Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

RAMS 2023での論文発表

posted by sakurai on January 24, 2023 #582

RAMS 2023が予定どおり開催中ですが、その初日に当社代表が「Stochastic Constituents for the Probabilistic Metric of Random Hardware Failures (PMHF) in ISO 26262」というタイトルで論文発表を行いました。論文はプレスリリースにもあるように、RAMS 2020で発表した、以下の新PMHF式の傍証となる証明を論文にしたものです。

$$ M_\text{PMHF,IFR}\approx(1-K_\text{IF,RF})\lambda_\text{IF} +K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}T_\text{service}\right],\\ \text{where }K_\text{MPF}:=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF} $$

これは、ブログでは#484#491でご紹介した「確率コントリビューション」記事に関連するものです。確率コントリビューションをStochastic Constituentsと英訳しました。

発表は図582.2のように"Reliablity Modeling - 1"の2人目で、米国に入国できないためZoomを用いて行いました。時差のため夜中の12:45からの開始でした。アプリの時間は日本時間となっています。

図%%.2
図582.2 セッション

以下のように質問を2件受けました。

1Q. 発表ではサブシステムはIFとSMの2つから構成されるサブシステムに対するものだが、他のアーキテクチャでは成立するのか?

1A. サブシステムの安全解析を行う際には、IFに対してそのSMが見えるまで中に入り込みます。従って、(SMが無い場合もあるかもしれませんが、その場合はDC=0とする)全ての場合でIFとSMから構成されると考えます。

2Q. 他の論文ではPMHFの算出にFault Treeを用いているものがある。この論文ではPMHFの算出はマルコフチェインだが、どのような違いがあるのか?

2A. マルコフチェインとフォールトツリーは競合するものではありません。実際に我々の2021年のRAMS論文ではマルコフチェインとフォールトツリーを組み合わせてPMHFを算出しています。ご興味があればRAMS 2021論文をご参照ください。


左矢前のブログ 次のブログ右矢

posted by sakurai on January 20, 2023 #581

来週RAMS 2023が開催され、弊社からはReliablity Modeling - 1で発表を行います。今後開催予定の場所が判明したので、過去と合わせて掲載します。

表581.1 SMと時間制約表
Date Venue
Jan 28~31, 2019 Walt Disney Contemporary Resort, Orlando, Florida
Jan. 27~30, 2020 Renaissance Palm Springs Hotel, Palm Springs, California
May 24~27, 2021 Rosen Hotels & Resorts, Orlando, Florida
Jan. 24~27, 2022 Hilton El Conquistador Resort, Tucson, Arizona
Jan. 23~26, 2023 The Florida Hotel and Conference Center, Orlando, Florida
Jan. 22~25, 2024(予定) The Clyde Hotel, Albuquerque, New Mexico
Jan. 27~30, 2025(予定) Hilton Sandestin Beach Golf Resort & Spa, Miramar Beach, Florida
Jan. 26~29, 2026(予定) Planet Hollywood, Las Vegas, Nevada
Jan. 25~28, 2027(予定) Hilton Clearwater Beach Resort & Spa, St. Petersburg, Florida
Jan. 24~27, 2028(予定) The Rolyal Sonesta Houston Galleria, Houston, Texas


左矢前のブログ 次のブログ右矢

背理法の証明例(2)

posted by sakurai on January 18, 2023 #580

再び有名な証明問題です。「実数全体$\mathbb{R}$は非可算無限集合である」

  1. 区間$[0, 1)$の実数を加算有限集合と仮定する。
  2. 無限桁の2進数によりそれらの実数を表す。
  3. それらの実数を任意の順で並べる。
  4. n番目の数値の小数点以下の桁を0なら1、1なら0に変えていき、変えた数値を各桁に持つ新しい実数を1つ生成する。
  5. その新しい実数は表のいずれの実数ともn桁目が異なり、それゆえこの表には含まれないため、1.の仮定に反する。
  6. よって$[0, 1)$の実数は非可算無限集合である。

左矢前のブログ 次のブログ右矢

背理法の証明例

posted by sakurai on January 10, 2023 #579

有名な「素数は無限個存在する」という定理の証明を背理法で行います。

  1. 「素数が有限個である」と仮定する。
  2. $P$を、有限個の中で最大の素数$\dagger 1$とする。
  3. $Q=P\ !+1$という数$Q$を考える。
  4. $Q$が素数である場合は、明らかに$Q\gt P$であり、2.に反するので、$Q$は合成数$\dagger 2$。
  5. $Q$が合成数である場合は、定義より$Q$を割り切る素数$R$が存在し、また$Q=P\ !+1$であることから、$Q$は$P$以下の全ての素数で割り切れないため、$R\gt P$であることになり、同じく2.に反す。
  6. 2.を仮定すると、必ず矛盾が起きるため2.は成立しない。よって、素数は無限個数あることが証明された。

$\dagger 1$: 素数の定義:自然数$X$が$X$自身と$1$で割り切れ(自明)、かつそれら以外の全ての自然数で割り切れない$X$を素数と呼ぶ。
$\dagger 2$: 合成数の定義:自然数$Y$が$Y$自身と$1$で割り切れ(自明)、かつそれら以外の$Y$を割り切る素数が存在するとき、$Y$を合成数と呼ぶ。


左矢前のブログ 次のブログ右矢

安全機構の効果 (2)

posted by sakurai on January 9, 2023 #578

前稿の議論を含めた、SMとその守るべき制約を表578.1にまとめます。

表578.1 SMと時間制約表
SM名称 時間制約 説明 制約違反時
1st SM FTTI 1st SM (IFがVSGとなるのを抑止するためのSM)がIFのフォールトを検出し、アイテムを安全状態に遷移させるまでの許容時間。 1st SMが制約を守れない場合は1st SMとは主張できなくなり、そのDCは0となる。従って、主機能のフォールトが起きた場合、ハザードが発生する。
EOTTI 1st SMがFTTIを超えて安全を担保している場合、SMの構造によってはその担保時間に限界があるものがあるが、その制約時間。 FTTIは守っているため1st SMとしては働き、ハザードは回避されるが、動作の継続が不可能になり、車両の有用性が失われる。
2nd SM MPFDI MPFを検出するための時間間隔。 2nd SMが制約を守れない場合は2nd SMとは主張できなくなり、そのDCは0となる。従って、マルチプルポイントフォールトは全てレイテントフォールトとなる。


左矢前のブログ 次のブログ右矢

安全機構の効果

posted by sakurai on December 30, 2022 #577

半導体開発の試験時には通常Biult In Self Test (BIST)を用います。BISTにはLogic-BISTとMemory-BISTがあり、動作が異なります。Logic-Bistは論理の形式と全く無関係にスキャンF/Fを数珠繋ぎにし、長大なシフトレジスタと見立てます。内部回路のATPGからデータパタンを入れ、内部回路が設計どおりに動作するかを外部端子で確認します。シリアルで確認するために時間がかかることが難点です。Memory-BISTはテストパターンとして全ビットに0/1を書いてから読み出し、正しく0/1になっているか、あるいは0, 1をチェッカーボードパターンと呼ばれる交互に書き込み、読み出す方法等があります。いずれもテスタを用いずに内部的にパターンジェネレータを搭載します。

通常のLSIの試験にはテスタが用いられますが、BISTはテスタからのパタンジェネレータが内蔵されているため、運用時の故障検出に使いたくなります。もし安全機構として使用できれば、リアルタイムに故障検出ができることになります。故障検出率は高いものの、2点問題があります。それはFTTI中に実行しなければならない問題と、I/Oや動作に厳しい制約がかかる点です。

まず1st SMとして主張するためには、故障検出はFTTI中に実行しなければなりません。従って、Key-ON/OFF時のBISTチェックではこれを守れません。従って通常は2nd SMという扱いになります。他方、無理やりFTTI中に実行する設計にした場合は、次の問題に引っ掛かります。それは、L-BISTにしろM-BISTにしろ、F/Fやメモリの内容を基本的には全て破壊するため、車両システムから切り離して実行する必要があります。例えば、F/Fやメモリの内容が変化しても正常状態に影響を与えない工夫、FTTI中に元の値に戻す工夫、さらにはI/Oが変化しても車両に伝えないようにする工夫等が必要になり、非常に困難です。例えば冗長サブシステムの片側だけを交互に行えばできるかもしれません。そうだとしても、FTTI中に検出するためには2倍の速度で交互に検査する必要があります。

従って、L-Bist、M-BistはKey-ON/OFF時にのみ使い、2nd SMという扱いにするのが常道と言うことができます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 26, 2022 #539

図%%.1

On October 22, 2022, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Head Office: Nagoya, Japan), a leading provider of functional safety (Note 1) consulting services, was formally accepted by RAMS (Note 2) 2023, an international conference on reliability organized by IEEE (Note 3). This is the fourth consecutive year that the author's paper has been accepted to RAMS. The author also received the Best Paper Award at the 14th ISPCE 2017 (Note 4), an international conference hosted by IEEE in 2017.

RAMS 2023 is scheduled for January 23-26, 2023, at the Florida Hotel and Conference Center in Orlando, Florida, USA.

図%%.2

In 2018, the second edition of ISO 26262 (Note 5), the international standard for functional safety in automotive electronics, was published, and the PMHF (Note 6) equation was also revised. At RAMS 2020, the author clarified the mathematical background of the PMHF formula and proposed a new PMHF formula with which optimal values can be calculated.

This paper re-proves the author's PMHF formula by using the newly proposed stochastic constituents. Specifically, the PMHF formula in ISO 26262 Edition 1 is decomposed into stochastic constituents by considering the combined elements of the intended function and the safety mechanism, and the PMHF formula is proved to be the PMHF formula in the case where the intended function and the safety mechanism are repairable. This makes it possible to prevent overestimation of the PMHF, which has been seen in the past. As a result, it is expected to reduce design man-hours and time-to-market for fault-tolerant systems (Note 7), as represented by self-driving systems.

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures.
Note 2: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 3: RAMS stands for The 69th Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: ISO 26262 is a functional safety standard for in-vehicle electrical and electronic systems, an international standard that aims to reduce the possibility of dangerous events to an acceptable level occurring during vehicle operation due to malfunctions of in-vehicle electrical and electronic systems.
Note 6: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 7: Fault-tolerant systems are safety-enhancing systems that can substitute the original function without immediately losing the function in the event of a failure.


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2022 #538

図%%.1

機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社:名古屋市)代表取締役社長 桜井 厚の論文が、2022年10月22日、IEEE(注2)主催の信頼性に関する国際学会であるRAMS 2023(注3)に正式採択されました。同著者の論文がRAMSに採択されるのは4年連続となります。また同著者は、2017年にIEEE主催の国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しています。

RAMS 2023は、2023年1月23日から26日まで米国フロリダ州オーランドのフロリダホテルアンドカンファレンスセンターにて開催される予定です。

図%%.2

2018年に車載電子機器における機能安全の国際規格であるISO 26262(注5)第2版が発行され、併せてPMHF(注6)式も改訂されました。同著者はRAMS 2020において、このPMHF式の数学的な背景を明らかにし、最適値が算出可能な新しいPMHF式を提案しました。

本論文は、新提案の確率的構成要素を用いることで、同著者の提唱するPMHF式を再度証明したものです。具体的には主機能と安全機構の合体エレメントを考えることで、ISO26262第1版におけるPMHF式を確率的構成要素に分解し、主機能と安全機構が修復可能な場合におけるPMHF式となることを証明しました。そのため、従来見られたPMHFの過剰見積りを防止することが可能となります。これにより、自動運転システムに代表される耐故障システム(注7)の設計工数の削減と市場投入期間の短縮が期待されます。

【お問い合わせ先】
商号      FSマイクロ株式会社
代表者     桜井 厚
設立年月日   2013年8月21日
資本金     3,200万円
事業内容    ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地   〒460-0011
        愛知県名古屋市中区大須4-1-57
電話      052-263-3099
メールアドレス info@fs-micro.com
URL      http://fs-micro.com/

【注釈】
注1:機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方
注2:IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略称。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注3:RAMS(ラムズ)2023はThe 69th Annual Reliability & Maintainability Symposiumの略称。IEEE信頼性部会が主催する、信頼性工学に関する国際学会 http://rams.org/
注4:ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略称。IEEE製品安全部会が主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5:ISO 26262とは車載電気・電子システムに関する機能安全規格であり、自動車の運行中に車載電気・電子システムの故障により危険な事象が起きる可能性を、許容できる範囲にまで減少させることを目的とした国際規格
注6:PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略称。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262のハードウェアに関する設計目標値のひとつ
注7:耐故障システムとは、故障した場合に直ちに機能を失うことなく、本来の機能を代替可能な安全性向上のためのシステム


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2022 #537

10/22に最終論文を提出するようにRAMS委員会から返答がありました。10/25に最終論文及びプレゼン資料を登録し、これで正式採択となります。

RAMS 2023は2023年1月にフロリダ州オーランドで開催予定ですが、CDCによる入国制限が今だ継続しており、米国入国が可能かどうかは現段階では不透明です。なお、入国できない場合は録画等で発表予定です。

表537.1 RAMS 2023へのマイルストーン
期限 マイルストーン 状態
2022/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/9/12022/9/27 第1回論文、プレゼン資料査読コメント受領 受領済
2022/10/9 改訂版論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2022/10/22 最終査読コメント受領 受領済
2022/10/10 学会出席登録締め切り 登録済
2022/10/102022/10/25 最終論文、プレゼン投稿締め切り(名前、所属有り版) 登録済


左矢前のブログ 次のブログ右矢

PMHFの誤解(10)

posted by sakurai on October 14, 2022 #530

故障分類フローでの検証 (続)

前稿で規格の故障分類フローの箱(p)まで見たので、その続きを確認します。

図172.1
図172.1 Part 10故障分類フローチャート(再掲)

次の箱は(q)で、

Fraction of faults that the safety mechanism prevents from directly violating the safety goal?

安全機構が安全目標に直接違反することを防いだフォルトの割合?

とあります。ここに来たフォールトはVSGを起こします。ここから右と下の枝の違いはSMがそれを防いだかどうか(ゼロイチではなく割合)です。

VSGを防げない部分の割合を故障率$\lambda_\text{FMi,PVSG}$にかけて下の箱(r)、(s)へ移ります。これが残存フォールト$\lambda_\text{FMi,RF}$の箱(s)です。ということで、直接侵害する故障のうち、安全機構でカバーされない部分は残存フォールトだという結論です。マルチプルポイントフォールトではありません。

被引用論文の調査

ここで、「研究成果報告書」の引用元論文であるPMHF式の誤り論文$\dagger$を再度確認したところ、そこにも同じ図526.1の表が有り、全てMPFと分類されていました。そのため元論文$\dagger$から表を引き写したための誤りと判明しました。当該箇所を引用すれば、

Note that each fundamental building block in our exemplary safety microprocessor is protected with SM. This causes every hardware failure mode is classified as MPF. As the result, the summation of the single-point fault and the residual fault is zero.

各基本構成要素はSMで保護されている。 このため、すべてのハードウェア故障モードがMPFに分類される。その結果、一点故障と残留故障の和はゼロになる。

とあり、結論として元論文$\dagger$の2個目の誤りがそのまま引き継がれたようです。まとめれば、元論文$\dagger$には

  1. PMHF式のDPF項を過剰に見積もる(故障率が2乗されていない)誤り
  2. 故障分類において残存フォールトを全てマルチプルポイントフォールトと勘違いする誤り

の二重の誤りが存在しており、それが「研究成果報告書」をカスケード故障させたということになります。元の誤りは罪深く、その引用だけでも4~5本ほどあり、さらに今後孫引きされることを考えると、増殖する虫を見るようで憂慮するばかりです。


$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.


左矢前のブログ 次のブログ右矢


ページ: