Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on October 29, 2021 #444

図%%.1

On October 26, 2021, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Nagoya, Japan), a leading provider of ISO 26262 functional safety (Note 1) consulting services, was accepted at the 68th RAMS (RAMS 2022: Note 2). RAMS 2022 will be held in Tucson, Arizona, U.S.A., from January 24 to 27, 2022, and is sponsored by the Reliability Society of IEEE (Note 3).

図%%.2

Atsushi Sakurai received the Best Paper Award at the 14th ISPCE (ISPCE 2017: Note 4), an international conference on Product Safety of IEEE in 2017. In addition, his papers have been accepted to RAMS for three consecutive years since 2020. The title of the paper for RAMS 2022 is "Formulas of the Probabilistic Metric for Random Hardware Failures (PMHF: Note 5) to Resolve a Dilemma in ISO 26262."

Although the PMHF formula was revised in the second edition of ISO 26262, which took effect in 2018, its mathematical definition was not fully described. Atsushi Sakurai clarified the ambiguity in the second edition and derived a new PMHF equation in his paper in 2020. However, this equation is based on the assumption that detected multipoint faults (MPFs: Note 6) are considered as latent faults (LFs: Note 7), which is also present in the second edition of the standard. However, this assumption contradicts the latent fault metric (LFM: Note 8) specified in the standard itself.

This paper aims to solve the dilemma of this standard and strengthen the previous paper by deriving a new PMHF formula based on the assumption that the detected MPF is not a LF. This formula is expected to evaluate the PMHF value correctly, to reduce the design constraint on the Emergency Operating Time Tolerance Interval (EOTTI: Note 9) by 40 times, and to minimize the design effort in fault-tolerant systems (Note 10).

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures. ISO 26262 is an international standard for functional safety for automotive electrical and electronic equipment.
Note 2: RAMS stands for The Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 3: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 6: MPF stands for Multiple-point Fault, which is a fault that does not violate the safety goal at a single point, but becomes a violation of the safety goal when multiple faults are combined.
Note 7: LF stands for Latent Fault. Among MPFs, it is a fault that is not detected by the safety mechanism.
Note 8: LFM stands for Latent Fault Metric, which is a coverage of how many LFs are in the system and how many of them can be detected, and is one of the design target values for hardware in ISO 26262.
Note 9: EOTTI stands for Emergency Operation Tolerant Time Interval. It is a time interval during which a violation of safety objectives will not occur if the system is repaired or switched to an alternative process within this period.
Note 10: A fault-tolerant system is a safety-enhancing system that can substitute the original function without immediately losing the function in the event of a failure.


左矢前のブログ 次のブログ右矢

posted by sakurai on October 26, 2021 #443

図%%.1

ISO 26262機能安全(注1)コンサルティングを提供するFSマイクロ株式会社(本社:名古屋市)代表取締役 桜井 厚の論文が、2021年10月26日、第68回RAMS 2022(注2)に採択されました。RAMS 2022は、2022年1月24日から27日まで米国アリゾナ州ツーソンにて開催予定の、IEEE(注3)信頼性部会主催の国際学会です。

図%%.2

弊社代表 桜井 厚は2017年にIEEEの製品安全に関する国際学会である第14回ISPCE 2017(注4)において、最優秀論文賞を受賞しました。同著者の論文は2020年から3年連続でRAMSに採択されており、IEEE学会としては今回で4回目の採択となります。今回RAMS 2022で採択された論文は「Formulas of the Probabilistic Metric for Random Hardware Failures to Resolve a Dilemma in ISO 26262」と題し、ランダムハードウェア故障の確率的メトリクス(PMHF:注5)を正しく計算する数式を提案するものです。

2018年に発効したISO 26262第2版ではPMHF式が改訂されていますが、その数学的な定義が明確ではありませんでした。桜井 厚は2020年に第2版で曖昧だった点を明確にし、新たなPMHF式を導出しました。しかしながら、この式は規格第2版にも存在する、検出された多点フォールト(MPF:注6)をレイテントフォールト(LF:注7)とみなすという前提に基づいており、一方でその前提は、規格自身の規定するレイテントフォールトメトリック(LFM:注8)と矛盾します。

本論文はこの規格の矛盾を解消することを目的とし、検出されたMPFがLFにならないという前提の下に、新たなPMHF式を導出しました。この式によりPMHF値が正しく評価され、緊急操作許容時間間隔(EOTTI:注9)に関する設計制約が40倍軽減されることから、耐故障システム(注10)での設計工数の削減が期待されています。

【お問い合わせ先】
商号      FSマイクロ株式会社
代表者     桜井 厚
設立年月日   2013年8月21日
資本金     3,200万円
事業内容    ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地   〒460-0011
        愛知県名古屋市中区大須4-1-57
電話      052-263-3099
メールアドレス info@fs-micro.com
URL      http://fs-micro.com/

【注釈】
注1:機能安全は、様々な安全方策を講じることにより、システムレベルでの安全性を高める考え方。ISO 26262は車載電気・電子機器を対象とする機能安全の国際規格
注2:RAMS(ラムズ)はThe Annual Reliability & Maintainability Symposiumの略。IEEE信頼性部会が毎年主催する、信頼性工学に関する国際学会 http://rams.org/
注3:IEEE(アイトリプルイー)はInstitute of Electrical and Electronics Engineersの略。電気工学・電子工学技術に関する、参加人数、参加国とも世界最大規模の学会 http://ieee.org/
注4:ISPCE(アイスパイス)はIEEE Symposium on Product Compliance Engineeringの略。IEEE製品安全部会が毎年主催する、製品安全に関する国際学会 http://2017.psessymposium.org/
注5:PMHF(ピーエムエイチエフ)はProbabilistic Metric for Random Hardware Failuresの略。車載電気・電子システムにおいて、車両寿命間にシステムが不稼働となる確率を時間平均した、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注6:MPF(エムピーエフ)はMultiple-point Faultの略。 一点のフォールトでは安全目標を侵害せず、複数のフォールトの組み合わせにより安全目標侵害となるようなフォールト
注7:LF(エルエフ)はLatent Faultの略。潜在フォールトと訳される。MPFのうち、安全機構により検出されないフォールト
注8:LFM(エルエフエム)はLatent Fault Metricの略。LFがシステムにどれほどあり、そのどれほどが検出できるかのカバレージであり、ISO 26262におけるハードウェアに関する設計目標値のひとつ
注9:EOTTI(イーオーティーティーアイ)はEmergency Operation Tolerant Time Intervalの略。この期間内に修理するか代替処理に切り替えれば安全目標侵害が起こらない時間間隔
注10:耐故障システムは、故障した場合に直ちに機能を失うことなく、本来の機能を代替することができる安全性向上のためのシステム


左矢前のブログ 次のブログ右矢

posted by sakurai on October 9, 2021 #441

10/10までに最終版を登録しました。査読者2名はパスしたものの、Reliability ModelingのVice Chairは保留中であり、他のエキスパートの意見を聞いているとのことです。

表441.1 RAMS 2022へのマイルストーン
年月日 マイルストーン 状態
2021/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2021/9/1 第1回論文、プレゼン資料査読コメント受領
2021/9/15 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2021/10/1 最終査読コメント受領
2021/10/10 学会出席登録締め切り
2021/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

表441.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

左矢前のブログ 次のブログ右矢

posted by sakurai on October 1, 2021 #439

10/1までに査読に対応した修正を実施し、修正版を登録しました。

表439.1 RAMS 2022へのマイルストーン
年月日 マイルストーン 状態
2021/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2021/9/1 第1回論文、プレゼン資料査読コメント受領
2021/9/15 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2021/10/1 最終査読コメント受領
2021/10/10 学会出席登録締め切り
2021/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

表439.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

左矢前のブログ 次のブログ右矢

posted by sakurai on September 12, 2021 #435

予定どおり、9/15までに査読に対応した修正を登録しました。

表435.1 RAMS 2022へのマイルストーン
年月日 マイルストーン 状態
2021/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2021/9/1 第1回論文、プレゼン資料査読コメント受領
2021/9/15 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2021/?/? 学会出席登録締め切り
2021/10/1 最終査読コメント受領
2021/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

表435.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

左矢前のブログ 次のブログ右矢

posted by sakurai on September 1, 2021 #433

予定どおり、8/31にレビュー者3名によるレビュー結果を受領しました。次のマイルストーンは9/15までにその対応の修正を登録することです。

表433.1はRAMS 2022正式採択までのマイルストーンであり、今後適宜更新します。

表433.1 RAMS 2022へのマイルストーン
年月日 マイルストーン 状態
2021/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2021/9/1 第1回論文、プレゼン資料査読コメント受領
2021/9/15 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2021/?/? 学会出席登録締め切り
2021/10/1 最終査読コメント受領
2021/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

MPF detectedの別の考え方

posted by sakurai on August 10, 2021 #432

MPF detectedは謎のフォールトと言えます。定義としては単純で、1st SMにより検出され、VSGから抑止されたフォールトです。抑止されなければVSGの可能性があるということは、IFのフォールトであることを意味します。

この単純なフォールトがなぜ謎なのかと言えば、MPF detectedが検出された後の対処が規格に書かれていないためです。他のフォールトとの組み合わせでVSGとなるようなDPFについては、2nd SMにより検出されLFになるのを抑止される場合には修理されることが書かれています。

そのため、MPF detectedが検出された後の対処は修理されるかされないかの2つの可能性が存在します。まず自然な解釈として、そのまま放置される解釈があります。

  1. 修理されなければ通常はそのまま放置され、しかるべき時間の後に他のフォールトとの組み合わせによりDPFとなります。これはLFとなることを意味します。式で書けば、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})+\Pr(\text{DPF,detected})$$ この考えに基づきPMHF計算を実施したものが、論文[1]です。これには問題があり、LFMの定義式を見てもMPF detectedはMPF latentとは区別されているので、LFMと不一致となります。

  2. 修理されればそれは再び運転可能となります。従って、 $$\Pr(\text{VSG})=\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ この考えに基づきPMHF計算を実施したものが、論文[2]です。この考えではLFMとは矛盾しませんが、車に修理者が乗車しており、いかなる時点での故障も直ちに修理する必要があります。

  3. さらに別の考え方として、修理はされないがDPFにならないとする考え方もあります。具体的には、修理はされないが、運用を停止する等です。この場合は運用が継続されないので、確率としては分母から引く必要があります。 $$\Pr(\text{VSG})=\frac{\Pr(\text{SPF})+\Pr(\text{DPF,latent})}{1-\Pr(\text{DPF,detected})}\\ \approx(\Pr(\text{SPF})+\Pr(\text{DPF,latent}))(1+\Pr(\text{DPF,detected}))\\ \approx\Pr(\text{SPF})+\Pr(\text{DPF,latent})$$ 確率の2乗は非常に小さくなるため、近似をとれば2.と変わりません。


  1. https://ieeexplore.ieee.org/document/9153704
  2. RAMS 2022投稿論文、未発表

左矢前のブログ 次のブログ右矢

PMHF関連資料の渉猟 (5)

posted by sakurai on August 6, 2021 #431

前記部品の間接侵害フォールトに対応付けられる第3組の確率を計算するステップと、

IFの間接侵害というと$\lambda_\text{m,DPF}$でしょうか。LFに関する確率と考えれば、第3組の項目は、 $$0.5\cdot\left(\lambda_\text{sm,DPF,latent}T_\text{lifetime}+\lambda_\text{sm,DPF,detected}\tau_\text{SM}\right)$$ を指すように思われます。

前記第1組、前記第2組、および前記第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む

この後の請求項で、第1、2、3組の確率を加算し、さらに車両寿命で除算してメトリックを求めるとあるので、規格式図431.1を念頭に置いているようです。第1と第2の確率は規格式では第1項で表されます。

図%%.1
図431.1 Part10 8.3.3 PMHF規格 第1式

請求項1は、規格式図431.1を念頭に置いているようですが、それだけでは新規性が無いことは明白です。特許庁も請求項1の新規性を否定するでしょうから、その場合は従属クレームを含んだ形にして、特許範囲を狭めてくると思われます。この場合何が新規なのか、クレームからは判断がつきませんでした。


左矢前のブログ 次のブログ右矢

PMHF関連資料の渉猟 (4)

posted by sakurai on August 5, 2021 #430

前稿の続きです。

前記安全機構は第1層安全機構と第2層安全機構とを含み、

SMには1st SMと2nd SMがあるという、規格にある図と同じサブシステムが、本特許の対象です。

第1層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、

1st SMにはそのDCがあることを言っています。$K_\text{IF,FMC,RF}$に相当します。

第2層安全機構は第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、

2nd SMにはそのDCがあることを言っています。$K_\text{SM,FMC,MPF}$に相当します。

前記方法は、

ここからが新規性があると思われる部分です。この前記方法とは、「電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法」です。

前記第1層安全機構に対応付けられる第1組の確率を計算するステップと、

1st SMに関連する確率を計算するステップのようです。ちなみに、PMHFは、安全目標侵害確率を計算してからそれを車両寿命で除算して算出するので、最初に確率計算するステップが続きます。

第1組の確率が何を指すかは定かではありません。1st SMのDCに関係すると解釈すれば、 $$\lambda_\text{m,RF}=(1-K_\text{m,RF})\lambda_\text{m}$$ に関する確率のようです。

前記部品の直接侵害フォールトに対応付けられる第2組の確率を計算するステップと、

前記部品というのはIFを指すようです。第1組の確率も直接侵害フォールトに関するものですが、第1組はSMで保護されており、第2組がSMの表現を含まないので保護されていないとすれば、 $$\lambda_\text{m,SPF}$$ に関する確率かもしれません。ここではSPFもRFも狭義の意味です。


左矢前のブログ 次のブログ右矢

PMHF関連資料の渉猟 (3)

posted by sakurai on August 3, 2021 #429

今まではPMHF関連の記事、論文について検討してきましたが、新たに特許が引っ掛かりました。PMHF研究者としては特許も重要な研究対象です。ここでは 「偶発的なハードウェア故障の確率的メトリック」(ルネサスエレクトロニクス)を取り上げます。

本特許はその請求項で、PMHF式の算出法をクレームしているようです。

しかしながら請求項で、規格に従えば新規性が無く、逆に規格に従わなければ規格違反となるという、二律背反な主張を行わなければなりません。

それでは請求項を見てみましょう。

請求項1
エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって、前記安全機構は第1層安全機構と第2層安全機構とを含み、第1層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、前記方法は、前記第1層安全機構に対応付けられる第1組の確率を計算するステップと、前記部品の直接侵害フォールトに対応付けられる第2組の確率を計算するステップと、前記部品の間接侵害フォールトに対応付けられる第3組の確率を計算するステップと、前記第1組、前記第2組、および前記第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む、方法。

ここで、第1層安全機構は1st SM、第2層安全機構は2nd SMと読み替えることができます。

最初から見ていきます。

エレメントと安全機構とを含む電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法であって

弊社でいうところの対象サブシステムにはIFであるエレメントとSMを含みます。そのPMHFを求める方法について、以下で詳細をクレームしています。


左矢前のブログ 次のブログ右矢


ページ: