昨日某社様向けにISO 26262ハードウェアセミナーを実施しましたが、以下のご質問を受けました。

Q「DPFを表すにはIFのフォールトの基事象とSMのフォールトの基事象をANDゲートで結べば良いが、定量FTAによりPMHFを表すには具体的にはどうすれば良いのでしょうか」

これは実務においては重要なノウハウとなります。その理由は規格ではPMHFの目標値がいくらで、それを満足しなければならないと書かれていますが、実際のECUでどのように計算するかにはほとんど言及が無いためです。わずかにPart 10に式が掲載されているに過ぎません。実は1st editionではいくつかの例が掲載されていましたが、2nd editionで削除されています。

結論から言えば、定量FTAでイベントの組み合わせでPMHF式を構築することになります。まず、1st editionに参考になるFT図が掲載されているので、これを子細に見てみます。

左のFT図はALUのフォールトのFTであり2つに分離していたものを組み合わせています。半分より上側のFTがちょうどSPF/RF項を、下側のFTがDPF項を表しています。FTツールではフォールトイベントを確率で表現するため、故障率には指定しなければミッションタイム$T$が自動でかかり、確率として表します。例外はLFの黄色で示すイベントで、ミッションタイムを手で入力し、$\tau$＝定期検査周期としています。

FTは確率$P$を表し、そのまま式で表すと①式となります。PMHF式は車両寿命においてSG侵害確率の時間平均であるため、①を$T$で割ると②の式となります。これはSM⇒IFの順にフォールトが起きる場合のPMHF式と1/2を除き一致します。さらにIF⇒SMの順のフォールトのPMHFを合わせると②となりますが、前提としてIFのフォールトもLFとなる必要があります。これは冗長を意味するものです。

記事の(10.1)に1st editionのPMHF式を掲載していますが、1/2を除き②と一致していることが確認されます。 $$ M_\text{PMHF} = \lambda_\text{RF}+\frac{1}{2}\lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$ これをまとめたものをRAMS 2021に投稿し、採択されたので、以下に場所を示します。

https://ieeexplore.ieee.org/document/9605710

前のブログ 次のブログ

次回のRAMS 2024(国際信頼性学会)は以下のように、2024/1/22～25に米国ニューメキシコ州アルバカーキで開催されます。

弊社代表は、IEEE学会に4年連続5回目(以下にリリース文を示す)の論文採択の実績がありますが、

• ISPCE(国際製品安全学会) 2017採択リリース文
• RAMS(国際信頼性学会) 2020採択リリース文
• RAMS(国際信頼性学会) 2021採択リリース文
• RAMS(国際信頼性学会) 2022採択リリース文
• RAMS(国際信頼性学会) 2023採択リリース文

RAMS(国際信頼性学会)としては5年連続5回目の採択を目指し、"Systematic Faults in the Derivation Process of the Probabilistic Failure Metric (PMHF) in ISO 26262"と題した論文を投稿予定であり、アブストラクトを作成中です。

対象となる論文は以下のブログ記事をまとめたものとなります。

• 規格第2版のPMHF式の疑問(12) - パターン1
• 規格第2版のPMHF式の疑問(13) - パターン2
• 規格第2版のPMHF式の疑問(14)
• 規格第2版のPMHF式の疑問(15)
• 規格第2版のPMHF式の疑問(16)
• 規格第2版のPMHF式の疑問(17)

本論文は、ISO 26262第2版解説書に示された、2nd editionにおけるPMHF式の導出過程を詳細に検討するものであり、結果として4種類11個もの、2nd editionのPMHF式の誤りを検出しています。

以下に例年通り、RAMS 2024採択へのマイルストーンを示します。

前のブログ 次のブログ

RAMS 2023が予定どおり開催中ですが、その初日に当社代表が「Stochastic Constituents for the Probabilistic Metric of Random Hardware Failures (PMHF) in ISO 26262」というタイトルで論文発表を行いました。論文はプレスリリースにもあるように、RAMS 2020で発表した、以下の新PMHF式の傍証となる証明を論文にしたものです。

$$ M_\text{PMHF,IFR}\approx(1-K_\text{IF,RF})\lambda_\text{IF} +K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}T_\text{service}\right],\\ \text{where }K_\text{MPF}:=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF} $$

これは、ブログでは#484～#491でご紹介した「確率コントリビューション」記事に関連するものです。確率コントリビューションをStochastic Constituentsと英訳しました。

発表は図582.2のように"Reliablity Modeling - 1"の2人目で、米国に入国できないためZoomを用いて行いました。時差のため日本時間の夜中の0:45からの開始でした。アプリの時間は日本時間となっています。

以下のように質問を2件受けました。

1Q. 発表ではサブシステムはIFとSMの2つから構成されるサブシステムに対するものだが、他のアーキテクチャでは成立するのか？

1A. サブシステムの安全解析を行う際には、IFに対してそのSMが見えるまで中に入り込みます。従って、(SMが無い場合もあるかもしれませんが、その場合はDC=0とする)全ての場合でIFとSMから構成されると考えます。

2Q. 他の論文ではPMHFの算出にFault Treeを用いているものがある。この論文ではPMHFの算出はマルコフチェインだが、どのような違いがあるのか?

2A. マルコフチェインとフォールトツリーは競合するものではありません。実際に我々の2021年のRAMS論文ではマルコフチェインとフォールトツリーを組み合わせてPMHFを算出しています。ご興味があればRAMS 2021論文をご参照ください。

前のブログ 次のブログ

On October 22, 2022, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Head Office: Nagoya, Japan), a leading provider of functional safety (Note 1) consulting services, was formally accepted by RAMS (Note 2) 2023, an international conference on reliability organized by IEEE (Note 3). This is the fourth consecutive year that the author's paper has been accepted to RAMS. The author also received the Best Paper Award at the 14th ISPCE 2017 (Note 4), an international conference hosted by IEEE in 2017.

RAMS 2023 is scheduled for January 23-26, 2023, at the Florida Hotel and Conference Center in Orlando, Florida, USA.

In 2018, the second edition of ISO 26262 (Note 5), the international standard for functional safety in automotive electronics, was published, and the PMHF (Note 6) equation was also revised. At RAMS 2020, the author clarified the mathematical background of the PMHF formula and proposed a new PMHF formula with which optimal values can be calculated.

This paper re-proves the author's PMHF formula by using the newly proposed stochastic constituents. Specifically, the PMHF formula in ISO 26262 Edition 1 is decomposed into stochastic constituents by considering the combined elements of the intended function and the safety mechanism, and the PMHF formula is proved to be the PMHF formula in the case where the intended function and the safety mechanism are repairable. This makes it possible to prevent overestimation of the PMHF, which has been seen in the past. As a result, it is expected to reduce design man-hours and time-to-market for fault-tolerant systems (Note 7), as represented by self-driving systems.

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures.
Note 2: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 3: RAMS stands for The 69th Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: ISO 26262 is a functional safety standard for in-vehicle electrical and electronic systems, an international standard that aims to reduce the possibility of dangerous events to an acceptable level occurring during vehicle operation due to malfunctions of in-vehicle electrical and electronic systems.
Note 6: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 7: Fault-tolerant systems are safety-enhancing systems that can substitute the original function without immediately losing the function in the event of a failure.

前のブログ 次のブログ

機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社：名古屋市)代表取締役社長 桜井 厚の論文が、2022年10月22日、IEEE(注2)主催の信頼性に関する国際学会であるRAMS 2023(注3)に正式採択されました。同著者の論文がRAMSに採択されるのは4年連続となります。また同著者は、2017年にIEEE主催の国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しています。

RAMS 2023は、2023年1月23日から26日まで米国フロリダ州オーランドのフロリダホテルアンドカンファレンスセンターにて開催される予定です。

2018年に車載電子機器における機能安全の国際規格であるISO 26262(注5)第2版が発行され、併せてPMHF(注6)式も改訂されました。同著者はRAMS 2020において、このPMHF式の数学的な背景を明らかにし、最適値が算出可能な新しいPMHF式を提案しました。

本論文は、新提案の確率的構成要素を用いることで、同著者の提唱するPMHF式を再度証明したものです。具体的には主機能と安全機構の合体エレメントを考えることで、ISO26262第1版におけるPMHF式を確率的構成要素に分解し、主機能と安全機構が修復可能な場合におけるPMHF式となることを証明しました。そのため、従来見られたPMHFの過剰見積りを防止することが可能となります。これにより、自動運転システムに代表される耐故障システム(注7)の設計工数の削減と市場投入期間の短縮が期待されます。

【お問い合わせ先】
商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com/

【注釈】
注1：機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方
注2：IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略称。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注3：RAMS(ラムズ)2023はThe 69th Annual Reliability & Maintainability Symposiumの略称。IEEE信頼性部会が主催する、信頼性工学に関する国際学会 http://rams.org/
注4：ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略称。IEEE製品安全部会が主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5：ISO 26262とは車載電気・電子システムに関する機能安全規格であり、自動車の運行中に車載電気・電子システムの故障により危険な事象が起きる可能性を、許容できる範囲にまで減少させることを目的とした国際規格
注6：PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略称。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262のハードウェアに関する設計目標値のひとつ
注7：耐故障システムとは、故障した場合に直ちに機能を失うことなく、本来の機能を代替可能な安全性向上のためのシステム

前のブログ 次のブログ

10/22に最終論文を提出するようにRAMS委員会から返答がありました。10/25に最終論文及びプレゼン資料を登録し、これで正式採択となります。

RAMS 2023は2023年1月にフロリダ州オーランドで開催予定ですが、CDCによる入国制限が今だ継続しており、米国入国が可能かどうかは現段階では不透明です。なお、入国できない場合は録画等で発表予定です。

前のブログ 次のブログ

故障分類フローでの検証 (続)

前稿で規格の故障分類フローの箱(p)まで見たので、その続きを確認します。

Fraction of faults that the safety mechanism prevents from directly violating the safety goal?

安全機構が安全目標に直接違反することを防いだフォルトの割合？

とあります。ここに来たフォールトはVSGを起こします。ここから右と下の枝の違いはSMがそれを防いだかどうか(ゼロイチではなく割合)です。

VSGを防げない部分の割合を故障率$\lambda_\text{FMi,PVSG}$にかけて下の箱(r)、(s)へ移ります。これが残存フォールト$\lambda_\text{FMi,RF}$の箱(s)です。ということで、直接侵害する故障のうち、安全機構でカバーされない部分は残存フォールトだという結論です。マルチプルポイントフォールトではありません。

被引用論文の調査

ここで、「研究成果報告書」の引用元論文であるPMHF式の誤り論文$\dagger$を再度確認したところ、そこにも同じ図526.1の表が有り、全てMPFと分類されていました。そのため元論文$\dagger$から表を引き写したための誤りと判明しました。当該箇所を引用すれば、

Note that each fundamental building block in our exemplary safety microprocessor is protected with SM. This causes every hardware failure mode is classified as MPF. As the result, the summation of the single-point fault and the residual fault is zero.

各基本構成要素はSMで保護されている。 このため、すべてのハードウェア故障モードがMPFに分類される。その結果、一点故障と残留故障の和はゼロになる。

とあり、結論として元論文$\dagger$の2個目の誤りがそのまま引き継がれたようです。まとめれば、元論文$\dagger$には

1. PMHF式のDPF項を過剰に見積もる(故障率が2乗されていない)誤り
2. 故障分類において残存フォールトを全てマルチプルポイントフォールトと勘違いする誤り

の二重の誤りが存在しており、それが「研究成果報告書」をカスケード故障させたということになります。元の誤りは罪深く、その引用だけでも4～5本ほどあり、さらに今後孫引きされることを考えると、増殖する害虫を見るようで憂慮するばかりです。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

前のブログ 次のブログ

故障分類フローでの検証

念のため残存フォールトとなるかどうか、過去記事でも解説した故障分類フローを用いて確認します。

図172.1の上方の箱(k)において、

Fraction of faults that in absence of a safety mechanism have the potential to dicrectry violated the safety goal?

安全機構が無い場合、安全目標に違反する可能性のある故障の割合は？

この表現が誤解の元かもしれませんが「安全機構が無い場合」とは、安全機構が配備されていない場合ではありません。安全機構を仮に無いものとすることを示しています。実はこの箱(k)でやりたいのは主機能か、安全機構かの見極めです。

もし安全機構の配備であれば、安全目標を直接侵害せず(no potential)、全てのエレメントが安全機構と判定されてしまうので、仮に安全機構を取り除いて考えます。そうすると、主機能であれば安全機構が配備されていても、仮に無いものと考えると安全目標を直接侵害するため、下の箱(l)に移ります。

このように、先の引用(k)の"in absence of a safety mechanism"が安全機構が無い場合と間違い易いのですが、安全機構の有無を判断するのは次のひし形の箱(m)です。

Are there safety mechanisms in place to control faults for at least one failure mode of the element (yes/no)?

エレメントの少なくとも1つの故障モードに対して、故障を制御する安全機構があるか（yes/no）？

ここでは安全機構の配備の有無を聞いています。これで分かるように、もし箱(k)が安全機構の有無であって、無い場合に下のひし形の箱(m)に来たなら、再度安全機構の有無を聞くのはおかしいはずです。

前のブログ 次のブログ

どこが誤りの起点かを調査します。まず、前稿の図527.2において、「研究成果報告書」を引用していますが、

3.1項の(15)のシングルポイント故障の定義の備考2に示されているように、安全機構が定義されている場合、シングルポイント故障にならないので、全ての故障モードはマルチプルポイントフォールトに分類される

とあります。これは誤りです。「研究成果報告書」における規格の引用箇所を確認します。

たしかに規格には「シングルポイントフォールトとならない」とありますが、とはいえマルチプルポイントフォールトには絶対になりません。その理由は最初の部分に書かれているように、安全目標を直接侵害するフォールトだからです。マルチプルポイントフォールトの定義は、別のエレメントのフォールトとの組み合わせにより安全目標侵害(VSG)となるフォールト、つまり安全目標を直接侵害しないフォールトです。

実際には図528.1備考1にもあるとおり、安全機構がある場合はシングルポイントフォールトにはならずに、残存フォールトとなります。「研究成果報告書」における規格の引用箇所を確認します。

以上まとめると、「研究成果報告書」の筆者は故障分類フローを見ておらず、シングルポイントフォールトでなければマルチプルポイントフォールトだという思い違いにより、残余フォールトが全てゼロという結果となったと考えられます。

ところがこの文章の前に故障分類フローも記述されていました。であれば、この誤りはどこから来たのでしょうか？

前のブログ 次のブログ

過去記事で財団法人日本電子部品信頼性センター発行の「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」におけるPMHF式の誤りを指摘しました。それは例のPMHF式の誤り論文$\dagger$から来ているものでした。

指摘した記事の最後に、

もっとも$\lambda_\text{SPF/RF}$がゼロならDPF項は必ず100%ですが、そもそも$\lambda_\text{SPF/RF}$がゼロという点が信じられません。その理由はDPF項は経験的に3%未満だからです。

とありますが、なぜ$\lambda_\text{SPF/RF}$がゼロになるかの原因を調べました。すると驚くべきことが分かりました。全てのフォールトがMPFに分類されているため$\lambda_\text{SPF/RF}$がゼロとなっています。この「研究成果報告書」の当該部分を図527.1に示します。

との記述がありました。通常SMが付いている回路がほとんどなので、この記述に従えば全ての回路のRFがゼロになってしまいます。これは故障分類の誤りであり、「安全機構が定義されている場合...残存フォールトは0になる」という記述では、いかなるSMでもカバレージは常に0%になってしまいます。

安全機構がある場合、一旦取り除いて考えるのが機能安全の基本です。

前のブログ 次のブログ