Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on August 8, 2020 #288

ADASについての言及

続けてADASの具体例を書いた記事が見つかりました。

ブレーキの基本機能は ASIL D だろう。画像解析のエレメントは ASIL D なの?という疑問が生まれる。 プリクラッシュブレーキ システムはシステム全体としては ASIL D だろうから、ブレーキの基本機能は ASIL D のままで、画像解析エレメントは ASIL C(D) にデコンボジションしたとする。 その際にブレーキエレメントと画像解析エレメントは独立しており従属故障は起こらないと言えるのだろうか。


図%%.1
図288.1 図は弊社で作成

ASILデコンポジションの記事を読んで理解された方は指摘できると思いますが、これは1.及び2.の2条件が成立していません。再掲すれば、ASILデコンポジションが成立する条件は、

  1. 安全要求の冗長性
  2. 安全要求を割り当てられたエレメント間の独立性

の2条件(AND条件)が必要ですが、両方共成立していません。

そもそも安全目標や安全要求が書かれていないので、ASILアロケーションができないことがまず問題です。通常ADASであれば、例えば「意図しない急ブレーキ無き事」等の安全目標があるはずです。書かれていない安全要求を仮定し、RBDを描くと、ブレーキエレメントと画像解析エレメントは冗長(並列)関係ではなく、直列関係(従属)となります。従って、そもそもASILデコンポジションが成立していません。著者が心配しているとおり、画像解析エレメントの単一故障により従属故障が起き、システム全体が危険な状態に陥いるのは当然です。

この情報だけだとシステムの安全要求がASIL-Dであれば、画像解析エレメントもブレーキエレメントもASIL-Dとなり、それ以上のことは言うことはできません。この例に限らず、センサーとしてのCMOS撮像素子や画像認識サブシステムを(ASIL-Dにしたくないから)ASIL-Bとする、等のような、エレメントへの自由なASIL割り当て手法が業界で幅広く蔓延しているため、注意が必要です。

故障率についての言及

さらに幅広く見られる誤解として、前の記事と同様の誤りも見られ、

ハードウェアの故障はランダム故障の場合が多いから、もとのシステムと安全装置の故障が二重に起こる確率は下がる。部品の故障率ならば1万分の1×1万分の1で、10億分の1など。

故障率を確率と混同し、故障率を掛け算することができると誤解しています。故障率の次元は[1/H]なので、掛け算すると$[1/H^2]$というわけのわからない次元になってしまいます。正しくは、故障率([1/H])を故障確率(無次元)に直すために車両寿命([H])をかけた上で乗算する必要があります。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 7, 2020 #287

ASILデコンポジションについての言及

ASILデコンポジションでひっかかるネット上の文章で以下のようなものがありました。

ユーザーの安全確保を第一に考えれば、まずやるべきことはシステムを安全に関わる大事な部分とそうでない部分に分けて印を付けることだ。それが ASIL であり、コンポーネントも分解すれば危ない部分とそれほどでもない部分にわけることができるかもしれない、それが ASILデコンボジションだ。

ASILデコンポジションの記事をご覧頂ければわかるように、これはほとんど誤りです。ほとんどと言うのは、条件を追加すれば正しくもなる、曖昧な表記であるためです。以下に誤りと正しい場合の2通りを検討してみます。

まず第1にASILデコンポジションの記事でも説明しているように、最初に考えるべきことは安全要求です。その目で見ると、この文章では安全要求への言及が抜けていますが、それを補ったとして素直に読むと、

コンポーネントも分解すれば危ない部分(=安全要求の厳しい部分)とそれほどでもない部分(=安全要求の緩い部分)にわけることができる

と読めます。それぞれの安全目標毎にHA&RA(ハザード分析とリスク評価)を実施し、初めてASILが決定されるわけですが、安全目標毎に安全要求及びASILも変わります。それを安全要求の厳しい部分と緩い部分に分けるのは、安全要求のエレメントへの割り当て(=安全コンセプト)であり、通常の設計ですから、ASILデコンポジションとは何の関係もありません。

素直に読むと以上のように誤りですが、なんとか正しくなるように補って読んでみます。すると、

(ひとつの厳しい安全要求を、冗長な要求に分解し、それを互いに独立したエレメントに割り当る。すると)コンポーネントも分解すれば、危ない部分とそれほどでもない部分にわけることができるかもしれない、それが ASILデコンボジションだ

となり、かろうじて意味が通じることになりますが、重要な2点の条件を落としているので、ASILデコンポジションの説明になっていません。さらにその後を読んでいくと、

システムの中の大事な部分、安全を担っている部分をできるだけを機能ごとに凝集し、他のコンポーネントとの結合を疎にして、その大事なコンポーネントに関わる設計や検証に工数や費用を投入するのがよい。そのためにはシステム全体の安全に対する分析を最初に進める必要がある。

とあります。上記で重要な2点の条件を説明していないことを考慮すると、ASILデコンポジション共存の基準を混同しているようです。似たような概念なので混同するのもやむをえませんが、この2つをしっかり区別して理解することが必要です。


左矢前のブログ 次のブログ右矢

posted by sakurai on August 6, 2020 #286

表286.1はRAMS 2021正式採択までのマイルストーンであり、今後適宜更新します。

表286.1 RAMS 2021へのマイルストーン
年月日 マイルストーン 状態
2020/7/3 学会出席確認
2020/8/5 論文、プレゼン投稿締め切り(名前、所属無し版)
2020/9/7 第1回査読コメント受領
2020/10/2 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2020/10/6 学会出席登録締め切り
2020/10/13 最終査読コメント受領
2020/10/27 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

posted by sakurai on August 2, 2020 #285

表記の論文について、本年2020年1月にU.S.カリフォルニア州パームスプリングスで開催された、RAMS 2020において発表した論文は以下のところで公開中です。
https://www.xcdsystem.com/rams/proceedings2020/

著者リンクです。 以下が論文(魚拓)のURLです。
https://www.xcdsystem.com/rams/proceedings2020/pdfs/13E1-006.pdf

しかしながら、正規の発行場所であるIEEE Xploreにおいて半年たっても公開されないため、問い合わせを行いました。RAMS 2020の論文は、RAMS事務局からIEEE Xploreに7/22に到着したため、公開まで3、4週間待ってほしいとのこと。従って、IEEE Xploreで公開されるのは8/12~8/19あたりになると予想されます。こちらは有料になりますが、公開された後にこの記事に追記します。

[8/3追記]
以下でようやく公開されました。
https://ieeexplore.ieee.org/document/9153704


左矢前のブログ 次のブログ右矢

posted by sakurai on August 1, 2020 #284

Fault Tree図

次に論文中のFault Tree図を検証します。

図284.1に、論文中でFault Tree図と書かれている図を示します。図の中にあるように、これは故障率を示す図だそうですが、本来Fault Treeは確率図であるため、これは誤りです。

図%%.1
図284.1 論文中のFault Tree図
また、良くある誤りとして、故障率の2乗を計算しています。故障率の2乗の次元は$[1/H^2]$となるため、図284.1のように故障率$[1/H]$と足すことは、次元が合わないためできません。両辺を無次元の確率に直してから計算します。正しくは、 $$ \require{cancel} \lambda_\text{S}\bcancel{T_\text{lifetime}}=\lambda_\text{fD}\bcancel{T_\text{lifetime}}\cdot\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD}\bcancel{T_\text{lifetime}}\\ \therefore\lambda_\text{S}=\lambda_\text{fD}\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD} $$ となります。従って、$\lambda_\text{fUD}T_\text{lifetime}$がSPF/RF確率を、$\lambda_\text{fD}T_\text{lifetime}\cdot\lambda_\text{dUD}T_\text{lifetime}$がDPF確率を表すため、論文の式はDPF確率を過剰に低く評価しています。

さらに、次のFault Tree図は故障率も確率も(確立も)まぜこぜになっています。

図%%.2
図284.2 論文中のFault Tree図2

本来PMHFはハードウエア故障確率の目標値であるため、ソフトウエアについては故障確率で評価するのはおかしいのですが、ハードもソフトもまぜこぜになっています。

本論文の目的はASILデコンポジションにおける独立性の検討のようですが、独立性はIEC 61508-6のβファクタとして検討されており、それを適用すれば良いことになっています。もっともIEC 61508は化学プラントが対象のようであり、Part6のβファクタは非常に適用しにくいのですが、車載用電子機器のβファクタ表が無いため、これを援用するしかありません。

元に戻してASILデコンポジションは過去記事で検討していますが、以下の2つの要件が重要なので、再掲します。これに触れられていないデコンポジション議論には意味がありません。

  1. 安全要求の冗長性
  2. 安全要求の割り当てられたエレメント間の独立性

左矢前のブログ 次のブログ右矢

ASILデコンポジションの論文

posted by sakurai on July 31, 2020 #283

ASILデコンポジションの論文

ASILデコンポジションで検索すると上位に出てくる次の論文について考察します。 https://www.juse.or.jp/sqip/workshop/report/attachs/2006/3_3_report.pdf

第三分科会 機能安全グループ
安全関連システムの分割要件の考察
Consideration of requirement of decomposition for a safety related system

筆者は恐らくソフト屋さんなのでしょうか、誤りが見受けられます。

記事中の文章

図2は一般的な監視機構を表しているが、このシステムでは主機能システムの異常を監視システムが検出し、あらかじめ設定された安全状態(Safety State)にシステムを遷移させ、その状態を維持する。同様に監視システムの異常を主機能システムが検出し、 Safety State に遷移・維持する。これは監視システムの喪失が単一故障で即危険状態に至る潜在故障(Latent failure)を避けるためである。


図%%.1
図283.1 引用文中の"図2"

IFの故障により直ちにVSGとならないようにSMがIFの故障検出を行い、(FTTI中に)SSに遷移するというのは正しいです。また、SMの故障によりLFとならないように、IFが?(正しくは2nd SMだが、IFに2nd SMの機能が有ったとして)(MPFDI中に)故障検出を行うというのも、誤りではないです。

しかしながら、LFとならないようにSSに遷移する、という部分が誤りです。そもそもSMのフォールトは直ちに非安全状態になるものではなく、そのうち(!)に修理すれば良いわけです。そのためにMPFDIはかなり長時間、例えば1 vehicle trip時間(key onからkey offまで)を想定しています。SMはその定義上、故障しても直ちに危険事象を引き起こすことはないので、SSに遷移する必要はありません。

例えば ABS/VSA 等の電子制御のブレーキシステムにおいて故障を検出した時に、警告灯の表示で運転者に異常を知らせると共にシステムを機械式ブレーキシステム相当に戻した時の状態が、安全状態である。

警告灯が故障したからといって、いちいち機械式ブレーキに遷移しては、使い物になりません。この例に限りませんが、警告灯が故障したからといって、直ちに問題にはなりません。主機能である電子制御ブレーキシステムは正常に動作します。

とはいえ、システムはレイテント状態、つまりフォールトの待ち受け状態になっており、準危険状態なのでMPFDI中に検出し、修理する必要があります。MPFDIは「そのうち」と読み替えて良く、あまり危険度合いが高くないシステムであれば、次の車検の時でも良いでしょう。MPFDIの時間間隔は主機能と安全機構の故障率にも依存しており、PMHF式から逆算することが可能です。


左矢前のブログ 次のブログ右矢

RAMS 2021採択へのマイルストーン

posted by sakurai on July 20, 2020 #282

表282.1はRAMS 2021正式採択までのマイルストーンであり、今後適宜更新します。

表282.1 RAMS 2021へのマイルストーン
年月日 マイルストーン 状態
2020/7/3 学会出席確認
2020/8/5 論文、プレゼン投稿締め切り(名前、所属無し版)
2020/9/7 第1回査読コメント受領
2020/10/2 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2020/10/6 学会出席登録締め切り
2020/10/13 最終査読コメント受領
2020/10/27 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

posted by sakurai on June 23, 2020 #281

表記のとおり、2021年1月25日からフロリダ州オーランドのローズンプラザホテルで開催される予定のRAMS 2021(67th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されました。論文の内容は、今年1月に開催されたRAMS 2020で発表したPMHF式をFTAにどのように実装するかを明らかにするものです。まだ正式採択ではないため、これから論文をブラッシュアップしていくことになります。


左矢前のブログ 次のブログ右矢

$M_\text{PMHF}$の計算 (12)

posted by sakurai on March 27, 2020 #228

#223に示した理由により、本稿の議論は全て取り消します。

前稿において、(227.2)右辺第2項を(一部の係数を除き)展開すると、 $$ \require{cancel} \img[-1.35em]{/images/withinseminar.png}\\ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)tf_\text{IF}(t)dt \tag{228.1} $$ ここで、WolframAlphaによる級数展開を用いると、

integral_0^(τ) (1 - exp(-λ_2 t)) λ_1 exp(-λ_1 t) dt * (τ^-1)

$$ \frac{1}{\tau}\int_0^\tau F_2(t)f_1(t)dt \approx\frac{1}{2}\lambda_1\lambda_2\tau \tag{228.2} $$

integral_0^(τ) (1 - exp(-λ_2 t)) λ_1 exp(-λ_1 t) t dt * (τ^-1)

$$ \frac{1}{\tau}\int_0^\tau F_2(t)tf_1(t)dt \approx\frac{1}{3}\lambda_1\lambda_2\tau^2 \tag{228.3} $$

$$ (228.1)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\mathrm{SM}(t)tf_\text{IF}(t)+K_\text{SM,MPF}F_\mathrm{SM}(u)tf_\text{IF}(t)\right]dt\\ =\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(t)tf_\text{IF}(t)dt+\frac{K_\text{SM,MPF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(u)tf_\text{IF}(t)dt\\ \quad\text{s.t. }u:=t\bmod\tau\tag{228.4} $$ (228.4)右辺第2項を$t=i\tau+u, i=0,1,...,n-1,T_\text{lifetime}=n\tau$として$t$を$u$で表す変数変換を行うと、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(u)tf_\text{IF}(t)dt =\frac{1}{T_\text{lifetime}}\sum_{i=0}^{n-1}\int_0^\tau F_\text{SM}(u)(i\tau+u)f_\text{IF}(i\tau+u)du\\ =\frac{\tau}{T_\text{lifetime}}\sum_{i=0}^{n-1}ie^{-\lambda_\text{IF}i\tau}\int_0^\tau F_\text{SM}(u)f_\text{IF}(u)du+\frac{1}{T_\text{lifetime}}\sum_{i=0}^{n-1}e^{-\lambda_\text{IF}i\tau}\int_0^\tau F_\text{SM}(u)uf_\text{IF}(u)du\\ =\frac{1}{\bcancel{T_\text{lifetime}}}\left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^{\bcancel{3}2}\right)\left(\bcancel{\tau}\frac{\bcancel{T_\text{lifetime}}(T_\text{lifetime}-\tau)}{\bcancel{\tau}^\bcancel{2}}+\frac{\bcancel{T_\text{lifetime}}}{\bcancel{\tau}}\right)\\ =\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^2(T_\text{lifetime}-\tau+1) \tag{228.5} $$ (228.3)を(228.4)の第1項、(228.5)を第2項に用いて、

$$ (228.1)=\frac{1-K_\text{SM,MPF}}{\bcancel{T_\text{lifetime}}} \left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}^{\bcancel{3}2}\right) +K_\text{SM,MPF} \left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^2(T_\text{lifetime}-\tau+1)\right) \tag{228.6} $$


左矢前のブログ 次のブログ右矢

$M_\text{PMHF}$の計算 (11)

posted by sakurai on March 26, 2020 #227

#223に示した理由により、本稿の議論は全て取り消します。

前稿において、LAT2ではIFのAvailability(227.1で赤字で表示)は$R_\text{IF}(t)$でも$A_\text{IF}(t)$でもないことを解説しました。 $$ \overline{q_{\mathrm{DPF1,IFR}}}=\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)\color{red}{A_{\mathrm{IF}}(t)}\lambda_{\mathrm{IF}}dt \approx K_\text{IF,RF}\alpha \tag{227.1} $$ LAT2に来た時刻を$s$としたとき、$A_\text{IF}(s)R_\text{IF}(t-s)$で表される状態確率となりますが、問題は$s$が確率的に値を取ることです。これを消去するため、前稿(224.8)の結果を使用すれば、 $$ (227.1)=\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)\left(1-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)\right)R_\text{IF}(t)\lambda_\mathrm{IF}dt\\ =\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)\left(1-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)\right)f_\text{IF}(t)dt\\ =\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\left(1+\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}\tau\right)\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)f_\text{IF}(t)dt\\ -\frac{K_\mathrm{IF,RF}K_\text{IF,MPF}\lambda_\text{IF}}{2T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)tf_\text{IF}(t)dt \tag{227.2} $$ (227.2)右辺第1項は、積分公式から $$ \frac{K_\mathrm{IF,RF}}{2}\left(1+\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}\tau\right)\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}\tau\right]\tag{227.3} $$ (227.2)右辺第2項を(一部の係数を除き)展開すると、 $$ \require{cancel} \img[-1.35em]{/images/withinseminar.png}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\mathrm{SM}(t)tf_\text{IF}(t)+K_\text{SM,MPF}F_\mathrm{SM}(u)tf_\text{IF}(t)\right]dt\\ =\frac{(1-\bcancel{K_\text{SM,MPF}})}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt-\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-(\lambda_\text{IF}+\lambda_\text{SM})t}dt\\ +\bcancel{\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt}-\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t-\lambda_\text{SM}u}dt\\ =\frac{\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt-\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-(\lambda_\text{IF}+\lambda_\text{SM})t}dt\\ -\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t-\lambda_\text{SM}u}dt \quad\text{s.t. }u:=t\bmod\tau\tag{227.4} $$ (225.3)及び(226.1)の結果を用いて、 $$ (227.4)=\lambda_\text{IF}\left(\frac{T_\text{lifetime}}{2}-\frac{\lambda_\text{IF}T_\text{lifetime}^2}{3}\right)\\ -(1-K_\text{SM,MPF})\lambda_\text{IF}\left(\frac{T_\text{lifetime}}{2}-\frac{(\lambda_\text{IF}+\lambda_\text{SM})T_\text{lifetime}^2}{3}\right)\\ -K_\text{SM,MPF}\lambda_\text{IF}\img[-1.35em]{/images/withinseminar.png} \quad\text{s.t. }u:=t\bmod\tau\tag{227.5} $$


左矢前のブログ 次のブログ右矢


ページ: