Posts Tagged with "2nd edition"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

規格第2版のPMHF式の疑問 (7)

posted by sakurai on April 11, 2022 #471

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の解読を行います。この記事の続きです。

パターン1

パターン1を規格に従って計算します。

  • Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。

規格にはマルコフ図が記載されていないので推測すると、パターン1は、SM1のフォールトが2nd SM(SM2)で検出されないため、SM1のフォールト全体に対するパターン1の割合は$1-K_\text{SM,DPF}$となり、マルコフ図は以下のようになります。時刻パラメータ$t$が最初のSMのフォールトが起きた時刻、$t'$がVSGとなる2つ目のIFのフォールトが起きた時刻とします。

図%%.1
図471.1 2nd editionパターン1マルコフ図

規格によるPMHFの求め方は、
1. 後に起きるIFのフォールトの確率密度を$t$から$T_\text{lifetime}$まで$t'$について積分し$t$で表します。$t'$まではIFはフォールトしないことに注意します。
2, 先に起きるSMのフォールトの確率密度を0から$T_\text{lifetime}$まで$t$について積分します。

まず、IFの$LAT2S$での状態確率は、 $$ \Pr\{\text{IF in }LAT2S\}=\Pr\{\text{IF up at }t'\cap\text{VSG of IF prevented}\}=K_\text{IF,DPF}R_\text{IF}(t') \tag{471.1} $$ $LAT2S$から$DPF1$への微小時間での遷移確率は、IFがDPFする場合であり、 $$ \Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF in }LAT2S\}\\ =\Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF up at }t'\cap\text{VSG of IF prevented}\}\\ =\Pr\{\text{IF down in }(t', t'+dt']\ |\ \text{IF up at }t'\}=\lambda_\text{IF}dt' \tag{471.2} $$

規格のとおりIFの確率を求めるには、IFは時刻$0$から$t'$まではフォールトせず(解説書の$t$は誤り)、かつ、$t'$から$T_\text{lifetime}$までにフォールトする確率となります。

従って、(471.1)、(471.2)から、IFの後故障の確率を求めると $$ K_\text{IF,DPF}\int_t^{T_\text{lifetime}}R_\text{IF}(t')\lambda_\text{IF}dt'=K_\text{IF,DPF}\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\\ =K_\text{IF,DPF}\left[F_\text{IF}(t')\right]^{T_\text{lifetime}}_t=K_\text{IF,DPF}\left[F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right]\\ \approx K_\text{IF,DPF}\lambda_\text{IF}(T_\text{lifetime}-t) \tag{471.3} $$ ところが、解説書パターン1では以下のようになっており、2か所の誤りが存在します。

図%%.2
図471.2 解説書パターン1のIFに関する計算部分

次にSMの$OPRS$での状態確率は、 $$ \Pr\{\text{SM in }OPRS\}=\Pr\{\text{SM is up at }t\}=R_\text{SM}(t) \tag{471.4} $$ $OPRS$から$LAT2S$への微小時間での遷移確率は、SMがフォールトする場合であり、 $$ \Pr\{\text{SM down in }(t, t+dt] | \text{SM is up at }t\}=(1-K_\text{SM,DPF})\lambda_\text{SM}dt \tag{471.5} $$

IFの項とSMの項を$0$から$T_\text{lifetime}$まで積分し時間平均すると、(471.3)~(471.5)を用いて、 $$ \require{cancel} M_\text{PMHF,P1}\approx\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\text{SM,DPF})R_\text{SM}(t)\lambda_\text{SM}K_\text{IF,DPF}\lambda_\text{IF}(T_\text{lifetime}-t)dt\\\ \approx\frac{1}{\bcancel{T_\text{lifetime}}}(1-K_\text{SM,DPF})K_\text{IF,DPF}\lambda_\text{IF}\lambda_\text{SM}\left[T_\text{lifetime}\bcancel{t}-\frac{1}{2}t^\bcancel{2}\right]_0^{T_\text{lifetime}}\\ =\frac{1}{2}K_\text{IF,DPF}(1-K_\text{SM,DPF})\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}\\ =\frac{1}{2}\lambda_\text{SM,DPF,lat}\lambda_\text{IF,DPF}T_\text{lifetime} \tag{471.6} $$

これは図104.2の初版PMHF式(パターン1, 2のみ)の、DPFにおけるパターン1に相当する部分と(IF⇒mと読み替えることにより)正確に一致します。

図%%.3
図471.3 1st edition規格第1式

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

ほぼ同様な議論ですが、記事#476に再掲します。


左矢前のブログ 次のブログ右矢

posted by sakurai on April 9, 2022 #470

次稿において、規格第2版のやり方に従ってPMHF計算をすると、新たに以下の2つの公式が必要になるので、公式の導出を示します。近似のポリシーは$\lambda$の2乗までを残すものとします。

No.1

$$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{SM}(t)f_\text{IF}(t)dt=\lambda_\text{SM}\lambda_\text{IF} \tag{470.1} $$ 証明:(470.1)に$f_\text{SM}(t)=\lambda_\text{SM}e^{-\lambda_\text{SM}t}$及び、$f_\text{IF}(t)=\lambda_\text{IF}e^{-\lambda_\text{IF}t}$を用いて、 $$ \require{cancel} \text{L.H.S of }(470.1)=\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}dt=\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}}\left[\frac{1}{\lambda_\text{IF}+\lambda_\text{SM}}e^{-(\lambda_\text{IF}+\lambda_\text{SM})t}\right]^0_{T_\text{lifetime}}\\ =\frac{\lambda_\text{SM}\lambda_\text{IF}}{T_\text{lifetime}(\lambda_\text{IF}+\lambda_\text{SM})}\left(1-e^{-(\lambda_\text{IF}+\lambda_\text{SM})T_\text{lifetime}}\right)\approx\frac{\lambda_\text{SM}\lambda_\text{IF}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{IF}+\lambda_\text{SM})}}\bcancel{(\lambda_\text{IF}+\lambda_\text{SM})}\bcancel{T_\text{lifetime}} $$

No.2

$$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{SM}(t)R_\text{IF}(t)F_\text{IF}(t)dt=\frac{1}{2}\lambda_\text{SM}\lambda_\text{IF}T_\text{lifetime} \tag{470.2} $$ 証明:同様に、 $$ \text{L.H.S of }(470.2)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\lambda_\text{SM}e^{-\lambda_\text{SM}t}e^{-\lambda_\text{IF}t}(1-e^{-\lambda_\text{IF}t})dt\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}dt-\frac{\lambda_\text{SM}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}e^{-(\lambda_\text{SM}+2\lambda_\text{IF})t}dt\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}}\left[\frac{e^{-(\lambda_\text{SM}+\lambda_\text{IF})t}}{\lambda_\text{SM}+\lambda_\text{IF}}\right]^0_{T_\text{lifetime}}-\frac{\lambda_\text{SM}}{T_\text{lifetime}}\left[\frac{e^{-(\lambda_\text{SM}+2\lambda_\text{IF})t}}{\lambda_\text{SM}+2\lambda_\text{IF}}\right]^0_{T_\text{lifetime}}\\ =\frac{\lambda_\text{SM}}{T_\text{lifetime}(\lambda_\text{SM}+\lambda_\text{IF})}\left(1-e^{-(\lambda_\text{SM}+\lambda_\text{IF})T_\text{lifetime}}\right)-\frac{\lambda_\text{SM}}{T_\text{lifetime}(\lambda_\text{SM}+2\lambda_\text{IF})}\left(1-e^{-(\lambda_\text{SM}+2\lambda_\text{IF})T_\text{lifetime}}\right)\\ \approx\frac{\lambda_\text{SM}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{SM}+\lambda_\text{IF})}}\left(\bcancel{(\lambda_\text{SM}+\lambda_\text{IF})}\bcancel{T_\text{lifetime}}-\frac{1}{2}(\lambda_\text{SM}+\lambda_\text{IF})^\bcancel{2} T_\text{lifetime}^\bcancel{2}\right)\\ -\frac{\lambda_\text{SM}}{\bcancel{T_\text{lifetime}}\bcancel{(\lambda_\text{SM}+2\lambda_\text{IF})}}\left(\bcancel{(\lambda_\text{SM}+2\lambda_\text{IF})}\bcancel{T_\text{lifetime}}-\frac{1}{2}(\lambda_\text{SM}+2\lambda_\text{IF})^\bcancel{2} T_\text{lifetime}^\bcancel{2}\right)\\ =\lambda_\text{SM}\left(\bcancel{1}-\frac{1}{2}(\bcancel{\lambda_\text{SM}}+\bcancel{\lambda_\text{IF}})T_\text{lifetime}-\bcancel{1}+\frac{1}{2}(\bcancel{\lambda_\text{SM}}+\bcancel{2}\lambda_\text{IF})T_\text{lifetime}\right)=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime} $$ No.1, 2から、以下のような簡便公式が得られます。

$$ \int_0^{T_\text{lifetime}}f(t)dt\approx \lambda\int_0^{T_\text{lifetime}}dt \tag{470.3} $$

$$ \int_0^{T_\text{lifetime}}R(t)dt\approx\int_0^{T_\text{lifetime}}dt \tag{470.4} $$

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 17, 2020 #335

Pattern 3と4

Pattern 3と4は、Pattern 1と2のIFとSM1を入れ替えた形になっています。ただし、条件は微妙に異なります。

  • Pattern 3: IF⇒SM1の順にフォールトが発生し、IFのフォールトはSM1によって緩和されるが通知されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
  • Pattern 4: IF⇒SM1の順にフォールトが発生し、IFのフォールトは、SM1によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

このように、Pattern 3も4も最初にIFにフォールトが発生し、引き続き、SM1にフォールトが発生する場合、つまりIF⇒SM1のDPFの状況を表しています。

Pattern 3と4の条件

Pattern 3と4の条件を論理式で書いてみます。まず、Pattern 3の条件であるLFを増加する条件は、2nd SMであるSM1によるIFのLFの $$ 緩和\cap \overline{通知} $$ であり、Pattern 4の条件であるLFを減少する条件は、2nd SMであるSM1によるIFのLFの $$ 緩和\cap通知 $$ です。全てをつくしていないのは、言うまでもなく、IFのフォールトが緩和されなければVSGとなるためです。Pattern 3及び4の余事象は、 $$ \overline{\left(緩和\cap\overline{通知}\right)\cup\left(緩和\cap通知\right)}=\overline{緩和} $$ であり、この場合はVSGとなり、つまりフォールトはRFとなるのでLFになりません。逆に言えば、IFのフォールトがLFとなるのは、SM1によりVSGから緩和されるときとなります。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 16, 2020 #334

Pattern 1と2

式の右側にPattern 1から4まで番号が振られていますが、以前の記事で解説した場合分けに対応しています。最初にPattern 1と2を見てみます。

  • Pattern 1: SM1⇒IFの順にフォールトが発生し、SM1のフォールトはSM2によって緩和されるが通知されない、または緩和されない。フォールトの暴露時間は、最悪の場合の暴露時間である車両寿命となる。
  • Pattern 2: SM1⇒IFの順にフォールトが発生し、SM1のフォールトは、SM2によって緩和され通知される。フォールトの暴露時間は、運転手が修理のために車両を持ち込むのに必要な予想される時間。

このように、Pattern 1も2も最初にSM1にフォールトが発生し、引き続き、IFにフォールトが発生する場合、つまりSM1⇒IFのDPFの状況を表しています。

暴露時間

DPFが起きる可能性のある期間は、Pattern 1と2で異なり、Pattern 1では車両寿命$T_\text{lifetime}$、Pattern 2では運転手が修理のために車両を持ち込む時間$T_\text{service}$です。この期間のことを、規格では暴露時間と呼んでいます。どうして暴露時間と呼ばれるかと言えば、本来、安全機構が意図機能を保護しているはずですが、安全機構が先にフォールトすることにより、保護が外れ、意図機能が故障に対して暴露されて脆弱になっている期間であるためです。

この期間は安全機構がレイテント状態となっています。これは潜在的に故障しているという意味です。潜在的とは、直ちに故障が危険状態にはつながらず、意図機能の保護が外れている状態を指します。

Pattern 1と2の条件

Pattern 1と2の条件を論理式で書いてみます。まず、Pattern 1の条件であるLFを増加する条件は、2nd SMであるSM2によるSM1のLFの $$ (緩和\cap \overline{通知})\cup\overline{緩和}=\overline{通知}\cup\overline{緩和}=\overline{(緩和\cap通知)} $$ であり、Pattern 2の条件であるLFを減少する条件は、SM2によるSM1のLFの $$ 緩和\cap通知 $$ です。条件としては全てをつくしています。これが正しいかを次の節で検証します。

緩和と通知、修理

ここで、緩和とは何でしょうか?緩和とは悪い影響を減らすことです。従って、ここでいう緩和とは「SM1のLFを減らすという意味」だと考えられます。例えばSM1とSM2が冗長となっている場合には、SM1のフォールトは直ちにLFとはならず、SM2がバックアップします。これは通知はしませんが緩和する場合のLF削減の例です。

一方、SM2がSM1のフォールトを検出すると、緩和はされず通知を行います。警告表示等によりドライバーが車両を修理工場へ持っていき、そこでSM1が修理されることにより、LFの削減が起こります。 Pattern 2の修理という文言で分かるように、規格はフォールトを検出・通知すると、そのフォールトは修理されるのが前提になっています。

このように考えると、SM1のLF削減条件は、 $$ 緩和\cup通知 $$ のように思われます。ところが、2nd Editionで新たに追加された条件である、SM1のフォールトがVSGの可能性を持つことを考えれば、先の緩和を拡張し「SM1のVSG(RF)及びLFの可能性を減らす」ことだと考えます。

SM1のVSG(RF)を減らす条件は、 $$ (VSG)緩和 $$ であり、SM1のLFを減らす条件は、上記のとおり、 $$ (LF)緩和\cup通知 $$ となり、$緩和\cap通知$とはならないようです。いずれにしろ、規格の用語の定義がはっきりしていないために、矛盾が起きてくる例です。例えば、

  • SM1のフォールトによるVSGの可能性はあるのかないのか
  • 緩和とはVSG(RF)の緩和なのかLFの緩和なのかその両方なのか

について、はっきりしていなかったり混乱が見られます。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 13, 2020 #333

DC添え字ネーミングルールの変更

  • DCのネーミング法が1st Editionから変わった。

DC(Diagnostic Coverage)のネーミング法が、対象エレメントからプロパティオウナに変更になりました。

例えば図333.1の式において、

図%%.1
図333.1 2nd Edition PMHF式(部分)

$K_\text{FMC,SM1,RF}$は、1st editionでは$K_\text{FMC,RF}$と書かれていました。これは、IF(対象)の検出カバレージであることから、$K_\text{FMC,IF,RF}$の意味でした。故障率の式中の記号、例えば故障率やDCが、全て対象エレメントで揃うため、誤りにくいことが利点でした。

しかし、2nd editionからこれはSM1のプロパティであるということから、$K_\text{FMC,SM1,RF}$と書かれるようになりました。対象ではなく、そのプロパティを所有しているエレメントに変わったので、わかりにくくなりました。

従来の形式で書けば、図333.1の添え字は、以下のように全てIFで統一されます。 $$ \lambda_\text{IF,DPF,secondary}=(1-F_\text{IF,safe})F_\text{IF,PVSG}K_\text{FMC,IF,RF}\lambda_\text{IF} $$

図333.2に別の例を示します。

図%%.2
図333.2 2nd Edition PMHF式(部分)

これはSM1のフォールトのうちプライマリのLFとなる場合ですが、SM1のプライマリDPF故障率($\lambda_\text{SM1,DPF,primary}$)にSM2により検出できない割合($1-K_\text{FMC1,SM2,MPF})$をかけています。1st editionであればこれは$K_\text{FMC,SM1,MPF}$のように、添え字を対象で表したのですが、2nd editionではプロパティのオウナのSM2と表記されるため、式の統一感がなくなりました。

1st editionの形式で書けば、図333.2の添え字は、以下のように全てSM1で統一されます。 $$ \lambda_\text{SM1,DPF,latent,primary}=\lambda_\text{SM1,DPF,primary}\cdot(1-K_\text{FMC1,SM1,MPF})\\ =(1-F_\text{SM1,safe})(1-F_\text{SM1,PVSG})(1-K_\text{FMC1,SM1,MPF})\lambda_\text{SM1} $$


左矢前のブログ 次のブログ右矢

posted by sakurai on November 12, 2020 #332

DPFの使用法の混同

図332.1に、あるエレメントに1点目のフォールトが起き、その後定期検査が行われ、フォールトが分類され、しばらく運転した後(数年後かもしれない)、関係するエレメントに2点目のフォールトが起きてSGを侵害する場合のDPFの状況を示します。

1点目と2点目のエレメントは関係するエレメントである必要があります。関係とは、1点目のIFのフォールトに対する2点目のSM1のフォールト、あるいはその逆の、1点目のSM1のフォールトに対する2点目のIFのフォールトの意味です。これらのフォールト生起順をIF⇒SM1、SM1⇒IFと記述します。この記法は弊社論文で初めて導入したものです。

ここで、primary DPFに注目すればSM1⇒IFの場合であり、図332.1において、最初がSM1のフォールト、次がIFのフォールトとなる場合です。

図%%.1
図332.1 2つのDPFの図解

ところが、ややこしいことに、最初に起きるのはSMのDPF(=DPF,{latent, detected, percieved}の総称)=primary DPFであり、次にIFのDPFが起きるので、両方ともDPFと呼ばれます。実は、primary DPFもsecondary DPFも最初のフォールトのことです。これが規格を分かりにくくさせています。

まとめるとDPFには2とおりの意味があります。

  1. 1点目のフォールトであり、ただちにVSGとならず、別のフォールトとの組み合わせによりVSGとなる可能性のあるもの
  2. 2点目のフォールトであり、1点目のフォールトとの組み合わせによりただちにVSGとなるもの

このように、規格は誤解しやすいネーミング法を取っており、DPFといったときに2とおりの意味があります。最初に起きる「SMのDPF=primary DPF」は、あくまで1点目のフォールトです。これはどちらかと言えば誤った用語であり、本来は本当に2点目に起きるフォールトをDPFと呼ぶべきです。1点目フォールトのことをDPFと呼ぶのは紛らわしいので、用語を変え、例えばPotential Fault (PF)として欲しかったところです。

ただし、式の計算中のDPFは、全て1点目のフォールトと思えばOKです。その理由は、2点目のフォールトが起きる場合はVSGとなるので、その故障率を使用することはないためです。従って式の計算中にDPFとあれば、全て1点目のフォールトだと文脈で分かります。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 11, 2020 #331

secondary DPF

図172.1(再掲)にDPFがsecondaryとなる場合を示します。図172.1の箱qから箱tに分解される部分(violation prevented)の故障率がこのsecondary DPFです。

図172.1
図172.1 Part 10故障分類フローチャート(再掲)

箱qの中には、

SMがSGを直接侵害を防止するフォールトの割合は($F_\text{RF}$)?

と書かれています。SMの場合、基本的にSGの直接侵害は無いため、$F_\text{SM,RF}$は通常0ですが、2nd editionでは存在するようになりました。規格には例としてECCが書かれており、ECCはSMといえども、そのフォールトがSGを直接侵害する可能性があるSMです。従って、SM(のIF部分)のSG侵害が(1st )SMにより防止される特殊な場合には、SMのsecondaryフォールトも存在します。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 10, 2020 #330

DPFの分解

  • DPFをprimaryとsecondaryに分けている。

規格の訳文は、

DPFは、primary DPFとsecondary DPFに分類されます。
primary DPFは、そのフォルトを制御するSMが存在しない場合でも、それ自体でSG違反を引き起こすことはできません。
secondary DPFはSG違反の可能性がありますが、SG違反を緩和するSMが存在します。

つまり、原則的にはprimary DPFはSMに発生するDPFであり、secondary DPFはIFに発生するDPFとなります。

primary DPF

図171.1(再掲)にMPFがprimaryとなる場合を示します。図171.1の箱kから箱aeに分解される部分(no potential)の故障率がこのprimary DPFです。

図171.1
図171.1 Part 10故障分類フローチャート

箱kの中の文章は

SMがない場合に、SGを直接侵害する可能性があるフォールトの割合は($F_\text{PVSG}$)?

とあります。通常IFのフォールトは、SMがなければ必ずSG侵害するため、$F_\text{IF,PVSG}$は1(100%)であることから、IFではprimary DPFはあり得ません。規格にはIFでもprimary DPFとなるとありますが、基本的にはIFのprimary DPFは0となります。


左矢前のブログ 次のブログ右矢

posted by sakurai on November 9, 2020 #329

2nd EditionのPMHF式を図329.1に示します。

図%%.1
図329.1 2nd Edition PMHF式

2nd EditionのPMHF式はやや複雑になりました。その理由は4つほどあり、以下に緑色のマーキングで示します。

場合分け

  • 場合分けが増えた。

1st editionの第1式がPattern 1~2のみだったのと比べてPattern 3~4が増えました。

  • Pattern 1, 2はSM1⇒IFの順にフォールトするパターンです。最初にフォールトするSM1がリペアラブルであり、2nd SMにより故障検出されます。一方IFはアンリペアラブルです。
  • Pattern 3, 4はIF⇒SM1の順にフォールトするパターンです。最初にフォールトするIFがリペアラブルであり、2nd SMにより故障検出されます。一方SM1はアンリペアラブルです。

そもそもこのように片側だけリペアラブルという非対称性は納得性が薄いです。本来は両方ともリペアラブルである必要があります。例えばサブシステムの対象な構造として冗長構成が考えられますが、IF/SM兼用のエレメントが2個以上並列構成となっているものです。フォールトが起きるまではいずれもIFとして動作しますが、片方のエレメントにフォールトが起きると、直ちに他方のエレメントがIFとして継続して動作するので、フォールトが起きたエレメントはSMと考えられます。

Pattern 3はIFのフォールトが2nd SMにより検出されず、車両寿命間レイテントとなるパターンです。暴露時間は車両寿命間であり、この期間にDPFが起きる可能性があります。

反対に、Pattern 4はIFのフォールトが2nd SMにより検出されるパターンです。検出されれば直ちに修理されるのが規格の暗黙の前提であるため、レイテントとなる時間は検出周期内に限られます。この期間を暴露時間と呼んでおり、この期間にDPFが起きる可能性があります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 11, 2020 #314

「ISO 26262第2版解説書」(日本規格協会)のPMHF式の続きです。再度解説書の式を検討します。

パターン1

図314.1は、第1版にも存在した、パターン1=「安全機構、意図した機能の順でフォールトが発生する場合で安全機構のフォールトが検出されない場合」です。

図%%.1
図314.1 パターン1

この式において、一行目の中カッコの中のIFに関する確率は、 $$ \left(1-\int_0^t f_\text{IF}(t')dt'\right)\int_t^{T_\text{lifetime}}f_\text{IF,DPF}(t')dt'\\ =R_\text{IF}(t)\cdot\int_t^{T_\text{lifetime}}f_\text{IF,DPF}(t')dt' $$ と推測されます。この意味としては、IFについて、$0$から$t$までフォールトが起きておらず、かつ$t$から$T_\text{lifetime}$の間でフォールトが起きた場合の確率だと思われます。

前稿で指摘したように、IFどおしの確率の積をとっていますが、(結果としては一致するものの)本来条件付き確率としなければならない2項目が条件付き確率となっていない点が誤りです。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢


ページ: