M-out-of-N冗長アーキテクチャにおいて、PFHとPMHFを比較するという大変興味深い論文$\dagger$をたまたま見つけたので読んでいきます。弊社の論文が引用されていたにも関わらず最近まで知りませんでした。

アブストラクト

例によって、DeepLで翻訳しながら見ていきます。まずアブストラクトから。

道路運送車両の国際機能安全規格ISO 26262は、ランダムなハードウェア故障が安全目標に違反する確率を定量的に推定する方法として、ランダムなハードウェア故障に対する確率的指標（PMHF）を用いることを提案している。PMHFの計算例はISO 26262に示されている。しかし、この規格にはM-out-of-Nの冗長アーキテクチャに対するPMHFの計算公式は含まれていない。 この公式は、冗長性の問題と冗長アーキテクチャの確率論的メトリクスの計算が特に関連するドライブ・バイ・ワイヤ・システムにおいて重要な応用を見出すことができる。

本論文では、M-out-of-N冗長アーキテクチャのPMHF計算公式を開発し、国際機能安全規格IEC 61508で定義されている高需要モードと連続需要モードの安全システムの平均危険故障頻度(PFH)公式と比較した。本論文で示す比較分析により、PFH公式とPMHF公式が異なるケーススタディに対して同様の結果を与えることが実証された。これらのケーススタディは、IEC 61508とISO 26262で定義されているさまざまなタイプの故障を考慮して調査されている。

アブストラクトに示すように、IEC 61508で定義されているPFDとPFHと、ISO 26262で定義されているPMHFを比較し、さらにMooN冗長サブシステムへの式の拡張を行ったものです。

弊社論文

弊社でも2018年以前にISO 26262のPMHFを実際のプロジェクトに適用した経験があり、さらにそのサブシステムが冗長構成であったので、PMHFの適用には悩みました。というのは2011年に発行された規格初版において、規格PMHF式は冗長に対応していなかったためです。そこで、弊社は2017年に冗長構成に対応したPMHF式の拡張を提案する論文を発表しましたが、本論文にはきちんと弊社論文が引用されています。

異なるチャネルを持つ2チャネル冗長アーキテクチャのPMHF公式は桜井によって得られている（桜井, 2018）。非同一チャネルを持つMooN冗長アーキテクチャのための一般化されたPMHF公式は非常に複雑になる。式(13)は非同一チャネルを持つ2チャネル冗長アーキテクチャのPMHF公式を示す。桜井は、一次安全機構（冗長ミッション機能を果たす）に加えて、二次安全機構（潜在的欠陥の防止）も考慮している（桜井, 2018）。本節では、桜井が開発した公式を、"M "と "SM "の二次安全機構を持たないことを念頭に、図2bに示したケーススタディに適用する：
$$ PMHF^{1oo2}=\frac{1}{2}\lambda_{m,MPF}\lambda_{sm,MPF}T_{lifetime}+\frac{1}{2}\lambda_{m,MPF}\lambda_{sm,MPF}T_{lifetime}\tag{13} $$ 式(12)で示されるように、同一チャネルの故障率は等しいことを考慮すると、式(13)は、同一チャネルを持つ1oo2アーキテクチャのPMHFの値を示す式(14)に変換できる： $$ PMHF^{1oo2}=\lambda_D^2T_{lifetime}\tag{14} $$

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

PUA関連論文シリーズ最後は以下の論文です。

P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

故障事象モデルの定式化に対する統一的なアプローチを示す。これは、修理可能なものと修理不可能なもの、予防保全と是正保全の両方を分析するための共通の枠組みを提供するものであり、休止故障のあるものにも適用できる。提案された手順は、一連のグラフによってサポートされ、それによって、固有の信頼性（すなわち、ハザード率）と保守・修理方針の両方の重要性を明らかにする。様々な故障強度の概念の定義／解釈は、このアプローチの基本である。したがって、これらの強度間の相互関係を検討し、それによってこれらの概念の明確化にも貢献する。これらの概念の中で最も基本的なものである故障強度過程は、計数過程（マーチンゲール）で使用されるものであり、その時点までの品目の履歴が与えられた時点tにおける故障率である。提案するアプローチは、いくつかの標準的な信頼性とメンテナンスのモデルを考えることによって説明される。

いろいろな不稼働度モデルが紹介されていますが、我々の関心があるのは定期検査を持つModel Dと呼ばれるモデルです。

Model D (休眠故障と定期的なテストを伴うアイテム)

一方、著者によれば、様々な確率過程は以下の定義となります。

系	関数名	関数	系	論文関数名	論文関数	我々の関数名	我々の関数
非修理系	reliability	$R(t)$	修理系	availability	$A(t)$	availability	$A(t)$
	PDF (probability density function)	$f(t)$		failure intensity, mean intensity, unconditional intensity, ROCOF(Rate of OCcurrence Of Failure)	$I(t)$	PUD (point unavailability density)	$q(t)$
	CDF (cumulative distribution function)	$F(t)$		mean number of failure, cumulative intensity	$M(t)$	PUA (point unavailability)	$Q(t)$
	hazard rate	$\lambda(t)$		conditional intensity	$I_{up}(t)$	Veseley's failure rate	$\lambda_v(t)$

Average intensity、もしくはAROCOF (Average Rate of OCcurrence Of Failure)は、 $$ i_\tau=\frac{1}{\tau}\int_0^\tau I(t)dt=\frac{1}{\tau}M(\tau) $$ 我々の定義では、$I(t)$は$q(t)$と、$M(t)$は$Q(t)$と定義します。元になる非修理系において一般的な記法であるPDF=$f(t)$、その積分であるCDF=$F(t)$を踏襲するなら$i$や$I$の大文字小文字は逆にして欲しかったところです。

我々は特に車両寿命間の平均PUDが知りたいため、PFHも同様の定義ですが、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime})=i_{T_\text{lifetime}} $$ が求めたい平均不稼働密度です。

---

前のブログ 次のブログ

参照論文の調査

PMHF式に誤りのある「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」は2015年3月発行です。著者に連絡を取ったところ、論文$\dagger$からの引用だとのことでした。これは2014年発行なので、この論文$\dagger$が元凶であり、ブログで取り上げた日本人の資料である、この資料とこの資料に影響を与えたようです。IEEE発行の査読付き論文なのでそれなりに信用性があり、誤りが広まってしまうのかもしれませんが、非常に遺憾なことです。

もっとも、査読済み論文だからと言って、検証もしないで盲目的に引用する態度にも同様に問題があると考えます。

図326.1に当該部分を引用します。良くみると、上記報告書が引用したといいながら、DPF部分はlatentのみとなっています。従って、上記報告書と論文$\dagger$では少々異なります。

図326.1 ある論文中のPMHF式 この資料と、参考にした元論文の例では1st SMは存在しても2nd SMの概念が全く書かれていないので$\lambda_\text{MPF}$と$\lambda_\text{MPF,lat}$は一致するのでしょう。

IEC 61508との比較

また、図326.1の説明には、

ISO 26262にはSPFMやLFMと異なりPMHF式が出ていないためIEC 61508を参照する

と書かれていますが、実際はPart 10に式が記載されています。さらにIEC 61508にはPMHFはありません。近い概念としてはPFH(Probability of Failure per Hour)があります。Exidaの資料によればPFHは(326.1)式で表されます。 $$ PFH=\lambda_\text{DU}\tag{326.1} $$

ただし、これは1oo1の式だと思われます。少なくともDPFは、主機能と安全機構の双方がフォールトしたときの故障であるため、1oo2の式のほうがベターです。

しかしながら、ISO 26262はIEC 61508に基づいているといいながら、PMHF結果式はISO 26262独特のものであるため、1oo2としても式は一致しません。具体的には、ISO 26262はIEC 61508と異なり定期検査及び修理が前提となっています。

IEC 61508で学んだ多くの研究者が同じ誤りを起こしています。論文を見るとすぐ分かります。それは、ISO 26262にはDD, DUという用語は無いにもかかわらず、そのような用語を使用しているからです。そのような概念を表すものはKパラメータと呼ばれる診断率DCであり、 $$ \lambda_{DD}=K_\text{RF}\lambda_\text{IF}, \lambda_{DU} =(1-K_\text{RF})\lambda_\text{IF} $$ と表現しなければいけません。IEC 61508を過度に適用することは、上記の誤りにつながります。正しくはあくまでISO 26262の上で考えなくてはなりません。特にIEC 61508にはDPFの概念が無いため注意が必要です。

---

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

---

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

The new version of the standard expands the PMHF concept by further promoting a new metric “average probability of failure per hour over the operational lifetime of the item”, which has not been commonly used by the reliability engineering community.

本規格の新バージョンでは、これまで信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という新しい指標をさらに推進することで、PMHFの概念を拡張しています。

既に2つ問題があります。まず1つ目は、新バージョンになってPMHFが進化した、拡張されたと書かれていますが、PMHFの文字上の定義は初版と第２版の間では変わっていません。規格を見てみましょう。

ISO 26262:2011(初版) Part5

• 9.4.2.1 "Quantitative target values for the maximum probability of the violation of each safety goal due to random hardware failures"
• 9.4.2.2 "Quantitative target values of requirement 9.4.2.1 shall be expressed in terms of average probability per hour over the operational lifetime of the item"

ISO 26262:2018(第2版) Part5

• 9.4.2.1 "Quantitative target values of requirements 9.4.2.2 or 9.4.2.3 shall be expressed in terms of average probability per hour over the operational lifetime of the item"
• 9.4.2.2 "Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures"

初版と第2版で定義の順番が変わっていたり、"at item level"と微小な追加があったりしますが、基本的には同じことを言っています。日本語に訳せば、「アイテムの稼働期間中の1時間あたりの平均確率で表した、ランダムハードウェア故障によるアイテムレベルでの各安全目標違反の最大確率の定量的目標値」となります。

もう一つの問題は、信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という部分で、これは既にISO 12489の3.1.23に書かれているPFHが相当します。ISO 12489の原文を読めば3.1.23の平均故障頻度(average failure frequency)の項に、

The average failure frequency is also called “Probability of Failure per Hour” (PFH) by the standards related to functional safety of safety related/instrumented systems (e.g. IEC 61508[2]): PFH = $\overline{w}(T)$ where $T$ is the overall life duration of the system.

平均故障頻度は、安全関連／計装システムの機能安全に関連する規格（例：IEC 61508[2]）では、"Probability of Failure per Hour"（PFH）とも呼ばれている。PFH = $\overline{w}(T)$ ここで、$T$はシステムの全体的な耐用年数である。

と書かれています。平均故障頻度はPFHとも呼ばれ、故障頻度(=故障確率密度)を0から車両寿命まで積分したものを車両寿命で平均化したものです。

この段落の問題をまとめると、

• PMHFの定義は第2版で拡張されていない(=初版と同じ定義である)
• PMHFは新しいなじみのない概念ではない(=ISO 12489で既に定義されているPFHと同じ)

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_\text{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

信頼度(Reliability)

$$ R_\text{item}(t):=\Pr\lbrace\text{item not failed in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_\text{item}\rbrace \tag{66.1} $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

不信頼度(Unreliability, Cumulative Distribution Function, CDF)

$$ F_\text{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_\text{item}\le t\rbrace \tag{66.2} $$ 非修理系システムで、時刻$t$までに故障する確率。

非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

故障密度(Probability Density, Probability Density Function, PDF)

$$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.3} $$ 又は、微小故障確率形式として、 $$ f_\text{item}(t)dt=\Pr\{\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\}\\ =\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace\\ =\Pr\{X_\text{item}\in dt\} \tag{66.4} $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_\text{item}\rbrace+\Pr\lbrace X_{item}\le t+dt\rbrace - \Pr\lbrace t\le X_\text{item} \cup X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.5} $$

(瞬間)故障率(Failure Rate)

$$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace}{dt}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.6} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_\text{item}(t)$の式を用いて $$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_\text{item}\le t+dt \cap t \le X_\text{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_\text{item}\rbrace}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.7} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace\\ =\Pr\{t\lt X_\text{item}\le t+dt\ |\ t\le X_\text{item}\}\\ =\Pr\{X_\text{item}\in dt\ |\ t\le X_\text{item}\} \tag{66.8} $$

稼働度((Point) Availability)

$$ A_\text{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace \tag{66.9} $$ 修理系システムで、時刻$t$で稼働している確率。

不稼働度((Pont) Unavailability, PUA)

$$ U_\text{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=1-A_\text{item}(t) \tag{66.10} $$ 修理系システムで、時刻$t$で不稼働な確率。

無条件故障強度(Unconditional Failure Intensity, UFI; Failure Frequency; ROCOF)

$N_\text{item}(t)$を時刻$t$までの累積故障回数とする。

$$ z_\text{item}(t):=\lim_{dt\rightarrow0+}\frac{E\{N_\text{item}(t+dt)-N_\text{item}(t)\}}{dt} \tag{66.11} $$ 又は、微小増分形式として $$ E\{N_\text{item}(t+dt)-N_\text{item}(t)\}=z_\text{item}(t)dt+o(dt) \tag{66.12} $$

平均無条件故障強度(Average UFI, AROCOF)

無条件故障強度(UFI)の車両寿命間$T_\text{lifetime}$の平均値を求めると、平均無条件故障強度(Average UFI)は、 $$ \overline{z_\text{item}}(0,T_\text{lifetime}):=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}z_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}E\{N_\text{item}(T_\text{lifetime})\} \tag{66.13} $$

PFH(Probability of Failure per Hour)

注意：Probability of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。 危険故障の累積回数を$N_D(t)$、その無条件危険故障強度を$z_D(t)$とすると、 $$ PFH:=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}z_\text{D}(t)dt=\frac{1}{T_\text{lifetime}}E\{N_\text{D}(T_\text{lifetime})\} \tag{66.14} $$

Vesely故障率(Vesely Failure Rate)

修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。conditional failure intensity (条件付き故障強度)とも呼ばれる。

$$ \lambda_\text{v,item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{h_\text{item}(t)}{A_\text{item}(t)} \tag{66.15} $$

---

前のブログ 次のブログ