Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

DPF

posted by sakurai on June 24, 2016 #13

信頼度と故障率の関係式

DPF(Dual Point Failure; 2点故障)を説明する前に、時刻$t$から時刻$t+\Delta t$までの時間にエレメント$A$に関して起こる故障について、図13.1に示します。

fig13.1
図13.1 エレメントAに関して起こる故障

時刻$t$において、故障していない確率が$R_A(t)$であり、時刻$t+\Delta t$までの$\Delta t$時間における信頼度$R_A(t)$の減少分は、(2.6)から$\lambda_A R_A(t) \Delta t=f_A(t)\Delta t$となることから、

\[ R_A(t+\Delta t)=R_A(t)-\lambda_A R_A(t) \Delta t\tag{13.1} \]

DPFを考えるためにエレメント$A$とエレメント$B$の故障を考えます。エレメント$A$,$B$の故障は独立して起こるので、以下のようになります。

fig13.2
図13.2 エレメントA及びBに関して起こる故障

DPF

さて、次にエレメント$A$,$B$が有り、$A$が主機能の場合は$B$はそれに関する安全機構、$A$が安全機構の場合は$B$はそれに関する主機能であるとします。DPFの定義は

主機能または安全機構が故障してレイテント状態であるときに、それに関する安全機構または主機能の故障が起きること

であるため、「エレメントAが故障してレイテント状態であるときに、エレメントBの故障が起きること」を$A\Rightarrow B$で表し、「エレメントBが故障してレイテント状態であるときに、エレメントAの故障が起きること」を$B\Rightarrow A$で表すとき、以下の図13.3のように、どちらが先に故障するかによって、$A\Rightarrow B$または$B\Rightarrow A$の2つの場合となります。また、それらは排他であるため確率は和で表されます。

fig13.3
図13.3 片方がレイテント状態であるときに、他方の故障

左矢前のブログ 次のブログ右矢

故障分類 (2)

posted by sakurai on June 9, 2016 #12

SPF/RF

SPF(Single Point Failure; 一点故障)、RF(Residual Failure; 残余故障) はほぼ同義で、単一の故障により安全目標侵害する可能性のある故障です。前稿の故障分類チャートに拠ればSPFは安全機構が存在しない故障であり、また、RFは安全機構が存在するが診断カバレージ(DC)から漏れる部分の故障です。これをPart10 8.1.8「フォールトの分類及びフォールトクラス寄与度計算のフローチャート」でのDCの定義$K_{FMC,RF}$を用いれば、 \[ \lambda_{RF}=(1-K_{FMC,RF})\lambda_{M,PVSG}\tag{12.1} \]

となります。後で説明するように、SPF/RFを単純化記法でSPFまたはRFと記述することがあるのでご注意ください。(12.1)の場合はRFと表記していますが、SPF/RFの意味です。いうまでもなくRFの式(12.1)において、カバレージ$K_{FMC,RF}=0$の時はSMが存在しないのと同義であり、SPFを意味します。

さて、SPFに対するPMHFは(10.2)、(10.3)、及び(12.1)を用いれば、 $$ M_{PMHF,SPF}=\frac{1}{T_{lifetime}}F_{SPF}(T_{lifetime})\approx\lambda_{RF}\\ =(1-K_{FMC,RF})\lambda_{M,PVSG},~~\mbox{s.t.}~~\lambda_{RF}T_{lifetime}\ll 1\tag{12.2} $$

と求められます。

広義のSPFと教義のSPF

ここで、一般的に用語SPFの使用法には狭義(SPFとRFを分ける)と広義(RFを含む)の2種が有り、(12.2)左辺では広義の単一故障の意味で用いています(図12/1上段)。一方、SPF/RFという記法もあり、このほうが紛れがありませんが長くなるためあまり用いられません(図12.1中段)。また(12.2)右辺のように、単一故障をRFと表記する場合もあり、これは単一故障のほとんどがRFであるためです(図12.1下段)。式を読む場合には、字面にとらわれることなく、紛らわしい用語の使用法については意味を考えて読む必要があります。

式a91
図12.1 SPF及びRFの使い分け

左矢前のブログ 次のブログ右矢

故障分類

posted by sakurai on May 31, 2016 #11

故障分類フローチャート

前回説明したPMHFは「アイテムの車両寿命間の平均的な故障率」でしたが、この故障の中身を見ていきます。ISO26262では3重故障以上の故障については安全側故障としています。これはその確率が非常に小さいので省略可能なためです。SPFとDPFの事象は排他であるため、PMHFは(10.4)を用いてSPFのPMHFとDPFのPMHFの和となります(11.1)。ここでSPF(Single Point Failure; 1点故障)とDPF(Dual Point Failure; 2点故障)の定義を故障分類フローチャートに従って理解することが重要です。 $$ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF}=\frac{1}{T_{lifetime}}\lbrack Q_{SPF}(T_{lifetime})+Q_{DPF}(T_{lifetime})\rbrack\tag{11.1} $$

故障分類フローチャートはISO26262Part5にも掲載されていますが、より詳細なものがPart10に掲載されています。ただ、訳が適切でなかったり、概念的に混同しやすいため、弊社ではこれをリプリントした教材を作成して販売しています(図11.1)。

図11.1
図11.1 故障分類フローチャート

その特長は、

  • 訳をわかりやすく修正
  • 確率的フローチャートであること
  • あくまで1つめの故障分類であること
  • 主機能と安全機構の切り分けの明示

等です。故障分類フローチャートで分類された故障率のうち、特にレイテント故障率は以降で大変重要になってくるため、ぜひ理解しておいていただきたいと思います。

SMの種類

ここで、2つのSMの種類に便宜上名前をつけます。規格では特にSM(Safety Mechanism)としか書かれていませんが、SMには明確にその特性の違いがあり、これはPart5またはPart10の故障分類フローチャートで定義されています。

  • 1st SM ------- 主機能が安全目標を侵害するのを防止する安全機構(Part1 1.111備考2 a))
  • 2nd SM ------ 主機能又は安全機構の故障を検出し、レイテント状態を防止する安全機構(Part1 1.111備考2 b))

規格で明確な名前の区別が無いため、現場では「レイテント状態を防止するSM」等の長い説明を毎回しなければならないためとても不便を感じています。規格で名前を定義してあればよかったのですが。

レイテント状態

規格には特に定義は書かれていませんが、FSマイクロ株式会社では後の理解がしやすくなるため、レイテント(故障)状態を定義しています。

レイテント状態とは、エレメントA(主機能または安全機構)において、関連する1st SMにより安全目標の侵害が阻止されている状態でかつ2nd SMにより故障検出がされない状態を表します。上記故障分類チャートによれば、レイテント状態になるには以下の2つのルートが存在します。

  • 主機能が1st SMにより安全目標侵害から阻止されている場合
  • 安全機構が故障した場合

いずれのルートもオレンジの判定ボックスに到達し、そこで2nd SMにより故障検出の判定が行われます。故障のうち検出される部分はレイテント状態が解消されます。一方検出されない部分は(ドライバーにより認識されなければ)レイテント状態のままとなります。


左矢前のブログ 次のブログ右矢

PMHFの意味

posted by sakurai on May 25, 2016 #10

PMHFの定義

ISO 26262 Part 5には以下のように定義されています。

9.4.2 Evaluation of Probabilistic Metric for random Hardware Failures (PMHF)

  • Average probability per hour over the operational lifetime of the item (アイテムの運転寿命にわたる時間当たりの平均確率) [2, Part 5 9.4.2.1]
  • Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures (ランダムなハードウェア故障によるアイテムレベルでの各安全目標の違反の最大確率の定量的な目標値) [2, Part 5 9.4.2.2]

どちらをとっても舌足らずであり、これら2つをまとめた次のような定義がPMHFの定義にふさわしいものです。

ランダムなハードウェア故障によるアイテムレベルでの、各安全目標の違反のアイテムの運転寿命にわたる時間当たりの平均確率目標値

PMHFの規格式

(10.1)はISO 26262 Part10に掲載されている、「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」(※)場合のPMHF式です。

$$ M_\text{PMHF} = \lambda_\text{RF} + \frac 1 2 \lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$

  • $\lambda_\text{RF}$: SMによる残余(VSG抑止されない)の、IFフォールトの故障率
  • $\lambda_\text{M,MPF}$: SMによるVSG抑止された、IFフォールトの故障率
  • $\lambda_\text{SM,MPF,l}$: 2nd SMで検出できないSMフォールトの故障率
  • $\lambda_\text{SM,MPF,d}$: 2nd SMで検出できるSMフォールトの故障率
  • $T_\text{lifetime}$: 車両寿命
  • $\tau$: 2nd SMの検査周期

(注:IFはIntended functionality=主機能、VSGはViolation of a Safety Goal=安全目標違反、SMはSafety Mechanism=安全機構、1st SMはVSG抑止のためのSM、2nd SMはLF抑止のためのSM、LFはLatent Fault=潜在フォールトです。)

ご注意頂きたいのは、これはPMHFの定義式ではないことです。ISO 26262では、(書かれていない)数学的な定義を前提として導出されたPMHFの結果式(10.1)だけが提示されており、導出過程や前提の説明がほとんどありません。従って、このブログでPMHF式の導出について説明していきたいと思います。

※その前に、FSマイクロ株式会社では、(10.1)が「安全機構が故障して次に主機能が故障する場合」という規格の前提は誤りと考えます。(10.1)式の第1項の$\lambda_\text{RF}$は、主機能が故障して安全機構が安全目標侵害を防止した残余(つまり侵害を防止できない部分)の故障率なので、安全機構は動作していなければならないはずです。よって、(10.1)の式の条件は、正しくは「主機能のフォールトで故障(SPF/RFもしくはDPF)となる場合」です。明らかに、(10.1)右辺の第1項がSPF/RFによる効果、第2項がDPFによる効果です。

原文は「MPMHF, considering the conditional probability that a failure of the safety mechanism is followed by a failure of the mission block」ですので、原文から誤っています。一方訳文にも問題があり、数学用語である条件付き確率(conditional probability)を正しく訳さずに可能性という曖昧な翻訳になっています。

PMHFの弊社による数学的定義

前述のように、ISO26262規格にはPMHFの数学的定義は書かれておらず、(10.1)の結果式のみが掲載されています。そのため、まず弊社によるPMHFの定義を示します。

PMHFとは、ランダムハードウェア故障のメトリック(数値目標)で、正確に表現すれば「アイテムの車両寿命における不稼働率($\approx$故障確率)の時間平均」となります。単なる故障確率ではなく、修理も含めた不稼働確率です。数学的に書くと(10.2)のとおりです。 $$ M_\text{PMHF} :=\frac{1}{T_\text{lifetime}} \Pr\{\text{item down at } T_\text{lifetime}\} \tag{10.2} $$

PUA

ここで、時刻$t$におけるitemの不稼働率(Point Unavailability; PUA)である$Q_\text{item}(t)$を考えます。 $Q_\text{item}(t)$は以下の式で定義される、ある時刻$t$においてアイテムが稼働していない確率です。

$$ Q_\text{item}(t):=\Pr\{\text{item down at } t\} \tag{10.3} $$ 従って、(10.3)を(10.2)に用いれば、PMHFは $$ M_\text{PMHF} :=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime}) \tag{10.4} $$ と表されます。一方、稼働率(Point Availability)$A_\text{item}(t)$は、(10.5)に示すように、1からPUAである$Q_\text{item}(t)$を引いたものです。 $$ A_\text{item}(t):=1-Q_\text{item}(t)\tag{10.5} $$ 稼働率はまた、修理が可能なitemにおいて、

  • 時刻$t$までに一度も故障が起きない確率と、
  • 時刻$t$以前に故障が起きて修理された後、時刻$t$までに故障が起きない確率

の2つの部分に分けられます。これを数式で書けば、 $$ A_\text{item}(t)=\Pr\{\text{item up at } t\} \\ =\Pr\lbrace{\text{item not failed in }(0, t]\rbrace} + \displaystyle \sum_{i=1}^{n} \Pr\lbrace{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, t]\rbrace} \tag{10.6} $$ となります。(10.6)式の意味は、Point Availabilityは、Reliability(1度も故障しない確率)に加えて、各検査インターバルで故障検出を行い、検出された分については全て修理した上で、それが現在まで故障しない確率との和ということです。ここで注意すべき点は、検査は定期検査であることです。ISO 26262は定期検査・修理が前提となっています。

Point Availabilityに関してはQuality and Reliability of Technical Systemsの166ページに示されています。

図%%.1
図10.1 Point Availability

同著者の同内容が確認できます。この教科書では検査及び修理は分布関数により与えられるものとなっており、より一般的な議論となっています。

教科書等でよく現れるのは故障も修理もその確率過程が指数分布するパターンなのですが、ISO 26262は明白にかかれていないものの、故障確率過程は指数分布し、一方修理は定期検査・修理が前提です。この前提で安全目標侵害(VSG, violation of the safety goal)確率を考える必要があります。

PMHFの意味

ここで、(10.5)と(10.6)をPMHFの定義式(10.4)に代入すれば、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime})=\frac{1}{T_\text{lifetime}}\left[1-A_\text{item}(T_\text{lifetime})\right]\\ =\frac{1}{T_\text{lifetime}}\left[1-\Pr\{\text{item not failed in }(0, T_\text{lifetime}]\}\right]\\ -\frac{1}{T_\text{lifetime}}\displaystyle \sum_\text{i=1}^{n} \Pr\{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, T_\text{lifetime}]\}\\ =\frac{1}{T_\text{lifetime}}\Pr\{\text{item failed in }(0, T_\text{lifetime}]\}\\ -\frac{1}{T_\text{lifetime}}\displaystyle \sum_{i=1}^{n} \Pr\{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, T_\text{lifetime}]\} \tag{10.7} $$ (10.7)のうち、第2項である修理される部分を一旦無視すれば、$X_\text{item}$を無故障運転時間を表す確率変数(random variable)としたとき、CDF(Cumulative Distribution Function)である$F(t)$を用いて、 $$ M_\text{PMHF}\approx\frac{1}{T_\text{lifetime}}\Pr\{\text{item failed in }(0, T_\text{lifetime}]\}\\ =\frac{1}{T_\text{lifetime}}\Pr\{X_\text{item}\lt T_\text{lifetime}\}=\frac{1}{T_\text{lifetime}}F_\text{item}(T_\text{lifetime})\tag{10.8} $$ (10.8)に対して、不信頼度$F(t)$の近似式である(7.2)を用いて $$ F_\text{item}(t)=1-e^{-\lambda_\text{item}t}\approx \lambda_\text{item}t, ~~\mbox{s.t.}~~ \lambda_\text{item}t \ll 1 \tag{10.9} $$ を適用すれば、次の(10.10)が得られます。 $$ M_\text{PMHF}\approx\lambda_\text{item},~~\mbox{s.t.}~~\lambda_\text{item}T_\text{lifetime}\ll 1\tag{10.10} $$ これにより、PMHFは$\lambda_\text{item}T_\text{lifetime} \ll 1$の場合に「アイテムの車両寿命間の平均的な故障率」とみなすことができます。

ここで、先に無視した修理分を含めれば、その故障率は(10.7)の第2項の修理分だけ下がるため、それを合わせればPMHFは(10.4)のように「アイテムの車両寿命間の平均的な不稼働率」と一般化されます。

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
http://fs-micro.com/blogSummary/#/blogSummary/tab/PMHF+derivation.html


左矢前のブログ 次のブログ右矢

アイテムの故障率 (2)

posted by sakurai on May 16, 2016 #9

並列アイテム

図2
図9.1 並列アイテムのRBD

並列アイテムとは、上図のように、RBDを書いたときにアイテムを構成するエレメントが並列になっている場合のアイテムです。この場合(1 out of n)は冗長性を持っており、全てのエレメントが故障しなければ、アイテムは故障しません。

このように、信頼度から考えると冗長が良いに決まっているのですが、2冗長でもコストが倍増することになります。従って、いかに冗長のコストを抑えるかが、良い設計の鍵となります。

この場合並列アイテムの信頼度は各エレメントの信頼度の和、と単純にはなりません。その理由は、各事象の確率の和が和事象の確率になるのは、各事象が排他の場合のみであることです。一般に各事象は独立であっても排他ではありません。

例えばエレメント1とエレメント2が99%の信頼度だとすれば、信頼度を加え合わせると0.99+0.99=1.98の確率というわけのわからない数字となります。言うまでもなく、確率は0から1の間の値の値を取るはずです。これはエレメント1とエレメント2が共に動作している確率のダブルカウントが原因なので、先の確率の和である1.98から同時に動作している確率0.99*0.99を引くと並列アイテムの信頼性が求められ、1.98-0.99*0.99=0.9999、99.99%となります。

これを一般化し、並列アイテムの信頼度は包除原理から、 \[ R_{item}(t)=\coprod_{i=1}^n R_i(t)=\sum_{i=1}^n R_i(t)-\sum_{i\lt j}^n R_i(t)\cdot R_j(t)+\cdots+(-1)^{n-1}\prod_{i=1}^n R_i(t)\tag{9.1} \]

のように複雑な式となるため、アイテムの不信頼度を考えたほうが楽です。すると、並列アイテムの不信頼度は全てのエレメントの不信頼度の積となるため、

並列アイテムの不信頼度の式: \[ F_{item}(t)=F_1(t)\cdot F_2(t)\cdot\cdots\cdot F_n(t)=\prod_{i=1}^n F_i(t)\tag{9.2} \]

であり、これはFTAの計算時に使用するため重要な式となります。

以降では教科書的に信頼性を求めることにし、(9.2)を信頼度で表わせば、 \[ F_{item}(t)=1-R_{item}(t)=\prod_{i=1}^n[1-R_i(t)]\tag{9.3} \]

従って並列アイテムの信頼度は各エレメントの故障率で表すことができ、 \[ R_{item}(t)=1-\prod_{i=1}^n[1-R_i(t)]=1-\prod_{i=1}^n(1-e^{-\lambda t})\tag{9.4} \]

となります。


左矢前のブログ 次のブログ右矢

アイテムの故障率

posted by sakurai on May 9, 2016 #8

直列アイテム

図1
図8.1 直列アイテムのRBD

直列アイテムとは、上図のように、RBD(信頼性ブロック図)を書いたときにアイテムを構成するエレメントが直列になっている場合のアイテムです。この場合は冗長性を持たないため、どのひとつのエレメントが故障しても、それによりアイテムが故障すると考えます。この場合のアイテムの信頼度は各エレメントの信頼度の積となります。 \[ R_{item}(t)=R_1(t)\cdot R_2(t)\cdot\cdots\cdot R_n(t)=\prod_{i=1}^n R_i(t)\tag{8.1} \]

ここで、信頼度を故障率で表す(4.2)を用いれば、(8.2)となります。 \[ R_{item}(t)=e^{-\lambda_{item}t}=e^{-\lambda_1 t}\cdot e^{-\lambda_2 t}\cdot\cdots\cdot e^{-\lambda_n t} =e^{\sum_{i=1}^n-\lambda_i t}\tag{8.2} \]

従って、アイテムの故障率は(8.3)のように各エレメントの故障率の和で求められます。 \[ \therefore\lambda_{item}=\sum_{i=1}^n \lambda_i\tag{8.3} \]

教科書には何故か信頼度の式しか出てこないようですが、後でFTAの計算を行うときに不信頼度が重要となるため、ここで掲載しておきます。(8.1)に(2.5)を代入して、以下の(8.4)が得られます。

直列アイテムの不信頼度の式: \[ F_{item}(t)=1-\prod_{i=1}^n[1-F_i(t)]\tag{8.4} \]


左矢前のブログ 次のブログ右矢

故障率 (7)

posted by sakurai on April 27, 2016 #7

不信頼度$F(t)$の近似式の誤差

故障率(5)において、故障率が定数$\lambda$である場合、信頼度$R(t)$と不信頼度$F(t)$は簡単化され、それぞれ以下の式により表されることを示しました。 \[ R(t)=e^{-\lambda t} \tag{5.2} \] \[ F(t)=1-R(t)=1-e^{-\lambda t} \tag{5.3} \]

ここで、指数関数をマクローリン展開を用いて近似式を導出してみます。不信頼度$F(t)$のマクローリン展開は \[ F(t)=1-e^{-\lambda t}=\lambda t-\frac{\lambda^2 t^2}{2}+\cdots \tag{7.1} \]

ですが、ここで、$\lambda t\ll1$という条件では2次以下の項が省略可能なほど小さいため、式(7.1)は、 \[ F(t)=1-e^{-\lambda t}\approx\lambda t,~\mbox{s.t.}~\lambda t\ll1 \tag{7.2} \]

となります。実際に故障率の違いによって、不信頼度$F(t)$が正確な値と近似式でどのくらいの誤差になるかを見てみましょう。以降は車両寿命$T_{lifetime}$は一定で100,000時間(=$10^5$時間)とします。

まず、ASIL-Dの目標値である故障率$\lambda$=10FITとします。10FITは$10^{-8}$[1/H]です。$\lambda T_{lifetime}$は$10^{-8}*10^{5}=10^{-3}$であり、車両寿命付近の誤差は0.050%とかなり良く一致しています(図7.1)。

図10
図7.1

次に、ASIL-B/Cの目標値である故障率$\lambda$=100FITとします。100FITは$10^{-7}$[1/H]です。$\lambda T_{lifetime}$は$10^{-7}*10^{5}=10^{-2}$であり、車両寿命付近の誤差は0.498%と良く一致しています(図7.2)。

図11
図7.2

次に、故障率$\lambda$=1,000FITとします。1,000FITは$10^{-6}$[1/H]です。$\lambda T_{lifetime}$は$10^{-6}*10^{5}=0.1$であり、このあたりでは$\lambda T_{lifetime}\ll 1$とは言えなくなってくるため、誤差がだいぶ目立ってくるようになります。車両寿命付近の誤差は4.838%と無視できなくなっています(図7.3)。

図7
図7.3

次に、故障率$\lambda$=10,000FITとします。10,000FITは$10^{-5}$[1/H]です。$\lambda T_{lifetime}$は$10^{-5}* 10^{5}=1$であり、$\lambda T_{lifetime}\approx 1$であるため、$t$が小さい時点以外は近似式は使用できません(図7.4)。

図8
図7.4

最後に、故障率$\lambda$=100,000FITとします。100,000FITは$10^{-4}$[1/H]となり、よほど$t$が小さい時点以外は近似式は使用できません(図7.5)。

図9
図7.5

それでは故障率がどれくらいの時に誤差が5%に収まるでしょうか?前述のように1,000FITの場合は車両寿命まで誤差が5%未満だったので、上の10,000FIT及び100,000FITの場合を調べたのが図7.6です。横軸は誤差を表し、縦軸は時間$t$を表します。

図12
図7.6

これでみると大体$\lambda t$が0.1未満のときに、車両寿命における近似値の誤差が5%未満となると思っておけばよさそうです。この誤差のことを本稿では「Exponentialの一次近似誤差」と呼ぶことにします。

エレメント単体の故障率については大方説明してきました。次回からはシステム(アイテム)の故障率の計算方法についてとなります。


左矢前のブログ 次のブログ右矢

故障率 (6)

posted by sakurai on April 13, 2016 #6

和文は英文の後に続きます。

(English text comes here.)


平均故障率と瞬間故障率

故障率(1)において、Excel表によって良品数$v(t)$のグラフを作成する方法をご紹介しました。(1.2)は、現在の良品数に一定の率(=故障率)をかけたものが故障数で、それを現在の良品数から引いた数により、次の時間の良品数を表す、という意味でした。 \[ v(t+1)-v(t)=-\hat{\lambda}(t)\cdot v(t) \tag{1.2} \] 故障率(2)で示した以下の(2.4)により、信頼度$R(t)$も同様な形となります。 \[ R(t+1)-R(t)=-\hat{\lambda}(t)\cdot R(t) \tag{2.4} \]

一方、故障率(5)において、故障率を一定とした場合に信頼度$R(t)$の式は、(5.2)となることを示しました。 \[ R(t)=e^{-\lambda t} \tag{5.2} \]

ここで、(2.4)によるグラフと、(5.2)のグラフが同じになるかを調べようと思います。前者が平均故障率$\hat{\lambda}$で後者が瞬間故障率$\lambda$のグラフです。

グラフ3
図6.1 平均故障率($\hat{\lambda}=10\%$)と瞬間故障率($\lambda=10\%$)のグラフ

図6.1において、青が平均故障率$\hat{\lambda}=10\%$による信頼度、赤が瞬間故障率$\lambda=10\%$による信頼度です。2つのグラフはこのように、時間が進むにつれ次第に食い違いを見せます。同じ10%の故障率なのに、前者は一時間後に0.9になりますが、後者は0.90484となり、差が開いていきます。

この理由は文字どおり、前者が平均故障率で後者が瞬間故障率だからの違いによるものですが、逆に、一致するのはどういう値のときでしょうか?

図6.2は、両グラフが一致するときの信頼度のグラフで、平均故障率$\hat{\lambda}=10\%$に対して瞬間故障率は$\lambda=10.536\%$となっています。

グラフ4
図6.2 平均故障率($\hat{\lambda}=10\%$)と瞬間故障率($\lambda=10.536\%$)のグラフ

実は、現在値に比例して減少するのは収入とそれに対する支出も同じなのではないでしょうか。もちろん、収入が減っても食費のように減らせないものもあるかもしれませんが、それでも高い外食をしなくなったり、収入に応じた生活をするようになると思います。

一時間の平均故障率のグラフ(青)と、瞬間故障率のグラフ(赤)を定性的に比較すると、赤のグラフのほうは、月々の貯金残高で、次の月の支出を抑える生活なのに比べて、青のグラフのほうは、一年に一度しか貯金残高を確認せずに、年初の貯金で年末まで使ってしまう生活を表しているとも見えます。当然、見直す頻度が高いほうが浪費が少ないわけで、それが青と赤のグラフの差に反映されているのではないでしょうか。

グラフ5
図6.3 平均故障率と瞬間故障率の拡大図

お金の話が出てきましたが、実は、故障率の符号を反転すると、時間が経つほど現在価値に比例してお金が増えていく、つまりは複利の概念と同一だということがわかります。複利だと預けておけば勝手にお金が増えますが、故障率はマイナス符号が付いているので、時間が経つと減っていきます。幸いなのは減ってくると減る絶対値も減少してくることです。


左矢前のブログ 次のブログ右矢

故障率 (5)

posted by sakurai on April 5, 2016 #5

和文は英文の後に続きます。

(English text comes here.)


故障率は定数

故障率は一般には定数として扱うことが多いです。その理由は以下のグラフのように、初期故障は製造試験により取り除かれ、一方摩耗故障については運用時間を限ることで、故障率が一定とみなせるためです。

図5.1
図1.1 バスタブカーブ

このグラフは浴槽の断面のような形をしていることからバスタブカーブと呼ばれます。

このように故障率$\lambda(t)$を一定値として扱うことが可能である場合、故障率$\lambda(t)$に関する積分は(5.1)のように簡単化されます。$\lambda(t)=\lambda (\text{const.})$より、

$$ -\int\lambda(t)dt=-\int\lambda dt=-\lambda t+C \tag{5.1} $$ よって、 $$ R(t)=e^{-\lambda t-C} \tag{5.2} $$ 一方、$R(0)=1$より、$C=0$であるためこれらを用いて、信頼度$R(t)$を表す(2.11)と不信頼度$F(t)$を表す(2.12)はそれぞれ、(5.3)及び(5.4)のように表せます。 $$ R(t)=e^{-\lambda t} \tag{5.3} $$ $$ F(t)=1-R(t)=1-e^{-\lambda t} \tag{5.4} $$

さらに故障密度関数(PDF)である$f(t)$の定義式(4.1)は、(4.4)を用いて(5.5)のように表せます。

$$ f(t)=R(t)\lambda(t)=\lambda e^{-\lambda t} \tag{5.5} $$

故障率が定数である分布は指数分布と呼ばれます。信頼性工学では他にもワイブル分布などがありますが、上記バスタブカーブの底の部分に限って議論すれば十分$\dagger$であるため、ISO26262では指数分布のみを対象とします。

$\dagger$初期故障の大部分はバーンイン等の初期不良除去プロセスで取り除くことができ、また、摩耗故障は設計寿命を車両寿命より長くすれば取り除くことができるため。


左矢前のブログ 次のブログ右矢

故障率 (4)

posted by sakurai on March 31, 2016 #4

和文は英文の後に続きます。

(English text comes here.)


CDFとPDFの関係

故障確率関数(Cumulative Distribution Function, CDF)$F(t)$が$t$で微分可能であるとき、故障密度関数(Probability Density Function, PDF)である$f(t)$は$F(t)$の導関数として(4.1)で定義されます。

故障密度関数の定義式: $$ f(t):=\frac{dF(t)}{dt} \tag{4.1} $$

従って、故障確率関数$F(t)$は故障密度関数$f(t)$を0からtまで積分して(4.2)のように表されます。 \[ \int_0^t f(x)dx=\Pr\{0\lt X_{item}\leq t\}=F(t)-F(0)=F(t) \tag{4.2} \]

故障率$\lambda(t)$と故障密度関数$f(t)$の関係を求めます。(2.5)の両辺を$t$で微分すれば、(4.3)となります。 \[ \frac{dF(t)}{dt}=-\frac{dR(t)}{dt} \tag{4.3} \]

(2.8)に対して、(4.3)及び(4.1)を代入すれば、故障率$\lambda(t)$と故障密度関数$f(t)$の関係が(4.4)のように求められます。 \[ \lambda(t)=\frac{f(t)}{R(t)} \tag{4.4} \]


左矢前のブログ 次のブログ右矢


ページ: