ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

☆信頼度(Reliability)

$$ R_{item}(t):=\Pr\lbrace\text{item not fail in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_{item}\rbrace $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

☆不信頼度(Unreliability)

$$ F_{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_{item}\le t\rbrace $$ 非修理系システムで、時刻$t$までに故障する確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

☆故障密度(Probability Density, PDF)

$$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_{item}(t)}{dt} $$ 又は、微小故障確率形式として、 $$ f_{item}(t)dt=\Pr\lbrace t\lt X_{item}\le t + dt\rbrace $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。PDF(Probability Density Function)。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_{item}\rbrace + \Pr\lbrace X_{item}\le t + dt\rbrace - \Pr\lbrace t\le X_{item} \cup X_{item}\le t + dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_{item}(t)}{dt} $$

☆(瞬間)故障率(Failure Rate)

$$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{f_{item}(t)}{R_{item}(t)} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数です。

【証明】 条件付き確率の式及び、上記$f_{item}(t)$の式を用いて $$ \lambda_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_{item}\le t+dt \cap t \le X_{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_{item}\rbrace}=\frac{f_{item}(t)}{R_{item}(t)} $$

☆稼働度(Availability)

$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、 $$ A_{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している確率。Point Availablity。

☆不稼働度(Unavailability)

$$ Q_{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace\eta_{t}\in\mathcal{P}\rbrace $$ 修理系システムで、時刻$t$で不稼働な確率。

☆不稼働密度(Unavailability Density, PUD)

$$ q_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_{item}(t)}{dt} $$ 又は、微小不稼働確率形式として、 $$ q_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\cap\mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。Point Unavailability Density (PUD)。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度)。

☆PFH(Probability of Failure per Hour)

注意：Probablity of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。PMHFも同様の定義。average unavailability density (平均不稼働密度; AUD)
$$ PFH:=\overline{q_{item}}=\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace =\frac{1}{T}\Pr\lbrace\eta_{T}\in\mathcal{P}\rbrace, ただしTは車両寿命 $$

☆(瞬間)ダウン率(Down Rate)

$$ \rho_{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\ |\ \mathrm{item\ up\ at\ }t\rbrace}{dt}=\frac{q_{item}(t)}{A_{item}(t)} $$ 又は、微小ダウン確率形式として、 $$ \rho_{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ at\ }t + dt\ |\ \mathrm{item\ up\ at\ } t\rbrace=\Pr\lbrace\eta_{t+dt}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\rbrace $$ 修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。正確には、時刻$t$から$t+dt$までに不稼働になる条件付き確率を$dt$で割り単位時間あたりとしたもの。conditional failure intensity (条件付き故障強度), Vesely failure rate (Veselyの故障率)。

☆平均ダウン率(Average Down Rate, ADR)

$ADR:=\overline{\rho_{item}}$の存在を仮定し、$\rho_{item}(t)A_{item}(t)=q_{item}(t)$の両辺を$0$から$T$まで積分すれば、 $$\int_0^T\overline{\rho_{item}}A_{item}(t)dt=\int_0^T q_{item}(t)dt$$ ここで、$\int_0^T A(t)dt\approx T$を用いれば、 $$ADR=\overline{\rho_{item}}\approx\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace=M_{PMHF}$$

これは結果的としてPFHと同じになりますが、FSマイクロではPMHFはADRであると考え、PFHであるとは考えていません。その理由はエンジニアにとって故障率$\lambda$は大変なじみのある値で、それを修理系に拡張したダウン率$\rho(t)$やその車両寿命における平均値ADRを算出するのが自然ですが、不稼働密度$q(t)$の平均値を算出するのは不合理であるためです。故障確率という意味では、むしろ密度よりもアイテムの車両寿命における不稼働確率$Q(T)$を知りたいところですが、なぜ密度の平均値を知りたいのでしょう？

---

前のブログ 次のブログ

安全機構故障によるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMの故障がSMにより抑止されているものの、SM故障が引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式
のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前項で求めたのが、最初の故障はどうあれ、主機能Mの故障によるVSG確率でした(表63.1のCase 1及びCase 4)。従って、故障の順番が無関係とは、両方(全て)の条件の場合だと考えると、次に必要なのは安全機構SMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトのDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのPRV→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$q_{SM,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{65.1}$$ と求められ、ADRを計算すれば、 $$\overline{\rho_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて暴露時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲)
と正確に一致します。

---

前のブログ 次のブログ

次に、暴露時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式
と正確に一致します。

---

前のブログ 次のブログ

主機能故障によるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能故障に関するPMHFことADRを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\rho_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMの故障の後に主機能が故障する場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMが故障している場合は主機能故障抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前項までに見たように、OPR→SPF(安全機構の故障が無い状態で主機能故障の場合)及びPRV→DPF(規格の条件どおり、安全機構に続く主機能の故障の場合)の2条件の和となります。つまり規格第1式は、安全機構の故障の有無を問わない、主機能故障によるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMの故障の後に主機能が故障する場合」はCase 4のみを意味していますが、実際には数式は、主機能故障によるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 が、Mが故障を起こしてSMがそれをSG抑止している場合には、次のSMの故障は直ちにSG侵害となるため、一旦Mが故障となった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ prevented}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{PRV:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ prevented}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPF

図より微小不稼働確率をPUDで表すと、 $$q_{M,SPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{62.1}$$

マルコフ状態遷移図でのLAT→DPF

図より微小不稼働確率をPUDで表すと、 $$q_{M,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{62.2}$$

主機能故障によるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合の微小遷移確率が求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\mod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ

平均ダウン率(ADR, Average Down Rate)の前に、PUD(Point Unavailablity Density)、ダウン率(Down Rate)の定義からご紹介します。とはいえ、これらは弊社の造語でありここだけで通用するものです。 PUDは、前々回ご紹介したポイントアンナベイラビリティの時間微分で、不稼働密度とでも訳すべきものであり、以下の式で定義されるものです。

PUD:

不稼働密度$q_{item}(t)$は以下の微小不稼働確率を$dt$で割ったものです。$q_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小不稼働確率としています。不稼働密度を後で$t$で積分したいため。 $$q_{item}(t)dt\equiv(\frac{dQ_{item}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png}\tag{61.1}$$ また、ポイントアベイラビリティの式

$$A_{item}(t)\equiv\Pr\lbrace \text{(repairable)item up at }t\rbrace\tag{61.2}$$ 及び条件付き確率の式から、ダウン率が以下で定義されます。

Down Rate:

ダウン率$\rho_{item}(t)$は以下の微小ダウン確率を$dt$で割ったものです。これも$\rho_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小不稼働確率としています。不稼働密度を後で$t$で積分したいため。 $$\rho_{item}(t)dt\equiv\img[-1.35em]{/images/withinseminar.png}\tag{61.3}$$ 修理が起きることから(修理系の)ダウン率は(非修理系の)故障率と異なり定数とはなりません。が、車両寿命間に変化する$\rho(t)$に対して定数である平均値$\overline{\rho_{item}}$が存在すれば、定義から

$$\int_0^{T_{lifetime}}\overline{\rho_{item}}\cdot A_{item}(t)dt=\int_0^{T_{lifetime}}q_{item}(t)dt=Q_{item}(T_{lifetime})\tag{61.4}$$

よって、$\int_0^{T_{lifetime}}A_{item}(t)dt\approx T_{lifetime}$であることを考慮すれば、ADRは、

ADR: $$\overline{\rho_{item}}\approx\img[-1.35em]{/images/withinseminar.png}\tag{61.5}$$

となります。PMHFは、修理系アイテムの車両寿命間のダウン確率の時間平均であることから、ここで示すアイテムのADRに他なりません。このことは規格Part5には以下のように書かれています。

図61.1 Part5でのPMHFの意味

「アイテムの作動寿命間の毎時平均確率」とは舌足らずであり、何の確率かが書かれていません。その前に「ランダムハードウェア故障」とあるため文脈から故障確率であると読み取れますが、修理系の場合は厳密には故障確率ではなく、ダウン確率です。

従って、PMHFを求めるにはまず微小不稼働確率に着目して確率微分方程式を立て、それを0から車両寿命$T_{lifetime}$まで積分し、$T_{lifetime}$で割ってADRを算出する流れで求めます。

---

前のブログ 次のブログ