アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

The new version of the standard expands the PMHF concept by further promoting a new metric “average probability of failure per hour over the operational lifetime of the item”, which has not been commonly used by the reliability engineering community.

本規格の新バージョンでは、これまで信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という新しい指標をさらに推進することで、PMHFの概念を拡張しています。

既に2つ問題があります。まず1つ目は、新バージョンになってPMHFが進化した、拡張されたと書かれていますが、PMHFの文字上の定義は初版と第２版の間では変わっていません。規格を見てみましょう。

ISO 26262:2011(初版) Part5

• 9.4.2.1 "Quantitative target values for the maximum probability of the violation of each safety goal due to random hardware failures"
• 9.4.2.2 "Quantitative target values of requirement 9.4.2.1 shall be expressed in terms of average probability per hour over the operational lifetime of the item"

ISO 26262:2018(第2版) Part5

• 9.4.2.1 "Quantitative target values of requirements 9.4.2.2 or 9.4.2.3 shall be expressed in terms of average probability per hour over the operational lifetime of the item"
• 9.4.2.2 "Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures"

初版と第2版で定義の順番が変わっていたり、"at item level"と微小な追加があったりしますが、基本的には同じことを言っています。日本語に訳せば、「アイテムの稼働期間中の1時間あたりの平均確率で表した、ランダムハードウェア故障によるアイテムレベルでの各安全目標違反の最大確率の定量的目標値」となります。

もう一つの問題は、信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という部分で、これは既にISO 12489の3.1.23に書かれているPFHが相当します。ISO 12489の原文を読めば3.1.23の平均故障頻度(average failure frequency)の項に、

The average failure frequency is also called “Probability of Failure per Hour” (PFH) by the standards related to functional safety of safety related/instrumented systems (e.g. IEC 61508[2]): PFH = $\overline{w}(T)$ where $T$ is the overall life duration of the system.

平均故障頻度は、安全関連／計装システムの機能安全に関連する規格（例：IEC 61508[2]）では、"Probability of Failure per Hour"（PFH）とも呼ばれている。PFH = $\overline{w}(T)$ ここで、$T$はシステムの全体的な耐用年数である。

と書かれています。平均故障頻度はPFHとも呼ばれ、故障頻度(=故障確率密度)を0から車両寿命まで積分したものを車両寿命で平均化したものです。

この段落の問題をまとめると、

• PMHFの定義は第2版で拡張されていない(=初版と同じ定義である)
• PMHFは新しいなじみのない概念ではない(=ISO 12489で既に定義されているPFHと同じ)

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

他の論文を読む意味

論文を執筆するにあたって、既存の論文の調査は必須です。論文には必ず新規な発見や理論を記述する必要がありますが、既存の論文で書かれていることを再度書いても意味が無いためです。特許と同様、論文にも新規性が最も重要です。

IEEE XploreにおいてキーワードをPMHFとして検索すると、以下の4つの論文が検索されました。そのうち2つは弊社の論文ですので、他の2つの論文を検討します。

sakurai2017:

A. Sakurai, "Generalized formula for the calculation of a probabilistic metric for random hardware failures in redundant subsystems," 2017 IEEE Symposium on Product Compliance Engineering (ISPCE), San Jose, CA, 2017, pp. 1-5, doi: 10.1109/ISPCE.2017.7935021.

　 sae2020:

Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies," in The Safety of Controllers, Sensors, and Actuators , SAE, 2020, pp.85-94.

　 das2016:

N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

　 sakurai2020:

S. Atsushi, "Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262," 2020 Annual Reliability and Maintainability Symposium (RAMS), Palm Springs, CA, USA, 2020, pp. 1-6, doi: 10.1109/RAMS48030.2020.9153704.

RAMS 2020論文の参照論文

RAMS 2020で論文を発表しましたが、その参照論文を読んで行きます。論文中に他の論文を参照する場合は、紙面が限られているため、大まかに一言でまとめるしかないのですが、ブログではもう少し細かく見ていくことが可能です。

早速sae2020,「Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies(ISO 26262 機能安全新版におけるランダムハードウェア故障の確率メトリック(PMHF)の算出方法とケーススタディ)」$\dagger$を取り上げます。

アブストラクト

以降翻訳はDeepLによるものです。

The Automotive Functional Safety standard ISO 26262 introduced a PMHF (Probabilistic Metric for Random Hardware Failures) in Part 5 and Part 10 by calculating the system failure rates and assessing the ASIL (Automotive Safety and Integrity Level) for functional safety.

自動車機能安全規格ISO26262では、第5部と第10部で、システムの故障率を計算し、機能安全のためのASIL(Automotive Safety and Integrity Level)を評価することでPMHF(Probabilistic Metric for Random Hardware Failures)を導入している。

ここまでは特に問題ありません。PMHFはPart 5で概念が提供され、Part 10で結果方程式が示されています。規格の問題は定義式が規格中に無いことです。

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ

ADASについての言及

続けてADASの具体例を書いた記事が見つかりました。

ブレーキの基本機能は ASIL D だろう。画像解析のエレメントは ASIL D なの？という疑問が生まれる。 プリクラッシュブレーキ システムはシステム全体としては ASIL D だろうから、ブレーキの基本機能は ASIL D のままで、画像解析エレメントは ASIL C(D) にデコンボジションしたとする。 その際にブレーキエレメントと画像解析エレメントは独立しており従属故障は起こらないと言えるのだろうか。

図288.1 図は弊社で作成

ASILデコンポジションの記事を読んで理解された方は指摘できると思いますが、これは1.及び2.の2条件が成立していません。再掲すれば、ASILデコンポジションが成立する条件は、

1. 安全要求の冗長性
2. 安全要求を割り当てられたエレメント間の独立性

の2条件(AND条件)が必要ですが、両方共成立していません。

そもそも安全目標や安全要求が書かれていないので、ASILアロケーションができないことがまず問題です。通常ADASであれば、例えば「意図しない急ブレーキ無き事」等の安全目標があるはずです。書かれていない安全要求を仮定し、RBDを描くと、ブレーキエレメントと画像解析エレメントは冗長(並列)関係ではなく、直列関係(従属)となります。従って、そもそもASILデコンポジションが成立していません。著者が心配しているとおり、画像解析エレメントの単一故障により従属故障が起き、システム全体が危険な状態に陥いるのは当然です。

この情報だけだとシステムの安全要求がASIL-Dであれば、画像解析エレメントもブレーキエレメントもASIL-Dとなり、それ以上のことは言うことはできません。この例に限らず、センサーとしてのCMOS撮像素子や画像認識サブシステムを(ASIL-Dにしたくないから)ASIL-Ｂとする、等のような、エレメントへの自由なASIL割り当て手法が業界で幅広く蔓延しているため、注意が必要です。

故障率についての言及

さらに幅広く見られる誤解として、前の記事と同様の誤りも見られ、

ハードウェアの故障はランダム故障の場合が多いから、もとのシステムと安全装置の故障が二重に起こる確率は下がる。部品の故障率ならば1万分の１×1万分の1で、10億分の1など。

故障率を確率と混同し、故障率を掛け算することができると誤解しています。故障率の次元は[1/H]なので、掛け算すると$[1/H^2]$というわけのわからない次元になってしまいます。正しくは、故障率([1/H])を故障確率(無次元)に直すために車両寿命([H])をかけた上で乗算する必要があります。

---

前のブログ 次のブログ

Fault Tree図

次に論文中のFault Tree図を検証します。

図284.1に、論文中でFault Tree図と書かれている図を示します。図の中にあるように、これは故障率を示す図だそうですが、本来Fault Treeは確率図であるため、これは誤りです。

図284.1 論文中のFault Tree図 また、良くある誤りとして、故障率の2乗を計算しています。故障率の2乗の次元は$[1/H^2]$となるため、図284.1のように故障率$[1/H]$と足すことは、次元が合わないためできません。両辺を無次元の確率に直してから計算します。正しくは、 $$ \require{cancel} \lambda_\text{S}\bcancel{T_\text{lifetime}}=\lambda_\text{fD}\bcancel{T_\text{lifetime}}\cdot\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD}\bcancel{T_\text{lifetime}}\\ \therefore\lambda_\text{S}=\lambda_\text{fD}\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD} $$ となります。従って、$\lambda_\text{fUD}T_\text{lifetime}$がSPF/RF確率を、$\lambda_\text{fD}T_\text{lifetime}\cdot\lambda_\text{dUD}T_\text{lifetime}$がDPF確率を表すため、論文の式はDPF確率を過剰に低く評価しています。

さらに、次のFault Tree図は故障率も確率も(確立も)まぜこぜになっています。

図284.2 論文中のFault Tree図2

本来PMHFはハードウエア故障確率の目標値であるため、ソフトウエアについては故障確率で評価するのはおかしいのですが、ハードもソフトもまぜこぜになっています。

本論文の目的はASILデコンポジションにおける独立性の検討のようですが、独立性はIEC 61508-6のβファクタとして検討されており、それを適用すれば良いことになっています。もっともIEC 61508は化学プラントが対象のようであり、Part6のβファクタは非常に適用しにくいのですが、車載用電子機器のβファクタ表が無いため、これを援用するしかありません。

元に戻してASILデコンポジションは過去記事で検討していますが、以下の2つの要件が重要なので、再掲します。これに触れられていないデコンポジション議論には意味がありません。

1. 安全要求の冗長性
2. 安全要求の割り当てられたエレメント間の独立性

---

前のブログ 次のブログ

#223に示した理由により、本稿の議論は全て取り消します。

前稿において、(227.2)右辺第2項を(一部の係数を除き)展開すると、 $$ \require{cancel} \img[-1.35em]{/images/withinseminar.png}\\ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)tf_\text{IF}(t)dt \tag{228.1} $$ ここで、WolframAlphaによる級数展開を用いると、

integral_0^(τ) (1 - exp(-λ_2 t)) λ_1 exp(-λ_1 t) dt * (τ^-1)

$$ \frac{1}{\tau}\int_0^\tau F_2(t)f_1(t)dt \approx\frac{1}{2}\lambda_1\lambda_2\tau \tag{228.2} $$

integral_0^(τ) (1 - exp(-λ_2 t)) λ_1 exp(-λ_1 t) t dt * (τ^-1)

$$ \frac{1}{\tau}\int_0^\tau F_2(t)tf_1(t)dt \approx\frac{1}{3}\lambda_1\lambda_2\tau^2 \tag{228.3} $$

$$ (228.1)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\mathrm{SM}(t)tf_\text{IF}(t)+K_\text{SM,MPF}F_\mathrm{SM}(u)tf_\text{IF}(t)\right]dt\\ =\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(t)tf_\text{IF}(t)dt+\frac{K_\text{SM,MPF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(u)tf_\text{IF}(t)dt\\ \quad\text{s.t. }u:=t\bmod\tau\tag{228.4} $$ (228.4)右辺第2項を$t=i\tau+u, i=0,1,...,n-1,T_\text{lifetime}=n\tau$として$t$を$u$で表す変数変換を行うと、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_\text{SM}(u)tf_\text{IF}(t)dt =\frac{1}{T_\text{lifetime}}\sum_{i=0}^{n-1}\int_0^\tau F_\text{SM}(u)(i\tau+u)f_\text{IF}(i\tau+u)du\\ =\frac{\tau}{T_\text{lifetime}}\sum_{i=0}^{n-1}ie^{-\lambda_\text{IF}i\tau}\int_0^\tau F_\text{SM}(u)f_\text{IF}(u)du+\frac{1}{T_\text{lifetime}}\sum_{i=0}^{n-1}e^{-\lambda_\text{IF}i\tau}\int_0^\tau F_\text{SM}(u)uf_\text{IF}(u)du\\ =\frac{1}{\bcancel{T_\text{lifetime}}}\left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^{\bcancel{3}2}\right)\left(\bcancel{\tau}\frac{\bcancel{T_\text{lifetime}}(T_\text{lifetime}-\tau)}{\bcancel{\tau}^\bcancel{2}}+\frac{\bcancel{T_\text{lifetime}}}{\bcancel{\tau}}\right)\\ =\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^2(T_\text{lifetime}-\tau+1) \tag{228.5} $$ (228.3)を(228.4)の第1項、(228.5)を第2項に用いて、

$$ (228.1)=\frac{1-K_\text{SM,MPF}}{\bcancel{T_\text{lifetime}}} \left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}^{\bcancel{3}2}\right) +K_\text{SM,MPF} \left(\frac{1}{3}\lambda_\text{IF}\lambda_\text{SM}\tau^2(T_\text{lifetime}-\tau+1)\right) \tag{228.6} $$

---

前のブログ 次のブログ

#223に示した理由により、本稿の議論は全て取り消します。

前稿において、LAT2ではIFのAvailability(227.1で赤字で表示)は$R_\text{IF}(t)$でも$A_\text{IF}(t)$でもないことを解説しました。 $$ \overline{q_{\mathrm{DPF1,IFR}}}=\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)\color{red}{A_{\mathrm{IF}}(t)}\lambda_{\mathrm{IF}}dt \approx K_\text{IF,RF}\alpha \tag{227.1} $$ LAT2に来た時刻を$s$としたとき、$A_\text{IF}(s)R_\text{IF}(t-s)$で表される状態確率となりますが、問題は$s$が確率的に値を取ることです。これを消去するため、前稿(224.8)の結果を使用すれば、 $$ (227.1)=\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)\left(1-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)\right)R_\text{IF}(t)\lambda_\mathrm{IF}dt\\ =\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)\left(1-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)\right)f_\text{IF}(t)dt\\ =\frac{K_\mathrm{IF,RF}}{T_\text{lifetime}}\left(1+\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}\tau\right)\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)f_\text{IF}(t)dt\\ -\frac{K_\mathrm{IF,RF}K_\text{IF,MPF}\lambda_\text{IF}}{2T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)tf_\text{IF}(t)dt \tag{227.2} $$ (227.2)右辺第1項は、積分公式から $$ \frac{K_\mathrm{IF,RF}}{2}\left(1+\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}\tau\right)\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{SM,MPF})T_\text{lifetime}+K_\text{SM,MPF}\tau\right]\tag{227.3} $$ (227.2)右辺第2項を(一部の係数を除き)展開すると、 $$ \require{cancel} \img[-1.35em]{/images/withinseminar.png}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\mathrm{SM}(t)tf_\text{IF}(t)+K_\text{SM,MPF}F_\mathrm{SM}(u)tf_\text{IF}(t)\right]dt\\ =\frac{(1-\bcancel{K_\text{SM,MPF}})}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt-\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-(\lambda_\text{IF}+\lambda_\text{SM})t}dt\\ +\bcancel{\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt}-\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t-\lambda_\text{SM}u}dt\\ =\frac{\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t}dt-\frac{1-K_\text{SM,MPF}}{T_\text{lifetime}}\lambda_\text{IF}\int_0^{T_\text{lifetime}}te^{-(\lambda_\text{IF}+\lambda_\text{SM})t}dt\\ -\frac{K_\text{SM,MPF}\lambda_\text{IF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}te^{-\lambda_\text{IF}t-\lambda_\text{SM}u}dt \quad\text{s.t. }u:=t\bmod\tau\tag{227.4} $$ (225.3)及び(226.1)の結果を用いて、 $$ (227.4)=\lambda_\text{IF}\left(\frac{T_\text{lifetime}}{2}-\frac{\lambda_\text{IF}T_\text{lifetime}^2}{3}\right)\\ -(1-K_\text{SM,MPF})\lambda_\text{IF}\left(\frac{T_\text{lifetime}}{2}-\frac{(\lambda_\text{IF}+\lambda_\text{SM})T_\text{lifetime}^2}{3}\right)\\ -K_\text{SM,MPF}\lambda_\text{IF}\img[-1.35em]{/images/withinseminar.png} \quad\text{s.t. }u:=t\bmod\tau\tag{227.5} $$

---

前のブログ 次のブログ

#223に示した理由により、本稿の議論は全て取り消します。

前稿の続きで、ISO 26262のPMHFの導出の場合、確率積分を実行する際に次の(226.1)が出てくるため、あらかじめ結果を導出しておき、後程積分公式として使用します。 $$ \img[-1.35em]{/images/withinseminar.png} \tag{226.1} $$ $t=i\tau+u, i=0,1,...,n-1, n:=\frac{T_\text{lifetime}}{\tau}$とおいて変数変換すれば、 $$ (226.1)=\frac{1}{T_\text{lifetime}}\sum_{i=0}^{n-1}\int_0^\tau(i\tau+u)e^{-\lambda_\text{IF}(i\tau+u)-\lambda_\text{SM}u}du\\ =\tau\sum_{i=0}^{n-1}i e^{-\lambda_\text{IF}i\tau} \frac{1}{T_\text{lifetime}}\int_0^\tau e^{-(\lambda_\text{IF}+\lambda_\text{SM})u}du +\sum_{i=0}^{n-1}e^{-\lambda_\text{IF}i\tau}\frac{1}{T_\text{lifetime}}\int_0^\tau ue^{-(\lambda_\text{IF}+\lambda_\text{SM})u}du\\ \tag{226.2} $$ ここで、(226.2)右辺第1項の級数の和を求めるため和を$x$とおけば、 $$ x:=\sum_{i=0}^{n-1}i e^{-\lambda_\text{IF}i\tau}=e^{-\lambda_\text{IF}\tau}+2e^{-\lambda_\text{IF}2\tau}+...+(n-1)e^{-\lambda_\text{IF}(n-1)\tau}\tag{226.3} $$ となり、 $$ e^{-\lambda_\text{IF}\tau}x=\sum_{i=0}^{n-1}i e^{-\lambda_\text{IF}(i+1)\tau}=e^{-\lambda_\text{IF}2\tau}+...+(n-2)e^{-\lambda_\text{IF}(n-1)\tau}+(n-1)e^{-\lambda_\text{IF}n\tau}\tag{226.4} $$ よって、(226.3)-(226.4)より、 $$ x(1- e^{-\lambda_\text{IF}\tau})=e^{-\lambda_\text{IF}\tau}+e^{-\lambda_\text{IF}2\tau}+...+e^{-\lambda_\text{IF}(n-1)\tau}-(n-1)e^{-\lambda_\text{IF}n\tau}\\ =\underbrace{e^{-\lambda_\text{IF}\tau}+e^{-\lambda_\text{IF}2\tau}+...+e^{-\lambda_\text{IF}(n-1)\tau}+e^{-\lambda_\text{IF}n\tau}}_{\text{n terms}}-ne^{-\lambda_\text{IF}n\tau}\\ =e^{-\lambda_\text{IF}\tau}\frac{1-e^{-\lambda_\text{IF}T_\text{lifetime}}}{1-e^{-\lambda_\text{IF}\tau}}-n e^{-\lambda_\text{IF}T_\text{lifetime}}\tag{226.5} $$ よって、Maclaurin展開の1次近似を用いれば、 $$ \require{cancel} x\approx\frac{\bcancel{\lambda_\text{IF}}T_\text{lifetime}}{\lambda_\text{IF}^\bcancel{2}\tau^2}(1-\lambda_\text{IF}\tau)-\frac{n(1-\lambda_\text{IF}T_\text{lifetime})}{\lambda_\text{IF}\tau}\\ =\frac{T_\text{lifetime}(\bcancel{1}-\bcancel{\lambda_\text{IF}}\tau)-T_\text{lifetime}(\bcancel{1}-\bcancel{\lambda_\text{IF}}T_\text{lifetime})}{\bcancel{\lambda_\text{IF}}\tau^2}=\frac{T_\text{lifetime}(T_\text{lifetime}-\tau)}{\tau^2}\tag{226.6} $$ 次に、(226.2)右辺第2項の級数の和は、 $$ \sum_{i=0}^{n-1}e^{-\lambda_\text{IF}i\tau}=e^{-\lambda_\text{IF}\tau}+...+e^{-\lambda_\text{IF}(n-1)\tau}=\frac{1-e^{-\lambda_\text{IF}T_\text{lifetime}}}{1-e^{-\lambda_\text{IF}\tau}} \approx\frac{\bcancel{\lambda_\text{IF}}T_\text{lifetime}}{\bcancel{\lambda_\text{IF}}\tau} \tag{226.7} $$ 次に、(226.2)右辺第1項の定積分の値は、 $$ \int_0^\tau e^{-(\lambda_\text{IF}+\lambda_\text{SM})u}du =\left[\frac{e^{-(\lambda_\text{IF}+\lambda_\text{SM})u}}{-(\lambda_\text{IF}+\lambda_\text{SM})}\right]_0^\tau =\frac{e^{-(\lambda_\text{IF}+\lambda_\text{SM})\tau}-1}{-(\lambda_\text{IF}+\lambda_\text{SM})}\\ \approx\frac{1}{\bcancel{\lambda_\text{IF}+\lambda_\text{SM}}}\left(\bcancel{(\lambda_\text{IF}+\lambda_\text{SM})}\tau-\frac{1}{2}(\lambda_\text{IF}+\lambda_\text{SM})^\bcancel{2}\tau^2\right) =\tau\left(1-\frac{1}{2}(\lambda_\text{IF}+\lambda_\text{SM})\tau\right) \tag{226.8} $$ 以上から、$\color{red}{(226.5)}$と$\color{green}{(226.6)}$を(226.2)に適用し、$\color{blue}{(226.7})$と部分積分の結果$\color{purple}{(225.1)}$を用いれば、 $$ (226.2)=\bcancel{\tau}\color{red}{\left(\frac{\bcancel{T_\text{lifetime}}(T_\text{lifetime}-\tau)}{\bcancel{\tau^2}}\right)}\frac{1}{\bcancel{T_\text{lifetime}}}\color{blue}{\bcancel{\tau}\left(1-\frac{1}{2}(\lambda_\text{IF}+\lambda_\text{SM})\tau\right)}\\ +\color{green}{\frac{\bcancel{T_\text{lifetime}}}{\bcancel{\tau}}}\frac{1}{\bcancel{T_\text{lifetime}}} \color{purple}{\left(\frac{\tau^\bcancel{2}}{2}- \frac{(\lambda_\text{IF}+\lambda_\text{SM})\tau^{\bcancel{3}2}}{3}\right)}\\ =(T_\text{lifetime}-\tau)\left(1-\frac{1}{2}(\lambda_\text{IF}+\lambda_\text{SM})\tau\right)+\left(\frac{\tau}{2}-\frac{1}{3}(\lambda_\text{IF}+\lambda_\text{SM})\tau^2\right)\\ =\left(1-\frac{1}{2}(\lambda_\text{IF}+\lambda_\text{SM})\tau\right)T_\text{lifetime}-\frac{\tau}{2}+\frac{1}{6}(\lambda_\text{IF}+\lambda_\text{SM})\tau^2 \tag{226.9} $$

---

前のブログ 次のブログ

#223に示した理由により、本稿の議論は全て取り消します。

ISO 26262のPMHFの導出の場合、確率積分を実行する際に次の(225.1)が出てくるため、あらかじめ結果を導出しておき、後程積分公式として使用します。 $$ \img[-1.35em]{/images/withinseminar.png} \tag{225.1} $$ 部分積分により、 $$ \require{cancel} (225.1)=\left[\frac{t e^{-\lambda t}}{-\lambda }\right]_0^{\tau} -\int_0^{\tau}\frac{e^{-\lambda t}}{-\lambda }dt =\left(\frac{\tau e^{-\lambda\tau}}{-\lambda }\right) -\left[\frac{e^{-\lambda t}}{\lambda ^2}\right]_0^{\tau}\\ =-\frac{\tau}{\lambda}e^{-\lambda \tau} +\left(\frac{1-e^{-\lambda\tau}}{\lambda ^2}\right)\\ \approx-\frac{\tau}{\lambda}\left(1-\lambda\tau+\frac{1}{2}\lambda^2\tau^2\right) +\frac{1}{\lambda^\bcancel{2}}\left(\bcancel{\lambda}\tau-\frac{1}{2}\lambda^\bcancel{2}\tau^2+\frac{1}{6}\lambda^{\bcancel{3}2}\tau^3\right)\\ =-\frac{1}{\bcancel{\lambda}}\left(\bcancel{\tau}-\bcancel{\lambda}\tau^2+\frac{1}{2}\lambda ^\bcancel{2}\tau^3\right) +\frac{1}{\bcancel{\lambda}}\left(\bcancel{\tau}-\frac{1}{2}\bcancel{\lambda}\tau^2+\frac{1}{6}\lambda^\bcancel{2}\tau^3\right)\\ =\frac{\tau^2}{2}-\frac{\lambda\tau^3}{3} \tag{225.2} $$ 積分範囲が$[0, \tau)$ではなく、$[0, T_\text{lifetime})$の場合で車両寿命で平均化する場合は、$\tau$を$T_\text{lifetime}$と置きなおせば、

$$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} t e^{-\lambda t}dt =\frac{T_\text{lifetime}}{2}-\frac{\lambda T_\text{lifetime}^2}{3}\tag{225.3} $$ と求まります。

---

前のブログ 次のブログ

#223に示した理由により、本稿の議論は全て取り消します。

今回はダイレクトに $$ \img[-1.35em]{/images/withinseminar.png} \tag{224.1} $$ を求めます。

まず、(224.1)式に、指数分布式である $$ \begin{eqnarray} \begin{cases} A_\text{IF}\text(s)&=&(1-K_\text{IF,MPF})e^{-\lambda_\text{IF}s}+K_\text{IF,MPF}e^{-\lambda_\text{IF}u}, u:=s\bmod \tau及び\\ R_\text{IF}(s)&=&e^{-\lambda_\text{IF}s} \end{cases} \end{eqnarray}\tag{224.2} $$ を代入し、 $$ \begin{eqnarray} (224.1)&=&\frac{1}{t}\int_0^t\left[(1-K_\text{IF,MPF})e^{-\lambda_\text{IF}s}+K_\text{IF,MPF}e^{-\lambda_\text{IF}u}\right]e^{-\lambda_\text{IF}(t-s)}ds\\ &=&\frac{1-K_\text{IF,MPF}}{t}\int_0^te^{-\lambda_\text{IF}s}e^{-\lambda_\text{IF}(t-s)}ds +\frac{K_\text{IF,MPF}}{t}\int_0^te^{-\lambda_\text{IF}u}e^{-\lambda_\text{IF}(t-s)}ds\\ &=&\frac{1-K_\text{IF,MPF}}{t}e^{-\lambda_\text{IF}t}\int_0^t ds +\frac{K_\text{IF,MPF}}{t}e^{-\lambda_\text{IF}t}\int_0^te^{-\lambda_\text{IF}(u-s)}ds\\ \end{eqnarray} \tag{224.3} $$ ここで、右辺第2項において、$u=s\bmod\tau$より、$s=i\tau+u, i=0,1,...,k-1, t=k\tau$とおいて、$s$を$u$と$i$で表し $$ \img[-1.35em]{/images/withinseminar.png} \tag{224.4} $$ を計算すると、 $$ (224.4)=\sum_{i=0}^{k-1}\int_0^\tau e^{\lambda_\text{IF}i\tau}du =\sum_{i=0}^{k-1}e^{\lambda_\text{IF}i\tau}\int_0^\tau du =\tau\sum_{i=0}^{k-1}e^{\lambda_\text{IF}i\tau} \tag{224.5} $$

ここで、等比数列の和及びMaclaurin展開の1次近似より、 $$ \require{cancel} (224.5)=\tau\frac{1-e^{\lambda_\text{IF}k\tau}}{1-e^{\lambda_\text{IF}\tau}} =\tau\frac{1-e^{\lambda_\text{IF}t}}{1-e^{\lambda_\text{IF}\tau}} \approx\bcancel{\tau}\frac{\bcancel{\lambda_\text{IF}}t-\frac{1}{2}\lambda_\text{IF}^\bcancel{2}t^2}{\bcancel{\lambda_\text{IF}}\bcancel{\tau}-\frac{1}{2}\lambda_\text{IF}^\bcancel{2}\tau^\bcancel{2}} =\frac{t-\frac{1}{2}\lambda_\text{IF}t^2}{1-\frac{1}{2}\lambda_\text{IF}\tau}\\ \approx\left(t-\frac{1}{2}\lambda_\text{IF}t^2\right)\left(1+\frac{1}{2}\lambda_\text{IF}\tau\right) \tag{224.6} $$ であるから、(224.6)及び(224.4)の結果を(224.3)に用いれば、 $$ (224.3)\approx\frac{1-K_\text{IF,MPF}}{\bcancel{t}}e^{-\lambda_\text{IF}t}\bcancel{t} +\frac{K_\text{IF,MPF}}{\bcancel{t}}e^{-\lambda_\text{IF}t}\bcancel{t}\left(1-\frac{1}{2}\lambda_\text{IF}t\right)\left(1+\frac{1}{2}\lambda_\text{IF}\tau\right)\\ \tag{224.7} $$ ここで、$\lambda_\text{IF}^2\approx0$と置いて、 $$ (224.7)\approx\left(1\bcancel{-K_\text{IF,MPF}}\right)e^{-\lambda_\text{IF}t} +K_\text{IF,MPF}e^{-\lambda_\text{IF}t}\left(\bcancel{1}-\frac{1}{2}\lambda_\text{IF}(t-\tau)\right)\\ =e^{-\lambda_\text{IF}t}-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)e^{-\lambda_\text{IF}t} =\left(1-\frac{1}{2}K_\text{IF,MPF}\lambda_\text{IF}(t-\tau)\right)R_\text{IF}(t) \tag{224.8} $$ 以上から、$s$を消去して$t$で表すことができました。

---

前のブログ 次のブログ

SMがフォールトしてLAT2のステートに来た時刻を$s$とすると、時刻$t$以前に来たことから$0\le s\le t$であり、SMとIFは故障事象自体は独立ですが、相手の故障事象により自分の状態確率が変化します。

この論点は、LAT2においてはSMがフォールトしているので、IFがアンリペアラブルである⇒LAT2に来た時間$s$により状態確率$\Pr\{\text{LAT2 at }t\}$が変化する⇒マルコフ性が崩れる、と新たに誤解したことによるものです。

正しくは、IFのリペアラビリティは1st SMであるSM(=LAT2でダウンしている)により決まりません。IFのリペアラビリティは2nd SMにのみ決定され、2nd SMは故障しないため、マルコフ性は崩れていません。従って本稿(#223)以降(~#228)の議論は全て取り消します。

正しい議論は以前のhttp://fs-micro.com/blogSummary.htmlの「PMHFの計算」～「PMHFの計算(8)」のとおりです。

従って、時刻$t$以前の時刻$s$の$0\le s\le t$におけるIFの平均稼働確率を求め、それを用いて状態確率を表し、さらに遷移確率をかけるという方法で解きます。

以前求めた、$M_\text{PMHF}$の計算(8)の式(222.2)は、 $$ \begin{eqnarray} \Pr\{\mathrm{LAT2\ at\ }t\}&=&\Pr\{\mathrm{IF^R\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\}\\ &=&\Pr\{\mathrm{IF^R\ up\ at\ }t\}\Pr\{\mathrm{SM\ down\ at\ }t\}\\ &=&\color{red}{A_{\mathrm{IF}}(t)}Q_{\mathrm{SM}}(t)\tag{222.2再掲} \end{eqnarray} $$ でしたが、IFのAvailability$\Pr\{\mathrm{IF^R\ up\ at\ }t\}$は、OPRに居る時、すなわち時刻$s$以前にSMがupな状態では、IFはリペアラブル($=\mathrm{IF^\text{R}}$)であり、時刻$s$でSMにフォールトが起きてdownしLAT2に来た時からは、IFはアンリペアラブル($=\mathrm{IF^\text{U}}$)となります。よって、本来は $$ \begin{eqnarray} \Pr\{\mathrm{IF^R\ up\ at\ }t\}&=&\Pr\{\mathrm{IF^\text{R}\ up\ at\ }s\cap\mathrm{IF^\text{U}\ up\ in\ }(s, t]\}\\ &=&\Pr\{\mathrm{IF^\text{R}\ up\ at\ }s\}\Pr\{\mathrm{IF^\text{U}\ not\ failed\ in\ }(s, t]\}\\ &=&A_\text{IF}(s)R_\text{IF}(t-s)\tag{223.1} \end{eqnarray} $$ 従って、(222.2)で右辺に$A_\text{IF}(t)$を使用したのは、LAT2におけるIFのAvailabilityの上限を求めたことになります。その理由は、大小関係は $$ R(t)\le A(s)R(t-s)\le A(t)\quad\text{s.t. }0\le s\le t\tag{223.2} $$ だからです。従って、IFのAvailabilityの下限を求めるには、右辺を$R_\text{IF}(t)$とおいて積分します。これは規格式と同じPMHF式を与えます。IFのAvailabilityの下限の積分はIFUモデルと同じになるため、(104.5)を参考にして、 $$ \overline{q_{\mathrm{DPF1,IFR}}}=\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)\color{red}{R_{\mathrm{IF}}(t)}\lambda_{\mathrm{IF}}dt \approx K_\text{IF,RF}\alpha \tag{223.3} $$ SMのフォールトも同様であり、DPF2平均確率を求めれば、 $$ \overline{q_{\mathrm{DPF2,IFR}}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{IF}}(t)R_{\mathrm{SM}}(t)\lambda_{\mathrm{SM}}dt \approx\beta \tag{223.4} $$ 前稿と同様に$K_\text{IF,RF}=1$とします。表221.1及び222.1より、

表223.1　IFRモデルのPMHF式$(K_\text{IF,RF}=1)$

	(1)+(2b)SPF		(2a)DPF1	(3)DPF2
SPF統合(LATにおけるAvailability上限)	$0$		$\gamma$	$\gamma$
SPF統合(LATにおけるAvailability下限)	$0$		$\alpha$	$\beta$

ただし、 $$ \gamma:=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM}\left[(1-K_\text{MPF})T_\text{lifetime}+K_\text{MPF}\tau\right],\\ \text{s.t. }K_\text{MPF}:=1-(1-K_\text{IF,MPF})(1-K_\text{SM,MPF})=K_\text{IF,MPF}+K_\text{SM,MPF}-K_\text{IF,MPF}K_\text{SM,MPF}\tag{223.5} $$ 規格式(1/2のおかしな点を修正後)は$K_\text{IF,RF}=1$として、DPFのみを表示すれば、 $$ \begin{eqnarray} 修正版規格式&=&\frac{1}{2}\lambda_\text{SM}(1-K_\text{SM,MPF})&\cdot&\lambda_\text{IF}T_\text{lifetime}\\ &+&\frac{1}{2}\lambda_\text{SM}K_\text{SM,MPF}&\cdot&\lambda_\text{IF}\tau\\ &+&\frac{1}{2}\lambda_\text{IF}(1-K_\text{IF,MPF})&\cdot&\lambda_\text{SM}T_\text{lifetime}\\ &+&\frac{1}{2}\lambda_\text{IF}K_\text{IF,MPF}&\cdot&\lambda_\text{SM}\tau\\ \end{eqnarray} =\lambda_\text{IF}\lambda_\text{SM}\left[(1-\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2})T_\text{lifetime}+\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\tau\right]=\alpha+\beta\tag{223.6} $$ 表(223.1)より(223.6)と(223.5)の2倍を比較するため、差を計算すれば、

$$ \begin{eqnarray} &=&\lambda_\text{IF}\lambda_\text{SM}\left[\left(1-\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\right)T_\text{lifetime}+\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\tau\right]\\ & &-\lambda_\text{IF}\lambda_\text{SM}\left[\left(1-K_\text{MPF}\right)T_\text{lifetime}+K_\text{MPF}\tau\right]\\ &=&\lambda_\text{IF}\lambda_\text{SM}\left[\left(K_\text{MPF}-\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\right)T_\text{lifetime}-\left(K_\text{MPF}-\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\right)\tau\right]\\ &=&\lambda_\text{IF}\lambda_\text{SM}\left(K_\text{MPF}-\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}\right)(T_\text{lifetime}-\tau)\\ &=&\lambda_\text{IF}\lambda_\text{SM}\left(\frac{K_\text{IF,MPF}+K_\text{SM,MPF}}{2}-K_\text{IF,MPF}K_\text{SM,MPF}\right)(T_\text{lifetime}-\tau)\ge 0,\\ &\quad\quad&\text{s.t. }K_\text{IF,MPF}, K_\text{SM,MPF}\in[0, 1), T_\text{lifetime}\gg \tau\tag{223.7} \end{eqnarray} $$ よって、 $$2\gamma\le M_\text{PMHF}\le\alpha+\beta \tag{223.8}$$ これより、規格式はPMHFの上限、論文式はPMHFの下限を表しています。

---

前のブログ 次のブログ