ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。

☆信頼度(Reliability)

$R_{item}(t)\equiv\Pr\lbrace\text{item not fail in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace$
非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると、故障しっぱなしになるため、一度も故障していない確率になります。

☆不信頼度(Unreliability)

$F_{item}(t)\equiv\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace$
非修理系システムで、時刻$t$までに故障した確率。非修理系なので、一度でも故障すると、故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率になります。

☆故障密度(Probability Density)

$f_{item}(t)dt\equiv\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\rbrace=(\frac{dF_{item}(t)}{dt})dt$
非修理系システムで、時刻$t$から$t+dt$までに故障する確率。PDF。

☆故障率(Failure Rate)

$\lambda_{item}(t)dt\equiv\Pr\lbrace\mathrm{item\ failed\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ }t\rbrace=\frac{f_{item}(t)}{R_{item}(t)}dt$
非修理系システムで、時刻$t$で稼働している条件において時刻$t$から$t+dt$までに故障する確率。ISO 26262の場合は定数として良い。

☆稼働度(Availability)

$A_{item}(t)\equiv\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace$
修理系システムで、時刻$t$で稼働している確率。Point Availablity。

☆不稼働度(Unavailability)

$Q_{item}(t)\equiv\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace$
修理系システムで、時刻$t$で不稼働な確率。

☆不稼働密度(Unavailability Density)

$q_{item}(t)dt\equiv\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\rbrace=(\frac{dQ_{item}(t)}{dt})dt$
修理系システムで、時刻$t$から$t+dt$までに不稼働になる確率。Point Unavailability Density (PUD)。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度)。

☆ダウン率(Down Rate)

$\rho_{item}(t)dt\equiv\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ }t\rbrace=\frac{q_{item}(t)}{A_{item}(t)}dt$
修理系システムで、時刻$t$で稼働している条件において時刻$t$から$t+dt$までに不稼働になる確率。conditional failure intensity (条件付き故障強度), Vesely failure rate (Veselyの故障率)。

☆PFH(Probability of Failure per Hour)

注意：Probablity of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。PMHFも同様の定義。average unavailability density (平均不稼働密度; AUD)
$PFH\equiv\overline{q_{item}}=\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace, ただしTは車両寿命$

☆平均ダウン率(Average Down Rate, ADR)

$ADR\equiv\overline{\rho_{item}}$の存在を仮定し、$\rho_{item}(t)A_{item}(t)=q_{item}(t)$の両辺を$0$から$T$まで積分すれば、 $\int_0^T\overline{\rho_{item}}A_{item}(t)dt=\int_0^T q_{item}(t)dt$。ここで、$\int_0^T A(t)dt\approx T$を用いれば、 $ADR=\overline{\rho_{item}}\approx\frac{1}{T}\int_0^T q_{item}(t)dt=\frac{1}{T}Q_{item}(T)=\frac{1}{T}\Pr\lbrace\mathrm{item\ down\ at\ }T\rbrace=M_{PMHF}$

これは結果的としてPFHと同じになりますが、FSマイクロではPMHFはADRであると考え、PFHであるとは考えていません。その理由はエンジニアにとって故障率$\lambda$は大変なじみのある値で、それを修理系に拡張したダウン率$\rho(t)$やその車両寿命における平均値ADRを算出するのが自然ですが、不稼働密度$q(t)$の平均値を算出するのは不自然であるためです。故障確率という意味では、密度ではなくアイテムの車両寿命における不稼働確率$Q(T)$を知りたいところです。

---

前のブログ 次のブログ

安全機構故障によるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMの故障が抑止されているが、SM故障が引き続いて起こる場合です。この状態がレイテントになるのかならないのかが曖昧です。具体的には次に示すようにPMHFではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式
のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前項で求めたのが、最初の故障はどうあれ、主機能Mの故障によるVSG確率でした。従って、故障の順番が無関係とは、両方の条件の場合だと考えると、次に必要なのは安全機構SMのフォールトによるVSG確率です。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトのDPF確率のみを考えます。

マルコフ状態遷移図でのPRV→DPF

従って、SMによるVSG(DPF)の微小故障確率PUDは、 $$q_{SM,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{65.1}$$ と求められ、ADRを計算すれば、 $$\overline{\rho_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて暴露時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式
と正確に一致します。

---

前のブログ 次のブログ

次に、暴露時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式
と正確に一致します。

---

前のブログ 次のブログ

主機能故障によるVSGの場合のPMHF計算

前稿で目的のPUDが求められたので、主機能故障に関するPMHFことADRを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\rho_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、SMの故障の後に主機能故障と読めますが、以前PMHFの意味でも述べたように、原文の誤りと思われます。その理由は、SMが故障している場合は主機能故障抑止ができず、従って$\lambda_{RF}$とはならないからです。また、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前項までに見たように、OPR→SPF(安全機構の故障が無い状態で主機能故障の場合)及びPRV→DPF(規格の条件どおり、安全機構に続く主機能の故障の場合)の2条件の和となります。つまり規格第1式は、安全機構の故障の有無を問わない、主機能故障によるVSG確率を意味しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 が、Mが故障を起こしてSMがそれをSG抑止している場合には、次のSMの故障は直ちにSG侵害となるため、一旦Mが故障となった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ prevented}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{PRV:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ prevented}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPF

図より微小確率PUDは、 $$q_{M,SPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{62.1}$$

マルコフ状態遷移図でのLAT→DPF

図より微小確率PUDは、 $$q_{M,DPF}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{62.2}$$

主機能故障によるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合のPUDが求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\mod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ

平均ダウン率(ADR, Average Down Rate)の前に、PUD(Point Unavailablity Density)、ダウン率(Down Rate)の定義からご紹介します。とはいえ、これらは弊社の造語でありここだけで通用するものです。 PUDは、前々回ご紹介したポイントアンナベイラビリティの時間微分で、不稼働密度とでも訳すべきものであり、以下の式で定義されるものです。

PUD: $$q_{item}(t)dt\equiv(\frac{dQ_{item}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png}\tag{61.1}$$ また、ポイントアベイラビリティの式

$$A_{item}(t)\equiv\Pr\lbrace \text{(repairable)item up at }t\rbrace\tag{61.2}$$ 及び条件付き確率の式から、ダウン率が

Down Rate: $$\rho_{item}(t)dt\equiv\img[-1.35em]{/images/withinseminar.png}\tag{61.3}$$ と定義されます。修理が起きることから(修理系の)ダウン率は(非修理系の)故障率と異なり定数とはなりません。が、車両寿命間に変化する$\rho(t)$に対して定数である平均値$\overline{\rho_{item}}$が存在すれば、定義から

$$\int_0^{T_{lifetime}}\overline{\rho_{item}}\cdot A_{item}(t)dt=\int_0^{T_{lifetime}}q_{item}(t)dt=Q_{item}(T_{lifetime})\tag{61.4}$$

よって、$\int_0^{T_{lifetime}}A_{item}(t)dt\approx T_{lifetime}$であることを考慮すれば、ADRは、

ADR: $$\overline{\rho_{item}}\approx\img[-1.35em]{/images/withinseminar.png}\tag{61.5}$$

となります。PMHFは、修理系アイテムの車両寿命間のダウン確率の時間平均であることから、ここで示すアイテムのADRに他なりません。このことは規格Part5には以下のように書かれています。

図61.1 Part5でのPMHFの意味

「アイテムの作動寿命間の毎時平均確率」とは良く読むと舌足らずです。何の確率かが書かれていません。その前に「ランダムハードウェア故障」とあるため文脈から故障確率であると読み取れますが、修理系の場合は厳密には故障確率ではなく、ダウン確率です。

従って、PMHFを求めるにはまずPUDに着目して確率微分方程式を立て、それを0から車両寿命$T_{lifetime}$まで積分し、$T_{lifetime}$で割ってADRを算出する流れで求めます。

---

前のブログ 次のブログ