Posts Tagged with "2nd Edition"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on June 26, 2019 #118

SPFMの分割

Part5 8.4.7にSPFMの分割例が新設されました。例えばアイテムがレメントA, B, Cから構成され、 $$ \lambda_{\mathrm{total}}=\lambda_{\mathrm{A}}+\lambda_{\mathrm{B}}+\lambda_{\mathrm{C}} $$ であり、それぞれのエレメントA, B, Cに対するSPFMの目標値を、$M_{\mathrm{SPFM,A}}$, $M_{\mathrm{SPFM,B}}$, $M_{\mathrm{SPFM,C}}$とするとき、 $$ \left[\frac{\lambda_{\mathrm{A}}}{\lambda_{\mathrm{total}}}M_{\mathrm{SPFM,A}}+ \frac{\lambda_{\mathrm{B}}}{\lambda_{\mathrm{total}}}M_{\mathrm{SPFM,B}}+ \frac{\lambda_{\mathrm{C}}}{\lambda_{\mathrm{total}}}M_{\mathrm{SPFM,C}}\right]\ge M_{\mathrm{SPFM,Itemtarget}}\tag{118.1} $$ となるような任意の$M_{\mathrm{SPFM,A}}$, $M_{\mathrm{SPFM,B}}$, $M_{\mathrm{SPFM,C}}$の目標値を許容する、とあります。これは、例えばASIL-Dであれば、$M_{\mathrm{SPFM,Itemtarget}}\ge99\%$であるとき、A, B, Cそれぞれのエレメントが99%以上無い場合でも、故障率の比(故障率密度が一定であれば面積比)により重みづけされたSPFMを計算し、結果が目標を満足していれば良いという意味です。

具体例で見てみます。故障率比率がそれぞれ $$ \frac{\lambda_{\mathrm{A}}}{\lambda_{\mathrm{total}}}=98\%, \frac{\lambda_{\mathrm{B}}}{\lambda_{\mathrm{total}}}=1\%, \frac{\lambda_{\mathrm{C}}}{\lambda_{\mathrm{total}}}=1\% $$ であるとき、(118.1)を満たす$M_{\mathrm{SPFM,A}}$, $M_{\mathrm{SPFM,B}}$, $M_{\mathrm{SPFM,C}}$の組み合わせはいろいろ考えられますが、例えば故障率比率の大きなエレメントAのSPFMが比較的大きい場合を考え、例えば以下のようであるとすれば、 $$ M_{\mathrm{SPFM,A}}=99.9\%, M_{\mathrm{SPFM,B}}=60.0\%, M_{\mathrm{SPFM,C}}=60.0\% $$ である場合、(118.1)左辺は、 $$ (118.1)=\img[-1.35em]{/images/withinseminar.png} $$ となり、アイテムターゲットのSPFMである99%以上を満足します。

別の値の例としては、 $$ M_{\mathrm{SPFM,A}}=99.99\%, M_{\mathrm{SPFM,B}}=51.0\%, M_{\mathrm{SPFM,C}}=51.0\% $$ である場合、(118.1)左辺は、 $$ (118.1)=\img[-1.35em]{/images/withinseminar.png} $$ となり、アイテムターゲットのSPFMである99%以上を満足します。

このような組み合わせは無数にありますが、上記のように$M_{\mathrm{SPFM,B}}=M_{\mathrm{SPFM,C}}$でありこれを横軸として、縦軸を$M_{\mathrm{SPFM,A}}$とすれば、解の領域は図118.1のグリーンの領域となります。

図%%.1
図118.1 分割された$M_{SPFM}$の解空間

同様にPart5 8.4.8に、LFMについても分割例が記述されました。それぞれのエレメントA, B, Cに対するLFMの目標値を、$M_{\mathrm{LFM,A}}$, $M_{\mathrm{LFM,B}}$, $M_{\mathrm{LFM,C}}$とするとき、 $$ \left[\frac{\lambda_{\mathrm{A}}}{\lambda_{\mathrm{total}}}M_{\mathrm{LFM,A}}+ \frac{\lambda_{\mathrm{B}}}{\lambda_{\mathrm{total}}}M_{\mathrm{LFM,B}}+ \frac{\lambda_{\mathrm{C}}}{\lambda_{\mathrm{total}}}M_{\mathrm{LFM,C}}\right]\ge M_{\mathrm{LFM,Itemtarget}}\tag{118.2} $$ となるような任意の$M_{\mathrm{LFM,A}}$, $M_{\mathrm{LFM,B}}$, $M_{\mathrm{LFM,C}}$の目標値を許容する、とあります。

$M_\mathrm{LFM}$の解空間は$M_\mathrm{SPFM}$と同様に導出することができます。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 25, 2019 #117

意図

Annex Hが新設された意図は、Part5 8.4.8でLFMの目標値の設定方法を3種あげていますが、その実例を示すものです。例えば8.4.8のa)は、「8.4.6に記述される"レイテントフォールトメトリック”の目標値を満足する」とありますが、Annex Hでは例を通じてその計算を行っています。

以下に1st SMの故障抑止能力(DC)が故障検出に基づくものと、故障抑止に基づくものの2パターンの例を挙げています。

第1例

故障検出に基づくフォールトは、検出されるからVSG抑止されるのであってその逆ではありません。ということは、抑止された分の検出割合は常に100%です。これは2nd SMとしての検出率が100%であることを意味し、図117.2でも示すように、グリーンで示した主機能のレイテントフォールトはゼロであることを意味します。 一方、SM(1st SM)のフォールトはSG侵害しないため、2nd SMの検出率により、検出から漏れた部分がレイテントフォールトとなります。

図%%.1
図117.1 フォールト検出に基づくSM

図%%.2
図117.2 フォールト検出に基づくSMを含むFMEDA

第2例

一方、SG侵害抑止に基づき、検出を行わない1st SMも存在し、その例を示しています。この場合、故障抑止はするものの、故障検出はゼロとなり、抑止されたものが全量レイテントフォールトとなります。 同じく、SM(1st SM)のフォールトはSG侵害しないため、2nd SMの検出率により、検出から漏れた部分がレイテントフォールトとなります。

図%%.3
図117.3 SG侵害抑止に基づくSM

図%%.4
図117.4 SG侵害抑止に基づくSMを含むFMEDA

左矢前のブログ 次のブログ右矢

PMHFのバジェッティング

posted by sakurai on June 22, 2019 #116

Annex G

これも2nd Editionで新設されたAnnexですが、PMHFのバジェッティングについて記述されています。といっても従来からバジェッティングは現場では実施されていました。それと規格の意図するところは若干異なるようです。

従来のバジェッティング

まず1st Editionで実施されていたバジェッティングは、Part5 9.4.2.2 表6で規定される、PMHF目標値を分割するものでした。例えば、あるアイテムがASIL-Dの要求に基づき、アイテムにASIL-Dを割り当てます。ここで注意すべきは、エレメントには当初はASILは存在せず、あくまで要求の属性としてのASILが存在することです。エレメントには様々な安全目標によって、様々な要求が割り当てられますが、その中の最高レベルのASILにより、エレメントのASILが規定されます。

例えば、アイテムが3つのエレメントに分割され、それぞれ別のサプライヤによって開発される場合には、それぞれのサプライヤに対して、PMHF目標値を設定する必要があります。これを従来はバジェッティングと呼んでいました。アイテムで10FITの予算(バジェット)があり、それを配分するイメージとなります。例えば3つであれば、3.3FITずつ割り当てることができます。

図%%.1
図116.1 1st EditionのPMHFバジェッティング

2nd Editionのバジェッティング

規格でバジェットの単語が出てくるのはPart5 9.4.2.3の中です。9.4.2.3は上記の予算配分(分割)と言うよりも、多重割り当てと言ったほうがふさわしい節です。その理由は9.4.2.3は、上記のようにASIL-Dの目標をエレメントの数で分割するのではなく、比較的大きなシステム、例えばADASのように、物標認識システム、ブレーキ制御システム、エンジン制御システム等のように、それだけで従来はアイテムレベルであったシステムを複数組み合わせた場合のPMHFの考え方を表すものだからです。そしてその場合は、それぞれのシステムにASILを割り当て、10個までは組み合わせて良いと規定しています。例えばASIL-Dのシステムを10個までならぎりぎり目標が10倍となり10倍を超えませんが、10倍を超える目標値を設定することは許されていません。

図%%.2
図116.2 2nd EditionのPMHFバジェッティング

左矢前のブログ 次のブログ右矢

posted by sakurai on June 20, 2019 #115

2nd Edition Annex F.3,4,5

次にF.3を見てみます。F.3は「評価対象のフォールト又は故障モードの選択基準の決定」となっています。本来はFMEDAのフォールトイベントの評価として全ての故障モードを評価すべきでしょうが、それだと数千件も評価しなければならないため、本節で故障モードの絞り込みを行うのだと思われます。

ちなみに、PMHFへの寄与率を厳密に考えると、PMHFのSPF部分とDPF部分がありますが、DPF部分は故障モードの組み合わせであるため、以下は全てPMHFの値(SPF+DPF)への、故障モードのSPF部分の寄与率と言う意味となります。

  1. SPFまたはRFに関して、DCが90%以下の全てのフォールト又は故障モード
  2. PMHFの寄与率が2%以上の全てのフォールト又は故障モード
  3. PMHFの寄与率が上位20位以内の全てのフォールト又は故障モード

この選択基準で絞り込むと、本例ではたまたま以下の値になります。

  1. 2件の故障モード⇒PMHFへの寄与率は95.68%
  2. 2件の故障モード(上記と同じ)⇒PMHFへの寄与率は95.68%
  3. 20件の故障モード⇒PMHFへの寄与率は99.89%

F.5では、これらは全てPMHFへの寄与率が95%以上であるから問題無しとしています。逆にそうであるなら、直接的に

  1. PMHFへの寄与率が95%を超えるまでの上位からの全てのフォールト又は故障モード

とするほうが自然ではないでしょうか。ちなみにこのような絞り込み条件を設定すると、2件の故障モード⇒PMHFへの寄与率は95.68%となり、上記1.及び2.と同様2件の故障モードを分析すれば良いことになります。以下に故障モードに関してPMHFへの寄与率が大きい順にリストします。

コンポーネント名 故障率
[FIT]
SR? 故障モード 分布[%] SM DC[%] λRF PMHFへの
寄与率[%]
PMHFへの
寄与率累積[%]
1 μC 100 Yes all 50 SM4 90 5.000 91.13 91.13
2 T61 5 Yes short 50 SM2 90 0.250 4.56 95.68

従って、分析方法をまとめれば、「 PMHFへの寄与率が95%を超えるまでの上位からの全てのフォールト又は故障モード」について絞り込みを実施し、それぞれに故障モードについて、安全方策がとられているかどうかを確認することになります。このときなぜ95%以上としたのかを問われたら、2nd Edition規格Annex F.3を参照したとなります。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 19, 2019 #114

2nd Edition Annex F

2nd Editionで新設されたAnnex F のFMEDAシートを図114.1に示します。

図%%.1
図114.1 2nd Edition, Annex F FMEDA

前稿と比較して、右端の欄が2つ増えており、重要なのはDPF_detです。Annex Fの「F.2 PMHF評価を提供する安全分析」において、 $$ PMHF_{\mathrm{est}}=\lambda_{\mathrm{SPF}}+\lambda_{\mathrm{RF}}+\color{red}{\lambda_{\mathrm{DPF,det}}}\color{green}{\lambda_{\mathrm{DPF,lat}}}T_{\mathrm{lifetime}}\tag{114.1} $$ でPMHFを近似していると書かれています。$\lambda_{\mathrm{SPF}}$、$\lambda_{\mathrm{RF}}$はSPFMを求めるため、$\color{green}{\lambda_{\mathrm{DPF,lat}}}$もLFMを求めるために既に表にあるため、$\color{red}{\lambda_{\mathrm{DPF,det}}}$が新たに表に必要となります。

ただし、弊社では(114.1)には異論があります。正しいPMHF式は、1st Editionの3番目の一般式を示すと、 $$ M_{\mathrm{PMHF}}=\lambda_{\mathrm{RF}}+\lambda_{\mathrm{IF,DPF}}\lambda_{\mathrm{SM,lat}}T_{\mathrm{lifetime}}\tag{114.2} $$ です。これは、1st Editionで述べられているとおり故障順序によらない式であり、$\lambda_{\mathrm{SM,lat}}T_{\mathrm{lifetime}}\gg\lambda_{\mathrm{SM,det}}T_{\mathrm{service}}$かつ、IFがアンリペアラブル、SMがリペアラブルの場合に成り立つことは検証済みです。

(114.2)と(114.1)を比較すると、DPFの項の2つの故障率が異なっています。(114.1)では主機能と安全機構の値を合わせた故障率$\color{red}{\lambda_{\mathrm{DPF,det}}}$及び$\color{green}{\lambda_{\mathrm{DPF,lat}}}$を使用しています。双方をIFとSMの和に分解すれば、 $$ \color{red}{\lambda_{\mathrm{DPF,det}}} =\lambda_{\mathrm{IF,DPF,det}}+\lambda_{\mathrm{SM,DPF,det}}=K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}K_{\mathrm{IF,MPF}}+\lambda_{\mathrm{SM}}K_{\mathrm{SM,MPF}} \tag{114.3} $$ であり、たまたま$K_{\mathrm{SM,MPF}}=0$、$K_{\mathrm{IF,MPF}}=1$であることから、(114.3)は $$ \color{red}{\lambda_{\mathrm{DPF,det}}}=K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}=\lambda_{\mathrm{IF,DPF}}\tag{114.4} $$ となります。本来はPMHF式(114.2)を鑑みると、これは$\lambda_{\mathrm{IF,DPF}}$とするべきです。また、同様に$\color{green}{\lambda_{\mathrm{DPF,lat}}}$もIFとSMの部分に分解すれば、 $$ \color{green}{\lambda_{\mathrm{DPF,lat}}} =\lambda_{\mathrm{IF,DPF,lat}}+\lambda_{\mathrm{SM,DPF,lat}}=K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}(1-K_{\mathrm{IF,MPF}})+\lambda_{\mathrm{SM}}(1-K_{\mathrm{SM,MPF}}) \tag{114.5} $$ ですが、たまたま前述の$K_{\mathrm{SM,MPF}}=0$、$K_{\mathrm{IF,MPF}}=1$の条件から(114.5)は $$ \color{green}{\lambda_{\mathrm{DPF,lat}}}=\lambda_{\mathrm{SM}}=\lambda_{\mathrm{SM,lat}}\tag{114.6} $$ となり、値は結果的に正しくなります。しかしながら、この条件が常に成り立つとは言えないのと、より正確な値を$T_{\mathrm{service}}$を用いて算出するためには、IFとSMの値を合わせないほうが良く、結論として(114.2)を用いるべきと考えます。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 18, 2019 #113

2nd Edition Annex E

次に2nd Editionで新設されたAnnex F - PMHFの評価例について説明します。対象となる回路はAnnex EのFMEDAで解析した以下の回路です。

図%%.1
図113.1 2nd Edition, AnnexE 対象回路

それに基づくAnnex EのFMEDAシートの一部を示します。

図%%.2
図113.2 2nd Edition, Annex E FMEDA

これらは1st Editionの同じくAnnex Eに掲載されており、基本的に変わっていません。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 15, 2019 #112

1st Editionと2nd Editionとの変化点

本稿ではISO 26262:2011を1st Edition、ISO 26262:2018を2nd Editionと呼びます。さて、7年間の議論を経て発効された2nd Editionではどこがどう変わったのでしょうか?

本ブログではハードウェア領域においての変化点をご紹介していきます。ISO 26262においてのハードウェア領域は主にPart 5、Part 10、及びPart 11となります。

Part 5

本文中の細かいところも変更されていますが、一見して目に付くのがAnnexの章立てが変更されていることです。

  • 1st Edition Annex F (スケーリングファクタ)の廃止
  • 2nd Edition Annex F (PMHFの評価例)の追加
  • 2nd Edition Annex G (PMHFバジェッティング例)の追加
  • 2nd Edition Annex H(レイテントフォールト取扱い例)の追加

これらひとつひとつについて、「ISO 26262変化点セミナー」でご説明予定ですが、ブログでも簡単に解説していきたいと思います。

Annex F (スケーリングファクタ)の廃止

スケーリングファクタは異なる故障率データベースからの故障率を混ぜて使用する場合、土台を合わせないと正しく使用できないことから、それについての注意点を記述した章でした。ところが2nd Editionでは削除されています。元々、1st Editionでは9.2.4.7にのみスケーリングファクタが書かれており、そこからAnnex Fへ参照となっていたものです。この9.2.4.7はPMHF手法による、安全目標侵害確率の評価の最後の章となっています。つまり1st Editionでは、PMHFを正しく求める方法としてスケーリングファクタを導出し、故障率の土台を合わせて計算することを推奨していました。

一方2nd Editionでは、章が削除されたとはいえ、スケーリングの議論は8.4.3に新設されています。8.4は故障率を異なるデータソースから算出する話なので、スケーリングについて触れるにはちょうど良い場所です。さらに備考に、スケーリングを正しく行わない場合SPFM/LFMにも悪影響が及ぶとあり、スケーリング対象をPMHFのみからアーキテクチャメトリクスまで広げていることは妥当と考えます。

まとめると、独自の章としては削除されたものの、スケーリングは一層重要になります。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 5, 2018 #69

デュアルポイントフェイリャ

次にDPFについて、弊社が考える式とどこが相違しているかを見ていきます。

まず、SMがVSGとならない場合のパターン1式は特定条件(※1)でのみ合っています。この条件は1st Edition規格第1式とも同じです。次にパターン2は特定条件(※1)において前述のように2倍だけ異なっています。この2倍の理由は不明です。追記:4年後に判明したのでこの記事に記載しました。
※1 $K_{IF,lat}=0\cap K_{SM1,det}=1$の場合。これを言い換えると、IFはVSGの可能性があるが修理不可能、かつ、SM1はVSGの可能性無しで修理可能。

さらにパターン3、4式は特定条件(※2)でのみ合っています。単にパターン1, 2をひっくり返した(IFとSM1を入れ替えた)式のように見えます。
※2 $K_{SM1,lat}=0\cap K_{IF,det}=1$の場合。これを言い換えると、SM1はVSGの可能性があるが修理不可能、かつ、IFはVSGの可能性無しで修理可能。

これは以下の条件からくるものと推測します。以下は2nd Edition Part10 8.3.2.3 Table 2の引用です。

表69.1
First fault:SM1⇒Second fault:IF First fault:IF⇒Second fault:SM1
Cannot notify the driver Pattern 1 Pattern 3
Can notify the driver Pattern 2 Pattern 4

つまり、Pattern1及び2はIFフォールトによるVSGであり、SM1は修理系、IFは非修理系を仮定しています。 一方、Pattern3及び4はSM1フォールトによるVSGであり、Pattern1及び2のIF/SM1を入れ替えたものとなっているところから推測すればIFは修理系、SM1は非修理系を仮定しています。

いずれも最初のフォールトが起きるエレメントは、upしたりdownしたりを繰り返しても良いのですが(=修理可能という意味)、2番目にフォールトが起きるエレメントは、(最初のフォールトがリペアされた場合)downしたりupしたりするはずが、2番目にdownすることしか許されていません。これは非修理系を意味します。つまり後からフォールトするエレメントの制約が強すぎます。このことは言葉の定義だけで理解されるものではなく、その仮定から導出された1st Editionの式の意味まで考えて初めて理解されることです。

いずれにしろ、この前提はIFもSM1も$t=0$において修理系という一般的なサブシステムに対して、修理不可能という制約をかけすぎているため、PMHFの過大評価につながります。

弊社が考えるPMHFの一般式

IFとSM1が$t=0$において修理系という条件で、マルコフ状態遷移図を書き、確率微分方程式を立て積分して平均PUDを算出した式において、Edition 1の方法で上界を求めた式は、 $$ M_{PMHF}=\lambda_{IF,RF}+\img[-1.35em]{/images/withinseminar.png}\tag{69.1} $$ となります。

規格の式(図68.1)は、実際よりも過剰な※1または※2のみで成立する式です。


左矢前のブログ 次のブログ右矢

2nd EditionにおけるPMHF式

posted by sakurai on October 29, 2018 #68

ISO 26262 2nd Edition

今年春発行と予定されていた2nd EditionはFDISの状況となっていますが、正式発行が遅れているようです。FDISは最終的な規格から語句のレベルしか修正されないとのことで、FDISで検討すればほぼ問題無いと考えられます。

さて、PMHFの部分はだいぶ変更されています。公式が変わっただけでなく、SMが安全目標侵害するケースまで想定されています。元々弊社では一般的なサブシステムを検討対象とした論文も投稿しており、両方のエレメントが安全目標侵害する場合を対象としていましたので、好都合です。

図68.1のパターン1と2はいずれもSM1が先にフォールトし、次にIF(Intended Function)がフォールトするケースです。そのうち、パターン1はフォールトが検出されない場合、パターン2はフォールトが検出される場合です。一方、パターン3と4はいずれもその逆順にフォールトするケースです。そのうちパターン3はフォールトが検出されない場合、パターン4はフォールトが検出される場合です。

図68.1
図68.1 2nd Edition, Part10-8.3.2.4 PMHF規格 第1式

実はパターン1と2あるいは3と4は特に分ける必要はありません。弊社の式に従えば不稼働率の関数$Q(t)$(59.8)で自然に表されるからです。一方、パターン1と3、2と4はフォールト順序なので、マルコフ状態遷移図に基づく検討が必要です。

重要 1st Editionでは主機能が非修理系であるという前提のもとに、ケース分類で確率を求めています。ところが、2nd Editionも同じ非修理系前提で、ケース分類でPMHF式を求めています。本来対称的に扱うのであれば、両方とも修理系にすべきです。そうすると、主機能であってもVSGとならないフォールト(MPフォールト)を起した後、2nd SMにより検出される部分は修理されることになります。すると、本ケース分けには当てはまらなくなります。例えば、主機能がMPフォールトし、2nd SMにより検出され修理される。次にSM1がMPフォールトし、検出され修理される。これが繰り返されることは十分あり得ますが、規格のケース分類だとこの場合は、Pattern3+Parttern4に相当します。これはマルコフ状態遷移図を書いて初めて理解されることなので、ISO 26262のPMHF理解のためにはマルコフ状態遷移図は必須です。

シングルポイントフェイリャ

ここで、$\lambda_{SPF}, \lambda_{RF}$は定義が書かれていませんので、IFによるものか、SM1によるものも含むのかが定かではありません。しかしながら、

図68.2
図68.2 2nd Edition, Part10-8.3.2.4 PMHF規格説明

このように、SM1のPVSG、つまりSM1の安全目標侵害の可能性があると、ECCの例まで挙げて書かれているので、おそらく$\lambda_{RF}$は以下のようになると考えられます。これは、サブシステムを構成する2つのエレメントがどちらも主機能かつSMとなるような一般モデルで考えます。具体的には冗長サブシステムの場合が相当します。 $$ \lambda_{RF}=\lambda_{IF,RF}+\lambda_{SM1,RF}=(1-K_{FMC,SM1,RF})\cdot \lambda_{IF}+(1-K_{FMC,SM2,RF})\cdot \lambda_{SM1}\tag{68.1} $$


左矢前のブログ 次のブログ右矢


ページ: