ISO 26262 2nd Edition

今年春発行と予定されていた2nd EditionはFDISの状況となっていますが、正式発行が遅れているようです。FDISは最終的な規格から語句のレベルしか修正されないとのことで、FDISで検討すればほぼ問題無いと考えられます。

さて、PMHFの部分はだいぶ変更されています。公式が変わっただけでなく、SMが安全目標侵害するケースまで想定されています。元々弊社では一般的なサブシステムを検討対象とした論文も投稿しており、両方のエレメントが安全目標侵害する場合を対象としていましたので、好都合です。

図68.1のパターン1と2はいずれもSM1が先にフォールトし、次にIF(Intended Function)がフォールトするケースです。そのうち、パターン1はフォールトが検出されない場合、パターン2はフォールトが検出される場合です。一方、パターン3と4はいずれもその逆順にフォールトするケースです。そのうちパターン3はフォールトが検出されない場合、パターン4はフォールトが検出される場合です。

図68.1 2nd Edition, Part10-8.3.2.4 PMHF規格 第1式

実はパターン1と2あるいは3と4は特に分ける必要はありません。弊社の式に従えば不稼働率の関数$Q(t)$(59.8)で自然に表されるからです。一方、パターン1と3、2と4はフォールト順序なので、マルコフ状態遷移図に基づく検討が必要です。

重要 1st Editionでは主機能が非修理系であるという前提のもとに、ケース分類で確率を求めています。ところが、2nd Editionも同じ非修理系前提で、ケース分類でPMHF式を求めています。本来対称的に扱うのであれば、両方とも修理系にすべきです。そうすると、主機能であってもVSGとならないフォールト(MPフォールト)を起した後、2nd SMにより検出される部分は修理されることになります。すると、本ケース分けには当てはまらなくなります。例えば、主機能がMPフォールトし、2nd SMにより検出され修理される。次にSM1がMPフォールトし、検出され修理される。これが繰り返されることは十分あり得ますが、規格のケース分類だとこの場合は、Pattern3+Parttern4に相当します。これはマルコフ状態遷移図を書いて初めて理解されることなので、ISO 26262のPMHF理解のためにはマルコフ状態遷移図は必須です。

シングルポイントフェイリャ

ここで、$\lambda_{SPF}, \lambda_{RF}$は定義が書かれていませんので、IFによるものか、SM1によるものも含むのかが定かではありません。しかしながら、

図68.2 2nd Edition, Part10-8.3.2.4 PMHF規格説明

このように、SM1のPVSG、つまりSM1の安全目標侵害の可能性があると、ECCの例まで挙げて書かれているので、おそらく$\lambda_{RF}$は以下のようになると考えられます。これは、サブシステムを構成する2つのエレメントがどちらも主機能かつSMとなるような一般モデルで考えます。具体的には冗長サブシステムの場合が相当します。 $$ \lambda_{RF}=\lambda_{IF,RF}+\lambda_{SM1,RF}=(1-K_{FMC,SM1,RF})\cdot \lambda_{IF}+(1-K_{FMC,SM2,RF})\cdot \lambda_{SM1}\tag{68.1} $$

---

前のブログ 次のブログ

upやdownを数式で書いてみます。

ランダムプロセス$\eta_s$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\lbrace s:\eta_{s}\in\mathcal{P}\rbrace$と示すことができます。 non-repairable elementの故障率$\lambda(t)$は、 $$\lambda(t)=\lim_{dt\to 0}\frac{\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace}{dt}\tag{67.1}$$ より形式的に瞬間故障確率(故障率$\times dt$)が求められ、 $$\lambda(t)dt=\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\frac{\Pr\lbrace t\lt X\le t+dt\rbrace}{\Pr\lbrace t\lt X\rbrace}=\frac{f(t)}{R(t)}dt\tag{67.2}$$

repairable elementのダウン$\varphi(t)$率は、Christiane Cocozza-Thivent他の論文"The Failure Rate in Reliability. Numerical Treatment"の(1.2)式によれば、

$$\varphi(t)=\lambda_V(t)=\lim_{dt\to 0}\frac{\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace}{dt}\tag{67.3}$$ より形式的に瞬間ダウン確率(ダウン率$\times dt$)が求められ、条件付き確率の公式より、 $$\varphi(t)dt=\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace=\frac{\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace}{\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace}=\frac{q(t)}{A(t)}dt\tag{67.4}$$ となります。さらに前記論文が引用している同著者の論文"The failure rate in reliability: approximations and bounds"の(3.17)式の証明に、

$$\varphi(t)=\lambda_V(t)=\frac{1}{\Pr\lbrace \eta_{t}\in\mathcal{M}\rbrace}\lim_{dt\to 0}\frac{1}{dt}\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.5}$$ とあります。(67.4)と(67.5)を比較すれば、 $$q(t)dt=\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace=\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.6}$$

が得られます。

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_\text{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

信頼度(Reliability)

$$ R_\text{item}(t):=\Pr\lbrace\text{item not failed in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_\text{item}\rbrace \tag{66.1} $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

不信頼度(Unreliability, Cumulative Distribution Function, CDF)

$$ F_\text{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_\text{item}\le t\rbrace \tag{66.2} $$ 非修理系システムで、時刻$t$までに故障する確率。

非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

故障密度(Probability Density, Probability Density Function, PDF)

$$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.3} $$ 又は、微小故障確率形式として、 $$ f_\text{item}(t)dt=\Pr\{\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\}\\ =\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace\\ =\Pr\{X_\text{item}\in dt\} \tag{66.4} $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_\text{item}\rbrace+\Pr\lbrace X_{item}\le t+dt\rbrace - \Pr\lbrace t\le X_\text{item} \cup X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.5} $$

(瞬間)故障率(Failure Rate)

$$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace}{dt}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.6} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_\text{item}(t)$の式を用いて $$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_\text{item}\le t+dt \cap t \le X_\text{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_\text{item}\rbrace}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.7} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace\\ =\Pr\{t\lt X_\text{item}\le t+dt\ |\ t\le X_\text{item}\}\\ =\Pr\{X_\text{item}\in dt\ |\ t\le X_\text{item}\} \tag{66.8} $$

稼働度((Point) Availavility)

$$ A_\text{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace \tag{66.9} $$ 修理系システムで、時刻$t$で稼働している確率。

不稼働度((Pont) Unavailavility, PUA)

$$ Q_\text{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=1-A_\text{item}(t) \tag{66.10} $$ 修理系システムで、時刻$t$で不稼働な確率。

不稼働密度((Point) Unavailability Density, PUD)

$$ q_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_\text{item}(t)}{dt} \tag{66.11} $$ 又は、微小不稼働確率形式として、 $$ q_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace \tag{66.12} $$ 時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度), ROCOF(Rate of OCcurrence Of Failure)とも呼ばれる。

一方、PUDは修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

平均不稼働密度(Average PUD)

PUDの車両寿命間$T_\text{lifetime}$の平均値を求めると、平均不稼働密度(Average PUD)は、積分の平均値の定理より、 $$ \overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime}) \tag{66.13} $$ AROCOFも同様な定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

PFH(Probability of Failure per Hour)

注意：Probability of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。

$$ PFH:=\overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime})\\ =\frac{1}{T_\text{lifetime}}\Pr\lbrace\mathrm{item\ down\ at\ }T_\text{lifetime}\rbrace, \text{ただし}T_\text{lifetimeは車両寿命} \tag{66.14} $$ PMHFも同様の定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

Vesely故障率(Vesely Failure Rate)

修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。conditional failure intensity (条件付き故障強度)とも呼ばれる。

$$ \lambda_\text{v,item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{q_\text{item}(t)}{A_\text{item}(t)} \tag{66.15} $$

---

以下はISO/TR 12489にはない確率関数です。

修理度(Repairability)

修理系システムで、時刻$t$において不稼働度が修理されるその割合。修理時間は無視できるものとする。 $$ M(t):=\Pr\lbrace\text{repaired at }t\ |\ \text{failed at }t\rbrace\tag{66.16} $$

---

前のブログ 次のブログ

安全機構フォールトによるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMのフォールトがSMにより抑止されているものの、SMフォールトが引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式 のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前稿で求めたのが、最初のフォールトはどうあれ、主機能MのフォールトによるVSG確率でした(表63.1のCase 1及びCase 4)。従って、「故障の順番が無関係」とは、両方(全て)の条件の場合を意味し、次に必要なのはSMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトはDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのLAT1→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$ q_{SM,DPF}(t)dt=\Pr\{\text{LAT1 at }t\cap\text{SM down in }(t, t+dt]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{65.1} $$ と求められ、平均PUDを計算すれば、 $$\overline{\varphi_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて定期検査時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲) と正確に一致します。

---

前のブログ 次のブログ

次に、定期検査時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式 と正確に一致します。

---

前のブログ 次のブログ

主機能フォールトによるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能フォールトに関するPMHFこと時間平均PUDを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\varphi_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMのフォールトの後に主機能がフォールトする場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMがフォールトしている場合は主機能フォールト抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前稿までに見たように、OPR→SPF(安全機構のフォールトが無い状態で主機能フォールトの場合)及びLAT2→DPF(規格の条件どおり、安全機構に続く主機能のフォールトの場合)の2条件の和となります。つまり規格第1式は、安全機構のフォールトの有無を問わない、主機能フォールトによるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMのフォールトの後に主機能がフォールトする場合」はCase 4のみを意味していますが、実際には数式は、主機能フォールトによるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 しかし、MがフォールトしてもSMがそれをVSG(安全目標侵害)抑止している場合には、次のSMのフォールトは直ちにSG侵害となるため、一旦Mがフォールトとなった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT1:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT2:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,SPF}(t)dt=\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{M\ up\ at\ }t\cap\text{SM up at }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{VSG\ of\ M\ not\ preventable}\}\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\Pr\{\text{SM up at }t\}\\ =(1-K_{M,FMC,RF})A_{SM}(t)R_{M}(t)\lambda_{M}dt=(1-K_{M,FMC,RF})A_{SM}(t)f_{M}(t)dt\tag{62.1} $$

マルコフ状態遷移図でのLAT2→DPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,DPF}(t)dt=\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\cap\mathrm{M\ up\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\rbrace\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\\ =Q_{SM}(t)R_{M}(t)\lambda_{M}dt=Q_{SM}(t)f_{M}(t)dt\tag{62.2} $$

主機能フォールトによるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合の微小遷移確率が求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\bmod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ

PUD(Point Unavailablity Density)の定義からご紹介します。とはいえ、これは弊社の造語であり本ブログと論文だけで通用するものです。このPUDは不稼働密度とでも訳すべきものであり、以下に定義を示します。

PUD:

PUD、すなわち不稼働密度$q_{item}(t)$は、前々回ご紹介したポイントアンナベイラビリティ(PUA)の時間微分で、以下の微小不稼働確率を$dt$で割ったものです。$q_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小不稼働確率としています。 $$q_{item}(t)dt\equiv(\frac{dQ_{item}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png}\tag{61.1}$$

PMHFは、修理系アイテムの車両寿命間のダウン確率の時間平均であることから、ここで示すアイテムの平均PUDと考えられます。このことは規格Part5には以下のように書かれています。

図61.1 Part5でのPMHFの意味

「アイテムの作動寿命間の毎時平均確率」とは舌足らずであり、何の確率かが書かれていません。その前に「ランダムハードウェア故障」とあるため文脈から故障確率であると読み取れますが、修理系の場合は厳密には故障確率ではなく、故障したものが修理される事象を含めたダウン確率です。

従って、PMHFを求めるにはまず微小不稼働確率に着目して確率微分方程式を立て、それを0から車両寿命$T_{lifetime}$まで積分し、$T_{lifetime}$で割って平均PUDを算出する流れで求めます。

---

前のブログ 次のブログ

※この記事は2018年に書かれたものであり、基本的には変わりませんが最近の記事で詳細計算を行っています。

SMのアンナベイラビリティ(不稼働率、PUA)$Q_{SM}(t)$の導出

以前PMHF式を以下で導出しました。 https://fs-micro.com/post/show/id/10.html

ここでは再度PMHFの式を導出して行きますが、事前準備がいくつか必要になりますので、まず、修理系のアンナベイラビリティの公式を導きます。

まず、修理系とは何かを説明します。ISO 26262規格には修理の問題についてはっきり書いていませんが、1st SMが修理系となります。1st SMとは、1st order SMとも呼ばれ、主機能のSG侵害(安全目標侵害=VSG)を防止するためのSMです。一方で、主機能は非修理系です。

1st SMは、2nd SMにより定期的に検査され、故障だと判明した場合は直ちに修理されます。2nd SMとは2nd order SMとも呼ばれ、エレメントがレイテントフォールトとなるのを防止する安全機構です。規格にもあるとおり、修理周期は「検査周期($\tau_{SM}$)＋ドライバーが修理工場へ運転して行く時間＋修理にかかる時間」です。従って、修理周期＝2nd SMの検査周期とみなせます。

規格にははっきり書かれていませんが、検査により故障と判明した部分については、修理され新品同様(as good as new)と見なされます。この検査による故障検出割合が重要であり、Part 10では定数値$K_{FMC,MPF}$で表されます。故障したうちの検出部分なので(59.1)のように条件付き確率と考えがちですが、 $$K_{FMC,MPF}=\Pr\lbrace \text{detectable}\ |\ \text{failed at }t \rbrace\tag{59.1}$$ 故障検出能力は確率的に決まるものではなく、アーキテクチャ的に決まるものだと考えるため、もともとの検出部分の故障について検出可能とします。 $$K_{FMC,MPF}=\Pr\lbrace \text{detectable} \rbrace\tag{59.2}$$ 検出された故障は全て修理されるものとします。 $$\Pr\lbrace \text{repaired}\ |\ \text{detected at }t\rbrace=1\tag{59.3}$$

次にアンナベイラビリティ$Q_{SM}(t)$とは、省略せずに言うとポイントアンナベイラビリティ(PUA)であり、修理系の不稼働率です。 確率の式で表せば、

PUA: $$Q_{SM}(t):=\Pr \lbrace \text{(repairable)SM down at }t \rbrace\tag{59.4}$$ のように、時刻$t$において不稼働である確率を意味します。

一方で、アベイラビリティの式は参考ページまたはBirolini教授の教科書を参照すれば、 $$ A(t):=R(t)+\int_0^t m(x)R(t-x)dx\tag{59.5} $$ であり、ここで、$A(t)$は時刻tにおけるポイントアベイラビリティ、$R(t)$は時刻tにおけるリライアビリティ(信頼度)、$m(t)$は時刻tにおけるリニューアル密度(修理密度)です。規格の特徴として、修理周期は教科書一般にあるように指数関数分布はとらず、定期的に$\tau_{SM}$毎に行われるため、以下の式が成立します。 $$A_{SM}(t)=R_{SM}(t)+K_{SM,FMC,MPF}F_{SM}(\tau_{SM})\sum_{i=0}^{n-1}R_{SM}(t-i\tau_{SM})\tag{59.6}$$

修理分$K_{SM,FMC,MPF}F_{SM}(\tau_{SM})$が時刻$t$の関数でないのは、検出能力$K_{FMC,MPF}$は一定で、かつ毎回の故障確率も一定で、検出した分は全て修理されるため、修理分が一定となるためです。 従って、SMのポイントアベイラビリティ式は以下のようになります。 $$A_{SM}(t)dt=\img[-1.35em]{/images/withinseminar.png}\tag{59.7}$$

これを1から引けば、SMのポイントアンアベイラビリティ(PUA)は以下のように求められます。

PUA: $$Q_{SM}(t)dt=\left[1-A_{SM}(t)\right]dt=\img[-1.35em]{/images/withinseminar.png}\tag{59.8}$$

(59.8)の両辺を時刻$t$で微分すれば、微分可能な$t$におけるPUD(Point Unavailability Density)が求められます。

PUD: $$q_{SM}(t)dt:=(\frac{dQ_{SM}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png},\\ \ t\notin\{\tau_i=i\tau; i=1,2,...,n\}\tag{59.9}$$

※ここでの議論において、次に示すような形式的な記法を用いています。例えば、 $$f(t)=\lim_{dt\to +0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF(t)}{dt}$$ と書くところを$dt$が無限小であることを前提として、 $$f(t)dt=dF(t)$$ としています。確率密度関数$f(t)$を求めるよりも、微小確率$f(t)dt$を求めるほうが、次での積分の記述が容易になるためです。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

---

前のブログ 次のブログ

A paper on the failure rate of automobiles authored by Sakurai Atsushi, who is the CEO & CTO of Functional Safety Consultant FS Micro (Headquarters: Shibuya Ward, Tokyo, JAPAN) received the Best Paper Award at ISPCE 2017 (2017 IEEE Symposium on Product Compliance Engineering) held in San Jose, California in May 2017.

On 14th, on May 9th morning of local time, a paper authored by Sakurai Atsushi, who is the CEO & CTO of FS Micro Corporation (Head office: Shibuya-ward, Tokyo, JAPAN), functional safety consultant) received the Best Paper Award at ISPCE 2017 (Note 1), an international conference of IEEE (Note 2) held in San Jose, California, from May 8th to 10th, 2017.

Among the 20 formal papers, there is only one to be deserved as the Best Paper Award.

The title of the paper won the Best Paper Award is "Generalized Formula for the Calculation of a Probabilistic Metric for Random Hardware Failures in Redundant Subsystems" related to the PMHF (Note 3).

When performing safety analysis using FMEDA (Note 4) or quantitative FTA (Note 5) in accordance with ISO 26262 which is the international standard of automobile functional safety (Note 6), the failure rate calculation formula relating to the redundant subsystem (Note 7) is unclear, it was difficult to accurately perform quantitative analysis.

It was selected as the Best Paper Award, because it contributes to expand the application of the standard in quantitative safety analysis.

Note 1: 2017 IEEE Symposium on Product Compliance Engineering. International conference organized by the IEEE's Product Safety Engineering Society, once a year from 2004, with regard to product safety.
Note 2: The world's largest academic institute on electrical and electronics engineering headquartered in the United States.
Note 3: PMHF (Probabilistic Metric for Random Hardware Failures) means the average probability of failure per hour over the operational lifetime of the item.
Note 4: Inductive analytical method which quantitatively demonstrates how failure modes of parts affect safety of the whole system using the failure rate.
Note 5: A deductive analytical method that quantitatively demonstrates the possibility of the safety goal violation by calculating the probability using the fault tree.
Note 6: Methodology to ensure system safety by adding various safety measures.
Note 7: Subsystems subject to functional safety, those with redundancy.

---

Previous Next