1st EditionのPMHF式

以下に1st EditionのPMHF第1式及び第3式を示します。第1式はIFによりSPFもしくはDPFが発生する場合のみを数え上げた式であり、第3式はそれに加えてSM1によるDPFも加えた式です。従って、全ての場合を考えるならば第3式を使うのが正しいと考えます。

図109.1 1st EditionのPMHF第1式

図109.2 1st EditionのPMHF第3式

1st EditionにおいてはIFがアンリペアラブル、SM1がリペアラブルという前提での計算に基づいていると考えらえます。その理由は、この前提で、前項のCTMCからADRを求めると、正確に上2式と一致するためです。

2nd EditionのPMHF式

以下に2nd EditionのPMHF式を示します。

図109.3 2nd EditionのPMHF式

ISO 26262の2nd EditionのPMHF式は、1st Editionとpattern3、4が異なっており、対称性からみて前提が追加されていると考えます。2nd Editionでは1st Editionの前提(pattern 1, 2)に加えて、その反対の状態(pattern 3, 4)つまりIFがリペアラブル、SM1がアンリペアラブルの場合の両側についてPMHFを求めていると推測します。ただし、$T_{\mathrm{lifetime}}$項と$T_{\mathrm{service}}$項がなぜ2倍異なるのかの理由は判明していません。

しかしながら、弊社ではこの前提は誤りではないかと思います。初期状態、つまりフォールトが起きていない状態においては、IF、SM1の両方ともがリペアラブルが正しく、上記の仮定においては故障確率を過大に見積もりすぎています。

例えば、SM1がフォールトし、そのフォールトがSM2により検出され、検出周期の最後でリペアされる場合(pattern 2)を考えます。規格ではこの場合は最初にSM1がフォールトしてしまうと、最終的にはIFのフォールトによりDPFとなる場合のみがカウントされます。なぜなら、どちらかがリペアラブルだと他方はアンリペアラブルだからです。つまりこの場合、SM1がリペアラブルの場合は自動的にIFはアンリペアラブルという前提です。

ところが、実際にはSM1がリペアされた場合は初期状態と同じ状態に戻るため、次にIFがフォールトし、SM1により検出されリペアされる場合(pattern 4)もありえます。典型的な例は、SM1がフォールトしリペアされ、次にIFがフォールトしリペアされるように、交互にリペアされる場合です。この場合はDPFが起きないにも関わらず、2nd EditionではSM1がフォールトから始まると、SM1はリペアラブルと仮定されます。そしてIFはアンリペアラブルと仮定されます。従って、実際にはDPFは起きませんが、IFのフォールトでDPFとカウントされ、結論として過大にフォールト確率を見積もっています。

弊社ではこの過剰見積もりに関する論文をRAMS 2020に投稿中であり、そのため、PMHFに関する最新の研究を一旦非開示としました。2019年10月中に採択の決定が行われる予定であり、その後に開示する予定です。

---

前のブログ 次のブログ

米国ロチェスター大学の資料によれば、 ランダムプロセス$\eta_t$において、ステート空間を$i, j=0,1,2,...,\in\mathcal{E}$について、以下の式を満足する場合に、ランダムプロセス$\eta_t$は連続時間マルコフ連鎖(CTMC)となります。 $$ \Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i, \eta_u\in x_u, u\lt t\}=\Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i\} $$ 遷移する確率が、過去の時刻$u$での状態に依存せず、現在時刻$t$での状態にのみ依存することを表します。

CTMCである$\eta_t$において、ステートiからjへの瞬間遷移確率関数(Instantanous Transition Probability Function)$P_{ij}$の式は以下のようになります。ただし、元の式を「信頼性関係式の定義式の表現」で導入した記法に変更しています。 $$ P_{ij}(t):=\Pr\{\eta_{(t+dt)}\in\mathcal{j}\ |\ \eta_{t}\in\mathcal{i}\}=q_{ij}dt+o(dt)\tag{102.1} $$ $q_{ij}$は遷移率(Transition Rate)です。ランダムプロセス$\eta_t$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\{t:\eta_{t}\in\mathcal{P}\}$と示すことができます。

稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移を考えると、(102.1)は、 $$ P_{\mathcal{MP}}(t)=\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_{\mathcal{MP}}dt+o(dt)\tag{102.2} $$ となりますが、これと前記事の微小ダウン確率形式と比較し、 $$ \Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_{\mathcal{MP}}dt+o(dt)=\varphi(t)dt\tag{102.3} $$ すなわち、単位時間あたりの稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移率$q(t)$は、$o(dt)\approx 0$の場合のダウン率$\varphi(t)$にほかなりません。逆に言えば、ダウン率$\varphi(t)$は稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への、単位時間当たりの遷移率となります。

ここで、条件付き確率の式から(102.3)の両辺に状態確率$\Pr\{\eta_{t}\in\mathcal{M}\}$をかけると$PUD$が求まります。$PUD$について、$0$から$T_{lifetime}$まで$t$で積分し(102.2)を用いれば、 $$ \int_0^{T_{lifetime}}P_{\mathcal{MP}}(t)dt =\int_0^{T_{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\int_0^{T_{lifetime}}\Pr\lbrace\eta_{(t+dt)}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace=\int_0^{T_{lifetime}}q(t)dt =Q({T_{lifetime}})\tag{102.4} $$ これより、SPFとなるADRを、前記事のADRを参考にし(102.4)の両辺を$T_{lifetime}$で割って$\overline{\varphi_{\mathrm{SPF}}}$で表せば、 $$ \overline{\varphi_{\mathrm{SPF}}}=\frac{1}{T_{lifetime}}Q({T_{lifetime}})=\frac{1}{T_{lifetime}}\int_0^{T_{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\frac{1}{T_{lifetime}}\int_0^{T_{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\cap\eta_{t}\in\mathcal{M}\} \tag{102.5} $$ これにより、CTMCのADRを求める基本式が求まりました。

---

前のブログ 次のブログ

前稿(100.1)において、時刻$t$から$t+dt$において、IFのフォールトがVSG抑止される微小確率を求めると、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\\ =K_{\mathrm{FMC,RF}}(t)\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{101.1} $$ ここで、 $$ \Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\cap\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{FMC,RF}}(t)\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ となりましたが、「DCはSMのアーキテクチャにより決定される」ことを前提とし、フォールト発生とフォールト検出は独立な事象と考えれば、同じ確率式は、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ preventable}\}\cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{101.2} $$ ここで、 $$ \Pr\{\mathrm{IF\ preventable}\}=K_{\mathrm{FMC,RF}}\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ と求められます。従って、(101.1)の$\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\}$という確率的な$t$の関数を、(101.2)の$\Pr\{\mathrm{IF\ preventable}\}$という定数に置き換えることができます。

2nd SMの属性である$K_{\mathrm{FMC,MPF}}$についても同様の議論が成り立ち、Kパラメータは条件付き確率ではなく、アーキテクチャ的に決定している能力(定数)として扱います。

---

前のブログ 次のブログ

(99.1)の定義は便利に使用できます。例えば時刻$t$から$t+dt$において、IFのフォールトがVSG抑止される微小確率を求めると、条件付き確率のチェインルールを用いれば、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\\ =K_{\mathrm{FMC,RF}}(t)\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{100.1} $$ と、IFに関する故障率や信頼度関数で表すことができます。

しかしながら、Kパラメータ、具体的には$K_{\mathrm{FMC,MPF}}$や$K_{\mathrm{FMC,RF}}$が定数だと矛盾が起きます。まず、条件が確率的に作用することにより、例えば1回目にはVSG抑止されたフォールトが、2回目にはVSG抑止されないことが起こりえます。あるいは1回目にはリペアされたフォールトが2回目にはリペアされないことが起こりえます。検出が確率的になされるからといって、同じ故障が検出されたりされなかったりするのは、なんとなく納得がいきません。

次に問題になるのが、このKは定数にはならないことです。例えば、VSG抑止率について考えると、長時間が経ちVSG抑止を長く続けると、VSG抑止されないフォールト確率(不信頼度)は上昇し続けます。明らかに、VSG抑止されるフォールトの確率が高まりそうであるのに、これが一定であるとは感覚に反します。

フォールト検出のたびにサイコロで検出を決めているならそうなりますが、一般的には診断カバレージ(Diagnostic Coverage; DC)はSMのアーキテクチャにより決定され、確率的には検出されないとここでは考えることにします。そうすれば、上記の問題点は解消されます。

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

☆信頼度(Reliability)

$$ R_{item}(t):=\Pr\lbrace\text{item not fail in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_{item}\rbrace $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

☆不信頼度(Unreliability)

$$ F_{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_{item}\le t\rbrace $$ 非修理系システムで、時刻$t$までに故障する確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

☆故障密度(Probability Density, PDF)

$$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_{item}(t)}{dt} $$ 又は、微小故障確率形式として、 $$ f_{item}(t)dt=\Pr\lbrace t\lt X_{item}\le t + dt\rbrace $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。PDF(Probability Density Function)。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_{item}\rbrace + \Pr\lbrace X_{item}\le t + dt\rbrace - \Pr\lbrace t\le X_{item} \cup X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_{item}(t)}{dt} $$

☆(瞬間)故障率(Failure Rate)

$$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{f_{item}(t)}{R_{item}(t)} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_{item}(t)$の式を用いて $$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_{item}\le t+dt \cap t \le X_{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_{item}\rbrace}=\frac{f_{item}(t)}{R_{item}(t)} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_{item}(t)dt=\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace =\Pr\{t\lt X_{item}\le t + dt\ |\ t\le X_{item}\} $$

☆稼働度(Availability)

$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、 $$ A_{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している確率。Point Availablity。

☆不稼働度(Unavailability)

$$ Q_{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{P}\rbrace $$ 修理系システムで、時刻$t$で不稼働な確率。

☆不稼働密度(Unavailability Density, PUD)

$$ q_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t + dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_{item}(t)}{dt} $$ 又は、微小不稼働確率形式として、 $$ q_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ in\ }(t + dt]\cap\mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。Point Unavailability Density (PUD)。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度)。

☆PFH(Probability of Failure per Hour)

注意：Probablity of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。PMHFも同様の定義。average unavailability density (平均不稼働密度; AUD)
$$ PFH:=\overline{q_{item}}=\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace =\frac{1}{T}\Pr\lbrace\eta_{T}\in\mathcal{P}\rbrace,\\ ただしTは車両寿命 $$

☆(瞬間)ダウン率(Down Rate)

$$ \varphi_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t + dt]\ |\ \mathrm{item\ up\ at\ }t\rbrace}{dt}=\frac{q_{item}(t)}{A_{item}(t)} $$ 又は、微小ダウン確率形式として、 $$ \varphi_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ in\ }(t + dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。正確には、時刻$t$から$t+dt$までに不稼働になる条件付き確率を$dt$で割り単位時間あたりとしたもの。conditional failure intensity (条件付き故障強度), Vesely failure rate (Veselyの故障率)。

☆平均ダウン率(Average Down Rate, ADR)

$ADR:=\overline{\varphi_{item}}$の存在を仮定し、$\varphi_{item}(t)A_{item}(t)=q_{item}(t)$の両辺を$0$から$T$まで積分すれば、 $$\int_0^T\overline{\varphi_{item}}A_{item}(t)dt=\int_0^T q_{item}(t)dt$$ ここで、$\int_0^T A(t)dt\approx T$を用いれば、 $$ADR=\overline{\varphi_{item}}\approx\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace=M_{PMHF}$$

これは結果的としてPFHと同じになりますが、FSマイクロではPMHFはADRであると考え、PFHであるとは考えていません。その理由はエンジニアにとって故障率$\lambda$は大変なじみのある値で、それを修理系に拡張したダウン率$\varphi(t)$やその車両寿命における平均値ADRを算出するのが自然ですが、不稼働密度$q(t)$の平均値を算出するのは不合理であるためです。故障確率という意味では、むしろ密度よりもアイテムの車両寿命における不稼働確率$Q(T)$を知りたいところですが、なぜ密度の平均値を知りたいのでしょう？

---

前のブログ 次のブログ

安全機構故障によるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMの故障がSMにより抑止されているものの、SM故障が引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式
のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前項で求めたのが、最初の故障はどうあれ、主機能Mの故障によるVSG確率でした(表63.1のCase 1及びCase 4)。従って、故障の順番が無関係とは、両方(全て)の条件の場合を意味し、次に必要なのは安全機構SMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトのDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのPRV→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$q_{SM,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{65.1}$$ と求められ、ADRを計算すれば、 $$\overline{\varphi_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて暴露時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲)
と正確に一致します。

---

前のブログ 次のブログ

次に、暴露時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式
と正確に一致します。

---

前のブログ 次のブログ

主機能故障によるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能故障に関するPMHFことADRを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\varphi_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMの故障の後に主機能が故障する場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMが故障している場合は主機能故障抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前項までに見たように、OPR→SPF(安全機構の故障が無い状態で主機能故障の場合)及びPRV→DPF(規格の条件どおり、安全機構に続く主機能の故障の場合)の2条件の和となります。つまり規格第1式は、安全機構の故障の有無を問わない、主機能故障によるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMの故障の後に主機能が故障する場合」はCase 4のみを意味していますが、実際には数式は、主機能故障によるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 が、MがフォールトしてもSMがそれをVSG(安全目標侵害)抑止している場合には、次のSMのフォールトは直ちにSG侵害となるため、一旦Mがフォールトとなった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ preventable}\cap\mathrm{SM\ up/down\ at\ }t\rbrace$, $\lbrace \mathrm{LAT1:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT2:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPFもしくはLAT2→SPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,SPF}(t)dt=\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ +\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\}\\ =\Pr\{\mathrm{M\ up\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{VSG\ of\ M\ not\ preventable}\}\Pr\{\mathrm{M\ recieves\ a\ fault\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\\ =(1-K_{M,FMC,RF})R_{M}(t)\lambda_{M}dt=(1-K_{M,FMC,RF})f_{M}(t)dt\tag{62.1} $$

マルコフ状態遷移図でのLAT→DPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,DPF}(t)dt=\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ preventable}\} \\ =\Pr\{\mathrm{SM\ down\ at\ }t\cap\mathrm{M\ up\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ preventable}\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\rbrace\Pr\{\mathrm{VSG\ of\ M\ preventable}\}\\ \cdot\Pr\{\mathrm{M\ recieves\ a\ fault\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\\ =K_{M,FMC,RF}Q_{SM}(t)R_{M}(t)\lambda_{M}dt=K_{M,FMC,RF}Q_{SM}(t)f_{M}(t)dt\tag{62.2} $$

主機能故障によるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合の微小遷移確率が求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\mod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ

平均ダウン率(ADR, Average Down Rate)の前に、PUD(Point Unavailablity Density)、ダウン率(Down Rate)の定義からご紹介します。とはいえ、これらは弊社の造語でありここだけで通用するものです。 PUDは、前々回ご紹介したポイントアンナベイラビリティの時間微分で、不稼働密度とでも訳すべきものであり、以下の式で定義されるものです。

PUD:

不稼働密度$q_{item}(t)$は以下の微小不稼働確率を$dt$で割ったものです。$q_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小不稼働確率としています。 $$q_{item}(t)dt\equiv(\frac{dQ_{item}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png}\tag{61.1}$$ また、ポイントアベイラビリティの式

$$A_{item}(t)\equiv\Pr\lbrace \text{(repairable)item up at }t\rbrace\tag{61.2}$$ 及び条件付き確率の式から、ダウン率が以下で定義されます。

Down Rate:

ダウン率$\varphi_{item}(t)$は以下の微小ダウン確率を$dt$で割ったものです。これも$\varphi_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小ダウン確率としています。 $$\varphi_{item}(t)dt\equiv\img[-1.35em]{/images/withinseminar.png}\tag{61.3}$$ 修理が起きることから(修理系の)ダウン率は(非修理系の)故障率と異なり定数とはなりません。が、車両寿命間に変化する$\varphi(t)$に対して定数である平均値$\overline{\varphi_{item}}$が存在すれば、定義から

$$\int_0^{T_{lifetime}}\overline{\varphi_{item}}\cdot A_{item}(t)dt=\int_0^{T_{lifetime}}q_{item}(t)dt=Q_{item}(T_{lifetime})\tag{61.4}$$

よって、$\int_0^{T_{lifetime}}A_{item}(t)dt\approx T_{lifetime}$であることを考慮すれば、ADRは、

ADR: $$\overline{\varphi_{item}}\approx\img[-1.35em]{/images/withinseminar.png}\tag{61.5}$$

となります。PMHFは、修理系アイテムの車両寿命間のダウン確率の時間平均であることから、ここで示すアイテムのADRに他なりません。このことは規格Part5には以下のように書かれています。

図61.1 Part5でのPMHFの意味

「アイテムの作動寿命間の毎時平均確率」とは舌足らずであり、何の確率かが書かれていません。その前に「ランダムハードウェア故障」とあるため文脈から故障確率であると読み取れますが、修理系の場合は厳密には故障確率ではなく、ダウン確率です。

従って、PMHFを求めるにはまず微小不稼働確率に着目して確率微分方程式を立て、それを0から車両寿命$T_{lifetime}$まで積分し、$T_{lifetime}$で割ってADRを算出する流れで求めます。

---

前のブログ 次のブログ