LAT1⇒DPF2の平均PUDの計算

次にLAT1からDPF2の平均PUDを計算します。時刻$t$でLAT1においてはSM1=upであったのに対し、$t+dt$までの間にSM1にフォールトが起き、DPF2に移行しSM1=downとなります。

この場合、規格(1st Edition)が曖昧であるため、次の2とおりのケースが考えられます。

1. LAT1においては既にIF=downであり、SM1のフォールトに応じて確率的にDPF2に遷移する。これはIFがアンリペアラブルの場合であり、これをIFUモデルと名付けます。図105.1の実線(のみ)の遷移です。
2. LAT1においては既にIF=downであり、検出周期内ではSM1のフォールトに応じて確率的にDPF2に遷移する。一方検出周期の最後で、検出されたIFのフォールトは全量(経過時間0で)リペアされ、IF=upとなりOPRに戻る。これはIFがリペアラブルの場合であり、これをIFRモデルと名付けます。図105.1の実線及び破線の遷移です。

1. LAT1のフォールトがDPF2に遷移する場合(IFUモデル)

まずケース1.のIFUモデルを前提として計算すると、条件付き確率の公式より、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF2\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT1\ at\ }t\cap\mathrm{SM\ down\ in\ }(t, t+dt)\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{LAT1\ at\ }t\} \end{eqnarray} \tag{105.1} $$ ここで、$\mathrm{LAT1}$という状態は、IFが不稼働状態にも関わらずVSGを免れており、かつSM1は稼働状態であるから、 $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF\ down\ at\ }t\cap\text{VSG of IF preventable}\cap\mathrm{SM\ up\ at\ }t\} \tag{105.2} $$ IFとSM1の稼働状態は独立事象であり、IFはアンリペアラブル、SM1はリペアラブルです。SM1のVSG prevent能力はアーキテクチャ的に決定されるため、他の事象とは独立と考え、$K_\text{IF,RF}$(101.3)を用いると、(105.2)は $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF^U\ down\ at\ }t\}\Pr\{\text{VSG of IF preventable}\}\Pr\{\mathrm{SM\ up\ at\ }t\}\\ =K_{\mathrm{IF,RF}}F_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\tag{105.3} $$ と書けます。

さらに、(105.1)の右辺積分中の条件付き確率式に(105.2)、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を用れば、 $$ \require{cancel} \Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\cap\bcancel{\mathrm{IF^U\ down\ at\ }t}\cap\bcancel{\text{VSG of IF preventable}}\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\}=\lambda_{\mathrm{SM}}dt \tag{105.4} $$ よって、(105.1)に(105.4)、(105.3)を用いた上で、稼働度PA(59.7)、故障率(66.6)及び弊社積分公式を用いれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2, IFU}}}&=&\frac{1} {T_\text{lifetime}}\int_0^{T_\text{lifetime}}K_{\mathrm{IF,RF}}F_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\lambda_{\mathrm{SM}}dt\\ &=&\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_{\mathrm{IF}}(t)[(1-K_{\mathrm{SM,MPF}})R_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}R_{\mathrm{SM}}(u)]\lambda_{\mathrm{SM}}dt,\\ & &ただし、u:=t\bmod\tau\\ &=&\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_{\mathrm{IF}}(t)[(1-K_{\mathrm{SM,MPF}})f_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}f_{\mathrm{SM}}(u)]dt\\ &\approx&\frac{K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&K_{\text{IF,RF}}\alpha,\\ & &ただし、\alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{105.5} $$

ここで、$(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\gg K_{\mathrm{SM,MPF}}\tau$の場合に$M_{\mathrm{PMHF}}=\overline{q_{\mathrm{SPF,IFU}}}+\overline{q_{\mathrm{DPF1,IFU}}}+\overline{q_{\mathrm{DPF2, IFU}}}$を計算すると、 $$ M_{\mathrm{PMHF}}= (1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\\ \tag{105.6} $$ であり、さらにこれは、 $$ \begin{cases} \begin{eqnarray} \lambda_{\mathrm{IF,RF}}&:=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}\\ \lambda_{\mathrm{IF,DPF}}&:=&K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\\ \lambda_{\mathrm{SM,DPF,lat}}&:=&(1-K_{\mathrm{SM,MPF}})\lambda_{\mathrm{SM}} \end{eqnarray} \tag{105.7} \end{cases} $$ を用いて $$ (105.6)=\lambda_{\mathrm{IF,RF}}+\lambda_{\mathrm{IF,DPF}}\lambda_{\mathrm{SM,DPF,lat}}T_\text{lifetime}\tag{105.8} $$ と書きなおせるため、(105.8)は次の図105.2に示す、ISO 26262 1st edition Part 10の第3式に(IF⇒Mと読み替えることにより))完全に一致します。

この式は「故障順序によらない」PMHF式ということですが、「故障順序によらない」とは、「故障の順番がIF⇒SMまたはその反対のSM⇒IFの両方の場合」$\dagger$という意味です。1st editionの第3式に一致したということは、1st SMによりVSG抑止されたフォールトは全てレイテントフォールトになるのが規格の前提であると推測されます。

しかしながら、この前提はLFMにおいてdetected faultが算入されないという点で、規格内部での不一貫性を示しています。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。さらに、上記不一貫性の解消を目的とした新提案の論文をRAMS 2022に投稿し、これも採択されました。

$\dagger$連続確率過程の確率密度の観点からはIFとSMの同時故障の確率は”ほとんど確実に"0です。従って、この条件は全ての場合を表します。

前のブログ 次のブログ

LAT2⇒DPF1の平均PUDの計算

次にLAT2からDPF1となる平均PUDを計算します。時刻$t$でLAT2においてはIF=upであったのに対し、$t+dt$までの間にIFにフォールトが起き、IF=downとなると同時にDPF1に移行します。

CTMCの平均PUD基本式(101.5)について、条件付き確率の公式を用いて、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF1\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{LAT2}\mathrm{\ at\ }t\} \end{eqnarray} \tag{104.1} $$ ここで、LAT2はIFが稼働、SM1が不稼働状態であるから、 $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\}\tag{104.2} $$ IFとSM1の稼働状態は独立事象で、IFはアンリペアラブル、SM1はリペアラブルであることから、(104.2)は $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF^U\ up\ at\ }t\}\Pr\{\mathrm{SM\ down\ at\ }t\}\\=R_{\mathrm{IF}}(t)Q_{\mathrm{SM}}(t)\tag{104.3} $$ と書けます。

さらに、(104.1)の右辺積分中の条件付き確率式に(104.2)、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を適用すれば、IFはアンリペアラブルであるため、 $$ \require{cancel} \Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\cap\bcancel{\mathrm{SM\ down\ at\ }t}\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\}=\lambda_{\mathrm{IF}}dt\tag{104.4} $$ よって、(104.1)に(104.4)、(104.3)を用いた上で、PUA(59.8)、故障率(66.6)、及び弊社積分公式を適用すれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFU}}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)R_{\mathrm{IF}}(t)\lambda_{\mathrm{IF}}dt\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\text{SM}(t)f_\mathrm{IF}(t)dt\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_{\mathrm{SM,MPF}})F_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}F_{\mathrm{SM}}(u)\right]f_{\mathrm{IF}}(t)dt,\\ & &ただし、u:=t\bmod\tau\\ &\approx&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}\left[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau\right]\\ &=&\alpha,\\ & & ただし、\alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{104.5} $$ よって、(103.7)及び(104.5)より、 $$ \begin{eqnarray} M_{\mathrm{PMHF}}&=&\overline{q_{\mathrm{SPF,IFU}}}+\overline{q_{\mathrm{DPF1,IFU}}}\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+\frac{1}{2}K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+K_{\mathrm{IF,RF}}\alpha \end{eqnarray} \tag{104.6} $$ であり、さらに基本故障率及びパラメータにより各条件を含む故障率が記述でき、 $$ \begin{cases} \begin{eqnarray} \lambda_\text{IF,RF}&:=&(1-K_\text{IF,RF})\lambda_\text{IF}\\ \lambda_\text{IF,DPF}&:=&K_\text{IF,RF}\lambda_\text{IF}\\ \lambda_\text{SM,DPF,lat}&:=&(1-K_\text{SM,MPF})\lambda_\text{SM}\\ \lambda_\text{SM,DPF,det}&:=&K_\text{SM,MPF}\lambda_\text{SM} \end{eqnarray} \end{cases} \tag{104.7} $$ を用いて $$ (104.6)=\lambda_{\mathrm{IF,RF}}+\frac{1}{2}\lambda_{\mathrm{IF,DPF}} (\lambda_{\mathrm{SM,DPF,lat}}T_\text{lifetime}+\lambda_{\mathrm{SM,DPF,det}}\tau)\tag{104.8} $$ と書きなおせるため、(104.8)は次の図104.2に示す、ISO 26262 1st edition Part 10の最初のPMHF式、すなわちSM1に引き続きIFがフォールトすると(誤って)書かれている式と、(IF⇒Mと読み替えることにより)完全に一致します。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

OPR⇒SPFの平均PUDの計算

まずOPRステートからSPFステートへの、$t$から$t+dt$までの微小遷移確率を0から$T_\text{lifetime}$まで積分したものの時間平均、つまり平均PUDを計算します。時刻$t$でOPRにおいてはIF=upであったのに対し、時刻$t+dt$までの間にIFにフォールトが起き、IF=downとなると同時にSPFに移行します。平均PUDの定義については平均PUD定義式(66.13)をご覧ください。

SM1のVSG prevent能力はアーキテクチャ的に決定されるため、他の事象とは独立と考えます。 CTMCの平均PUD基本式(101.5)について、条件付き確率の公式を用いて、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{SPF\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\cap\overline{\mathrm{VSG\ of\ IF\ preventable}}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{OPR\ at\ }t\}\Pr\{\overline{\mathrm{VSG\ of\ IF\ preventable}}\} \end{eqnarray} \tag{103.1} $$ ここで、OPRはIF、SM1共にupであるから、 $$ \Pr\{\mathrm{OPR\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\cap\mathrm{SM\ up\ at\ }t\} \tag{103.2} $$ IFとSM1の稼働状態は独立事象で、IFはアンリペアラブル、SM1がリペアラブルです。ここでIFがアンリペアラブルなことを特に$\mathrm{IF^U}$と表します。SM1は常にリペアラブルなのでそのままです。すると、(103.2)は $$ \Pr\{\mathrm{OPR\ at\ }t\}=\Pr\{\mathrm{IF^U\ up\ at\ }t\}\Pr\{\mathrm{SM\ up\ at\ }t\}\\ =R_\mathrm{IF}(t)A_\mathrm{SM}(t)\tag{103.3} $$ と書けます。ここで、以下の条件付き確率において、CがAともBとも独立であるとき、次の独立条件付き確率式 $$ \require{cancel} \Pr\{\mathrm{A}\ |\ \mathrm{B}\cap\mathrm{C}\}=\frac{\Pr\{\mathrm{A}\cap\mathrm{B}\cap\mathrm{C}\}}{\Pr\{\mathrm{B}\cap\mathrm{C}\}}=\frac{\Pr\{\mathrm{A}\cap\mathrm{B}\}\cdot\bcancel{\Pr\{\mathrm{C}\}}}{\Pr\{\mathrm{B}\}\cdot\bcancel{\Pr\{\mathrm{C}\}}}=\Pr\{\mathrm{A}\ |\ \mathrm{B}\}\tag{103.4} $$ が成り立つため、(103.1)の右辺積分中の条件付き確率式に(103.2)、(103.4)、及び微小故障条件付き確率式(66.8)を用いれば、IFはアンリペアラブルであるため、 $$ \Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR\ at\ }t\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\cap\bcancel{\text{SM up at }t}\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\}=\lambda_{\mathrm{IF}}dt \tag{103.5} $$ よって、(103.1)に(103.5)、(103.3)、$\Pr\{\overline{\mathrm{VSG\ of\ IF\ preventable}}\}=1-K_{\mathrm{IF,RF}}$(100.3)を用いた上で、故障率(66.6)及びPUA(59.8)を適用すれば、平均PUDは、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_{\mathrm{IF,RF}})R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_{\mathrm{IF}}dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[1-Q_\text{SM}(t)\right]f_{\mathrm{IF}}(t)dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_{\mathrm{IF}}(t)dt-\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\text{SM}(t)f_{\mathrm{IF}}(t)dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}F_\text{IF}(T_\text{lifetime})\\ & &-\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\text{SM}(t)+K_\text{SM,MPF}F_\text{SM}(u)\right]f_{\mathrm{IF}}(t)dt,\\ & &\text{ただし、}u:=t\bmod\tau \end{eqnarray} \tag{103.6} $$ よって、$1-e^{-\lambda_{\mathrm{IF}}t}\approx\lambda_{\mathrm{IF}}t$と近似するMaclaurin展開及び弊社積分公式により、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&\approx&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}-\frac{1-K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}-(1-K_{\mathrm{IF,RF}})\alpha\\ & &\text{ただし、} \alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{103.7} $$

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

前稿までの議論を踏まえ、ここからは$M_{\mathrm{PMHF}}$の計算を行います。

マルコフチェイン

図102.1にIF、SM1及び2nd SMから構成されるサブシステムの動作を表した連続時間マルコフ連鎖図(CTMC, Continuous-time Markov chains)を示します。IF、SM1のup又はdownの状態の組み合わせにより、下記の5通りの状態が存在し、その確率過程の組の遷移をマルコフ連鎖で表現します。前稿に示すように、遷移先状態確率は遷移元状態確率に微小遷移確率をかけたものを時間で積分することにより求める事ができます。以下、ステートを斜体で表します。

• IF:up, SM1:up --- OPR
• IF:down(VSG), SM1:up --- SPF
• IF:down(not VSG), SM1:up --- LAT1
• IF:up, SM1:down --- LAT2
• IF:down, SM1:down --- DPF 図102.1 対象となるCTMC

リペアラビリティ(修理可能性)

一般的なサブシステムではIF、SM1共リペアラブル(修理可能)と考えます。また、検出されたフォールトは全て修理(リペア)されるという仮定を置きます。もし修理率が存在するとしても、フォールト検出率に入れてしまえば、修理率は100%として良いためです。

IF及びSM1のレイテントフォールト検出は2nd SMにより、周期$\tau$で実行されます。レイテントフォールト検出率はIF、SM1についてそれぞれ$K_\text{IF,MPF}$及び$K_\text{SM,MPF}$ですが、アンリペアラブルとする場合はレイテントフォールト検出率をゼロとすれば良いわけです。従って、リペアラブルのほうが一般的なサブシステムを表します。ISO 26262の基本思想は、定数故障率(指数分布)、周期的フォールト検出が基礎となっています。

まず、IFがアンリペアラブル、SM1がリペアラブルの場合を考えます。これをIFUモデル(IFがUnrepairable)とします。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

米国ロチェスター大学の資料(そのキャッシュ)によれば、 ランダムプロセス$\eta_t$において、ステート空間を$i, j=0,1,2,...,\in\mathcal{E}$について、以下の式を満足する場合に、ランダムプロセス$\eta_t$は連続時間マルコフ連鎖(CTMC)となります。 $$ \Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i, \eta_u\in x_u, u\lt t\}=\Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i\} $$ 遷移する確率が、過去の時刻$u$での状態に依存せず、現在時刻$t$での状態にのみ依存することを表します。

CTMCである$\eta_t$において、ステートiからjへの瞬間遷移確率関数(Instantanous Transition Probability Function)$P_{ij}$の式は以下のようになります。ただし、元の式を「信頼性関係式の定義式の表現」で導入した記法に変更しています。 $$ P_{ij}(t):=\Pr\{\eta_{(t+dt)}\in\mathcal{j}\ |\ \eta_{t}\in\mathcal{i}\}=q_{ij}dt+o(dt)\tag{101.1} $$ $q_{ij}$は遷移率(Transition Rate)です。ランダムプロセス$\eta_t$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\{t:\eta_{t}\in\mathcal{P}\}$と示すことができます。

稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移を考えると、(101.1)は、 $$ P_\mathcal{MP}(t)=\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_\mathcal{MP}dt+o(dt)\tag{101.2} $$ となりますが、これと前記事の微小ダウン確率形式と比較し、 $$ \Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_\mathcal{MP}dt+o(dt)=\varphi(t)dt\tag{101.3} $$ すなわち、単位時間あたりの稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移率$q_\mathcal{MP}$は、$o(dt)\approx 0$の場合のダウン率$\varphi(t)$にほかなりません。

ここで、条件付き確率の式から(101.3)の両辺に状態確率$\Pr\{\eta_{t}\in\mathcal{M}\}$をかけるとPUDが求まります。PUDについて、$0$から$T_\text{lifetime}$まで$t$で積分し(101.2)を用いれば、 $$ \int_0^{T_\text{lifetime}}P_\mathcal{MP}(t)\Pr\{\eta_{t}\in\mathcal{M}\} =\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\int_0^{T_\text{lifetime}}\Pr\lbrace\eta_{(t+dt)}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace=\int_0^{T_\text{lifetime}}q(t)dt =Q({T_\text{lifetime}})\tag{101.4} $$ 前記事の平均PUD式(66.13)に基づき(101.4)の両辺を$T_\text{lifetime}$で割り、SPFになる平均PUDを$\overline{q_{\mathrm{SPF}}}$で表せば、 $$ \overline{q_{\mathrm{SPF}}}=\frac{1}{T_\text{lifetime}}Q({T_\text{lifetime}})=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\cap\eta_{t}\in\mathcal{M}\} \tag{101.5} $$ これにより、CTMCを用いた平均PUDを求める基本式が求まりました。PMHFを求めるには、(101.5)式を駆使していきます。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

プレスリリースで案内のとおり、去る1月27日から4日間、米国カリフォルニア州パームスプリングスで開催された、RAMS 2020${}^{\dagger 1}$において、PMHF${}^{\dagger 2}$に関する論文を発表しました。論文の題名は"Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262"です。邦題は「ISO 26262に準拠したランダムハードウェア故障の確率的メトリクスの一般式」であり、PMHFを正確に評価することを可能にするものです。RAMS 2020は、IEEE RS${}^{\dagger 3}$が主催する、信頼性工学に関する世界最高レベルの国際学会です。

発表の内容は、IF${}^{\dagger 4}$及びSM${}^{\dagger 5}$から構成されるサブシステムにおいて、IFがISO 26262第1版に対応する修理不能なモデルと、第2版に対応する修理可能なモデルの2つを考案し、それに基づいたPMHF式を導出し、第1版とは一致、第2版とは不一致となることを示しました。次に第2版との不一致について、規格第2版のPMHFの過小評価と、EOTTI${}^{\dagger 6}$の過大評価を計算し、規格第2版は31倍もの過剰な設計制約となっていることを明らかにしたものです。

下の写真の向かって右はRAMS 2020のGeneral ChairであるDr. Julio Pulidoです。

下の写真の左上はColloquim Session ChairであるJess Leszczynskiと、右上はPaper Session ChairであるDongmei Chenと、右下はProgram Committee ChairであるOm Yadavとの写真です。

[追記]
論文の公開場所は、以下のIEEE Xploreです。
https://ieeexplore.ieee.org/document/9153704

${}^{\dagger 1}$RAMS 2020: The 66th Annual Reliability & Maintainability Symposium
${}^{\dagger 2}$PMHF: Probabilistic Metric for random Hardware Failures ⇒用語集
${}^{\dagger 3}$RS: Reliability Society
${}^{\dagger 4}$IF: Intended Functionarity ⇒用語集
${}^{\dagger 5}$SM: Safety Mechanism ⇒用語集
${}^{\dagger 6}$EOTTI: Emergency Operation Tolerance Time Interval⇒用語集

前のブログ 次のブログ

今回は「確率モデル入門」(朝倉書店)からポアソン過程の部分を引用します。

確率過程

連続時間$t(\ge 0$)において確率法則が確率変数$X(t)$で表されるとき、確率変数の集まり$\{X(t),t\ge 0\}$は連続時間確率過程と呼ばれる。また、$X(t)$の取る値の集合は状態空間と呼ばれ、本稿では状態空間は離散形のみを取り扱う。

以前のポストでも確率過程を取り扱いましたが、基礎確率空間$(\Omega, \mathcal{F}, P)$において、任意の時刻$t$を固定した確率変数$X(\omega)$が$\mathcal{F}$可測となっていることが確率過程の条件となります。

計数過程

数(整数)を数える確率過程$\{N(t), t\ge 0\}$を計数過程という。

我々は$N$個の部品の故障数を数えているので、計数過程です。

独立増分過程

確率過程$\{X(t), t\ge 0\}$において、任意の$t_1\lt t_2\lt ...\lt t_n$に対し、確率変数 $$X(t_1)-X(t_0), X(t_2)-X(t_1),...,X(t_n)-X(t_{n-1})$$ が独立ならば、この確率過程は独立増分を持つという。

2項過程幾何分布

離散時間計数過程$\{N(n), n=1, 2, ...\}$において、故障確率$p (0\le p\le 1)$の試行列を考える。$N(1)=0$として、時刻$n$における故障事象の累積回数を$N(n)$とするとき、この確率過程をパラメータ$p$の2項過程幾何分布という。

この2項過程幾何分布は離散時間計数過程ですが、これを連続過程に移したらどうなるかを見てみます。時刻$0$から$t$までの時間間隔を$n$分割すれば、微小離散時間$\Delta t$は、 $$\Delta t=\frac{t}{n}$$ となり、図で表せば図198.1のようになります。

また、区間内の故障回数($\approx$故障確率)$p$を故障率$\lambda$で表せば、故障率は単位時間あたりの故障回数なので、 $$p=\lambda\Delta t=\frac{\lambda t}{n}$$ 時刻$t$の$n$回目で初めて故障が起きる確率は、各試行は独立であるため事象のANDは確率の積で表すことができるので、2項過程幾何分布より $$\Pr\{\text{item not fail in }n-1\cap \text{item fail at }n\}\\ =\Pr\{\text{item not fail in }n-1\}\Pr\{\text{item fail at }n\}=(1-p)^{n-1}p$$ となります。

ポアソン過程指数分布

$[0, t]$間での連続的な変化を考え、2項過程幾何分布において$n\to\infty, \Delta t\to 0$の極限をとります。ところが時刻$t$で初めて故障が起きる確率を求めるため、これは$P(X=t)$を求める事に対応するので、連続確率過程では確率はほとんど確実に(a.s.)$0$になります。従って、瞬間ではなく微小時間間隔$dt\to 0$での故障確率を考え、確率密度関数を$f(t)$とすれば、 $$\Pr\{X\in dt\}=\Pr\{X\in [t-dt, t)\}=\lim_{n\to\infty}(1-p)^{n-1}p\\ =\lim_{n\to\infty}\left(1-\frac{\lambda t}{n}\right)^{n-1}\lambda dt=e^{-\lambda t}\cdot \lambda dt=f(t)dt$$ よって、 $$f(t)=\lambda e^{-\lambda t}$$

$f(t)$は確率密度関数もしくはpdf(Probability Density Function)です。

連続時間での最初の故障までの確率密度関数が求められたので、これを$0$から$t$まで積分すれば、区間$[0, t]$での最初の故障の累積分布関数が求められます。最初の故障が起きるまでの時間はFFOT(Failure Free Operating Time; 無故障運転時間)とほとんど確実に(a.s.)一致します。 $$\int_0^t\lambda e^{-\lambda x}dx=1-e^{\lambda t}$$

2項過程幾何分布の連続系はポアソン過程指数分布と呼ばれ、累積分布は指数分布となります。故障はまれにしか起きない連続的な計数過程であるので、ポアソン過程指数分布でモデル化を行います。

前のブログ 次のブログ

測度論に戻り、集合の包含関係を確認します。この記事は応用のための確率論から引用しています。

集合族$\mathfrak{I}$

長方形の面積を考えます。平面を集合と考えると、平面に属する点の集合は、$\mathbb{R}^2$で表されます。これを全体の集合$X(=\mathbb{R}^2)$とすると、長方形は$X$上の4点で定義されます。その全ての集合を$\mathfrak{I}$とすると、 $$\mathfrak{I}\subset X$$

集合族$\mathcal{J}$

次に、$\mathfrak{I}$から有限個の長方形を取り出し和を取った図形全体の集合を$\mathcal{J}$とすると、明らかに $$\mathfrak{I}\subset\mathcal{J}\subset X$$

オーバーラップしていますが、互いに背反(ノンオーバーラップ)な長方形を用いて等価変換できます。

集合族$\mathcal{T}$

一方、円や三角形等の図形は有限個の長方形では表せないため、高々加算個の背反な長方形$E_i$を用いて、 $$\sum_{i=1}^\infty E_i$$ で表される図形全体の集合を$\mathcal{T}$とすると、 $$\mathfrak{I}\subset\mathcal{J}\subset\mathcal{T}\subset X$$

集合族$\mathfrak{B}_2$

次に$\sigma$代数$\mathcal{F}$を考え、以下の性質を持つものとします。

長方形は全て$\mathcal{F}$に含まれる。

$E\in\mathcal{F}$ならば$E^c=X-E\in\mathcal{F}$

$E_i\in\mathcal{F}\ (i=1,2,...)$ならば$\bigcup_{i=1}^\infty E_i\in\mathcal{F}$

この性質を持つ$\mathcal{F}$は、この性質から $$\mathcal{T}\subset\mathcal{F}$$ となります。この性質を持つ様々な$\mathcal{F}_{\alpha}$の共通部分を

$$\mathfrak{B_2}=\bigcap_\alpha\mathcal{F}_\alpha$$ とし、これをボレル集合族と呼びます。あきらかにこれは$\mathcal{F}$の集合族の中で最小の集合族です。

集合族$\mathfrak{M}_\mu$

ボレル集合族は$\sigma$加法族として加法性が成立しているため、使いやすいものの、ボレル集合族に含まれる集合$A\in\mathfrak{B_2}$に対して測度$\mu(A)=0$となる$A$の部分集合が必ずしも$\mathfrak{B_2}$に含まれないため、これを全て加え拡張した集合族を$\mathfrak{M}_\mu$とします。

これらの集合族の包含関係を図示すると、図197.1のようになります。

前のブログ 次のブログ

べき集合

時々測度論(もしくはその前の集合論)に戻って解説します。集合$X$の全ての部分集合を考えます。この集合にはべき集合と名前がつけられており、$2^X$で表します。

まず、高々加算個の元$X_i\ (i=1,2,...)$を持つ集合$X$を以下のように表します。 $$X=\{x:x_i\ (i=1, 2, ...)\}$$

$X$の全ての部分集合は、$X$の元の一つ一つについて、作成する部分集合$A_j$に入れるか入れないかを、全ての組み合わせを考えることにより生成できます。そこで、全ての組み合わせの数と部分集合の個数は等しく、その個数は$2^{|X|}$となります。この入れる$(=1)$か入れない$(=0)$かを式で書くと、 $$ f_j(x_i)\ (i=1,2,...)= \begin{cases} 1 & (x_i\in A_j) \\ 0 & (x_i\notin A_j) \end{cases} s.t. j=1, 2, ..., 2^{|X|} $$ という写像の組により与えられます。写像の組を集合関数と置きなおせば、 $$ f_j(A_i)= \begin{cases} 1 & (i=j) \\ 0 & (i\neq j) \end{cases} $$ このように、生成する部分集合$A_j$と写像$f_j$は一対一対応しており、$j=1,2,...2^{|X|}$となります。

これだけだとイメージがわかないので例を挙げます。

$$X=\{1, 2, 3\}$$ として、べき集合$2^X$を考えると、 $$ \begin{cases} X & f_j(x_1) & f_j(x_2) & f_j(x_3) & A_j & A_j^c & j\\ \{1, 2, 3\} & 0 & 0 & 0 & \varnothing & \{1, 2, 3\} & 1\\ \{1, 2, 3\} & 1 & 0 & 0 & \{1\} & \{ 2, 3\} &2\\ \{1, 2, 3\} & 0 & 1 & 0 & \{2\} & \{1, 3\} &3\\ \{1, 2, 3\} & 0 & 0 & 1 & \{3\} & \{1, 2\} &4\\ \{1, 2, 3\} & 1 & 1 & 0 & \{1, 2\} & \{3\} &5\\ \{1, 2, 3\} & 1 & 0 & 1 & \{1, 3\} & \{2\} &6\\ \{1, 2, 3\} & 0 & 1 & 1 & \{ 2, 3\} & \{1\} &7\\ \{1, 2, 3\} & 1 & 1 & 1 & \{1, 2, 3\} & \varnothing &8\\ \end{cases} $$ から、部分集合$A_j$を全て含む集合となるので、 $$ 2^X=\{A_j:j=1,2,...,2^3\}=\{\varnothing, \{1\}, \{2\}, \{3\}, \{1, 2\}, \{1, 3\}, \{2, 3\}, \{1, 2, 3\}\} $$ と求められます。

集合関数$f_j$を全て書き並べると、以下のようになります。 $$ \begin{cases} f_1(A)= \begin{cases} 1\ (A=A_1=\varnothing)\\ 0\ (A\neq A_1=\varnothing) \end{cases}\\ f_2(A)= \begin{cases} 1\ (A=A_2=\{1\})\\ 0\ (A\neq A_2=\{1\}) \end{cases}\\ f_3(A)= \begin{cases} 1\ (A=A_3=\{2\})\\ 0\ (A\neq A_3=\{2\}) \end{cases}\\ f_4(A)= \begin{cases} 1\ (A=A_4=\{3\})\\ 0\ (A\neq A_4=\{3\}) \end{cases}\\ f_5(A)= \begin{cases} 1\ (A=A_5=\{1, 2\})\\ 0\ (A\neq A_5=\{1, 2\}) \end{cases}\\ f_6(A)= \begin{cases} 1\ (A=A_6=\{1, 3\})\\ 0\ (A\neq A_6=\{1, 3\}) \end{cases}\\ f_7(A)= \begin{cases} 1\ (A=A_7=\{2, 3\})\\ 0\ (A\neq A_7=\{2, 3\}) \end{cases}\\ f_8(A)= \begin{cases} 1\ (A=A_8=\{1, 2, 3\})\\ 0\ (A\neq A_8=\{1, 2, 3\}) \end{cases}\\ \end{cases} $$

前のブログ 次のブログ

前回までに標本はどのようにとっても構わないことが分かったので、個々の部品の順列事象ではなく、故障の組み合わせ事象を、根元事象ととります。 ここでいう順列事象は$N=2$のときに、 $$\omega_1=\img[-0.2em]{/images/up.png} \img[-0.2em]{/images/up.png}, \omega_2=\img[-0.2em]{/images/dn.png} \img[-0.2em]{/images/up.png}, \omega_3=\img[-0.2em]{/images/up.png} \img[-0.2em]{/images/dn.png}, \omega_4=\img[-0.2em]{/images/dn.png} \img[-0.2em]{/images/dn.png}$$

組み合わせ事象は、 $$e_0=\omega_1, e_1=\{\omega_2, \omega_3\}, e_2=\omega_4$$ のようなものです。

コインの裏表のように等確率であれば、順列事象を根元事象ととる根拠もありますが、故障の場合はそうではなく、むしろ組み合わせ事象での故障数について、時間的な関係が存在します。

図195.1に、確率空間$(\Omega, \sigma(\Omega), P)$を図示します。根元事象を$\omega_i$と置きなおして、標本空間は$N$個の部品の故障数により分けた集合$\Omega$とします。具体的に書くと、 $$\omega_0=\{\img[-0.2em]{/images/up.png},...,\img[-0.2em]{/images/up.png}\},...,\omega_N=\{\img[-0.2em]{/images/dn.png},...,\img[-0.2em]{/images/dn.png}\}$$

事象空間$\mathcal{F}$は標本空間から生成した$\sigma$代数です。$\mathcal{F}$の中には$\Omega$の$N$個の根元事象1個ずつから成る$N$個の集合も$\mathcal{F}$に含まれ、それぞれの確率$P(\omega_i)$が存在しますが、我々が知りたいのは事象の確率ではなく、確率過程なので、事象の確率は気にしません。

$N$個の部品が同時に故障する確率は$0$なので、必ず一つずつ故障することから、上記根元事象は状態事象とも考えられます。つまり初期状態は$\omega_0$であり、ある時間後に1個故障した時点で、状態は$\omega_1$に移ります。図の矢印は状態遷移を意味した矢印です。連続時間マルコフ遷移となります。これは状態遷移は、それまでの状態の経過によらず、今いる状態(=故障数)と時間のみに関係するためです。

一方こちらは重要で、標本空間$\Omega$からボレル集合$\mathbb{R}$への写像である確率変数$X$は、$\omega\in\Omega$の故障数という定義であり、図195.1のように写像を行います。ただし、確率$P$は標本空間からユークリッド空間$[0, 1]$への写像であり、測度$\mu$はボレル集合$\mathbb{R}$からユークリッド空間$[0, 1]$への写像ですが、故障の観点からはどちらにもあまり興味がありません。なぜなら、それらの確率は$t$の増大につれて、順番に$P(\omega_i)=0$のものが$P(\omega_i)=1$となっていくからです。

故障時刻を$t_i(i=0,1,2,...)$とすれば、$t_0=0$として、 $$ P(\omega_i)= \begin{cases} 1 & ( t_i\leq t\lt t_{i+1} ) \\ 0 & ( \text{otherwise} ) \end{cases} $$

むしろ興味のある確率としては不信頼度です。$N$が非常に大きい場合、全体を1とする測度、つまり確率測度としての不信頼度は、故障数をNで割ったものです。システムの状態としては、$t=0$において$\omega_0$、その後$\omega_1, \omega_2, ...$と順番に遷移するので、確率変数$X$で状態変数を写像した$X(\omega_i)$を$N$で割ったものが不信頼度$F_X(t)$となります。その意味は、部品が$N$個ある場合に、時刻$t$までにおいて不稼働になる確率を表します。 $$F_X(t)=\frac{X(\omega, t)}{N}, R_X(t)=1-F_X(t)$$ そして、前記事のように、不信頼度についての確率微分方程式が故障率$\lambda$をパラメータとする制約条件として存在します。

前のブログ 次のブログ