Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on October 27, 2023 #687

図%%.1

車載システムに関する機能安全(注1)の専門的なコンサルティングを提供するFSマイクロ株式会社(本社:名古屋市)代表取締役社長 桜井 厚が執筆した論文が、2023年10月27日、IEEE(注2)主催の信頼性に関する国際学会であるRAMS 2024(注3)に採択されました。同著者によるRAMSへの採択は今回で5年連続となります。また同著者の論文は、2017年にIEEE主催の国際学会である第14回ISPCE 2017(注4)において最優秀論文賞を受賞しています。

次回のRAMS 2024は、2024年1月22日から25日まで、米国ニューメキシコ州アルバカーキのクライドホテルで開催され、本発表は1月25日の信頼性モデル4枠において行われる予定です。

図%%.2

2018年に車載電子機器における機能安全の国際規格であるISO 26262(注5)第2版が発行され、併せてPMHF(注6)式も改訂されました。同著者はRAMS 2020において、このPMHF式の数学的な背景を明らかにし、より最適な値が算出可能である新しいPMHF式を提案しました。

本論文のタイトルは、"Identifying and Rectifying the Systematic Faults in the Probabilistic Metric (PMHF) Formula in ISO 26262"です。邦題は「ISO 26262における確率的メトリック式(PMHF)のシステマティック・フォールトの特定と修正」となります。

本論文は規格PMHF式の導出過程を分析することでPMHF式の問題点11か所を識別します。さらに、それらの問題点を全て修正すると先に提案されたPMHF式と一致することを示します。提案するPMHF式を使用することでPMHF値の過剰見積もりを防ぐことができます。従ってこのアプローチにより、AD(注7)に代表される高信頼システムの設計がより容易になることが期待されます。

【お問い合わせ先】
商号      FSマイクロ株式会社
代表者     桜井 厚
設立年月日   2013年8月21日
資本金     3,200万円(資本準備金を含む)
事業内容    ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地   〒460-0011
        愛知県名古屋市中区大須4-1-57
電話      052-263-3099
メールアドレス info@fs-micro.com
URL      https://fs-micro.com/

【注釈】
注1:機能安全とは、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方
注2:IEEE(アイトリプルイー)とはInstitute of Electrical and Electronics Engineersの略称。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注3:RAMS(ラムズ)2024とはThe 70th Annual Reliability & Maintainability Symposiumの略称。IEEE信頼性部会が主催する、信頼性工学に関する国際学会 http://rams.org/
注4:ISPCE(アイスパイス)とはIEEE Symposium on Product Compliance Engineeringの略称。IEEE製品安全部会が主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5:ISO 26262とは、車載電気・電子システムに関する機能安全規格であり、自動車の運行中に車載電気・電子システムが故障することで安全目標違反となる可能性を、許容できる範囲に低減させることを目的とした国際規格
注6:PMHF(ピーエムエイチエフ)とはProbabilistic Metric for Random Hardware Failuresの略称。車載電気・電子システムが故障することで安全目標違反となる確率を車両寿命間で時間平均した、ISO 26262のハードウェアに関する設計目標のひとつ
注7:ADとはAutonomous Drivingで自動運転の略語。


左矢前のブログ 次のブログ右矢

Part 5 Annex FのPMHF式

posted by sakurai on October 16, 2023 #678

Annex F

ISO 26262-5:2018、すなわち規格Part 5のAnnex Fには「4.2に従った第9節の目的を満足するという論理的根拠の例」が掲載されています。

ここで、4.2とはPart 5の一般的な要件であり第9節とはランダムハードウエア故障による安全目標侵害の評価です。つまりPart 5の第9節の要請に従ったメトリクス評価の実例が書かれています。ここでメトリクスとはランダムハードウエア故障による安全目標侵害のメトリクスであり、PMHFを指します。

もっとも第9節では第1の手法として「ランダムハードウエア故障の確率的メトリック」すなわちPMHFの要件を挙げ、第2の手法として「安全目標侵害の各原因の評価」すなわちEECを挙げていて、メトリクスはいずれかとなりますが、第2の手法には弊社は疑念があるため、第1の手法であるPMHFを採用したほうが良いと考えます。

PMHF式

出発点はAnnex Eで実施したFMEDAによるSPFM/LFMの導出の表です。この例に基づき、Annex FではPMHFの簡易評価式を次のように定めています。

$$M_\text{PMHF,est}\equiv \lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{DPF_det}\cdot\lambda_\text{DPF_latent}\cdot T_\text{Lifetime}\tag{678.1}$$

一方、本来のPMHF式は規格において

  • 1st edition、すなわちISO 26262:2011のPMHFを適用する、もしくは
  • 2nd editionのパターン3, 4をゼロとみなす

のいずれかを適用します。後者を用いるとPMHFは次の図329.1において、パターン3, 4を無視する形となります。

図329.1
図329.1 2nd Edition PMHF式

さらに、定期検査・修理期間内で発生するDPFによるVSG確率は小さいため無視します。つまり図329.1においてパターン2も無視します。すると図329.1はパターン1のみが残るため、

$$M_\text{PMHF}\equiv \lambda_\text{IF,SPF}+\lambda_\text{IF,RF}+\frac{1}{2}\lambda_\text{IF,DPF,det}\cdot\lambda_\text{SM,DPF,lat}\cdot T_\text{Lifetime}\tag{678.2} $$ ここで、(678.1)と(678.2)のSPF/RFに関する項は同一なので、DPFに関する項のみを比較すれば、

  1. $\lambda_\text{IF,DPF,det}$を$\lambda_\text{DPF_det}$とみなしている
  2. $\lambda_\text{SM,DPF,lat}$を$\lambda_\text{DPF_latent}$とみなしている
  3. $\frac{1}{2}$を無視している

の3つの近似を行っていることになります。それぞれを評価すれば、

  1. 本来 $$ \begin{eqnarray} \lambda_\text{DPF_det}&=&\lambda_\text{(IF+SM),DPF,det}\\ &=&\lambda_\text{IF,DPF,det}+\lambda_\text{SM,DPF,det} \end{eqnarray} $$ であるが、非冗長系ではIFに比べてSMの物量は一般に小さいことから $$\lambda_\text{IF,DPF,det}\gg\lambda_\text{SM,DPF,det}$$ 従ってSMに関する項は無視可能
  2. 本来 $$ \begin{eqnarray} \lambda_\text{DPF_latent}&=&\lambda_\text{(IF+SM),DPF,lat}\\ &=&\lambda_\text{IF,DPF,lat}+\lambda_\text{SM,DPF,lat} \end{eqnarray} $$ であるが、非冗長系ではIFのフォールトはLFにならないため、 $$\lambda_\text{IF,DPF,lat}=0$$ よってこの式は成立
  3. 係数$\frac{1}{2}$は近似のため無視

以上より、もともとDPF項はSPF/RF項と比較して小さいことから本近似式は成立するといえます。


左矢前のブログ 次のブログ右矢

RAMS査読8回目

posted by sakurai on September 28, 2023 #670

指摘事項

最終(?)の査読結果が届きました。指摘は1点あり、

  • systematic faultは筆者の推定ではないか?その場合は規格にバグがあるとは言えない
  • 問題を見つけて修正したとあるが、修正の具体的な方法が書かれていない

というもので、いまだにsystematic faultであると決めつけていると疑念を持たれているようです。論拠は全て示しているのですが、systematic faultが特殊なフォールトであるという認識のためか、論証が弱いと思われています。

本来systematic faultは偶然に発現するランダムフォールトとは異なり、必ず発現する類のバグです。ところが、どうしてもその点に納得されないため、systematic faultを弱めてpotential faultと修正しました。

タイトル

タイトルもそれに合わせてpotential faultとします。 Identifying and Rectifying the Potential Faults in the Probabilistic Metric (PMHF) Formula in ISO 26262

また、修正法が書かれていないという指摘はそのとおりであるため、過去論文[4]を引用してそこに導出がある旨を追加しました。

対応状況

  • systematic faultを弱めてpotential faultと修正しました。
  • 修正法が書かれていないという点は、過去論文[4]を引用してそこに導出がある旨を追加しました。

修正は限定的なためAJEによる英文修正は省略し、RAMSに提出済です。

表670.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(システム入力) 投稿済
2023/6/10⇒2023/5/25 アブストラクト採択結果 採択済
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2023/9/1 第1回論文、プレゼン資料査読コメント受領 投稿済
2023/10/10⇒2023/9/17 改訂版論文、プレゼン投稿締め切り(名前、所属有り版) 投稿済
2023/10/22⇒2023/9/21 最終査読コメント受領 受領済
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

RAMS査読6,7回目

posted by sakurai on September 22, 2023 #667

指摘事項

最終(?)の査読結果が届きました。指摘は1点あり、

Systematic Faultは筆者の推定ではないか?その場合は規格にバグがあるとは言えず、「全て修正した場合にAF2となることを証明した」とは言えないのでその文言を削除すべき。

とのことです。なかなかSystematic Faultが理解してもらえないため、図667.1の規格での定義を抜き出して送付したら、その定義により論理のチェインを繋げるべきというコメントをもらいました。

図%%.1
図667.1 Systematic Faultの定義(規格より)
日本語訳を以下に追記します。

3.165 系統的障害
プロセスまたは設計の対策を適用することによってのみ防ぐことができる、決定論的な方法で故障が顕在化する障害

ただし、この表現は抽象的でわかりにくいです。一般的に系統的障害とはバグ論理ミスと言われているものです。

対応状況

AEJによる英文修正後にRAMSに提出予定です。

表667.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(システム入力) 投稿済
2023/6/10⇒2023/5/25 アブストラクト採択結果 採択済
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2023/9/1 第1回論文、プレゼン資料査読コメント受領 投稿済
2023/10/10⇒2023/9/17 改訂版論文、プレゼン投稿締め切り(名前、所属有り版) 投稿済
2023/10/22⇒2023/9/21 最終査読コメント受領 受領済
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

RAMS査読5回目

posted by sakurai on September 21, 2023 #666

最終(?)の査読結果が届きました。指摘は2点あり、

  • Systematic Faultは意味がわからないからSUMMARY&CONCLUSIONに説明を入れたほうが良い
  • 以前の論文で効果が20~40倍あるとのことだが、今回の論文で書かれていない。

とのことです。前回の査読の指摘「Systematic Faultは意味がわからない」に基づきSystematic Faultはの説明をイントロダクションに追加していたのですが、それでは足りず、SUMMARY&CONCLUSIONに追加せよとのことです。早速対応し、さらに効果については過去論文で論証していたため、今回の論文では削除しました。英文校正を経て投稿済みです。

表666.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(システム入力) 投稿済
2023/6/10⇒2023/5/25 アブストラクト採択結果 採択済
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2023/9/1 第1回論文、プレゼン資料査読コメント受領 投稿済
2023/10/10⇒2023/9/17 改訂版論文、プレゼン投稿締め切り(名前、所属有り版) 投稿済
2023/10/22⇒2023/9/21 最終査読コメント受領 受領済
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

左矢前のブログ 次のブログ右矢

AI Writer (5)

posted by sakurai on September 19, 2023 #665

ほとんど満足できる結果が生成されました。ただ、不稼働度を下げるには故障率の低減だけでなく検出率や修理率の向上も必要なため、その旨を伝えます。さらに、PMHFと不稼働度の関連も加えてもらいます。

大変良いです。ただ、不稼働度の節において、不稼働度を低減する=信頼性を高めるには故障率を下げるだけでなく、故障検出率を上げる、修理率を上げることが影響します。それを加えて修正してください。さらに、PMHFは不稼働度を用いて定義されることを追記してください。

ChatGPT:

ご指摘いただきありがとうございます。不稼働度とPMHFの節を以下のように修正します。

不稼働度とは

不稼働度は、車載ECUが期待される動作時間に対する不動作時間の割合を示す重要な評価指標です。逆に言えば、不稼働度が低いほど車載ECUの信頼性と安全性が高いということになります。不稼働度を正確に評価し、最小限に抑えるためには、システムの故障率を下げるだけでなく、故障検出率や修理率を高めることも重要です。これらの要素を考慮に入れ、信頼性の高いハードウェアとソフトウェアを設計、開発することが求められます。

PMHF(Probabilistic Metric for Random Hardware Failures)とは

PMHFは、車載ECUに搭載された電子部品や回路がランダムに故障する確率を評価するための指標です。PMHFはISO26262規格に基づいて定義されており、これに従ってハードウェア故障の発生確率を算出することで、車載ECUの機能安全を評価し向上させることが可能となります。この指標は不稼働度を用いて計算され、機能安全の確保に重要な役割を果たします。


論文の導入部分等のISO 26262やPMHFの説明等は、独自性が出るべき箇所ではなく、誰が書いても同じ内容になるので、AIに書かせることはむしろ推奨されるべきかもしれません。しかしながら内容の妥当性の確認は当然人間が行うべきです。


左矢前のブログ 次のブログ右矢

AI Writer (4)

posted by sakurai on September 18, 2023 #664

だいぶさっぱりしてしまったので、もう少し中身を充実させます。

もう少し長くしてください。

ChatGPT:

すみませんが、それぞれのセクションをもう少し詳細に説明します。

機能安全とは?車載ECUの不稼働度を評価するPMHFとISO26262との関係

機能安全とは

機能安全は、自動車の中枢部である車載ECUの正常な動作を保証し、意図しない故障や異常動作を防止する重要な要素です。この目的を達成するための詳細な要件と評価方法はISO26262規格によって定められており、これらの規格を順守することにより自動車の信頼性が向上します。

不稼働度とは

不稼働度は、車載ECUが期待される動作時間に対する不動作時間の割合を示す重要な評価指標です。これは逆に言えば、不稼働度が低いほど車載ECUの信頼性と安全性が高いということになります。不稼働度を正確に評価するためにはシステムの故障率や故障の影響度を考慮する必要があり、これらの要素を基に信頼性の高いハードウェアとソフトウェアを設計、開発することで不稼働度を最小限に抑えることが求められます。

PMHF(Probabilistic Metric for Random Hardware Failures)とは

PMHFは、車載ECUに搭載された電子部品や回路がランダムに故障する確率を評価するための指標です。PMHFはISO26262規格に基づいて定義されており、これに従ってハードウェア故障の発生確率を算出することで、車載ECUの機能安全を評価し向上させることが可能となります。

車載ECUにおけるPMHFの利用

車載ECUでは、PMHFを使用してランダムなハードウェア故障の確率を評価し、信頼性を向上させることが可能です。また、PMHFを使用することで故障の予測や調査が容易になり、その結果として自動車の安全性を向上させる戦略や対策を立てることができます。これらの利点は、自動車の安全性向上や事故や故障のリスク軽減に大いに貢献します。


左矢前のブログ 次のブログ右矢

AI Writer (3)

posted by sakurai on September 14, 2023 #663

同じ内容が繰り返されているようなので、ChatGPT-4に改善してもらいます。

以下の文章は冗長で長いため、冗長性を削除して短くしてください。特に不稼働度の項目は逆になっています。つまり不稼働度は高信頼性を意味すると書かれているが、逆であり、不稼働度は故障の確率を表すものです。この節だけ論旨を反対にしてください。

機能安全とは?車載ECUの不稼働度を評価するPMHFとISO26262との関係

機能安全とは

機能安全とは、車載ECUにおける機能安全の重要性について説明するものです。車載ECUは自動車の中枢を担い、安全性が最も重要な要素となっています。ISO26262規格は、この機能安全の要件を定め、その適用範囲や評価方法などを規定しています。

車載ECUの機能安全は、万が一の故障や異常動作を防止し、適切な制御が行われることを保証することを目的としています。ISO26262では、ハードウェアの設計やソフトウェアの開発、評価方法など、様々な要件が述べられています。機能安全の確保は、自動車の信頼性を高めるために欠かせない要素であり、自動車メーカーなどにとっては非常に重要な課題となっています。

不稼働度とは

不稼働度とは、車載ECUにおいて非常に重要な概念です。不稼働度とは、システムが正常に動作することが期待される時間に対して、システムが実際に正常に動作している時間の割合を示します。つまり、車載ECUの不稼働度が高いほど、システムの信頼性や安全性が高いと言えるのです。不稼働度を評価するためには、システムの故障率や故障の影響度などの情報が必要です。不稼働度の評価には、統計的な手法やシミュレーションなどが用いられます。不稼働度の高い車載ECUは、車両の安全性を確保する上で非常に重要であり、ISO26262規格などの機能安全の要件を満たす必要があります。車載ECUの不稼働度を向上させるためには、信頼性の高いハードウェアやソフトウェアの設計と開発が不可欠です。

PMHF(Probabilistic Metric for Random Hardware Failures)とは

PMHF(Probabilistic Metric for Random Hardware Failures)は、機能安全において重要な評価指標の一つです。PMHFは、車載ECUにおけるランダムなハードウェア故障の確率を算出するためのメトリックです。車載ECUには多くの電子部品や回路が搭載されており、これらのハードウェアの故障は機能安全に影響を与える可能性があります。PMHFは、このようなランダムなハードウェア故障の発生確率を示す指標として利用されます。PMHFの算出方法や評価指標はISO26262規格に基づいており、これに従って導入されることが推奨されています。PMHFを活用することで、車載ECUの機能安全を向上させることができます。

車載ECUにおけるPMHFの利用

車載ECUにおけるPMHFの利用は、機能安全の向上において非常に重要です。PMHFは、Probabilistic Metric for Random Hardware Failuresの略であり、ランダムなハードウェア障害の確率を評価する指標です。車載ECUでは、信頼性の向上や不稼働度の評価にPMHFを利用することができます。また、PMHFを活用することで車載ECUの故障の予測や調査が可能となり、車載システムの安全性を確保するための戦略や対策を立てることができます。これにより、自動車の安全性向上や事故や故障のリスクを軽減することができます。特に、ISO26262という機能安全の国際規格に基づいた車載システム開発では、PMHFの利用が求められています。車載ECUにおけるPMHFの利用により、より高い機能安全性を確保することができるため、自動車業界において重要な技術と言えます。

ChatGPT:

以下に短縮した文章を提供します。

機能安全とは?車載ECUの不稼働度を評価するPMHFとISO26262との関係

機能安全について

機能安全は、車載ECUが正常に動作し、故障や異常を防止することを目指します。この確保はISO26262規格で規定され、自動車の信頼性を高めるために重要です。

不稼働度について

不稼働度は、車載ECUが正常に動作していない時間の割合を表し、低いほど信頼性や安全性が高まります。不稼働度の評価には故障率や影響度が必要で、その向上には信頼性の高い設計と開発が必要です。

PMHFについて

PMHFは、車載ECUのランダムなハードウェア故障の確率を示す指標で、ISO26262規格に基づいています。PMHFの活用は、車載ECUの機能安全向上に有用です。

PMHFの利用

車載ECUでは、PMHFを活用し、信頼性の向上や故障の予測が可能になります。これにより、安全性の向上や事故や故障のリスク軽減に寄与し、高い機能安全性を確保します。


左矢前のブログ 次のブログ右矢

AI Writer (2)

posted by sakurai on September 13, 2023 #662

このタイトルやキーワードに沿って、記事の章立てを考えてくれます。適宜編集することが可能です。5番目の展望については不要なので、削除しました。

図%%.1
図662.1 記事の概要

この章立てで記事を書かせると、やや冗長な記事を書いてくれました。長いので、以下に部分のみを示します。

図%%.2
図662.2 記事の概要

不稼働度について、不稼働度が高まると信頼度が上がると逆のことが書かれています。これを修正させましょう。


左矢前のブログ 次のブログ右矢

AI Writer

posted by sakurai on September 12, 2023 #661

キーワードを入れると記事を書いてくれる(ChatGPTを活用した)AI Writerというサイトがあるとのことで、利用してみました。

https://ai-writer.userlocal.jp/

まず、記事を書きたいキーワードを入力します。

図%%.1
図661.1 記事のキーワード

すると、キーワードを膨らませてくれるので、適宜必要なキーワードを3~10個選択します。

図%%.2
図661.2 記事のキーワード

これらのキーワードから記事のタイトルを考えてくれます。

図%%.3
図661.3 記事のタイトル

左矢前のブログ 次のブログ右矢


ページ: