同じ記事のPMHFについても怪しいところがあります。

まずPMHFそのものは単純で故障する頻度そのものである。ただ実際には1億回あたり1回未満というのはかなり難しい。一般にエレクトロニクス業界で使われている故障頻度には「FIT」（Failure in Time：10億時間あたりに発生する故障回数）と呼ばれるものがあるが、自動車向けのMCUなどではどんなに少ないものでも20FIT（10億時間あたり20回）といわれており、このままでは10^-8/hを満たせない。 ただ、PMHFは、ある特定の回路そのものの故障頻度ではなく、システム全体の故障頻度と見なすこともできる。例えば全ての部品を二重化しておき、片方が壊れてももう片方がそれを引き継ぐことができるとすれば、トータルとしての故障頻度は10FITに減る計算になり、これでASIL DのPMHFの目標をクリアできることになるからだ。

要約すれば、主系とバックアップ系が、それぞれ20FITの故障率を持つ2重化システムがあるとき、「トータルとしての故障頻度」が10FITになるということのようです。

実際には「トータルとしての故障頻度」はDPF(Dual Point Failure)の時であるから、車両寿命を$T_\text{lifetime}$として単純な確率計算では、 $$ \Pr\{\text{DPF}\}=\Pr\{\text{Channel 1 failed}\cap\text{Channel 2 failed}\} =\Pr\{\text{Channel 1 failed}\}\Pr\{\text{Channel 2 failed}\}\\ =(\lambda_\text{IF}T_\text{lifetime})(\lambda_\text{SM}T_\text{lifetime}) =(10\times 10^{-9})^2{T_\text{lifetime}}^2=1\times 10^{-16}{T_\text{lifetime}}^2 $$ となります。

この確率には主系⇒バックアップ系のフェイルオーバーだけでなく、その逆の場合も含まれるので、フェイルオーバーの場合のPMHF、すなわち平均PUDを求めると、この1/2を$T_\text{lifetime}$で割った値となります。 $$ M_\text{PMHF}=\overline{PUD}=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime} $$

この値は、車両寿命がいくら大きくても10FITにはなりません。例えば車両寿命が10万時間の場合のPMHF、すなわち平均PUDは、 $$ M_\text{PMHF}=\overline{PUD}=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}=0.5\times 10^{-16}\cdot 1\times 10^{5}=0.005[FIT] $$ となります。逆にこれが10FITだとすると、車両寿命は5,708年というあり得ない値となってしまいます。

誤りの原因は2重化の場合の確率計算を1/2にしてしまったところにあります。本来は2重化システムにおいては、主系に故障があっても、バックアップ系が動作するフォールトトレラント性があるため、引き続いてバックアップ系にもフォールトが起きないとシステムの故障とはなりません。従って、確率計算としては両方にフォールトが起こる場合の、確率の掛け算になります。

以前の記事のように、レアイベント近似を用いれば、直列系は確率の足し算、並列系は確率の掛け算となります。表記の記事は、並列系で確率の掛け算をするところを、2冗長だから単純に1/2をかけたのかもしれませんが、正しくは10[FIT]ではなく0.005[FIT]のような、非常に低い数字になります。

いずれにせよ、故障頻度は故障確率として計算することを理解していないと、このような誤りを引き起こします。

---

前のブログ 次のブログ

8.3.1 マイコンの取り扱い

1st EditionではPart 10が主にISO 26262を半導体に適用する場合のガイドラインであったため、マイコンの取り扱いはPart 10に存在しましたが、2nd Editionになって、Part 10は全般的なガイドラインとなり、Part 11としてISO 26262を半導体に適用する場合のガイドラインが新設されたため、ISO 26262をマイコンに適用する場合の話題がPart 11に移動しました。

8.3.2 PMHF式

PMHF式については説明が追加されました。しかしながら、導出過程や導出前提を明らかにしたものではありません。また、式自体にも疑義があります。弊社ではPMHFを1st Edition発効から8年間に渡って研究しており、その結果としてIEEE最優秀論文賞を得ることができました。この論文は1st Editionの式を対象としていますが、新たに2nd Editonで式が変更されたため、それに基づく論文をIEEEに投稿中です。

弊社ではPMHFに関する論文をRAMS 2020に投稿中であり、そのため、最新の研究#103～108を一旦非開示としました。⇒RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

12 システム開発のガイダンス

1st Editionの思想から拡張されているフォールトトレランス(耐故障性)についてまとめられた節が新設されました。1st Editionの思想は、とにかくフォールトが発生した場合にはFTTI中にシステムを安全状態に持っていけば、それでハザードが回避できるため、OKでした。

ところが、例えば高速道路の追い越し車線を120Km/hで走行中にフォールトを検出し、いくら安全状態だからといって、その場(追い越し車線内)で車両を停止させてしまうと、これはかなり危険な状態であることが容易に想像できます。このような場合は可能な限り左端の路側帯に寄せて停車するか、もしくは次の出口や安全な場所まで走行したいはずです。

本節ではこのような要求に対して解答を与えるものとなっており、基本的なアーキテクチャはIFに対するSM1としてバックアップ系を想定しています。例えば、IFについてASIL-Dを割り当てている時に、当然その平均PUD(=PMHF)は10[FIT]未満となりますが、故障したときには安全状態で停止するのではなく、動作し続けることがフォールトトレラントのために必要です。しかしながら、その場合にもASIL-Dを要求するものではありません。例えば、バックアップ系の時速が一定速度より遅ければASIL-Bとすることができます。その場合、速度は遅くても修理工場まで走行することが可能です。

本節には2とおり例示されており、緊急動作時間(EOTTI)以内に修理するか、上記のようにバックアップ系に切り替われば良いことになります。問題はEOTTIがあまりにも短い場合(例えば1sec未満)は修理工場に行くことができないので、その計算が必要となります。それが12.3.1.1に示されています。

次の図120.1の(2)は前記事にも掲載されている、2nd EditionのPMHF式(図109.3)の$T_\mathrm{service}$を$T_\mathrm{eotti}$と置き、$T_\mathrm{eotti}$について解いた式となっています。

図120.1 PMHF式に基づくEOTTIの導出

一方、次の図120.2の(3)は、ワースト時を想定しているようです。バックアップ系がEOTTI時間走行する状態での故障確率式です。

図120.2 車両寿命間の故障に基づくEOTTIの導出

いずれの式にも問題がありそうなので、次項で説明します。

---

前のブログ 次のブログ

前稿(99.1)において、時刻$t$から$t+dt$において、IFのフォールトがVSG抑止される微小確率を求めると、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\\ =K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{100.1} $$ ただし、 $$ \Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\cap\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}},\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ となりましたが、「DCはSMのアーキテクチャにより決定される」ことを前提とし、フォールト発生とフォールト検出は独立な事象と考えれば、同じ確率式は、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ preventable}\}\cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{100.2} $$ ここで、 $$ \Pr\{\mathrm{IF\ preventable}\}=K_{\mathrm{IF,FMC,RF}}, \\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ と求められます。従って、(100.1)の$\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\}$という確率的な$t$の関数を、(100.2)の$\Pr\{\mathrm{IF\ preventable}\}$という定数に置き換えることができます。

2nd SMの属性である$K_{\mathrm{FMC,MPF}}$についても同様の議論が成り立ち、Kパラメータは条件付き確率ではなく、アーキテクチャ的に決定している能力(定数)として扱います。結論として、

$$ K_{\mathrm{IF,FMC,RF}}:=\Pr\{\mathrm{IF\ preventable}\}\tag{100.3} $$ $$ K_{\mathrm{IF,FMC,MPF}}:=\Pr\{\mathrm{IF\ detectable}\}\tag{100.4} $$ $$ K_{\mathrm{SM,FMC,MPF}}:=\Pr\{\mathrm{SM\ detectable}\}\tag{100.5} $$

---

前のブログ 次のブログ

(98.1)の定義を用いれば、時刻$t$から$t+dt$において発生するIFのフォールトについて、VSG抑止される確率を求めると、条件付き確率のチェインルールを用いれば、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\tag{99.1} $$ ここで、それぞれ $$ \Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}},\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) \tag{99.2} $$ であるから、 $$ (99.1)=K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt\tag{99.3} $$ と、IFに関する故障率や信頼度関数で表すことができます。

問題1
しかしながら、Kパラメータ($K_{\mathrm{FMC,MPF}}$及び$K_{\mathrm{FMC,RF}}$)が条件付き確率として一定だと矛盾が起きます。抑止条件が確率的に作用することにより、例えば1回目にはVSG抑止されたフォールトが、2回目にはVSG抑止されないことが起こりえます。あるいは1回目にはリペアされたフォールトが2回目にはリペアされないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

問題2
次に、例えば故障検出率$K_{\mathrm{FMC,MPF}}$について考えると、長時間が経ち故障検出を長く続ける場合を考えます。検出されるフォールトは全量リペアされるのに比べて、検出されないフォールトはどんどん溜まって行き、不信頼度は上昇し続けます。従って、新たにフォールトするうちの検出される部分の比率が高まりそうであるのに、条件付き確率として一定値であると感覚に反します。

フォールト検出のたびにサイコロで検出を決めているならそのようになりますが、一般的には診断カバレージ(Diagnostic Coverage; DC)はSMのアーキテクチャにより決定され、確率的には検出されないとここでは考えることにします。そうすれば、上記の問題点は解消されます。

図99.1　Q(t)のグラフ

問題1
確率的に一定ではなく、アーキテクチャ的に一定量を必ず検出できるとした場合のグラフです。これであれば、$\tau$毎に必ず検出分は修理され、問題はありません。

問題2
これに関しても、アーキテクチャ的に一定量を必ず検出できるとした場合、グラフから見られるように、不信頼度は時間と伴に上昇していきます。

---

前のブログ 次のブログ

デュアルポイントフェイリャ

次にDPFについて、弊社が考える式とどこが相違しているかを見ていきます。

まず、SMがVSGとならない場合のパターン1式は特定条件(※1)でのみ合っています。この条件は1st Edition規格第1式とも同じです。次にパターン2は特定条件(※1)において前述のように2倍だけ異なっています。この2倍の理由は不明です。追記：4年後に判明したのでこの記事に記載しました。
※1 $K_{IF,lat}=0\cap K_{SM1,det}=1$の場合。これを言い換えると、IFはVSGの可能性があるが修理不可能、かつ、SM1はVSGの可能性無しで修理可能。

さらにパターン3、4式は特定条件(※2)でのみ合っています。単にパターン1, 2をひっくり返した(IFとSM1を入れ替えた)式のように見えます。
※2 $K_{SM1,lat}=0\cap K_{IF,det}=1$の場合。これを言い換えると、SM1はVSGの可能性があるが修理不可能、かつ、IFはVSGの可能性無しで修理可能。

これは以下の条件からくるものと推測します。以下は2nd Edition Part10 8.3.2.3 Table 2の引用です。

表69.1

	First fault:SM1⇒Second fault:IF	First fault:IF⇒Second fault:SM1
Cannot notify the driver	Pattern 1	Pattern 3
Can notify the driver	Pattern 2	Pattern 4

つまり、Pattern1及び2はIFフォールトによるVSGであり、SM1は修理系、IFは非修理系を仮定しています。 一方、Pattern3及び4はSM1フォールトによるVSGであり、Pattern1及び2のIF/SM1を入れ替えたものとなっているところから推測すればIFは修理系、SM1は非修理系を仮定しています。

いずれも最初のフォールトが起きるエレメントは、upしたりdownしたりを繰り返しても良いのですが(=修理可能という意味)、2番目にフォールトが起きるエレメントは、(最初のフォールトがリペアされた場合)downしたりupしたりするはずが、2番目にdownすることしか許されていません。これは非修理系を意味します。つまり後からフォールトするエレメントの制約が強すぎます。このことは言葉の定義だけで理解されるものではなく、その仮定から導出された1st Editionの式の意味まで考えて初めて理解されることです。

いずれにしろ、この前提はIFもSM1も$t=0$において修理系という一般的なサブシステムに対して、修理不可能という制約をかけすぎているため、PMHFの過大評価につながります。

弊社が考えるPMHFの一般式

IFとSM1が$t=0$において修理系という条件で、マルコフ状態遷移図を書き、確率微分方程式を立て、積分して平均PUDを算出した式において、Edition 1の方法で上界を求めた式は、 $$ M_{PMHF}=\lambda_{IF,RF}+\img[-1.35em]{/images/withinseminar.png}\tag{69.1} $$ となります。

規格の式(図68.1)は、実際よりも過剰な※1または※2のみで成立する式です。

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_\text{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

信頼度(Reliability)

$$ R_\text{item}(t):=\Pr\lbrace\text{item not failed in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_\text{item}\rbrace \tag{66.1} $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

不信頼度(Unreliability, Cumulative Distribution Function, CDF)

$$ F_\text{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_\text{item}\le t\rbrace \tag{66.2} $$ 非修理系システムで、時刻$t$までに故障する確率。

非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

故障密度(Probability Density, Probability Density Function, PDF)

$$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.3} $$ 又は、微小故障確率形式として、 $$ f_\text{item}(t)dt=\Pr\{\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\}\\ =\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace\\ =\Pr\{X_\text{item}\in dt\} \tag{66.4} $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_\text{item}\rbrace+\Pr\lbrace X_{item}\le t+dt\rbrace - \Pr\lbrace t\le X_\text{item} \cup X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.5} $$

(瞬間)故障率(Failure Rate)

$$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace}{dt}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.6} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_\text{item}(t)$の式を用いて $$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_\text{item}\le t+dt \cap t \le X_\text{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_\text{item}\rbrace}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.7} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace\\ =\Pr\{t\lt X_\text{item}\le t+dt\ |\ t\le X_\text{item}\}\\ =\Pr\{X_\text{item}\in dt\ |\ t\le X_\text{item}\} \tag{66.8} $$

稼働度((Point) Availability)

$$ A_\text{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace \tag{66.9} $$ 修理系システムで、時刻$t$で稼働している確率。

不稼働度((Pont) Unavailability, PUA)

$$ U_\text{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=1-A_\text{item}(t) \tag{66.10} $$ 修理系システムで、時刻$t$で不稼働な確率。

無条件故障強度(Unconditional Failure Intensity, UFI; Failure Frequency; ROCOF)

$N_\text{item}(t)$を時刻$t$までの累積故障回数とする。

$$ z_\text{item}(t):=\lim_{dt\rightarrow0+}\frac{E\{N_\text{item}(t+dt)-N_\text{item}(t)\}}{dt} \tag{66.11} $$ 又は、微小増分形式として $$ E\{N_\text{item}(t+dt)-N_\text{item}(t)\}=z_\text{item}(t)dt+o(dt) \tag{66.12} $$

平均無条件故障強度(Average UFI, AROCOF)

無条件故障強度(UFI)の車両寿命間$T_\text{lifetime}$の平均値を求めると、平均無条件故障強度(Average UFI)は、 $$ \overline{z_\text{item}}(0,T_\text{lifetime}):=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}z_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}E\{N_\text{item}(T_\text{lifetime})\} \tag{66.13} $$

PFH(Probability of Failure per Hour)

注意：Probability of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。 危険故障の累積回数を$N_D(t)$、その無条件危険故障強度を$z_D(t)$とすると、 $$ PFH:=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}z_\text{D}(t)dt=\frac{1}{T_\text{lifetime}}E\{N_\text{D}(T_\text{lifetime})\} \tag{66.14} $$

Vesely故障率(Vesely Failure Rate)

修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。conditional failure intensity (条件付き故障強度)とも呼ばれる。

$$ \lambda_\text{v,item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{h_\text{item}(t)}{A_\text{item}(t)} \tag{66.15} $$

---

前のブログ 次のブログ

安全機構フォールトによるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMのフォールトがSMにより抑止されているものの、SMフォールトが引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式 のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前稿で求めたのが、最初のフォールトはどうあれ、主機能MのフォールトによるVSG確率でした(表63.1のCase 1及びCase 4)。従って、「故障の順番が無関係」とは、両方(全て)の条件の場合を意味し、次に必要なのはSMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトはDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのLAT1→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$ q_{SM,DPF}(t)dt=\Pr\{\text{LAT1 at }t\cap\text{SM down in }(t, t+dt]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{65.1} $$ と求められ、平均PUDを計算すれば、 $$\overline{\varphi_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて定期検査時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲) と正確に一致します。

---

前のブログ 次のブログ

次に、定期検査時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式 と正確に一致します。

---

前のブログ 次のブログ

主機能フォールトによるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能フォールトに関するPMHFこと時間平均PUDを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\varphi_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMのフォールトの後に主機能がフォールトする場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMがフォールトしている場合は主機能フォールト抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前稿までに見たように、OPR→SPF(安全機構のフォールトが無い状態で主機能フォールトの場合)及びLAT2→DPF(規格の条件どおり、安全機構に続く主機能のフォールトの場合)の2条件の和となります。つまり規格第1式は、安全機構のフォールトの有無を問わない、主機能フォールトによるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMのフォールトの後に主機能がフォールトする場合」はCase 4のみを意味していますが、実際には数式は、主機能フォールトによるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 しかし、MがフォールトしてもSMがそれをVSG(安全目標侵害)抑止している場合には、次のSMのフォールトは直ちにSG侵害となるため、一旦Mがフォールトとなった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT1:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT2:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,SPF}(t)dt=\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{M\ up\ at\ }t\cap\text{SM up at }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{VSG\ of\ M\ not\ preventable}\}\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\Pr\{\text{SM up at }t\}\\ =(1-K_{M,FMC,RF})A_{SM}(t)R_{M}(t)\lambda_{M}dt=(1-K_{M,FMC,RF})A_{SM}(t)f_{M}(t)dt\tag{62.1} $$

マルコフ状態遷移図でのLAT2→DPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,DPF}(t)dt=\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\cap\mathrm{M\ up\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\rbrace\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\\ =Q_{SM}(t)R_{M}(t)\lambda_{M}dt=Q_{SM}(t)f_{M}(t)dt\tag{62.2} $$

主機能フォールトによるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合の微小遷移確率が求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\bmod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ