Perceived multi-point and (f) Latent multi-point. Residual is the portion of the fault which is not controlled by a safety mechanism. Latent faults are not detected by safety mechanisms or perceived by the driver. Perceived faults may be detected indirectly through deviating behavior on the vehicle level. Multiple- point faults result in several hardware faults whereas single-point fault requires just one. More detailed explanations of these fault categories and the guidance of calculating PMHF for these types of faults are provided by the ISO 26262 Parts 1 and 5. However, in this paper, we will focus on the two major types of failures: single-point and multi-point faults.

ISO 26262 Part 5では、安全上重要な故障の原因となる故障の確率を決定するために、故障を分析し、6つの異なるカテゴリーに分類することを要求している。(a) 安全、(b) 単一点、(c) 残留、(d) 検出された多点、(e) 知覚された多点、(f) 潜在的多点である。残留は，安全機構によって制御されていない故障の部分である。潜在的な欠陥は、安全機構によって検出されず、運転者によって感知されない。知覚されたフォルトは、車両レベルでの逸脱した動作によって間接的に検出されることがある。多点フォルトは複数のハードウェアフォルトを発生させるのに対し、シングルポイントフォルトは1つのハードウェアフォルトを必要とします。これらの故障カテゴリの詳細な説明や、これらのタイプの故障に対する PMHF の計算方法については、ISO 26262 第 1 部と第 5 部に記載されている。しかし、本稿では、単一点故障と多点故障という 2 つの主要なタイプの故障に焦点を当てる。

多点フォルトが複数のハードウェアフォルトを必要とするという事実と、レイテントフォルトの説明が別に書かれているため、著者は理解しているのかどうかが不明です。レイテントフォルトは1点フォルトであるにも関わらず、マルチポイントフォルトと名付けられているからです。上記の説明ではその説明が無いため、レイテントフォルトがが複数のハードウェアフォルトを発生するともとられかねません。

However, dealing with multi-points faults is more challenging. In reliability engineer’s terminology, this would be similar to modeling (although with some subtle differences) a parallel system. The failure rate of such a system would no longer be constant, but rather a function of time which makes it more difficult to express PMHF in terms of failure rates. For that purpose, the new version of the ISO 26262 standard introduces a new metric, Average Probability of Failure per Hour for the Lifetime. It is important to note that this metric is not commonly used by the reliability and design professionals and, therefore, will require some further explanation.

しかし、多点故障への対応はより困難です。信頼性エンジニアの用語で言えば、これは並列システムのモデリングに似ています（微妙な違いはありますが）。このようなシステムの故障率はもはや一定ではなく、むしろ時間の関数となり、PMHFを故障率で表現することはより困難になる。そのために、ISO 26262の新バージョンでは、新しいメトリック「Average Probability of Failure per Hour for the Lifetime」が導入されている。このメトリックは、信頼性や設計の専門家が一般的に使用しているものではないことに注意が必要であり、そのため、もう少し説明が必要である。

前稿でも説明したとおり、規格の新バージョンで「Average Probability of Failure per Hour for the Lifetime」が導入されたわけではありません。さらに、表現は違いますが、これは信頼性や設計の専門家が一般的に使用しているものです。規格に明確に書かれていないのが原因ですが、Part 10のPMHF式を検証すれば、PFHの定義式と同じことがわかります。

ちなみに、PFHの定義は、ISO 12489で定義されているとおり、不稼働密度を0から車両寿命まで積分して時間平均をとったものです。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

ISO 26262とPMHFのコンセプト(続き)

論文sae2020$\dagger$のISO 26262とPMHFのコンセプト(続き)です。

The PMHF and all the related failure rate calculations in a product development team are often handled by a reliability engineer and even though the standard uses the metrics reflecting the probability of failure (or unreliability in reliability engineer’s terms), some of the approaches and metrics used by ISO 26262 are not that of reliability engineering practice. Therefore, the objective of this paper is to explain some of the metrics and calculations suggested by the Functional Safety standard in reliability engineering terms in order to make their application easier.

製品開発チームにおける PMHF や関連するすべての故障率計算は信頼性技術者が担当することが多く、規格では故障の確率（信頼性技術者の用語では不信頼度）を反映したメトリクスを使用しているにもかかわらず、ISO 26262 で使用されているアプローチやメトリクスの中には、信頼性工学の実務とは異なるものもある。そこで、本稿の目的は、機能安全規格で提案されているメトリクスや計算の一部を信頼性工学の用語で説明し、その適用を容易にすることである。

「故障の確率（信頼性技術者の用語では不信頼度）」という表現は、ISO 26262的には誤りです。故障の確率や不信頼度(これらは修理を含まない)ではなく修理を考慮した不稼働度が正しい表現です。次の章で説明しますが、これについてはほとんどの論文が同じ誤りを犯しています。その理由は、規格に数学的な説明が無いためであり、これはPMHF式を自ら導出して初めて理解されることです。

PMHFと基本的な信頼性計算

In order to link the PMHF and reliability terminology, certain basics of reliability calculations need to be briefly covered here which can be found in multiple sources (see, for example, [3]). If the random failures in the field can be modeled by a statistical distribution with the probability density function (pdf) f(t), then the cumulative distribution function (CDF) F(t) representing the probability of failure at the time t or unreliability can be calculated as:

PMHF と信頼性の用語を結びつけるために、信頼性計算のある種の基礎をここで簡単に説明する必要があります。現場でのランダムな故障が確率密度関数(pdf) f(t)を持つ統計分布でモデル化できるならば、時刻 t での故障の確率または信頼性の低下を表す累積分布関数(CDF) F(t)は次のように計算できます。

故障だけを考えれば、PMHFは確率密度関数(PDF)あるいは、その累積分布関数である不信頼度(CDF)により表されるのですが、一方ISO 26262では2nd order SMによる周期的な故障検出と修理を仮定しています。従って、修理を考慮すると、不信頼度$F(t)$は不稼働度$Q(t)$に変更する必要があり、確率密度$f(t)$は不稼働密度(PUD)$q(t)$に変更する必要があります。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

ISO 26262とPMHFのコンセプト

論文sae2020$\dagger$のISO 26262とPMHFのコンセプトです。

ISO 26262 Part 5 introduces the concept of PMHF associating it with the failure rate of the safety-critical system or subsystem. A target value for the PMHF for each safety goal is shown in Table 1. The values in the column “Random hardware failure target values” are failure probabilities and derived using the calculation methods described later in this paper.

ISO 26262 第 5 部では、PMHF の概念を、安全上重要なシステムやサブシステムの故障率と関連付けて紹介している。各安全目標に対する PMHF の目標値を表 1 に示す。また、「ランダムハードウェア故障目標値」の欄の値は故障確率であり、後述の計算方法を用いて算出したものである。

この表1のランダムハードウェア故障目標値の欄の値は故障確率というのは誤りです。ランダムハードウェア故障目標値というのはPMHF値であり[1/H]の次元を持つ値です。一方故障確率は無次元の値なので、次元が不整合です。修正するならば、「時間平均した故障確率(time-averaged failure probabilities)」となります。

To verify that the system hardware design meets the defined target values, failure rates are calculated based on the hardware parts involved in the system bill of materials. Failure rates of hardware parts can be estimated based on either one of three sources:
a) hardware part failure rate data from a recognized industry source.
b) statistics based on field returns or tests (with an adequate confidence level),
c) expert judgment founded on an engineering approach based on quantitative and qualitative arguments.

システムハードウェア設計が定義された目標値を満たしていることを確認するために、システム部品表に含まれるハードウェア部品に基づいて故障率を計算します。ハードウェア部品の故障率は、以下の 3 つのソースのいずれかに基づいて推定することができる。
a) 業界で認められた情報源からのハードウェア部品の故障率データ。
b) 現場での返品または試験に基づく統計（十分な信頼度を有する）。
c) 量的および質的な議論に基づく工学的アプローチに基づいて確立された専門家の判断。

PMHFを計算するためには部品故障率が必要ですが、その部品故障率をどこから引用するかについて書かれています。データハンドブック、信頼性試験結果、その他という3通りです。

Therefore, in the calculations, different failure rate sources can be used for different hardware parts of the system. The process of selecting electronic components to meet the ASIL safety goals can be complicated, especially when meeting higher safety goals, like ASIL C or ASIL D. This paper suggests a process flow to select electronic components to meet the required ASIL safety goals including the additional steps when met with challenges to accomplish that. The diagram with explanations is shown in the Appendix of this paper.

したがって、計算では、システムの異なるハードウェア部品に対して異なる故障率ソースを使用することができる。本論文では、要求されたASILの安全目標を満たすために電子部品を選択するプロセスフローを、それを達成するための課題に直面した場合の追加ステップを含めて提案する。解説付きの図は、本稿の付録に示されている。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

イントロダクション

論文sae2020$\dagger$のイントロダクションです。

まずISO 26262の概要を述べています。

ISO 26262 is an international standard for functional safety of electrical and/or electronic systems in production automobiles.

ISO 26262 は、生産用自動車の電気・電子システムの機能安全性に関する国際規格である。

The standard applies to all activities during the lifecycle of safety-related systems comprised of electrical, electronic, and software components.

この規格は、電気・電子・ソフトウェアコンポーネントで構成される安全関連システムのライフサイクルにおけるすべての活動に適用される。

The 2011 version of the standard [1] consists of 10 parts covering various aspects of the system's design and development at the system, software, hardware, production and operation and the new 2018 version of the standard [2] has 12 parts, adding applications to semi-conductors and motorcycles to the mix.

2011年版の規格[1]は、システム、ソフトウェア、ハードウェア、生産、運用におけるシステム設計と開発の様々な側面をカバーする10のパートで構成されており、2018年版の新規格[2]は12のパートで構成されており、オートモビリティへの適用が追加されている。半導体とオートバイを合わせたものである。

次に、ランダムハードウェア故障について、規格での位置づけを述べています。

ISO 26262 requires that the impacts of random hardware faults on hardware to be analyzed and the risk of safety-critical failures due to such faults is shown to be below a certain threshold.

ISO 26262では、ハードウェアのランダムな故障がハードウェアに与える影響を分析し、そのような故障による安全上の重大な故障のリスクが一定の閾値以下であることを示すことを要求している。

The document defines the ASIL (Automotive Safety and Integrity Level) classifications and sets the particular ASIL safety goals designated A through D, with D being the most stringent.

この文書では、ASIL (Automotive Safety and Integrity Level) の分類を定義し、AからDまでのASILの安全目標を設定している。

For most hardware design and validation engineers, this requirement exposed them to a new paradigm with unaccustomed procedures and terminology such as ASIL, PMHF (Probabilistic Metric for Random Hardware Failures), and others.

ほとんどのハードウェア設計および検証エンジニアにとって、この要件は、ASIL、PMHF（ランダムハードウェア障害のための確率的メトリック）などのような、慣れない手順や用語を使用した新しいパラダイムに触れることになった。

この論文の目的を述べています。

The goal of this paper is to explain some of the terminology and the engineering approaches of ISO 26262 and make them more compatible with the terminology and methods used by design and reliability professionals involved in calculating PMHF to assess the ASIL levels of safety-critical systems.

この論文の目的は、ISO 26262の用語とエンジニアリングアプローチの一部を説明し、安全クリティカルシステムのASILレベルを評価するためにPMHFを計算する際に設計・信頼性の専門家が使用する用語と方法との互換性を高めることである。

イントロダクションは特に問題ありません。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

In order to clarify how PMHF is calculated within the content of ISO 26262, this paper will discuss how to calculate both the failure rate and the average probability of failure per hour in terms of definitions, sources of the data, applications, and advantages and disadvantages.

本稿では、ISO 26262 の内容の中で PMHF がどのように計算されるのかを明確にするために、定義、データの出所、アプリケーション、メリットとデメリットの観点から、故障率と時間当たりの平均故障確率の計算方法を議論する。

PMHFの定義や前提、導出過程を説明した文献は、弊社のブログや論文以外に全く無いため、非常に興味深い部分で本文を読むのが楽しみです。

It will also present examples of calculating PMHF including the average probability of failure per hour for a non-exponentially distributed failure population as well as an example of a system with redundancy.

また、指数関数的に分布していない故障集団の1時間当たりの平均故障確率を含むPMHFの計算例と、冗長性を持つシステムの例を紹介する。

弊社は、ISO 26262の精神の基礎は以下の2つに置かれていると考えます。

• 故障率は一定＝故障率はバスタブカーブの偶発故障期間
• 定期検査・修理による故障からの復旧(リニューアル)

従って、非指数分布の故障を考えることはISO 26262を逸脱するものであり、不要だと考えます。単純な指数分布でさえ、項目2が十分考慮されていない現状を鑑みると、まず上記2項目をきちんと理解することが先だと考えます。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

The new version of the standard expands the PMHF concept by further promoting a new metric “average probability of failure per hour over the operational lifetime of the item”, which has not been commonly used by the reliability engineering community.

本規格の新バージョンでは、これまで信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という新しい指標をさらに推進することで、PMHFの概念を拡張しています。

既に2つ問題があります。まず1つ目は、新バージョンになってPMHFが進化した、拡張されたと書かれていますが、PMHFの文字上の定義は初版と第２版の間では変わっていません。規格を見てみましょう。

ISO 26262:2011(初版) Part5

• 9.4.2.1 "Quantitative target values for the maximum probability of the violation of each safety goal due to random hardware failures"
• 9.4.2.2 "Quantitative target values of requirement 9.4.2.1 shall be expressed in terms of average probability per hour over the operational lifetime of the item"

ISO 26262:2018(第2版) Part5

• 9.4.2.1 "Quantitative target values of requirements 9.4.2.2 or 9.4.2.3 shall be expressed in terms of average probability per hour over the operational lifetime of the item"
• 9.4.2.2 "Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures"

初版と第2版で定義の順番が変わっていたり、"at item level"と微小な追加があったりしますが、基本的には同じことを言っています。日本語に訳せば、「アイテムの稼働期間中の1時間あたりの平均確率で表した、ランダムハードウェア故障によるアイテムレベルでの各安全目標違反の最大確率の定量的目標値」となります。

もう一つの問題は、信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という部分で、これは既にISO 12489の3.1.23に書かれているPFHが相当します。ISO 12489の原文を読めば3.1.23の平均故障頻度(average failure frequency)の項に、

The average failure frequency is also called “Probability of Failure per Hour” (PFH) by the standards related to functional safety of safety related/instrumented systems (e.g. IEC 61508[2]): PFH = $\overline{w}(T)$ where $T$ is the overall life duration of the system.

平均故障頻度は、安全関連／計装システムの機能安全に関連する規格（例：IEC 61508[2]）では、"Probability of Failure per Hour"（PFH）とも呼ばれている。PFH = $\overline{w}(T)$ ここで、$T$はシステムの全体的な耐用年数である。

と書かれています。平均故障頻度はPFHとも呼ばれ、故障頻度(=故障確率密度)を0から車両寿命まで積分したものを車両寿命で平均化したものです。

この段落の問題をまとめると、

• PMHFの定義は第2版で拡張されていない(=初版と同じ定義である)
• PMHFは新しいなじみのない概念ではない(=ISO 12489で既に定義されているPFHと同じ)

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

他の論文を読む意味

論文を執筆するにあたって、既存の論文の調査は必須です。論文には必ず新規な発見や理論を記述する必要がありますが、既存の論文で書かれていることを再度書いても意味が無いためです。特許と同様、論文にも新規性が最も重要です。

IEEE XploreにおいてキーワードをPMHFとして検索すると、以下の4つの論文が検索されました。そのうち2つは弊社の論文ですので、他の2つの論文を検討します。

sakurai2017:

A. Sakurai, "Generalized formula for the calculation of a probabilistic metric for random hardware failures in redundant subsystems," 2017 IEEE Symposium on Product Compliance Engineering (ISPCE), San Jose, CA, 2017, pp. 1-5, doi: 10.1109/ISPCE.2017.7935021.

　 sae2020:

Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies," in The Safety of Controllers, Sensors, and Actuators , SAE, 2020, pp.85-94.

　 das2016:

N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

　 sakurai2020:

S. Atsushi, "Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262," 2020 Annual Reliability and Maintainability Symposium (RAMS), Palm Springs, CA, USA, 2020, pp. 1-6, doi: 10.1109/RAMS48030.2020.9153704.

RAMS 2020論文の参照論文

RAMS 2020で論文を発表しましたが、その参照論文を読んで行きます。論文中に他の論文を参照する場合は、紙面が限られているため、大まかに一言でまとめるしかないのですが、ブログではもう少し細かく見ていくことが可能です。

早速sae2020,「Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies(ISO 26262 機能安全新版におけるランダムハードウェア故障の確率メトリック(PMHF)の算出方法とケーススタディ)」$\dagger$を取り上げます。

アブストラクト

以降翻訳はDeepLによるものです。

The Automotive Functional Safety standard ISO 26262 introduced a PMHF (Probabilistic Metric for Random Hardware Failures) in Part 5 and Part 10 by calculating the system failure rates and assessing the ASIL (Automotive Safety and Integrity Level) for functional safety.

自動車機能安全規格ISO26262では、第5部と第10部で、システムの故障率を計算し、機能安全のためのASIL(Automotive Safety and Integrity Level)を評価することでPMHF(Probabilistic Metric for Random Hardware Failures)を導入している。

ここまでは特に問題ありません。PMHFはPart 5で概念が提供され、Part 10で結果方程式が示されています。規格の問題は定義式が規格中に無いことです。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

機能安全について非常に良いご質問を受けたので、その解答を示します(順不同)。

1. 機能安全の設計作業、安全分析
   Q. ISO 26262機能安全対応が加わることで、設計作業はどのように変化しますか？
   A. 機能安全の考えが広まる前からでも、設計者は安全機構を設けていましたが、ISO 26262が発効してから以降は、作業のエビデンスが重要となります。その理由は、万一法廷で、どのように安全設計を実施したかを説明してくださいと問われた時、従来は設計仕様書や検証結果がきちんと残っていないことがあったためです。これでは実際には実施していても第3者への証明になりません。安全設計そのものの作業としては危険事象から原因を遡るFTAと、部品故障等の原因から危険事象を辿るFMEAの両方を実施し、安全分析を行います。このような安全分析手法を実施し、証拠書類を保管することがISO 26262規格により推奨されています。

2. 製品ライフサイクルとは
   Q. ISO 26262のカバー範囲は設計作業なのでしょうか?
   A. いいえ、製品ライフサイクル、具体的には製品企画から廃棄までの全ての工程で、安全を担保する必要があります。例えばエアバッグ等は火薬が仕込まれているので、廃棄段階でも安全な廃棄方策をとる必要があります。あるいは保守工程において、ROMの誤書き込みを防止するなどの注意をする必要があります。安全要求を文書化し、製品の設計、製造、保守、廃棄工程において遵守する必要があります。

3. 階層の上から下のどこまで遵守するのか
   Q. 自動車産業はピラミッド階層構造ですが、OEM/1st tier/2nd tier等の階層のどこまでがISO 26262の対象となりますか？
   A. 全ての階層で遵守する必要があります。ISO 26262は車載電気電子システムの機能安全規格であり、通常車載電気電子機器は分散開発されます。この各層のそれぞれのプレイヤーが作業を分担し、トータルの車載システムとして安全を担保するのが規格の目的であるため、半導体ベンダーと言えども責任を免れることはできません。

4. 中国、韓国の状況
   Q. ISO 26262に対する中国、韓国の状況はいかがでしょうか？
   A. 新型コロナショックで一時的にスローダウンしていますが、一昨年あたりから対応の必要性がより強く認識されるようになってきました。2011年にISO 26262規格初版が発効されましたが、日本においては、大手OEMやサプライヤーはそれ以前のドラフト段階からISO 26262の活動に参加し、社内体制を整備してきました。それに比べると中国、韓国のOEM、サプライヤーの認識には数年の遅れがあり、数年前は安全に対しての意識は高くありませんでした。しかし、2018年の第2版の発効以降、急速に盛り上がってきています。

前のブログ 次のブログ