Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
Even in the already published blog, we may modify and add appropriately.
posted by sakurai on February 26, 2020

本ブログではE1~E5までの事象では正当なのはE4, E5のみと判断しましたが、参照論文ではE4, E5は削除されると書かれているので、驚きます。原文を見てみましょう。

In Figure 7, A has a latent dual-point fault first, that is to say, the two faults’ combination will lead to the failure of A, but not be detected or perceived by the driver, then B has a single point/residual fault. That is, A’s latent dual-point fault combined with B’s single point/residual fault will lead to the violation of the safety goal, and they have a time sequence. The fault tree for the middle event E5 is the same as for E4. In this condition, there are three failures in a dual redundancy system, which is beyond the scope of the design, so when calculating the failure rate, the middle events E4 and E5 should be ignored.

Google翻訳したものを修正すると、

図7では、Aに最初に潜在的なデュアルポイントフォールトがあります。つまり、2つのフォールトの組み合わせはAのフォールトにつながりますが、ドライバーによって検出または認識されず、Bに単一のポイント/残余フォールトが起こる場合です。 つまり、Aの潜在的なデュアルポイント故障とBのシングルポイント/残留故障を組み合わせることで、安全目標の違反が発生し、タイムシーケンスが発生します。 中間イベントE5のフォールトツリーは、E4と同じです。 この状態では、二重冗長システムに3つの故障があり、これは設計の範囲を超えているため、故障率を計算するとき、中間イベントE4およびE5は無視する必要があります。

ここで、参照論文の著者は「デュアルポイントフォールトレイテント」の意味を誤解しているようです。「デュアルポイントフォールトレイテント」は文字通りの2点の故障ではありません。1点の故障について、2点目の可能性を考えた場合にVSGとなるかならないかを考えます。VSGとなり、かつ2nd order SMにより検出されない1点目の故障のことを「デュアルポイントフォールトレイテント」もしくは短くレイテントフォールト(LF)と呼びます。

著者はE4においてAに2点故障が起き、さらにBにSPF/RFが起きるので3点と思っているのでしょうが、Aの2点目の可能性は、相手のエレメントであるBの故障を指すため、これは3点故障ではなく2点故障です。そもそもAとBはどちらも主機能、意図機能であり、それだけではSMではありませんが、AとBを並列に組み合わせることで冗長性が生まれ、その関係性によりお互いにSMとなりあう関係が生まれます。

著者がエレメントAやB単独でSPF/RF/LFが起きると考えているため、E2~E5のような事象を考えついたようですが、上記の関係性から、エレメントAやB単独ではSPFはともかく、RFやLFが起きるはずがありません。

他にもこの誤解はネーミングから来るものもありそうで、最初からLFと名付けておけば誤解も無かったはずですが、1点故障のことを「デュアルポイントフォールト」と呼ぶのはいかにも誤解を招きそうです。このポイントは機能安全セミナーでも強調して説明しています。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 25, 2020

ここで前稿の図207.1の左端の事象E1について、説明を加えます。AとBの同時故障とは2とおり考えられます。

 C1. AとBが時刻tで同時に故障する場合
 C2. AとBが時刻tまでに両方共故障している場合

どちらもANDゲートを用いて図208.1のように表現されますが、

図%%.1
図208.1 DPFのFault Tree

前述のように、C1は誤りです。同時に故障するDPF確率はほぼ確実にゼロだからです。一方、C2の場合は妥当です。区間$[0, t)$において、Aが故障し、同様に区間$[0, t)$においてBが故障する確率はそれぞれ有限の値を持ちます。時刻$t$においてその両方が起きているDPF確率は、(AとBが独立に起こる場合)それらの確率の積で表される有限の値だからです。

それでは、前稿の図207.1の左端の事象E1は上記のどちらの意味でしょうか?

図208.2に前稿の図207.1を弊社で書き直した図を示します。E1, E2, E3を削除しています。

図%%.2
図208.2 前稿の書き直し図(弊社作成)

E1, E2, E3を削除しE4とE5が残ったのですが、E1を削除した判断を確認します。もし上記のC2の場合であれば妥当なので。

E4, E5はそれぞれ、

  • E4: Aが故障してレイテントとなっており、次にBが故障した場合
  • E5: Bが故障してレイテントとなっており、次にAが故障した場合

ですが、上記C2ならばE4 or E5が成り立ち、 $$C2\subset (E4\cup E5)$$ 逆に、E4ならばC2、かつE5ならばC2が成り立ち、 $$\ (E4\cup E5)\subset C2$$ 従って、C2とE4 or E5は同値です。以上から、左端事象はAとBが同時に故障するC1の場合を指すと考えられ、それは確率ゼロのため、削除可能と判断できます。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 24, 2020

詳細を見れば誤りはさらに種々あります。まず、Fault TreeのTOPの図を示します。ここで、エレメントAやBは冗長を構成する2つのエレメントを指します。

図%%.1
図207.1 FT図

5つの場合分けをして考えています。
  • E1  A&Bに同時にSPFが起こる
  • E2  AにRFが起き、引き続きBにSPF/RFが起こる
  • E3  BにRFが起き、引き続きAにSPF/RFが起こる
  • E4  AにLFが起き、引き続きBにSPF/RFが起こる
  • E5  BにLFが起き、引き続きAにSPF/RFが起こる

まずE1ですが、AとBは同時に故障する確率はa.s.(almost surely; ほぼ確実に)0なので、このサブツリー以下は考える必要がありません。

次に{E2, E4}, {E3, E5}のペアで考えると、{E2, E4}は先にAに故障が起き、次にBに故障が起きるDPFを意味しています。その中で、Aの故障をさらにRFとLFに分解しています。

ここで、(書かれていませんが)AにSPFが起こらないのは正しいです。Aに故障が起きても必ず(従属故障が無い限り)Bが代替機能を果たすため、系(サブシステム)としてSPFにはなりません。

次にE2においてAにRFが起きるという記述が誤りです。AにRFが起きるということは、Aの1点故障によりSG侵害されるということなので、Aに故障が起きても必ず(従属故障が無い限り)Bが代替機能を果たすため、SG侵害は起きません。従って、Aの故障の場合はLFとなり、全てE4に集約されます。従って、E2は考慮する必要がありません。

E3も同様です。以上から、E1, E2, E3は不要で、E4, E5のみが残ることになります。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 21, 2020

この論文でも、ターゲットの目標値はPMHFとなっていますが、算出において規格のPMHF式を尊重していません。サブシステムの不信頼度を $$F(t)=1-e^{-\lambda t}$$ との式で計算しており、これは修理可能性を全く考慮していないことを表しています。ただし、前論文とは異なり図206.1の赤で示すように、$\lambda_{RF}=(1-DC)\lambda$は計算に入っているので、値としてはそれほど違わないと思われます。これはSPF/RFの確率の方が、DPFと比べて桁違いに大きいことによるものです。

図%%.1
図206.1 故障率

再度整理すると、正しい考え方は、

  1. 2つのエレメントにより冗長構成される(これを系とする)
  2. それぞれのエレメントは修理可能(つまり不信頼度$F(t)$ではなく、不稼働度$Q(t)$となる)
  3. 系として状態はマルコフ連鎖で表される(その理由は、1つのエレメントの故障が他方の状態に影響を与えるため。具体的には、1つのエレメントが故障すると、他方は非修理可能となる)
  4. PMHF式はこれらを全て考慮し、系の車両寿命における平均不稼働確率を表したものであり、 PMHF式に基づきFault Treeを構成する

でなくてはなりませんが、参照論文はこのうち、2.及び4.が満足されていません。

このように専門家であっても同じような誤りを起こす原因は、規格が理解しやすく書かれていないためだと考えます。


$\dagger$https://www.researchgate.net/publication/323450274_A_mixed_model_to_evaluate_random_hardware_failures_of_whole-redundancy_system_in_ISO_26262_based_on_fault_tree_analysis_and_Markov_chain


左矢前のブログ 次のブログ右矢

posted by sakurai on February 20, 2020

次は前回紹介した論文も参照している論文$\dagger$です。本稿ではこれを参照論文といいます。 参照論文の対象は冗長構成のEPSです。

図%%.1
図205.1 EPS

参照論文はRFについて考慮しているため、最初の論文よりもましですが、やはりPMHF式を使用していません。その代わりに定量FTAのそれぞれの基事象において確率が時間変化する、つまり確率過程であることをマルコフチェインを用いて組み合わせて解いています。図205.2に参照論文の概念図を示します。これは論文中には無く、弊社が作成したものですが、前述の言葉で説明したものを図化したものです。

図%%.2
図205.2 論文の概念図

マルコフチェインを用いる考え方は概ね正しいものの、実はマルコフチェインを用いてPMHFを求めたものが、規格のPMHF式であり(ブログ記事#102~109を参照)、PMHF式に従えばこの定期検査修理を含む確率過程を織り込んだものとなっているため、再度基事象を確率過程として捉える必要はありません。

上で概ねと書いた部分ですが、本来マルコフチェインは修理を考慮する必要があります。SM1 (1st order SM)が先に故障する場合、SM2 (2nd order SM)により定期検査を受け、故障が検出された場合は、直ちに修理されるのが、ISO 26262の考え方です。ということは真ん中の状態から左の状態に戻る場合が存在します。


$\dagger$ https://www.researchgate.net/publication/323450274_A_mixed_model_to_evaluate_random_hardware_failures_of_whole-redundancy_system_in_ISO_26262_based_on_fault_tree_analysis_and_Markov_chain


左矢前のブログ 次のブログ右矢

posted by sakurai on February 14, 2020

書き換えたFTの評価

図202.1に対して図203.1の書き換えを適用したものが図204.1のFTです。このFTに対してカットセット分析を実施し、TOP事象の確率を求めます。

図%%.1
図204.1 弊社提案のEBDサブシステムのFT

同様にツールを用いてMCSを求めると、ミニマルカット数は$\img[-1.35em]{/images/withinseminar.png}$ となります。 図204.2中のC_DC_OL_MONは、1からオンラインモニタのDCを引いた定数であるため、これはエレメント故障数にカウントされません。

図%%.2
図204.2 図204.1のFTのMCS

このように、PMHF式を尊重せず、RFを見逃しDPFのみとすることで、2.6倍も故障確率を甘く(低く)見る事になります。保守的に(高く)見積もるのであれば安全側なのでOKですが、不稼働確率の過小評価は危険側のため、良くありません。

再度整理すると、正しい考え方は、

  1. 2つのエレメントにより冗長構成される(これを系とする)
  2. それぞれのエレメントは修理可能(つまり不信頼度$F(t)$ではなく、不稼働度$Q(t)$となる)
  3. 系として状態はマルコフ連鎖で表される(その理由は、1つのエレメントの故障が他方の状態に影響を与えるため。具体的には、1つのエレメントが故障すると、他方は非修理可能となる)
  4. PMHF式はこれらを全て考慮し、系の車両寿命における平均不稼働確率を表したものであり、 PMHF式に基づきFault Treeを構成する

ですが、参照論文はこのうち、2., 3., 4.が満足されていません。1.は当たり前のため、ほとんど間違いということになります。

弊社ではFTAに関する論文をRAMS 2021に投稿予定であり、そのため、ブログの一部一旦非開示としました。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 13, 2020

保守的なPMHF式

参照論文では不信頼度を $$F(t)=1-e^{-\lambda t}$$ という非修理系して扱っていますが、これはISO 26262の考え方と合いません。規格では主機能と安全機構のDPFまで考慮する必要があり、安全機構は修理可能として扱います。そのため2nd order SMが必要であり、周期的な検出(検出周期=$\tau$)と修理(検出カバレッジ=$K_\text{SM,MPF}$)が前提となります。修理系において不信頼度$F(t)$は不稼働度$Q(t)$となり、 $$\img[-1.35em]{/images/withinseminar.png}$$ これからPMHFを求めると、 $$\img[-1.35em]{/images/withinseminar.png}$$

ここでワーストケースを考え、2nd order SMが無い(カバレージがゼロ、$K_\text{SM,MPF}=0$として評価します。これは保守的な評価です。すると、上式のPMHFは、 $$\img[-1.35em]{/images/withinseminar.png}$$ 従って、基本的にFTはこの評価式を実装することになります。

FTの書き換え

参照論文ではRFを考慮せずに、単純にDPFとしていましたが、これは問題です。 上記のようにRF+DPFとして表す必要があります。これを確率式で表せば、 $$\img[-1.35em]{/images/withinseminar.png}$$ となり、図203.1のFTの書き換えのように構成します。図の左は参照論文のFTであり、右は変更後のFTです。

図%%.1

図203.1 DPFの書き換え(RFを追加)

FTAツールは確率で取り扱い、mission timeの計算は自動的に行われるため、明示的に$T_\text{lifetime}$を掛ける必要はありません。

弊社ではFTAに関する論文をRAMS 2021に投稿予定であり、そのため、ブログの一部一旦非開示としました。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 12, 2020

参照論文の問題点

参照論文では、EBDノードを含めた全体について、定量的にFault Treeを用いたMCS(Minimal Cut Set)分析を行っており、問題は2つあります。

  • ISO 26262規格のPMHF式を参照していない
  • On-lineモニタのカバレッジが参照されていない。すなわち、残余故障(RF)を無視しており、けた違いに小さい確率のMPFとして扱っている。

この2つは関連する問題ですが、特に2番目が問題です。MPFはRFより確率が小さいため、けた違いの過小評価となります。具体的に表202.1のとおり数値を入れてみてみます。On-lineモニタは参照論文に数値が無かったため、SMとして低めの数値を入れました。

表202.1
Subsystem Component Failure Rate [1/h]
EBD Node Brake ECU $3.3\times 10^{-7}$
Electronics Brake Module (EBM) $4.2\times 10^{-7}$
On-line monitor for EBM $1.1\times 10^{-7}$

この数値に基づき、参照論文のEBDサブシステムのFTをツール(SAPHIRE)により構成すれば、図202.1のようになります。

図%%.1
図202.1 参照論文のEBDサブシステムのFT

図202.1は論文のFTですが、このFTに対してカットセット分析を実施し、EBDサブシステムの故障確率を求めます。ツールを用いてMCSを求めると、図202.2のようにEBDサブシステムの故障確率は$6.481\times 10^{-3}$となります。

図%%.2
図202.2 EBDサブシステムのFTのMCS

ISO 26262では3つ以上のエレメント故障は安全故障としています。これは(書かれていませんが)確率が非常に低くなるためです。従って、3つ以上の故障を枝刈り(slice)すれば、図202.3のMCSを得、故障確率は$6.31\times 10^{-3}$となります。

図%%.3
図202.3 枝刈りをしたMCS


左矢前のブログ 次のブログ右矢

posted by sakurai on February 11, 2020

ISO 26262のFTA関連の2つの論文を紹介します。

最初に紹介するのは"ISO 26262 ASIL-Oriented Hardware Design Framework for Safety-Critical Automotive Systems"という論文$\dagger$で、 PMHFターゲットに対してシステムをFTAを用いて分析し、弱い部分を定量的に抽出し、そこにSMを追加し、最終的にPMHF目標を満たす設計手法を提案するという、大変興味深いものです。ただ、残念ながらこの論文にはランダムハードウェア故障の確率の評価値(いわゆるPMHF)について問題があるため、それを取り上げます。

この論文(以下参照論文と言う)は以下のところから取得できます。

この論文ではAEB(autonomous emergency braking system)を題材としています。以下にAEBシステムのFT(Fault Tree)を示します。

図%%.1
図201.1 AEBシステム

AEBはかなり大規模なシステムであるため、FTの一部を抜き出します。図201.2がその一部で、これにEBDサブシステムと名付けます。

図%%.2
図201.2 AEBシステムの一部(EBDサブシステム)

EBDサブシステムは図201.2のように、EBDノード4冗長で構成されます。参照論文では図201.3のように、EBDノード1チャネルのEBM(Electronic Brake Module)に対してOn-line Monitorを付加してPMHFを下げたと主張しています。

図%%.3
図201.3 EBDノード1チャネル


$\dagger$Chen, Yung-Yuan & Lu, Kuen-Long. (2019). ISO 26262 ASIL-Oriented Hardware Design Framework for Safety-Critical Automotive Systems. 10.1109/ICCVE45908.2019.8965235.


左矢前のブログ 次のブログ右矢

確率論(22)

posted by sakurai on February 10, 2020

2項過程

時間間隔$[0, t]$において、$k$個の故障が起きる確率を考えます。まず離散時間の場合、単一の部品の故障確率を$p$、故障個数を表す確率変数を$X$とすれば、 $$\Pr\{X=k\}={}_n\mathrm{C}_k(1-p)^{n-k}p^k\ \ \ \ \ \ \ \text{for }k=1,2,...,n$$ 前回と同様に、単一の部品の故障率を$\lambda$、時間間隔$[0, t]$を$n$等分した一つの時間間隔を$\Delta t$とすれば、 $$p=\lambda\Delta t=\lambda\frac{t}{n}$$ よって、 $$\Pr\{X=k\}=\frac{n!}{(n-k)!k!}\left(1-\frac{\lambda t}{n}\right)^{n-k}\left(\frac{\lambda t}{n}\right)^k\ \ \ \ \ \ \ \text{for }k=1,2,...,n$$ 確率変数$X$は2項分布し、この確率変数は時間によって変化するため、$X(\omega)$と時刻$t$の直積をとった確率変数$X(\omega, t)$の集合$\{X(\omega, t)\}$を2項過程といいます。

ポワソン過程

前式において、$n\to\infty$の極限を取れば、 $$\Pr\{X=k\}=\lim_{n\to\infty}{}_n\mathrm{C}_k(1-p)^{n-k}p^k$$

$$=\lim_{n\to\infty}\frac{n!}{(n-k)!k!}\left(1-\frac{\lambda t}{n}\right)^{n-k}\left(\frac{\lambda t}{n}\right)^k$$

$$=\lim_{n\to\infty}\frac{n(n-1)...(n-k+1)}{n^k}\cdot\frac{1}{k!}\left(1-\frac{\lambda t}{n}\right)^{n-k}\left(\lambda t\right)^k\\ =\frac{(\lambda t)^k}{k!}e^{-\lambda t}$$ これをポワソン過程と呼びます。部品の故障は連続時間中に起こり、その確率は低いので、ポワソン過程として取り扱うことができます。


左矢前のブログ 次のブログ右矢


ページ: