冗長構成とは以下のように定義されます。

• 冗長構成 --- 機能的に対称な冗長。1oo2の冗長であり、2つのチャネルから成り、主系も従系もどちらも主機能を果たす一方、他方が故障した場合にVSGを抑止するSMの機能を果たす。

この冗長構成サブシステムにPMHFの値は2つあるのでしょうか?

具体例でみてみましょう。図のヘッドライト回路において、マイコンとトランジスタスイッチの両方からヘッドライトを点灯する機能があるとします。両者ともコンビネーションスイッチ情報を読み込み、点灯するものとします。さて、この場合、どちらが主機能でどちらが安全機構でしょうか？

図70.1 非対称冗長システム例

この場合は冗長構成であるため、両方とも主機能となります。両方ともヘッドライト点灯という主目的をはたしているからです。一方で両方とも安全機構です。他方がフォールトしたときに、ライト消灯という、システムとしての機能喪失を抑止するためです。

具体的に数値を入れて見てみます。故障率をそれぞれ、スイッチ入力回路は1FIT、マイコンは100FIT、ドライバ出力回路は1FITとします。仮にマイコン側のチャネルを主機能、反対側をSMとし、主機能とSMの互いのSG侵害防止率を99%とすれば、PMHF第1式は、 $$ M_\mathrm{PMHF}=1.025FIT $$ となります。一方、どちらを主機能と見ても良いので、逆にすれば、 $$ M_\mathrm{PMHF}=0.015FIT $$ となります。このようにPMHFの値は2つあることになります。

しかしながら、設計意図の違いでアイテムのダウン確率が変わるはずがないため、これは明らかに誤りと分かります。論文で指摘したとおり、規格式が冗長に対応しておらず、MとSMに関して対称でないためです。

2nd Editionでは、MとSMに関して対称となっているので、本問題が解決されているように見えますが、既述のとおりある問題が残っています。

---

前のブログ 次のブログ

デュアルポイントフェイリャ

次にDPFについて、弊社が考える式とどこが相違しているかを見ていきます。

まず、SMがVSGとならない場合のパターン1式は特定条件(※1)でのみ合っています。この条件は1st Edition規格第1式とも同じです。次にパターン2は特定条件(※1)において前述のように2倍だけ異なっています。この2倍の理由は不明です。追記：4年後に判明したのでこの記事に記載しました。
※1 $K_{IF,lat}=0\cap K_{SM1,det}=1$の場合。これを言い換えると、IFはVSGの可能性があるが修理不可能、かつ、SM1はVSGの可能性無しで修理可能。

さらにパターン3、4式は特定条件(※2)でのみ合っています。単にパターン1, 2をひっくり返した(IFとSM1を入れ替えた)式のように見えます。
※2 $K_{SM1,lat}=0\cap K_{IF,det}=1$の場合。これを言い換えると、SM1はVSGの可能性があるが修理不可能、かつ、IFはVSGの可能性無しで修理可能。

これは以下の条件からくるものと推測します。以下は2nd Edition Part10 8.3.2.3 Table 2の引用です。

表69.1

	First fault:SM1⇒Second fault:IF	First fault:IF⇒Second fault:SM1
Cannot notify the driver	Pattern 1	Pattern 3
Can notify the driver	Pattern 2	Pattern 4

つまり、Pattern1及び2はIFフォールトによるVSGであり、SM1は修理系、IFは非修理系を仮定しています。 一方、Pattern3及び4はSM1フォールトによるVSGであり、Pattern1及び2のIF/SM1を入れ替えたものとなっているところから推測すればIFは修理系、SM1は非修理系を仮定しています。

いずれも最初のフォールトが起きるエレメントは、upしたりdownしたりを繰り返しても良いのですが(=修理可能という意味)、2番目にフォールトが起きるエレメントは、(最初のフォールトがリペアされた場合)downしたりupしたりするはずが、2番目にdownすることしか許されていません。これは非修理系を意味します。つまり後からフォールトするエレメントの制約が強すぎます。このことは言葉の定義だけで理解されるものではなく、その仮定から導出された1st Editionの式の意味まで考えて初めて理解されることです。

いずれにしろ、この前提はIFもSM1も$t=0$において修理系という一般的なサブシステムに対して、修理不可能という制約をかけすぎているため、PMHFの過大評価につながります。

弊社が考えるPMHFの一般式

IFとSM1が$t=0$において修理系という条件で、マルコフ状態遷移図を書き、確率微分方程式を立て、積分して平均PUDを算出した式において、Edition 1の方法で上界を求めた式は、 $$ M_{PMHF}=\lambda_{IF,RF}+\img[-1.35em]{/images/withinseminar.png}\tag{69.1} $$ となります。

規格の式(図68.1)は、実際よりも過剰な※1または※2のみで成立する式です。

---

前のブログ 次のブログ

ISO 26262 2nd Edition

今年春発行と予定されていた2nd EditionはFDISの状況となっていますが、正式発行が遅れているようです。FDISは最終的な規格から語句のレベルしか修正されないとのことで、FDISで検討すればほぼ問題無いと考えられます。

さて、PMHFの部分はだいぶ変更されています。公式が変わっただけでなく、SMが安全目標侵害するケースまで想定されています。元々弊社では一般的なサブシステムを検討対象とした論文も投稿しており、両方のエレメントが安全目標侵害する場合を対象としていましたので、好都合です。

図68.1のパターン1と2はいずれもSM1が先にフォールトし、次にIF(Intended Function)がフォールトするケースです。そのうち、パターン1はフォールトが検出されない場合、パターン2はフォールトが検出される場合です。一方、パターン3と4はいずれもその逆順にフォールトするケースです。そのうちパターン3はフォールトが検出されない場合、パターン4はフォールトが検出される場合です。

図68.1 2nd Edition, Part10-8.3.2.4 PMHF規格 第1式

実はパターン1と2あるいは3と4は特に分ける必要はありません。弊社の式に従えば不稼働率の関数$Q(t)$(59.8)で自然に表されるからです。一方、パターン1と3、2と4はフォールト順序なので、マルコフ状態遷移図に基づく検討が必要です。

重要 1st Editionでは主機能が非修理系であるという前提のもとに、ケース分類で確率を求めています。ところが、2nd Editionも同じ非修理系前提で、ケース分類でPMHF式を求めています。本来対称的に扱うのであれば、両方とも修理系にすべきです。そうすると、主機能であってもVSGとならないフォールト(MPフォールト)を起した後、2nd SMにより検出される部分は修理されることになります。すると、本ケース分けには当てはまらなくなります。例えば、主機能がMPフォールトし、2nd SMにより検出され修理される。次にSM1がMPフォールトし、検出され修理される。これが繰り返されることは十分あり得ますが、規格のケース分類だとこの場合は、Pattern3+Parttern4に相当します。これはマルコフ状態遷移図を書いて初めて理解されることなので、ISO 26262のPMHF理解のためにはマルコフ状態遷移図は必須です。

シングルポイントフェイリャ

ここで、$\lambda_{SPF}, \lambda_{RF}$は定義が書かれていませんので、IFによるものか、SM1によるものも含むのかが定かではありません。しかしながら、

図68.2 2nd Edition, Part10-8.3.2.4 PMHF規格説明

このように、SM1のPVSG、つまりSM1の安全目標侵害の可能性があると、ECCの例まで挙げて書かれているので、おそらく$\lambda_{RF}$は以下のようになると考えられます。これは、サブシステムを構成する2つのエレメントがどちらも主機能かつSMとなるような一般モデルで考えます。具体的には冗長サブシステムの場合が相当します。 $$ \lambda_{RF}=\lambda_{IF,RF}+\lambda_{SM1,RF}=(1-K_{FMC,SM1,RF})\cdot \lambda_{IF}+(1-K_{FMC,SM2,RF})\cdot \lambda_{SM1}\tag{68.1} $$

---

前のブログ 次のブログ

upやdownを数式で書いてみます。

ランダムプロセス$\eta_s$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\lbrace s:\eta_{s}\in\mathcal{P}\rbrace$と示すことができます。 non-repairable elementの故障率$\lambda(t)$は、 $$\lambda(t)=\lim_{dt\to 0}\frac{\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace}{dt}\tag{67.1}$$ より形式的に瞬間故障確率(故障率$\times dt$)が求められ、 $$\lambda(t)dt=\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\frac{\Pr\lbrace t\lt X\le t+dt\rbrace}{\Pr\lbrace t\lt X\rbrace}=\frac{f(t)}{R(t)}dt\tag{67.2}$$

repairable elementのダウン$\varphi(t)$率は、Christiane Cocozza-Thivent他の論文"The Failure Rate in Reliability. Numerical Treatment"の(1.2)式によれば、

$$\varphi(t)=\lambda_V(t)=\lim_{dt\to 0}\frac{\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace}{dt}\tag{67.3}$$ より形式的に瞬間ダウン確率(ダウン率$\times dt$)が求められ、条件付き確率の公式より、 $$\varphi(t)dt=\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace=\frac{\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace}{\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace}=\frac{q(t)}{A(t)}dt\tag{67.4}$$ となります。さらに前記論文が引用している同著者の論文"The failure rate in reliability: approximations and bounds"の(3.17)式の証明に、

$$\varphi(t)=\lambda_V(t)=\frac{1}{\Pr\lbrace \eta_{t}\in\mathcal{M}\rbrace}\lim_{dt\to 0}\frac{1}{dt}\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.5}$$ とあります。(67.4)と(67.5)を比較すれば、 $$q(t)dt=\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace=\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.6}$$

が得られます。

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_\text{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

信頼度(Reliability)

$$ R_\text{item}(t):=\Pr\lbrace\text{item not failed in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_\text{item}\rbrace \tag{66.1} $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

不信頼度(Unreliability, Cumulative Distribution Function, CDF)

$$ F_\text{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_\text{item}\le t\rbrace \tag{66.2} $$ 非修理系システムで、時刻$t$までに故障する確率。

非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

故障密度(Probability Density, Probability Density Function, PDF)

$$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.3} $$ 又は、微小故障確率形式として、 $$ f_\text{item}(t)dt=\Pr\{\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\}\\ =\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace\\ =\Pr\{X_\text{item}\in dt\} \tag{66.4} $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_\text{item}\rbrace+\Pr\lbrace X_{item}\le t+dt\rbrace - \Pr\lbrace t\le X_\text{item} \cup X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.5} $$

(瞬間)故障率(Failure Rate)

$$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace}{dt}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.6} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_\text{item}(t)$の式を用いて $$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_\text{item}\le t+dt \cap t \le X_\text{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_\text{item}\rbrace}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.7} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace\\ =\Pr\{t\lt X_\text{item}\le t+dt\ |\ t\le X_\text{item}\}\\ =\Pr\{X_\text{item}\in dt\ |\ t\le X_\text{item}\} \tag{66.8} $$

稼働度((Point) Availavility)

$$ A_\text{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace \tag{66.9} $$ 修理系システムで、時刻$t$で稼働している確率。

不稼働度((Pont) Unavailavility, PUA)

$$ Q_\text{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=1-A_\text{item}(t) \tag{66.10} $$ 修理系システムで、時刻$t$で不稼働な確率。

不稼働密度((Point) Unavailability Density, PUD)

$$ q_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_\text{item}(t)}{dt} \tag{66.11} $$ 又は、微小不稼働確率形式として、 $$ q_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace \tag{66.12} $$ 時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度), ROCOF(Rate of OCcurrence Of Failure)とも呼ばれる。

一方、PUDは修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

平均不稼働密度(Average PUD)

PUDの車両寿命間$T_\text{lifetime}$の平均値を求めると、平均不稼働密度(Average PUD)は、積分の平均値の定理より、 $$ \overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime}) \tag{66.13} $$ AROCOFも同様な定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

PFH(Probability of Failure per Hour)

注意：Probability of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。

$$ PFH:=\overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime})\\ =\frac{1}{T_\text{lifetime}}\Pr\lbrace\mathrm{item\ down\ at\ }T_\text{lifetime}\rbrace, \text{ただし}T_\text{lifetimeは車両寿命} \tag{66.14} $$ PMHFも同様の定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

Vesely故障率(Vesely Failure Rate)

修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。conditional failure intensity (条件付き故障強度)とも呼ばれる。

$$ \lambda_\text{v,item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{q_\text{item}(t)}{A_\text{item}(t)} \tag{66.15} $$

---

以下はISO/TR 12489にはない確率関数です。

修理度(Repairability)

修理系システムで、時刻$t$において不稼働度が修理されるその割合。修理時間は無視できるものとする。 $$ M(t):=\Pr\lbrace\text{repaired at }t\ |\ \text{failed at }t\rbrace\tag{66.16} $$

---

前のブログ 次のブログ

安全機構フォールトによるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMのフォールトがSMにより抑止されているものの、SMフォールトが引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式 のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前稿で求めたのが、最初のフォールトはどうあれ、主機能MのフォールトによるVSG確率でした(表63.1のCase 1及びCase 4)。従って、「故障の順番が無関係」とは、両方(全て)の条件の場合を意味し、次に必要なのはSMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトはDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのLAT1→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$ q_{SM,DPF}(t)dt=\Pr\{\text{LAT1 at }t\cap\text{SM down in }(t, t+dt]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{65.1} $$ と求められ、平均PUDを計算すれば、 $$\overline{\varphi_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて定期検査時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲) と正確に一致します。

---

前のブログ 次のブログ

次に、定期検査時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式 と正確に一致します。

---

前のブログ 次のブログ

主機能フォールトによるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能フォールトに関するPMHFこと時間平均PUDを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\varphi_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMのフォールトの後に主機能がフォールトする場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMがフォールトしている場合は主機能フォールト抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前稿までに見たように、OPR→SPF(安全機構のフォールトが無い状態で主機能フォールトの場合)及びLAT2→DPF(規格の条件どおり、安全機構に続く主機能のフォールトの場合)の2条件の和となります。つまり規格第1式は、安全機構のフォールトの有無を問わない、主機能フォールトによるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMのフォールトの後に主機能がフォールトする場合」はCase 4のみを意味していますが、実際には数式は、主機能フォールトによるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ

主機能M及び安全機構SMのペアについて、マルコフ状態遷移図を書いていきます。 まず、Mはアンリペアラブルであることを前提とし、SMはリペアラブルであることを前提とします。 しかし、MがフォールトしてもSMがそれをVSG(安全目標侵害)抑止している場合には、次のSMのフォールトは直ちにSG侵害となるため、一旦Mがフォールトとなった時点でSMはアンリペアラブルとなります。

まず、時刻$t$において、$\lbrace \mathrm{OPR:\ M\ up\ at\ }t\cap \mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{SPF:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ not\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT1:\ M\ down\ at\ }t\cap\mathrm{VSG\ of\ M\ preventable}\cap\mathrm{SM\ up\ at\ }t\rbrace$, $\lbrace \mathrm{LAT2:\ M\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$, $\lbrace \mathrm{DPF:\ M\ down\ at\ }t\cap\mathrm{SM\ down\ at\ }t\rbrace$,の5状態があり、$t$から$t+dt$までの微小時間$dt$の間に遷移する微小確率PUDを求めます。

図のほうがわかりやすいので、以下にマルコフ状態遷移図を示します。

図62.1 M/SMモデルのマルコフ状態遷移図

マルコフ状態遷移図でのOPR→SPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,SPF}(t)dt=\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{M\ up\ at\ }t\cap\text{SM up at }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\cap\mathrm{VSG\ of\ M\ not\ preventable}\} \\ =\Pr\{\mathrm{VSG\ of\ M\ not\ preventable}\}\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\Pr\{\text{SM up at }t\}\\ =(1-K_{M,FMC,RF})A_{SM}(t)R_{M}(t)\lambda_{M}dt=(1-K_{M,FMC,RF})A_{SM}(t)f_{M}(t)dt\tag{62.1} $$

マルコフ状態遷移図でのLAT2→DPF

図より微小不稼働確率をPUDで表すと、 $$ q_{M,DPF}(t)dt=\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\cap\mathrm{M\ up\ at\ }t\cap\mathrm{M\ down\ in\ }(t, t+dt]\}\\ =\Pr\{\mathrm{SM\ down\ at\ }t\rbrace\Pr\{\mathrm{M\ fails\ in}(t, t+dt]\ |\ \mathrm{M\ up\ at\ }t\}\Pr\{\mathrm{M\ up\ at\ }t\}\\ =Q_{SM}(t)R_{M}(t)\lambda_{M}dt=Q_{SM}(t)f_{M}(t)dt\tag{62.2} $$

主機能フォールトによるVSG

以上から(62.1)と(62.2)を加えれば、MによりSPFもしくはDPFとなる場合の微小遷移確率が求められ、 $$ q_{M}(t)dt=q_{M,SPF}(t)dt+q_{M,DPF}(t)dt=\left[1-K_{M,FMC,RF}A_{SM}(t)\right]f_{M}(t)dt\\ =\img[-1.35em]{/images/withinseminar.png} ただしu\equiv t\bmod\tau_{SM}\tag{62.3}$$ となります。

---

前のブログ 次のブログ

PUD(Point Unavailablity Density)の定義からご紹介します。とはいえ、これは弊社の造語であり本ブログと論文だけで通用するものです。このPUDは不稼働密度とでも訳すべきものであり、以下に定義を示します。

PUD:

PUD、すなわち不稼働密度$q_{item}(t)$は、前々回ご紹介したポイントアンナベイラビリティ(PUA)の時間微分で、以下の微小不稼働確率を$dt$で割ったものです。$q_{item}(t)$の式にすると$\lim_{dt \to 0}$が出てくるため、形式的に両辺に$dt$をかけ微小不稼働確率としています。 $$q_{item}(t)dt\equiv(\frac{dQ_{item}(t)}{dt})dt=\img[-1.35em]{/images/withinseminar.png}\tag{61.1}$$

PMHFは、修理系アイテムの車両寿命間のダウン確率の時間平均であることから、ここで示すアイテムの平均PUDと考えられます。このことは規格Part5には以下のように書かれています。

図61.1 Part5でのPMHFの意味

「アイテムの作動寿命間の毎時平均確率」とは舌足らずであり、何の確率かが書かれていません。その前に「ランダムハードウェア故障」とあるため文脈から故障確率であると読み取れますが、修理系の場合は厳密には故障確率ではなく、故障したものが修理される事象を含めたダウン確率です。

従って、PMHFを求めるにはまず微小不稼働確率に着目して確率微分方程式を立て、それを0から車両寿命$T_{lifetime}$まで積分し、$T_{lifetime}$で割って平均PUDを算出する流れで求めます。

---

前のブログ 次のブログ