Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
Even in the already published blog, we may modify and add appropriately.

確率論(5)

posted by sakurai on November 15, 2019

前記事の図181.1を生成したコードは以下のようなもので、i番目の部品が稼働していたら(life[i]==1)サイコロを振り、故障率で示される範囲に入っていたら故障とする(life[i] = 0)ものです。そのときの稼働時刻t-1を(tは不稼働時刻であるため)FFOTに格納します。

for (t = 0; t < TIMEMAX; t++) {
    for (int i = 0; i < IMAX; i++) {
        if ((life[i] == 1) && (genrand_real1() < lambda)) {
            life[i] = 0; // death
            ffot[i] = t-1;
        }
    }
}

コードを見るとわかるようにどこにも指数関数は使用していませんが、前図181.1のように指数分布になります。このことは過去記事(#1#5)でも解説しているように、簡単に示すことができます。ここで故障率$\lambda$は定数とします。

$$ R(t+1)-R(t)=-\lambda\cdot R(t)\\ \lim_{\Delta t\to 0}\frac{1}{\Delta t}\cdot[R(t+\Delta t)-R(t)]=\frac{dR(t)}{dt}=-\lambda\cdot R(t)\\ -\lambda=\frac{1}{R(t)}\frac{dR(t)}{dt}=\frac{d}{dt}\ln R(t)\\ -\int_{0}^{t}\lambda dx=-\lambda t=\ln R(t)+C\\ \therefore R(t)=e^{-\lambda t-C}=e^{-\lambda t}\\ $$ このように故障率を一定として微分方程式を立て、積分して分布関数を求めると、上記のように信頼度が求まります。不信頼度(CDF, 累積分布関数)は以下のようになります。 $$ F(t)=1-R(t)=1-e^{-\lambda t} $$


左矢前のブログ 次のブログ右矢

確率論(4)

posted by sakurai on November 14, 2019

確率変数

次は(実数)確率変数の定義です。

確率変数$X$は標本空間$\Omega$の要素に対して、実数値$\mathbb{R}$(正確には$\mathbb{R}^n$)を写像する関数で、その逆像が$\Omega$の部分集合となるような可測関数です。

$$X:\Omega\rightarrow\mathbb{R}$$

実は、サイコロを振った事象をJupyter Notebookで表せるように$\{1, 2\}$等としていましたが、本来はサイコロ事象なので、$\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}$等とすべきでした。しかし、これでは計算が困難なため、(根元)事象を数値にマッピングすると便利です。その写像が上記で定義した確率変数です。

具体例を示します。例えば確率変数がFailure Free Operating Time (無故障稼働時間)を表す時、部品が1,000個ある場合の故障状況を見てみます。ここで部品の故障率は皆同じで、$1.0\times 10^{-4}$とします。

縦軸は1,000個の部品番号((1)において)、横軸は時間$t$[h]です。図181.1 (1)は実の故障グラフ、図181.1 (2)はそれを故障した順番(つまりFFOの短い順)にソートしたものです。

図%%.1
図181.1 部品の故障グラフ

部品の故障はランダムに起きるので、図181.1 (1)はそれを表しています。ここでは修理が無いため故障した部品はもう故障しないので、故障していない部品のみが故障することから、上記のFFOの長さでソートすると、図181.1 (2)に示すとおり、一定の法則が見られます。これを確率分布(時間に関する確率分布は特に確率過程と呼ばれます)と呼び、故障率一定の場合は指数分布となります。


左矢前のブログ 次のブログ右矢

確率論(3)

posted by sakurai on November 13, 2019

ほとんど確実に

確率空間$(\Omega,\mathcal{F},P)$が定義されたので、確率が0になる事象に関して有用な概念をいくつか説明します。

ある事象$N\in\mathcal{F}$で、$P(N)=0$なるものをP零集合あるいは零事象と呼ぶ。

例えば、$\mathcal{F}=\{\varnothing, \{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}, \{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}, \{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}\}$であるときに、たまたま歪んだサイコロで、 $$ P(\{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\})=0 $$ であった場合、事象$N=\{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}$は零事象と呼びます。

ある事象$E\in\mathcal{F}$で、$P(E)=1$であるとき、$E\ (a.s.)$等と書き、Eはほとんど確実に起こるという。

上記零事象$N=\{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}$を全事象から除いた余事象$N^c=\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}$ですが、全事象ではないものの、 $$ P(\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\})=1 $$ となり、事象$\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}\ (a.s.)$となります。

一般に零事象の部分集合は、元の$\mathcal{F}$の元になっているとは限りません。実際に上記零事象$N=\{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}$の部分集合$E_3=\{\img[-0.2em]{/images/d3s.png}\}$や$E_4=\{\img[-0.2em]{/images/d4s.png}\}$は $$\mathcal{F}=\{\varnothing, \{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}, \{\img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}, \{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}\}$$に含まれません。一方、

零事象$N$の部分集合が全て事象$\mathcal{F}$に含まれている場合は、確率空間$(\Omega,\mathcal{F},P)$は完備であるという。

上記のように完備でない確率空間の場合、完備化は容易です。事象族$\mathcal{F}$に$E_3$と$E_4$を含めれば良いだけです。さらに、それらは加法公理から零事象となるため、定量的な議論には影響がありません。従って、議論の対象となる確率空間$(\Omega,\mathcal{F},P)$は完備であると前提しても良いわけです。


左矢前のブログ 次のブログ右矢

確率論(2)

posted by sakurai on November 11, 2019

測度

次は測度です。

可測空間$(S,\mathfrak{B})$に対し、$\mathfrak{B}$上で定義された集合関数$\mu$(あるいは写像$\mu:\mathfrak{B}\rightarrow\mathbb{R}$)が次の2条件を満たすとき、$\mu$を可測空間$(S,\mathfrak{B})$上の測度と呼ぶ。

  1. 任意の$E\in\mathfrak{B}$に対し、 $$\mu(\varnothing)=0, \mu(E)\ge 0$$
  2. $E_n\in\mathfrak{B} (n=1,2,...)$において、$j\ne k$ならば$E_j\cap E_k=\varnothing$であるとき、 $$ \mu(\bigcup_{n=1}^{\infty}E_n)=\sum_{n=1}^{\infty}\mu(E_n) $$ また、$(S,\mathfrak{B},\mu)$を測度空間と呼ぶ。

これらの公理から、測度の有限加法性、単調性、劣加法性、上方連続性、下方連続性を導くことができます。測度が加法性を持つことは、測度がモノの長さや面積に対する抽象化を意味しています。

確率

いよいよ確率の定義です。

以下の条件を満たす測度空間$(\Omega,\mathcal{F},P)$を確率空間と呼び、その$P$を確率(測度)と呼ぶ。

$$P(\Omega)=1$$

つまり、確率という、分かったようで分からない概念は、長さや面積と同様、測度の一種だったのです。この$\mathcal{F}$上の確率測度$P$は、写像$P:\mathcal{F}\rightarrow[0, 1]$と同じことです。事象を0から1までの数値にマッピングするものです。

さらに、確率空間$(\Omega,\mathcal{F},P)$において、集合$\Omega$は標本空間(または全事象)で、$\Omega$の元$\omega_n$を根元事象と呼びます。従って、 $$ \omega_n\in\Omega $$ また、$\mathcal{F}$の元$E_n$を事象と呼びます。従って、 $$ E_n\in\mathcal{F} $$

具体例

標本空間$\Omega$として、$\img[-0.2em]{/images/d1s.png}$から$\img[-0.2em]{/images/d3s.png}$までの目のあるサイコロを表す集合を考えます。この$\img[-0.2em]{/images/d1s.png}$から$\img[-0.2em]{/images/d3s.png}$までの目はこれ以上分割できない事象であるため、根元事象$\omega\in\Omega$と呼びます。つまり、 $$ \Omega=\{\omega_n;n=1,2,3\}=\{\omega_1, \omega_2, \omega_3\}=\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png}\} $$ この集合の取り出し方法(目の出方、事象)$E_n$の集合が事象$\mathcal{F}$となります。サイコロを任意個数($\geqq3$)振った時の目の出方を考えます。一つ一つの目を区別する測り方としますが、この測り方により事象が変わってきます。目が出ない時も合わせて(出ないと考えるのが不自然であれば、台から転げ落ちたと考えても良いです)最大$2^3=8$通りあります。つまり、 $$ E_n (n=1,2,...8)\in\mathcal{F} $$ 例えば$E=\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}\}$は、出た目が$\img[-0.2em]{/images/d1s.png}$または$\img[-0.2em]{/images/d2s.png}$と考えます。

そして、8個の元全てに対して$[0,1]$の値を写像する関数$P$を考え、これを確率測度とします。

同じくJupyter Notebookで試してみると、

Ω=FiniteSet(1, 2, 3)
Ω

{1,2,3}

generate_sigma_algebra(Ω,FiniteSet({1},{2},{3}))

{∅,{1},{2},{3},{1,2},{1,3},{2,3},{1,2,3}}

この$\{\{1\},\{2\},\{3\}\}$は、標本空間$\Omega$に対して、目の一つずつを見分けるという、識別の仕方を示しています。同じ出目であっても、識別の仕方で確率は変わってきます。

Ω.powerset()

{∅,{1},{2},{3},{1,2},{1,3},{2,3},{1,2,3}}

生成された事象集合$\mathcal{F}$は$\Omega$のべき集合$2^\Omega$となっています。

ここで確率$P$の具体例を見てみます。公理から、 $$ P(\varnothing)=0\\ P(\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png})=1 $$ 全ての根元事象の確率が等しいと仮定すれば、 $$ P(\img[-0.2em]{/images/d1s.png})=P(\img[-0.2em]{/images/d2s.png})=P(\img[-0.2em]{/images/d3s.png})=\frac{1}{3} $$ となります。上記$\sigma$加法族が示すように、目の出方の残りは、 $$ P(\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png})=P(\img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png})=P(\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d3s.png})=\frac{2}{3} $$ となります。

事象のべき集合$2^\Omega$は、確率が定義できる可測空間の中で最大のものであり、もっと小さいものも定義できます。以下の集合が最小の事象集合です。 $$ \mathcal{F}=\{\varnothing, \Omega\} $$ これは事象の識別の仕方を前とは変えたものです。目を全く区別せず、目が出るか出ないかのみに着目した$\sigma$加法族です。それぞれの事象の確率はいうまでもなく0と1です。


左矢前のブログ 次のブログ右矢

確率論

posted by sakurai on November 7, 2019

確率とは何か

参考文献によれば、「確率とは何か。この深遠な問題に対する完全な解答を我々は持っていないが、この問題から相当の部分を捨象した数学的定義としては、20世紀に入ってコルモゴロフ(Kolmogorov, Al.L., 1903-1987)によって与えられた、公理に基づく確率空間と確率の定義が、現状では理論と応用の両面で最も成功している」とのことです。

そのため本ブログでも公理的確率論を解説します。公理的確率論とは、確率とはこうであると定義するのではなく(それだと、こういうものは確率なのかと様々な疑問が出る)、こういう性質を持つものを確率と呼ぶと、公理から出発する方法論です。これにより、公理、つまり正しいと認めたものから出発するため、疑いようのないにものになります。

確率論の準備として$\sigma$加法族の定義から始めます。

$\sigma$加法族の定義

空でない集合$S$の、様々な部分集合$E_n$を元とする集合族$\mathfrak{B}$が、次の3つの条件を満たすとき、$\mathfrak{B}$を$\sigma$加法族(もしくは$\sigma$-field、$\sigma$-algebra)と呼ぶ。

  1. $$\varnothing\in\mathfrak{B}$$
  2. $$E\in\mathfrak{B}\Rightarrow E^c\in\mathfrak{B}$$
  3. $$E_n\in\mathfrak{B}(n=1,2,...)\Rightarrow\bigcup_{n=1}^{\infty}E_n\in\mathfrak{B}$$

また、$S$の部分集合で$\sigma$加法族$\mathfrak{B}$に属する$E$を$\mathfrak{B}$可測であるという。さらに、$(S,\mathfrak{B})$のペアを可測空間と呼ぶ。

無限の記号$\infty$があることより判りますが、$\sigma$加法族の元は加算無限個です。

生成された$\sigma$加法族

空でない集合$S$の、様々な部分集合$E_n$を元とする集合族$\mathfrak{B}_0$に対して、この$\mathfrak{B}_0$を含むような$\sigma$加法族のうち最小のものが存在する。これを$\sigma[\mathfrak{B}_0]$と書き、$\mathfrak{B}_0$から生成された$\sigma$加法族と呼ぶ。

実例

$\sigma$加法族が抽象的で分かりにくいので、具体例で見てみます。$\sigma$加法族は頭で考えても書き下せるものの、往々にして抜け漏れが出ます。そのため、プログラムで確認することにします。確認には以下のpythonプログラムを使用しました。 https://qiita.com/ktsysd/items/97f75330f9492e727799

from sympy import FiniteSet, EmptySet
from itertools import combinations

def is_sigma_algebra(Om, FF):
    return (Om in FF) \
        and (all(Om - e in FF for e in FF)) \
        and (all(l + r in FF for l, r in combinations(FF, 2)))

def append_complements(Om, F):
    return sum((FiniteSet(Om - e) for e in F), F)

def append_unions(F):
    return sum((FiniteSet(l + r) for l, r in combinations(F, 2)), F)

def generate_sigma_algebra(Om, F):
    cur_F = F + FiniteSet(Om)
    prev_F = EmptySet()
    while prev_F != cur_F:
        prev_F = cur_F
        cur_F = append_complements(Om, cur_F)
        cur_F = append_unions(cur_F)
    assert is_sigma_algebra(Om, cur_F)
    return cur_F

これをJupyter Notebookに入力して、(有限ですが)$\sigma$加法族の生成を行ってみます。まず、集合$S$が$S=\{1, 2, 3, 4\}$であるときを考えます。集合Sは数の集合でなくても良いので、例えばサイコロの目の集合$S=\{\img[-0.2em]{/images/d1s.png}, \img[-0.2em]{/images/d2s.png}, \img[-0.2em]{/images/d3s.png}, \img[-0.2em]{/images/d4s.png}\}$でも構いませんし、確率の議論ではむしろその方が良く出てきます。ですが、Jupyter Notebookで扱うためには数値でなければならないので、数値に置き換えます。

まず簡単なほうから。$E_1=\{1, 2\}$、$E_2=\{3, 4\}$とします。これらを元とする$\mathfrak{B}_0=\{E_1, E_2\}$によって生成される$\sigma[\mathfrak{B}_0]=\sigma[\{E_1, E_2\}]$は、

generate_sigma_algebra(FiniteSet(1, 2, 3, 4), FiniteSet({1, 2},{3,4}))

{∅,{1,2},{3,4},{1,2,3,4}}

生成された集合は$\sigma$加法族構造を持ち、上記の公理を満足しています。

次に$E_1=\{1, 2\}$、$E_2=\{1, 3\}$のように変えると、次の例のように生成される元の数が非常に多くなります。同じくこれらを元とする$\mathfrak{B}_1=\{E_1, E_2\}$によって生成される$\sigma[\mathfrak{B}_1]=\sigma[\{E_1, E_2\}]$は、

generate_sigma_algebra(FiniteSet(1, 2, 3, 4), FiniteSet({1, 2},{1,3}))

{∅,{1},{2},{3},{4},{1,2},{1,3},{1,4},{2,3},{2,4},{3,4},{1,2,3},{1,2,4},{1,3,4},{2,3,4},{1,2,3,4}}

len(generate_sigma_algebra(FiniteSet(1, 2, 3, 4), FiniteSet({1, 2},{1,3})))

16

元の数が$2^4=16$であることから、これはSのべき集合$2^S$であることが判ります。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 6, 2019

これらをタイムチャートにまとめた図(規格Part 10 Fig. 6)を示します。

図%%.1
図177.1 システム例

  • t1:障害が発生する前の診断テストの時間
  • t2:障害の発生、かつ障害は非検出
  • t3:障害の検出(たとえば、エラーカウンターがしきい値に達したため、ISO 26262-1:2018, 3.55 FDTIの例を参照)、障害反応時間間隔の開始
  • t4:安全状態への移行完了(シナリオ2)、緊急操作の開始(シナリオ3および4)
  • t5:緊急操作の終了(シナリオ3)
  • t6:緊急操作の制限時間
  • t7:危険事象の発生

左矢前のブログ 次のブログ右矢

posted by sakurai on November 5, 2019
  • シナリオ3:FTTI内の危険事象を防ぐ安全機構が実装されたシステム。ただし、安全な状態に移行するには緊急操作が必要です。車両の動作状態を制限することにより、緊急動作許容時間内に安全状態が達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。 EOTTIの有効期限が切れる前に、車両の動作状態が制限されているため、バルブからの流れが危険事象を引き起こすことはありません。

  • シナリオ4:FTTI内に危険事象を防ぐ安全機構が実装されたシステムですが、安全状態に移行するには緊急操作が必要です。ただし、移行時間はEOTTIより長くかかります。結果として、累積リスクは受け入れられなくなり、機能安全コンセプトで指定された目標を超えます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTTI}<T_\text{EOTI}$$

モーターがショートすると、バルブが最大位置に達します。実装された安全機構によりバルブモーターの電源がオフになり、メカニカルスプリングがバルブをFTTI内の低流量位置に戻します。安全機構(スプリング)は、限られた時間だけ動作するように設計されています(EOTTI)。このシナリオでは、車両の動作は制限されておらず、アイテムはEOTTIの有効期限よりも長く緊急動作しているため、安全目標違反の不当なリスクが生じます。

以上より、EOTTIは、安全機構がFTTIを超えて安全を担保しているとき(VSGを抑止しているとき)、安全機構の構造により担保時間(抑止時間)に制約がある場合、その制約の期間を意味します。従って、その制約時間内に修理するか、あるいは別の、例えばスタンバイ機構により機能が継続できなければ、安全機構の効果が無くなり、VSGとなってしまいます。仮に修理工場に持っていく場合は、EOTTIとして数百時間が必要となります。


左矢前のブログ 次のブログ右矢

2nd Editionでの時間制約

posted by sakurai on October 31, 2019

2nd EditionのPart 10の4.4.2のタイミングモデルを解説します。ここでは例としてモータ制御システムを取り上げています。ただし、数式は本ブログ独自の記述です。

以下に各種時間制約を列挙します。

  • $T_\text{FDTI}$:障害検出時間間隔(FDTI)
  • $T_\text{FTTI}$:耐障害時間間隔(FTTI)
  • $T_\text{FRTI}$:障害反応時間間隔(FRTI)
  • $T_\text{EOTTI}$:緊急操作許容時間間隔(EOTTI)
  • $T_\text{DTTI}$:診断テスト時間間隔(DTTI)

バルブ制御システムの例。 このシステムは、バルブ、位置センサー、コントローラー、電気モーターで構成されています。システムの機能は、電気モーターを使用してバルブを所望の位置に制御することです。

図%%.1
図175.1 システム例

バルブが意図した以上に開いた場合、意図しない流れに起因する危険なイベントが発生する可能性があります。故障反応として、モーターは、バルブをデフォルトの固定開位置に引っ張る機械的スプリングと組み合わせた別個の回路によって電源が切断されます。この固定されたバルブ位置は流れを制限するため、その結果、アイテムは安全状態になります。

  • シナリオ1:安全機構が一切無い場合です。モーターがショートすると、バルブは最大位置に達します。安全機構がないため、FTTIを超える危険なイベントが発生する可能性があります。 $$ T_\text{FTTI}<T_\text{FDTI}+T_\text{FRTI}=\infty$$

  • シナリオ2:緊急操作を行わずに安全機構を実装したシステムにより、安全状態がFTTI内で達成されます。 $$ T_\text{FDTI}+T_\text{FRTI}<T_\text{FTTI}かつ\\ T_\text{EOTI}<T_\text{EOTTI}=\infty$$

モーターがショートすると、バルブは最大位置に達します。すると、実装された安全機構によりバルブモーターの電源がオフになり、FTTI内でメカニカルスプリングがバルブを低流量位置に戻し、危険なイベントを防ぎます。安全機構(スプリング)は無期限に動作するように設計されており、従って安全状態は無限に続きます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 28, 2019
  • 箱(v)ではMPFの検出率を聞いています。これも条件付き確率$\Pr\{\text{fault detected}\ |\ \text{fault occured}\}$ではありません。故障率や故障数に依らない、アーキテクチャで決まった定数です。
  • 検出された部分(detected)は下左に移動し、箱(w)で検出率$K_{FMCi,MPF}$を掛けられ$\lambda_{FMCi,MPF,det}$と名付けられます。次に下に移動し、箱(x)でMPF detected故障率として分類されます。$\dagger$ $$ \lambda_{FMi,MPF,det}=K_{FMCi,MPF}\lambda_{FMi,MPF}\tag{w, x} $$

  • 一方、検出されない部分(not detected)は下に移動し、箱(y)で不検出率$1-K_{FMCi,MPF}$を掛けられ、$\lambda_{FMCi,MPF,pl}$と名付けられます。 $$ \lambda_{FMi,MPF,pl}=(1-K_{FMCi,MPF})\lambda_{FMi,MPF}\tag{y} $$

  • 次の箱(z)では、ドライバーに認識される率を聞いています。認識率を$F_{FMC,per}$とします。

図%%.1
so
図174.1 Part 10故障分類フロチャート

  • ドライバーに認識される場合は下に行き、箱(aa)により認識率$F_{FMC,per}$を掛けられ、その下の箱(ab)でMPF, perceived故障率として分類されます。 $$ \lambda_{FMi,MPF,p}=F_{FMC,per}\lambda_{FMi,MPF,pl}\tag{aa, ab} $$

  • ドライバーに認識されない場合は右下に行き、箱(ac)において、不認識率$1-F_{FMC,per}$を掛けられ、その下の箱(ad)でMPF, latent故障率として分類されます。 $$ \lambda_{FMi,MPF,l}=(1-F_{FMC,per})\lambda_{FMi,MPF,pl}\tag{ac, ad} $$

以上で全ての箱の説明が終了であり、以上による分類された故障率を用いて、SPFM、LFM、PMHFを計算することが可能です。

$\dagger$このMPF,detectedフォールトについてですが、1st Editionでは、MPF detectedフォールトがリペアされるのか、されないのか、レイテントなのか言及されていません。数学的な検証の結果、これはリペアされずLFになることが判明しています。一方、2nd Editionでは規格中にリペアされることが初めて言及されました(pattern 3)。これも数学的な検証の結果LFになることが判りました。このMPF detectedは、1st Edition、2nd Edition共LFになることが判明しているにも関わらず、LFMに含まれていないのは規格の矛盾と考えられます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 25, 2019

ニュースリリースでも明らかにしたように、このブログで研究してきたPMHFの一般式が、RAMS 2020に採択されました。ブログにおいて機能安全の知識は前提として良いので、注釈を取り除き、逆にブログとの関連の注釈☆をつけて再掲します。

なお、RAMS 2020に投稿中だったため、最新の研究#103~108を非開示としていましたが、今回採択が決定したので、RAMS 2020終了後(2020年2月頃)に公開予定です。


ISO 26262機能安全コンサルティングを提供するFSマイクロ株式会社(本社:名古屋市)代表取締役社長 桜井 厚の論文が、2019年10月19日、IEEE Reliability Society主催の国際学会である第66回RAMS(RAMS 2020)に採択されました。RAMS 2020は、2020年1月27日から30日まで、アメリカ・カリフォルニア州パームスプリングスのマリオット・ルネッサンスにて開催予定です。

論文の題名は「Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262」です。邦題は「ISO 26262に準拠したランダムハードウェア故障の確率的メトリクスの一般式」であり、ランダムハードウェア故障の確率的メトリクス(PMHF)を正確に評価することを可能にするものです。(☆上記にもあるように、本ブログでは#103~108で書きましたが、暫定非公開中です。)

2011年に車載電子機器における機能安全の国際規格であるISO 26262の初版が、また、2018年には改訂版が発効されました。この規格改訂版においてはPMHF式が変更されていますが、PMHF値の数学的な定義や、エレメントの前提条件が明確ではありませんでした。(☆エレメントの前提条件とは具体的には修理可能性のことです。規格初版と規格改定版で、この修理可能性の前提を変えていると推測します。) 本論文ではこれらの点を明確にし、さらに規格に準拠した周期的な検査が行われるエレメントの不稼働確率式を初めて明らかにしました。 (☆不稼働確率については前記事に記載しています。) これに基づき、一般的なサブシステムに関するPMHF式を新たに導出しました。本論文によりPMHF値を正確に評価できるため、広範な車載ECUにおいて、適正な安全設計を実施することが可能となります。また、緊急操作許容時間間隔(EOTTI)に関する過剰な設計制約を軽減できるため、自動運転システムに代表される耐故障システムにおいて、設計工期の短縮や製品コストの低減が可能となります。 (☆EOTTIの31倍の過剰見積もりについては前記事に記載しています。)

商号      FSマイクロ株式会社
代表者     桜井 厚
設立年月日   2013年8月21日
資本金     3,200万円
事業内容    ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地   〒460-0011
        愛知県名古屋市中区大須4-1-57
電話      052-263-3099
メールアドレス info@fs-micro.com
URL      http://fs-micro.com


左矢前のブログ 次のブログ右矢


ページ: