Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
Even in the already published blog, we may modify and add appropriately.

PMHF式の導出(3)

posted by sakurai on August 10, 2016

対象ブロック図

図17.1にPMHFの計算となるブロック図を示します。主機能Mに対して1st SMであるSMが設置されており、Mの2nd SMであるSM2-M及びSMの2nd SMであるSM2-SMが設置されています。Part10の記法に従い、SMのDC(Diagnostic Coverage)は$K_{M,FMC,RF}$、SM2M及びSM2SMのDCはそれぞれ$K_{M,FMC,MPF}$及び$K_{SM,FMC,MPF}$と書かれます。M、SMの故障率はそれぞれ$\lambda_M$、$\lambda_{SM}$ですが、2nd SMはλ=0となります。さらにMは安全機構ではないため(冗長の場合はSMとなりますが)、DC及び$\tau$(故障検出周期)は存在しません。さらにM及びSMの$\tau$は存在せず、SM2M及びSM2SMの$\tau$はそれぞれ$\tau_M$及び$\tau_{SM}$となります。

規格には明確に書かれていませんが、故障が検出された場合はゼロ時間で完全に修理されることが、暗黙に仮定されています。

図17.1
図17.1 対象サブシステムブロック図

PMHF一般式の導出

SPFとDPFは排他事象であり、また、「主機能故障でレイテント⇒安全機構故障」とびその逆の「安全機構故障でレイテント⇒主機能故障」も排他事象です。排他事象は確率が加え合わせられることから、トータルのPMHFは上記を(11.1)に適用して、(17.1)となります。 \[ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,M\rightarrow SM}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.1} \]

これに対して、SPFに関しては(12.2)を適用します。さらに、DPFに関しては(15.2)に基づき、主機能故障と安全機構故障の順番を考慮して先の2パターンのPMHFを加え合わせれば、FSマイクロ株式会社の考えるPMHFの一般式(17.2)が得られます。

FSマイクロ株式会社の考えるPMHF一般式:

式46
(17.2)

(17.2)はISO26262 Part10の式の一般化となるため、使用の際には本稿で示すような論証が必要となります。


左矢前のブログ 次のブログ右矢

PMHF式の導出(2)

posted by sakurai on July 28, 2016

故障検出周期

検出時点での故障率を、以下のように安全機構により検出できる部分とできない部分に分解します。またそれぞれの場合の条件を以下に示します。

  1. 安全機構が周期$\tau_{SM}$で故障検出された際に検出できない故障率の部分は、なんど検出しても検出されないため、車両寿命の間中レイテントとなる。
  2. 安全機構が周期$\tau$で故障検出した際に検出できる故障率の部分は、$t=0$~$\tau_{SM}$まではレイテントとなる。その後$t=\tau_{SM}$においてゼロ時間で修理される。

次に車両寿命におけるそれぞれの頻度を考えると、

  1. $t=0$〜$T_{lifetime}$までの一回
  2. $\frac{T_{lifetime}}{\tau_{SM}}$回

従って、(15.1)は正確には、上記の2つの事象確率と頻度の積を加えあわせ、 \[ M_{PMHF,DPF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{DPF,A\rightarrow B}(T_{lifetime}) =\frac{1}{T_{lifetime}}[F_{DPF,l,A\rightarrow B}(T_{lifetime})+\frac{T_{lifetime}}{\tau_{SM}}F_{DPF,d,A\rightarrow B}(\tau_{SM})] \]\[ \approx\frac{1}{2}\lambda_B(\lambda_{A,DPF,l}T_{lifetime}+\lambda_{A,DPF,d}\tau_{SM})\tag{16.1} \]

となります。

(16.1)は、「レイテント状態のエレメントAの不信頼度」に「Bの故障率」をかけたものです。前者をグラフ化したものが図16.1です。$DC=0$、つまり定期的な故障検出によりエレメントの故障が検出されない場合は、(14.1)のとおりです。一方、エレメントの故障が検出される部分がある場合には、検出時点で修理されるため、その分の不信頼度はゼロとなり、故障が検出されない部分のみが累積していきます。

図16.1
図16.1 エレメントの不信頼度のグラフ

青のグラフがDC=0の場合、オレンジがDC=20%の場合、グレーがDC=40%の場合、黄色がDC=60%の場合、濃青がDC=80%の場合、緑がDC=100%の場合をそれぞれ表します。


左矢前のブログ 次のブログ右矢

PMHF式の導出(1)

posted by sakurai on July 17, 2016

DPFの場合のPMHFの導出

エレメントAが先に故障し、引き続いてエレメントBが故障する場合のDPFのPMHFは「エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する、車両寿命間のDPF確率の時間平均」であり、DPF(2)で求めたように、(14.6)を用いて \[ M_{PMHF,A\rightarrow B}=\frac{1}{T_{lifetime}}PoF_{A\rightarrow B,T_{lifetime}}=\frac{1}{T_{lifetime}}F_{A\rightarrow B}(T_{lifetime})\approx\frac{1}{2}\lambda_{A,DPF,l}\lambda_B T_{lifetime}\tag{15.1} \]

と求められます。

故障がレイテントとなる場合

ところが(15.1)はまだ場合分けが不足しています。先にエレメントAに起きた故障がレイテントになる場合は、一般的には時刻$t=\tau$において、安全機構の検出漏れとなる場合ですが、さらに安全機構の検出が間に合わない場合、言い換えれば検出までにエレメントAに故障が起きる場合も加える必要があります。なぜなら、安全機構は検出周期$\tau$で検出しますが、$\tau$までにエレメントAに発生した故障は$\tau$までは検出されないため、その間はレイテントとなる可能性が若干でも存在するからです。

この点について次稿で掘り下げて行きたいと思います。


左矢前のブログ 次のブログ右矢

DPF(2)

posted by sakurai on July 9, 2016

DPFの定義

ISO26262でいうDPFは、前述のように、まずエレメントAの故障がおき、かつレイテント状態(故障分類(1)で解説)になっていて、それに関連するエレメントBの故障が引き続いて起きた場合が対象となります。ここで関連するとは、エレメントAが主機能の場合はエレメントBは安全機構、エレメントAが安全機構の場合はエレメントBは主機能という意味です。主機能とそれとは別の主機能の故障はDPFとは考えず、一点故障が2回起きたと考えます。

さて、DPFの確率計算を行う場合、単純に主機能故障の起きる確率$PoF_{M,T_{lifetime}}=\Pr\{X_M\lt T_{lifetime}\}$と安全機構の故障の起きる確率$PoF_{SM,T_{lifetime}}=\Pr\{X_{SM}\lt T_{lifetime}\}$の乗算とはなりません。一般に安全機構が故障するとレイテントになる可能性が大であり、主機能は冗長構成を取らない限り、故障してレイテントになることはありません。従って、主機能故障がレイテントになる確率と安全機構がレイテントになる確率は異なるため、主機能と安全機構のどちらが先に故障したかで場合を分けて計算を行います。

A⇒BのDPFの確率計算

エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する確率の導出を行います。まず、時刻$t$において、エレメントAが故障してレイテントとなっている場合の確率は、時刻$t$におけるエレメントAの不信頼度に他ならないため、(14.1)となります。 \[ \Pr\{\text{A is a latent state at }t\}=\Pr\{X_A\leq t\}=F_A(t)\tag{14.1} \]

次に、時刻$t$までエレメントBは故障しておらず、時刻$t+\Delta t$までの微小区間$(t, t+\Delta t]$にBが故障する微小確率$\Pr\{\text{B receives a fault in}(t, t+\Delta t]\}$は、(14.2)となります。 \[ \Pr\{\text{B receives a fault in}(t, t+\Delta t]\}=\Pr\{t\lt X_B\leq t+\Delta t\}=F_B(t+\Delta t)-F_B(t)\\ =f_B(t)\Delta t=\lambda_B R_B(t)\Delta t\tag{14.2} \]

従って、$(t, t+\Delta t]$の微小DPF確率は両者の積となるため、(14.3)となります。

式49(14.3)

$\Delta t\rightarrow 0$とした極限を$dt$で表し、0から$t$まで積分すると、時刻$t$までのDPF確率が(14.4)として求められます。

式77(14.4)

ここでexponential関数のマクローリン展開は(14.5)です。 \[ e^x=1+x+\frac{x^2}{2}+\cdots\tag{14.5} \]

(14.5)の2次の項までとり(14.3)に代入すれば、(14.6)のようにA⇒BのDPFの確率の近似式が求められます。

A⇒BのDPFの確率の式:

式79(14.6)

左矢前のブログ 次のブログ右矢

DPF(1)

posted by sakurai on June 24, 2016

信頼度と故障率の関係式

DPF(Dual Point Failure; 2点故障)を説明する前に、時刻$t$から時刻$t+\Delta t$までの時間にエレメント$A$に関して起こる故障について、図13.1に示します。

fig13.1
図13.1 エレメントAに関して起こる故障

時刻$t$において、故障していない確率が$R_A(t)$であり、時刻$t+\Delta t$までの$\Delta t$時間における信頼度$R_A(t)$の減少分は、(2.6)から$\lambda_A R_A(t) \Delta t=f_A(t)\Delta t$となることから、

\[ R_A(t+\Delta t)=R_A(t)-\lambda_A R_A(t) \Delta t\tag{13.1} \]

DPFを考えるためにエレメント$A$とエレメント$B$の故障を考えます。エレメント$A$,$B$の故障は独立して起こるので、以下のようになります。

fig13.2
図13.2 エレメントA及びBに関して起こる故障

DPF

さて、次にエレメント$A$,$B$が有り、$A$が主機能の場合は$B$はそれに関する安全機構、$A$が安全機構の場合は$B$はそれに関する主機能であるとします。DPFの定義は

主機能または安全機構が故障してレイテント状態であるときに、それに関する安全機構または主機能の故障が起きること

であるため、「エレメントAが故障してレイテント状態であるときに、エレメントBの故障が起きること」を$A\Rightarrow B$で表し、「エレメントBが故障してレイテント状態であるときに、エレメントAの故障が起きること」を$B\Rightarrow A$で表すとき、以下の図13.3のように、どちらが先に故障するかによって、$A\Rightarrow B$または$B\Rightarrow A$の2つの場合となります。また、それらは排他であるため確率は和で表されます。

fig13.3
図13.3 片方がレイテント状態であるときに、他方の故障


左矢前のブログ 次のブログ右矢

故障分類(2)

posted by sakurai on June 9, 2016

SPF/RF

SPF(Single Point Failure; 一点故障)、RF(Residual Failure; 残余故障) はほぼ同義で、単一の故障により安全目標侵害する可能性のある故障です。前項の故障分類チャートに拠ればSPFは安全機構が存在しない故障であり、また、RFは安全機構が存在するが診断カバレージ(DC)から漏れる部分の故障です。これをPart10 8.1.8「フォールトの分類及びフォールトクラス寄与度計算のフローチャート」でのDCの定義$K_{FMC,RF}$を用いれば、 \[ \lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG}\tag{12.1} \]

となります。後で説明するように、SPF/RFを単純化記法でSPFまたはRFと記述することがあるのでご注意ください。(12.1)の場合はRFと表記していますが、SPF/RFの意味です。

さて、SPFに対するPMHFは(10.2)、(10.3)、及び(12.1)を用いれば、 \[ M_{PMHF,SPF}=\frac{1}{T_{lifetime}}PoF_{SPF, T_{lifetime}}\\ \]\[ =\frac{1}{T_{lifetime}}F_{SPF}(T_{lifetime})\approx\lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG},~\mbox{s.t.}~\lambda_{RF}T_{lifetime}\ll 1\tag{12.2} \]

と求められます。

ここで、一般的に用語SPFの使用法には狭義(SPFとRFを分ける)と広義(RFを含む)の2種が有り、(12.2)左辺では広義の単一故障の意味で用いています(図12/1上段)。一方、SPF/RFという記法もあり、このほうが紛れがありませんが長くなるためあまり用いられません(図12.1中段)。また(12.2)右辺のように、単一故障をRFと表記する場合もあり、これは単一故障のほとんどがRFであるためです(図12.1下段)。式を読む場合には、字面にとらわれることなく、紛らわしい用語の使用法については意味を考えて読む必要があります。

式a91
図12.1 SPF及びRFの使い分け

左矢前のブログ 次のブログ右矢

故障分類(1)

posted by sakurai on May 31, 2016

故障分類フローチャート

前回説明したPMHFは「アイテムの車両寿命間の平均的な故障率」でしたが、この故障の中身を見ていきます。ISO26262では3重故障以上の故障については安全側故障としています。これはその確率が非常に小さいので省略可能なためです。SPFとDPFの事象は排他であるため、PMHFは(10.2)を用いてSPFのPMHFとDPFのPMHFの和となります(11.1)。ここでSPF(Single Point Failure; 1点故障)とDPF(Dual Point Failure; 2点故障)の定義を故障分類フローチャートに従って理解することが重要です。 \[ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF}=\frac{1}{T_{lifetime}}\lbrack \overline{PA_{SPF}}(T_{lifetime})+\overline{PA_{DPF}}(T_{lifetime})\rbrack\tag{11.1} \]

故障分類フローチャートはISO26262Part5にも掲載されていますが、より詳細なものがPart10に掲載されています。ただ、訳が適切でなかったり、概念的に混同しやすいため、弊社ではこれをリプリントした教材を作成して販売しています(図11.1)。

図11.1
図11.1 故障分類フローチャート

その特長は、

  • 訳をわかりやすく修正
  • 確率的フローチャートであること
  • あくまで1つめの故障分類であること
  • 主機能と安全機構の切り分けの明示

等です。故障分類フローチャートで分類された故障率のうち、特にレイテント故障率は以降で大変重要になってくるため、ぜひ理解しておいていただきたいと思います。

SMの種類

ここで、2つのSMの種類に便宜上名前をつけます。規格では特にSM(Safety Mechanism)としか書かれていませんが、SMには明確にその特性の違いがあり、これはPart5またはPart10の故障分類フローチャートで定義されています。

  • 1st SM ------- 主機能が安全目標を侵害するのを防止する安全機構(Part1 1.111備考2 a))
  • 2nd SM ------ 主機能又は安全機構の故障を検出し、レイテント状態を防止する安全機構(Part1 1.111備考2 b))

規格で明確な名前の区別が無いため、現場では「レイテント状態を防止するSM」等の長い説明を毎回しなければならないためとても不便を感じています。規格で名前を定義してあればよかったのですが。

レイテント状態

規格には特に定義は掛かれていませんが、FSマイクロ株式会社では後の理解がしやすくなるため、レイテント(故障)状態を定義しています。

レイテント状態とは、エレメントA(主機能または安全機構)において、関連する1st SMにより安全目標の侵害が阻止されている状態でかつ2nd SMにより故障検出がされない状態を表します。上記故障分類チャートによれば、レイテント状態になるには以下の2つのルートが存在します。

  • 主機能が1st SMにより安全目標侵害から阻止されている場合
  • 安全機構が故障した場合

いずれのルートもオレンジの判定ボックスに到達し、そこで2nd SMにより故障検出の判定が行われます。故障のうち検出される部分はレイテント状態が解消されます。一方検出されない部分はレイテント状態のままとなります。


左矢前のブログ 次のブログ右矢

PMHFの意味

posted by sakurai on May 25, 2016

PMHFの定義式

式(10.1)はISO26262 Part10に掲載されているPMHFの式です。

\[ M_{PMHF} = \lambda_{RF} + \frac 1 2 \lambda_{M,MPF}(\lambda_{SM,MPF,l}T_{lifetime}+ \lambda_{SM,MPF,d}\tau) \tag{10.1} \]

これは安全機構が故障して次に主機能が故障する場合の式で、ISO26262 Part10に結論だけ記述がありますが、説明がほとんどありません。そのためこのブログで式の導出について説明していきたいと思います。

ところで、FSマイクロ株式会社では、(10.1)が安全機構が故障して次に主機能が故障する場合というのは誤りではないかと考えます。2項目以降はそのとおりですが、$\lambda_{RF}$は主機能が故障して安全機構が安全目標侵害を防止した残余の故障率なので、安全機構は動作していなければならないはずです。そのため、$\lambda_{RF}$は主機能の故障の際には安全機構は動作している場合に現れると考えます。

さて、PMHFとは、ランダムハードウェア故障のメトリック(数値目標)で、正確に表現すれば「アイテムの車両寿命における故障確率(=アイテムの車両寿命における不稼働率$PoF(T_{lifetime})$の時間平均)」となります。以下はISO26262規格には書かれていませんが、PMHFの定義式です。

PMHFの定義式: \[ M_{PMHF} \stackrel{def}{=} \frac{1}{T_{lifetime}}PoF_{item, T_{lifetime}} =\frac{1}{T_{lifetime}} \Pr\{\text{item is down at } T_{lifetime}\} =\frac{1}{T_{lifetime}} \overline{PA_{item}}(T_{lifetime}) \tag{10.2} \]

ここで、$\overline{PA_{item}}(t)$は時刻$t$におけるitemの時点不稼働率です。 $\overline{PA_{item}}(t)$は1から時点稼働率$PA_{item}(t)$を引いたものであり、以下の式で定義されるように、ある時刻$t$における不稼働確率(アイテムが稼働していない確率)です。

\[ \overline{PA_{item}}(t) = \Pr\{\text{item is down at } t\} \tag{10.3} \]

一方で、$PA_{item}(t)$は、修理が可能なitemにおいて、$t$までに一度も故障が起きない確率と、$t$までに故障が起き修理された後$t$までに故障が起きない確率に分けられるので、

\[ PA_{item}(t) = \Pr\{\text{item not failed in }(0, t]\} + \displaystyle \sum_{i=1}^{n} \Pr\{\text{item is repaired at }\tau_i \cap \text{item is up in }(\tau_i, t]\} \tag{10.4} \]

PMHFの意味

ここで、故障率はかなり低いため、(10.4)のうち修理される部分を無視しPMHFの定義式(10.2)に適用しすれば、

\[ M_{PMHF} \approx \frac{1}{T_{lifetime}} \Pr\{\text{item is failed in }(0, T_{lifetime}]\} =\frac{1}{T_{lifetime}} \Pr\{X_{item}\lt T_{lifetime}\} =\frac{1}{T_{lifetime}} F_{item}(T_{lifetime}) \tag{10.5} \]

式10.5の式に対して、不信頼度$F(t)$の近似式である(7.2)を用いて \[ F_{item}(t) \approx \lambda_{item}t, ~~\mbox{s.t.}~~ \lambda_{item}t \ll 1 \tag{10.6} \]

を適用すれば、次の(10.7)が得られます。 \[ M_{PMHF} \approx \lambda_{item},~~\mbox{s.t.}~~ \lambda_{item}T_{lifetime} \ll 1 \tag{10.7} \]

これにより、PMHFは$\lambda_{item}T_{lifetime} \ll 1$の場合に「アイテムの車両寿命間の平均的な故障率」とみなすことができます。


左矢前のブログ 次のブログ右矢

アイテムの故障率(2)

posted by sakurai on May 16, 2016

並列アイテム

図2
図9.1 並列アイテムのRBD

並列アイテムとは、上図のように、RBDを書いたときにアイテムを構成するエレメントが並列になっている場合のアイテムです。この場合(1 out of n)は冗長性を持っており、全てのエレメントが故障しなければ、アイテムは故障しません。

このように、信頼度から考えると冗長が良いに決まっているのですが、2冗長でもコストが倍増することになります。従って、いかに冗長のコストを抑えるかが、良い設計の鍵となります。

この場合並列アイテムの信頼度は各エレメントの信頼度の和、と単純にはなりません。その理由は、各事象の確率の和が和事象の確率になるのは、各事象が排他の場合のみであることです。一般に各事象は独立であっても排他ではありません。

例えばエレメント1とエレメント2が99%の信頼度だとすれば、信頼度を加え合わせると0.99+0.99=1.98の確率というわけのわからない数字となります。言うまでもなく、確率は0から1の間の値の値を取るはずです。これはエレメント1とエレメント2が共に動作している確率のダブルカウントが原因なので、先の確率の和である1.98から同時に動作している確率0.99*0.99を引くと並列アイテムの信頼性が求められ、1.98-0.99*0.99=0.9999、99.99%となります。

これを一般化し、並列アイテムの信頼度は包除原理から、 \[ R_{item}(t)=\coprod_{i=1}^n R_i(t)=\sum_{i=1}^n R_i(t)-\sum_{i\lt j}^n R_i(t)\cdot R_j(t)+\cdots+(-1)^{n-1}\prod_{i=1}^n R_i(t)\tag{9.1} \]

のように複雑な式となるため、アイテムの不信頼度を考えたほうが楽です。すると、並列アイテムの不信頼度は全てのエレメントの不信頼度の積となるため、

並列アイテムの不信頼度の式: \[ F_{item}(t)=F_1(t)\cdot F_2(t)\cdot\cdots\cdot F_n(t)=\prod_{i=1}^n F_i(t)\tag{9.2} \]

であり、これはFTAの計算時に使用するため重要な式となります。

以降では教科書的に信頼性を求めることにし、(9.2)を信頼度で表わせば、 \[ F_{item}(t)=1-R_{item}(t)=\prod_{i=1}^n[1-R_i(t)]\tag{9.3} \]

従って並列アイテムの信頼度は各エレメントの故障率で表すことができ、 \[ R_{item}(t)=1-\prod_{i=1}^n[1-R_i(t)]=1-\prod_{i=1}^n(1-e^{-\lambda t})\tag{9.4} \]

となります。


左矢前のブログ 次のブログ右矢

アイテムの故障率(1)

posted by sakurai on May 9, 2016

直列アイテム

図1
図8.1 直列アイテムのRBD

直列アイテムとは、上図のように、RBD(信頼性ブロック図)を書いたときにアイテムを構成するエレメントが直列になっている場合のアイテムです。この場合は冗長性を持たないため、どのひとつのエレメントが故障しても、それによりアイテムが故障すると考えます。この場合のアイテムの信頼度は各エレメントの信頼度の積となります。 \[ R_{item}(t)=R_1(t)\cdot R_2(t)\cdot\cdots\cdot R_n(t)=\prod_{i=1}^n R_i(t)\tag{8.1} \]

ここで、信頼度を故障率で表す(4.2)を用いれば、(8.2)となります。 \[ R_{item}(t)=e^{-\lambda_{item}t}=e^{-\lambda_1 t}\cdot e^{-\lambda_2 t}\cdot\cdots\cdot e^{-\lambda_n t} =e^{\sum_{i=1}^n-\lambda_i t}\tag{8.2} \]

従って、アイテムの故障率は(8.3)のように各エレメントの故障率の和で求められます。 \[ \therefore\lambda_{item}=\sum_{i=1}^n \lambda_i\tag{8.3} \]

教科書には何故か信頼度の式しか出てこないようですが、後でFTAの計算を行うときに不信頼度が重要となるため、ここで掲載しておきます。(8.1)に(2.5)を代入して、以下の(8.4)が得られます。

直列アイテムの不信頼度の式: \[ F_{item}(t)=1-\prod_{i=1}^n[1-F_i(t)]\tag{8.4} \]


左矢前のブログ 次のブログ右矢


ページ: