Posts Issued on July 1, 2019

フォールトトレラントタイム

posted by sakurai on July 1, 2019 #121

車両寿命間のダウン確率は、次の式のようにPMHFに車両寿命をかけたものです。 $$ M_\mathrm{PMHF}:=\frac{1}{T_\mathrm{lifetime}}\Pr\{\text{item down at }T_\mathrm{lifetime}\}\\ \therefore \Pr\{\text{item down at }T_\mathrm{lifetime}\}=M_\mathrm{PMHF}T_\mathrm{lifetime} \tag{121.1} $$ バックアップ系(SM1)に切り替わった後で、EOTTI期間走行する間のダウン確率が(121.1)以下であればよいとすれば、 $$ \Pr\{\text{backup down at }T_\mathrm{eotti}\}=\lambda_\mathrm{SM1, DPF}T_\mathrm{eotti}\le\Pr\{\text{item down at }T_\mathrm{lifetime}\}=M_\mathrm{PMHF}T_\mathrm{lifetime}\tag{121.2} $$ となり、EOTTIの範囲は前稿の規格式(3)で表されます。しかしながら、恐らくワーストケース(最短EOTTI)を求めるための条件と思われますが、厳しすぎに見えます。$t=0$でIFのフォールトが起きた前提での、バックアップ系による走行条件の計算となっています。DPFの確率ではなく、SPFの確率となるため、何桁も厳しくなります。

次に規格式(2)ですが、誤ったPMHF式がベースであるため、以下の例では誤ったEOTTIが得られています。表121.1でケース2の「(2)式の結果」が、上記のワーストと思われる「(3)式の結果」を下回っている(より厳しくなっている)こともこれを裏付けます。

まず正しいEOTTI式を(121.3)に示します。これは、2nd Editionの条件(IF/SM1共にリペアラブル)を前提としてPMHF式を求め(69.1)、その暴露時間の最大値をEOTTIとし、EOTTIについて解いた式です。 $$ T_\text{eotti}\le\frac{M_\text{PMHF}-\left[\lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{IF,DPF}\lambda_\text{SM,DPF}(1-K_\text{MPF})T_\text{lifetime}\right]}{\lambda_\text{IF,DPF}\lambda_\text{SM,DPF}K_\text{MPF}}\\ =\frac{M_\text{PMHF}-\left[\lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{IF,DPF}\lambda_\text{SM,DPF}(1-K_\text{IF,MPF})(1-K_\text{SM,MPF})T_\text{lifetime}\right]}{\lambda_\text{IF,DPF}\lambda_\text{SM,DPF}\left[1-(1-K_\text{IF,MPF})(1-K_\text{SM,MPF})\right]}\\ =\frac{M_\text{PMHF}-(\lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{IF,DPF,lat}\lambda_\text{SM,DPF,lat}T_\text{lifetime})}{\lambda_\text{IF,DPF}\lambda_\text{SM,DPF}-\lambda_\text{IF,DPF,lat}\lambda_\text{SM,DPF,lat}} \tag{121.3} $$ 次に規格中の例題を(121.3)で計算し直した結果、表121.1の最下段のようになります。

表121.1
EOTTI ケース1[H] ケース2[H]
(2)式の結果 772 31
(3)式の結果 167 167
(2)式の修正結果 2,312 965

規格の2例で総合的な$K_\text{MPF}$を求めると、ケース1, 2において0.99と変わりませんが、これを振ってみた、$T_\text{eotti}$に関するグラフを図121.3に示します。(121.3)が不等式であるため、解の存在領域は曲線の下側となります。

図%%.3
図121.3 ケース1とケース2での$K_\text{MPF}$に対する$T_\text{eotti}$

ケース2では、本来965Hで良いのに31Hと厳しくなっているので、

規格によれば、ダウン率の過大評価に基づく、EOTTIの31.3倍の過小評価をしていると結論づけます。

まとめると、フォールトトレラントシステムのマルコフ連鎖を考えると、(3)は過小評価しすぎと考えます。その理由は、ワーストケースとはいえ、ダウン率の高いSM1(バックアップ系)のみでEOTTI時間動作することを想定していますが、実際にはダウン率の低い主機能との組み合わせで動作するためです。本来のPMHF式(68.1)(98.7)に示す$T_\mathrm{service}$を$T_\mathrm{eotti}$に置き換えた式が正しいと考えます。

いずれにしろ、規格2nd Editionで(3)を使用しているのは、EOTTIを過小評価しすぎです、(2)は誤って過小評価しているためあまり目立たなくなっていますが、本来(2)の制約のみで良いと考えます。しかしながら(2)式が誤っているので、(68.1)や(98.7)を使用すべきです。

この結果はRAMS2020で発表しました。


左矢前のブログ 次のブログ右矢