自動緊急ブレーキシステム。

稼働確率。時刻$t$におけるitemの稼働確率は以下の確率式で表される。

$$A_\text{item}(t):=\Pr \lbrace \text{(repairable)item up at }t \rbrace$$

以下の図のように、状態確率を持つ複数のサークルと、それらの間で遷移する微小確率から構成される遷移図において、時間が連続的に変化するもの。

診断カバー率。1st SMの属性であるVSG抑止率、2nd SMの属性である故障診断率ないしはLF抑止率。PMHFにおいては、以下のKパラメータがそれぞれのSMの属性である。

$K_\text{IF,FMC,RF}$---1st SMの属性であるIFのVSG抑止率

$K_\text{SM,FMC,MPF}$---2nd SMの属性である1st SMのレイテント抑止率(=故障診断率)

特にIFがリペアラブルである場合には
$K_\text{IF,FMC,MPF}$---2nd SMの属性であるIFのレイテント抑止率(=故障診断率)

デュアルポイントフォールト、2点フォールト(もしくは故障)。あるIFもしくはSMのフォールトと、対応するSMもしくはIFのフォールトの2点フォールトをDPFと呼ぶ。それによりVSGとなる事象を故障、VSGの可能性がある事象をフォールトという。

ただし、デュアルポイントフォールトレイテント(LF)は、デュアルポイントフォールトという名前にもかかわらず、1点フォールトを意味する。1点目のフォールトが発生した段階で、別のエレメントの2点目のフォールトの可能性を考慮する必要がある。

SMに1点目のフォールトが発生した場合を考えると、2nd SMにより検出されない場合それはLFとなる。将来的にIFにフォールトが起きる場合、LFとの組み合わせ(DPF)によりVSGが起きる。

注意：DPFは同時にフォールトが起きる事象ではない。確率論からは同時にフォールトが起きる事象の確率は0であるため。

1st SMがFTTIを超えて安全を担保しているが(VSGを抑止しているが)、1st SMの構造により担保時間(VSG抑止時間)に制約がある場合の時間間隔

電動パワーステアリングシステム。

LFとなっている期間。例えばIFのフォールトが直ちにVSGとならないようにSMが存在するが、SMにフォールトが発生すると、SMの保護が外れていることになる。その期間を、保護から露わになっているという意味あいで暴露期間という。暴露期間には2種類あり、LFが検出される場合は、定期検査周期後に通知され、修理されるため、最大暴露期間は定期検査周期(及びリペアまでの時間)$T_\text{service}$と等しくなる(平均暴露期間はその$\frac 1 2$)。一方、LFが検出されない場合は、最大暴露期間は車両寿命$T_\text{lifetime}$と等しくなる(平均暴露期間はその$\frac 1 2$)。

1st SMにおいてはその対象となるIFの故障モード別のSG侵害抑止率もしくはフォールト検出率。2nd SMにおいてはその対象となる1st SMの故障モード別のフォールト検出率(LF抑止率)

システムの望ましくない状態を頂上事象(Top Event)と置き、トップダウンにより、ブール代数を使用して基事象(Basic Event)を木構造により組み合わせる、演繹的な安全分析手法。定量FTAにおいては基事象は故障確率を持ち、頂上事象を侵害する確率の計算を実施する。

1st SM (IFがVSGとなるのを抑止するためのSM)がIFのフォールトを検出し、アイテムを安全状態に遷移させるまでの許容時間。1st SMがこの時間間隔の間にアイテムを安全状態に遷移させられないときにはDCを主張できない。

意図機能。主機能とも言う。エレメントが本来持つべき機能であり、SMに対する用語。例：EPSであれば、ステアリングアシスト動作。AEBであればブレーキをかける動作。

なお、自動車において意図機能が機能失陥すると、人命に関わる事故につながることがある。例：EPSにおけるセルフステアリング(ドライバーの意図しないステアリングアシスト動作)、AEBにおける意図しない急ブレーキ等

レイテントフォールト。潜在フォールト。正式名称は「マルチプルポイントフォールトレイテント」(もしくは「デュアルポイントフォールトレイテント」)だが、1点フォールトなのにマルチプルポイントやデュアルポイントの名前がついており、紛らわしいことに注意。

事象が起きた場合にVSGとなることは無いため、必ずフォールトになり、故障(フェイリャ)とはならない。

SMに1点目のフォールトが発生した場合を考えると、SMの機能失陥により、将来的に主機能の2点目のフォールトの可能性がある。1点目と2点目のフォールトの組み合わせ(DPF)によりVSGが起きる場合、1点目のフォールトが2nd SMにより検出されず、かつドライバーにも認識されない場合、そのフォールトをデュアルポイントフォールトレイテント、略してLFと呼ぶ。

FTAにおいて、頂上事象をtrueとするための基事象の組み合わせのうち、最も少ない組み合わせのことをMC(Minimal Cut, 最小カット)と呼び、それら全体をMCS(Minimal Cut Set, 最小カット集合)と呼ぶ。

例：以下の図のMCがそれぞれ{1}、{2}、{3, 4, 5}, {6}, {7, 8}であるとき、それら全体をMCSと呼ぶ。

任務機能、意図機能。IFの項目を参照のこと。

複数点フォールト(もしくは故障)。ISO 26262では、3つ以上の同時故障事象の確率は通常非常に低いためセーフフォールトに分類されるので、MPFで重要なのはDPFのみとなり、MPFとDPFは同義的に用いられる。

それによりVSGとなる事象を故障、VSGの可能性がある事象をフォールトという。

MPFを検出するための時間周期。

アイテムの車両寿命における、不稼働確率の時間平均(弊社の定義)。不稼働確率は故障確率に近いが、故障後に定期検査により修理され、また稼働に戻る確率も含んだものである。

$$M_\text{PMHF}:=\frac{1}{T_\text{lifetime}}\Pr\{\text{item down at }T_\text{lifetime}\}$$

なお、規格では2か所に以下のように記述されているが、いずれも不十分な表現。

“average probability of failure per hour over the operational lifetime of the item” [ISO 26262:2018 Part5 9.4.2.1 NOTE 1]
「アイテムの作動寿命間の毎時平均故障確率」

“Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures” [ISO 26262:2018 Part5 9.4.2.2]
「ランダムハードウェア故障によるアイテムレベルの各安全目標侵害の最大確率に対する定量的目標値」

⇒以下のように2つを組み合わせれば定義として適切である。
「アイテムの作動寿命間における、ランダムハードウェア故障によるアイテムレベルの各安全目標侵害の最大確率の、毎時平均として表される定量的目標値」

稼働確率。時刻$t$におけるitemの稼働確率は以下の確率式で表される。

$$A_\text{item}(t):=\Pr \lbrace \text{(repairable)item up at }t \rbrace$$

不稼働確率。時刻$t$におけるitemの不稼働確率は以下の確率式で表される。

$$Q_\text{item}(t):=\Pr \lbrace \text{(repairable)item down at }t \rbrace$$

不稼働確率密度。時刻$t$におけるitemの不稼働確率密度は以下の確率微分式で表される。

$$q_\text{item}(t):=\frac{dQ_\text{item}(t)}{dt}$$ または、確率の式で書けば、 $$q_\text{item}(t):=\Pr\{\text{item down in }(t, t+dt]\}$$

信頼度。非修理システムにおいて、時刻$t$において稼働している確率。時刻$t$におけるitemの信頼度は以下の確率式で表される。

$$R_\text{item}(t):=\Pr \lbrace \text{(unrepairable)item not down in }(0, t] \rbrace$$

レジデュアルフォールト、残余フォールト(または故障)。IFに1点フォールトが発生する場合、IFに対するSM(1st SM)によりフォールトがVSGとなるのを抑止するが、そのカバー範囲から漏れ、VSGとなるフォールトをRFと呼ぶ。それによりVSGとなる事象を故障、VSGの可能性がある事象をフォールトという。

PMHF計算においては、SPFとRFを合わせたものをRFと呼ぶことがある。これはSPF/RFと記述すべきところだが、一般的にSPFは少ないのでRFで代表させていると考えられる。

安全目標。最上位の安全要求。最上位という意味は、他の要求から導出されたものではなく、原始の安全要求であるという意味。導出はHA&RAにより実施される。通常は否定形で記述され、「危険な状態におちいらないこと」を要求する。例えば、「走行中にステアリングロックが無いこと」等。

安全機構。SMには、1st order SM(または1st SM)と2nd order SM(または2nd SM)の2種類がある。1st SMはIFのVSGを抑止、または軽減するためのSM。2nd SMはIFまたはSMがLFとなるのを抑止、または軽減するためのSM。

シングルポイントフォールト(もしくは故障)。狭義では、SM(1st SM )が存在しないIFのフォールト(もしくは故障)。それによりVSGとなる事象を故障、VSGの可能性がある事象をフォールトという。広義では狭義のSPFとRFを合わせた1点フォールト(もしくは故障)。

不信頼度。非修理システムにおいて、時刻$t$において稼働していない確率。時刻$t$におけるitemの不信頼度は以下の確率式で表される。

$$F_\text{item}(t):=\Pr \lbrace \text{(unrepairable)item down in }(0, t] \rbrace$$

安全目標侵害。SGを侵害すること。