論文ward2012$\dagger$の続きです。 2番目の例としてより複雑なSteer-by-wireを取り上げます。

In this example (which is intended to illustrate principles and not represent a real design) a 4-wheel steer-by-wire system is under development. Here, the hand-wheel input is sensed and processed into commands for control of the front and rear axle actuators. A third actuator provides haptic feedback to the driver at the hand-wheel.

この例では（原理を説明するためのものであり、実際の設計を示すものではありません）4輪ステアバイワイヤシステムが開発されています。ここでは、ステアリングの入力が感知され、フロントアクスルとリアアクスルのアクチュエータを制御するためのコマンドに処理されます。第3のアクチュエーターは、ステアリングでドライバーに触覚フィードバックを提供します。

図302.1はSteer-by-wireのシステムブロック図です。

このシステムには多くの安全目標が設定されており、要求分解をしていった結果、以下の要求がステアリングセンシングと車輪アクチュエーション（項目の他の要素の中で）に課せられています。

REQ 32: Failure of the road-wheel actuation shall not lead to an absence of directional control of the vehicle. [ASILD]

REQ 32: 車輪の作動の故障により、車両の方向制御ができなくなることがあってはならない。 [ASIL D]

REQ 49: Failure of the hand-wheel sensing shall not lead to an incorrect indication of the driver’s intended direction to the ECU [ASIL D]

REQ 49: ステアリングセンシングの故障により、ECUに運転者の意図する方向が正しく表示されないことがあってはならない。 [ASIL D]

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

論文ward2012$\dagger$の続きです。

Figure 4 illustrates a plausible solution to this problem, where the secondary micro is also equipped with CAN hardware and therefore is able to fulfill REQ 22.2 independently from the primary microcontroller.

図4は、セカンダリマイクロがCANハードウェアを装備しているため、プライマリマイクロコントローラから独立してREQ 22.2を満たすことができるという、この問題の妥当な解決策を示しています。

このように変更することで、ASILデコンポジションが成立しています。2ステップに分解して確かめてみましょう。まず分解された安全要求は初期安全要求を単独で満足する必要があります。

安全要求

REQ 22.1. プライマリ・マイコンは、CANバス上で「ロック」コマンドを受信すると、ブリッジ・ドライブへのドライブ信号をアクティブにしなければならない。

は、初期安全要求

REQ 22: 「ロック」状態がCANバスで受信された場合、マイクロコントローラはブリッジドライブへのドライブ信号をアクティブにしなければならない。

を単独で満足します。また、安全要求

REQ 22.2. セカンダリマイコンは、CANバスを介して受信した車速がロック状態が妥当であることを示した場合（すなわち、車両が静止している場合）に、ブリッジドライブへのイネーブル信号をアクティブにしなければならない。[ASIL B(D)]

は、初期安全要求

REQ 22: 「ロック」状態がCANバスで受信された場合、マイクロコントローラはブリッジドライブへのドライブ信号をアクティブにしなければならない。

を単独で満足します。

次に、REQ 22.1と22.2が割り当てられたエレメントは、互いに独立となっていてASILデコンポジションが成立しそうです。論文中にもありますが、

Finally, as a cautionary note; one often overlooked aspect is that of support circuitry for the microcontrollers. In such architecture, care should be taken to ensure that there is an absence of common cause faults, and that no propagation of faults from one microcontroller to the other can occur via a common power supply or common clock circuit.

最後に、注意事項として、見落とされがちなのがマイクロコントローラのサポート回路です。このようなアーキテクチャでは、共通の原因となる故障が存在しないこと、そして、共通の電源や共通のクロック回路を介して、一方のマイクロコントローラから他方のマイクロコントローラへの故障の伝播が起こらないことを保証するために注意を払う必要があります。

エレメント間で電源やクロックの異常により、同時に異常動作が起きることが無いことの説明が必要ですが、それが成立する場合、ASILデコンポジションが成立します。

実は前稿にも書いたように、この例は無駄なASILデコンポジションの例であり、このような無駄をしないためにはASILデコンポジションを正しく理解することが必要です。

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

論文ward2012$\dagger$の続きです。具体例が参考になるので、具体的な要求に従って検討していきます。

Below are some examples illustrating common misuse of requirements decomposition.

以下に、要件分解の一般的な誤用を説明するいくつかの例を示します。

最初の例はESL (Electronic Steering Lock)です。ESLとは、盗難防止装置であるステアリングロックを電子的に行うもので、停止状態(=車速がある速度以下)で、一定の条件でステアリングを回転させないようにカンヌキをかけるシステムです。図300.1はESLの初期アーキテクチャです。

この初期アーキテクチャのSGは以下のようです。

SG01: When the vehicle is being driven, the steering lock shall not engage unintentionally [ASIL D].

SG01: 車両の運転中は、ステアリングロックが意図せずに作動してはならない[ASIL D]。

前述のように、走行中にESLが働くと大変なことになります。SG中の意図せずというのは、故障した場合と読み替えることができます。このSGに従い、次の初期TSRを導出しました。

REQ 22: The Microcontroller shall activate the drive signal to the bridge drive when “lock” conditions are received over the CAN bus. [ASIL D]

REQ 22: 「ロック」状態がCANバスで受信された場合、マイクロコントローラはブリッジドライブへのドライブ信号をアクティブにしなければならない。[ASIL D]

が、これではASIL-Dを担保できないでしょう。なぜなら、マイクロコントローラの単一故障で走行中にステアリングロックする可能性が高いためです。そのため本論文では、初期安全要求REQ 22をREQ 22.1とREQ 22.2に分解しています。

次のREQ 22.1と、

REQ 22.1: The primary microcontroller shall activate the drive signal to the bridge drive when a “lock” command is received over the CAN bus. [ASIL B(D)]

REQ 22.1. プライマリ・マイコンは、CANバス上で「ロック」コマンドを受信すると、ブリッジ・ドライブへのドライブ信号をアクティブにしなければならない。[ASIL B(D)]

次のREQ 22.2

REQ 22.2: The secondary microcontroller shall activate the enable signal to the bridge drive when the vehicle speed received over the CAN bus indicates that lock conditions are plausible (i.e. the vehicle is stationary). [ASIL B(D)]

REQ 22.2. セカンダリマイコンは、CANバスを介して受信した車速がロック状態が妥当であることを示した場合（すなわち、車両が静止している場合）に、ブリッジドライブへのイネーブル信号をアクティブにしなければならない。[ASIL B(D)]

ですが、この分解には問題があります。現実にも見られる例ですが、論文中にも、

there is a common-cause failure (the CAN reception; element’s sub-parts and software) which could cause both REQ 22.1 and REQ 22.2 to fail simultaneously.

REQ 22.1 と REQ 22.2 の両方が同時に失敗する原因となる共通の障害（CAN 受信；エレメントのサブパーツとソフトウェア）がある

とあるように、分解されたエレメント同士の独立性に違反しています。すなわち、ASILデコンポジションとして成立していません。

※このように述べると全くダメなようですが、実は成立するやり方があります。初期安全要求をCANをはずすようにすれば、独立性に違反しませんし、ASILデコンポジションはハードウェアに関しては無意味であるため、本来マイコンのみを含むようにするのが良いのです。この辺りはASILデコンポジションのテクニックやノウハウに関するところとなります。

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

「ASIL」分解の誤解

論文ward2012$\dagger$の続きです。ASIL分解においてしばしば見られる誤解が述べられていていますが、これは日本でも全く同じ状況です。

3 Misinterpretations of “ASIL” decomposition
This incorrect terminology is unfortunately associated with a great deal of misunderstanding about the purpose and application of the technique. In particular, it is often assumed that:

3 「ASIL」分解の誤解
この誤った用語は、残念ながら、技術の目的や応用に関する多くの誤解に関連しています。特に、しばしば次のように想定されています。

2例挙げられていますが、最初の例はあまり重要ではないので、省略します。

• ASIL decomposition is frequently misinterpreted as an objective; in other words, a frequently encountered (and incorrect) question is “There is an ASIL D safety goal; now how can it be decomposed into ASIL B elements?” It is not valid to create an element out of sub-elements with lower ASIL values through such a “building block” approach without considering the independence of the redundant elements and their associated safety requirements (i.e. without considering the suitability of the architecture to support this).

• ASIL分解は、しばしば目的として誤解されます。例えば、頻繁に遭遇する（そして不正確な）質問は、「ASIL Dの安全目標がありますが、それをどのようにASIL Bエレメントに分解できますか？」冗長エレメントの独立性とそれに関連する安全要件を考慮せずに（すなわち、これをサポートするためのアーキテクチャの適合性を考慮せずに）、このような「ビルディングブロック」アプローチによって、より低いASIL値を持つサブエレメントからエレメントを作成することは有効ではありません。

この質問は日本においても典型的なものであり、エレメントのASILを引き下げたいあまり、それが目的となっています。ASILは、安全要求を分解した結果としてであれば、引き下げることが可能ですが、それには上で触れられているように冗長なエレメントの独立性という条件を満たす必要があります。それ無しに、いきなりエレメントに低いASILを割り当てる誤りが、業界ではしばしば見受けられます。

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

論文の概要

あるASILデコンポジション(またはASIL分解とも言う)論文$\dagger$を読み込みます。これは投稿論文の参照論文ではありませんが、ASILデコンポジションを題材としていて非常に参考になるため、ここで取り上げます。

アブストラクト

アブストラクトは非常に短く、以下の1文だけです。

This paper examines the ISO 26262 approach to ASIL decomposition, more appropriately called “requirements decomposition”, and how it may be applied correctly during the requirements analysis and architectural design of a safety-related automotive control system.

本稿では、ASIL分解（より適切には「要求分解」と呼ばれる）に対するISO 26262のアプローチを検証し、安全関連の自動車制御システムの要求分析やアーキテクチャ設計の際に、どのようにして正しく適用できるかを検討する。

本論文の筆者は一貫してASIL分解は良くない言葉であり、その代わりに要求分解と言うべきであると主張しています。その通りであり、本来は、要求を分解するのが主目的であり、結果的に要求の属性であるASILも分解されるということです。

しなしながら、本論文の筆者も論文タイトルであえて使用しているように、「ASIL分解」が一般化してしまっているのが現状です。要は、ASILデコンポジションの正しい意味を理解し、要求分解によるASILの低減のことであると認識した上で、ASILデコンポジションの用語を使用すれば良いと思います。

$\dagger$Ward, D. D., & Crozier, S. E. (2012). The uses and abuses of ASIL decomposition in ISO 26262. 7th IET International Conference on System Safety, Incorporating the Cyber Security Conference 2012.

前のブログ 次のブログ

PMHFと基本的な信頼性計算(続き)

論文sae2020$\dagger$のPMHFと基本的な信頼性計算(続き)です。

ISO 26262-2018 designates the average probability of failure per hour over the operational lifetime as the probability that the item will fail before its lifetime $T_\text{Lifetime}$ as $Prob(t ≤ T_\text{Lifetime})/T_\text{Lifetime}$. In order to simplify the notations and improve the understanding, in this paper we will designate the average probability of failure per hour (assuming these faults are independent) as $P_{avg/t}$ and express it as a product of probabilities of failures required for a system to fail over the time of operation:

ISO 26262-2018 では、運用寿命における 1 時間当たりの平均故障確率を、その品目がその寿命$T_\text{Lifetime}$までに故障する確率を$Prob(t ≤ T_\text{Lifetime})/T_\text{Lifetime}$として指定している。表記を簡略化して理解を深めるために、本稿では、1時間あたりの平均故障確率を（以下のように仮定して）指定することにする。 これらの故障は独立している)を$P_{avg/t}$とし、システムが運転中に故障するのに必要な故障確率の積として表現します。

ISO 26262-2018がPMHFを $$\frac{\Pr(t ≤ T_\text{Lifetime})}{T_\text{Lifetime}}$$ のように規定していると書かれているが、これは正しくありません。

たしかに、ISO 26262:2018ではPart10 8.4において、PMHFを次のように書いています。

The following shows the derivation of the average probability of failure per hour over the operational lifetime of the item regarding single point faults.
(略)
Then, average probability of failure per hour (according to ISO 26262-5), over operational life time (Tlifetime) is:
$$\frac{\Pr(t ≤ T_\text{Lifetime})}{T_\text{Lifetime}}$$

つまり、SPFについての式であると限定しています。SPFにおいてはフォールトの発生により直ちにVSGとなるため、修理の時間が全く取れないので、分子はReliabilityで良いのですが、本来は、Reliabilityに加えて修理を考慮したAvailabilityでなければなりません。

確率式で書き直すと、SPFに限れば、PMHFは $$M_\text{PMHF,SPF}=\frac{\Pr(\text{item fail till }T_\text{Lifetime})}{T_\text{Lifetime}}$$ で良いですが、一般には $$M_\text{PMHF}=\frac{\Pr(\text{item down at }T_\text{Lifetime})}{T_\text{Lifetime}}$$ とするべきです。本論文に限らず、多数の論文がPMHF結果式を無視していますが、PMHF結果式を適用すべきです。

この論文の次の段落からは、ISO 26262の精神のひとつである指数分布をワイブル分布に一般化しており、ISO 26262を逸脱するため、検討はここまでとします。

結論として、PMHF式についての信頼性工学的な議論を期待していたのですが、SPFのみに通用する話を一般化した上、ISO 26262非互換な議論に脱線しており、期待はずれに終わりました。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

PMHFと基本的な信頼性計算(続き)

論文sae2020$\dagger$のPMHFと基本的な信頼性計算(続き)です。

The assumption of a constant failure rate, though often debated by reliability professionals, provides simplified and expedient closed-form calculations which have been utilized to assess the ASIL safety goals throughout the ISO 26262. Table 1 provides the PMHF values expressed as failure rates in units of FIT (Failures In Time) defined as 10^9 times the number of failures divided by the product of the number of components and their operating hours before failure. A convenient metric is 1 FIT = 1 PPM per 1000 hours of operation corresponding to each ASIL safety goal.

一定の故障率の仮定は、信頼性の専門家によってしばしば議論されているが、簡略化された簡便なクローズドフォーム計算を提供し、ISO 26262 の ASIL 安全目標を評価するために利用されている。表1は故障率を、$10^9$倍した故障回数を部品点数と故障前の稼働時間の積で除した値のFIT (Failures In Time)の単位で表したPMHF値を示している。便利な指標は、各ASILの安全目標に対応する運転時間1000時間あたりの1FIT=1PPMである。

1000時間につき1PPM(=$10^{-6}$)とは、誤りではありませんが、中途半端な例示です。PPMを持ち出すなら1時間に1PPB(=$10^{-9}$)とするか、1回/$10^9$時間とするかいずれかでしょう。

Determining the probability of a fault causing a safety-critical failure ISO 26262 Part 5 requires that they are analyzed and classified into six different categories: (a) Safe, (b) Single point, (c) Residual, (d) Detected multi-point, (e) Perceived multi-point and (f) Latent multi-point. Residual is the portion of the fault which is not controlled by a safety mechanism. Latent faults are not detected by safety mechanisms or perceived by the driver. Perceived faults may be detected indirectly through deviating behavior on the vehicle level. Multiple- point faults result in several hardware faults whereas single-point fault requires just one. More detailed explanations of these fault categories and the guidance of calculating PMHF for these types of faults are provided by the ISO 26262 Parts 1 and 5. However, in this paper, we will focus on the two major types of failures: single-point and multi-point faults.

ISO 26262 Part 5では、安全上重要な故障の原因となる故障の確率を決定するために、故障を分析し、6つの異なるカテゴリーに分類することを要求している。(a) 安全、(b) 単一点、(c) 残留、(d) 検出された多点、(e) 知覚された多点、(f) 潜在的多点である。残留は，安全機構によって制御されていない故障の部分である。潜在的な欠陥は、安全機構によって検出されず、運転者によって感知されない。知覚されたフォルトは、車両レベルでの逸脱した動作によって間接的に検出されることがある。多点フォルトは複数のハードウェアフォルトを発生させるのに対し、シングルポイントフォルトは1つのハードウェアフォルトを必要とします。これらの故障カテゴリの詳細な説明や、これらのタイプの故障に対する PMHF の計算方法については、ISO 26262 第 1 部と第 5 部に記載されている。しかし、本稿では、単一点故障と多点故障という 2 つの主要なタイプの故障に焦点を当てる。

多点フォルトが複数のハードウェアフォルトを必要とするという事実と、レイテントフォルトの説明が別に書かれているため、著者は理解しているのかどうかが不明です。レイテントフォルトは1点フォルトであるにも関わらず、マルチポイントフォルトと名付けられているからです。上記の説明ではその説明が無いため、レイテントフォルトがが複数のハードウェアフォルトを発生するともとられかねません。

However, dealing with multi-points faults is more challenging. In reliability engineer’s terminology, this would be similar to modeling (although with some subtle differences) a parallel system. The failure rate of such a system would no longer be constant, but rather a function of time which makes it more difficult to express PMHF in terms of failure rates. For that purpose, the new version of the ISO 26262 standard introduces a new metric, Average Probability of Failure per Hour for the Lifetime. It is important to note that this metric is not commonly used by the reliability and design professionals and, therefore, will require some further explanation.

しかし、多点故障への対応はより困難です。信頼性エンジニアの用語で言えば、これは並列システムのモデリングに似ています（微妙な違いはありますが）。このようなシステムの故障率はもはや一定ではなく、むしろ時間の関数となり、PMHFを故障率で表現することはより困難になる。そのために、ISO 26262の新バージョンでは、新しいメトリック「Average Probability of Failure per Hour for the Lifetime」が導入されている。このメトリックは、信頼性や設計の専門家が一般的に使用しているものではないことに注意が必要であり、そのため、もう少し説明が必要である。

前稿でも説明したとおり、規格の新バージョンで「Average Probability of Failure per Hour for the Lifetime」が導入されたわけではありません。さらに、表現は違いますが、これは信頼性や設計の専門家が一般的に使用しているものです。規格に明確に書かれていないのが原因ですが、Part 10のPMHF式を検証すれば、PFHの定義式と同じことがわかります。

ちなみに、PFHの定義は、ISO 12489で定義されているとおり、不稼働密度を0から車両寿命まで積分して時間平均をとったものです。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

ISO 26262とPMHFのコンセプト(続き)

論文sae2020$\dagger$のISO 26262とPMHFのコンセプト(続き)です。

The PMHF and all the related failure rate calculations in a product development team are often handled by a reliability engineer and even though the standard uses the metrics reflecting the probability of failure (or unreliability in reliability engineer’s terms), some of the approaches and metrics used by ISO 26262 are not that of reliability engineering practice. Therefore, the objective of this paper is to explain some of the metrics and calculations suggested by the Functional Safety standard in reliability engineering terms in order to make their application easier.

製品開発チームにおける PMHF や関連するすべての故障率計算は信頼性技術者が担当することが多く、規格では故障の確率（信頼性技術者の用語では不信頼度）を反映したメトリクスを使用しているにもかかわらず、ISO 26262 で使用されているアプローチやメトリクスの中には、信頼性工学の実務とは異なるものもある。そこで、本稿の目的は、機能安全規格で提案されているメトリクスや計算の一部を信頼性工学の用語で説明し、その適用を容易にすることである。

「故障の確率（信頼性技術者の用語では不信頼度）」という表現は、ISO 26262的には誤りです。故障の確率や不信頼度(これらは修理を含まない)ではなく修理を考慮した不稼働度が正しい表現です。次の章で説明しますが、これについてはほとんどの論文が同じ誤りを犯しています。その理由は、規格に数学的な説明が無いためであり、これはPMHF式を自ら導出して初めて理解されることです。

PMHFと基本的な信頼性計算

In order to link the PMHF and reliability terminology, certain basics of reliability calculations need to be briefly covered here which can be found in multiple sources (see, for example, [3]). If the random failures in the field can be modeled by a statistical distribution with the probability density function (pdf) f(t), then the cumulative distribution function (CDF) F(t) representing the probability of failure at the time t or unreliability can be calculated as:

PMHF と信頼性の用語を結びつけるために、信頼性計算のある種の基礎をここで簡単に説明する必要があります。現場でのランダムな故障が確率密度関数(pdf) f(t)を持つ統計分布でモデル化できるならば、時刻 t での故障の確率または信頼性の低下を表す累積分布関数(CDF) F(t)は次のように計算できます。

故障だけを考えれば、PMHFは確率密度関数(PDF)あるいは、その累積分布関数である不信頼度(CDF)により表されるのですが、一方ISO 26262では2nd order SMによる周期的な故障検出と修理を仮定しています。従って、修理を考慮すると、不信頼度$F(t)$は不稼働度$Q(t)$に変更する必要があり、確率密度$f(t)$は不稼働密度(PUD)$q(t)$に変更する必要があります。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

ISO 26262とPMHFのコンセプト

論文sae2020$\dagger$のISO 26262とPMHFのコンセプトです。

ISO 26262 Part 5 introduces the concept of PMHF associating it with the failure rate of the safety-critical system or subsystem. A target value for the PMHF for each safety goal is shown in Table 1. The values in the column “Random hardware failure target values” are failure probabilities and derived using the calculation methods described later in this paper.

ISO 26262 第 5 部では、PMHF の概念を、安全上重要なシステムやサブシステムの故障率と関連付けて紹介している。各安全目標に対する PMHF の目標値を表 1 に示す。また、「ランダムハードウェア故障目標値」の欄の値は故障確率であり、後述の計算方法を用いて算出したものである。

この表1のランダムハードウェア故障目標値の欄の値は故障確率というのは誤りです。ランダムハードウェア故障目標値というのはPMHF値であり[1/H]の次元を持つ値です。一方故障確率は無次元の値なので、次元が不整合です。修正するならば、「時間平均した故障確率(time-averaged failure probabilities)」となります。

To verify that the system hardware design meets the defined target values, failure rates are calculated based on the hardware parts involved in the system bill of materials. Failure rates of hardware parts can be estimated based on either one of three sources:
a) hardware part failure rate data from a recognized industry source.
b) statistics based on field returns or tests (with an adequate confidence level),
c) expert judgment founded on an engineering approach based on quantitative and qualitative arguments.

システムハードウェア設計が定義された目標値を満たしていることを確認するために、システム部品表に含まれるハードウェア部品に基づいて故障率を計算します。ハードウェア部品の故障率は、以下の 3 つのソースのいずれかに基づいて推定することができる。
a) 業界で認められた情報源からのハードウェア部品の故障率データ。
b) 現場での返品または試験に基づく統計（十分な信頼度を有する）。
c) 量的および質的な議論に基づく工学的アプローチに基づいて確立された専門家の判断。

PMHFを計算するためには部品故障率が必要ですが、その部品故障率をどこから引用するかについて書かれています。データハンドブック、信頼性試験結果、その他という3通りです。

Therefore, in the calculations, different failure rate sources can be used for different hardware parts of the system. The process of selecting electronic components to meet the ASIL safety goals can be complicated, especially when meeting higher safety goals, like ASIL C or ASIL D. This paper suggests a process flow to select electronic components to meet the required ASIL safety goals including the additional steps when met with challenges to accomplish that. The diagram with explanations is shown in the Appendix of this paper.

したがって、計算では、システムの異なるハードウェア部品に対して異なる故障率ソースを使用することができる。本論文では、要求されたASILの安全目標を満たすために電子部品を選択するプロセスフローを、それを達成するための課題に直面した場合の追加ステップを含めて提案する。解説付きの図は、本稿の付録に示されている。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ

イントロダクション

論文sae2020$\dagger$のイントロダクションです。

まずISO 26262の概要を述べています。

ISO 26262 is an international standard for functional safety of electrical and/or electronic systems in production automobiles.

ISO 26262 は、生産用自動車の電気・電子システムの機能安全性に関する国際規格である。

The standard applies to all activities during the lifecycle of safety-related systems comprised of electrical, electronic, and software components.

この規格は、電気・電子・ソフトウェアコンポーネントで構成される安全関連システムのライフサイクルにおけるすべての活動に適用される。

The 2011 version of the standard [1] consists of 10 parts covering various aspects of the system's design and development at the system, software, hardware, production and operation and the new 2018 version of the standard [2] has 12 parts, adding applications to semi-conductors and motorcycles to the mix.

2011年版の規格[1]は、システム、ソフトウェア、ハードウェア、生産、運用におけるシステム設計と開発の様々な側面をカバーする10のパートで構成されており、2018年版の新規格[2]は12のパートで構成されており、オートモビリティへの適用が追加されている。半導体とオートバイを合わせたものである。

次に、ランダムハードウェア故障について、規格での位置づけを述べています。

ISO 26262 requires that the impacts of random hardware faults on hardware to be analyzed and the risk of safety-critical failures due to such faults is shown to be below a certain threshold.

ISO 26262では、ハードウェアのランダムな故障がハードウェアに与える影響を分析し、そのような故障による安全上の重大な故障のリスクが一定の閾値以下であることを示すことを要求している。

The document defines the ASIL (Automotive Safety and Integrity Level) classifications and sets the particular ASIL safety goals designated A through D, with D being the most stringent.

この文書では、ASIL (Automotive Safety and Integrity Level) の分類を定義し、AからDまでのASILの安全目標を設定している。

For most hardware design and validation engineers, this requirement exposed them to a new paradigm with unaccustomed procedures and terminology such as ASIL, PMHF (Probabilistic Metric for Random Hardware Failures), and others.

ほとんどのハードウェア設計および検証エンジニアにとって、この要件は、ASIL、PMHF（ランダムハードウェア障害のための確率的メトリック）などのような、慣れない手順や用語を使用した新しいパラダイムに触れることになった。

この論文の目的を述べています。

The goal of this paper is to explain some of the terminology and the engineering approaches of ISO 26262 and make them more compatible with the terminology and methods used by design and reliability professionals involved in calculating PMHF to assess the ASIL levels of safety-critical systems.

この論文の目的は、ISO 26262の用語とエンジニアリングアプローチの一部を説明し、安全クリティカルシステムのASILレベルを評価するためにPMHFを計算する際に設計・信頼性の専門家が使用する用語と方法との互換性を高めることである。

イントロダクションは特に問題ありません。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ