本論文中には様々なPMHF導出のアプローチを紹介していますが、その中で4.3 Unavailability Approachという章があります。弊社ではまさにこのUnavailabilityに注目してPMHFを導出しています。

Unreliabilityすなわち$F(t)$で表す不信頼度が時刻$t$までに故障せず、$t$において初めて故障する確率を表すのに対して、Unavailabilityすなわち$Q(t)$で表す不稼働度は、時刻$t$における不稼働率を示します。まず稼働率は以下の式で表されます。

稼働率=(時刻$t$までに故障しなかった確率) または (時刻$x$までに故障したが、時刻$x$で修理され、かつ時刻$t$までに故障しなかった確率)

これを数式で書けば、稼働率は

$$A(t)=R(t)+\int_0^t m(x)R(t-x)dx$$

と表されます。一方、不稼働率は1から稼働率を引いた確率であるため、

$$Q(t)=F(t)-\int_0^t m(x)R(t-x)dx$$

と表されます。不稼働率は$t$までに故障した確率から修理分だけ少なくなります。

端的に言えば、$F(t)$は非修理系サブシステムに用いられ、$Q(t)$は修理系サブシステムに用いられます。ここでサブシステムとは主機能(IF)に何らかの1st SMあるいは2nd SMが組み合わされているサブシステムです。

上記論文の2.2には、

2.2 Failure Distribution Function
Random hardware faults of E/E systems are determined according to the exponential distribution. According to ISO 26262 these systems are non-repairable. Thereby the failure rate $\lambda$ is considered as constant [7].

(日本語訳)
2.2 故障分布関数
E/Eシステムのランダムハードウェア故障は指数分布に従って決定される。ISO 26262によると、これらのシステムは修復不可能である。したがって、故障率$\lambda$は一定とみなされる[7]。

とありますが、ISO 26262は修理系が前提であるため明らかに誤りです。さらに、システムは修復不可能であるから故障率$\lambda$が一定とみなされるような記述がありますが、そうではなく、指数分布だから故障率$\lambda$が一定なのです。

さらに、論文の4.3にも

4.3 Unavailability Approach
The PMHF value will be low in comparison to the ISO 26262 approach and can vary by several orders of magnitude. As described in section 3.2, the modeling of RFs and dormant SPFs has to be done according to F(t), not Q(t). For this reason, this approach is not valid.

(日本語訳)
4.3 不稼働率アプローチ
PMHFの値はISO 26262のアプローチと比較すると低く、数桁異なる可能性がある。3.2節で述べたように、RFと休止SPFのモデリングはQ(t)ではなくF(t)に従って行われなければならない。このため、このアプローチは有効ではない。

と記載されていますが、これも逆です。ISO 26262は修理系が前提であるため、$F(t)$ではなく$Q(t)$を用いなければなりません。

この論文だけでなく、他のほとんどの論文がここを誤っていますが、それにはいくつか理由があります。規格初版に導出過程があまり書かれていなかったこともありますが、第2版にはPart 10 8.4に導出過程が記載されているものの、却って誤解を受けそうな記述があります。

The following shows the derivation of the average probability of failure per hour over the operational lifetime of the item regarding single point faults.

(日本語訳)
以下は、一点故障に関するアイテムの運転寿命期間中の時間当たりの平均故障確率の導出を示す。

この後にPMHFの導出過程が続きます。この中でPMFHは$F(t)$で表されるとあります。これはDPFを無視していることを意味します。LFを無視しており、つまり修理を無視しています。

本文中に"regarding single point faults"とあるので、単一故障でVSGとなる場合について述べており修理を無視して良いのですが、これが数式の前提だという誤解の元になります。しかしながら規格には明示されているので、これは規格の問題ではありません。

誤解されないようにDPFの場合の導出を明示するほうが良いのですが、規格には書かれてないため、弊社論文を参照するしかありません。

前のブログ 次のブログ

2025年の論文のテーマはQ(t)(Point unavailability)を考えていますが、論文を渉猟したところ、Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metricsというものを見つけました。これはPMHFの導出についていろいろなアプローチを検討しているものであり、非常に興味深い論文です。

ところが、最初のほうを見ていくと、

2.2 Failure Distribution Function
Random hardware faults of E/E systems are determined according to the exponential distribution. According to ISO 26262 these systems are non-repairable. Thereby the failure rate λ is considered as constant [7]. The unit of λ is Failure In Time (FIT) which is the number of failures in $10^9$ device-hours of operation. The related probability density function is:

(日本語訳)
2.2 故障分布関数
E/Eシステムのランダムなハードウェアフォールトは、指数分布に従って決定される。ISO 26262によると、これらのシステムは修復不可能である。そのため、故障率λは一定とみなされる[7]。λの単位はFIT(Failure In Time)であり、これは$10^9$デバイス稼働時間中の故障数である。関連する確率密度関数は:

既にここに誤りがあります。ISO 26262には明確に、修理の話が書かれています。例えば規格Part 10 8.3.2.3において、

Pattern 2
A fault in SM1 is mitigated and notified by SM2. The exposure duration of the fault is taken as the expected time required for the driver to take the vehicle in for repair.

(日本語訳)
パターン2
SM1のフォールトは SM2によって緩和され、通知される。フォールトの露出時間は、運転手が車両を修理に出すのに必要な予想時間とされる。

SM1が故障してその後に修理される、つまりSM1はrepairableであることを述べています。ダイレクトにSM1はrepairableと記述されていないため、分からなかったのかもしれません。

ここで述べられているパターン1～4はDPFのパターンです。上記パターン2は、故障順序はSM1⇒IFの順です。Pattern 2においてSM1のフォールトをSM2が検出できない場合LFになりますが、SM2はLF防止のためのSMです。Pattern 2ではSM2によりSM1のフォールトが防止され、ドライバーに通知され、ドライバーは車両を修理工場に運びます。

規格には修理工場の後の話が書かれていませんが、修理時間ゼロで修理される仮定となっています。このことは記述されていませんが、露出時間は修理工場搬入で終わることおよび、PMHFの公式から推定されるPMHF導出仮定のひとつです。

前のブログ 次のブログ

前稿でご紹介した、2024年1月22日から米国ニューメキシコ州アルバカーキのクライドホテルで開催される予定のRAMS 2024(70th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだアブストラクトの採択ですが、正式採択されれば5年連続採択となります。正式採択に向け、8月の締め切りまでに論文をブラッシュアップしていくことになります。

表606.1はRAMS 2024正式採択までのマイルストーンであり、今後適宜更新します。

前のブログ 次のブログ

次回RAMS 2024に投稿する論文を "Gap Analysis of the Derivation Process of the Probabilistic Metric for Random Hardware Failures in ISO 26262""Bridging the Gap of the Derivation Process in ISO 26262 Probabilistic Metric (PMHF) Formulas" と改題し、アブストラクトを投稿しました。

過去に掲載した論文の実績と予定をアップデートします。

前のブログ 次のブログ

規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。

この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$

$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$

それぞれ、IF, SM1, SM2について説明を示します。

• ミッションタイム：車両寿命$T_\text{lifetime}$です。
• IF：ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
• SM1：ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
• SM2：SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。

前のブログ 次のブログ

今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。

今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。

正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。

前のブログ 次のブログ

次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。

SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。

ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。

ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。

前のブログ 次のブログ

別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。

確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。

次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。

ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。

ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。

$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。

前のブログ 次のブログ

前ページ右下のORゲートから左下への事象です。これはRFの項を表しており、ALUのフォールトカバレージ残余である$1-DC$が接続されています。

ここで確率に着目すれば、 $$ Q=1-DC_\text{1}=0.8=8.00\times10^{-1}より\\ DC_\text{1}=20\% \tag{587.1} $$ と逆算されます。$DC_\text{1}$のような無次元の定数にはミッションタイムは自動掛算されません。

次に同じくORゲートから右下への事象です。これはDPF確率を示すANDゲートです。

このANDゲートの左下への分岐はLFのサブツリーとなっています。

右下への事象はIFのDPFフォールトを表す事象で、具体的にはSM1でVSG抑止された部分である$DC$を示しています。 $$ Q=DC_\text{1}=0.2=2.00\times10^{-1}より、\\ DC_\text{1}=20\% \tag{587.2} $$ となっています。

前のブログ 次のブログ

図585.1が小さいので拡大して見ていきます。まず部分FTのトップのANDゲートです。車両寿命間におけるALUの永久故障確率を表しています。

ANDゲートの左下の事象はALUの永久故障率です。ALUの2つの数字、故障率と確率に着目すれば、本文に$T_\text{lifetime}=5,000[H]$とあることを用いて、 $$ \lambda_\text{IF}=3.48\times10^{-11} および\\ Q=\lambda_\text{IF}T_\text{lifetime}=3.48\times10^{-11}\cdot5.0\times10^{3}=1.74\times10^{-7}\tag{586.1} $$ となります。

事象には故障率$\lambda_\text{IF}$を入力します。ここで故障率は$[H^{-1}]$の次元を持つため、FTAツールがデフォールトのミッションタイム(運用時間)である車両寿命$T_\text{lifetime}$を自動的に掛け、確率$Q$に直して計算します。

注目すべき記号としてLがあります。これはプライオリティを示すもので、Lで示される側のフォールトが後で生起する場合に限定されます。従って本FTはフォールト順序がSM1⇒IFの順であり、冗長性は持たないという前提です。すなわちDPF項には$\frac{1}{2}$が必要です。

トップのANDゲートの右下のORゲートは、ALUの検出されない永久故障と書かれており、SPFとDPFの確率を加算するためのORゲートです。

前のブログ 次のブログ