Posts Issued in October, 2018

2nd EditionにおけるPMHF式

posted by sakurai on October 29, 2018

ISO 26262 2nd Edition

今年春発行と予定されていた2nd EditionはFDISの状況となっていますが、正式発行が遅れているようです。FDISは最終的な規格から語句のレベルしか修正されないとのことで、FDISで検討すればほぼ問題無いと考えられます。

さて、PMHFの部分はだいぶ変更されています。公式が変わっただけでなく、SMが安全目標侵害するケースまで想定されています。元々弊社では一般的なサブシステムを検討対象としており、両方のエレメントが安全目標侵害する場合を対象としていましたので、好都合です。

図68.1のパターン1と2はいずれもSM1が先にフォールトし、次にIF(Intended Function)がフォールトするケースです。そのうち、パターン1はフォールトが検出されない場合、パターン2はフォールトが検出される場合です。一方、パターン3と4はいずれもその逆順にフォールトするケースです。そのうちパターン3はフォールトが検出されない場合、パターン4はフォールトが検出される場合です。

図68.1
図68.1 2nd Edition, Part10-8.3.2.4 PMHF規格 第1式

実はパターン1と2あるいは3と4は特に分ける必要はありません。弊社の式に従えば不稼働率の関数$Q(t)$(59.8)で自然に表されるからです。一方、パターン1と3、2と4はフォールト順序なので、マルコフ状態遷移図に基づく検討が必要です。

重要 1st Editionでは主機能が非修理系であるという前提から、ケース分類で確率を求めても良かったのですが、2nd Editionも同様な方法でPMHF式を求めているようです。主機能も安全機構も非修理系では全く成り立たないので、2nd Editionになって対称的に扱うのであれば両方とも修理系にせざるを得ません。そうすると、主機能であってもVSGとならないフォールト(MPフォールト)を起した後、2nd SMにより検出される部分は修理されることになります。すると、本ケース分けには当てはまらなくなります。例えば、主機能がMPフォールトし、2nd SMにより検出され修理される。次にSM1がMPフォールトし、検出され修理される。これが繰り返されることは十分あり得ますが、規格のケース分類だとこの場合は、Pattern3+Parttern4に相当します。これはマルコフ状態遷移図を書いて初めて理解されることなので、ISO 26262のPMHF理解のためにはマルコフ状態遷移図は必須です。

シングルポイントフェイリャ

ここで、$\lambda_{SPF}, \lambda_{RF}$は定義が書かれていませんので、IFによるものか、SM1によるものも含むのかが定かではありません。それ以外にもパターン1と2ではパターン2のほうにだけ2倍の係数がかかっていますが、その理由は定かではありません。

図68.2
図68.2 2nd Edition, Part10-8.3.2.4 PMHF規格説明

このように、SM1のPVSG、つまりSM1の安全目標侵害の可能性があると、ECCの例まで挙げて言っているので、おそらく$\lambda_{RF}$は以下のようになると考えられます。これは、2エレメントがどちらも主機能、SMとなるような一般モデル式で考えると良いはずです。

$$ \lambda_{RF}=\lambda_{IF,RF}+\lambda_{SM1,RF}=(1-K_{FMC,SM1,RF})\cdot \lambda_{IF}+(1-K_{FMC,SM2,RF})\cdot \lambda_{SM1}\tag{68.1} $$


左矢前のブログ 次のブログ右矢

posted by sakurai on October 21, 2018

upやdownを数式で書いてみます。

ランダムプロセス$\eta_s$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\lbrace s:\eta_{s}\in\mathcal{P}\rbrace$と示すことができます。 non-repairable elementの故障率$\lambda(t)$は、 $$\lambda(t)=\lim_{dt\to 0}\frac{\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace}{dt}\tag{67.1}$$ より形式的に瞬間故障確率(故障率$\times dt$)が求められ、 $$\lambda(t)dt=\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\frac{\Pr\lbrace t\lt X\le t+dt\rbrace}{\Pr\lbrace t\lt X\rbrace}=\frac{f(t)}{R(t)}dt\tag{67.2}$$

repairable elementのダウン$\rho(t)$率は、論文"The Failure Rate in Reliability. Numerical Treatment"によれば、

$$\rho(t)=\lambda_V(t)=\lim_{dt\to 0}\frac{\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace}{dt}\tag{67.3}$$ より形式的に瞬間ダウン確率(ダウン率$\times dt$)が求められ、条件付き確率の公式より、 $$\rho(t)dt=\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace=\frac{\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace}{\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace}=\frac{q(t)}{A(t)}dt\tag{67.4}$$ となります。さらに前記論文が引用している同著者の論文The failure rate in reliability: approximations and boundsの(3.17)式の証明に、

$$\rho(t)=\lambda_V(t)=\frac{1}{\Pr\lbrace \eta_{t}\in\mathcal{M}\rbrace}\lim_{dt\to 0}\frac{1}{dt}\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.5}$$ とあります。(67.4)と(67.5)を比較すれば、 $$q(t)dt=\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace=\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.6}$$

が得られます。


左矢前のブログ 次のブログ右矢

posted by sakurai on October 16, 2018

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

☆信頼度(Reliability)

$$ R_{item}(t):=\Pr\lbrace\text{item not fail in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_{item}\rbrace $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

☆不信頼度(Unreliability)

$$ F_{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_{item}\le t\rbrace $$ 非修理系システムで、時刻$t$までに故障する確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

☆故障密度(Probability Density, PDF)

$$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_{item}(t)}{dt} $$ 又は、微小故障確率形式として、 $$ f_{item}(t)dt=\Pr\lbrace t\lt X_{item}\le t + dt\rbrace $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。PDF(Probability Density Function)。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_{item}\rbrace + \Pr\lbrace X_{item}\le t + dt\rbrace - \Pr\lbrace t\le X_{item} \cup X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_{item}(t)}{dt} $$

☆(瞬間)故障率(Failure Rate)

$$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{f_{item}(t)}{R_{item}(t)} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数です。

【証明】 条件付き確率の式及び、上記$f_{item}(t)$の式を用いて $$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_{item}\le t+dt \cap t \le X_{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_{item}\rbrace}=\frac{f_{item}(t)}{R_{item}(t)} $$

☆稼働度(Availability)

$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、 $$ A_{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している確率。Point Availablity。

☆不稼働度(Unavailability)

$$ Q_{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{P}\rbrace $$ 修理系システムで、時刻$t$で不稼働な確率。

☆不稼働密度(Unavailability Density, PUD)

$$ q_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_{item}(t)}{dt} $$ 又は、微小不稼働確率形式として、 $$ q_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\cap\mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。Point Unavailability Density (PUD)。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度)。

☆PFH(Probability of Failure per Hour)

注意:Probablity of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。PMHFも同様の定義。average unavailability density (平均不稼働密度; AUD)
$$ PFH:=\overline{q_{item}}=\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace =\frac{1}{T}\Pr\lbrace\eta_{T}\in\mathcal{P}\rbrace, ただしTは車両寿命 $$

☆(瞬間)ダウン率(Down Rate)

$$ \rho_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\ |\ \mathrm{item\ up\ at\ }t\rbrace}{dt}=\frac{q_{item}(t)}{A_{item}(t)} $$ 又は、微小ダウン確率形式として、 $$ \rho_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\ |\ \mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。正確には、時刻$t$から$t+dt$までに不稼働になる条件付き確率を$dt$で割り単位時間あたりとしたもの。conditional failure intensity (条件付き故障強度), Vesely failure rate (Veselyの故障率)。

☆平均ダウン率(Average Down Rate, ADR)

$ADR:=\overline{\rho_{item}}$の存在を仮定し、$\rho_{item}(t)A_{item}(t)=q_{item}(t)$の両辺を$0$から$T$まで積分すれば、 $$\int_0^T\overline{\rho_{item}}A_{item}(t)dt=\int_0^T q_{item}(t)dt$$ ここで、$\int_0^T A(t)dt\approx T$を用いれば、 $$ADR=\overline{\rho_{item}}\approx\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace=M_{PMHF}$$

これは結果的としてPFHと同じになりますが、FSマイクロではPMHFはADRであると考え、PFHであるとは考えていません。その理由はエンジニアにとって故障率$\lambda$は大変なじみのある値で、それを修理系に拡張したダウン率$\rho(t)$やその車両寿命における平均値ADRを算出するのが自然ですが、不稼働密度$q(t)$の平均値を算出するのは不合理であるためです。故障確率という意味では、むしろ密度よりもアイテムの車両寿命における不稼働確率$Q(T)$を知りたいところですが、なぜ密度の平均値を知りたいのでしょう?


左矢前のブログ 次のブログ右矢

PMHF規格第3式の導出

posted by sakurai on October 7, 2018

安全機構故障によるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMの故障がSMにより抑止されているものの、SM故障が引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1
図65.1 Part10 8.3.3 PMHF規格 第3式

のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか?実は前項で求めたのが、最初の故障はどうあれ、主機能Mの故障によるVSG確率でした(表63.1のCase 1及びCase 4)。従って、故障の順番が無関係とは、両方(全て)の条件の場合だと考えると、次に必要なのは安全機構SMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトのDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのPRV→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$q_{SM,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{65.1}$$ と求められ、ADRを計算すれば、 $$\overline{\rho_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて暴露時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2
図65.2 Part10 8.3.3 PMHF規格 第3式(再掲)

正確に一致します。

左矢前のブログ 次のブログ右矢

PMHF規格第2式の導出

posted by sakurai on October 3, 2018

次に、暴露時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1
図64.1 Part10 8.3.3 PMHF規格 第2式

正確に一致します。

左矢前のブログ 次のブログ右矢