「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。
パターン3, 4
IFとSMを入れ替えることで、同様にパターン3, 4を導き、パターン1から4までを加えれば、
$$
M_\text{PMHF}\approx\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM,DPF,lat}T_\text{lifetime}\\
+\frac{1}{2}\lambda_\text{IF,DPF}\lambda_\text{SM,DPF,det}T_\text{service}\\
+\frac{1}{2}\lambda_\text{SM,DPF}\lambda_\text{IF,DPF,lat}T_\text{lifetime}\\
+\frac{1}{2}\lambda_\text{SM,DPF}\lambda_\text{IF,DPF,det}T_\text{service}
\tag{313.1}
$$
となりそうです。
規格の問題点
ところが、規格は最初のパターン分けから間違っているので、これは誤った式です。
なぜなら、IFがフォールトして、検出・修理される、次にSMがフォールトして、検出・修理されるというパターンやその逆パターンが、この4パターンには含まれていないためです。規格に従えば、一度フォールトしたエレメントは検出・修理を繰り返し、レイテント状態において相手のエレメントがフォールトする場合にのみDPFとして扱います。
規格のパターン分けは、パターン1,2とパターン3,4の組にはっきりと分かれており、
- パターン1, 2: SMのフォールト、検出・修理が1以上の任意回の後にIFのフォールト
- パターン3, 4: IFのフォールト、検出・修理が1以上の任意回の後にSMのフォールト
という特殊例しか数え上げていないのです。リペアラビリティで表せば、
- パターン1, 2: SMがリペアラブル、IFがアンリペアラブル
- パターン3, 4: IFがリペアラブル、SMがアンリペアラブル
という状態を表しています。パターン1,2ではIFがアンリペアラブル固定(検出・修理はされない)、パターン3,4ではSMがアンリペアラブル固定(検出・修理はされない)と余分な制約がかかっています。
本来は、初期状態でIFとSMは共にリペアラブルであり、かつ相手がフォールト時には自分がアンリペアラブルとなるという、マルコフ図のような動作となります。
結果として規格に依れば、パターン1, 2ではIFのリペア、パターン3, 4ではSMのリペアの考慮が抜けているため、PMHFを過大評価することになります。過小評価よりは良いかもしれませんが。
前のブログ
次のブログ