それでは現実の回路でのトライアルを行います。まず受動部品から成るエレメントELEM1を取り上げます。 受動部品には以下のように抵抗とキャパシタが含まれます。

原始シート準備

エクセルシートを新規に開き、部品情報をSheet1のA1からB12まで並べます。並べるとSheet1は以下の図のようになります。

BED

準備としてSheet2に基本事象の部分を作成します。A1セルに

=IF(Sheet1!A1<>"",CONCATENATE(Sheet1!A1,", ",Sheet1!A1," ",Sheet1!B1,", TEST"),"")

この式を入れ行コピーを必要分行います。するとSheet2は以下の図のようになります。

Sheet2をコピーし、以下のようにBEDファイルの* Name ...のコメント行以下にペーストします。

*Saphire 8.2.9
TEST =
* Name , Descriptions , Project
C1000, C1000 Capacitor, TEST
C1001, C1001 Capacitor, TEST
R1000, R1000 Resistor, TEST
R1001, R1001 Resistor, TEST
R1002, R1002 Resistor, TEST
R1003, R1003 Resistor, TEST
C1010, C1010 Capacitor, TEST
C1011, C1011 Capacitor, TEST
R1010, R1010 Resistor, TEST
R1011, R1011 Resistor, TEST
R1012, R1012 Resistor, TEST
R1013, R1013 Resistor, TEST

BEI

準備としてSheet3に基本事象情報の部分を作成します。A1セルに

=IF(Sheet1!A1<>"",CONCATENATE(Sheet1!A1, ", 3, , , 0.000E+000, 0.000E+000, ",Sheet1!C1,"E-9",", 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST"),"")

この式を入れ行コピーを必要分行います。するとSheet3は以下の図のようになります。

Sheet3をコピーし、以下のようにBEIファイルの* Name ...のコメント行以下にペーストします。

*Saphire 8.2.9
TEST =
* Name ,FdT,UdC ,UdT, UdValue, Prob, Lambda, Tau, Mission, Init,PF, UdValue2, Calc. Prob, Freq, Analysis Type , Phase Type , Project
C1000, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1001, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1000, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1001, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1002, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1003, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1010, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1011, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1010, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1011, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1012, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1013, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST

FTD

FTDは他のファイルと同一の以下のようなファイルです。

TEST =
* Name , Description, SubTree, Alternate, Project
ELEM1, PVSG of ELEM1 , , , TEST

FTL

FTLはシンプルなので、エクセルシートで事前生成をする必要はありません。Sheet1のA列のみを以下のようにFTLの3行目の"ELEM1 OR"の次の行からコピーします。

TEST, ELEM1=
ELEM1 OR
C1000
C1001
R1000
R1001
R1002
R1003
C1010
C1011
R1010
R1011
R1012
R1013
^EOS

GTD

中間ゲートが無いため本ファイルは不要です。

MARD

MARDを図912.7に示します。

TEST_Subs\TEST.BED
TEST_Subs\TEST.BEI
TEST_Subs\TEST.FTD
TEST_Subs\TEST.FTL

前のブログ 次のブログ

はじめに

過去記事の再トライアルとなります。なぜ再トライアルかというと、4年が経ちSAPHIREの版数も上がったので、ファイルに互換性が無くなったようです。そのためFault Treeを外部から生成する方法を本記事で確立します。

過去記事で「MAR-D(各種データ)の一括インポートにより、完全なFTが構成できるようです。」と書きましたが、これは変わりません。また対象FTも同一のもの(図911.1)とします。

図911.1のFTをテキストファイルで入力するためには

• .BED --- Basic Eventの説明等の記述
• .BEI --- Basic Eventの情報、故障率やミッション時間等
• .FTD --- Fault Treeの説明等の記述
• .FTL --- 木の構造
• .GTD --- Top Event、中間ゲートの説明等の記述
• .MARD --- 上記5種のリストを記述

の6種のファイルが必要です。図911.2～911.6に示すファイルを用意し、そのリストを図911.7のMARDファイルとしてMARDをloadすると、図911.1のFTが生成されました。以下に一つずつ文法例を解説します。先頭に*がある行はコメント行を表します。

BED

図911.2のBEDは基事象の定義で、3種類の基事象の名前と説明を記述します。

*Saphire 8.2.9
TEST =
* Name , Descriptions , Project
BE01 , Failure of 01 , TEST
BE02 , Failure of 02 , TEST
BE03 , Failure of 03 , TEST
TOP , PVSG of top , TEST

BEI

図911.3のBEIは基事象の故障モデル、故障率、ミッション時間を記述します。赤字は故障率、青字はミッション時間です。

*Saphire 8.2.9
TEST =
* Name ,FdT,UdC ,UdT, UdValue, Prob, Lambda, Tau, Mission, Init,PF, UdValue2, Calc. Prob, Freq, Analysis Type , Phase Type , Project
BE01 , 3, , , 0.000E+000, 0.000E+000, 1.234E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.234E-004, , RANDOM , CD , TEST
BE02 , 3, , , 0.000E+000, 0.000E+000, 2.345E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 2.345E-004, , RANDOM , CD , TEST
BE03 , 3, , , 0.000E+000, 0.000E+000, 3.457E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 3.456E-004, , RANDOM , CD , TEST
TOP , 1, , , 0.000E+000, 1.000E+000, 0.000E+000, 0.000E+000, 0.000E+000, , , 0.000E+000, 1.000E+000, , RANDOM , CD , TEST

ここで、図911.3中のFdtは、表911.1(一部のみ)により規定される故障計算タイプです。

図911.4はFT全体の定義を示すFTDファイルで、FTの名前と説明を記述します。

TEST =
* Name , Description, SubTree, Alternate, Project
TOP , PVSG of top , , , TEST

FTL

図911.5にFTの木構造であるFTLを記述します。

TEST, TOP =
TOP OR TOP0 BE03
TOP0 AND BE01 BE02
^EOS

GTD

図911.6のGTDにゲートの名前と説明を記述します。

TEST=
* Name , Description, Project
TOP, PVSG of top, ,TEST
TOP0, DPF of 01 and 02, ,TEST
TOP01, DPF of 01 and 02, ,TEST

MARD

最後のMARDを図911.7に示します。前述のように、TESTフォルダのSubsフォルダに各種ファイルをまとめ、一括ロードするためのリストです。

TEST_Subs\TEST.BED
TEST_Subs\TEST.BEI
TEST_Subs\TEST.FTD
TEST_Subs\TEST.FTL
TEST_Subs\TEST.GTD

おわりに

ツールの入力としてはDescriptionに日本語が入るようになって便利にはなりました。一方でimportにおいては日本語が化けるため、自動生成の場合、Descriptionに日本語が使用できません。4年前に日本語入力を依頼した時点では、日本語の入力の改修に対してネガティブな返答でしたが、機会があれば要求したいと思います。

前のブログ 次のブログ

PMHFの算出法について以下の動画を見つけました。どうやらコンサル会社のビデオのようです。https://youtu.be/ndG1Kcc89hs

メディニアナライザを使用したようですが、PMHFの値は一見して誤っています。

表の数値を見る限り、計算方法はSPFとDPFを加えて $$ PMHF=\lambda_\text{SPF}+\lambda_\text{MPF, latent} $$ となっているようです。

この誤りは大変多く、過去にも

• https://fs-micro.com/post/show/id/324.html
• https://fs-micro.com/post/show/id/325.html
• https://fs-micro.com/post/show/id/326.html

と複数あり、それらの誤りは以下の論文$\dagger$が元凶のようです。

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

一方、以下に前記事にもあるようにPart 5のAnnex Fに掲載されている近似式を示します。 $$ PMHF=\lambda_\text{SPF}+\lambda_\text{MPF, latent}\cdot\lambda_\text{MPF, detected}\cdot T_\text{lifetime} $$ この式はSPFとDPFを正しく意識し、それぞれを確率に直してから加え、最後に車両寿命で割っています。

それにしてもPMHFを算出する人たちはなぜ規格Part 10の、もしくはPart 5(上記)の式を用いずに、誤りの論文$\dagger$の式を参照するのでしょうか？参考にするならせめて規格式を参考にすれば良いと思うのですが。

前のブログ 次のブログ

On October 29, 2024, FS Micro Corporation※1 announced that a research paper by President and CEO Atsushi Sakurai has been accepted at RAMS※2, an international conference organized by the IEEE※3 Reliability Society.

This marks the sixth consecutive year that a paper by Atsushi Sakurai has been accepted at RAMS. The paper is scheduled for presentation at RAMS 2025, to be held on January 28, 2025, in Florida, USA.

This paper focuses on the PMHF※4 formula in ISO 26262※5. In ISO 26262, the PMHF is positioned as a critical metric for evaluating the safety of automotive systems, yet its derivation process is not thoroughly explained. Since 2011, Atsushi Sakurai has been addressing this issue and proposed a more accurate formula for the PMHF at RAMS 2020.

In this paper, the behaviors of the two stochastic processes, the PUA※6 and the PUD※7, under periodic inspection are analyzed in detail, and rigorous formulas for these processes are derived. Furthermore, the paper compares the rigorous formulas with the proposed approximate formulas, demonstrating the effectiveness of the approximate formulas in practical PMHF calculations.

The proposed PMHF formula provides higher accuracy while also allowing for improved design constraints. Therefore, this research is expected to make a significant contribution to enhancing the reliability of automotive systems.

Notes
※1: FS Micro Corporation (Headquarters: Nagoya, Japan; President and CEO: Atsushi Sakurai) is a consulting firm specializing in functional safety (a methodology for ensuring that equipment function correctly by implementing various safety measures) for automotive systems.
※2: RAMS (the Reliability and Maintainability Symposium) is an international conference on reliability engineering held annually by the IEEE Reliability Society. The 71st conference will take place in 2025. For more information: https://rams.org/
※3: IEEE is the abbreviation for the Institute of Electrical and Electronics Engineers, the world's largest professional technical organization dedicated to advancing technology. For more information: https://ieee.org/
※4: PMHF stands for Probabilistic Metric for Random Hardware Failures, a key metric under ISO 26262. It represents the time-averaged probability of hazardous system failures over a vehicle’s lifetime.
※5: ISO 26262 is an international standard for functional safety of automotive electronic and electrical systems, aiming to reduce the risk of hazardous events occurring while driving to an acceptable level due to system failures.
※6: PUA or the Point Unavailability, one of the stochastic processes that define the PMHF. It represents the probability that a system is in a failed state at a specific point in time.
※7: PUD or the Point Unavailability Density, another stochastic process that defines the PMHF. It represents the probability density of unavailability.

Contact Information
Company Name: 　　　　FS Micro Corporation
Representative: 　　　　 Atsushi Sakurai
Date of Establishment: 　August 21, 2013
Capital: 　　　　　　　　32 million yen
Business Description: 　Consulting services and seminars on functional safety for automotive electronic devices in compliance with ISO 26262
Head Office Address: 　 4-1-57 Osu, Naka-ku, Nagoya, Aichi 460-0011, Japan
Phone: 　　　　　　　　+81-52-263-3099
Email: 　　　　　　　　 info@fs-micro.com
URL: 　　　　　　　　　https://fs-micro.com/

前のブログ 次のブログ

2024年10月29日、FSマイクロ株式会社※1は、代表取締役桜井厚による論文が、IEEE※2 信頼性部会主催の国際学会RAMS※3 において採択されたことをお知らせします。

桜井厚の論文がRAMSに採択されるのは今回で6年連続となります。本論文は2025年1月28日に米国フロリダ州で開催されるRAMS 2025にて発表予定です。

本論文はISO 26262※4 のPMHF※5 公式に関する研究です。ISO 26262において、PMHFは車載システムの安全性を評価する重要な指標として位置づけられていますが、その導出過程は十分に説明されていません。桜井厚は2011年からこの課題に取り組み、RAMS 2020においてPMHFのより精度の高い式を提案しました。

本論文では、定期検査下での2つの確率過程であるPUA※6およびPUD※7の挙動を詳細に分析し、その厳密な公式を導出しています。さらに、厳密式と提案する近似式を比較検証し、近似式が実際のPMHF計算においても有効であることを示しました。

提案するPMHF式はより精度が高い式でありながら、設計制約の改善が見込めます。そのため、本研究を通じて、提案するPMHF式が自動車の信頼性向上に大きく貢献することが期待されます。

【注釈】
※1：FSマイクロ株式会社 (本社：名古屋市、代表取締役：桜井厚)は車載システムの機能安全(様々な安全方策を実施することにより、機器が正しく動作することを担保する方法論)に関するコンサルティングを提供する会社です。
※2：IEEEはInstitute of Electrical and Electronics Engineers(電気電子技術者協会）の略称で、技術の進歩を推進する世界最大の専門技術組織です。詳しくはhttps://ieee.org/
※3：RAMS(the Reliability and Maintainability Symposium)は信頼性・保守性シンポジウムの略称で、IEEE信頼性部会が毎年主催する信頼性工学に関する国際会議です。第71回の会議は2025年に開催されます。詳しくはhttps://rams.org/
※4：ISO 26262は車載電気電子システムの機能安全に関する国際規格で、システムの故障により車両の運転中に危険な事象が発生するリスクを許容できる水準まで低減することを目的としています。
※5：PMHFはProbabilistic Metric for Random Hardware Failures(ハードウェアのランダム故障に対する確率的指標)です。これはISO 26262におけるハードウェアの設計目標値の一つで、車両寿命間のシステム故障の時間平均確率を表します。
※6：PUAはPoint Unavailability(点不稼働度)の略で、PMHFを定義する確率過程の一つです。特定の時点でシステムが故障状態にある確率です。
※7：PUDはPoint Unavailability Density(点不稼働度密度)の略で、PMHFを定義する確率過程の一つです。点不稼働度の確率密度を示します。

【お問い合わせ先】
会社名　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円(資本準備金を含む)
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 https://fs-micro.com/

前のブログ 次のブログ

RAMSポータルに例年どおりプログラム表が掲載されました。

会場となるヒルトンのボールルームの写真です。

前のブログ 次のブログ

再度、重要項目の3項目めです。

ハードウェアメトリクスの目標値は、分解したからといって変わるものではない。多くの人はこのことを理解していない。

同感ですね。規格にはPart 9 5.4.5にこれが記されています(図781.1)。

規格5.4.5のDeepLによる翻訳を示せば、

5.4.5 ISO 26262-5 に従ったハードウェアアーキテクチャメトリクスの評価と、ランダムハードウ ェア故障による安全目標違反の評価に関する要件は、ASIL 分解によって変更されない。

これは弊社でもお伝えしている、ASIL分解に関する重要なノウハウの一つであり、ハードウエアの目標値を変えない理由についての動画の解説は以下のとおりです。

フォールト・ツリー解析の観点で考えてみると、本当に独立した2つの並列パスがある場合、これらはAND接続される。数学的には、それぞれの故障率が少し高くなり、さらに故障率が少し高くなっても、一番上の故障率が低くなるというのは、利点になる。したがって、フォールトツリーの最上位イベントは変わらないが、定量的安全性解析を実行すればメリットが得られる。

「故障率が少し高くなる」とは何を言っているかわかりませんが、端的に言えば、

• 冗長な独立性のあるエレメントの故障確率を(FTAにより)算出すれば、故障確率の掛け算になるため目標値を下げなくても故障確率のほうが下がるため、目標値を下げる必要は無い

し、かつ下げてはならないということです。

具体例として、故障率$\lambda$=100[FIT]の対称な冗長チャネル(両チャネルの故障率が等しい)について車両寿命10万時間で考えます。単体チャネルでは100[FIT]ですが、2重故障(同時故障ではない)を考えると、

$$100[FIT]\cdot100[FIT]\cdot10\times10^4[H]=1.0\times10^{-7}\cdot1.0\times10^{-7}\cdot1.0\times10^5\\ =100\times10^{-9}\cdot\frac{1}{100}=100[FIT]\cdot\frac{1}{100}$$

となり、すなわち、元の100[FIT]の100分の一の1[FIT]となります。つまり、ASILや目標値を下げなくても(ASILデコンポジションの必須条件である)冗長構成によりサブシステムの故障率は1/100にできたと言えます。

前のブログ 次のブログ

同じ技術者の解説動画です。こちらには基本的に誤りはありません。2分間の動画で重要な事を3項目押さえているのでご紹介します。

英語のトランスクリプトを入手したので、画面と合わせて見てみましょう。以下はDeepLによるその翻訳です。

今回は、分解についてよく見られる誤解について少しお話ししたい。まず第一に、ISO26262で分解について話す場合、安全要件の分解について話している。ハードウェアを分解するわけでもなく、ソフトウェアを分解するわけでもなく、安全目標そのものを分解するわけでもない。分解するのは、ハードウェア安全要求事項、ソフトウェア安全要求事項、技術安全要求事項、FSRである。安全要件を分解することで、ハードウェアの独立した並列パスやソフトウェアの独立した並列パスが生まれる。これがよく見られる誤解のひとつだ。

ややはっきりしないところがありますが、好意的に解釈すれば最初に2つの重要な事項を述べています。

• ASIL分解は本当はASILを分解するのではなく、安全要求を分解し、その結果としてASILが分解「される」
• ASIL分解の原則である冗長性と独立性

引用の最後の部分、

安全要件を分解することで、ハードウェアの独立した並列パスやソフトウェアの独立した並列パスが生まれる。これがよく見られる誤解のひとつだ。

これがどう誤解なのかははっきりしません。ただ、ASIL分解の原則はさらっと述べていますが、以下の2つが重要です。これは規格の必須要求事項です。

• 冗長な安全要求に分解(動画では並列と表現)
• 安全要求が割り当てられたエレメントの独立性(動画では独立と表現)

次に、

もうひとつは命名法についてだ。命名法の重要な側面のひとつは、例えばASIL Dの安全要件まで構築する場合、ASIL Bのハードウエアを2つ使用するのであれば、それらのハードウエアにはASIL B of Dという命名法を使用しなければならないということだ。

いわゆるASIL-B(D)のような記法については、命名法が大事というよりは以下が重要です。これが3項目めです。

ハードウェアメトリクスの目標値は、分解したからといって変わるものではない。多くの人はこのことを理解していない。

前のブログ 次のブログ

同じ動画において、小さな誤りがあります。

考え方は合っていて、故障率を乗算してはならないことを述べています。以下のような故障率の乗算 $$ \lambda_\text{DPF,IF}\cdot\lambda_\text{DPF,SM,L}=100[FIT]\cdot1000[FIT] $$ ではなく車両寿命である1万時間をかけ、確率に直してから乗算します。 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} \definecolor{lime}{rgb}{0.8,1.0,0.8} \lambda_\text{DPF,IF}\cdot10^4\cdot\lambda_\text{DPF,SM,L}\cdot10^4=100[FIT]\cdot10^4[h]\cdot1000[FIT]\cdot10^4[h]\\ =100\times10^{-9}\cdot10^4\cdot1000\times10^{-9}\cdot10^4=10^{-3}\cdot10^{-2}=10^{-5}\\ =0.001\cdot0.01=\colorbox{lime}{0.00001} $$ ここまではFTAの数値と一致します。

故障率に直すにはこれを1万時間で割って、 $$ \lambda=\frac{\colorbox{lime}{0.00001}}{10^4[h]}=\frac{\colorbox{lime}{0.00001}}{10,000}[h^{-1}]=10^{-9}[h^{-1}]=1[FIT] $$ 黄色いマーカーの丸で囲んだうちのFTAの頂上事象確率はあっていますが、右横の丸内の数値が$\colorbox{pink}{0.0001}$となって誤っています。本来は$\colorbox{lime}{0.00001}$となるべきです。

前のブログ 次のブログ

同じ動画の中で、Part 5、Annex FのPMHFを紹介しています。

これによれば、$\lambda_\text{DPF,DP}\cdot\lambda_\text{DPF,L}$の項は一般的に非常に小さいからその2乗は無視できるとして無視していますが、それに掛けられる大きな車両寿命を無視しています。

現実にはDPF項はPMHFの数パーセントの部分を占めるため、大きいとは言えませんが無視して良いわけでもありません。これが無視できるのであれば、前稿で解説しているPart 10のPMHF式も図778.2に示すように同様に無視可能なはずです。こちらは無視できない場合としているようですが、それであればPart 5 Annex Fの式も同じ条件です。

このPart 5 Annex Fの近似式を評価した記事は過去記事に書いています。

前のブログ 次のブログ