PFH の $\sum\lambda$ 式はどの仮定から出るか

前稿では、同じ IF-SM 潜在状態モデルを PFH 側にも持ち込むと、PFH も PMHF と同じ形の 2 次項を持つことを示しました。これに対して、IEC 61508 の本文では(図1064.1) PFH は各サブシステムの $\lambda$ を加える形で提示されており、その加法形がどの状態モデルの縮約であり、どの仮定の下で妥当かは、その箇所では明示されていません。

この文の和訳は以下です。

B.3.1　計算手順

高頻度要求モードまたは連続モードで運転される E/E/PE 安全関連系の故障確率を計算する方法および手順は、低頻度要求モードの計算方法および手順と同一である。ただし、平均要求時故障確率 (PFD_{AVG}) を、1時間当たりの危険側故障確率 (\lambda_{AVG}) に置き換える点だけが異なる。

E/E/PE 安全関連系全体の危険側故障確率$\lambda_{AVG}$は、危険事象に対する保護を提供するすべてのサブシステムについて$\lambda$を計算し、それら個々の値を加え合わせることによって求められる。これは次式で表される。

$$ \lambda_{AVG} = \sum \lambda_{SE} + \sum \lambda_{LS} + \sum \lambda_{FE} $$

ここで、

— $\lambda_{AVG}$は、E/E/PE 安全関連系の1時間当たりの故障確率である。
— $\lambda_{SE}$は、センサまたは入力インタフェース要素の1時間当たりの故障確率である。
— $\lambda_{LS}$は、ロジックシステム要素の1時間当たりの故障確率である。
— $\lambda_{FE}$は、出力インタフェース要素または最終要素の1時間当たりの故障確率である。

したがって、規格を素直に読む限り、PFH は実質的に $\sum\lambda$ で与えられる量として受け取られます。本稿では、その表示式の背後にある仮定を整理します。

前稿の結果を抽象化すると、PFH 側で、危険事象の直前にある潜在状態の時点不稼働確率を $U_\text{LAT}(t)$、そこから危険事象を生じさせる最後の危険故障率を $\lambda_\text{last}$、単独で危険事象を生じさせる SPF 寄与を $\lambda_\text{SPF}$ としたとき、

$$ \mathrm{PFH}(0,H)\approx\lambda_\text{SPF}+\frac{\lambda_\text{last}}{H}\int_0^H U_\text{LAT}(t)\,dt \tag{1064.1} $$

と書けます。

第1の仮定は、各サブシステムの内部時間依存を、あらかじめ 1 個の平均故障率に縮約していることです。すなわち、サブシステム $i$ に対して、危険事象への流入頻度を $w_i(t)$ とすると、その平均値

$$ \lambda_i:=\frac{1}{H}\int_0^H w_i(t)\,dt \tag{1064.2} $$

だけでサブシステムを代表させる、という仮定です。規格で「各サブシステムの $\lambda$ を計算して足し合わせる」と書かれているとき、まずこの縮約が暗黙に入っています。

第2の仮定は、サブシステム内部で潜在状態を経由する 2 次項を省略していることです。すなわち、(1064.1) の第2項

$$ \Delta_\text{2nd}(H):=\frac{\lambda_\text{last}}{H}\int_0^H Q_\text{LAT}(t)\,dt \tag{1064.3} $$

に対して

$$ \Delta_\text{2nd}(H)\ll\lambda_\text{SPF} \tag{1064.4} $$

として、これを無視します。すると

$$ \mathrm{PFH}(0,H)\approx\lambda_\text{SPF} \tag{1064.5} $$

となります。

最後に、互いに独立な SPF 寄与が $m$ 個あり、それぞれの平均危険故障率を $\lambda_i$ とすると

$$ \lambda_\text{AVG}\approx\sum_{i=1}^{m}\lambda_i \tag{1064.6} $$

です。これが規格で見える $\sum\lambda$ 形です。ここでの加算そのものは、通常の独立レアイベント近似の範囲に属します。

このことは、1059 で得た PMHF の DPF 項

$$ \frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})T+K_\text{SM,DPF}\tau\bigr) \tag{1064.7} $$

と比較すると分かりやすくなります。前稿の PFH の 2 次項とこの DPF 項は、どちらも

「第1故障率 × 平均露出時間 × 第2故障率」

という同じ 2 次構造を持っています。したがって、規格を素直に読む限り PFH は SPF の和として理解されますが、状態モデルを復元すると PFH 側にも 2 次項は現れ、そこで初めて PMHF の DPF 項と同じ数理構造が見えてきます。

前のブログ 次のブログ

同じ IF-SM 潜在状態モデルを PFH 側に持ち込んだときの形

前稿では、PFH と PMHF 型の量の厳密な差が、区間内における 2 回目以降の危険事象の寄与として表されることを示しました。本稿では、1057〜1059 で用いた IF-SM 潜在状態モデルをそのまま PFH 側にも適用すると、どのような式になるかを示します。

同じ IF-SM 潜在状態モデルを用いると、時刻 $t$ における危険事象への総流入頻度は

$$ w_D(t) =\Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,SPF} +\Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM},\ \eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,DPF} \tag{1063.1} $$

と書けます。第1項は IF の SPF 寄与、第2項は SM の潜在故障状態における IF の危険遷移です。

ここで IF 側については、小確率近似より

$$ \Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\} =e^{-\lambda_\text{IF}t}\approx1 \tag{1063.2} $$

です。また、1060 の (1060.10) より、第2項の同時確率は $U_\text{SM}(t)$ で近似できるので、

$$ w_D(t)\approx\lambda_\text{IF,SPF}+\lambda_\text{IF,DPF}U_\text{SM}(t) \tag{1063.3} $$

となります。

評価区間を $H$ とすると、PFH は

$$ \mathrm{PFH}(0,H) =\frac{1}{H}E\{N_D(H)\} =\frac{1}{H}\int_0^H w_D(t)\,dt \tag{1063.4} $$

なので、(1063.3)及び(1063.4)から

$$ \mathrm{PFH}(0,H)\approx\lambda_\text{IF,SPF}+\frac{\lambda_\text{IF,DPF}}{H}\int_0^H U_\text{SM}(t)\,dt \tag{1063.5} $$

です。

ここで、$U_\text{SM}(t)$ の式は 1057 の (1057.8)、小確率近似は 1057 の (1057.9) に与えられています。また、その寿命平均の計算は 1059 の (1059.3)〜(1059.7) と同様です。したがって、

$$ \frac{1}{H}\int_0^H U_\text{SM}(t)\,dt \approx\frac{1}{2}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})H+K_\text{SM,DPF}\tau\bigr) \tag{1063.6} $$

となります。

これを (1063.5) に代入すると

$$ \mathrm{PFH}(0,H)\approx\lambda_\text{IF,SPF}+\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})H+K_\text{SM,DPF}\tau\bigr) \tag{1063.7} $$

です。さらに、1058 の (1058.5) を代入すると、

$$ \mathrm{PFH}(0,H)\approx(1-K_\text{IF,RF})\lambda_\text{IF}+\frac{1}{2}K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})H+K_\text{SM,DPF}\tau\bigr) \tag{1063.8} $$

を得ます。

この式は、1059 で得た PMHF の最終式と同じ形です。したがって、同じ IF-SM 潜在状態モデル、同じ近似、同じ評価区間を用いるなら、PFH と PMHF は 1 次近似では同じ式になります。

ただし、IEC 61508 の本文では PFH は各サブシステムの $\lambda$ を加える形で提示されており、その加法形がどの状態モデルの縮約であり、どの仮定の下で妥当かは明示されていません。したがって、規格を素直に読む限り、PFH は実質的に $\sum\lambda$ で与えられる量として受け取られます。少なくとも規格に表れている式では、潜在状態を経由する二重故障経路は明確化されていません。

前のブログ 次のブログ

PFH と PMHF の厳密量の差

前稿の (1061.8) により、PFH は区間 $[0,T]$ における危険事象発生回数の期待値を $T$ で割った量として定義されます。本稿では、同じ危険事象に対して PMHF 型の量を定義し、両者が厳密にはどこで異なるのかを整理します。結論を先に言えば、その差は区間内における 2 回目以降の危険事象の寄与です。

同じ危険事象に対して、その初回発生時刻を

$$ \sigma_\text{DF}:=\inf\{t\ge0\mid N_\text{DF}(t)\ge1\} \tag{1062.1} $$

と定義します。

このとき、

$$ \{\sigma_\text{DF}\le T\}=\{N_\text{DF}(T)\ge1\} \tag{1062.2} $$

が成り立ちます。したがって、同じ危険事象に対する PMHF 型の量は

$$ \mathrm{PMHF}^{\ast}(T):=\frac{1}{T}\Pr\{\sigma_\text{DF}\le T\} =\frac{1}{T}\Pr\{N_\text{DF}(T)\ge1\} \tag{1062.3} $$

と書けます。VSG を吸収集合として扱う PMHF は、この形の量に対応します。

一方、前稿の PFH 定義に現れる期待回数は

$$ E\{N_\text{DF}(T)\} =\sum_{n\ge1}n\,\Pr\{N_\text{DF}(T)=n\} \tag{1062.4} $$

です。

これに対して、初回到達確率は

$$ \Pr\{N_\text{DF}(T)\ge1\} =\sum_{n\ge1}\Pr\{N_\text{DF}(T)=n\} \tag{1062.5} $$

です。したがって両者の差は

$$ E\{N_\text{DF}(T)\}-\Pr\{N_\text{DF}(T)\ge1\} =\sum_{n\ge2}(n-1)\Pr\{N_\text{DF}(T)=n\} \tag{1062.6} $$

となります。

前稿の PFH 定義と (1062.3), (1062.6) より、

$$ \mathrm{PFH}(0,T)-\mathrm{PMHF}^{\ast}(T) =\frac{1}{T}\sum_{n\ge2}(n-1)\Pr\{N_\text{DF}(T)=n\} \tag{1062.7} $$

です。

この式が示しているのは、PFH と PMHF 型の量の厳密な差が、区間 $[0,T]$ における 2 回目以降の危険事象の寄与そのものである、ということです。修理系では危険事象発生後も修理復帰し得るため、この項は一般には消えません。

これに対して、寿命区間 $[0,T]$ において危険事象は高々 1 回しか起きないという希少事象近似を

$$ \Pr\{N_\text{DF}(T)\ge2\}\approx0 \tag{1062.8} $$

と置けば、

$$ E\{N_\text{DF}(T)\}\approx\Pr\{N_\text{DF}(T)\ge1\} \tag{1062.9} $$

となります。したがって、PFH と PMHF 型の量の差は 1 次では見えなくなります。

要するに、PFH と PMHF の違いは、厳密には繰返し発生を数える量と初回到達をみる量の違いです。しかし希少事象近似を寿命区間全体にまで拡張すると、その差は 2 回目以降の発生確率に押し込められ、1 次では見えなくなります。次稿では、1057〜1059 で用いた IF-SM 潜在状態モデルを PFH 側にも持ち込み、同じ一次近似の下でどのような式になるかを示します。

前のブログ 次のブログ

PFH の定式化（修理系の危険事象と計数過程）

前稿までは、VSG を吸収集合とするサブシステムに対して PMHF を導きました。本稿からは PFH 側へ移ります。PFH 側では、危険状態に入った後も点検や修理により稼働状態へ復帰し得るので、危険状態集合は一般には吸収集合ではありません。本稿では区間平均量としての PFH を定義します。

サブシステム過程を $(\eta_t^\text{PFH})_{t\ge0}$ とし、稼働集合を $\mathcal M$、危険状態集合を $\mathcal P_\text{DF}$ とします。状態確率行ベクトルと生成行列を

$$ \begin{eqnarray} \left\{ \begin{array}{l} \mathbf p^\text{PFH}(t) =\bigl[\mathbf p_M(t)\ \mathbf p_P(t)\bigr], \\ \frac{d}{dt}\mathbf p^\text{PFH}(t)=\mathbf p^\text{PFH}(t)\mathbf Q^\text{PFH}, \\ \mathbf Q^\text{PFH} =\left(\matrix{ \mathbf Q_{MM} & \mathbf Q_{MP} \cr \mathbf Q_{PM} & \mathbf Q_{PP} }\right) \end{array} \right. \end{eqnarray} \tag{1061.1} $$

と表します。ここで修理系では、一般に $\mathbf Q_{PM}\neq\mathbf 0$ です。

危険状態の時点不稼働確率を

$$ U_\text{DF}(t) :=\Pr\{\eta_t^\text{PFH}\in\mathcal P_\text{DF}\} =\mathbf p_P(t)\mathbf 1 \tag{1061.2} $$

と定義します。ここで $\mathbf 1$ は適切な次元の全成分 1 の列ベクトルです。

一方、稼働集合から危険状態集合への条件付き遷移率、すなわち Vesely 故障率は

$$ \lambda_V^\text{PFH}(t) :=\lim_{dt\to0}\frac{\Pr\{\eta_{t+dt}^\text{PFH}\in\mathcal P_\text{DF}\mid\eta_t^\text{PFH}\in\mathcal M\}}{dt} =\frac{\mathbf p_M(t)\mathbf Q_{MP}\mathbf 1}{\mathbf p_M(t)\mathbf 1} \tag{1061.3} $$

です。

したがって、時刻 $t$ における危険状態への総流入頻度は

$$ w_\text{DF}(t) :=\mathbf p_M(t)\mathbf Q_{MP}\mathbf 1 =\Pr\{\eta_t^\text{PFH}\in\mathcal M\}\lambda_V^\text{PFH}(t) \tag{1061.4} $$

と書けます。これは、その時刻に稼働集合にいる確率と、その条件の下で危険状態へ移る率との積です。

他方、$U_\text{DF}(t)$ の時間変化は、危険状態への流入だけではなく、危険状態からの修理復帰にも依存します。(1061.2)を微分し、(1061.1)のブロック行列から $P$成分の前進方程式を取り出し、さらに生成行列の行和ゼロ$\mathbf{Q}_{PP}\mathbf{1}=-\mathbf{Q}_{PM}\mathbf 1$を用いると、危険状態確率の増加率は『流入 minus 流出』に書き直せるので

$$ \begin{eqnarray} \frac{d}{dt}U_\text{DF}(t) &=& \frac{d}{dt}\bigl(\mathbf p_P(t)\mathbf 1\bigr)\\ &=& \mathbf p_M(t)\mathbf Q_{MP}\mathbf 1+\mathbf p_P(t)\mathbf Q_{PP}\mathbf 1\\ &=& \mathbf p_M(t)\mathbf Q_{MP}\mathbf 1-\mathbf p_P(t)\mathbf Q_{PM}\mathbf 1 \end{eqnarray} \tag{1061.5} $$

となります。最後の等号では、各行の行和が 0 であることから $\mathbf Q_{PP}\mathbf 1=-\mathbf Q_{PM}\mathbf 1$ を用いました。したがって、修理系では一般に $dU_\text{DF}(t)/dt$ と $w_\text{DF}(t)$ は一致しません。

ここで、危険状態集合への進入回数を数える計数過程を $N_\text{DF}(t)$ とします。微小時間 $dt$ の間にその期待増分は

$$ E\{N_\text{DF}(t+dt)-N_\text{DF}(t)\} =w_\text{DF}(t)dt+o(dt) \tag{1061.6} $$

となるので、$W_\text{DF}(t):=E\{N_\text{DF}(t)\}$ とおけば、(1061.6)を$dt$で割って $dt\rightarrow0$とすると

$$ \frac{d}{dt}W_\text{DF}(t)=w_\text{DF}(t) \tag{1061.7} $$

です。

したがって、区間 $[0,T]$ における平均危険事象発生頻度は

$$ \mathrm{PFH}(0,T) :=\frac{1}{T}W_\text{DF}(T) =\frac{1}{T}\int_0^T w_\text{DF}(t)\,dt \tag{1061.8} $$

と定義できます。

さらに、希少事象近似の下で

$$ \Pr\{\eta_t^\text{PFH}\in\mathcal M\}\approx1 \tag{1061.9} $$

とみなせるとき、(1061.4)から

$$ w_\text{DF}(t)\approx\lambda_V^\text{PFH}(t) \tag{1061.10} $$

となります。したがって PFH は、Vesely 故障率の時間平均としても読めます。

ここで重要なのは、修理系では危険事象が繰返し起こり得るため、PFH が本質的に計数過程 $N_\text{DF}(t)$ に基づいて定義される、という点です。次稿では、この修理系の PFH と、吸収型の初回到達量としての PMHF とを、同じ確率論の枠で比較します。

前のブログ 次のブログ

生成行列に基づく SPF/DPF の導出

前稿までで、$U_\text{SM}(t)$ を用いた VSG 到達密度の導出を終えたので、本稿では同じ結果が生成行列からも得られることを示します。ここでは状態を数値ではなく意味を持つ記号で表します。なお、以下の $Q$ は区間内 $(\tau_k,\tau_{k+1})$ の生成行列であり、PIR による回復は含みません。PIR は検査時刻での境界条件として与えます。

区間内のサブシステム過程 $(\eta_t^\text{sub})_{t\ge0}$ の状態順序を

$$ \mathcal S=\bigl(\mathrm{OPR},\mathrm{LAT}_U,\mathrm{LAT}_D,\mathrm{ABS}_\text{SPF},\mathrm{ABS}_\text{DPF}\bigr) \tag{1060.1} $$

とします。ここで $\mathrm{OPR}$ は通常稼働状態、$\mathrm{LAT}_U$ は未検出の潜在状態、$\mathrm{LAT}_D$ は検出対象の潜在状態、$\mathrm{ABS}_\text{SPF}$ と $\mathrm{ABS}_\text{DPF}$ はそれぞれ SPF と DPF に対応する吸収状態です。

IF 側および SM 側の率分解を

$$ \begin{eqnarray} \left\{ \begin{array}{l} \lambda_\text{IF,SPF}=(1-K_\text{IF,RF})\lambda_\text{IF},\\ \lambda_\text{IF,DPF}=K_\text{IF,RF}\lambda_\text{IF},\\ \lambda_\text{IF}=\lambda_\text{IF,SPF}+\lambda_\text{IF,DPF},\\ \lambda_\text{SM,U}=(1-K_\text{SM,DPF})\lambda_\text{SM},\\ \lambda_\text{SM,D}=K_\text{SM,DPF}\lambda_\text{SM} \end{array} \right. \end{eqnarray} \tag{1060.2} $$

とします。

状態順序(1060.1)と率分解(1060.2)に従い、各状態からの遷移率を行ごとに並べると この順序に対応する区間内生成行列 $Q$ は

$$ Q=\left(\matrix{ -(\lambda_\text{SM,U}+\lambda_\text{SM,D}+\lambda_\text{IF,SPF}) & \lambda_\text{SM,U} & \lambda_\text{SM,D} & \lambda_\text{IF,SPF} & 0 \cr 0 & -\lambda_\text{IF} & 0 & \lambda_\text{IF,SPF} & \lambda_\text{IF,DPF} \cr 0 & 0 & -\lambda_\text{IF} & \lambda_\text{IF,SPF} & \lambda_\text{IF,DPF} \cr 0 & 0 & 0 & 0 & 0 \cr 0 & 0 & 0 & 0 & 0 }\right) \tag{1060.3} $$

です。

稼働集合と吸収集合を

$$ \begin{eqnarray} \left\{ \begin{array}{l} \mathcal M:=\{\mathrm{OPR},\mathrm{LAT}_U,\mathrm{LAT}_D\},\\ \mathcal P_\text{SPF}:=\{\mathrm{ABS}_\text{SPF}\},\\ \mathcal P_\text{DPF}:=\{\mathrm{ABS}_\text{DPF}\},\\ \mathcal P_\text{VSG}:=\mathcal P_\text{SPF}\cup\mathcal P_\text{DPF} \end{array} \right. \end{eqnarray} \tag{1060.4} $$

と定義します。

状態確率行ベクトルを

$$ \mathbf p(t)=\bigl(p_\text{OPR}(t),p_{\mathrm{LAT}_U}(t),p_{\mathrm{LAT}_D}(t),p_{\mathrm{ABS}_\text{SPF}}(t),p_{\mathrm{ABS}_\text{DPF}}(t)\bigr), \qquad \frac{d}{dt}\mathbf p(t)=\mathbf p(t)Q \tag{1060.5} $$

とします。一方、PIR は検査時刻での瞬時リセットとして

$$ \mathbf p(\tau_k^+)=\mathbf p(\tau_k^-)R, \qquad R=\left(\matrix{ 1 & 0 & 0 & 0 & 0 \cr 0 & 1 & 0 & 0 & 0 \cr 1 & 0 & 0 & 0 & 0 \cr 0 & 0 & 0 & 1 & 0 \cr 0 & 0 & 0 & 0 & 1 }\right) \tag{1060.6} $$

で与えます。したがって、PIR により $\mathrm{LAT}_D$ の確率質量だけが $\mathrm{OPR}$ に戻ります。

すると、前進方程式の第4成分および第5成分より

$$ \begin{eqnarray} \left\{ \begin{array}{l} \frac{d}{dt}p_{\mathrm{ABS}_\text{SPF}}(t)=\lambda_\text{IF,SPF}\bigl(p_\text{OPR}(t)+p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)\bigr),\\ \frac{d}{dt}p_{\mathrm{ABS}_\text{DPF}}(t)=\lambda_\text{IF,DPF}\bigl(p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)\bigr) \end{array} \right. \end{eqnarray} \tag{1060.7} $$

を得ます。

ここで初期時刻では吸収状態に確率質量はなく、しかも $\mathrm{ABS}_\text{SPF}$ と $\mathrm{ABS}_\text{DPF}$ は吸収状態なので、

$$ F_\text{SPF}(t)=p_{\mathrm{ABS}_\text{SPF}}(t), \qquad F_\text{DPF}(t)=p_{\mathrm{ABS}_\text{DPF}}(t) \tag{1060.8} $$

です。したがって

$$ \begin{eqnarray} \left\{ \begin{array}{l} f_\text{SPF}(t)=\lambda_\text{IF,SPF}\bigl(p_\text{OPR}(t)+p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)\bigr),\\ f_\text{DPF}(t)=\lambda_\text{IF,DPF}\bigl(p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)\bigr) \end{array} \right. \end{eqnarray} \tag{1060.9} $$

となります。

ここで、希少事象近似$\lambda_\text{VSG}t\ll1$の下では

$$ \begin{eqnarray} \left\{ \begin{array}{l} p_\text{OPR}(t)+p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)=1-F_\text{VSG}(t)\approx1-\lambda_\text{VSG}t\approx1,\\ p_{\mathrm{LAT}_U}(t)+p_{\mathrm{LAT}_D}(t)=\Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM}\mid\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\approx U_\text{SM}(t) \end{array} \right. \end{eqnarray} \tag{1060.10} $$

です。したがって

$$ f_\text{VSG}(t)=f_\text{SPF}(t)+f_\text{DPF}(t)\approx\lambda_\text{IF,SPF}+\lambda_\text{IF,DPF}U_\text{SM}(t) \tag{1060.11} $$

を得ます。これは前稿までの導出と一致します。したがって、PMHF の SPF 項および DPF 項は、生成行列に基づく CTMC からも同じ形で導かれます。

前のブログ 次のブログ

PoF と PMHF の定義および最終式の導出

前稿で VSG 到達密度の近似式 (1058.13) を得たので、本稿では PoF と PMHF の定義から PMHF の最終式を導きます。以下、車両寿命を $T:=T_\text{lifetime}$ とし、$T=n\tau$ を仮定します。

まず、車両寿命 $T$ までに VSG が発生する確率を $\mathrm{PoF}_\text{VSG}(T)$ と書くと、PMHF は

$$ \mathrm{PMHF}(T) =\frac{1}{T}\mathrm{PoF}_\text{VSG}(T) =\frac{1}{T}F_\text{VSG}(T) =\frac{1}{T}\int_0^T f_\text{VSG}(t)\,dt \tag{1059.1} $$

です。

ここで前稿の (1058.13) を (1059.1) に代入すると

$$ \mathrm{PMHF}(T)\approx\lambda_\text{IF,SPF}+\frac{\lambda_\text{IF,DPF}}{T}\int_0^T U_\text{SM}(t)\,dt \tag{1059.2} $$

となります。

さらに前々稿の (1057.8) を用いると

$$ \frac{1}{T}\int_0^T U_\text{SM}(t)\,dt =\frac{1-K_\text{SM,DPF}}{T}\int_0^T F_\text{SM}(t)\,dt+\frac{K_\text{SM,DPF}}{T}\int_0^T F_\text{SM}(u)\,dt \tag{1059.3} $$

です。

ここで $T=n\tau$ なので、第2項は周期ごとに同じ積分の繰返しとなり、

$$ \int_0^T F_\text{SM}(u)\,dt =\sum_{k=0}^{n-1}\int_{k\tau}^{(k+1)\tau}F_\text{SM}(t-k\tau)\,dt =n\int_0^\tau F_\text{SM}(u)\,du \tag{1059.4} $$

と変形できます。

また、前々稿の (1057.9) を用いると、第1項は

$$ \frac{1}{T}\int_0^T F_\text{SM}(t)\,dt \approx\frac{1}{T}\int_0^T \lambda_\text{SM}t\,dt =\frac{1}{2}\lambda_\text{SM}T \tag{1059.5} $$

となります。

同様に、第2項は

$$ \frac{1}{T}\int_0^T F_\text{SM}(u)\,dt \approx\frac{1}{T}n\int_0^\tau \lambda_\text{SM}u\,du =\frac{1}{2}\lambda_\text{SM}\tau \tag{1059.6} $$

となります。

したがって (1059.3) は

$$ \frac{1}{T}\int_0^T U_\text{SM}(t)\,dt \approx\frac{1}{2}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})T+K_\text{SM,DPF}\tau\bigr) \tag{1059.7} $$

となるので、これを (1059.2) に代入すると

$$ \mathrm{PMHF}(T)\approx\lambda_\text{IF,SPF}+\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})T+K_\text{SM,DPF}\tau\bigr) \tag{1059.8} $$

です。

最後に、前稿の (1058.5) を用いると

$$ \mathrm{PMHF}(T)\approx(1-K_\text{IF,RF})\lambda_\text{IF}+\frac{1}{2}K_\text{IF,RF}\lambda_\text{IF}\lambda_\text{SM}\bigl((1-K_\text{SM,DPF})T+K_\text{SM,DPF}\tau\bigr) \tag{1059.9} $$

を得ます。

ここで第1項は IF の残留故障に由来する SPF 項であり、第2項は SM の潜在故障確率と IF の多重点故障側故障率の積として現れる DPF 項です。したがって、PMHF は SPF 項と DPF 項の和として理解できます。

前のブログ 次のブログ

サブシステム（VSG吸収）と SPF/DPF 到達密度の定式化

前稿で SM エレメントの時点不稼働確率 $U_\text{SM}(t)$ を得たので、本稿ではサブシステム水準へ進み、VSG を吸収集合として到達密度 $f_\text{VSG}(t)$ を定式化します。ここでは非冗長系を仮定します。

VSG に対応するサブシステム過程を $(\eta_t^\text{sub})_{t\ge0}$ とし、吸収集合を $\mathcal P_\text{VSG}$ とします。VSG 到達確率を

$$ F_\text{VSG}(t):=\Pr\{\eta_t^\text{sub}\in\mathcal P_\text{VSG}\} \tag{1058.1} $$

と定義します。

VSG 到達密度は

$$ f_\text{VSG}(t):=\frac{d}{dt}F_\text{VSG}(t) \tag{1058.2} $$

です。

次に、IF に対応する確率過程を $(\eta_t^\text{IF})_{t\ge0}$ とし、その危険故障モード集合を SPF 寄与集合と DPF 寄与集合に

$$ \mathcal P_\text{IF} =\mathcal P_\text{IF,SPF}\cup\mathcal P_\text{IF,DPF}, \qquad \mathcal P_\text{IF,SPF}\cap\mathcal P_\text{IF,DPF}=\varnothing \tag{1058.3} $$

と分割します。

このとき、IF の SPF 側および DPF 側の条件付き遷移率を

$$ \begin{eqnarray} \left\{ \begin{array}{l} \lambda_\text{IF,SPF}:=\lim_{dt\to0}\frac{\Pr\{\eta_{t+dt}^\text{IF}\in\mathcal P_\text{IF,SPF}\mid\eta_t^\text{IF}\in\mathcal M_\text{IF}\}}{dt},\\ \lambda_\text{IF,DPF}:=\lim_{dt\to0}\frac{\Pr\{\eta_{t+dt}^\text{IF}\in\mathcal P_\text{IF,DPF}\mid\eta_t^\text{IF}\in\mathcal M_\text{IF}\}}{dt} \end{array} \right. \end{eqnarray} \tag{1058.4} $$

と定義します。

さらに、決定論的 $K$ による率分解を用いると

$$ \begin{eqnarray} \left\{ \begin{array}{l} \lambda_\text{IF,SPF}=(1-K_\text{IF,RF})\lambda_\text{IF},\\ \lambda_\text{IF,DPF}=K_\text{IF,RF}\lambda_\text{IF} \end{array} \right. \end{eqnarray} \tag{1058.5} $$

です。

まず SPF 項を求めます。条件付き確率の乗法公式より

$$ \Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF},\ \eta_{t+dt}^\text{IF}\in\mathcal P_\text{IF,SPF}\} =\Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,SPF}dt+o(dt) \tag{1058.6} $$

となるので、これを$dt$で割って $dt\rightarrow0$とすると

$$ f_\text{SPF}(t)=\Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,SPF} \tag{1058.7} $$

です。

次に DPF 項を求めます。時刻 $t$ において SM が潜在故障状態にあり、かつ IF が稼働集合にあるとき、その後の微小時間 $dt$ の間に IF の DPF 側故障により VSG に到達する確率は

$$ \Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM},\ \eta_t^\text{IF}\in\mathcal M_\text{IF},\ \eta_{t+dt}^\text{IF}\in\mathcal P_\text{IF,DPF}\}\\ =\Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM},\ \eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,DPF}dt+o(dt) \tag{1058.8} $$

です。したがってこれを$dt$で割って $dt\rightarrow0$とすると

$$ f_\text{DPF}(t)=\Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM},\ \eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,DPF} \tag{1058.9} $$

となります。ここで IF 側の故障が希少事象であることから、

$$ \Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM},\ \eta_t^\text{IF}\in\mathcal M_\text{IF}\} \approx \Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}U_\text{SM}(t) \tag{1058.10} $$

と近似できるので、

$$ f_\text{DPF}(t)\approx \Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\}\lambda_\text{IF,DPF}U_\text{SM}(t) \tag{1058.11} $$

です。

ここで IF 側については、小確率近似 $\lambda_\text{IF}t\ll1$ の下で

$$ \Pr\{\eta_t^\text{IF}\in\mathcal M_\text{IF}\} =R(t)=e^{-\lambda_\text{IF}t}\approx1-\lambda_\text{IF}t\approx1 \tag{1058.12} $$

(1058.7)と(1058.11)を加えて(1058.12)を用いれば、

$$ f_\text{VSG}(t)=f_\text{SPF}(t)+f_\text{DPF}(t)\approx\lambda_\text{IF,SPF}+\lambda_\text{IF,DPF}U_\text{SM}(t) \tag{1058.13} $$

となります。

最後に、車両寿命を $T_\text{lifetime}$ とすると、VSG の発生確率は

$$ \mathrm{PoF}_\text{VSG}(T_\text{lifetime})=F_\text{VSG}(T_\text{lifetime}) \tag{1058.14} $$

であり、PMHF は

$$ \begin{eqnarray} \mathrm{PMHF}(T_\text{lifetime}) &=&\frac{1}{T_\text{lifetime}}\mathrm{PoF}_\text{VSG}(T_\text{lifetime}) =\frac{1}{T_\text{lifetime}}F_\text{VSG}(T_\text{lifetime})\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{VSG}(t)\,dt \end{eqnarray} \tag{1058.15} $$

で与えられます。次稿では、前稿の $U_\text{SM}(t)$ を (1058.15) に代入し、PMHF の最終式を導きます。生成行列に基づく別導出は後続で与えます。

前のブログ 次のブログ

エレメント（修理系）を出発点とする導出（決定論的K、PIR周期一定）

前稿で修理系エレメントの時点可用度 $A(t)$ と Vesely 故障率 $\lambda_V(t)$ を定義したので、本稿では SM エレメントの時点不稼働確率 $U_\text{SM}(t)$ の具体式を導出します。本稿では連続時間マルコフ連鎖の一般論は最小限にとどめ、具体的な生成行列は後続のサブシステム導出で導入します。

確率空間 $(\Omega,\mathcal F,\Pr)$ 上で定義された確率過程 $(\eta_t^\text{SM})_{t\ge0}$ を考えます。任意の $t\ge0$, $s>0$ と状態 $i,j$ に対して

$$ \Pr\{\eta_{t+s}^\text{SM}=j\mid\eta_t^\text{SM}=i,\ \eta_r^\text{SM}=x_r,\ r<t\} =\Pr\{\eta_{t+s}^\text{SM}=j\mid\eta_t^\text{SM}=i\} \tag{1057.1} $$

が成り立つとき、$(\eta_t^\text{SM})_{t\ge0}$ は連続時間マルコフ連鎖です。

斉時連続時間マルコフ連鎖では、微小時間 $dt$ における遷移確率は(1056.8)より

$$ \Pr\{\eta_{t+dt}^\text{SM}=j\mid\eta_t^\text{SM}=i\} =h_{ij}dt+o(dt) \tag{1057.2} $$

で与えられます。

前稿の時点可用度 $A_\text{SM}(t)$ を用いれば、SM エレメントの時点不稼働確率は

$$ U_\text{SM}(t)=1-A_\text{SM}(t) \tag{1057.3} $$

です。

PIR 周期一定を仮定し、検査周期を $\tau$、検査時刻を $\tau_k=k\tau$ とします。区間 $[\tau_k,\tau_{k+1})$ における区間内時刻を

$$ u:=t-\tau_k \qquad \bigl(t\in[\tau_k,\tau_{k+1})\bigr) \tag{1057.4} $$

と定義します。

SM 故障時刻を $\sigma_\text{SM}$ とし、その分布関数を

$$ F_\text{SM}(t):=\Pr\{\sigma_\text{SM}\le t\} \tag{1057.5} $$

と定義します。

本稿では K パラメータを確率試行ではなく、アーキテクチャ能力に由来する母集団分割割合として扱います。SM 母集団ラベルを $C_\text{SM}$ とすると、その割合は

$$ \begin{eqnarray} \left\{ \begin{array}{l} \Pr\{C_\text{SM}=\mathcal U_\text{SM}\}=1-K_\text{SM,DPF},\\ \Pr\{C_\text{SM}=\mathcal D_\text{SM}\}=K_\text{SM,DPF} \end{array} \right. \end{eqnarray} \tag{1057.6} $$

です。

このとき、全確率の定理より

$$ \begin{eqnarray} U_\text{SM}(t) &=& \Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM}\mid C_\text{SM}=\mathcal U_\text{SM}\}\Pr\{C_\text{SM}=\mathcal U_\text{SM}\}\\ &&+ \Pr\{\eta_t^\text{SM}\in\mathcal P_\text{SM}\mid C_\text{SM}=\mathcal D_\text{SM}\}\Pr\{C_\text{SM}=\mathcal D_\text{SM}\} \end{eqnarray} \tag{1057.7} $$

となります。未検出群は寿命全体で故障確率が蓄積し、検出群は PIR ごとに年齢がリセットされるので、

$$ U_\text{SM}(t) =(1-K_\text{SM,DPF})F_\text{SM}(t)+K_\text{SM,DPF}F_\text{SM}(u) \tag{1057.8} $$

を得ます。

さらに、SM 故障時間が指数分布でかつ小確率 $\lambda_\text{SM}x\ll1$ の下では

$$ F_\text{SM}(x)=1-e^{-\lambda_\text{SM}x}\approx\lambda_\text{SM}x \tag{1057.9} $$

となるので、

$$ U_\text{SM}(t)\approx(1-K_\text{SM,DPF})\lambda_\text{SM}t+K_\text{SM,DPF}\lambda_\text{SM}u \tag{1057.10} $$

となります。

ここで得た $U_\text{SM}(t)$ は、後続のサブシステム導出において DPF 項の時間依存を担う基本量になります。

前のブログ 次のブログ

upやdownを数式で書いてみます。

非修理系

ランダムプロセス$\eta_s$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\lbrace s:\eta_{s}\in\mathcal{P}\rbrace$と示すことができます。

non-repairable elementの瞬間故障率$\lambda(t)$の定義式は、

$$ \lambda(t)\stackrel{\mathrm{def}}{=}\lim_{dt\downarrow 0}\frac{\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace}{dt}\tag{1056.1} $$

であり、(1056.1)を一次展開すれば、

$$ \Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\lambda(t)dt+o(dt)\tag{1056.2} $$

となります。ここで(1056.2)に条件付き確率の公式を用いれば、

$$ \Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\frac{\Pr\lbrace t\lt X\le t+dt\rbrace}{\Pr\lbrace t\lt X\rbrace}=\frac{f(t)}{R(t)}dt+o(dt)\tag{1056.3} $$

であることから、(1056.2)、(1056.3)の右辺の比較により、

$$ \lambda(t)=\frac{f(t)}{R(t)}\tag{1056.4} $$

修理系

repairable elementのVesely故障率$\lambda_V(t)$は、Christiane Cocozza-Thivent他の論文"The Failure Rate in Reliability. Numerical Treatment"の(1.2)式によれば、

$$\lambda_V(t)\stackrel{\mathrm{def}}{=}\lim_{dt\downarrow 0}\frac{\Pr\{\eta_{t+dt}\in\mathcal{P}\mid \eta_t\in\mathcal{M}\}}{dt} \tag{1056.5}$$

であり、(1056.5)を一次展開すれば、 $$ \Pr\{\eta_{t+dt}\in\mathcal{P}\mid\eta_t\in\mathcal{M}\}=\lambda_V(t)dt+o(dt)\tag{1056.6} $$

となります。次に無条件瞬間ダウン強度$h(t)$の定義式は、

$$ h(t)\stackrel{\mathrm{def}}{=} \lim_{dt\downarrow 0} \frac{\Pr\{\eta_t\in\mathcal{M},\ \eta_{t+dt}\in\mathcal{P}\}}{dt} \tag{1056.7} $$

であり、(1056.7)を一次展開すれば、 $$ \Pr\{\eta_t\in\mathcal{M},\ \eta_{t+dt}\in\mathcal{P}\}=h(t)dt+o(dt)\tag{1056.8} $$

となります。また、point availability$A(t)$は、

$$A(t)\stackrel{\mathrm{def}}{=}\Pr\{\eta_t\in\mathcal{M}\}\tag{1056.9}$$

で表されます。ここで(1056.6)に条件付き確率の公式を用いれば、(1056.8)及び(1056.9)より、

$$ \Pr\{\eta_{t+dt}\in\mathcal{P}\mid \eta_t\in\mathcal{M}\} =\frac{\Pr\{\eta_t\in\mathcal{M},\ \eta_{t+dt}\in\mathcal{P}\}}{\Pr\{\eta_t\in\mathcal{M}\}} =\frac{h(t)}{A(t)}dt+o(dt) \tag{1056.10} $$

であることから、(1056.6)、(1056.10)の右辺の比較により、

$$ \lambda_V(t)=\frac{h(t)}{A(t)}\tag{1056.11} $$

この記事の改訂版です。

前のブログ 次のブログ

過去記事に記載のとおり、RAMS 2026は、2025年1月19日から23日まで、昨年と同じく米国フロリダ州ミラマービーチのヒルトンサンデスティンホテルで開催されました。弊社代表は初日に論文発表を行いました。

本論文のタイトルは、"LLM Optimized Fault Tree Analysis (LOFTA) for Probabilistic Metric for Random Hardware Failures (PMHF) under ISO 26262"です。邦題は「ISO 26262に基づくランダムハードウェア故障確率指標（PMHF）のためのLLM最適化故障木解析（LOFTA）」になります。

今回のRAMS 2026の論文では、LLMでシステムのブロック図からフォールトツリーを自動生成します。さらに、FTAで算出したPMHFへの寄与をLLMで解析し、アーキテクチャの弱点を特定し改善する手法を提案しています。

提案手法は自動化による省力化だけでなく、車載システム全体の信頼性向上にも寄与します。本研究により、ADASや自動運転などのセーフティクリティカルな応用において、解析効率の向上と設計の最適化が図られます。

発表後の質問：

• Q: RBDからではなくスケマティックからのFTAは可能か？
• A: RBDからFTAの変換はプレゼン資料にもある方程式によるone to one mappingで容易。ところがスケマティックからだとn to one mappingとなり、より高次の抽象化が必要

前のブログ 次のブログ