Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

IEC/TR 62380の扱いの矛盾 (4)

posted by sakurai on August 27, 2024 #858

SN 29500やMIL HDBK 217、FIDES等には上記スケーリングは含まれているのですか?


ChatGPT:
おっしゃる通り、SN 29500MIL HDBK 217FIDESなどの故障率データベースには、基礎故障率が含まれていますが、環境温度やジャンクション温度、消費電力に応じたスケーリング方法はそれらの規格に直接含まれていないことが一般的です。

具体的な内容:

  • SN 29500: ドイツの規格で、部品の故障率を提供しますが、標準条件下での故障率データを提供し、それを特定の環境条件にスケーリングする手法は直接含まれていません。

  • MIL HDBK 217: アメリカの軍事規格で、標準条件下での故障率を提供していますが、個別のスケーリング方法は利用者が環境条件を考慮して適用する必要があります。

  • FIDES: 信頼性評価のフレームワークを提供し、特定の環境条件に基づいた故障率の計算をサポートしていますが、ジャンクション温度のスケーリングについては、個別の手法やアプローチを用いる必要があります。

結論:

これらのデータベースが提供するのは、主に標準条件下での基礎故障率です。実際の使用環境に応じた故障率のスケーリングは、IEC TR 62380のような別の規格や手法を参照する必要があります。つまり、基礎故障率を取得した後、IEC TR 62380の手法(アレニウス式やアイリング式など)を用いて、実際の環境条件に適用するための補正を行う必要があります。このプロセスを通じて、現実的な信頼性評価が可能となります。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

IEC/TR 62380の扱いの矛盾 (3)

posted by sakurai on August 26, 2024 #857

IEC/TR 62380の手法はある標準温度における故障率を、環境温度や消費電力に応じたジャンクション温度上昇を含めた故障率にスケーリングする方法だが、それを指すのですか?


ChatGPT:
はい、正確にはそのスケーリング方法を指しています。

IEC/TR 62380の手法は、基礎故障率を標準温度で得た後に、実際の使用環境に基づくジャンクション温度や消費電力の影響を考慮して、故障率をスケーリングするプロセスを提供しています。これには以下の要素が含まれます:

1. 標準温度での基礎故障率:

まず、標準的な温度条件での基礎故障率を取得します。これは、後継規格(例えばSN 29500やMIL HDBK 217など)から得ることができます。

2. ジャンクション温度のスケーリング:

次に、実際の動作環境でのジャンクション温度を計算し、アレニウス式やアイリング式を用いて、温度依存性に基づく故障率のスケーリングを行います。このスケーリングでは、実際の環境温度や消費電力によるジャンクション温度の上昇を考慮し、故障率を補正します。

3. 最終的な故障率の評価:

これにより、標準温度で得られた基礎故障率を、実際の使用環境での条件に応じた故障率に変換します。これが、システム全体の信頼性評価に使用される故障率となります。

このプロセスにより、標準条件で得られた基礎故障率を、実際の使用条件に適応させることができ、現実に即した信頼性評価が可能になります。これは、ISO 26262の要求に適合するための重要な手法の一つです。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

IEC/TR 62380の扱いの矛盾 (2)

posted by sakurai on August 23, 2024 #856

後継規格は、

EXAMPLE 1 Commonly recognised industry sources to determine the hardware part failure rates and the failure mode distributions include SN 29500, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811, NPRD-2016, EN 50129:2003, Annex C, RIAC FMD-2016, MIL HDBK 338, and FIDES 2009 EdA. The failure mode distributions e.g. those defined by “Alessandro Birolini - Reliability Engineering” can be used.
例1 ハードウェア部品の故障率および故障モード分布を決定する業界で一般的に認められている情報源には、SN 29500、IEC 61709、MIL HDBK 217 F notice 2、RIAC HDBK 217 Plus、UTE C80-811、NPRD-2016、EN 50129:2003、付録 C、RIAC FMD-2016、MIL HDBK 338、および FIDES 2009 EdA などである。故障モード分布、例えば「Alessandro Birolini - Reliability Engineering」で定義されているものを使用することができる。

のように書かれているが、IEC TR/62380とこれらをどのように組み合わせれば良いですか?


ChatGPT:
ISO 26262第2版では、後継規格としていくつかの信頼性データベースやハンドブックが挙げられています。これらの規格やデータベースは、IEC TR 62380に代わるものとして、故障率の評価や故障モードの分布を提供するものです。

以下のように組み合わせて使用することが考えられます:

1. 基礎故障率の計算:

まず、信頼性評価の基礎となる故障率を取得するために、後継規格(例えば、SN 29500、IEC 61709、MIL HDBK 217 Fなど)を使用します。これにより、部品の基礎故障率を標準条件で得ることができます。

2. IEC TR 62380の手法:

ISO 26262のPart 11に示されているIEC TR 62380の手法を使用して、これらの後継規格から得られた故障率データを特定の環境条件や使用条件に適用するための補正を行います。具体的には、アレニウス式やアイリング式を用いて、実際の動作環境における故障率を計算します。

3. 故障モードの分布:

後継規格に含まれる故障モード分布(例えば、SN 29500やRIAC FMD-2016)を参照し、部品ごとの故障モードを特定します。これにより、各故障モードがシステム全体に与える影響を評価します。

4. 総合的な信頼性評価:

上記のプロセスを統合し、システム全体の信頼性を評価します。これには、基礎故障率、環境条件に応じた補正、故障モードの分布を総合的に考慮します。

結論:

IEC TR 62380は廃番となりましたが、その計算手法や理論は依然として有用です。後継規格で基礎データを取得し、これをIEC TR 62380の手法で補正することで、信頼性評価を効果的に行うことができます。これにより、ISO 26262の要求に適合する信頼性評価を実現できます。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

IEC/TR 62380の扱いの矛盾

posted by sakurai on August 22, 2024 #855

2点目の矛盾に感じる事項として、IEC/TR 62380の扱いがあります。これは故障データベースであり、ISO 26262の初版では基礎故障率の参照先となっていました。

ところがIEC/TR 62380自体が廃番になってしまったため、ISO 26262の第2版では参照先となっていません。ここで矛盾があるのは、第2版のPart 11においてこと細かにIEC/TR 62380の内容を紹介していることです。単なる規格番号の参照ではなく、62380の半導体の基本方程式、具体的にはパラメータも含めた方程式を紹介し、かつ具体的な値を入れて計算の手ほどきまで行っていることです。

ある規格において、廃番になった他の規格を内容の実例まで記載するのはある意味異常な状況とも言えます。これはISO 26262にとってIEC/TR 62380の廃番に困っており、なんとか救いたいという証とも言えるわけで、この矛盾をどのように解消すれば良いのかChatGPTに聞いてみました。


ChatGPT:
あなたが指摘した矛盾について、以下のように解釈することができます。

1. 技術の有用性を維持するための措置:

IEC/TR 62380は廃番となったものの、その技術内容(特に故障率計算の方法論)は依然として業界で広く受け入れられており、信頼性評価において重要な役割を果たしてきました。ISO 26262の第2版では、この技術的な有用性を維持しつつ、廃番規格の参照を避けるため、実質的にその内容を独自に取り込んだと考えられます。

2. 移行のための指針:

ISO 26262第2版がIEC/TR 62380の内容を詳細に記載しているのは、利用者が旧規格に慣れ親しんでいる状況を考慮し、新たな基準にスムーズに移行できるようにするための配慮と考えられます。このようにすることで、規格自体が廃番となっても、その内容や手法を引き続き活用できるようにしているのです。

3. 柔軟な適用を可能にする:

第2版でIEC/TR 62380の計算方法やパラメータが紹介されていることで、規格利用者は従来の方法論を引き続き使用できる一方で、新しいデータベースや手法にも対応できる柔軟性が提供されています。これは、規格の継続的な適用性を確保するための戦略ともいえます。

結論:

この矛盾を解消するためには、ISO 26262第2版はIEC/TR 62380を公式に参照せずとも、その手法を依然として信頼性評価に使用できるようにするための過渡的な措置と考えることができます。これにより、業界標準を維持しつつ、新たな規格に基づく評価も進めることが可能です。この解釈により、規格の一貫性と実務的な有用性の両立が図られていると理解することができます。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 21, 2024 #854

最終的にPMHFはどうなるかを聞いてみます。

ISO 26262では定量目標としてPMHFを算出するように要求しています。これは近似的に車両寿命間におけるアイテムの故障確率の時間平均として求められます(厳密には不稼働確率)。従って、不稼働時間も含めた評価で十分と考えます。


ChatGPT:
あなたの指摘は、ISO 26262におけるPMHF(Probabilistic Metric for random Hardware Failures)の定量評価の目的とその適用範囲に関連する重要な観点です。

1. PMHFの本質

PMHF(Probabilistic Metric for random Hardware Failures)は、システムの運用期間全体にわたる故障確率を表すものです。これは、システムが実際に稼働している時間だけでなく、稼働していない時間(不稼働時間)も含めた全体の故障確率を反映するために、時間平均として算出されます。

2. 不稼働時間の重要性

不稼働時間を考慮しない場合、システムが24時間365日連続して稼働しているかのように評価されてしまいます。これにより、実際には稼働時間が少ないにもかかわらず、システムの故障確率が過大評価されてしまいます。

3. ISO 26262の意図

ISO 26262の第2版におけるNote 2では、基礎故障率を算出する際に暦時間(稼働時間と不稼働時間を含む)を考慮することが推奨されています。これにより、システムの全体的な稼働状況に応じた現実的な故障確率が評価されることを意図しています。

4. 実際のアプローチ

具体的なアプローチとしては、システムのミッションプロファイル(稼働時間と不稼働時間の割合)を基に、故障率を以下のように計算します:

$$ \text{PMHF} = \text{稼働時間あたりの故障率} \times \frac{\text{稼働時間}}{\text{全体の時間(稼働時間 + 不稼働時間)}} $$

たとえば、1日1時間の稼働で残り23時間が不稼働時間である場合、稼働時間あたりの故障率を基に暦時間全体に対する故障確率を計算します。これにより、システム全体の故障リスクが過大評価されず、実際の稼働状況を反映したPMHFが得られます。

5. 結論

不稼働時間を考慮することは、PMHFが実際のシステム運用に即した現実的な故障確率を反映するために不可欠です。これにより、システムが常に稼働しているかのような過大評価を避け、ISO 26262の要求する安全性評価が適切に行われることになります。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


弊社の見解
IEC/TR 62380を用いる場合にはその段階で上記のような不稼働時間を含めたミッションプロファイルを考慮しているため、ISO 26262の範囲内では不稼働時間を考慮しない方針とします。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 20, 2024 #853

文言だけでは曖昧なので、具体的な数値で聞いてみます。

抵抗の断線故障モード故障率が5FITだとして、一日の稼働時間が1時間の場合、具体的にはどうしたらよいですか?


ChatGPT:
抵抗の断線故障モードにおける故障率が5 FIT(Failure In Time: 10億時間あたりの故障数)であり、一日の稼働時間が1時間の場合、ISO 26262の第2版の考え方を適用することで、稼働時間に応じた評価が可能になります。

1. 暦時間あたりの故障率

最初に、5 FITは暦時間あたりの故障率ではなく、稼働時間あたりの故障率であることを確認します。5 FITは、抵抗が稼働している1時間あたりに発生する故障の期待値です。

2. 稼働時間の考慮

一日の稼働時間が1時間であるならば、この1時間における故障率は、暦時間ベースで評価する場合に調整が必要です。ISO 26262の第2版では、稼働時間と暦時間の違いを考慮することが推奨されています。

具体的には、以下のように調整を行います:

$$ \text{暦時間ベースの故障率} = \text{稼働時間あたりの故障率 (FIT)} \times \frac{\text{1日の稼働時間}}{\text{1日 (24時間)}} $$

ここで、稼働時間あたりの故障率が5 FITであり、1日の稼働時間が1時間の場合、次のようになります:

$$ \text{暦時間ベースの故障率} = 5 \text{ FIT} \times \frac{1}{24} = \frac{5}{24} \text{ FIT} \approx 0.208 \text{ FIT} $$

3. 評価の意味合い

この結果から、暦時間ベースでの故障率は約0.208 FIT、つまり10億時間あたり約0.208回の故障が期待されることになります。これは、システムが1日1時間だけ稼働する場合、暦時間全体での故障確率が稼働時間あたりの評価よりも低くなることを意味します。

結論

一日の稼働時間が1時間であれば、暦時間ベースでの故障率を計算し、システムの評価や安全目標に合わせてこの値を使用することが適切です。このように稼働時間を考慮することで、ISO 26262の第2版に沿った合理的な評価が可能になります。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 19, 2024 #852

ChatGPTも矛盾と感じているようなので、続いて第2版の文言に移ります。

ISO 26262-5:2018 8.4.3

NOTE 2 In applying a selected industry source the following considerations are appropriate to avoid artificial reduction of the calculated base failure rate:
— the mission profile;
— the applicability of the failure modes with respect to the operating conditions; and
— the failure rate unit (per operating hour or per calendar hour).
注2. 選択された業界ソースを適用する際には、算出された基本故障率の恣意的な低下を避けるため、以下の点を考慮することが適切である:
- ミッションプロファイル
- 運転条件に対する故障モードの適用性
- 故障率の単位(運転時間当たり又は暦時間当たり)

文言が若干和らぎました。初版では明確に「非稼働時間を算入することによる恣意的な故障確率の低下の防止」と言っていたものが、「ミッションプロファイルを検討し、恣意的な故障率の低下を避ける」と変わっています。


ChatGPT:
ISO 26262の第2版で示されている文言の変更は、確かに以前の矛盾をある程度解消する方向に向かっています。具体的には、以下の点が考えられます。

1. 柔軟性の強調

第2版では、次のような3つの考慮事項を挙げています。

  • ミッションプロファイル: システムの実際の使用状況を考慮することで、評価が現実的になるようにしています。
  • 稼働条件に関連する故障モードの適用性: 稼働時と非稼働時の故障モードの違いを考慮することで、評価の精度が向上します。
  • 故障率の単位(稼働時間あたりか暦時間あたりか): 故障率の計算単位に柔軟性を持たせることで、状況に応じた適切な評価が可能となります。

2. 矛盾の緩和

これらの考慮事項により、故障率の計算が実際の運用条件に即したものとなるため、第1版のNote 5で感じられたような不合理さがやわらいでいます。特に、稼働時間と暦時間を区別し、状況に応じた評価ができるようになったことで、非稼働時間を完全に無視するのではなく、適切に考慮する余地が生まれました。

3. 解釈の余地

新しい文言は、故障率の計算に関してより柔軟なアプローチを可能にしているため、前述の矛盾が直接的に解消されたわけではないものの、異なる評価方法や運用条件に対応できるようになっています。これにより、稼働率の低いシステムにおいても、現実的で納得のいく評価が行えるようになると考えられます。

結論

第2版の文言の変更は、以前のバージョンに比べて合理性が増し、現実の使用状況に応じた評価がしやすくなっています。これは、直接的な矛盾の解消というよりも、より包括的で柔軟なアプローチを提供することで、実務における課題を緩和するものと理解できます。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 16, 2024 #851

この矛盾はどう解釈したらよいですか?


ChatGPT:
ISO 26262初版 Part 5のNote 5に記載された内容について、合理性がないと感じられる理由を深掘りし、その背景や考え方を検討してみます。

1. ISO 26262におけるPMHFの役割

ISO 26262におけるPMHF(平均確率故障時間)は、安全性の評価指標であり、車両が動作中に発生するハードウェア故障のリスクを評価するものです。ここで重要なのは、車両が動作中に発生するリスクに焦点を当てているという点です。

2. Note 5の意図

Note 5では、システムが電源オフ(または低消費電力モード)の場合、その時間はPMHFの計算に含めないとされています。これは、システムが実際に稼働している時間だけを評価対象とし、非稼働時間を含めて平均故障確率が低く見積もられることを防ぐ意図があります。

例えば、あるシステムが1日1時間しか稼働しないとした場合、その1時間の間に発生する故障リスクを正確に評価するためには、残りの23時間(非稼働時間)を計算に含めないことが求められます。これにより、システムが実際に稼働している時間中のリスクを過小評価することを防ぎます。

3. 平均故障率の観点

一方で、あなたが指摘しているように、PMHFは車両寿命間の平均故障率に近似される値であり、稼働時間が少なければ少ないほど、全体の平均故障確率は下がると考えるのが一般的です。したがって、非稼働時間を考慮しないというNote 5のアプローチは、寿命全体でのリスク評価には適さないように見えます。

4. 解釈の可能性

ここで考えられる解釈の一つは、ISO 26262が車両の運行中の安全性を最優先しているため、動作中のリスクのみを厳密に評価しようとしている点です。これは、運行中に発生する故障が直接的な安全リスクにつながるため、これを正確に反映することが重視されているからです。

5. 矛盾の感覚

確かに、寿命全体での平均故障率という観点から見ると、非稼働時間を考慮しないことでPMHFが上昇し、システムの安全性が過剰に評価される可能性があります。この点で、Note 5の規定は、実際の運行条件にそぐわないと感じられるかもしれません。

6. 結論

Note 5のアプローチは、運行中のリスク評価を過剰に行い、安全目標を確実に達成するための保守的な手法と見ることができます。しかし、これが合理的でないと感じる場合、その理由は、車両寿命全体でのリスク評価との間にギャップが生じるためと考えられます。今後の議論や改定において、この点が再検討される可能性はあるかもしれませんが、現在の規定は運行中のリスクを重視する姿勢を示しています。

ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。


左矢前のブログ 次のブログ右矢

平均故障確率計算の矛盾

posted by sakurai on August 15, 2024 #850

ISO 26262において、矛盾のように思える事項がいくつかあります。これは解釈の誤りかもしれませんが、規格自体に詳しい説明が無いため、解釈の誤りかさえ判然としません。

ヒントをもらおうとChatGPTに聞きました。ChatGPTは規格委員会ではないので必ずしも正解を与えてはくれませんが、比較的蓋然性の高い回答をしてくれます。さらには多角的な見方をするので、思考範囲を拡大するのに役に立ちます。

まず、初版ではありますが、

ISO 26262-5:2011 9.4.2.3

NOTE 5 Situations when the item is in power down mode are not included in the calculation of the average probability per hour, thereby preventing the artificial reduction of the average probability per hour. Thus, for an item that is only operational 1 hour each day, the remaining 23 hours are not considered in the calculation of this operational target value.
注5 機器がパワーダウンモードにある状況は、1時間当たりの平均確率の計算には含まれない。これにより、1時間当たりの平均確率の恣意的な低下が防止される。したがって、1日あたり1時間しか稼働しない機器の場合、残りの23時間は、この稼働目標値の計算には考慮されない。

これは合理的ではないように思えます。なぜならPMHFは車両寿命間の平均故障率に近似される値であり、車両寿命間の稼働時間が少なければ少ないほど平均故障確率は下がるためです。これを「不稼働時間を計算に入れた恣意的な平均確率の低下」と言われると、納得がいきません。

さらに、IEC/TR 62380を参照すると、基礎故障率に以下の稼働確率をかけています。 $$ \frac{\tau_{on}}{\tau_{on}+\tau_{off}} $$ ここで$\tau_{on}$は一日の稼働時間割合、$\tau_{off}$は一日の不稼働時間割合です。

これはまさに「不稼働時間を考慮した(恣意的な?)故障確率の低減」であり、Note 5が禁止しているところになります。一方で、OEMから提供されるミッションプロファイルには不稼働時間が含まれており、実際の車両の使用方法に合わせるために、稼働確率をかけて平均故障確率を下げるのは合理的な手段です。

ISO 26262の入力であるIEC/TR 62380の段階で稼働確率をかけ、ISO 26262内でもさらに稼働確率を掛けると2重になるので禁止というなら分かりますが、Note 5ではそのようには言っていません。


左矢前のブログ 次のブログ右矢

RAMS 2025へのマイルストーン (6)

posted by sakurai on July 17, 2024 #835

締め切りは7/15だったため、初版の論文及びプレゼン資料(名前、所属無し版)を作成し、RAMSサイトに登録しました。初版で査読を受け9/1までに査読結果を受領予定です。

表835.1 RAMS 2025へのマイルストーン
期限 マイルストーン 状態
2024/5/3 アブストラクト投稿締め切り(システム入力) 投稿済
2024/6/10 アブストラクト採択結果 採択済
2024/7/15 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2024/9/1 第1回論文、プレゼン資料査読コメント受領
2024/10/4 学会出席登録締め切り
2024/10/4 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢


ページ: