弊社の考えるPMHF式について、再度DPFについて考察します。

2nd Editionから引用したシステムアーキテクチャ図を図486.1に示します。IFがVSGとなるのを抑止する(抑止確率$K_\mathrm{IF,RF}$)のと同時に、IFがレイテントとなるのを抑止する(抑止確率$K_\mathrm{IF,DPF}$)SM1が存在します。また、SM1がレイテントとなるのを抑止する(抑止確率$K_\mathrm{SM,DPF}$)SM2が存在します。

図486.1　System Architectural Design of the example

このモデルには一点問題があります。それは、冗長の場合、すなわち、IFとSM1が同機能である場合はSM2の存在が曖昧になることです。SM1の機能はIFのVSG抑止(1st SMの機能)及びLF抑止(2nd SMの機能)となっているのに対して、SM2はSM1に対するLF抑止(2nd SMの機能)です。

問題になるのはLATの場合です。これはSM1にフォールトが起きた場合に到達する状態ですが、この際に問題はIFに対する1st SMの機能喪失は当然として、2nd SM機能まで喪失するか否かです。

• 喪失する場合 --- おそらく2nd editionの想定はこのようですが、この場合はLATに来た時刻により、LATの状態確率が変わってくるため、マルコフ性が成立しません。マルコフ性が成立しない場合の確率積分は非常に難しくなり解けないと言われています。
• 喪失しない場合 --- LATの状態確率は来た時刻に依存しないため、マルコフ性が成立します。

そもそも1st SMと2nd SMが別エレメントと考えると2nd SMは故障しないという定理から、2番目が良いと考えられます。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

IFとSMのそれぞれがお互いのレイテントフォールトカバレージを持つとして、$K_\text{IF,DPF}$及び$K_\text{SM,DPF}$で表します。前記事で記載したように、 $$ \begin{eqnarray} \left\{ \begin{array}{l} K_\text{IF,DPF}=\Pr\{\text{IF detectable}\}\\ K_\text{SM,DPF}=\Pr\{\text{SM detectable}\} \end{array} \right. \end{eqnarray} \tag{485.1} $$

ここで、IFとSMの合体エレメント$\text{IF}\cup\text{SM}$を考えると、合体エレメントのレイテントカバレージ$K_\text{DPF}$は、IFに対してはSM、SMに対してはIFのカバレージです。従って、合体エレメントが単一フォールトしても、IFのフォールトの場合はSMのカバレージ、SMのフォールトの場合はIFのカバレージとなり、合体カバレージは一切棄損しません。よって、 $$ \Pr\{(\text{IF}\cup\text{SM) detectable}\}=\Pr\{\text{IF detectable}\cup\text{SM detectable}\}\\ =\Pr\{\text{IF detectable}\}+\Pr\{\text{SM detectable}\} -\Pr\{\text{IF detectable}\}\Pr\{\text{SM detectable}\}\\ =K_\text{IF,DPF}+K_\text{SM,DPF}-K_\text{IF,DPF}K_\text{SM,DPF}\equiv K_\text{DPF} \tag{485.2} $$ 反対に、 $$ \Pr\{\overline{(\text{IF}\cup\text{SM) detectable}}\}=\Pr\{\overline{\text{IF detectable}}\cap\overline{\text{SM detectable}}\}\\ =(1-\Pr\{\text{IF detectable}\})(1-\Pr\{\text{SM detectable}\})=(1-K_\text{IF,DPF})(1-K_\text{SM,DPF})\\ =1-K_\text{DPF} \tag{485.3} $$

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

IFとSMのユニオンエレメント$\text{IF}\cup\text{SM}$を考えます。ユニオンエレメントの故障率は、(484.1)のようにそれぞれの故障率の和になります。 $$ \lambda_{\text{IF}\cup\text{SM}}= \lambda_{\text{IF}}+\lambda_{\text{SM}} \tag{484.1} $$ 以降では(484.1)を証明します。まず故障率の定義式から、 $$ \lambda_{\text{IF}\cup\text{SM}}=\Pr\{\text{(IF}\cup\text{SM) down in }(t, t+dt]\ |\ \text{(IF}\cup\text{SM) up at }t\} \tag{484.2} $$ となります。ここで、故障率とは「ユニオンエレメントが$t$の直前までupで次の瞬間の$dt$間にdownすること」なので、ユニオンをIFとSMに分解して考えれば、直前のup条件はIFとSMの$\cap$であり、次の瞬間のdown条件はIFとSMの$\cup$となります。

これを用いれば(484.2)は、 $$ (484.2)=\Pr\{\text{IF down in }(t, t+dt]\cup\text{SM down in }(t, t+dt]\ |\\ \text{IF up at }t\cap\text{SM up at }t\} \tag{484.3} $$ となります。ここで条件付き確率の公式 $$ \Pr\{\text{A}\ |\ \text{B}\}=\frac{\Pr\{\text{A}\cap\text{B}\}}{\Pr\{\text{B}\}} \tag{484.4} $$ を用いれば、

$$ (\text{A}\cap\text{B of }484.3)=\Pr\{(\text{IF down in }(t, t+dt]\cap\text{IF up at }t\cap\text{SM up at }t)\\ \cup(\text{SM down in }(t, t+dt]\cap\text{IF up at }t\cap\text{SM up at }t)\} \tag{484.5} $$

さらに、和積の公式 $$ \Pr\{\text{C}\cup\text{D}\}=\Pr\{\text{C}\}+\Pr\{\text{D}\}-\Pr\{\text{C}\cap\text{D}\}\\ \approx\Pr\{\text{C}\}+\Pr\{\text{D}\}\quad s.t.\quad\Pr\{\text{C}\cap\text{D}\}\approx 0 \tag{484.6} $$ を用いれば、IFとSMのフォールトは独立事象であることも用いて、

$$ (484.5)=\Pr\{\text{IF down in }(t, t+dt]\cap\text{IF up at }t\}\Pr\{\text{SM up at }t\}\\ +\Pr\{\text{SM down in }(t, t+dt]\cap\text{SM up at }t\}\Pr\{\text{IF up at }t\} \tag{484.7} $$

さらに、 $$ (\text{B of }484.3)=\Pr\{\text{IF up at }t\}\Pr\{\text{SM up at }t\} \tag{484.8} $$ であるから、

$$ \require{cancel} (484.3)=\frac{(484.7)}{(484.8)}=\frac{\Pr\{\text{IF down in }(t, t+dt]\cap\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}{\Pr\{\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}\\ +\frac{\Pr\{\text{SM down in }(t, t+dt]\cap\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}{\Pr\{\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}\\ =\Pr\{\text{IF down in }(t, t+dt]\ |\ \text{IF up at }t\}+\Pr\{\text{SM down in }(t, t+dt]\ |\ \text{SM up at }t\}\\ =\lambda_\text{IF}+\lambda_\text{SM}\hspace{100pt}■ \tag{484.9} $$

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

前稿でご紹介した、2023年1月26日からフロリダ州オーランドのホテル・カンファレンスセンターで開催される予定のRAMS 2023(69th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだアブストラクトの採択ですが、正式採択されれば4年連続採択となります。正式採択に向け、8月の締め切りまでに論文をブラッシュアップしていくことになります。

表483.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

表483.1　RAMS 2023へのマイルストーン

年月日	マイルストーン	状態
2022/8/1	論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/?	学会出席登録締め切り
2022/9/1	第1回論文、プレゼン資料査読コメント受領
2022/?/?	改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/?	最終査読コメント受領
2022/10/10	最終論文、プレゼン投稿締め切り(名前、所属有り版)

---

前のブログ 次のブログ

来年のRAMS 2023の日程が、2023/1/23～26と発表されました。場所はフロリダ州オーランドのフロリダホテル・カンファレンスセンターです。弊社は今年もアブストラクトを提出済みです。アブストラクトの採択の発表は例年どおり、6月初旬とのことです。

図482.1　RAMS 2023

---

前のブログ 次のブログ

ここまでRAMS 2020論文と2022論文をレビューしてきて、ポイントは1st SMと2nd SMのdetectabilityの違いで結果が変わることがわかります。それを以降でまとめます。

RAMS 2020論文

以下の表はRAMS 2020論文において、IFのfaultがSMにより検出されるかどうかを示しています。なお、1st SMのfaultは常にdetectableです。その時のDCは$K_\text{SM,MPF}$。

表449.1　RAMS 2020のDetectabilityの表

	IF non-detectable (IFU)	Partialy detectable (IFR)
1st SM	IF non-detectable ($K_\text{IF,det}=0$)
2nd SM	IF non-detectable ($K_\text{IF,MPF}=0$)	IF detectable ($K_\text{IF,MPF}>0$)
PMHF equ. RAMS 2020	$(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\alpha$ (19), (221.9), (447.2)	$(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta$ (22), (222.9), (447.1)

$K_\text{IF,det}=0$(かつ$K_\text{IF,RF}=1$)のみなので、冗長時のみを考えておりあまり良くありません。$K_\text{IF,det}=1$も考える必要があります。

RAMS 2022論文

さらにRAMS 2022では$K_\text{IF,det}=1$を検討しました。特にMPF detectedを従来のLFと同一視するのではなく、SFとしました。そのためPMHF結果式も変わってきます。

ここで、1st SMがIF detectableであれば、そのDC(カバレージ)は$K_\text{IF,RF}$であり、一般に2nd SMまでは設置しないと思われます。逆に言えば2nd SMが必要なのは、1st SMのDCがゼロの時、つまりIF non-detectable ($K_\text{IF,det}=0)$であり、すなわち1st SMが主機能代替機能を持ついわゆる冗長の場合となります。

表449.2　Detectabilityの表($K_\text{IF,det}=1$を追加)

	IF non-detectable (IFU)	Partialy detectable (IFR)	Fully detectable
1st SM	IF non-detectable ($K_\text{IF,det}=0$)		IF detectable ($K_\text{IF,det}=1$)
2nd SM	IF non-detectable ($K_\text{IF,MPF}=0$)	IF detectable ($K_\text{IF,MPF}>0$)	-

次に1st SMがIF non-detectable ($K_\text{IF,MPF}=0$)であれば、2nd SMはIFフォールトのレイテント防止のため、なにがしかのDC(検出率、カバレージ)を持つと考えられます。上記表はそのDCがゼロの場合はIFUモデル、ゼロでない場合はIFRモデルとしましたが、そのDCを$K_\text{IF,MPF}$で表し、ゼロの場合と非ゼロの場合をまとめ、かつRAMS 2020及び2022のPMHF式を追加すれば、以下の表となります。

表449.3　DetectabilityとPMHF式の表

	Partialy detectable (IFU/IFR)	Fully detectable
1st SM	IF non-detectable ($K_\text{IF,det}=0$)	IF detectable ($K_\text{IF,det}=1$)
2nd SM	Partialy detectable ($K_\text{IF,MPF}>=0$)	-
PMHF equ. RAMS 2020	$(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta$	$(1-K_\text{IF,RF})\lambda_\text{IF}+\color{red}{2}K_\text{IF,RF}\alpha$
PMHF equ. RAMS 2022		$(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\alpha$

• RAMS 2020では$K_\text{IF,det}=0$のみを検討したため、$K_\text{IF,det}=1$は薄墨色としています。
• 1st SMがfully detectable ($K_\text{IF,det}=1$)において、RAMS 2022のPMHF値のDPF部分が$\frac{1}{2}$になっているのは、RAMS 2022においてMPF detectedの定義を変え、レイテントではなく完全にリペアラブルとしたためです。SMがレイテントになる部分はそのままですが、IFがレイテントになる部分が全て修理されるとしたため、半分になっています。

---

前のブログ 次のブログ

$K_\text{IF,det}$の意味

ここで、$K_\text{IF,det}$の意味を考えてみます。

• $K_\text{IF,det}=0$の時
  1st SMがIFのフォールトをVSGから$K_\text{IF,RF}$分だけpreventしているにも関わらず、1st SMの機能はIFのフォールトを検出しない場合。すなわち、1st SMはIF代替機能を持つはずであり、これは冗長構成と呼ばれる。冗長の場合は$K_\text{IF,RF}=1$となる。従って、$K_\text{IF,det}=0$かつ$K_\text{IF,RF}=1$。
  規格1st editionではこの場合は考慮されていなかったが、2nd editionで考慮されることになった。

• $K_\text{IF,det}=1$の時
  1st SMがIFのフォールトをVSGから$K_\text{IF,RF}$分だけpreventしており、1st SMの機能はIFのフォールトを検出する場合。その検出率は$K_\text{IF,RF}$であり、すなわち、1st SMはIF代替機能を持たない。
  1st SMがフォールト検出機能を持つため、IFの2nd SMは不要($K_\text{IF,MPF}=0$)。一方、1st SMに対しては2nd SMが必要。これは規格の構造図、すなわち「1st SMがSM1であり2nd SMがSM2である図」に一致する。

---

前のブログ 次のブログ

RAMS 2020

次にRAMS 2020でのPMHF式を示します。これは規格1st editionのIFUモデルをIFRモデルに拡張したものでした。ただし、表368.1で示せば、SM1 undetectableのみを扱います。従って、RAMS 2022で言う$K_\text{IF,det}=0$の時の式となります。

$$ \begin{eqnarray} \require{cancel} M_\text{PMHF,RAMS2020}&=&M_\text{PMHF,IFR}\\ &=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\mathrm{IF,RF}\beta \end{eqnarray}\tag{447.1} $$ ただし、 $$ \begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau],\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau],\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \end{eqnarray} \end{cases} $$ これは以前の式(222.9)と一致します。

一方、規格1st editionの式はIFUモデルであり、(447.1)において、$K_{\mathrm{IF,MPF}}=0$とおけば、$K_{\mathrm{MPF}}=K_\mathrm{SM,MPF}$であるから、$\beta=\alpha$となり、

$$ \begin{eqnarray} \require{cancel} M_\text{PMHF,1st edition}&=&M_\text{PMHF,IFU}\\ &=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,MPF}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\mathrm{IF,RF}\alpha\\ \end{eqnarray}\tag{447.2} $$ となります。これは2020論文(19)ですが、規格1st editionの第3の式に相当し、(221.9)と同一です。

RAMS 2020では$K_\text{IF,det}=0$の時しか検討しませんでしたが、RAMS 2022のベースである表375.1及びそれに基づくPMHF計算を用いて、$K_\text{IF,det}=1$の時も併せた式を示せば、 $$ \bbox[#ccffff,2pt]{M_\text{PMHF,RAMS2020}=(1-K_\text{IF,RF})\lambda_\text{IF}+ \color{red}{2}K_\text{IF,RF}K_\text{IF,det}\alpha+2K_\text{IF,RF}(1-K_\text{IF,det})\beta}\\ \tag{447.3} $$ となります。RAMS 2022との相違は(447.3)の係数2の違いとなります。

---

前のブログ 次のブログ

さて、RAMS 2022にRAMS 2020で発表したPMHF式を修正した式を投稿し採択されましたが、ここで両方の式をまとめておきます。便宜上RAMS 2022の式はより広い範囲をカバーするため、RAMS 2022の式から先に説明します。

RAMS 2022

RAMS 2022では、後述のRAMS 2020の式を拡張しました。具体的にはISPCE 2017で筆者が導入した$K_\text{IF,det}$を再び導入したものです。$K_\text{IF,det}$の意味は、1st SMのIFに対する機能であるVSG抑止能力に対する検出能力の比であり、以下のように条件付き確率で表される係数です。

$$ K_\text{IF,det}=\Pr\{\text{IF detected}\ |\ \text{IF prevented}\} $$

しかしながらこの条件付き確率はSMのアーキテクチャにより一意に決定され、 $$ K_\text{IF,det}= \begin{cases} \begin{eqnarray} &0&\ \ \text{if subsystem is redundant}\\ &1&\ \ \text{if subsystem is nonredundant} \end{eqnarray} \end{cases} $$ のように2値をとります。

この$K_\text{IF,det}$及び、$K_\text{IF,RF}$, $K_\text{IF,MPF}$を加えたIFに関するKパラメータ及び、$K_\text{SM,MPF}$のSMに関するKパラメータによりフォールトを分類し、以前示した表368.1を導出しています。

そして、$K_\text{IF,det}=1$の場合にMPF detectedをレイテントフォールト扱いとしないとして確率微分方程式を立て、それを解いています。その結果を示せば、 $$ \require{color} \bbox[#ccffff,2pt]{M_\text{PMHF,RAMS2022}=(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}K_\text{IF,det}\alpha+2K_\text{IF,RF}(1-K_\text{IF,det})\beta\\ } \tag{446.1} $$ ただし、 $$ \begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau],\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau],\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \end{eqnarray} \end{cases} $$

これにおいて、まずnon redundantの場合である$K_\text{IF,det}=1$とすれば、

$$ \begin{eqnarray} M_\text{PMHF,NRD}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=1}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+K_\text{IF,RF}\alpha \end{eqnarray}\tag{446.2} $$ これは(374.1)と同一です。

他方、redundantの場合である、$K_\text{IF,det}=0$かつ$K_\text{IF,RF}=1$とすれば、 $$ \begin{eqnarray} M_\text{PMHF,RD}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,RF}=1}\\ &=&2\beta \end{eqnarray}\tag{446.3} $$ これは(374.2)と同一です。

また、IFRモデルでは、 $$ \begin{eqnarray} M_\text{PMHF,IFR}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta\\ \end{eqnarray}\tag{446.4} $$ これは2020論文(22)、(108.2)及び(222.9)と同一です。

さらにIFUモデルでは、 $$ \begin{eqnarray} M_\text{PMHF,IFU}&=&M_\text{PMHF,RAMS 2022}\lvert_{K_\text{IF,det}=0,K_\text{IF,MPF}=0}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\alpha \end{eqnarray}\tag{446.5} $$ これは2020論文(19)、(221.9)と同一です。

---

前のブログ 次のブログ

On October 26, 2021, a paper by Atsushi Sakurai, CEO of FS Micro Corporation (Nagoya, Japan), a leading provider of ISO 26262 functional safety (Note 1) consulting services, was accepted at the 68th RAMS (RAMS 2022: Note 2). RAMS 2022 will be held in Tucson, Arizona, U.S.A., from January 24 to 27, 2022, and is sponsored by the Reliability Society of IEEE (Note 3).

Atsushi Sakurai received the Best Paper Award at the 14th ISPCE (ISPCE 2017: Note 4), an international conference on Product Safety of IEEE in 2017. In addition, his papers have been accepted to RAMS for three consecutive years since 2020. The title of the paper for RAMS 2022 is "Formulas of the Probabilistic Metric for Random Hardware Failures (PMHF: Note 5) to Resolve a Dilemma in ISO 26262."

Although the PMHF formula was revised in the second edition of ISO 26262, which took effect in 2018, its mathematical definition was not fully described. Atsushi Sakurai clarified the ambiguity in the second edition and derived a new PMHF equation in his paper in 2020. However, this equation is based on the assumption that detected multipoint faults (MPFs: Note 6) are considered as latent faults (LFs: Note 7), which is also present in the second edition of the standard. However, this assumption contradicts the latent fault metric (LFM: Note 8) specified in the standard itself.

This paper aims to solve the dilemma of this standard and strengthen the previous paper by deriving a new PMHF formula based on the assumption that the detected MPF is not a LF. This formula is expected to evaluate the PMHF value correctly, to reduce the design constraint on the Emergency Operating Time Tolerance Interval (EOTTI: Note 9) by 40 times, and to minimize the design effort in fault-tolerant systems (Note 10).

Company name: FS Micro Corporation
Representative: Atsushi Sakurai
Date of establishment August 21, 2013
Capital: 32 million yen
Business description Consulting and seminars on functional safety of ISO 26262 automotive electronic devices
Address of Head Office 460-0011 4-1-57 Osu, Naka-ku, Nagoya, Aichi, Japan
Phone: +81-52-263-3099
E-mail address info@fs-micro.com
URL http://fs-micro.com/

Notes
Note 1: Functional safety is the concept of enhancing safety at the system level by taking various safety measures. ISO 26262 is an international standard for functional safety for automotive electrical and electronic equipment.
Note 2: RAMS stands for The Annual Reliability & Maintainability Symposium, an international conference on reliability engineering organized annually by the IEEE Reliability Society. http://rams.org/
Note 3: IEEE stands for the Institute of Electrical and Electronics Engineers. It is the world's largest conference on electrical and electronic engineering technology in terms of number of participants and participating countries. http://ieee.org/
Note 4: ISPCE stands for IEEE Symposium on Product Compliance Engineering, an international conference on product safety organized annually by the IEEE Product Safety Society. http://2017.psessymposium.org/
Note 5: PMHF stands for Probabilistic Metric for Random Hardware Failures. It is one of the design target values for hardware in ISO 26262, which is a time average of the probability of system failure during the vehicle lifetime.
Note 6: MPF stands for Multiple-point Fault, which is a fault that does not violate the safety goal at a single point, but becomes a violation of the safety goal when multiple faults are combined.
Note 7: LF stands for Latent Fault. Among MPFs, it is a fault that is not detected by the safety mechanism.
Note 8: LFM stands for Latent Fault Metric, which is a coverage of how many LFs are in the system and how many of them can be detected, and is one of the design target values for hardware in ISO 26262.
Note 9: EOTTI stands for Emergency Operation Tolerant Time Interval. It is a time interval during which a violation of safety objectives will not occur if the system is repaired or switched to an alternative process within this period.
Note 10: A fault-tolerant system is a safety-enhancing system that can substitute the original function without immediately losing the function in the event of a failure.

---

前のブログ 次のブログ