また、別の論文 "Safety-Oriented System Hardware Architecture Exploration in Compliance with ISO 26262"において、PMHF式の問題点を発見しました。この論文も例のPMHF式の誤り論文$\dagger$を下敷きにし、誤りを再生産しています。この誤りの連鎖はどうしたら止められるのでしょうか。

この論文の当該部分を図526.1に示します。

繰り返しになりますが、$\lambda_\text{MPF,l}$は、PMHFに単純に足すことはできません。シングルポイントとレイテントフォールトの危険度は桁違いに異なります。具体的には単一の故障率どうしで比較するのではなく、確率で比較しなければならないため、レイテントフォールトの場合はさらに別のフォールトの生起確率をかける必要があります。つまりDPF確率が問題となってきます。

従って、それらを一緒にすることはレイテントフォールト確率の過剰評価となります。実際の経験ではレイテントフォールトの効果は3%未満でした。従って理論的には無視できませんが、実際上は無視しても良いレベルの値と言えます。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

前のブログ 次のブログ

レビュー結果に対する応答を行いました。RAMS 2023は2023年1月にフロリダ州オーランドで開催予定ですが、CDCによる入国制限が継続しており、実際に米国入国が可能かどうかは現段階では不透明です。なお、入国できない場合は録画等で発表予定です。

表525.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

別の論文 "Functional Safety BMS Design Methodology for Automotive Lithium-Based Batteries"において、PMHF式が記載されています。この論文は他と異なりDPFが考慮されています。現在までに弊社の論文を除き、PMHF式でDPF項まで考慮されているものはほとんど発見されていません。

この論文の当該部分を図524.1に示します。

式の前後の文には式の出典等は書かれておらず、いきなり(3)が現れます。問題は$\lambda_\text{MP_DP}$と$\lambda_\text{MP_L}$が何を意味するかです。論文には故障分類フローが書かれており、それにより正しく$\lambda_\text{MP_DP}$と$\lambda_\text{MP_L}$を分類していました。

弊社提案式は過去記事でまとめましたが、非冗長系に関して $$ M_\text{PMHF,NRD}={(1-K_\text{IF,RF})\lambda_\text{IF}+2K_{\text{IF,RF}}\alpha}\\ =(1-K_\text{IF,RF})\lambda_\text{IF}+K_{\text{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \tag{524.1} $$ ここで、$T_\text{lifetime}$に関する項と$\tau$に関する項があり、それぞれレイテントフォールトのリスク、ディテクテッドフォールトのリスクです。後者は定期修理期間$\tau$以内のリスクしかないのでその項を無視すれば、 $$ (524.1)\approx(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}(1-K_\text{SM,MPF})T_\text{lifetime}\\ =\lambda_\text{SPF/RF}+\lambda_\text{IF,DPF}\lambda_\text{SM,DPF,lat}T_\text{lifetime} \tag{524.2} $$ となります。論文の故障率が、 $$ \lambda_\text{MPF_DP}=\lambda_\text{IF,DPF,det}+\lambda_\text{SM,DPF,det}=\sum\lambda_\text{DPF,det}\\ \lambda_\text{MPF_L}=\lambda_\text{IF,DPF,lat}+\lambda_\text{SM,DPF,lat}=\sum\lambda_\text{DPF,lat} $$ なので、若干不正確ではありますが、まあまあ良いPMHF式だと思われます。DPFの評価は本来、レイテントとなるSMのフォールトにIFのフォールトが起きる2重故障なので、IFとSMは対応する必要があります。この分析にはFTAを用いてMCSを導出することで最小の組み合わせを得ることができます。

しかしながら、本論文ではFMEDAを用いて計算すると書かれているため、積をとってから$\sum$を計算するのではなく$\sum$の後積をとっていますが、DPF項は比較的小さいためこれでも問題ないと考えます。

安全目標や安全要求の分析、FMEDAによるSPFM/LFM/PMHFの導出等、誤りなく記述されいて参考になる論文だと思いますが、唯一の欠点は出版社がMDPIだというところです。

前のブログ 次のブログ

またPMHF式の誤り論文$\dagger$(記事はここ)の誤りが他の論文に波及しているのを発見しました。 "A Novel Method to Speed-Up the Evaluation of Cyber-Physical Systems (ISO 26262)"という論文です。

この論文の当該部分を図523.1に示します。

和訳を付けると、

ランダムハードウェア故障のための確率的メトリック(PMHF): PMHFは、一点故障、残留故障、二点故障による安全目標違反の残留リスクを評価する。 違反の最大確率の定量的な目標値を定義する。 以下の式は、単一点故障、残留故障、二点故障を引き起こす各ハードウェア部品の故障モードに対する故障率を推定する(ISO 61508)。

まずISO 61508という規格は有りません。IEC 61508のtypoだとして、その中にPMHFは定義されていません。おそらくPMHF式の誤り論文$\dagger$において、

ISO 26262にはPMHF式が出ていないため(実際はPart 10に書かれている)、IEC 61508を参照する

と書かれていたので、その誤りが伝播したものと思われます。裏を取ることをしないのでしょうか。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

前のブログ 次のブログ

Business Cubeのプレゼン資料においてPMHFの誤りを発見しました。ASIL-Dでは0.01[FIT]、ASIL-Cでは0.1[FIT]とありますが、いずれも誤りです。1st editionの時点からそれぞれ10[FIT]、100[FIT]でした。2nd editionでは緩和されましたが、10FITの目標値は変わっていません。

その次のページにはこれと矛盾した正しい数値が書かれています。ASIL-Dではこの10[FIT]が正しい目標値です。

このページ(図522.2)は正しいです。、PMHFの目標値は2nd editionではサブシステム毎になり、アイテムとしてはおよそ10倍まで緩和されたものの、サブシステムとしては10[FIT]です。

前のブログ 次のブログ

TIのプレゼン資料においてPMHFの誤解の続きです。

本資料では他の例でも全て計算が誤っていました。一貫してPMHF=RF+MPF-Lとしています。

図521.1左の計算は $$ \lambda_\text{RF}+\lambda_\text{MPF,lat}=11+10=21 [FIT] $$ 図521.1右の計算は $$ \lambda_\text{RF}+\lambda_\text{MPF,lat}=1.5+20=21.5 [FIT] $$ のようにそのまま加算を行っていますが、これは誤りです。

これは前述のようにPMHF式の誤り論文$\dagger$(図326.1)から来たものと推測します。このように一か所の"欠陥"が複数に伝播し"カスケード故障"を起こしているところを見ると、システマティックフォールトに対して"安全機構"が働いていないようです。言うまでも無く"安全機構"はこの場合、自分の頭で考えることであり、論文を鵜呑みにすることではありません。

これが誤りである理由を定性的に説明します。

1. 故障率に車両寿命をかけると、車両寿命間に故障する故障確率になります。
2. 故障確率から考えると、SPF及びRFは一点の部品欠陥で車両の故障につながるため、この項はOKです。
3. ところが、MPF-Lはレイテントフォールトなので、一点のフォールトが起きても直ちに車両の故障とはなりません。つまりMPF-Lを過大に評価していることになります。
4. 本来はレイテントフォールトは別のフォールトとの組み合わせにより車両故障、つまり安全目標違反となるため、確率としてはもう一つ別の故障率が必要となります。
5. 本来はこの項は桁違いに小さくなるはずです。

過去記事でも同じことを指摘しています。

LFは単一ではVSGを引き起こさないため、アイテムのVSG確率としては、他のフォールトとのDPFとして計算しなければなりません

以上から、単一点(シングルポイント)及び残余(レシデュアル)の故障率と、レイテントフォールトの故障率を単純に加えることは誤りです。

前のブログ 次のブログ

TIのプレゼン資料においても同様のPMHFの誤解を発見しました。これも以前の記事で指摘したように、PMHF式の誤り論文$\dagger$が波及したのかもしれません。図520.1は表紙です。

資料中のPMHF計算の誤りを図520.2に示します。

図520.2の部分を拡大します。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

前のブログ 次のブログ

表519.1に弊社代表の投稿した論文の実績と予定を示します。

前のブログ 次のブログ

本日(2022/9/27)レビュー結果を受領しました。

表518.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

今年のRAMSはレビューが遅れ、当初9/1までにレビュー結果を受領する予定が、途中で確認したところ9/Mとのことでした。実際にはさらに遅れ、本日9/27に受領しました。ところが改訂版の締め切りは10/9と延期していないようです。

ただし、レビュー結果のコメントは2件とも非常に評価が高く、それは良かった点です。レビュー#1はコメントが無いようです。

Review # 2
Comments for the AUTHOR:
Paper is well written and acceptable.
(以下省略)

Review # 3
Comments for the AUTHOR:
The paper is very well-written, synthetic and interesting. It provides new developments concerning the probabilistic metric for random hardware failures formula present in the first two editions of the standard ISO 26262 on functional safety of electrical and/or electronic systems within road vehicles.
(以下省略)

前のブログ 次のブログ

表493.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ