Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on May 6, 2022 #474

「ISO 26262第2版解説書」(日本規格協会)のPMHF式と別の方法ですが、弊社の方法で計算し直します。弊社のやり方はCTMCの原理を用い、時刻$t$におけるDPF確率密度を求め、$0$から$T_\text{lifetime}$まで積分するというものです。

パターン1

  • Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。

パターン1は、SM1のフォールトが2nd SM(SM2)で検出されないため、SM1のフォールト全体に対するパターン1の割合は$1-K_\text{SM,DPF}$となり、マルコフ図は以下のようになります。時刻パラメータ$t$までに最初のSMのフォールトが起き、$t'(\approx t)$がVSGとなる2つ目のIFのフォールトが起きた時刻とします。

図%%.1
図474.1 2nd editionパターン1マルコフ図

PMHFの求め方は、IFのフォールトに関する$t$から$t+\delta t$までのDPF確率密度を求めます。次にサブシステムについて、DPF VSGとなる確率密度を0から$T_\text{lifetime}$まで積分します。

まず、検出されない部分のSM1の$LAT2$での状態確率は、 $$ \begin{eqnarray} \Pr\{\text{SM1(undet) in }LAT2\}&=&\Pr\{\text{SM1 down at }t\cap\text{SM1 fault not detected}\}\\ &=&(1-K_\text{SM,DPF})F_\text{SM}(t) \end{eqnarray}\tag{474.1} $$ 次にIFの$LAT2$での状態確率は、 $$ \begin{eqnarray} \Pr\{\text{IF in }LAT2\}&=&\Pr\{\text{IF up at }t\cap\text{IF fault prevented}\}\\ &=&\Pr\{\text{IF up at }t\}\Pr\{\text{IF fault prevented}\} &=&K_\text{IF,DPF}R_\text{IF}(t) \end{eqnarray}\tag{474.2} $$

$LAT2$から$DPF1$への微小時間間隔$\delta t$での遷移確率は、IFがフォールトによりDPFとなる場合であり、

$$ d\!\Pr\{\text{IF down in }(t, t+\delta t] | \text{IF up at }t\}=\lambda_\text{IF}\delta t \tag{474.3} $$

従って、状態確率(474.2)と遷移確率(474.3)の積をとりIFの$(t, t+\delta t]$における確率密度を求めれば、 $$ \begin{eqnarray} d\!\Pr\{\text{IF in }LAT2&\text{ at }&t\cap\text{IF down in }(t, t+\delta t]\}\\ &=&d\!\Pr\{\text{IF up at }t\cap\text{IF fault prevented}\cap\text{IF down in }(t, t+\delta t]\}\\ &=&\Pr\{\text{IF up at }t\}\Pr\{\text{IF fault prevented}\}\\ &&\cdot d\!\Pr\{\text{IF down in }(t, t+\delta t] | \text{IF up at }t\}\\ &=&K_\text{IF,DPF}R_\text{IF}(t)\lambda_\text{IF}\delta t=K_\text{IF,DPF}f_\text{IF}(t)\delta t \end{eqnarray}\tag{474.4} $$

IFとSM1にはフォールトの生起について独立であるため、各々の確率はかけることができます。よって、 IFの項(474.4)とSM1の項(474.1)の積をとり、$0$から$T_\text{lifetime}$まで積分して時間平均をとると、 $$ \begin{eqnarray} M_\text{PMHF,fsm,P1}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}d\!\Pr\{\text{LAT2 at }t\cap\text{IF fault prevented}\\ &&\cap\ \text{IF down in }(t, t+\delta t]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}d\!\Pr\{\text{IF up at }t\cap\text{SM1 down at }t\\ &&\cap\ \text{SM1 fault not detected}\cap\ \text{IF fault prevented}\cap\text{IF down in }(t, t+\delta t]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\text{SM1 down in }[0, t)\cap\text{SM1 fault not detected}\}\\ &&\cdot d\!\Pr\{\text{IF down in }[t, t+\delta t)\cap\text{IF up at }t\cap\text{IF fault prevented}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\text{SM,DPF})F_\text{SM}(t)K_\text{IF,DPF}f_\text{IF}(t)dt\\ &\approx&\frac{1}{2}K_\text{IF,DPF}(1-K_\text{SM,DPF})\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}\\ &=&\frac{1}{2}\lambda_\text{SM,DPF,lat}\lambda_\text{IF,DPF}T_\text{lifetime} \end{eqnarray}\tag{474.5} $$ なお、式変形中に弊社積分公式を使用しています。

(474.5)は図474.2に引用する規格第2版式のPattern 1と正確に一致します。

図%%.2
図474.2 規格第2版式

さらに(474.5)は、図474.3に引用する規格初版第1式のパターン1に相当する部分(図の黄色部分)とも(IF⇒mと読み替えることにより)正確に一致します。

図%%.3
図474.3 規格初版式第1式

このようにCTMCを用いて、時刻$t$におけるDPF確率密度を0から車両寿命まで積分する方法のほうが、ずっと簡単でわかりやすいです。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

規格第2版のPMHF式の疑問 (9)

posted by sakurai on April 14, 2022 #473

パターン3, 4

パターン3, 4は計算をするまでもなく、IFとSMの修理性を逆にすれば結果は明らかで、パターン3は1から、パターン4は2から求められます。ただし、パターン1と異なり、パターン3にはSM1によって緩和されない場合は含まないと書かれています。言うまでも無く、IFのフォールトがSM1によって緩和されない場合はRFとなり、DPFとならないためです。

  • Pattern 3: IF⇒SM1の順にフォールトが発生し、IFのフォールトはSM1によって緩和されるが通知されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
  • Pattern 4: IF⇒SM1の順にフォールトが発生し、IFのフォールトは、SM1によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

パターン3及び4の、計算結果式のみを以下に示します。 $$ M_\text{PMHF,P3} =\frac{1}{2}\lambda_\text{IF,DPF,lat}\lambda_\text{SM,DPF}T_\text{lifetime} \tag{473.1} $$ $$ M_\text{PMHF,P4} =\frac{1}{2}\lambda_\text{IF,DPF,det}\lambda_\text{SM,DPF}T_\text{service} \tag{473.2} $$

結論

弊社での計算結果、規格第2版PMHF式はパターン1, 3は結果は正しく(修理性の前提は誤っていますが)、パターン2, 4は前提も結果も誤っていることが確認できました。 図473.1に2nd editionの式を示します。

図%%.1
図473.1 2nd Edition PMHF式

まとめとして以下にパターン1~4として(470.2), (472.2), (473.1), (473.2)の総和を示します。 $$ \begin{eqnarray} M_\text{PMHF,DPF}=\img[-1.35em]{/images/withinseminar.png} \end{eqnarray} \tag{473.3} $$

ただし、両方ともIFまたはSMの片方が非修理系という誤った(?)前提に立っている式となります。本来の2nd editionの式は、IFもSMも修理系であると考えます。これは記事#313等で指摘済みの事項です。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

規格第2版のPMHF式の疑問 (8)

posted by sakurai on April 12, 2022 #472

パターン2

続いてパターン2です。前稿の続きです。

  • Pattern 2: SM1⇒IFの順にフォールトが発生し、SM1のフォールトは、SM2によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

これはSM1のフォールトが2nd SMの定期周期$T_\text{service}$により検査され、検出割合は$K_\text{SM,DPF}$でありその全量が修理されるパターンです。時刻パラメータ$t$が最初のSMのフォールトが起きた時刻、$t'$がVSGとなる2つ目のIFのフォールトが起きた時刻とします。

図%%.1
図472.1 2nd editionパターン2マルコフ図

まずIFについては前稿と同様です。IFの$LAT2S$での状態確率は、 $$ \Pr\{\text{IF in }LAT2S\}=\Pr\{\text{IF up at }t'\cap\text{VSG of IF prevented}\}=K_\text{IF,DPF}R_\text{IF}(t') \tag{472.1} $$ $LAT2S$から$DPF1S$への微小時間での遷移確率は、IFがDPFする場合であり、 $$ \Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF up at }t'\cap\text{VSG of IF prevented}\}=\lambda_\text{IF}dt' \tag{472.2} $$

規格のとおりIFの確率を求めるには、IFは時刻$0$から$t'$まではフォールトせず(解説書の$t$は誤り)、かつ、IFに関するDPF確率密度を$t$から$t+T_\text{service}$まで$t'$について積分し、$t$で表します。

実はここに誤りがあり、期間を$t$から$t+T_\text{service}$とすると、SM1⇒IFの順のフォールトだけでなく、その逆順のフォールトも含まれます。

その理由は、パターン2は検出可能部分のSM1のフォールトなので、期間間隔$T_\text{service}$内にDPF、すなわち1つめのSM1のフォールトと2つめのIFのフォールトが両方共起きる必要があります。図472.1の$OPRS$から$LAT2S$、さらに$LAT2S$から$DPFS$までを1回の間隔$T_\text{service}$内で遷移する必要があります。

また、その順序もSM1⇒IFと決まっています。SM1のフォールトが起きた時のIFのフォールト生起確率という条件付き確率であれば良いのですが、そうではなくIFとSM1のフォールト確率は独立とするならば、期間間隔$T_\text{service}$を考えるとSM1⇒IFだけでなくIF⇒SM1も含まれてしまいます。従って、半分の期間間隔$\frac{1}{2}T_\text{service}$を考えるか、または期間間隔$T_\text{service}$での確率を求めて0.5をかけるのが正解です。従って後者をとれば、 $$ \Pr\{\text{IF fails }\bbox[#ffccff,2pt]{\text{last}}\text{ in }[t', t'+T_\text{service}])=\frac{1}{2}\Pr\{\text{IF down in }[t', t'+T_\text{service}]) $$

従って、(472.1)、(472.2)から、IFの後故障確率の$t$の時の値は $$ \require{cancel} \frac{1}{2}K_\text{IF,DPF}\int_t^{t+T_\text{service}}R_\text{IF}(t')\lambda_\text{IF}dt'=\frac{1}{2}K_\text{IF,DPF}\int_t^{t+T_\text{service}}f_\text{IF}(t')dt'\\ =\frac{1}{2}K_\text{IF,DPF}\left[F_\text{IF}(t')\right]^{t+T_\text{service}}_t=\frac{1}{2}K_\text{IF,DPF}\left[F_\text{IF}(t+T_\text{service})-F_\text{IF}(t)\right]\\ \approx\frac{1}{2}K_\text{IF,DPF}\left[\lambda_\text{IF}(\bcancel{t}+T_\text{service}\bcancel{-t})\right]=\frac{1}{2}K_\text{IF,DPF}\lambda_\text{IF}T_\text{service} \tag{472.3} $$

次に、SMの$OPRS$での状態確率は、$u\equiv t\bmod T_\text{service}$とすれば、 $$ \Pr\{\text{SM in }OPRS\}=\Pr\{\text{SM is up at }u\}=R_\text{SM}(u) \tag{472.4} $$

$OPRS$から$LAT2S$への微小時間での遷移確率は、SMがフォールトする場合であり、 $$ \Pr\{\text{SM down in }(u, u+du]\ |\ \text{SM is up at }u\}=K_\text{SM,DPF}\lambda_\text{SM}du \tag{472.5} $$

次にIFとSMのフォールトは独立事象であるため、IFの確率とSMの確率の積をDPF確率として、$0$から$T_\text{lifetime}$まで積分するがSMの確率は周期$T_\text{service}$でゼロとなるため、$T_\text{lifetime}$中には$n\equiv\frac{T_\text{lifetime}}{T_\text{service}}$回存在します。従って(472.3)~(472.5)を用いて、 $$ \require{cancel} M_\text{PMHF,P2}\approx\frac{1}{\bcancel{T_\text{lifetime}}}\frac{\bcancel{T_\text{lifetime}}}{\bcancel{T_\text{service}}}\int_0^{T_\text{service}}K_\text{SM,DPF}R_\text{SM}(u)\lambda_\text{SM}\frac{1}{2}K_\text{IF,DPF}\lambda_\text{IF}\bcancel{T_\text{service}}du\\ =\frac{1}{2}K_\text{SM,DPF}K_\text{IF,DPF}\lambda_\text{IF}\int_0^{T_\text{service}}f_\text{SM}(u)du\\ \approx\frac{1}{2}K_\text{IF,DPF}K_\text{SM,DPF}\lambda_\text{IF}\lambda_\text{SM}T_\text{service}\\ =\frac{1}{2}\lambda_\text{SM,DPF,det}\lambda_\text{IF,DPF}T_\text{service} \tag{472.6} $$

これは図104.2の初版PMHF式(パターン1, 2のみ)の、DPFにおけるパターン2に相当する部分と(IF⇒m, $\tau_\text{SM}$⇒$T_\text{service}$と読み替えることにより)正確に一致します。

図%%.1
図472.2 1st edition規格第1式

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

ほぼ同様な議論ですが、記事#477に再掲します。


左矢前のブログ 次のブログ右矢

規格第2版のPMHF式の疑問 (7)

posted by sakurai on April 11, 2022 #471

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の解読を行います。この記事の続きです。

パターン1

パターン1を規格に従って計算します。

  • Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。

規格にはマルコフ図が記載されていないので推測すると、パターン1は、SM1のフォールトが2nd SM(SM2)で検出されないため、SM1のフォールト全体に対するパターン1の割合は$1-K_\text{SM,DPF}$となり、マルコフ図は以下のようになります。時刻パラメータ$t$が最初のSMのフォールトが起きた時刻、$t'$がVSGとなる2つ目のIFのフォールトが起きた時刻とします。

図%%.1
図471.1 2nd editionパターン1マルコフ図

規格によるPMHFの求め方は、
1. 後に起きるIFのフォールトの確率密度を$t$から$T_\text{lifetime}$まで$t'$について積分し$t$で表します。$t'$まではIFはフォールトしないことに注意します。
2, 先に起きるSMのフォールトの確率密度を0から$T_\text{lifetime}$まで$t$について積分します。

まず、IFの$LAT2S$での状態確率は、 $$ \Pr\{\text{IF in }LAT2S\}=\Pr\{\text{IF up at }t'\cap\text{VSG of IF prevented}\}=K_\text{IF,DPF}R_\text{IF}(t') \tag{471.1} $$ $LAT2S$から$DPF1$への微小時間での遷移確率は、IFがDPFする場合であり、 $$ \Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF in }LAT2S\}\\ =\Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF up at }t'\cap\text{VSG of IF prevented}\}\\ =\Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF up at }t'\}=\lambda_\text{IF}dt' \tag{471.2} $$

規格のとおりIFの確率を求めるには、IFは時刻$0$から$t'$まではフォールトせず(解説書の$t$は誤り)、かつ、$t'$から$T_\text{lifetime}$までにフォールトする確率となります。

従って、(471.1)、(471.2)から、IFの後故障の確率を求めると $$ K_\text{IF,DPF}\int_t^{T_\text{lifetime}}R_\text{IF}(t')\lambda_\text{IF}dt'=K_\text{IF,DPF}\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\\ =K_\text{IF,DPF}\left[F_\text{IF}(t')\right]^{T_\text{lifetime}}_t=K_\text{IF,DPF}\left[F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right]\\ \approx K_\text{IF,DPF}\lambda_\text{IF}(T_\text{lifetime}-t) \tag{471.3} $$ ところが、解説書パターン1では以下のようになっており、2か所の誤りが存在します。

図%%.2
図471.2 解説書パターン1のIFに関する計算部分

次にSMの$OPRS$での状態確率は、 $$ \Pr\{\text{SM in }OPRS\}=\Pr\{\text{SM is up at }t\}=R_\text{SM}(t) \tag{471.4} $$ $OPRS$から$LAT2S$への微小時間での遷移確率は、SMがフォールトする場合であり、 $$ \Pr\{\text{SM down in }(t, t+dt] | \text{SM is up at }t\}=(1-K_\text{SM,DPF})\lambda_\text{SM}dt \tag{471.5} $$

IFの項とSMの項を$0$から$T_\text{lifetime}$まで積分し時間平均すると、(471.3)~(471.5)を用いて、 $$ \require{cancel} M_\text{PMHF,P1}\approx\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\text{SM,DPF})R_\text{SM}(t)\lambda_\text{SM}K_\text{IF,DPF}\lambda_\text{IF}(T_\text{lifetime}-t)dt\\\ \approx\frac{1}{\bcancel{T_\text{lifetime}}}(1-K_\text{SM,DPF})K_\text{IF,DPF}\lambda_\text{IF}\lambda_\text{SM}\left[T_\text{lifetime}\bcancel{t}-\frac{1}{2}t^\bcancel{2}\right]_0^{T_\text{lifetime}}\\ =\frac{1}{2}K_\text{IF,DPF}(1-K_\text{SM,DPF})\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}\\ =\frac{1}{2}\lambda_\text{SM,DPF,lat}\lambda_\text{IF,DPF}T_\text{lifetime} \tag{471.6} $$

これは図104.2の初版PMHF式(パターン1, 2のみ)の、DPFにおけるパターン1に相当する部分と(IF⇒mと読み替えることにより)正確に一致します。

図%%.3
図471.3 1st edition規格第1式

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

ほぼ同様な議論ですが、記事#476に再掲します。


左矢前のブログ 次のブログ右矢

posted by sakurai on April 9, 2022 #470

次稿において、規格第2版のやり方に従ってPMHF計算をすると、新たに以下の2つの公式が必要になるので、公式の導出を示します。近似のポリシーは$\lambda$の2乗までを残すものとします。

No.1

$$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{SM}(t)f_\text{IF}(t)dt=\lambda_\text{SM}\lambda_\text{IF} \tag{470.1} $$ 証明:(470.1)に$f_\text{SM}(t)=\lambda_\text{SM}e^{-\lambda_\text{SM}t}$及び、$f_\text{IF}(t)=\lambda_\text{IF}e^{-\lambda_\text{IF}t}$を用いて、 $$ \require{cancel} \text{L.H.S of }(470.1)=\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}dt=\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}}\left[\frac{1}{\lambda_\text{IF}+\lambda_\text{SM}}e^{-(\lambda_\text{IF}+\lambda_\text{SM})t}\right]^0_{T_\text{lifetime}}\\ =\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}(\lambda_\text{IF}+\lambda_\text{SM})}\left(1-e^{-(\lambda_\text{IF}+\lambda_\text{SM})T_\text{lifetime}}\right)\approx\frac{\lambda_\text{SM}\lambda_\text{IF}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{IF}+\lambda_\text{SM})}}\bcancel{(\lambda_\text{IF}+\lambda_\text{SM})}\bcancel{T_\text{lifetime}} $$

No.2

$$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{SM}(t)R_\text{IF}(t)F_\text{IF}(t)dt=\frac{1}{2}\lambda_\text{SM}\lambda_\text{IF}T_\text{lifetime} \tag{470.2} $$ 証明:同様に、 $$ \text{L.H.S of }(470.2)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\lambda_\text{SM}e^{-\lambda_\text{SM}t}e^{-\lambda_\text{IF}t}(1-e^{-\lambda_\text{IF}t})dt\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}dt-\frac{\lambda_\text{SM}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+2\lambda_\text{IF})t}dt\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}}\left[\frac{e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}}{\lambda_\text{SM}+\lambda_\text{IF}}\right]^0_{T_\text{lifetime}}-\frac{\lambda_\text{SM}}{T_\text{lifetime}}\left[\frac{e^{-(\lambda_\text{SM}+2\lambda_\text{IF})t}}{\lambda_\text{SM}+2\lambda_\text{IF}}\right]^0_{T_\text{lifetime}}\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}(\lambda_\text{SM}+\lambda_\text{IF})}\left(1-e^{-(\lambda_\text{SM}+\lambda_\text{IF})T_\text{lifetime}}\right)-\frac{\lambda_\text{SM}}{T_\text{lifetime}(\lambda_\text{SM}+2\lambda_\text{IF})}\left(1-e^{-(\lambda_\text{SM}+2\lambda_\text{IF})T_\text{lifetime}}\right)\\ \approx\frac{\lambda_\text{SM}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{SM}+\lambda_\text{IF})}}\left(\bcancel{(\lambda_\text{SM}+\lambda_\text{IF})}\bcancel{T_\text{lifetime}}-\frac{1}{2}(\lambda_\text{SM}+\lambda_\text{IF})^\bcancel{2} T_\text{lifetime}^\bcancel{2}\right)\\ -\frac{\lambda_\text{SM}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{SM}+2\lambda_\text{IF})}}\left(\bcancel{(\lambda_\text{SM}+2\lambda_\text{IF})}\bcancel{T_\text{lifetime}}-\frac{1}{2}(\lambda_\text{SM}+2\lambda_\text{IF})^\bcancel{2} T_\text{lifetime}^\bcancel{2}\right)\\ =\lambda_\text{SM}\left(\bcancel{1}-\frac{1}{2}(\bcancel{\lambda_\text{SM}}+\bcancel{\lambda_\text{IF}})T_\text{lifetime}-\bcancel{1}+\frac{1}{2}(\bcancel{\lambda_\text{SM}}+\bcancel{2}\lambda_\text{IF})T_\text{lifetime}\right)=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime} $$ No.1, 2から、以下のような簡便公式が得られます。

$$ \int_0^{T_\text{lifetime}}f(t)dt\approx \lambda\int_0^{T_\text{lifetime}}dt \tag{470.3} $$

$$ \int_0^{T_\text{lifetime}}R(t)dt\approx\int_0^{T_\text{lifetime}}dt \tag{470.4} $$

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

Detectabilityの違い (2)

posted by sakurai on January 31, 2022 #449

ここまでRAMS 2020論文と2022論文をレビューしてきて、ポイントは1st SMと2nd SMのdetectabilityの違いで結果が変わることがわかります。それを以降でまとめます。

RAMS 2020論文

以下の表はRAMS 2020論文において、IFのfaultがSMにより検出されるかどうかを示しています。なお、1st SMのfaultは常にdetectableです。その時のDCは$K_\text{SM,MPF}$。

表449.1 RAMS 2020のDetectabilityの表
IF non-detectable (IFU) Partialy detectable (IFR)
1st SM IF non-detectable ($K_\text{IF,det}=0$)
2nd SM IF non-detectable ($K_\text{IF,MPF}=0$) IF detectable ($K_\text{IF,MPF}>0$)
PMHF equ. RAMS 2020 $(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\alpha$
(19), (221.9), (447.2)
$(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta$
(22), (222.9), (447.1)

$K_\text{IF,det}=0$(かつ$K_\text{IF,RF}=1$)のみなので、冗長時のみを考えておりあまり良くありません。$K_\text{IF,det}=1$も考える必要があります。

RAMS 2022論文

さらにRAMS 2022では$K_\text{IF,det}=1$を検討しました。特にMPF detectedを従来のLFと同一視するのではなく、SFとしました。そのためPMHF結果式も変わってきます。

ここで、1st SMがIF detectableであれば、そのDC(カバレージ)は$K_\text{IF,RF}$であり、一般に2nd SMまでは設置しないと思われます。逆に言えば2nd SMが必要なのは、1st SMのDCがゼロの時、つまりIF non-detectable ($K_\text{IF,det}=0)$であり、すなわち1st SMが主機能代替機能を持ついわゆる冗長の場合となります。

表449.2 Detectabilityの表($K_\text{IF,det}=1$を追加)
IF non-detectable (IFU) Partialy detectable (IFR) Fully detectable
1st SM IF non-detectable ($K_\text{IF,det}=0$) IF detectable ($K_\text{IF,det}=1$)
2nd SM IF non-detectable ($K_\text{IF,MPF}=0$) IF detectable ($K_\text{IF,MPF}>0$) -

次に1st SMがIF non-detectable ($K_\text{IF,MPF}=0$)であれば、2nd SMはIFフォールトのレイテント防止のため、なにがしかのDC(検出率、カバレージ)を持つと考えられます。上記表はそのDCがゼロの場合はIFUモデル、ゼロでない場合はIFRモデルとしましたが、そのDCを$K_\text{IF,MPF}$で表し、ゼロの場合と非ゼロの場合をまとめ、かつRAMS 2020及び2022のPMHF式を追加すれば、以下の表となります。

表449.3 DetectabilityとPMHF式の表
Partialy detectable (IFU/IFR) Fully detectable
1st SM IF non-detectable ($K_\text{IF,det}=0$) IF detectable ($K_\text{IF,det}=1$)
2nd SM Partialy detectable ($K_\text{IF,MPF}>=0$) -
PMHF equ. RAMS 2020 $(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta$ $(1-K_\text{IF,RF})\lambda_\text{IF}+\color{red}{2}K_\text{IF,RF}\alpha$
PMHF equ. RAMS 2022 $(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\alpha$

  • RAMS 2020では$K_\text{IF,det}=0$のみを検討したため、$K_\text{IF,det}=1$は薄墨色としています。
  • 1st SMがfully detectable ($K_\text{IF,det}=1$)において、RAMS 2022のPMHF値のDPF部分が$\frac{1}{2}$になっているのは、RAMS 2022においてMPF detectedの定義を変え、レイテントではなく完全にリペアラブルとしたためです。SMがレイテントになる部分はそのままですが、IFがレイテントになる部分が全て修理されるとしたため、半分になっています。

左矢前のブログ 次のブログ右矢

Detectabilityの違い

posted by sakurai on January 26, 2022 #448

$K_\text{IF,det}$の意味

ここで、$K_\text{IF,det}$の意味を考えてみます。

  • $K_\text{IF,det}=0$の時
    1st SMがIFのフォールトをVSGから$K_\text{IF,RF}$分だけpreventしているにも関わらず、1st SMの機能はIFのフォールトを検出しない場合。すなわち、1st SMはIF代替機能を持つはずであり、これは冗長構成と呼ばれる。冗長の場合は$K_\text{IF,RF}=1$となる。従って、$K_\text{IF,det}=0$かつ$K_\text{IF,RF}=1$。
    規格1st editionではこの場合は考慮されていなかったが、2nd editionで考慮されることになった。

  • $K_\text{IF,det}=1$の時
    1st SMがIFのフォールトをVSGから$K_\text{IF,RF}$分だけpreventしており、1st SMの機能はIFのフォールトを検出する場合。その検出率は$K_\text{IF,RF}$であり、すなわち、1st SMはIF代替機能を持たない。
    1st SMがフォールト検出機能を持つため、IFの2nd SMは不要($K_\text{IF,MPF}=0$)。一方、1st SMに対しては2nd SMが必要。これは規格の構造図、すなわち「1st SMがSM1であり2nd SMがSM2である図」に一致する。


左矢前のブログ 次のブログ右矢

posted by sakurai on January 12, 2022 #447

RAMS 2020

次にRAMS 2020でのPMHF式を示します。これは規格1st editionのIFUモデルをIFRモデルに拡張したものでした。ただし、表368.1で示せば、SM1 undetectableのみを扱います。従って、RAMS 2022で言う$K_\text{IF,det}=0$の時の式となります。

$$ \begin{eqnarray} \require{cancel} M_\text{PMHF,RAMS2020}&=&M_\text{PMHF,IFR}\\ &=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\mathrm{IF,RF}\beta \end{eqnarray}\tag{447.1} $$ ただし、 $$ \begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau],\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau],\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \end{eqnarray} \end{cases} $$ これは以前の式(222.9)と一致します。

一方、規格1st editionの式はIFUモデルであり、(447.1)において、$K_{\mathrm{IF,MPF}}=0$とおけば、$K_{\mathrm{MPF}}=K_\mathrm{SM,MPF}$であるから、$\beta=\alpha$となり、

$$ \begin{eqnarray} \require{cancel} M_\text{PMHF,1st edition}&=&M_\text{PMHF,IFU}\\ &=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,MPF}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\mathrm{IF,RF}\alpha\\ \end{eqnarray}\tag{447.2} $$ となります。これは2020論文(19)ですが、規格1st editionの第3の式に相当し、(221.9)と同一です。

RAMS 2020では$K_\text{IF,det}=0$の時しか検討しませんでしたが、RAMS 2022のベースである表375.1及びそれに基づくPMHF計算を用いて、$K_\text{IF,det}=1$の時も併せた式を示せば、 $$ \bbox[#ccffff,2pt]{M_\text{PMHF,RAMS2020}=(1-K_\text{IF,RF})\lambda_\text{IF}+ \color{red}{2}K_\text{IF,RF}K_\text{IF,det}\alpha+2K_\text{IF,RF}(1-K_\text{IF,det})\beta}\\ \tag{447.3} $$ となります。RAMS 2022との相違は(447.3)の係数2の違いとなります。


左矢前のブログ 次のブログ右矢

RAMS 2020とRAMS 2022の違い

posted by sakurai on January 10, 2022 #446

さて、RAMS 2022にRAMS 2020で発表したPMHF式を修正した式を投稿し採択されましたが、ここで両方の式をまとめておきます。便宜上RAMS 2022の式はより広い範囲をカバーするため、RAMS 2022の式から先に説明します。

RAMS 2022

RAMS 2022では、後述のRAMS 2020の式を拡張しました。具体的にはISPCE 2017で筆者が導入した$K_\text{IF,det}$を再び導入したものです。$K_\text{IF,det}$の意味は、1st SMのIFに対する機能であるVSG抑止能力に対する検出能力の比であり、以下のように条件付き確率で表される係数です。

$$ K_\text{IF,det}=\Pr\{\text{IF detected}\ |\ \text{IF prevented}\} $$

しかしながらこの条件付き確率はSMのアーキテクチャにより一意に決定され、 $$ K_\text{IF,det}= \begin{cases} \begin{eqnarray} &0&\ \ \text{if subsystem is redundant}\\ &1&\ \ \text{if subsystem is nonredundant} \end{eqnarray} \end{cases} $$ のように2値をとります。

この$K_\text{IF,det}$及び、$K_\text{IF,RF}$, $K_\text{IF,MPF}$を加えたIFに関するKパラメータ及び、$K_\text{SM,MPF}$のSMに関するKパラメータによりフォールトを分類し、以前示した表368.1を導出しています。

そして、$K_\text{IF,det}=1$の場合にMPF detectedをレイテントフォールト扱いとしないとして確率微分方程式を立て、それを解いています。その結果を示せば、 $$ \require{color} \bbox[#ccffff,2pt]{M_\text{PMHF,RAMS2022}=(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}K_\text{IF,det}\alpha+2K_\text{IF,RF}(1-K_\text{IF,det})\beta\\ } \tag{446.1} $$ ただし、 $$ \begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau],\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau],\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \end{eqnarray} \end{cases} $$

これにおいて、まずnon redundantの場合である$K_\text{IF,det}=1$とすれば、

$$ \begin{eqnarray} M_\text{PMHF,NRD}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=1}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\alpha \end{eqnarray}\tag{446.2} $$ これは(374.1)と同一です。

他方、redundantの場合である、$K_\text{IF,det}=0$かつ$K_\text{IF,RF}=1$とすれば、 $$ \begin{eqnarray} M_\text{PMHF,RD}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,RF}=1}\\ &=&2\beta \end{eqnarray}\tag{446.3} $$ これは(374.2)と同一です。

また、IFRモデルでは、 $$ \begin{eqnarray} M_\text{PMHF,IFR}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta\\ \end{eqnarray}\tag{446.4} $$ これは2020論文(22)、(108.2)及び(222.9)と同一です。

さらにIFUモデルでは、 $$ \begin{eqnarray} M_\text{PMHF,IFU}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,MPF}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\alpha \end{eqnarray}\tag{446.5} $$ これは2020論文(19)、(221.9)と同一です。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 29, 2021 #444

図%%.1

On October 26, 2021, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Nagoya, Japan), a leading provider of ISO 26262 functional safety (Note 1) consulting services, was accepted at the 68th RAMS (RAMS 2022: Note 2). RAMS 2022 will be held in Tucson, Arizona, U.S.A., from January 24 to 27, 2022, and is sponsored by the Reliability Society of IEEE (Note 3).

図%%.2

Atsushi Sakurai received the Best Paper Award at the 14th ISPCE (ISPCE 2017: Note 4), an international conference on Product Safety of IEEE in 2017. In addition, his papers have been accepted to RAMS for three consecutive years since 2020. The title of the paper for RAMS 2022 is "Formulas of the Probabilistic Metric for Random Hardware Failures (PMHF: Note 5) to Resolve a Dilemma in ISO 26262."

Although the PMHF formula was revised in the second edition of ISO 26262, which took effect in 2018, its mathematical definition was not fully described. Atsushi Sakurai clarified the ambiguity in the second edition and derived a new PMHF equation in his paper in 2020. However, this equation is based on the assumption that detected multipoint faults (MPFs: Note 6) are considered as latent faults (LFs: Note 7), which is also present in the second edition of the standard. However, this assumption contradicts the latent fault metric (LFM: Note 8) specified in the standard itself.

This paper aims to solve the dilemma of this standard and strengthen the previous paper by deriving a new PMHF formula based on the assumption that the detected MPF is not a LF. This formula is expected to evaluate the PMHF value correctly, to reduce the design constraint on the Emergency Operating Time Tolerance Interval (EOTTI: Note 9) by 40 times, and to minimize the design effort in fault-tolerant systems (Note 10).

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures. ISO 26262 is an international standard for functional safety for automotive electrical and electronic equipment.
Note 2: RAMS stands for The Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 3: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 6: MPF stands for Multiple-point Fault, which is a fault that does not violate the safety goal at a single point, but becomes a violation of the safety goal when multiple faults are combined.
Note 7: LF stands for Latent Fault. Among MPFs, it is a fault that is not detected by the safety mechanism.
Note 8: LFM stands for Latent Fault Metric, which is a coverage of how many LFs are in the system and how many of them can be detected, and is one of the design target values for hardware in ISO 26262.
Note 9: EOTTI stands for Emergency Operation Tolerant Time Interval. It is a time interval during which a violation of safety objectives will not occur if the system is repaired or switched to an alternative process within this period.
Note 10: A fault-tolerant system is a safety-enhancing system that can substitute the original function without immediately losing the function in the event of a failure.


左矢前のブログ 次のブログ右矢


ページ: