PMHFの算出法について以下の動画を見つけました。どうやらコンサル会社のビデオのようです。https://youtu.be/ndG1Kcc89hs

メディニアナライザを使用したようですが、PMHFの値は一見して誤っています。

表の数値を見る限り、計算方法はSPFとDPFを加えて $$ PMHF=\lambda_\text{SPF}+\lambda_\text{MPF, latent} $$ となっているようです。

この誤りは大変多く、過去にも

• https://fs-micro.com/post/show/id/324.html
• https://fs-micro.com/post/show/id/325.html
• https://fs-micro.com/post/show/id/326.html

と複数あり、それらの誤りは以下の論文$\dagger$が元凶のようです。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

一方、以下に前記事にもあるようにPart 5のAnnex Fに掲載されている近似式を示します。 $$ PMHF=\lambda_\text{SPF}+\lambda_\text{MPF, latent}\cdot\lambda_\text{MPF, detected}\cdot T_\text{lifetime} $$ この式はSPFとDPFを正しく意識し、それぞれを確率に直してから加え、最後に車両寿命で割っています。

それにしてもPMHFを算出する人たちはなぜ規格Part 10の、もしくはPart 5(上記)の式を用いずに、誤りの論文$\dagger$の式を参照するのでしょうか？参考にするならせめて規格式を参考にすれば良いと思うのですが。

前のブログ 次のブログ

On October 29, 2024, FS Micro Corporation※1 announced that a research paper by President and CEO Atsushi Sakurai has been accepted at RAMS※2, an international conference organized by the IEEE※3 Reliability Society.

This marks the sixth consecutive year that a paper by Atsushi Sakurai has been accepted at RAMS. The paper is scheduled for presentation at RAMS 2025, to be held on January 28, 2025, in Florida, USA.

This paper focuses on the PMHF※4 formula in ISO 26262※5. In ISO 26262, the PMHF is positioned as a critical metric for evaluating the safety of automotive systems, yet its derivation process is not thoroughly explained. Since 2011, Atsushi Sakurai has been addressing this issue and proposed a more accurate formula for the PMHF at RAMS 2020.

In this paper, the behaviors of the two stochastic processes, the PUA※6 and the PUD※7, under periodic inspection are analyzed in detail, and rigorous formulas for these processes are derived. Furthermore, the paper compares the rigorous formulas with the proposed approximate formulas, demonstrating the effectiveness of the approximate formulas in practical PMHF calculations.

The proposed PMHF formula provides higher accuracy while also allowing for improved design constraints. Therefore, this research is expected to make a significant contribution to enhancing the reliability of automotive systems.

Notes
※1: FS Micro Corporation (Headquarters: Nagoya, Japan; President and CEO: Atsushi Sakurai) is a consulting firm specializing in functional safety (a methodology for ensuring that equipment function correctly by implementing various safety measures) for automotive systems.
※2: RAMS (the Reliability and Maintainability Symposium) is an international conference on reliability engineering held annually by the IEEE Reliability Society. The 71st conference will take place in 2025. For more information: https://rams.org/
※3: IEEE is the abbreviation for the Institute of Electrical and Electronics Engineers, the world's largest professional technical organization dedicated to advancing technology. For more information: https://ieee.org/
※4: PMHF stands for Probabilistic Metric for Random Hardware Failures, a key metric under ISO 26262. It represents the time-averaged probability of hazardous system failures over a vehicle’s lifetime.
※5: ISO 26262 is an international standard for functional safety of automotive electronic and electrical systems, aiming to reduce the risk of hazardous events occurring while driving to an acceptable level due to system failures.
※6: PUA or the Point Unavailability, one of the stochastic processes that define the PMHF. It represents the probability that a system is in a failed state at a specific point in time.
※7: PUD or the Point Unavailability Density, another stochastic process that defines the PMHF. It represents the probability density of unavailability.

Contact Information
Company Name: 　　　　FS Micro Corporation
Representative: 　　　　 Atsushi Sakurai
Date of Establishment: 　August 21, 2013
Capital: 　　　　　　　　32 million yen
Business Description: 　Consulting services and seminars on functional safety for automotive electronic devices in compliance with ISO 26262
Head Office Address: 　 4-1-57 Osu, Naka-ku, Nagoya, Aichi 460-0011, Japan
Phone: 　　　　　　　　+81-52-263-3099
Email: 　　　　　　　　 info@fs-micro.com
URL: 　　　　　　　　　https://fs-micro.com/

前のブログ 次のブログ

2024年10月29日、FSマイクロ株式会社※1は、代表取締役桜井厚による論文が、IEEE※2 信頼性部会主催の国際学会RAMS※3 において採択されたことをお知らせします。

桜井厚の論文がRAMSに採択されるのは今回で6年連続となります。本論文は2025年1月28日に米国フロリダ州で開催されるRAMS 2025にて発表予定です。

本論文はISO 26262※4 のPMHF※5 公式に関する研究です。ISO 26262において、PMHFは車載システムの安全性を評価する重要な指標として位置づけられていますが、その導出過程は十分に説明されていません。桜井厚は2011年からこの課題に取り組み、RAMS 2020においてPMHFのより精度の高い式を提案しました。

本論文では、定期検査下での2つの確率過程であるPUA※6およびPUD※7の挙動を詳細に分析し、その厳密な公式を導出しています。さらに、厳密式と提案する近似式を比較検証し、近似式が実際のPMHF計算においても有効であることを示しました。

提案するPMHF式はより精度が高い式でありながら、設計制約の改善が見込めます。そのため、本研究を通じて、提案するPMHF式が自動車の信頼性向上に大きく貢献することが期待されます。

【注釈】
※1：FSマイクロ株式会社 (本社：名古屋市、代表取締役：桜井厚)は車載システムの機能安全(様々な安全方策を実施することにより、機器が正しく動作することを担保する方法論)に関するコンサルティングを提供する会社です。
※2：IEEEはInstitute of Electrical and Electronics Engineers(電気電子技術者協会）の略称で、技術の進歩を推進する世界最大の専門技術組織です。詳しくはhttps://ieee.org/
※3：RAMS(the Reliability and Maintainability Symposium)は信頼性・保守性シンポジウムの略称で、IEEE信頼性部会が毎年主催する信頼性工学に関する国際会議です。第71回の会議は2025年に開催されます。詳しくはhttps://rams.org/
※4：ISO 26262は車載電気電子システムの機能安全に関する国際規格で、システムの故障により車両の運転中に危険な事象が発生するリスクを許容できる水準まで低減することを目的としています。
※5：PMHFはProbabilistic Metric for Random Hardware Failures(ハードウェアのランダム故障に対する確率的指標)です。これはISO 26262におけるハードウェアの設計目標値の一つで、車両寿命間のシステム故障の時間平均確率を表します。
※6：PUAはPoint Unavailability(点不稼働度)の略で、PMHFを定義する確率過程の一つです。特定の時点でシステムが故障状態にある確率です。
※7：PUDはPoint Unavailability Density(点不稼働度密度)の略で、PMHFを定義する確率過程の一つです。点不稼働度の確率密度を示します。

【お問い合わせ先】
会社名　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円(資本準備金を含む)
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 https://fs-micro.com/

前のブログ 次のブログ

RAMSポータルに例年どおりプログラム表が掲載されました。

会場となるヒルトンのボールルームの写真です。

前のブログ 次のブログ

再度、重要項目の3項目めです。

ハードウェアメトリクスの目標値は、分解したからといって変わるものではない。多くの人はこのことを理解していない。

同感ですね。規格にはPart 9 5.4.5にこれが記されています(図781.1)。

規格5.4.5のDeepLによる翻訳を示せば、

5.4.5 ISO 26262-5 に従ったハードウェアアーキテクチャメトリクスの評価と、ランダムハードウ ェア故障による安全目標違反の評価に関する要件は、ASIL 分解によって変更されない。

これは弊社でもお伝えしている、ASIL分解に関する重要なノウハウの一つであり、ハードウエアの目標値を変えない理由についての動画の解説は以下のとおりです。

フォールト・ツリー解析の観点で考えてみると、本当に独立した2つの並列パスがある場合、これらはAND接続される。数学的には、それぞれの故障率が少し高くなり、さらに故障率が少し高くなっても、一番上の故障率が低くなるというのは、利点になる。したがって、フォールトツリーの最上位イベントは変わらないが、定量的安全性解析を実行すればメリットが得られる。

「故障率が少し高くなる」とは何を言っているかわかりませんが、端的に言えば、

• 冗長な独立性のあるエレメントの故障確率を(FTAにより)算出すれば、故障確率の掛け算になるため目標値を下げなくても故障確率のほうが下がるため、目標値を下げる必要は無い

し、かつ下げてはならないということです。

具体例として、故障率$\lambda$=100[FIT]の対称な冗長チャネル(両チャネルの故障率が等しい)について車両寿命10万時間で考えます。単体チャネルでは100[FIT]ですが、2重故障(同時故障ではない)を考えると、

$$100[FIT]\cdot100[FIT]\cdot10\times10^4[H]=1.0\times10^{-7}\cdot1.0\times10^{-7}\cdot1.0\times10^5\\ =100\times10^{-9}\cdot\frac{1}{100}=100[FIT]\cdot\frac{1}{100}$$

となり、すなわち、元の100[FIT]の100分の一の1[FIT]となります。つまり、ASILや目標値を下げなくても(ASILデコンポジションの必須条件である)冗長構成によりサブシステムの故障率は1/100にできたと言えます。

前のブログ 次のブログ

同じ技術者の解説動画です。こちらには基本的に誤りはありません。2分間の動画で重要な事を3項目押さえているのでご紹介します。

英語のトランスクリプトを入手したので、画面と合わせて見てみましょう。以下はDeepLによるその翻訳です。

今回は、分解についてよく見られる誤解について少しお話ししたい。まず第一に、ISO26262で分解について話す場合、安全要件の分解について話している。ハードウェアを分解するわけでもなく、ソフトウェアを分解するわけでもなく、安全目標そのものを分解するわけでもない。分解するのは、ハードウェア安全要求事項、ソフトウェア安全要求事項、技術安全要求事項、FSRである。安全要件を分解することで、ハードウェアの独立した並列パスやソフトウェアの独立した並列パスが生まれる。これがよく見られる誤解のひとつだ。

ややはっきりしないところがありますが、好意的に解釈すれば最初に2つの重要な事項を述べています。

• ASIL分解は本当はASILを分解するのではなく、安全要求を分解し、その結果としてASILが分解「される」
• ASIL分解の原則である冗長性と独立性

引用の最後の部分、

安全要件を分解することで、ハードウェアの独立した並列パスやソフトウェアの独立した並列パスが生まれる。これがよく見られる誤解のひとつだ。

これがどう誤解なのかははっきりしません。ただ、ASIL分解の原則はさらっと述べていますが、以下の2つが重要です。これは規格の必須要求事項です。

• 冗長な安全要求に分解(動画では並列と表現)
• 安全要求が割り当てられたエレメントの独立性(動画では独立と表現)

次に、

もうひとつは命名法についてだ。命名法の重要な側面のひとつは、例えばASIL Dの安全要件まで構築する場合、ASIL Bのハードウエアを2つ使用するのであれば、それらのハードウエアにはASIL B of Dという命名法を使用しなければならないということだ。

いわゆるASIL-B(D)のような記法については、命名法が大事というよりは以下が重要です。これが3項目めです。

ハードウェアメトリクスの目標値は、分解したからといって変わるものではない。多くの人はこのことを理解していない。

前のブログ 次のブログ

同じ動画において、小さな誤りがあります。

考え方は合っていて、故障率を乗算してはならないことを述べています。以下のような故障率の乗算 $$ \lambda_\text{DPF,IF}\cdot\lambda_\text{DPF,SM,L}=100[FIT]\cdot1000[FIT] $$ ではなく車両寿命である1万時間をかけ、確率に直してから乗算します。 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} \definecolor{lime}{rgb}{0.8,1.0,0.8} \lambda_\text{DPF,IF}\cdot10^4\cdot\lambda_\text{DPF,SM,L}\cdot10^4=100[FIT]\cdot10^4[h]\cdot1000[FIT]\cdot10^4[h]\\ =100\times10^{-9}\cdot10^4\cdot1000\times10^{-9}\cdot10^4=10^{-3}\cdot10^{-2}=10^{-5}\\ =0.001\cdot0.01=\colorbox{lime}{0.00001} $$ ここまではFTAの数値と一致します。

故障率に直すにはこれを1万時間で割って、 $$ \lambda=\frac{\colorbox{lime}{0.00001}}{10^4[h]}=\frac{\colorbox{lime}{0.00001}}{10,000}[h^{-1}]=10^{-9}[h^{-1}]=1[FIT] $$ 黄色いマーカーの丸で囲んだうちのFTAの頂上事象確率はあっていますが、右横の丸内の数値が$\colorbox{pink}{0.0001}$となって誤っています。本来は$\colorbox{lime}{0.00001}$となるべきです。

前のブログ 次のブログ

同じ動画の中で、Part 5、Annex FのPMHFを紹介しています。

これによれば、$\lambda_\text{DPF,DP}\cdot\lambda_\text{DPF,L}$の項は一般的に非常に小さいからその2乗は無視できるとして無視していますが、それに掛けられる大きな車両寿命を無視しています。

現実にはDPF項はPMHFの数パーセントの部分を占めるため、大きいとは言えませんが無視して良いわけでもありません。これが無視できるのであれば、前稿で解説しているPart 10のPMHF式も図778.2に示すように同様に無視可能なはずです。こちらは無視できない場合としているようですが、それであればPart 5 Annex Fの式も同じ条件です。

このPart 5 Annex Fの近似式を評価した記事は過去記事に書いています。

前のブログ 次のブログ

ISO 26262のコンサルティング会社が提供するPMHF式の解説動画を見つけたので見ていきます。ほとんどの論文が無視する中で、珍しくこの動画はPart 10に掲載されているPMHF式(下図738.1)をリスペクトしており、

その解説を行っています。そこまでは良かったのですが、以下の画面に誤りがあります。

英文のトランスクリプトを入手したので、画面と合わせて見てみましょう。以下はDeepLによるその翻訳です。

さて、この式を計算しようとすると、いくつかの問題にぶつかる。そこでまず我々は、1番目の欠陥に残留欠陥を加えると、この式の冒頭、1時間あたりの故障に1時間あたりの故障を加えたものになることを示したい。これは問題ない。これでいいのだ。そして、これが我々が求める実際の単位である。PMHFは1時間当たりの故障数である。

ここはちょうど画面(図777.1)上部の下記の式 $$ \frac{Failures}{hour}+\frac{Failures}{hour} $$ を意味します。これは(次元が合っているので)問題ないと言っています。ところが、

しかし、他の表現を見てみよう。1時間当たりの故障数×1時間当たりの故障数×1時間当たりの故障数×1時間当たりの故障数の2乗である。これは数学的に意味をなさない。これは規格ではあまり扱われていない。

画面下部の下記の式に移り、 $$ \frac{Failures}{hour}\times\frac{Failures}{hour}\times hour=\frac{Failures^2}{hour}\ ?? $$ このMPFの式とSPFの式の次元が合わないという主張です。これは解説動画の誤りであり、故障率の次元は動画で言う $$ \frac{Failures}{hour} $$ ではなく、 $$ \frac{1}{hour} $$ というだけのことです。従って規格にはなんら問題はありません。

故障数は1個、2個と数える無次元数です。従ってPMHFを構成するSPFもMPFも単位は故障率の次元と同じく$h^{-1}$となり加算することができます。この後の解説でFTAでは故障率の単位を$h^{-1}$と自ら言っているので、不整合に気付いても良さそうなのですが。PMHFが故障率の次元と同じであることを理解していないのかもしれません。

このように、専門家といえども誤りはあるので、「主語で語らない」$\dagger$ようにしましょう。

$\dagger$「主語で語る」というのは、「誰々さんが言ったから」「〇〇教授が言ったから」等と、無批判に主語の権威付けを利用して自説を正当化する行為

前のブログ 次のブログ

結論

最後に本論文$\dagger$の結論部分では、

安全機構とミッションブロックが異なる場合、冗長アーキテクチャMooNは異なる非同一チャネルを持つ。この場合、MooN冗長アーキテクチャの一般化PMHF公式の開発は非常に複雑になる。しかし、異なるチャネルを持つアーキテクチャ1oo2に対して式(13)で得られた結果は、両方の公式式において同一のチャネルを仮定した場合の式(9)で得られた結果と等しい。

と述べており、非対称冗長について一般化PMHFが複雑になると言いながら、同一のチャネルを仮定しているのは理解できません。複雑であっても"m"と"sm"は非対称冗長の場合、異なる故障率を持つためです。これは前稿で指摘の(iv)項です。

同じく結論部分において、

今後の研究課題としては、本論文で開発したPMHF公式をMooN冗長アーキテクチャ向けに拡張し、多点欠陥検出間隔を持つ安全機構のテストや、非同一チャネルの考慮を含めることが考えられる。

と書いており、これらが考慮されていないことは著者自身でも課題(ないしは問題)だと思っているようです。これら2つの課題は、

• MPF検出率(DC)及び検出周期$\tau$を持つ2nd SMの効果
• 非対称冗長チャネル

であり、それぞれ前稿で指摘の(ii)(iii)及び(iv)項にあたります。著者はこの考慮を今後の研究課題としていますが、ISO 26262コンプライアンスを考えれば、本来は最初からこれらの条件を含めるべきでした。

また、本論文も例に漏れず、揃って規格のPMHF式を無視していますが、一つにはPart 10は参考情報であり、そのため読まれていないのではないでしょうか？どうも規格式について全般的にリスペクトが不足しており、まともに読んで批判しているのは弊社だけのように思います。

PFHとPMHFの比較と言うのは良い着眼であり、弊社でも過去に取り上げています。それに従えば、どちらも定義は「$\img[-1.35em]{/images/withinseminar.png}$」ですが、PFHが非修理系を対象にしているのに比べ、PMHFは定期検査修理を前提にしているため、その反映により計算式は異なってくるわけです。具体的には$\img[-1.35em]{/images/withinseminar.png}$が異なり、それらが次回RAMS 2025投稿論文のテーマです。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

前のブログ 次のブログ