この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまな種類の ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
ISO は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO は、請求された特許権に関する証拠、有効性、または適用可能性に関していかなる立場もとりません。この文書の発行日の時点で、ISO はこの文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO は、かかる特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html
この文書は、ISO/TC 22 技術委員会、道路車両、SC 32 分科会、電気および電子部品およびシステム全般の側面によって作成されました。
導入
ハードウェア要素は、時間の経過や使用とともに磨耗または劣化します。特定の障害が存在すると、劣化速度が速くなる可能性があります。劣化率が臨界しきい値を超えると、ハードウェア要素は通常の予想寿命中に故障する可能性があります。時間の経過とともに変化する障害動作に対処することは困難です。 ISO 26262 シリーズなどの機能安全規格は、従来、回避策と静的動作の単純化された仮定によって、劣化を引き起こす障害に対処してきました。
劣化故障についての理解は時間の経過とともに進んでいます。多くの業界では、予知保全を使用して劣化する障害を制御するための積極的な措置を講じています。予知保全では、劣化する故障を検出し、残りの耐用年数を予測できます。予知保全に基づく安全メカニズムは、ISO 26262 シリーズでは明示的に議論されていません。
この文書では、劣化故障および予知保全技術に関する最新技術の概要を説明します。 ISO 26262 の安全性の議論において、劣化故障と予知保全技術を考慮するためのアプローチが示されています。コンテンツの多くは半導体に焦点を当てていますが、概念は他のハードウェア要素にも適用できます。
1 スコープ
この文書は、安全関連の E/E ハードウェア要素の劣化故障を検出するための予知保全手法の使用に適用することを目的としています。これは、ISO 26262 [ 1] シリーズに準拠するために開発されたハードウェア要素に適用されます。このシリーズでは、使用されているテクノロジなどに起因して、劣化を引き起こす障害が関連していることが示されています。
予知保全ソリューションの特定の技術的実装については、このドキュメントの範囲には含まれません。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 26262-1, 道路車両 — 機能安全 — Part 1: 語彙
3 用語と定義
この文書の目的としては、ISO 26262-1 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
劣化故障
特性が一定ではなく、時間の経過とともに劣化する障害。劣化が臨界しきい値を超えた後に刺激を受けると、エラーまたは障害が発生する可能性があります。
注記 1:永続的および断続的な障害は、最初は劣化を引き起こす障害として現れることがあります。一時的な障害は、劣化を引き起こす障害としては現れません。
注記 2:劣化が重大なしきい値を超えるまでは、劣化フォルトによってエラーや障害が発生することはありません。エラーまたは障害を生成する能力は、現在の劣化状態に関係します。
注記 3:劣化故障は、時間の経過とともにエラーや障害を引き起こす可能性のある異常な状態を示します。通常の劣化では、障害として分類する必要があるような異常な状態は見られません。通常の劣化では、予想される耐用年数が経過した後に機能が失われる可能性がありますが、異常ではないため、故障とはみなされません。
3.2
劣化障害検出時間間隔
DFDTI
劣化障害 (3.1) の発生から検出までの期間
3.3
障害処理時間間隔の低下
DFHTI
劣化故障検出時間間隔 (3.2) と 劣化故障反応時間間隔 (3.4) の合計。
注記 1:劣化障害処理時間間隔は 、予知保全 (3.5) 関連の安全メカニズムの特性です。
注記 2:障害処理時間間隔に加えて、劣化障害処理時間間隔も考慮されます。図 4 を参照してください。
注記 3: 劣化故障 (3.1) の発生からエラーまたは障害を生成する能力が得られるまでの時間は、機能をサポートする予知保全関連の安全機構に指定できる劣化故障処理時間の最大間隔です。セキュリティの概念。
注記 4: 劣化フォルト (3.1) は、 劣化フォルト処理時間間隔内に検出と反応があった場合、対応する安全機構によってタイムリーにカバーされます。
3.4
障害反応時間間隔の低下
DFRTI
劣化故障 (3.1) の検出から安全状態に達するか緊急動作に達するまでの時間
3.5
予知保全
劣化故障の検出 (3.1) 、 残存耐用年数の予測 (3.6) 、および適切な対応に使用される技術
注記 1: アプローチには、ローカルまたはリモート システムに適用される機械学習などのデータ駆動型手法の使用が含まれます。安全関連の ML システムの開発に関するガイダンスは、ISO/IEC TR 5469 [ 2] にあります。
注記 2: 残存耐用年数の予測 (3.6) は、エラーや故障が発生する前に欠陥のある要素を交換するために使用できます。
3.6
残りの耐用年数
RUL
現在の時刻から、物品または要素が望ましい仕様内で意図した機能を実行できなくなると予想される推定時刻までの時間の長さ
注記 1: RUL は、 予測保守 (3.5) または他のアプローチを使用して推定できます。
注記 2: RUL は、予想される劣化または障害が存在する場合の劣化について推定できます。
[出典:IEEE Std 1856-2017 [ 3] 、修正済み — 「システム (または製品)」という表現が「項目または要素」に置き換えられました。]
参考文献
| 1 | ISO 26262, 道路車両 — 機能安全 |
| 2 | ISO/IEC TR 5469 1 、人工知能 — 機能安全および AI システム |
| 3 | IEEE Std 1856-2017, 電子システムの予後および健全性管理のための IEEE 標準フレームワーク |
| 4 | JEDEC JEP122H, 半導体デバイスの故障メカニズムとモデル、JEDEC ソリッド ステート技術協会、2016 年。 |
| 5 | Walraven J, King M, Kaplar R, Hasse G, Grzybowski T.、「Advanced CMOS Reliability Update: Sub 20 nm FinFET Assessment」、サンディア国立研究所、2020 年 3 月。 |
| 6 | Lee YH, Liao PJ, Joshi K, Huang DS, 「FinFET テクノロジーにおける回路ベースの信頼性の考慮」、IEEE, 2017 年。 |
| 7 | Constantinescu C.、「断続的な故障と集積回路の信頼性への影響」、IEEE, 2008 年。 |
| 8 | IEC 63270, 産業オートメーション機器およびシステム - 予知保全、IEC, 開発中 |
| 9 | IEC 61508, 電気/電子/プログラム可能な電子安全関連システムの機能安全 -- すべての部品、IEC, 2010 |
| 10 | Salfner F, Lenk M, Malek M, 「オンライン障害予測方法の調査」、 ACM Computing Surveys, vol. 42, no. 3, 10:1 - 10:42, 2010 年 3 月。 |
| 11 | Keane J.、Kim CH, 「An Odometer for CPUs」、IEEE Spectrum 、 29 ~ 33 ページ、2011 年 5 月。 |
| 12 | Mitra S.、「スケールド CMOS におけるロバストなシステム設計のための回路障害予測」、 CFP08RPS-CDR 第 46 回国際信頼性物理シンポジウム、フェニックス、2008 年。 |
| 13 | 佐藤裕、梶原真、三浦裕、米田隆、大竹真、井上正、藤原弘、「フィールド信頼性の高い回路障害予測メカニズム(DART)」、IEEE, 2009年。 |
| 14 | Lin F, Davoli A, Akbar I, Kalmanje S, Silva L, Stamford J 他、「大規模データセンターにおけるハードウェア障害の修復の予測」、第 50 回ディペンダブル システムおよびネットワークに関する IEEE/IFIP 国際会議 - 補足巻 (DSN-S) 、202 |
| 15 | Su F.、Goteti P.、「データ駆動型異常検出を使用したアナログ機能安全性の向上」、 IEEE 国際テスト会議、2018 年。 |
| 16 | JEDEC JESD85A, FIT 単位での故障率の計算方法、JEDEC ソリッド ステート技術協会、2021 年 7 月。 |
| 17 | JEDEC JESD91B, 電子デバイスの故障メカニズムの加速モデルの開発方法、JEDEC ソリッド ステート技術協会、2022 年 3 月。 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents . ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 22, Road vehicles, Subcommittee SC 32, Electrical and electronic components and general system aspects.
Introduction
Hardware elements wear out or degrade with time and usage. The presence of certain faults can cause the rate of degradation to increase. If the rate of degradation exceeds critical thresholds, then a hardware element can fail during its normal expected lifespan. Addressing fault behaviours which change over time is difficult. Functional safety standards such as the ISO 26262 series have traditionally addressed degrading faults with avoidance measures and simplified assumptions of static behaviours.
Understanding of degrading faults is improving over time. Many industries are taking proactive steps to control degrading faults using predictive maintenance. Predictive maintenance can detect degrading faults and predict remaining useful life. Safety mechanisms based on predictive maintenance are not explicitly discussed in the ISO 26262 series.
This document provides a survey of current state of the art for degrading faults and predictive maintenance techniques. Approaches are presented to consider degrading faults and predictive maintenance techniques in an ISO 26262 safety argument. Much of the content is focused on semiconductors, but the concepts can be applied to other hardware elements.
1 Scope
This document is intended to be applied to the usage of predictive maintenance methods for the detection of degrading faults in safety related E/E hardware elements. It applies to hardware elements developed for compliance with the ISO 26262 [1] series in which degrading faults are shown to be relevant due to, for instance, the technology used.
Specific technical implementations of predictive maintenance solutions are not in scope of this document.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 26262-1, Road vehicles — Functional safety — Part 1: Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 26262-1 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
degrading fault
fault whose characteristics are not constant and degrade over time, that can result in an error or failure when stimulated after degradation exceeds a critical threshold
Note 1 to entry: Permanent and intermittent faults can first manifest as degrading faults. Transient faults do not manifest as degrading faults.
Note 2 to entry: Degrading faults do not create errors or failures until degradation exceeds critical thresholds. The capability to generate an error or failure is related to the current state of degradation.
Note 3 to entry: Degrading faults exhibit abnormal conditions which can cause an error or failure over time. Normal degradation does not exhibit abnormal conditions which are necessary to be classified as a fault. Normal degradation can result in a loss of functionality after expected lifespan has elapsed but cannot be considered a fault as it is not abnormal.
3.2
degrading fault detection time interval
DFDTI
timespan from the occurrence of a degrading fault (3.1) to its detection
3.3
degrading fault handling time interval
DFHTI
sum of the degrading fault detection time interval (3.2) and the degrading fault reaction time interval (3.4) .
Note 1 to entry: The degrading fault handling time interval is a property of a predictive maintenance (3.5) related safety mechanism.
Note 2 to entry: The degrading fault handling time interval is considered in addition to the fault handling time interval. See Figure 4.
Note 3 to entry: The timespan from occurrence of a degrading fault (3.1) until it has the capability to generate an error or failure is the maximum degrading fault handling time interval that can be specified for a predictive maintenance related safety mechanism to support the functional safety concept.
Note 4 to entry: A degrading fault (3.1) is covered in a timely manner by the corresponding safety mechanism if there is detection and reaction within the degrading fault handling time interval.
3.4
degrading fault reaction time interval
DFRTI
timespan from the detection of a degrading fault (3.1) to reaching a safe state or reaching emergency operation
3.5
predictive maintenance
techniques that are used to detect degrading faults (3.1) , predict remaining useful life (3.6) , and react appropriately
Note 1 to entry: Approaches include the use of data driven methods such as machine learning applied locally or on a remote system. Guidance for developing safety related ML systems can be found in ISO/IEC TR 5469[2].
Note 2 to entry: Prediction of remaining useful life (3.6) can be used to replace a faulty element before it can cause an error or failure.
3.6
remaining useful life
RUL
length of time from the present time to the estimated time that the item or element is expected to no longer perform its intended function within desired specifications
Note 1 to entry: RUL can be estimated using predictive maintenance (3.5) or with other approaches.
Note 2 to entry: RUL can be estimated for expected degradation or degradation in the presence of a fault.
[SOURCE:IEEE Std 1856-2017[3], modified — The phrase"system (or product)" was replaced with"item or element".]
Bibliography
| 1 | ISO 26262, Road vehicles — Functional safety |
| 2 | ISO/IEC TR 5469 1 , Artificial intelligence — Functional safety and AI systems |
| 3 | IEEE Std 1856-2017, IEEE Standard Framework for Prognostics and Health Management of Electronic Systems |
| 4 | JEDEC JEP122H, Failure Mechanisms and Models for Semiconductor Devices, JEDEC Solid State Technology Association, 2016. |
| 5 | Walraven J., King M., Kaplar R., Hasse G., Grzybowski T., “Advanced CMOS Reliability Update: Sub 20 nm FinFET Assessment,” Sandia National Labs, March 2020. |
| 6 | Lee Y. H., Liao P. J., Joshi K., Huang D. S., “Circuit-Based Reliability Consideration in FinFET Technology,” IEEE, 2017. |
| 7 | Constantinescu C., “Intermittent Faults and Effects on Reliability of Integrated Circuits,” IEEE, 2008. |
| 8 | IEC 63270, Industrial Automation Equipment and Systems - Predictive Maintenance, IEC, Under Development |
| 9 | IEC 61508, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems -- All Parts, IEC, 2010 |
| 10 | Salfner F., Lenk M., Malek M., “A Survey of Online Failure Prediction Methods,” ACM Computing Surveys, vol. 42, no. 3, pp. 10:1 - 10:42, March 2010. |
| 11 | Keane J., Kim C. H., “An Odometer for CPUs,” IEEE Spectrum, pp. 29-33, May 2011. |
| 12 | Mitra S., “Circuit Failure Prediction for Robust System Design in Scaled CMOS,” in CFP08RPS-CDR 46th Annual International Reliability Physics Symposium, Phoenix, 2008. |
| 13 | Sato Y., Kajihara S., Miura Y., Yoneda T., Ohtake S., Inoue M., Fujiwara H., “A Circuit Failure Prediction Mechanism (DART) for High Field Reliability,” IEEE, 2009. |
| 14 | Lin F., Davoli A., Akbar I., Kalmanje S., Silva L., Stamford J. et al., “Predicting Remediations for Hardware Failures in Large-Scale Datacenters,” in 50th Annual IEEE/IFIP International Conference on Dependable Systems and Networks - Supplemental Volume (DSN-S), 2020. |
| 15 | Su F., Goteti P., “Improving Analog Functional Safety Using Data-Driven Anomaly Detection,” in IEEE International Test Conference, 2018. |
| 16 | JEDEC JESD85A, Methods for Calculating Failure Rates in Units of FITs, JEDEC Solid State Technology Association, July 2021. |
| 17 | JEDEC JESD91B, Method for Developing Acceleration Models for Electronic Device Failure Mechanisms, JEDEC Solid State Technology Association, March 2022. |