Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

PUA関連論文Hokstad1997 (2)

posted by sakurai on March 12, 2024 #752

論文$\dagger$の続きです。

モデルDにおいては、 $$ I(t)=f(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ これは周期関数としては正しいですが、DC=100%として100%修理されていることに改善の余地があります本来は2nd SMによる検出可否に分解し、露出時間は検出可の部分は$\tau$とし、不可の部分は車両寿命とすべきです。検出可否を考慮に入れれば、 $$ q(t)=(1-K)f(t)+Kf(u), u=t\bmod \tau $$ となりPUDの一般式となります。

また、著者によるmean number of failure (cumulative intensity)は、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M(t)=\colorbox{pink}{$i$}F(\tau)+F(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ となっており、初項の$iF(\tau)$に疑問があります。

初項の導出の理由を示す部分を見てみましょう。原文では$n$となっていますが$i$に変えたのは、我々は$n=\lfloor t/\tau\rfloor$として使用しているためです。

As a last feature of model D observe that the mean number of failures up to time $t$ equals
モデルDの最後の特徴として、時刻$t$までの平均故障数が次に等しいことがわかる $$ M(t) = n\cdot F(\tau)+F(t - n\cdot\tau),\ \text{for }n\tau \le t\lt(n + 1)\tau. $$ In each interval there is either one failure or no failure, and of course $M(\tau)=F(\tau)=1-R(\tau)$ equals the probability of having one failure in the interval. In particular $M(n\cdot\tau)=n\cdot F(\tau)$, which is the relation to be used for estimating $i_{\tau}$.
各区間には故障が1回あるかないかであり、当然$M( \tau)=F( \tau)=1-R( \tau)$ はその区間に故障が1回ある確率に等しい。特に、$M(n\cdot \tau)=n\cdot F(\tau)$は、$i_{\tau}$を推定するための関係式である。

一区間の故障確率は、$M(\tau)=F(\tau)$であるから、$i\tau$における故障確率は$M(i\tau)=iF(\tau)$だとこのとですが、論文の最後のせいか十分な検討無しに書いたように思われます。そもそも$M(t)$はunavailabilityであるため、1を超えることはないはずです。

検証のためにChatGPTにより$M(t)$をグラフ化すると、

図%%.1
図752.1 $M(t)=iF(\tau)+F(t-i\tau), i=\text{floor}(t/\tau)$

となり、明らかにおかしいです。$M(t)$は我々の記法によれば、PUAであり、 $$ Q(t)=(1-K)F(t)+KF(u), u=t\bmod \tau $$ と書くことができます。

本論文は、様々なモデルや関数の定義を与える良い論文ではあるものの、昔の論文のせいかグラフ図が手書きで不正確です。上記の誤りがあるだけでなく、PUAの一般式も求められていません。


$\dagger$ P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.


左矢前のブログ 次のブログ右矢

PUA関連論文Hokstad1997

posted by sakurai on March 11, 2024 #751

PUA関連論文シリーズ最後は以下の論文です。

P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

故障事象モデルの定式化に対する統一的なアプローチを示す。これは、修理可能なものと修理不可能なもの、予防保全と是正保全の両方を分析するための共通の枠組みを提供するものであり、休止故障のあるものにも適用できる。提案された手順は、一連のグラフによってサポートされ、それによって、固有の信頼性(すなわち、ハザード率)と保守・修理方針の両方の重要性を明らかにする。様々な故障強度の概念の定義/解釈は、このアプローチの基本である。したがって、これらの強度間の相互関係を検討し、それによってこれらの概念の明確化にも貢献する。これらの概念の中で最も基本的なものである故障強度過程は、計数過程(マーチンゲール)で使用されるものであり、その時点までの品目の履歴が与えられた時点tにおける故障率である。提案するアプローチは、いくつかの標準的な信頼性とメンテナンスのモデルを考えることによって説明される。

いろいろな不稼働度モデルが紹介されていますが、我々の関心があるのは定期検査を持つModel Dと呼ばれるモデルです。

Model D (休眠故障と定期的なテストを伴うアイテム)

一方、著者によれば、様々な確率過程は以下の定義となります。

関数名 関数 論文関数名 論文関数 我々の関数名 我々の関数
非修理系 reliability $R(t)$ 修理系 availability $A(t)$ availability $A(t)$
PDF (probability density function) $f(t)$ failure intensity,
mean intensity,
unconditional intensity,
ROCOF(Rate of OCcurrence Of Failure)
$I(t)$ PUD (point unavailability density) $q(t)$
CDF (cumulative distribution function) $F(t)$ mean number of failure,
cumulative intensity
$M(t)$ PUA (point unavailability) $Q(t)$
hazard rate $\lambda(t)$ conditional intensity $I_{up}(t)$ Veseley's failure rate $\lambda_v(t)$

Average intensity、もしくはAROCOF (Average Rate of OCcurrence Of Failure)は、 $$ i_\tau=\frac{1}{\tau}\int_0^\tau I(t)dt=\frac{1}{\tau}M(\tau) $$ 我々の定義では、$I(t)$は$q(t)$と、$M(t)$は$Q(t)$と定義します。元になる非修理系において一般的な記法であるPDF=$f(t)$、その積分であるCDF=$F(t)$を踏襲するなら$i$や$I$の大文字小文字は逆にして欲しかったところです。

我々は特に車両寿命間の平均PUDが知りたいため、PFHも同様の定義ですが、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime})=i_{T_\text{lifetime}} $$ が求めたい平均不稼働密度です。


左矢前のブログ 次のブログ右矢

PUA関連論文Sobral2016

posted by sakurai on March 8, 2024 #750

次は以下の論文です。

J. Sobral, L. Ferreira, “Availability of Fire Pumping Systems Under Periodic Inspection,” J. Build. Eng., vol. 8, pp 285–291, (Dec.) 2016.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

消防ポンプシステムは、住宅、商業施設、工業施設など、あらゆる建物の消火に使用されている。これらのシステムは、建物保護の目的で設置された手動または自動装置に必要な水流と圧力を供給する役割を担っている。従って、望ましくない火災が発生した場合に、その可用性を保証することは非常に重要である。本稿では、消防ポンプ設備が定期的な点検や試験を受けた場合の可用性に焦点を当てる。これらの検査や試験は、システムの挙動を観察し、コンポーネントやサブシステムの潜在的な隠れた故障を検出するために実施される。本論文で提案する方法論は、第一段階として、重要な機器の要求時に故障が発生する確率を分析し、この重要な段階の成功確率を分析することに焦点を当てている。また、消防ポンプシステムの望ましい可用性に対する点検・試験頻度の影響も示す。

適用分野はだいぶ異なりますが、論文の(2)式は瞬間不稼働度を求めるもので、

$$ Q(T)=\frac{1}{T}\int_0^Tq(t)dt $$ と書かれています。これは我々のPUAと同じで、その場合$q(t)$はPUDということになります。

以降では本論文がPMHFをどのように導出するかを見ていきます。

$$ Q(\tau)=\frac{1}{\tau}\int_0^\tau(\tau-t)f(t)dt=\frac{1}{\tau}\int_0^\tau F(t)dt $$ ここで、F(t)を導出しており、$\tau-t$はダウンタイム幅と解釈されますが、式が誤っているようです。本来$f(t)$を積分すると$F(t)$になるため、積分せずに$F(t)$となることは改善の余地がありそうです。ただしavailabilityとしてsawtooth波形を掲載しているのは正しいので、その後の議論がおかしくなっているようです。

式はこの程度しか掲載されておらず、著者はPUAの一般式を導出していません。従ってこの論文の分析はここまでです。


左矢前のブログ 次のブログ右矢

2月の検索結果

posted by sakurai on March 7, 2024 #749

弊社コンテンツの2月の検索結果です。

表749.1 上昇率上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) +40
ASILデコンポジション +29
SPFM, LFM, PMHFの計算法の例 +22

表749.2 パフォーマンス上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) 203
ASILデコンポジション 152
機能安全用語集 128

表749.3 上昇率上位のクエリ
クエリ クリック数
FTTI +27
ASILデコンポジション +10
FTTI FHTI 違い +10

表749.4 パフォーマンス上位のクエリ
クエリ クリック数
FTTI 84
PMHF 35
SPFM 28


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (4)

posted by sakurai on March 6, 2024 #748

論文$\dagger$の続きです。

4.3 Unavailability Approach

ISO 26262は修理が前提であるため、不信頼度ではなく4.3の修理を考慮した不稼働度が正しいアプローチです。著者は論文(9)式において $$ M_\text{PMHF}=\frac{F(T_\text{DIAG})}{T_\text{L}}=\frac{(1-e^{-\lambda T_\text{DIAG}})}{T_\text{L}} $$ のように検出部分のみを考慮しています。これが検出部分のみというのは露出時間が$T_\text{DIAG}$ということで分かります。不検出部分を考慮すれば露出時間は$T_\text{L}$が関係するからです。そのため、本来は検出部分だけでなく不検出の部分の$(1-DC)F(T_\text{L})$も加わるはずです。DC=100%という前提であることは原文からもわかります。

Even if the cyclisation is taken into account, the DC is not, and it is assumed to be DC = 100 %.

一方でRFでは残余部分である(1-DC)を考えているのでDC=100%という前提は改善が必要な前提だと言えます。

さらに一周期分の不稼働度を車両寿命で割ることにも改善の余地があります。本来車両寿命間には検査周期が$n=T_\text{L}/T_\text{DIAG}$個あるはずなので、上式$F(T_\text{DIAG})/T_\text{L}$を$n$倍するべきです。

どうしてこの式になったのかは不明ですが、修理されたものは二度と故障しないという仮定なのでしょうか? 修理され良品となっても次の検査サイクルで故障する可能性はあります。従って、毎サイクルで不信頼度は$F(T_\text{DIAG})$となるため全周期分を車両寿命で割るべきです。

そもそも本論文の目的は、SPF/RFにおいても離散的な検査を考慮し、みかけのPMHFを引き下げることでFHTI$\ge$FTTIとなるようなサブシステムについてもOKとしたいということのようです。しかしながら、前述のように本来FHTI$\ge$FTTIという時点でDCをクレームできない(すなわちDC=0)というのがISO 26262的な観点であるため、PMHFは引き下げるどころか引き上げられます

従って、上記の数々の枝葉の問題以前に根本が破綻していると言えます。せっかくCyclisationを考慮するのなら2nd SMについての検討が望まれます。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (3)

posted by sakurai on March 5, 2024 #747

論文$\dagger$の続きです。

Section 3まで前置きがあり、Section 4から各種アプローチの紹介があります。

4.1 ISO 26262 Approach

この著者は、ISO 26262ではSMについて周期的な検査は仮定していないから(それは正しい)、SPF/RFについては論文(7)式において $$ M_\text{PMHF}=\frac{F(T_\text{L})}{T_\text{L}}=\frac{1-e^{-(1-DC)\lambda T_\text{L}}}{T_\text{L}}\approx\frac{(1-DC)\lambda T_\text{L}}{T_\text{L}}=(1-DC)\lambda $$ であると書いています。ちなみに原文は以下のとおりです。

This approach is only valid for continuous safety measures with FHTI$\le$FTTI; no cyclisation is taken into account.

この考えの問題点は1st SMと2nd SMを区別していないところです。本来は2nd SMはこれに当てはまりません。

そもそもISO 26262自体の記述も偏っており、Part 10 8.4において、2つの事象を扱っています。まずSPF事象では当然修理は起きないので、$F(T_\text{L})/T_\text{L}$となるのは正しいのですが、次のDPF事象において、冗長系でかつ2nd SMの無い系について数学的なモデルを示しています。 「露出時間を考慮に入れる必要がある」と言いながら、2nd SMが無いため露出時間は常に車両寿命です。そのため修理時間は全く例に出てきません。これらの理由により1st SMの修理という事象がほとんどの論文で無視されているようです。

図%%.1
図747.1 Part 10のパターン分解

ところが図747.1に示すように、Part 10ではパターン2でSM1のフォールトが修理され、パターン4でIFのフォールトが修理されるという記述があります。どちらも露出時間は$T_\text{service}$です。

従って著者のISO 26262は非修理が前提という認識には改善の余地があります。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (2)

posted by sakurai on March 4, 2024 #746

論文$\dagger$の続きです。

Generally speaking: Safety measures, which are under influence of cyclisation, potentially violate the criteria FHTI ≤ FTTI. (略) In order to change that, a novel approach for safety validation process of safety measures with FHTI ≥ FTTI is described in this paper.
一般的に言えば、サイクル化の影響を受ける安全対策は、FHTI ≤ FTTI の基準に違反する可能性がある。(略)これを変更するために、本論文では、FHTI≥FTTIを持つ安全対策の安全性検証プロセスに対する新しいアプローチについて述べる。

これで分かることは、安全機構の周期的な検査はMPFDIではなく、FTTIの話のようです。つまり1st SMが議論の対象となります。

本来、規格の観点からFHTI$\ge$FTTIなる違反は認められませんが、これに違反するFHTIを持つSMを救う話のようです。しかしながら、FHTI$\ge$FTTIの違反の段階で当該SMのDCはゼロと見なされるため、そのSMは無いも同然と考えるべきです。

話を戻すと、本論文において周期的な検査機構を持つのは1st SMです。ということは、定期点検修理を行う2nd SMを前提とする我々のPMHFの議論とは全く異なる議論であると判断します。

さらに、最も問題となる部分が以下の仮定です。

For this paper investigations and all related approaches, the boundary conditions are:
• all faults are random hardware faults (not systematic),
• scope of the safety measure are RFs and dormant SPFs,
• the system is non-repairable with λ = const.,
• the PMHF corresponds to the probability of failure F(t).
本論文の調査および関連するすべてのアプローチにおいて、境界条件は以下の通りである:
- 欠陥はすべてランダムなハードウェア欠陥である(系統的ではない)、
- 安全対策の範囲はRFと休止状態のSPFである、
- システムはλ = const.で修復不可能である、
- PMHF は故障確率 F(t)に対応する。

ほとんど全ての論文がPart 10に修理の話が書かれているのを見過ごしていますが、ISO 26262の前提によれば、少なくともSMは1st editionから修理可能です。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢

posted by sakurai on March 1, 2024 #745

次回RAMS 2025に投稿する論文「Point Unavailability and Its Density Processes of Repairable Element with Periodic Inspections in ISO 26262」を作成し、AJEに入稿しました。入稿前にはDeepLで翻訳し、ChatGPTにより論文査読を行ったうえで、ネイティブチェックのためAJEに入稿しています。

表745.1 RAMS 2025へのマイルストーン
期限 マイルストーン 状態
2024/5/3 アブストラクト投稿締め切り(システム入力)
2024/6/10 アブストラクト採択結果
2024/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2024/9/1 第1回論文、プレゼン資料査読コメント受領
2024/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2024/10/22 最終査読コメント受領
2024/10/10 学会出席登録締め切り
2024/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

過去に掲載した論文の実績と予定をアップデートします。

表745.2 PMHF論文の実績と予定表
No. 学会 論文タイトル 内容 採択/未
1 2017 ISPCE Generalized formula for the calculation of a probabilistic metric for random hardware failures in redundant subsystems PMHF式を初めて冗長系に拡張し提案 最優秀論文賞
2 2020 RAMS Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262 PMHF式を初めて理論的に導出、提案 採択
3 2021 RAMS A Framework for Performing Quantitative Fault Tree Analyses for Subsystems with Periodic Repairs 理論的に導出したPMHFのFTA構成法 採択
4 2022 RAMS Formulas of the Probabilistic Metric for Random Hardware Failures to Resolve a Dilemma in ISO 26262 LFMと整合するPMHF式の導出、提案 採択
5 2023 RAMS Stochastic Constituents for the Probabilistic Metric for Hardware Failures 確率構成要素を用いたIFRモデルの証明 採択
6 2024 RAMS Identifying and Rectifying the Potential Faults in Probabilistic Metric (PMHF) Formula in ISO 26262 2nd editionのPMHF式の誤りと正確なPMHF式の提案 採択
7 2025 RAMS Point Unavailability and Its Density Processes of Repairable Element with Periodic Inspections in ISO 26262 定期検査する修理可能エレメントのPUAとPUD
8 2026 RAMS 未定 EOTTIの導出
9 2027 RAMS 未定 Q-FTAのEPSにおける実例


左矢前のブログ 次のブログ右矢

posted by sakurai on February 29, 2024 #744

次は以下の論文です。

A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

アブストラクトの和訳を示します。

この技術的な詳細では、診断カバレッジ(DC)を伴う周期的安全対策に関連する意図された機能の確率的ハードウェア故障指標(PMHF)計算のための新しい数学的アプローチを導出する。これにより、指数故障分布の確率密度関数が安全診断の周期的影響に適応される、 さらに、適切な FTA モデルが説明される。これにより、PMHF 計算の現在のいくつかのアプローチが、対象とするユースケースに不適切であることが証明される。 分析と最新技術との比較により、このコンセプトの規範的・工学的な利点が示される: この新しい方法論は、車両パワーネットと安全診断の分野の例を用いて説明する。

このようにPMHF計算の新手法を提案しているようです。本当だったら大変に素晴らしいことですが、中身を見ていきます。

Those kind of diagnoses or safety measures, which have a significant influence of cyclisation, must not be treated as continuous systems in the safety validation process.
このような種類のサイクル化に大きな影響を与える診断や安全対策は、安全性検証プロセスにおいて連続システムとして扱ってはならない。

安全機構の種類については省略しますが、ここまでにおいて、この著者も1st SMと2nd SMの区別を記述していません。というのは

  • 1st SMであれば、(真に連続的な診断ではないとしても)少なくともFTTIを満足するレベルの十分に高速な診断が必要となるし、
  • 2nd SMであれば、1時間以上の十分に離散的な診断でOK

だからです。

これはフォールトの性質が異なるからであり、

  • フォールトがVSGに直結するIFのフォールトであれば即時(FTTI中)の診断だけでなく安全状態への移行が必要になるし、
  • SMのフォールトであれば、それはレイテントフォールトであるため、1時間以上の余裕を持った診断で良く、さらにドライバーが車両を運転して修理工場に運ぶことでもなんら問題はありません。

周期的な故障検出といってもFTTIが対象なのか、MPFDIが対象なのかで議論が全く変わってきます。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 19, 2024 #743

論文$\dagger$の続きです。

次はMPFに移ります。MPFの議論には一部正しい部分が見られます。それは、

  • MPF,DPに分類されるフォールトはτにおいて全て修理される
  • MPF,Lに分類されるフォールトは一切故障修理されない

これらは2nd SMの機能が働くSMのフォールトの扱いとしては全く正しいです。従って、

$$ F_\text{AVG,M}=\frac{1}{2}\tau\lambda_\text{MPF,DP}+\frac{1}{2}T\lambda_\text{MPF,L} $$ は先に故障するSMの不信頼度としては正しいです。ところがIFとSMの区別に改善の余地があるように思われるので、その点が残念です。なぜならVSGに対してIFとSMのフォールトの効果は異なるからです。

これがSMの不信頼度であることを明確にすれば、添え字にSMを加え、 $$ F_\text{AVG,SM,M}=\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L} $$ となります。

図%%.1
図743.1 2つの不信頼度MPF,DP/MPF,Lのグラフ

図743.1もSMの不信頼度のグラフと理解すれば全く正しいグラフです。実際には両者$F_\text{MPF,L}$と$F_\text{MPF,DP}$のグラフを加え合わせたものが本来の不信頼度のグラフで、いわゆるsawtooth waveと呼ばれるものですが、あまり見たことがありません。

この後に1oo2のサブシステムの計算が続きますが、ここまでで十分誤っているためそれが重なるだけです。従ってここではそれを指摘しませんが、本来は1oo2というよりもIFとSMとSM2から構成されるサブシステムを考えるべきです。ただし冗長系は別とします。そのサブシステムはRBDが規格Part 10にも載っており、かつ規格にもPMHF式が掲載されています。それらを全く無視している点には改善の余地が有りそうです。

よって、以上から正しい不信頼度を求めると、先にSMが故障し、後でIFが故障する場合のDPFを考えると、

$$ F_\text{AVG}=F_\text{AVG,S}+F_\text{AVG,SM,M}F_\text{AVG,IF,M}=(\lambda_\text{SPF}+\lambda_\text{RF})T+\left(\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L}\right)\lambda_\text{IF,MPF}T\\ $$

よって、 $$ M_\text{PMHF}=\lambda_\text{SPF}+\lambda_\text{RF}+\left(\frac{1}{2}\tau\lambda_\text{SM,MPF,DP}+\frac{1}{2}T\lambda_\text{SM,MPF,L}\right)\lambda_\text{IF,MPF}\\ =\lambda_\text{SPF}+\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}\left(\lambda_\text{SM,MPF,DP}\tau+\lambda_\text{SM,MPF,L}T\right) $$ これはSMのみがリペアラブルという1st edition規格式に相当します。

論文の誤りが深刻なのは、当該論文の誤りに留まらず、誤りが拡大再生産されることです。リトラクトしなければ永久に誤りが拡大再生産され続けます。


$\dagger$J. Famfulik, M. Richtar et al, "Application of hardware reliability calculation procedures according to ISO 26262 standard," Qual. Rel. Eng. Int. 2020, pp. 1-15, doi: 10.1002/qre.2625


左矢前のブログ 次のブログ右矢


ページ: