3 |
FTAのtree logic (3) |
Posts Tagged with "FTA"
既に発行済みのブログであっても適宜修正・追加することがあります。We may make changes and additions to blogs already published.
2 |
FTAのtree logic (2) |
29 |
FTAのtree logic |
6 |
定量FTAによるPMHF計算法 (7) |
規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。
この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$
$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$
それぞれ、IF, SM1, SM2について説明を示します。
- ミッションタイム:車両寿命$T_\text{lifetime}$です。
- IF:ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
- SM1:ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
- SM2:SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。
5 |
定量FTAによるPMHF計算法 (6) |
今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。
今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。
正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。
4 |
定量FTAによるPMHF計算法 (5) |
次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。
SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。
ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。
ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。
3 |
定量FTAによるPMHF計算法 (4) |
別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。
確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。
次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。
ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。
ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。
$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。
31 |
定量FTAによるPMHF計算法 (3) |
前ページ右下のORゲートから左下への事象です。これはRFの項を表しており、ALUのフォールトカバレージ残余である$1-DC$が接続されています。
ここで確率に着目すれば、 $$ Q=1-DC_\text{1}=0.8=8.00\times10^{-1}より\\ DC_\text{1}=20\% \tag{587.1} $$ と逆算されます。$DC_\text{1}$のような無次元の定数にはミッションタイムは自動掛算されません。
次に同じくORゲートから右下への事象です。これはDPF確率を示すANDゲートです。
このANDゲートの左下への分岐はLFのサブツリーとなっています。
右下への事象はIFのDPFフォールトを表す事象で、具体的にはSM1でVSG抑止された部分である$DC$を示しています。 $$ Q=DC_\text{1}=0.2=2.00\times10^{-1}より、\\ DC_\text{1}=20\% \tag{587.2} $$ となっています。
30 |
定量FTAによるPMHF計算法 (2) |
図585.1が小さいので拡大して見ていきます。まず部分FTのトップのANDゲートです。車両寿命間におけるALUの永久故障確率を表しています。
ANDゲートの左下の事象はALUの永久故障率です。ALUの2つの数字、故障率と確率に着目すれば、本文に$T_\text{lifetime}=5,000[H]$とあることを用いて、 $$ \lambda_\text{IF}=3.48\times10^{-11} および\\ Q=\lambda_\text{IF}T_\text{lifetime}=3.48\times10^{-11}\cdot5.0\times10^{3}=1.74\times10^{-7}\tag{586.1} $$ となります。
事象には故障率$\lambda_\text{IF}$を入力します。ここで故障率は$[H^{-1}]$の次元を持つため、FTAツールがデフォールトのミッションタイム(運用時間)である車両寿命$T_\text{lifetime}$を自動的に掛け、確率$Q$に直して計算します。
注目すべき記号としてLがあります。これはプライオリティを示すもので、Lで示される側のフォールトが後で生起する場合に限定されます。従って本FTはフォールト順序がSM1⇒IFの順であり、冗長性は持たないという前提です。すなわちDPF項には$\frac{1}{2}$が必要です。
トップのANDゲートの右下のORゲートは、ALUの検出されない永久故障と書かれており、SPFとDPFの確率を加算するためのORゲートです。
27 |
定量FTAによるPMHF計算法 |
昨日某社様向けにISO 26262ハードウェアセミナーを実施しましたが、以下のご質問を受けました。
Q「DPFを表すにはIFのフォールトの基事象とSMのフォールトの基事象をANDゲートで結べば良いが、定量FTAによりPMHFを表すには具体的にはどうすれば良いのでしょうか」
これは実務においては重要なノウハウとなります。その理由は規格ではPMHFの目標値がいくらで、それを満足しなければならないと書かれていますが、実際のECUでどのように計算するかにはほとんど言及が無いためです。わずかにPart 10に式が掲載されているに過ぎません。実は1st editionではいくつかの例が掲載されていましたが、2nd editionで削除されています。
結論から言えば、定量FTAでイベントの組み合わせでPMHF式を構築することになります。まず、1st editionに参考になるFT図が掲載されているので、これを子細に見てみます。
左のFT図はALUのフォールトのFTであり2つに分離していたものを組み合わせています。半分より上側のFTがちょうどSPF/RF項を、下側のFTがDPF項を表しています。FTツールではフォールトイベントを確率で表現するため、故障率には指定しなければミッションタイム$T$が自動でかかり、確率として表します。例外はLFの黄色で示すイベントで、ミッションタイムを手で入力し、$\tau$=定期検査周期としています。
FTは確率$P$を表し、そのまま式で表すと①式となります。PMHF式は車両寿命においてSG侵害確率の時間平均であるため、①を$T$で割ると②の式となります。これはSM⇒IFの順にフォールトが起きる場合のPMHF式と1/2を除き一致します。さらにIF⇒SMの順のフォールトのPMHFを合わせると②となりますが、前提としてIFのフォールトもLFとなる必要があります。これは冗長を意味するものです。
記事の(10.1)に1st editionのPMHF式を掲載していますが、1/2を除き②と一致していることが確認されます。 $$ M_\text{PMHF} = \lambda_\text{RF}+\frac{1}{2}\lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$ これをまとめたものをRAMS 2021に投稿し、採択されたので、以下に場所を示します。
https://ieeexplore.ieee.org/document/9605710
ページ: