図738.3の修正したSF2モデルは過去論文でAF2を導出した際のCTMC図と見かけは異なりますが、同一であることを以下に証明します。

2つの分岐に橋を架けたことによりOKはそれぞれ同一状態となり、またDPFは元々同一状態であったので、このようにマージすることができます。

以上より、図739.2に示すように両者が実質は同一であることが証明できたため、そのモデルから得られるPMHF方程式は同一であることが証明されました。つまり、SF2の11か所の誤りを全て修正するとAF2となることが言えます。

前のブログ 次のブログ

RAMS 2024で発表した論文のプレゼンテーション資料から一部を示します。

SF2式

過去論文により冗長アーキテクチャに対応した新しいPMHF式を提案しました。これをここではAF2と呼びます。

$$ M_\text{PMHF}=(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}\tau\right]\\ s.t.\quad K_\text{MPF}:=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF} \tag{AF2} $$

一方で、規格第2版に掲載の以下のPMHF式をSF2と呼ぶと、明らかに両者は異なります。

ここでAF2のSPF項である$(1-K_\text{IF,RF})\lambda_\text{IF}$とSF2のSPF項である$\lambda_\text{SPF}+\lambda_\text{RF}$は等しいため、AF2とSF2の違いはDPF項のみとなります。

両方の式どうしが等しいことを簡単に証明します。まず、$K_\text{IF,RF}=0$とするとこれはSMが存在しない場合を表し、$\lambda_\text{SPF}=\lambda_\text{IF}$です。次に$K_\text{IF,RF}\ne0$の場合は、$\lambda_\text{RF}=(1-K_\text{IF,RF})\lambda_\text{IF}$であり、これはRFの定義式です。

SF2の状態遷移図

我々は2019年に日本で発行された第2版規格式の解説書により、SF2の導出過程には11か所の誤りがあることを識別しました。それを全て修正したものがAF2となることを今回のRAMS 2024で発表しました。最も重大な誤りであるステート遷移の誤りについてここに示します。

図738.1は規格式SF2の元になったと推測されるステート遷移図です。ただしこれは規格に書かれているわけではなく、図738.1のSF2から逆に求めた状態遷移図であることに注意が必要です。

修正したSF2の状態遷移図

規格のステート遷移図はIFとSMのリペアビリティが誤っていると考えるため、弊社では図738.3のようにグリーンで橋渡しを行い、SF2モデルを修正しました。弊社の考える規格の誤りは、初期のOK状態からIFもしくはSMの一方が非修理となっている点です。本来はIFもSMもリペアラブルでなくてはならないと考えます。

図738.2が図738.1のとおり、4つのパターンにしか対応していないのに対して、図738.3は無限のパターンに対応している点が異なります。

両者のリペアラビリティの違い

規格によるパターン分析は、DPFにおいて、SM⇒IFもしくはIF⇒SMの引き続くフォールト順の2つにケース分けをしている点で正しいように見えますが、修理順が誤っています。図738.2のように一旦SMのフォールトが起きると、それがリペアされても初期状態には戻らず、次はSMのフォールトしか許されていません。

一方、弊社の修正によれば図738.3のように、一旦リペアされればSMのフォールトでもIFのフォールトでも生起することが可能です。これが本来の意味のIFとSMのリペアラブルという意味です。

ただし、一見すると状態遷移図が複雑になったように見えます。

前のブログ 次のブログ

過去記事に記載のとおり、RAMS 2024は、2024年1月22日から25日まで、米国ニューメキシコ州アルバカーキのクライドホテルで開催されました。弊社代表は最終日に論文発表を行いました。

本論文のタイトルは、"Identifying and Rectifying the Potential Faults in the Probabilistic Metric (PMHF) Formula in ISO 26262"です。邦題は「ISO 26262における確率的メトリック式（PMHF）の潜在的フォールトの特定と修正」となります。潜在的フォールトもしくはシステマティックフォールトとは規格用語であり、一般的には、エラーとか誤りとか呼ばれる欠陥を意味します。

本論文は規格PMHF式の導出過程を分析することでPMHF式の問題点11か所を識別します。さらにそれらの問題点を全て修正すると、先に弊社が提案したPMHF式と一致することを示します。提案するPMHF式を使用することでPMHF値の過剰見積もりを防ぐことができます。従ってこのアプローチにより、自動運転に代表される高信頼システムの設計がより容易になることが期待されます。

質問は2件ありましたが、ほぼ同一内容でした。

Q: マルコフ連鎖状態遷移は時間依存であるのに、なぜPMHFは定数なのか？

A: マルコフ連鎖状態遷移で確率微分方程式を建てると、ご質問のように時間依存の関数となります。これは確率密度関数であり、具体的には修理を考慮した、我々の用語でいう不稼働確率密度です。これは定数として扱うことができる故障率と異なり時間依存の関数です。規格はこれについて車両寿命間の平均を取り、PMHFとして定数として扱います。

前のブログ 次のブログ

前項の矛盾解消案を示します。

. 主機能フォールトは100%検出され(修理されない)ため、レイテントにならないとの立場
この矛盾点は解消できない。

1. 主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
   この矛盾点は主機能も修理系であると変更する。
   

2. 主機能フォールトは、100%検出されてもレイテントになるとの立場
   この矛盾点は1.と同様LFとなるため、矛盾は解消できない。

条件1及び3はどうしても矛盾が解消できないため、極端な条件

「車両に修理人及び全ての故障に対応可能なスペアパーツを搭載している」

という条件を設け、条件2.の矛盾を解消しました。

従って2.の矛盾解消はいわばIFはMPFフォールトしないという仮定です。これを現実的にするためにありうるシナリオを考えたのがRAMS 2022論文です。それは以下のような仮定です。

1. IFが運転中にフォールトする。MPF detectedなので車両はFTTI中に安全状態に移行する。
2. IFがフォールトしているため、IFが冗長構成でない限り運転の継続は不可能。すなわち時間経過は無い=露出時間はゼロとみなされる。
3. 通常は速やかに(年単位放置でも構わないが)修理工場に運ばれるが、E/Eシステムは修理まで電源オフであるため、再故障しない。すなわち時間経過は無い=露出時間はゼロとみなされる。
4. 修理中はE/Eシステムは電源オフである。すなわち時間経過は無い=露出時間はゼロとみなされる。
5. 修理完了後にAs good as newとして運用される。

このシナリオによれば、

• IFのフォールト中の期間はFTTIを例外として露出時間はゼロであり、新品に交換された後に時間が経過する。
• よって、車両に実際に修理人とスペアパーツを搭載して運用しなくても、それと同等と見なすことが可能。
• 例外的なFTTI中のSMのフォールトは同時故障確率がゼロであることからゼロとみなす。

さて、上記からIFが(detectedの場合は)MPFフォールトしない前提であるため、PMHFのSPF/RF項だけが残り、IFの先故障によるDPF項はゼロとなります。従って、PMHFのDPF項は$\frac 1 2$が残ることになります。結論として1st edition/2nd editionのDPFの$\frac 1 2$は、SM1の先故障によるDPF確率だけをカウントするという意味で正しかったわけです。

一方で、1st editionのうち「故障順序によらない」場合の式は"MPF,detected"を加えている点で$\frac 1 2$が無いことから誤っています。2倍である理由は、DPFに関してSM1の先故障とIFの先故障の2つの場合を加えているためであり、上記のとおり、IFの先故障はカウントせずSM1の先故障のみをカウントするのが正解です。

前のブログ 次のブログ

過去記事において、レイテントフォールトを取り上げました。1st SMにより検出されたフォールトはMPF detectedとなるが、このフォールトは、修理されるのか修理されないのかのどちらだろうかという、大変良い疑問です。

疑問については過去記事を見て頂くとして、以下にその回答を引用します。

1. 主機能フォールトは100%検出され(修理されない)ため、レイテントにならないとの立場
   検出されても修理されないならば、いつかSMのフォールト発生によりDPFとなる。これはPMHF式のSMが、MPF detectedであっても検出周期内ではレイテントとなることからも分かる。よってレイテントフォールトとなることから前提と矛盾する。
2. 主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
   修理されるのでDPFとならない。ところが、PMHF式は式の前提から、主機能は非修理系であり、PMHF式の前提と矛盾する。
3. 主機能フォールトは、100%検出されてもレイテントになるとの立場
   上記議論から、100%検出されても修理されなければレイテントとなるが、故障分類フローではMPF detectedとMPF latentを明白に分けているため、故障分類フローと矛盾する。また、LFMの定義にはMPF detectedは除かれているため、LFMの定義とも矛盾する。

どの立場を取っても矛盾するということは、規格内部に矛盾があることを意味します。

と回答しました。すなわち、どのように考えても矛盾するというのが結論です。

しかしながらその後、矛盾を解消する提案を論文として投稿し、RAMS 2022に採択されました。

矛盾の解消案は以下のとおりです。

1. の矛盾点は解消できない。MPF detectedとなっても修理されない状態で運転を継続すれば、SMのフォールトとの合わせ技でVSGとなるから、それはLFと同じである。
   
2. の矛盾点は主機能も修理系であると変更する。ただしその修理はあたかも車両に修理人及びスペアパーツが搭載されているかの如く、瞬時に行われ運転は継続可能。これはIFが絶対にMPFフォールトしないのと同値である。これならLFMとも矛盾は生じない。
   
3. の矛盾点は1.と同様LFとなるため、矛盾は解消できない。

RAMS 2022採択論文においてありうべきシナリオを検討したので、それを示します。

前のブログ 次のブログ

次は(15)の導出です。

論文"Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262"において、以下の2か所の式変形過程が分からないが、どうして次の式(13), (15)が導出されるのか？

(13)　省略、前ページで解説

これは既に過去ブログでも記載済みなのでその箇所を返信しました。

Equation (103.6) in the following blog post is what you are looking for.
次のブログ記事の式(103.6)があなたが探しているものです。
https://fs-micro.com/post/show/id/103.html
Here's the trick: we transform it using $F(t)$ instead of $R(t)$. Because our integral formula
ここにトリックがあります。$R(t)$の代わりに$F(t)$を用います。なぜなら、我々の積分公式
https://fs-micro.com/post/show/id/60
can be used.
が使えるからです。

返信の際に$F(t)$に言及したのは、読者の方がご自分で変形し、$R(t)$の形式を導出した後行き詰っていたのでヒントを示しています。以下に記事の(103.6)を再掲します。

よって、(103.1)に(103.1.5)、(103.1.3)、$\Pr\{\overline{\text{VSG of IF preventable}}\}=1-K_\text{IF,RF}$(100.3)を用いた上で、故障率(66.6)及びPUA(59.8)を適用すれば、平均PUDは、 $$ \begin{eqnarray} \overline{q_\text{SPF,IFU}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\text{IF,RF})R_\text{IF}(t)A_\text{SM}(t)\lambda_\text{IF}dt\\ &=&\frac{1-K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[1-Q_\text{SM}(t)\right]f_\text{IF}(t)dt\\ &=&\frac{1-K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{IF}(t)dt-\frac{1-K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\text{SM}(t)f_\text{IF}(t)dt\\ &=&\frac{1-K_\text{IF,RF}}{T_\text{lifetime}}F_\text{IF}(T_\text{lifetime})\\ & &-\frac{1-K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\text{SM}(t)+K_\text{SM,MPF}F_\text{SM}(u)\right]f_\text{IF}(t)dt,\\ & &\text{ただし、}u:=t\bmod\tau \tag{103.1.6} \end{eqnarray} $$ よって、$F_\text{IF}(t)=1-e^{-\lambda_\text{IF}t}\approx\lambda_\text{IF}t$と近似する0におけるTaylor展開(すなわちMaclaurin展開)及び弊社積分公式により、 $$ \overline{q_\text{SPF,IFU}}\approx(1-K_\text{IF,RF})\lambda_\text{IF}-\frac{1-K_\text{IF,RF}}{2}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}\tau\right]\\ \tag{103.1.7} $$

1st editionでは定期修理期間を$\tau$で表していましたが、2nd editionでは表記が$T_\text{service}$に変わりました。従って、 $$ \overline{q_\text{SPF,IFU}}\approx(1-K_\text{IF,RF})\lambda_\text{IF}-\frac{1}{2}(1-K_\text{IF,RF})\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}T_\text{service}\right] $$ となり、(15)が成立します。

前のブログ 次のブログ

台湾の読者からご質問を頂きました。原文は英語です。

論文"Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262"において、以下の2か所の式変形過程が分からないが、どうして次の式(13), (15)が導出されるのか？

(15)　省略、次ページで解説

当該論文の発表記事は#199です。そして式(13)の導出はブログに書かれていない部分の式変形です。そのため、今回新たにChatGPTに導出させたのでそれを示します。メールに英語で回答する都合上ChatGPTと英語で会話したので、併せて和訳を付けます。ChatGPTには元の式(13)の一部 $$ F_\text{SM}(T_\text{service})\sum_\text{i=0}^{n-1}R_\text{SM}(t-(i+1)T_\text{service}) $$ について変形させました。

ChatGPT:
The original equation is:
元の方程式は以下のとおりである。: $$ (1-R_\text{SM}(T_\text{service}))\sum_\text{i=0}^{n-1}R_\text{SM}(t-(i+1)T_\text{service}) $$ First, we apply the distributive law. This involves multiplying $1-R_\text{SM}(T_\text{service})$ with each term inside the summation. Doing so transforms the equation into:
まず、分配法則を適用する。これは$1-R_\text{SM}(T_\text{service})$を和の中の各項と乗算する。そうすることで次の式を得る。 $$ \sum_\text{i=0}^{n-1}\left[R_\text{SM}(t-(i+1)T_\text{service})-R_\text{SM}(T_\text{service}) R_\text{SM}(t-(i+1)T_\text{service})\right] $$ Next, we apply the product rule for reliability functions, which is $ R_\text{SM}(a)R_\text{SM}(b)=R_\text{SM}(a+b) $. It's important to remember that this rule applies only to terms in the form of $ R_\text{SM} $. We can apply this rule to the second term in the expanded equation:
次に、信頼性関数の積則を適用する。$R_\text{SM}(a)R_\text{SM}(b)=R_\text{SM}(a+b)$である。$R_\text{SM}$の形の項だけに適用されるので、この規則を展開された方程式の第2項に適用できる。 $$ \sum_\text{i=0}^{n-1}\left[R_\text{SM}(t-(i+1)T_\text{service})-R_\text{SM}(T_\text{service}+t- (i+1)T_\text{service})\right] $$ Upon simplifying further, the equation becomes:
さらに単純化すると方程式は次のようになる。 $$ \sum_\text{i=0}^{n-1}\left[R_\text{SM}(t-(i+1)T_\text{service})-R_\text{SM}(t-iT_\text{service})\right] $$ We can separate this into two distinct summations by splitting the terms within the summation:
我々は項を分割し2つの異なる和に分けることができる。 $$ \sum_\text{i=0}^{n-1}R_\text{SM}(t-(i+1)T_\text{service})-\sum_\text{i=0}^{n-1}R_\text{SM}(t-iT_\text{service}) $$ Now, to further transform the equation, we change the variable in the first summation from $i$ to $j=i+1$. This results in adjusting the limits of the summation as well. The transformed equation becomes:
この方程式をさらに変形するために、最初の和の変数を$i$から$j=i+1$に変更すると変換された方程式は次のようになる。 $$ \sum_\text{j=1}^{n} R_\text{SM}(t - jT_\text{service}) - \sum_\text{i=0}^{n-1} R_\text{SM}(t - iT_\text{service}) $$ We observe that for each term in the first summation, there is a corresponding term in the second summation that cancels it out, except for the terms at the boundaries. What remains are the terms for $j=n$ in the first summation and $i=0$ in the second summation. Therefore, the simplified result of the equation is:
最初の和の各項について、それを打ち消す2番目の和の対応する項があることがわかる。 残るのは、最初の和の$j=n$の項と、2番目の和の$i=0$の項である。 よって、この式を簡略化すると次のようになる。 $$ R_\text{SM}(t-nT_\text{service})-R_\text{SM}(t) $$ This represents the remaining terms after all other terms in the summations have canceled each other out.
これは、和の他の項がすべて相殺された後の残りの項を表している。

ここでこの結果を元の式(13)に代入し、$u\equiv t \bmod T_\text{service}=t-nT_\text{service}$とおけば、 $$ \begin{eqnarray} A_\text{SM}(t)&=&R_\text{SM}(t)+K_\text{SM,MPF}\left[R_\text{SM}(u)-R_\text{SM}(t)\right]\\ &=&(1-K_\text{SM,MPF})R_\text{SM}(t)+K_\text{SM,MPF}R_\text{SM}(u),\ \ \ \text{s.t. }u\equiv t \bmod T_\text{service} \end{eqnarray} $$ これにより論文(13)の最後の式が導出されました。

前のブログ 次のブログ

過去記事にも記載しましたが、RAMSポータルに例年どおりプログラム表が掲載されました。弊社代表の発表枠は、最終日グリーンで色を塗ったセッションの"信頼性モデリング4"です。

以下の図は会場であるCryde HotelのEnchantボールルームの写真です。この会場を3つに区切って使用するようです。

前のブログ 次のブログ

Session Chairから連絡があり、弊社代表の発表枠が確定しました。以下のように最終日のReliablity Modeling 4の発表枠となります。

前のブログ 次のブログ

FS Micro Corporation (Headquarters: Nagoya, Japan), a provider of professional consulting services for functional safety (Note 1) of in-vehicle systems, has been accepted for publication in RAMS 2024 (Note 2), an international conference on reliability organized by IEEE (Note 3) on October 27, 2023. This is the fifth consecutive year that the author's paper has been accepted to RAMS. The author's paper also won the Best Paper Award at the 14th ISPCE 2017 (Note 4), an international conference sponsored by IEEE in 2017.

RAMS 2024 will be held January 22-25, 2024, at the Clyde Hotel in Albuquerque, NM, USA, and this presentation will be made during the Reliability Modeling 4 slot on January 25.

In 2018, the second edition of ISO 26262 (Note 5), the international standard for functional safety in automotive electronics, was published, and the PMHF (Note 6) equation was also revised. In RAMS 2020, the author clarified the mathematical background of the PMHF formula and proposed a new PMHF formula that can calculate more optimal values.

The title of this paper is "Identifying and Rectifying the Systematic Faults in the Probabilistic Metric (PMHF) Formula in ISO 26262."

The paper identifies 11 problems with the PMHF formula by analyzing the derivation process of the standard PMHF formula. It is then shown that correcting all of these problems results in a PMHF equation that is consistent with the previously proposed PMHF equation. Using the proposed PMHF equation prevents the overestimation of PMHF values. Therefore, this approach is expected to make the design of high-reliability systems, as typified by AD (Note 7), easier.

Contact Information
Company　　　　　　Name FS Micro Corporation
Representative　　　　Atsushi Sakurai
Date of establishment　August 21, 2013
Capital　　　　　　　32 million yen (including capital reserve)
Business Description　ISO 26262 functional safety consulting and seminars for in-vehicle electronic devices
Head Office Address　4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone　　　　　　　 052-263-3099
E-mail address　　　info@fs-micro.com
URL　　　　　　　　https://fs-micro.com/

Note 1: Functional safety is the concept of enhancing safety at the system level by implementing various safety measures.
Note 2: RAMS 2024 stands for The 70th Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized by the IEEE Reliability Division. http://rams.org/
Note 3: IEEE stands for Institute of Electrical and Electronics Engineers. It is the world's largest academic society for electrical and electronic engineering technology, both in terms of the number of participants and the countries involved. http://ieee.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized by the IEEE Product Safety Division http://2017.psessymposium.org/
Note 5: ISO 26262 is a functional safety standard for in-vehicle electrical and electronic systems. It is an international standard that aims to reduce to an acceptable level the possibility of safety goal violations due to failures of in-vehicle electrical and electronic systems during vehicle operation.
Note 6: PMHF stands for Probabilistic Metric for Random Hardware Failures. PMHF is one of the hardware design targets of ISO 26262, which is a time-averaged probability of safety target violations due to failures of in-vehicle electrical and electronic systems over the life of the vehicle.
Note 7: AD stands for Autonomous Driving.

前のブログ 次のブログ