SAPHIREのFTL(Fault Tree Language)の文法を図215.1に示します。これで見ると分かるように、ゲートの記述がコメントとして書けるようです。

図215.1 FTLのフォーマット ただし、このように記述しインポートしても、モデルは作成されますがゲートの説明等の記述は入りませんでした。さらに、基事象は全てtoolにより作成済みである必要があります。

調べてみると、FTLのインポートではなく、MAR-D(各種データ)の一括インポートにより、完全なFTが構成できるようです。

図215.2 ターゲットのFT 例えば、図215.2のFTをFlat File (ASCII File)で入力しようとすると、

• .BED --- Basic Eventの説明等の記述
• .BEI --- Basic Eventの情報、故障率やミッション時間等
• .FTD --- Fault Treeの説明等の記述
• .FTL --- 木の構造
• .GTD --- Top Event、中間ゲートの説明等の記述

の5種が少なくとも必要なようです。図215.3～215.7の構文ファイルを用意し、そのリストを図215.8のMARDファイルとしてMARDをloadすると、図215.2のFTが生成されました。

図215.3のBEDは基事象の定義で、3種類の基事象の名前と説明を記述します。

TEST =
* Name , Descriptions , Project
BE01 , Failure of 01 , TEST
BE02 , Failure of 02 , TEST
BE03 , Failure of 03 , TEST

図215.3 ターゲットFT用BED

図215.4のBEIは基事象の故障モデル、故障率、ミッション時間を記述します。赤字は故障率、青字はミッション時間です。

TEST =
* Name ,FdT,UdC ,UdT, UdValue, Prob, Lambda, Tau, Mission, Init,PF, UdValue2, Calc. Prob, Freq, Analysis Type , Phase Type , Project
BE01 , 3, , , , , 1.234E-009, , 1.000E+005, , , , , , , ,
BE02 , 3, , , , , 2.345E-009, , 1.000E+005, , , , , , , ,
BE03 , 3, , , , , 3.457E-009, , 1.000E+005, , , , , , , ,

図215.4 ターゲットFT用BEI ここで、図215.4中のFdtは、表215.1(一部のみ)により規定される故障計算タイプです。 表215.1

故障計算タイプ記号	故障計算タイプ説明
V	数値事象
1	確率
3	指数分布($1-e^{^-\lambda t}$)

図215.5にFT全体の定義として、FTDとして名前と説明を記述します。

TEST=
* Name , Description, Project
TOP ,PVSG of top , ,TEST

図215.5 ターゲットFT用FTD

図215.6にFTの木構造であるFTLを記述します。これは図215.1に文法が書かれています。

TEST, TOP =
TOP OR TOP01 BE03
TOP01 AND BE01 BE02

図215.6 ターゲットFT用FTL

図215.7のGTDにゲートの名前と説明を記述します。

TEST=
* Name , Description, Project
TOP ,PVSG of top , ,TEST
TOP01 , DPF of 01 and 02 , ,TEST

図215.7 ターゲットFT用GTD

上述のように、TESTフォルダのSubsフォルダに、各種ファイルをまとめ、一括ロードするためのリストです。

TEST_Subs\TEST.BED
TEST_Subs\TEST.BEI
TEST_Subs\TEST.FTL
TEST_Subs\TEST.FTD
TEST_Subs\TEST.GTD

図215.8 ターゲットFT用MARD

ここで調査している理由は、SAPHIRE等のFTA toolによりPMHFを正しく計算させたいためです。FTA toolによりPMHFを正しく計算させる手法には2種類あります。

• モデルがPMHF計算に対応　------------　モデルがPMHF計算に対応していれば、パラメータを入力するだけで、モデルがPMHF式を正しく計算します。
• モデルがPMHF計算に非対応　------------　しかしながら、一般的にはモデルがPMHF計算に対応していないため、ユーザがPMHF式に沿うようにFTを組み上げる必要があります。プログラムでFTのサブツリーが自動生成できれば、その労力が大幅に軽減されます。

---

前のブログ 次のブログ

次に、MCSの表から逆にFTを構成します。その理由はFTA tool上でMCSのモデルを修正できるようにするためです。

SAPHIREにおいてFTをインポートするにはFTL(Fault Tree Language)が必要です。そのために、MCSをまずExcel形式でエクスポートし、それをテキストエディタで修正し、以下に示すFTLフォーマットに変換します。

TOP2,TOP-MCS2=
TOP-MCS2 OR TMP1 TMP2 TMP3 TMP4 TMP5 TMP6 TMP7 TMP8 TMP9 TMP10 TMP11 TMP12 TMP13 TMP14 TMP15 TMP16 TMP17 TMP18 TMP19 TMP20 TMP21 TMP22 TMP23 TMP24 TMP25 TMP26 TMP27 TMP28 TMP29 TMP30 TMP31 TMP32 TMP33 TMP34 TMP35 TMP36 TMP37 TMP38 TMP39 TMP40
TMP1 AND M1 M2
TMP2 AND M1 SC2
TMP3 AND SC1 SC2
TMP4 AND M2 SC1
TMP5 AND SA1 SA2
TMP6 AND M1 MCU2
TMP7 AND M2 MCU1
TMP8 AND MCU1 SC2
TMP9 AND MCU2 SC1
TMP10 AND MCU1 MCU2
TMP11 AND I2 M1
TMP12 AND I1 M2
TMP13 AND I1 SC2
TMP14 AND I2 SC1
TMP15 AND I1 MCU2
TMP16 AND I2 MCU1
TMP17 AND I1 I2
TMP18 AND M2 P1
TMP19 AND M1 P2
TMP20 AND P1 SC2
TMP21 AND P2 SC1
TMP22 AND MCU2 P1
TMP23 AND MCU1 P2
TMP24 AND I2 P1
TMP25 AND I1 P2
TMP26 AND D2 M1
TMP27 AND D1 M2
TMP28 AND D1 SC2
TMP29 AND D2 SC1
TMP30 AND D1 MCU2
TMP31 AND D2 MCU1
TMP32 AND D2 I1
TMP33 AND D1 I2
TMP34 AND P1 P2
TMP35 AND CA2 SA1
TMP36 AND CA1 SA2
TMP37 AND D2 P1
TMP38 AND D1 P2
TMP39 AND D1 D2
TMP40 AND CA1 CA2

---

前のブログ 次のブログ

FT(fault tree)構築方式について、いろいろと試行してみます。以下のFTに対して、TOP事象侵害確率及びPMHFを取得します。

• 2nd SM無しのFT
• 2nd SM有りのFT
• 規格式どおりのFT

まずワーストケースとして2nd order SMが無いと仮定した場合のFTを構築します。前稿表212.1のデータに基づき、前稿図212.2のRBDから2nd SM無しの場合のFTを作成すると、図213.1のようになります。

図213.1 EPSシステムのFT

TOP事象を単独で侵害する中間事象は2つあり、ひとつはマイコン制御冗長系の故障、もう一つはセンサ冗長系の故障です。従ってこれらはTOP事象にORゲートで接続されます。マイコン制御冗長系もセンサ冗長系もどちらも冗長系なので、例えばマイコン冗長系であれば、チャネル1とチャネル2の故障はANDゲートで接続されます。チャネルの内部は直列系であるため、チャネルを構成するそれぞれのエレメント故障はORゲートで接続されます。

このFTに対してFTA toolでMCSを取得すると、表213.1のように40個の積項(product term)が得られます。

表213.1 図213.1のFTのMCS

この頂上事象侵害確率は$3.380\times 10^{-3}$、PMHFは、225[FIT]となりました。参照論文では、ミッション時間は15,000時間としています。

---

前のブログ 次のブログ

参照論文は完全冗長系のEPSを題材としているので、本ブログでもこのEPSシステムのPMHFを計算することにします。図212.1にEPSシステム構成図を示します。

図212.1 EPSシステム構成図

このEPSシステムのRBDを図212.2に示します。

図212.2 システムのRBD

表212.1にRBD中のエレメント記号とエレメント名等を示します。

表212.1

エレメント記号	エレメント名	故障率[FIT]	SM記号	SM名	DC[%]
P	Power Module	233	None	None	0
MCU	Micro Control Unit	818	SM4	Self test	99
D	Motor Drive Module	109	SM2	Output test	99
I	Failure Isolation Module	599	SM1	Input test	60
M	Aligning Motor	1000	SM5	Motor sensing test	90
SC	Current Sensor	1000	SM2	Output test	99
CA	CAN Communication Module	51	SM1	Input test	60
SA	Angle Sensor	1000	SM3	Sensor compare	99

この表のSMは、通常は1st order SMとしてVSG抑止のためのSMと位置付けられます。ところが、このように冗長の内部(冗長チャネルを構成するエレメントに対するSM)に存在する場合、冗長の相手チャネルが1st order SMとなります。従って、表中のSMは、それによりVSG抑止される場合のLF防止のSM、つまり2nd order SMと位置付けられます。

例えばあるエレメントが故障しても冗長構成であれば、相手チャネルが動作しているので、VSGは抑止されます。ところが冗長系は、故障の検出は一切行わないため、そのエレメント故障の100%がLFとなります。そのエレメントに故障検出のためのSMがあれば、LF防止のためのSM、つまり2nd order SMとなることがわかります。

---

前のブログ 次のブログ

今回は余談で、参照論文から離れます。

信頼性工学に関するISOが存在し、それが以前もご紹介したISO 12489です。 ”Petroleum, petrochemical and natural gas industries - Reliability modelling and calculation of safety systems" (ISO/TR 12489:2013)という国際規格であり、本来は「石油、石油化学、天然ガス産業-信頼性モデリングと安全システムの計算」と訳されますが、中身はかなり数学的な定義が多いです。

信頼性関連で使用される用語の定義が数学的に書かれているのが特長です。

ここではその中の｢8.5.ブール代数モデルによる計算｣を見てみます。

図211.1 FT駆動マルコフ過程モデリング

図211.1 は本ブログの方式と基本的には同一ですが、｢FT駆動マルコフ過程モデリング｣と書かれています。本ブログの方式はむしろ、(動的な)マルコフモデル駆動による(静的な)Fault Treeによる解析、と逆のように思います。本ブログの方式は、基事象にマルコフモデルを適用し、それを一旦静的なPMHF式に変換し、それに基づきFTを構築する流れであるためです。

本ブログの方式は、一見図211.1と同じように思われますが、根本的に異なります。ISO 26262では動的なマルコフモデルを確率積分し、あらかじめ平均PUDであるPMHF式を求めておくことにより、ISO 12489の図のような複雑な確率過程の計算をする必要が無いわけです。

ともあれ、規格は論文でもなければ教科書でもないと言えども、｢マルコフ過程に基づいた確率微分方程式を積分したものがPMHF方程式である｣という事実が全く書かれていないので、いろいろな人が試行錯誤しているのは無駄ではないでしょうか。より正しく効率的な運用をしたいと思い、このブログを書いています。

RAMS 2021において、PMHF式に基づくFTA構築法の論文発表が終了したため、本記事を開示します。

---

前のブログ 次のブログ

参照論文の問題点を挙げていけば、きりがないようです。

図210.1は前稿の事象E2である、AがRFとなった後にBがSPF/RFとなる場合のFTです。

図210.1 参照論文の図6 Residual Fault

図210.2は事象E2のマルコフチェイン図です。

図210.2 参照論文の図8 Residual Faultのマルコフ遷移図

そもそも前述のようにE2事象自体がおかしいのですが、それを無視して考えます。さらに子細に検討すると変なところが目につきます。例えば、マルコフ状態遷移は、

• 00 E2が起きない、00が起きる確率を$P_{00}(t)$とする。
• 1 中間状態(??)、1が起きる確率を$P_{1}(t)$とする。
• 11 E2が起きる、11が起きる確率を$P_{11}(t)$とする。

と遷移するようです。ここで、E2は起きるか起きないかなので、中間はありません。事象とその確率分布は別の話で、それが分離できていないのかもしれません。コイントスの例を挙げれば、事象は表が出るか出ないか(裏が出るか)のどちらか一方です。ただ表が出るといっても確率分布は1/2であり、必ず出るわけではありません。このように事象とその確率分布は分けて考えます。これもおかしな点のひとつです。状態'11'で初めてE2が起きます。

$$ \mathbf{P}'(t)= \begin{bmatrix} P_{00}'(t) \\ P_{1}'(t) \\ P_{11}'(t) \end{bmatrix}\\ \mathbf{P}(t)= \begin{bmatrix} P_{00}(t) \\ P_{1}(t) \\ P_{11}(t) \end{bmatrix} $$ として、遷移行列$\mathbf{A}$は、 $$ \mathbf{A}= \begin{bmatrix} 1-(1-c\%)\lambda_{RA} & \color{red}{(1-c\%)\lambda_{RA}} & 0\\ \color{blue}{-(1-c\%)\lambda_{RA}} & 1-\lambda_{SB} & \lambda_{SB} \\ 0 & \lambda_{SB} & 1 \end{bmatrix}\\ $$ だと言っています。赤字の遷移確率に着目してください。 $$ \mathbf{P}'(t)=\mathbf{A}\mathbf{P}(t) $$ この行列を計算すれば、 $$ \begin{eqnarray} P_{00}'(t) &=& 1-(1-c\%)\lambda_{RA}P_{00}(t) &+& \color{red}{(1-c\%)\lambda_{RA} P_{1}(t)} && \\ P_{1}'(t) &=& \color{blue}{-(1-c\%)\lambda_{RA}P_{00}(t)} &+&(1-\lambda_{SB})P_{1}(t) &+& \lambda_{SB}P_{11}(t) \\ P_{11}'(t) &=& &+&\lambda_{SB}P_{1}(t) &+&P_{11}(t) \end{eqnarray} $$ となります。符号が反対なのも変ですがそれは無視するとして、状態00から状態1へは$\color{blue}{(1-c\%)\lambda_{RA}}$だけ移るので、状態1から状態00へは、反対の符号分$\color{red}{-(1-c\%)\lambda_{RA}}$だけ移しているようです。

しかしながら、前記事でも参照した米国ロチェスター大学の資料によれば、遷移行列の要素は条件付き確率であり、マルコフ遷移図210.2によれば、状態1から状態00へは遷移しないので$\dagger$、遷移の無い条件付き確率はゼロになるため、これは重大な誤りです。

さらに、E2の確率を求めるのに、全体の確率を足していますが、全ての確率を加えると常に1になるはずで、これも誤りです。実際に参照論文中に、初期値は$\mathbf{P}(0)=[1, 0, 0]^T$とあり、AのRFにより'00'から減った分だけ'1'が増え、BのSPFにより'1'が減った分だけ'11'が増えることを思えば、総和は一定だとすぐに気づくはずです。 $$ R_{E2}(t)=P_{00}(t)+P_1(t)+P_{11}(t)\tag{参照論文の式} $$ 上記のとおり「状態'11'で初めてE2が起きる」ことから、$P_{11}(t)$のみであり、かつ故障確率であることからこの確率は信頼度ではなく不信頼度となります。従って1から引いて、 $$ R_{E2}(t)=1-P_{11}(t)=P_{00}(t)+P_1(t)\tag{正しい式} $$ 参照論文のうちの短い記述の中で6個も問題が見つかりました。これ以外に既に述べたAとBが同時に故障することは(a.s.)無いは確率論の基礎であり、重大な誤りと言えます。
https://en.wikipedia.org/wiki/Probability_density_function#Example

---

$\dagger$修理を考えれば遷移しますが、それは別の問題です。修理を考えていないという問題もありますね。

---

前のブログ 次のブログ

再度図208.2を掲載します。

図209.1 図207.1の書き直し図(弊社作成)

本ブログではE1～E5までの事象では正当なのは事象E4, E5のみと判断しましたが、参照論文ではE4, E5は削除されると書かれているので、驚きます。原文を見てみましょう。

In Figure 7, A has a latent dual-point fault first, that is to say, the two faults’ combination will lead to the failure of A, but not be detected or perceived by the driver, then B has a single point/residual fault. That is, A’s latent dual-point fault combined with B’s single point/residual fault will lead to the violation of the safety goal, and they have a time sequence. The fault tree for the middle event E5 is the same as for E4. In this condition, there are three failures in a dual redundancy system, which is beyond the scope of the design, so when calculating the failure rate, the middle events E4 and E5 should be ignored.

Google翻訳したものを多少修正すると、

図7では、エレメントAに最初に潜在的なデュアルポイントフォールトレイテント故障があります。つまり、2つの故障の組み合わせはAの故障につながりますが、ドライバーによって検出または認識されず、エレメントBにSPF/RFが起こる場合です。 つまり、Aの潜在的なデュアルポイント故障とBのシングルポイント/残留故障を組み合わせることで、安全目標の違反が発生し、タイムシーケンスが発生します。 中間事象E5のフォールトツリーは、E4と同じです。 この状態では、二重冗長システムに3つの故障があり、これは設計の範囲を超えているため、故障率を計算するとき、中間事象E4およびE5は無視する必要があります。

ここで、参照論文の著者は「デュアルポイントフォールトレイテント」の意味を誤解しているようです。「デュアルポイントフォールトレイテント」は文字通りの2点の故障ではありません。1点の故障について、$\img[-1.35em]{/images/withinseminar.png}$ の故障のことを「デュアルポイントフォールトレイテント」もしくは短くレイテントフォールト(LF)と呼びます。

上記からすると、著者は事象E4においてAに2点故障が起き、さらにBにSPF/RFが起きるので3点と思っているのでしょうか(図209.2)？

図209.2　誤りの図

ところが、Aの2点目の可能性は、相手のエレメントであるBの故障を指すため、これは3点故障ではなく2点故障です。そもそもAとBはどちらも主機能、意図機能であり、それだけではSMではありませんが、AとBを並列に組み合わせることで冗長性が生まれ、その関係性によりお互いにSMとなる関係が生じます。

参照論文著者がエレメントAやB単独でSPF/RF/LFが起きると考えているため、E2～E5のような事象を考えついたようですが、上記の関係性からエレメントAやB単独では、RFやLFが起きるはずがありません。

この誤解は規格の故障のネーミングから来るようなので、最初からLFと名付けておけば誤解も無かったはずです。1点故障のことを「デュアルポイントフォールト」と呼ぶのはいかにも誤解を招きそうです。 このポイントは機能安全セミナーでも強調して説明しています。

---

前のブログ 次のブログ

ここで前稿の図207.1の左端の事象E1について、削除した理由を再度検討します。AとBの同時故障(フォールトですが、わかりやすく故障と表現します)とは2とおり考えられます。

　C1. AとBが時刻tで同時に故障する場合
　C2. AとBが時刻tまでに両方共故障している場合

ただし、事象に重なりが無いように、C2.を以下のように書き換えます。

　C2. AとBが時刻tまでに両方共故障している場合でC1(同時故障)の場合を除く

どちらもANDゲートを用いて図208.1(参照論文の図)のように表現されますが、

図208.1 DPFのFault Tree(参照論文の図)

前述のように、C1は誤りです。同時に故障するDPF確率はほぼ確実にゼロだからです。一方、C2の場合は妥当です。区間$[0, t)$においてAが故障し、それと独立に、区間$[0, t)$においてBが故障する確率はそれぞれの値を持ちます。時刻$t$においてその両方が起きているDPF確率は、(AとBの故障が独立に起こる場合)それらの確率の積で表される値だからです。

それでは、前稿の図207.1の左端の事象E1は上記のどちらの意味でしょうか？

図208.2に前稿の図207.1を弊社で書き直した図を示します。E1, E2, E3を削除しています。

図208.2 図207.1の書き直し図(弊社作成)

E1, E2, E3を削除しE4とE5が残ったのですが、E1をC1と判断し削除した理由を確認します。上記のC2の場合かもしれないので。

さて、E4, E5はそれぞれ、

• E4: Aが故障してレイテントとなっており、次にBが故障した場合
• E5: Bが故障してレイテントとなっており、次にAが故障した場合

まず、C2ならばE4 or E5が成り立つかを証明します。「AとBが時刻tまでに両方共故障している」ならば、C2の定義からAとBが同時に故障することは無いので、Aが先に故障するか、Bが先に故障するかのいずれかです。AがSPF/RFの場合はVSGとなるので、AとBのDPFとなる場合は、Aの故障はLFしかありません。Bも同様なので、E4又はE5が成立します。従って、 $$C2\to (E4\lor E5)\tag{208.1}$$

次に逆を証明します。E4の場合には当然C2が成り立ちます。またE5の場合にも当然C2が成り立ちます。これは同時に成り立つため、E4ならばC2かつE5ならばC2が成り立ち、 $$(E4\to C2)\land (E5\to C2)\tag{208.2}$$ ここで、$\to$(ならば)をwikipediaで調べると、論理包含に、以下の性質があるとあります。 $$P\to Q\Leftrightarrow\overline{P}\lor Q$$ これと分配則及びドモルガンの法則を用いて(208.2)式を書き換えれば、 $$(E4\to C2)\land (E5\to C2) \Leftrightarrow(\overline{E4}\lor C2)\land(\overline{E5}\lor C2)\\ \Leftrightarrow(\overline{E4}\land\overline{E5})\lor C2 \Leftrightarrow\overline{(E4\lor E5)}\lor C2\\ \Leftrightarrow(E4\lor E5)\to C2\tag{208.3} $$ 従って、(208.1)かつ(208.3)より、 $$C2\Leftrightarrow(E4\lor E5)$$

以上から、排中律を用いれば、$E4\lor E5$がC2と等価ならば、E1は$\overline{C2}=C1$と等価と証明されます。 従って、事象E1(図208.1)はAとBが同時に故障するC1の場合を指すと証明でき、かつそれは確率ゼロのため、削除可能と判断できます。

---

前のブログ 次のブログ

詳細を見れば誤りはさらに種々あります。まず、Fault TreeのTOPの図を示します。ここで、エレメントAやBは前々稿図205.1に示す、完全冗長を構成する2つのエレメントを指します。

図207.1 FT図(参照論文の図) 5つの場合分けをして考えています。

• E1　　A＆Bに同時にSPFが起こる
• E2　　AにRFが起き、引き続きBにSPF/RFが起こる
• E3　　BにRFが起き、引き続きAにSPF/RFが起こる
• E4　　AにLFが起き、引き続きBにSPF/RFが起こる
• E5　　BにLFが起き、引き続きAにSPF/RFが起こる

まず事象E1ですが、エレメントAとBは同時に故障する確率はa.s.(almost surely; ほぼ確実に)0なので、これ以下のサブツリーは考える必要がありません。

次に{E2, E4}, {E3, E5}のペアで考えると、{E2, E4}はどちらも先にAに故障が起き、次にBに故障が起きるDPFを意味しています。その中で、Aの先故障をさらにRFとLFに分解しています。

ここで、(書かれていませんが)AにSPFが起こらないのは正しいです。Aに故障が起きても必ず(従属故障が無い限り)Bが代替機能を果たすため、系(サブシステム)としてSPFにはなりません。

次に事象E2においてAにRFが起きるという記述が誤りです。AにRFが起きるということは、Aの1点故障によりVSGが起きることなので、Aに故障が起きても必ず(従属故障が無い限り)Bが代替機能を果たすため、VSGは起きません。従って、Aの故障の場合はLFとなり、全て事象E4になります。従って、E2は考慮する必要がありません。

事象E3も同様です。以上から、E1, E2, E3は不要で、E4, E5のみが残ることになります。

---

前のブログ 次のブログ

この論文でも、ターゲットの目標値はPMHFとなっていますが、算出において規格のPMHF式を尊重していません。サブシステムの不信頼度を $$F(t)=1-e^{-\lambda t}$$ との式で計算しており、これは修理可能性を考慮していないことを表しています。ただし、前論文とは異なり図206.1の赤で示すように、$\lambda_{RF}=(1-DC)\lambda$は計算に入っているのでましです。ただし、RFと書かれていますが、後で説明するように、これはLFです。1点故障は全て冗長相手チャネルによりVSG抑止されるので、100%レイテントとなるためです。

図206.1 故障率

再度整理すると、正しい考え方は、

1. E1及びE2の2つのエレメントにより構成される冗長系は、マルコフ連鎖で表される。
2. E1、E2それぞれのエレメントは修理可能(つまり不信頼度$F(t)$ではなく、不稼働度$Q(t)$となる)
3. PMHF式はこれらを考慮し、系の車両寿命における平均不稼働確率Q(T)を表したものであり、 PMHF式に基づきFault Treeを構成する

でなくてはなりませんが、参照論文はこのうち、2.及び3.が満足されていません。

このように専門家であっても同じような誤りを起こす原因は、規格が理解しやすく書かれていないためだと考えます。ただ、規格屋さんに言わせれば、「規格は論文でもなければ教科書でもない」とのことなので、分かりやすさは追究していないようです。そのためこのような解説ブログの存在意義があります。

---

前のブログ 次のブログ