弊社コンテンツの2月の検索結果です。

前のブログ 次のブログ

論文$\dagger$の続きです。

4.3 Unavailability Approach

ISO 26262は修理が前提であるため、不信頼度ではなく4.3の修理を考慮した不稼働度が正しいアプローチです。著者は論文(9)式において $$ M_\text{PMHF}=\frac{F(T_\text{DIAG})}{T_\text{L}}=\frac{(1-e^{-\lambda T_\text{DIAG}})}{T_\text{L}} $$ のように検出部分のみを考慮しています。これが検出部分のみというのは露出時間が$T_\text{DIAG}$ということで分かります。不検出部分を考慮すれば露出時間は$T_\text{L}$が関係するからです。そのため、本来は検出部分だけでなく不検出の部分の$(1-DC)F(T_\text{L})$も加わるはずです。DC=100%という前提であることは原文からもわかります。

Even if the cyclisation is taken into account, the DC is not, and it is assumed to be DC = 100 %.

一方でRFでは残余部分である(1-DC)を考えているのでDC=100%という前提は改善が必要な前提だと言えます。

さらに一周期分の不稼働度を車両寿命で割ることにも改善の余地があります。本来車両寿命間には検査周期が$n=T_\text{L}/T_\text{DIAG}$個あるはずなので、上式$F(T_\text{DIAG})/T_\text{L}$を$n$倍するべきです。

どうしてこの式になったのかは不明ですが、修理されたものは二度と故障しないという仮定なのでしょうか？ 修理され良品となっても次の検査サイクルで故障する可能性はあります。従って、毎サイクルで不信頼度は$F(T_\text{DIAG})$となるため全周期分を車両寿命で割るべきです。

そもそも本論文の目的は、SPF/RFにおいても離散的な検査を考慮し、みかけのPMHFを引き下げることでFHTI$\ge$FTTIとなるようなサブシステムについてもOKとしたいということのようです。しかしながら、前述のように本来FHTI$\ge$FTTIという時点でDCをクレームできない(すなわちDC=0)というのがISO 26262的な観点であるため、PMHFは引き下げるどころか引き上げられます。

従って、上記の数々の枝葉の問題以前に根本が破綻していると言えます。せっかくCyclisationを考慮するのなら2nd SMについての検討が望まれます。

$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

前のブログ 次のブログ

論文$\dagger$の続きです。

Section 3まで前置きがあり、Section 4から各種アプローチの紹介があります。

4.1 ISO 26262 Approach

この著者は、ISO 26262ではSMについて周期的な検査は仮定していないから(それは正しい)、SPF/RFについては論文(7)式において $$ M_\text{PMHF}=\frac{F(T_\text{L})}{T_\text{L}}=\frac{1-e^{-(1-DC)\lambda T_\text{L}}}{T_\text{L}}\approx\frac{(1-DC)\lambda T_\text{L}}{T_\text{L}}=(1-DC)\lambda $$ であると書いています。ちなみに原文は以下のとおりです。

This approach is only valid for continuous safety measures with FHTI$\le$FTTI; no cyclisation is taken into account.

この考えの問題点は1st SMと2nd SMを区別していないところです。本来は2nd SMはこれに当てはまりません。

そもそもISO 26262自体の記述も偏っており、Part 10 8.4において、2つの事象を扱っています。まずSPF事象では当然修理は起きないので、$F(T_\text{L})/T_\text{L}$となるのは正しいのですが、次のDPF事象において、冗長系でかつ2nd SMの無い系について数学的なモデルを示しています。 「露出時間を考慮に入れる必要がある」と言いながら、2nd SMが無いため露出時間は常に車両寿命です。そのため修理時間は全く例に出てきません。これらの理由により1st SMの修理という事象がほとんどの論文で無視されているようです。

ところが図747.1に示すように、Part 10ではパターン2でSM1のフォールトが修理され、パターン4でIFのフォールトが修理されるという記述があります。どちらも露出時間は$T_\text{service}$です。

従って著者のISO 26262は非修理が前提という認識には改善の余地があります。

$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

前のブログ 次のブログ

論文$\dagger$の続きです。

Generally speaking: Safety measures, which are under influence of cyclisation, potentially violate the criteria FHTI ≤ FTTI. (略) In order to change that, a novel approach for safety validation process of safety measures with FHTI ≥ FTTI is described in this paper.
一般的に言えば、サイクル化の影響を受ける安全対策は、FHTI ≤ FTTI の基準に違反する可能性がある。(略)これを変更するために、本論文では、FHTI≥FTTIを持つ安全対策の安全性検証プロセスに対する新しいアプローチについて述べる。

これで分かることは、安全機構の周期的な検査はMPFDIではなく、FTTIの話のようです。つまり1st SMが議論の対象となります。

本来、規格の観点からFHTI$\ge$FTTIなる違反は認められませんが、これに違反するFHTIを持つSMを救う話のようです。しかしながら、FHTI$\ge$FTTIの違反の段階で当該SMのDCはゼロと見なされるため、そのSMは無いも同然と考えるべきです。

話を戻すと、本論文において周期的な検査機構を持つのは1st SMです。ということは、定期点検修理を行う2nd SMを前提とする我々のPMHFの議論とは全く異なる議論であると判断します。

さらに、最も問題となる部分が以下の仮定です。

For this paper investigations and all related approaches, the boundary conditions are:
• all faults are random hardware faults (not systematic),
• scope of the safety measure are RFs and dormant SPFs,
• the system is non-repairable with λ = const.,
• the PMHF corresponds to the probability of failure F(t).
本論文の調査および関連するすべてのアプローチにおいて、境界条件は以下の通りである：
- 欠陥はすべてランダムなハードウェア欠陥である（系統的ではない）、
- 安全対策の範囲はRFと休止状態のSPFである、
- システムはλ = const.で修復不可能である、
- PMHF は故障確率 F(t)に対応する。

ほとんど全ての論文がPart 10に修理の話が書かれているのを見過ごしていますが、ISO 26262の前提によれば、少なくともSMは1st editionから修理可能です。

$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

前のブログ 次のブログ

次回RAMS 2025に投稿する論文「Point Unavailability and Its Density Processes of Repairable Element with Periodic Inspections in ISO 26262」を作成し、AJEに入稿しました。入稿前にはDeepLで翻訳し、ChatGPTにより論文査読を行ったうえで、ネイティブチェックのためAJEに入稿しています。

過去に掲載した論文の実績と予定をアップデートします。

前のブログ 次のブログ

次は以下の論文です。

A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

アブストラクトの和訳を示します。

この技術的な詳細では、診断カバレッジ(DC)を伴う周期的安全対策に関連する意図された機能の確率的ハードウェア故障指標(PMHF)計算のための新しい数学的アプローチを導出する。これにより、指数故障分布の確率密度関数が安全診断の周期的影響に適応される、 さらに、適切な FTA モデルが説明される。これにより、PMHF 計算の現在のいくつかのアプローチが、対象とするユースケースに不適切であることが証明される。 分析と最新技術との比較により、このコンセプトの規範的・工学的な利点が示される： この新しい方法論は、車両パワーネットと安全診断の分野の例を用いて説明する。

このようにPMHF計算の新手法を提案しているようです。本当だったら大変に素晴らしいことですが、中身を見ていきます。

Those kind of diagnoses or safety measures, which have a significant influence of cyclisation, must not be treated as continuous systems in the safety validation process.
このような種類のサイクル化に大きな影響を与える診断や安全対策は、安全性検証プロセスにおいて連続システムとして扱ってはならない。

安全機構の種類については省略しますが、ここまでにおいて、この著者も1st SMと2nd SMの区別を記述していません。というのは

• 1st SMであれば、(真に連続的な診断ではないとしても)少なくともFTTIを満足するレベルの十分に高速な診断が必要となるし、
• 2nd SMであれば、1時間以上の十分に離散的な診断でOK

だからです。

これはフォールトの性質が異なるからであり、

• フォールトがVSGに直結するIFのフォールトであれば即時(FTTI中)の診断だけでなく安全状態への移行が必要になるし、
• SMのフォールトであれば、それはレイテントフォールトであるため、1時間以上の余裕を持った診断で良く、さらにドライバーが車両を運転して修理工場に運ぶことでもなんら問題はありません。

周期的な故障検出といってもFTTIが対象なのか、MPFDIが対象なのかで議論が全く変わってきます。

前のブログ 次のブログ

論文$\dagger$の続きです。

次はMPFに移ります。MPFの議論には一部正しい部分が見られます。それは、

• MPF,DPに分類されるフォールトはτにおいて全て修理される
• MPF,Lに分類されるフォールトは一切故障修理されない

これらは2nd SMの機能が働くSMのフォールトの扱いとしては全く正しいです。従って、

$$ F_\text{AVG,M}=\frac{1}{2}\tau\lambda_\text{MPF,DP}+\frac{1}{2}T\lambda_\text{MPF,L} $$ は先に故障するSMの不信頼度としては正しいです。ところがIFとSMの区別に改善の余地があるように思われるので、その点が残念です。なぜならVSGに対してIFとSMのフォールトの効果は異なるからです。

これがSMの不信頼度であることを明確にすれば、添え字にSMを加え、 $$ F_\text{AVG,SM,M}=\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L} $$ となります。

図743.1もSMの不信頼度のグラフと理解すれば全く正しいグラフです。実際には両者$F_\text{MPF,L}$と$F_\text{MPF,DP}$のグラフを加え合わせたものが本来の不信頼度のグラフで、いわゆるsawtooth waveと呼ばれるものですが、あまり見たことがありません。

この後に1oo2のサブシステムの計算が続きますが、ここまでで十分誤っているためそれが重なるだけです。従ってここではそれを指摘しませんが、本来は1oo2というよりもIFとSMとSM2から構成されるサブシステムを考えるべきです。ただし冗長系は別とします。そのサブシステムはRBDが規格Part 10にも載っており、かつ規格にもPMHF式が掲載されています。それらを全く無視している点には改善の余地が有りそうです。

よって、以上から正しい不信頼度を求めると、先にSMが故障し、後でIFが故障する場合のDPFを考えると、

$$ F_\text{AVG}=F_\text{AVG,S}+F_\text{AVG,SM,M}F_\text{AVG,IF,M}=(\lambda_\text{SPF}+\lambda_\text{RF})T+\left(\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L}\right)\lambda_\text{IF,MPF}T\\ $$

よって、 $$ M_\text{PMHF}=\lambda_\text{SPF}+\lambda_\text{RF}+\left(\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L}\right)\lambda_\text{IF,MPF}\\ =\lambda_\text{SPF}+\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}\left(\lambda_\text{SM,MPF,DP}\tau+\lambda_\text{SM,MPF,L}T\right) $$ これはSMのみがリペアラブルという1st edition規格式に相当します。

論文の誤りが深刻なのは、当該論文の誤りに留まらず、誤りが拡大再生産されることです。リトラクトしなければ永久に誤りが拡大再生産され続けます。

$\dagger$J. Famfulik, M. Richtar et al, "Application of hardware reliability calculation procedures according to ISO 26262 standard," Qual. Rel. Eng. Int. 2020, pp. 1-15, doi: 10.1002/qre.2625

前のブログ 次のブログ

論文$\dagger$の続きです。

筆者らの研究では、1st SMと2nd SMの間の区別が明確でないように見受けられ、SPF/RF/MPF,DP/MPF,Lを一緒に取り扱っています。本来は

• SPF/RFに分類されるフォールトは単一故障事象の確率として扱う
• MPF,DP/MPF,Lに分類されるフォールトは2点故障事象の確率として扱う

このように両者は区別して扱う必要があります。前者は1st SMにより抑止・検出されるフォールトであり、後者は2nd SMにより検出されるフォールトです。筆者はこれらの4つのフォールトをいずれも単一故障事象として加え合わせています(論文式15)。 $$ P_\text{MHF}=\frac{1}{2}\left[(\lambda_\text{SPF}+\lambda_\text{MPF,DP})+(\lambda_\text{RF}+\lambda_\text{MPF,L})\right] $$ 本来は2点故障(DPF)の事象の確率は二乗する必要があります。具体的にはIFの故障確率とSMの故障確率の乗算です。上の論文式(15)にはそれが漏れています。

次に、単一故障事象の修理可能性について、筆者らの解釈にはさらなる考察が必要かもしれません。

• SPFに分類されるフォールトはτにおいて全て修理されると誤解している
• RFに分類されるフォールトは一切故障修理されないと誤解している

正解から言えば、SPF/RFはいずれもシングルポイントフォールト(単一故障事象)に分類され、単一のフォールトによりVSGとなるため、修理する暇が無いため修理は全く関係ありません。ISO 26262においては修理は次ページで扱うLFのみに関係します。

SPF/RFの区分について、本来はDC(ダイアグカバレージ)が0の場合をSPFとし、DCが0でない場合をRFとしています。筆者らの区分がこの定義から逸脱している可能性があり、そのため以下の式 $$ F_\text{AVG,S}=\frac{1}{2}\tau\lambda_\text{SPF}+\frac{1}{2}T\lambda_\text{RF} $$ は誤りです。また、図742.1で示されるグラフ同じ誤りを持っています。誤りは上記のとおり

• SPF/RFとも単一故障事象であるのに、修理を前提としている点、及び
• SPF/RFの区分が本来SMの有無すなわちDCの値によるものを、修理の有無であると誤解している点です。

さらにIFの故障率とSMの故障率の区別も改善の余地が有りそうですが、敢えて区別しておらず、エレメント一般の故障率として扱い、後で1oo2の一般解を導くためのようです。

正解を故障確率で表すなら、 $$ F_\text{AVG,S}=(\lambda_\text{SPF}+\lambda_\text{RF})T $$ となります。いずれもIFの故障率です。なぜならSMのフォールトは単一ではVSGとならないからです。ここで$T$は車両寿命とします。

$\dagger$J. Famfulik, M. Richtar et al, "Application of hardware reliability calculation procedures according to ISO 26262 standard," Qual. Rel. Eng. Int. 2020, pp. 1-15, doi: 10.1002/qre.2625

前のブログ 次のブログ

PUAに関する論文が複数出ているので、その内容を確認します。

J. Famfulik, M. Richtar et al, "Application of hardware reliability calculation procedures according to ISO 26262 standard," Qual. Rel. Eng. Int. 2020, pp. 1-15, doi: 10.1002/qre.2625

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

自動車産業における機能安全評価のための規格ISO 26262（2018年版）第2版では、ランダムハードウェア故障の確率的メトリック（PMHF）を使用したハードウェア評価が要求されている。この規格では、フォールトツリー解析（FTA）の活用を強く推奨しているが、具体的な計算例は示されていない。そこで、本稿では、電子システムのさまざまなハードウェア・アーキテクチャに対する数式の導出と説明を含む計算手順について説明する。記述されている数式は、多重故障の影響やelf-testの影響を考慮しているが、数式は比較的単純である。この単純さにより、ハードウェア設計の頻繁な変更が予想されるハードウェア開発の初期段階で使用することができる。したがって、ケーススタディを添付したこの論文は、科学者だけでなく、自動車産業における重要な安全関連電子システムの開発者を対象としている。

PMHFの数学的な定義を平均的な車両寿命間の不信頼度の時間平均とした論文の(3)式は

$$ P_\text{MHF}=\frac{F_\text{AVG}}{t} $$ と書かれています。改善点としては細かいことを言えば、PMHFの表記は規格Part 10に従えば$P_\text{MHF}$ではなく$M_\text{PMHF}$です。またPMHFは車両寿命間の時間平均故障確率であるため、分母は$t$ではなく、$T_\text{lifetime}$(論文中では大文字の$T$)です。

従って論文の(3)式は正しくは $$ M_\text{PMHF}=\frac{F_\text{AVG}}{T} $$

とすべきです。ここで問題は$F_\text{AVG}$は不信頼度の平均です。ところがこれはおかしく、$T$で割っていることが車両寿命間の時間平均を表すので、分子は積分値であるべきです。そのため筆者の平均値の認識には改善点があると言うべきです。これは以下の式にも認めることができます。論文の(5)式は

$$ F(t)=\lambda t $$ これは不信頼度の式で、非修理系においては正しい式です。ところが問題は次の$F_\text{AVG}$で、論文の(6)式は

$$ F_\text{AVG}=\frac{1}{t}\int_0^t F(t)dt $$ つまり、(6)式においてF(t)を平均化した後さらに(3)式において$T$で割るという2重に平均を取ることを行っています。

本来は、我々の記法に従えば、 $$ M_\text{PMHF}=Q_\text{AVG}=\frac{Q(T)}{T} =\frac{1}{T}\int_0^T q(t)dt $$ とするのが正しい方法です。ここで$Q(t)$はPUA, $q(t)$はPUDです。

以降では本論文がPMHFをどのように導出するかを見ていきます。

前のブログ 次のブログ

過去記事において不稼働度(Point Unavailability; PUA)を求めました。ここでは別の方式で不稼働度を求めてみます。

SMのフォールトが生起したとき、それがレイテントフォールトとなるかならないかは2nd SMの故障検出率で決定されます。これを$K_\text{SM,MPF}$とすると、従来は $$ K_\text{SM,MPF}=\Pr\{\text{detectable}\}\tag{740.1} $$ としてPUAである$Q(t)$を求めていました。

ここで新しく、 $$ K_\text{SM,MPF}=\Pr\{\text{detected }|\text{ failed at }t\}\tag{740.2} $$ この式(740.2)に基づいてPUAを導出します。これは、修理が完全に確率的に行われることを意味し、検出されるされないは故障の原因によらずにSMの能力のみに依存することになります。

不稼働度$Q(t)$の一般式

稼働度(Point Availability; PA)の公式から不稼働度は以下のように表せます。

$$ Q(t)=F(t)-\int_0^{T_\text{lifetime}}m(x)R(t-x)dx\\ =F(t)-\sum_{i=1}^nM(i\tau)R(t-i\tau)\tag{740.3} $$ 意味としては、フォールトが起きて累積していく分から故障が修理され、各修理分が現在まで生き残っている分を引いたものとなります。ここで$M(i\tau)$は定期修理点$i\tau$における修理率です。

Kパラメータの適用

さて、式(740.3)に式(740.1)を適用すれば、定期修理点$i\tau$における修理率$M(i\tau)$はその時点での不稼働確率$Q(i\tau)$に故障検出率を$K_\text{SM,MPF}$かけたものとなることから、

$$ Q(t)=F(t)-\sum_{i=1}^n K_\text{SM,MPF}Q(i\tau)R(t-i\tau)\tag{740.4} $$ このQ(t)は定期修理区間毎に変わるので、定期修理区間を$i=0,1,2,...$で表せば、

$$ \begin{eqnarray} \left\{ \begin{array}{l} Q_0(t)&=&0\quadただしt=0\\ Q_1(t)&=&F(t)\quadただしt\in(0, \tau]\\ Q_n(t)&=&F(t)-\sum_{i=1}^{n-1}K_\text{SM,MPF}Q_i(i\tau)R(t-i\tau)\quadただしt\ge\tau \tag{740.5} \end{array} \right. \end{eqnarray} $$

右辺に求めたい$Q(t)$を持つため、解析的に求めるのは困難であり、再帰的あるいは数値的に求めるしかありません。よってこれより次の$Q_2(t)$を求めれば、 この(740.4)式は誤りであり、再検討したこの記事に続きます。 $$ \begin{eqnarray} Q_2(t)&=&F(t)-K_\text{SM,MPF}Q_1(\tau)R(t-\tau)\\ &=&F(t)-K_\text{SM,MPF}F(\tau)R(t-\tau)\quadただしt\in(\tau, 2\tau] \tag{740.6} \end{eqnarray} $$

さらに次の$Q_3(t)$は、 $$ \begin{eqnarray} Q_3(t)&=&F(t)-K_\text{SM,MPF}Q_1(\tau)R(t-\tau)-K_\text{SM,MPF}Q_2(2\tau)R(t-2\tau)\\ &=&F(t)-K_\text{SM,MPF}\left[F(\tau)R(t-\tau)+\left(F(2\tau)-K_\text{SM,MPF}F(\tau)R(2\tau-\tau)\right)\right]R(t-2\tau)\\ &=&F(t)-K_\text{SM,MPF}\left[F(\tau)R(t-\tau)+\left(F(2\tau)-K_\text{SM,MPF}F(\tau)R(\tau)\right)R(t-2\tau)\right]\\ &&ただしt\in(2\tau, 3\tau] \tag{740.7} \end{eqnarray} $$ このようにかなり複雑な形になるため、実用的には数値計算することになります。

前のブログ 次のブログ