ここからは、手引きをしてやれば、ChatGPTが(626.5)と同じ不稼働度$Q(t)$の式を導出できるかを検証します。

人間:

以下は稼働度の方程式です。 $$ A(t) = R(t) + \int_{0}^{t} m(x) \cdot R(t-x) \, dx $$ ここで、$ A(t) $ は時刻 $ t $ での稼働度（Availability）、$R(t) $ は時刻 $ t$ での信頼度（Reliability）、$ m(x) $は連続時刻 $x $ におけるリニューアル密度を表します。 一方、修理は$\tau$毎で、時刻$t$までに修理は$n$回あるとします。この場合、積分は離散時間に変化し、$x=i\tau, i=1, 2...$となります。
連続修理の場合の$A(t)$の方程式をまず示し、これが離散時間での周期$\tau$の定期修理の場合に、$A(t)$がどのように変わるかを、それぞれLatexのdisplaystyleで示してください。

ChatGPT:

すみません、ご指示を理解しました。以下が独立形式の数式となります：

$$ A(t) = R(t) + \int_{0}^{t} m(x) \cdot R(t-x) dx $$

次に、周期 $\tau$ の定期修理がある離散時間の場合、稼働度 $A(t)$ の方程式は少し複雑になります。ここで、$x = i\tau, \ i = 1, 2, \ldots$ という関係が成り立ちます。連続時間を離散時間に適用すると、積分は差分の和（つまり、リーマン和）になります。修理の影響を考慮に入れると、以下のような方程式を考えることができます：

$$ A(t) = R(t) + \tau \sum_{i=1}^{n} m(i\tau) \cdot R(t-i\tau) $$

ただし、$n$ は時刻 $t$ までの修理の回数で、この場合の離散時間モデルでは、リニューアル密度 $m(i\tau)$ が特定の時間点 $i\tau$ で定義されています。

ただし、これらの方程式は非常に一般的な表現であり、特定の信頼度関数 $R(t)$ やリニューアル密度 $m(x)$ によって、結果は大きく異なる可能性があります。これらの方程式をさらに詳しく分析するには、$R(t)$ や $m(x)$ の具体的な形状や特性を考慮に入れる必要があります。

$A(t)$の式は$\color{red}{\tau}\sum_{i=1}^{n} m(i\tau)$の赤字部分が正しくないことに注意。ただしこれは指示が良くないせいであり、ChatGPTは指示した積分を実行しています。

前のブログ 次のブログ

本ブログでは5年ほど前に初出の記事を掲載した後この記事から5本に渡り$Q(t)$について記載しました。

中でも初出の記事は計算過程を示しています。ここでは(59.5)から(59.6)への導出には説明がなかったのでここで解説します。再掲すれば、(626.1)から(626.4)への導出です。まずA(t)は、

$$ A(t):=R(t)+\int_0^t m(x)R(t-x)dx\tag{626.1} $$

ここで$m(x)$はリニューアル密度と呼ばれますが、その時間積分した$M(x)$は時刻$x$までに故障した分について検査・修理した分であり、2つの要素が掛けられています。つまり検査率を$K_\text{SM,MPF}$(const.)、故障した分を$F_\text{SM}(x)$としたとき、検査・修理は連続時間ではなく定期的、すなわち離散的に実行されるため、修理時刻$x$は、$x=i\tau,\ i=1, 2, 3,...$という飛び飛びの値をとります。

故障した時刻に無関係に修理は行われます。これは故障する確率に関わらず、検査・修理時には検査可能な故障は全て修理されるためです。ということは前回の修理時には検査可能な故障＝不信頼度はゼロになるはずで、検査周期＝$\tau$においては不信頼度は$F_\text{SM}(\tau)$(const.)となります。よって、$M(x)$は $$ M(i\tau)=\int_0^\tau m(x)dx=K_\text{SM,MPF}\int_0^\tau f(x)dx=K_\text{SM,MPF}F_\text{SM}(\tau),\ \ i=1, 2, ...\tag{626.2} $$ のようにconst.となります。そして、離散的な関数の積分はシグマに置き換えられるため、 $$ \int_0^t m(x)R(t-x)dx=K_\text{SM,MPF}F_\text{SM}(\tau)\sum_{i=1}^{n}R(t-i\tau) \tag{626.3} $$ となります。これらを(626.1)に代入すれば、

$$ A_\text{SM}(t)=R_\text{SM}(t)+K_\text{SM,MPF}F_\text{SM}(\tau)\sum_{i=1}^{n}R_\text{SM}(t-i\tau)\tag{626.4} $$ が得られます。$Q(t)$に書き換えれば、 $$ Q_\text{SM}(t)=F_\text{SM}(t)-K_\text{SM,MPF}F_\text{SM}(\tau)\sum_{i=1}^{n}R_\text{SM}(t-i\tau)\\ =\img[-1.35em]{/images/withinseminar.png},\ \ s.t.\ \ u\equiv t-n\tau=t-\lfloor\frac{t}{\tau}\rfloor\tau \tag{626.5} $$ が得られます。さらにこれを時間$t$微分したものが弊社命名のPUD(Point Unavailability Density)であり

$$ q(t)=\img[-1.35em]{/images/withinseminar.png} $$ となり、この車両寿命間の時間平均こそがPMHFとなるわけです。 $$ M_\text{PMHF}\equiv\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime}) $$ なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

本論文中には様々なPMHF導出のアプローチを紹介していますが、その中で4.3 Unavailability Approachという章があります。弊社ではまさにこのUnavailabilityに注目してPMHFを導出しています。

Unreliabilityすなわち$F(t)$で表す不信頼度が時刻$t$までに故障せず、$t$において初めて故障する確率を表すのに対して、Unavailabilityすなわち$Q(t)$で表す不稼働度は、時刻$t$における不稼働率を示します。まず稼働率は以下の式で表されます。

稼働率=(時刻$t$までに故障しなかった確率) または (時刻$x$までに故障したが、時刻$x$で修理され、かつ時刻$t$までに故障しなかった確率)

これを数式で書けば、稼働率は

$$A(t)=R(t)+\int_0^t m(x)R(t-x)dx$$

と表されます。一方、不稼働率は1から稼働率を引いた確率であるため、

$$Q(t)=F(t)-\int_0^t m(x)R(t-x)dx$$

と表されます。不稼働率は$t$までに故障した確率から修理分だけ少なくなります。

端的に言えば、$F(t)$は非修理系サブシステムに用いられ、$Q(t)$は修理系サブシステムに用いられます。ここでサブシステムとは主機能(IF)に何らかの1st SMあるいは2nd SMが組み合わされているサブシステムです。

上記論文の2.2には、

2.2 Failure Distribution Function
Random hardware faults of E/E systems are determined according to the exponential distribution. According to ISO 26262 these systems are non-repairable. Thereby the failure rate $\lambda$ is considered as constant [7].

(日本語訳)
2.2 故障分布関数
E/Eシステムのランダムハードウェア故障は指数分布に従って決定される。ISO 26262によると、これらのシステムは修復不可能である。したがって、故障率$\lambda$は一定とみなされる[7]。

とありますが、ISO 26262は修理系が前提であるため明らかに誤りです。さらに、システムは修復不可能であるから故障率$\lambda$が一定とみなされるような記述がありますが、そうではなく、指数分布だから故障率$\lambda$が一定なのです。

さらに、論文の4.3にも

4.3 Unavailability Approach
The PMHF value will be low in comparison to the ISO 26262 approach and can vary by several orders of magnitude. As described in section 3.2, the modeling of RFs and dormant SPFs has to be done according to F(t), not Q(t). For this reason, this approach is not valid.

(日本語訳)
4.3 不稼働率アプローチ
PMHFの値はISO 26262のアプローチと比較すると低く、数桁異なる可能性がある。3.2節で述べたように、RFと休止SPFのモデリングはQ(t)ではなくF(t)に従って行われなければならない。このため、このアプローチは有効ではない。

と記載されていますが、これも逆です。ISO 26262は修理系が前提であるため、$F(t)$ではなく$Q(t)$を用いなければなりません。

この論文だけでなく、他のほとんどの論文がここを誤っていますが、それにはいくつか理由があります。規格初版に導出過程があまり書かれていなかったこともありますが、第2版にはPart 10 8.4に導出過程が記載されているものの、却って誤解を受けそうな記述があります。

The following shows the derivation of the average probability of failure per hour over the operational lifetime of the item regarding single point faults.

(日本語訳)
以下は、一点故障に関するアイテムの運転寿命期間中の時間当たりの平均故障確率の導出を示す。

この後にPMHFの導出過程が続きます。この中でPMFHは$F(t)$で表されるとあります。これはDPFを無視していることを意味します。LFを無視しており、つまり修理を無視しています。

本文中に"regarding single point faults"とあるので、単一故障でVSGとなる場合について述べており修理を無視して良いのですが、これが数式の前提だという誤解の元になります。しかしながら規格には明示されているので、これは規格の問題ではありません。

誤解されないようにDPFの場合の導出を明示するほうが良いのですが、規格には書かれてないため、弊社論文を参照するしかありません。

前のブログ 次のブログ

2025年の論文のテーマはQ(t)(Point unavailability)を考えていますが、論文を渉猟したところ、Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metricsというものを見つけました。これはPMHFの導出についていろいろなアプローチを検討しているものであり、非常に興味深い論文です。

ところが、最初のほうを見ていくと、

2.2 Failure Distribution Function
Random hardware faults of E/E systems are determined according to the exponential distribution. According to ISO 26262 these systems are non-repairable. Thereby the failure rate λ is considered as constant [7]. The unit of λ is Failure In Time (FIT) which is the number of failures in $10^9$ device-hours of operation. The related probability density function is:

(日本語訳)
2.2 故障分布関数
E/Eシステムのランダムなハードウェアフォールトは、指数分布に従って決定される。ISO 26262によると、これらのシステムは修復不可能である。そのため、故障率λは一定とみなされる[7]。λの単位はFIT(Failure In Time)であり、これは$10^9$デバイス稼働時間中の故障数である。関連する確率密度関数は:

既にここに誤りがあります。ISO 26262には明確に、修理の話が書かれています。例えば規格Part 10 8.3.2.3において、

Pattern 2
A fault in SM1 is mitigated and notified by SM2. The exposure duration of the fault is taken as the expected time required for the driver to take the vehicle in for repair.

(日本語訳)
パターン2
SM1のフォールトは SM2によって緩和され、通知される。フォールトの露出時間は、運転手が車両を修理に出すのに必要な予想時間とされる。

SM1が故障してその後に修理される、つまりSM1はrepairableであることを述べています。ダイレクトにSM1はrepairableと記述されていないため、分からなかったのかもしれません。

ここで述べられているパターン1～4はDPFのパターンです。上記パターン2は、故障順序はSM1⇒IFの順です。Pattern 2においてSM1のフォールトをSM2が検出できない場合LFになりますが、SM2はLF防止のためのSMです。Pattern 2ではSM2によりSM1のフォールトが防止され、ドライバーに通知され、ドライバーは車両を修理工場に運びます。

規格には修理工場の後の話が書かれていませんが、修理時間ゼロで修理される仮定となっています。このことは記述されていませんが、露出時間は修理工場搬入で終わることおよび、PMHFの公式から推定されるPMHF導出仮定のひとつです。

前のブログ 次のブログ

前稿の式を評価します。

$$ A_\text{SM}(t)=R_\text{SM}(t)+K_\text{SM,FMC,MPF}\left[-R_\text{SM}(t)+R_\text{SM}(u)\right]\\ =R_\text{SM}(t)+K_\text{SM,FMC,MPF}\left[F_\text{SM}(t)-F_\text{SM}(u)\right]\\ \text{s.t. }u:=t-n\tau=t-\lfloor\frac{t}{\tau}\rfloor\tau\tag{351.1} $$ 教科書等のとおり、稼働度は信頼度と修理度の和で表され、(351.1)式の$$ K_\text{SM,FMC,MPF}\left[F_\text{SM}(t)-F_\text{SM}(u)\right] $$ は修理度を意味します。この式は、最期の区間を除いた全ての区間において起きた検出可能フォールトは、その検査周期の最後で完全に修理され、最後の区間のみが修理が行われないことを表しています。

このように、修理度は故障した部分に基づき不信頼度で表すのが便利なので、(351.1)のように、稼働度は信頼度と不信頼度で表されます。

一方、不稼働度は、 $$ Q_\text{SM}(t)=1-A_\text{SM}(t)=F_\text{SM}(t)-K_\text{SM,FMC,MPF}\left[F_\text{SM}(t)-F_\text{SM}(u)\right]\\ =\img[-1.35em]{/images/withinseminar.png}\\ \ \text{s.t. }u:=t-n\tau=t-\lfloor\frac{t}{\tau}\rfloor\tau\tag{351.2} $$ のように、不信頼度とマイナスの修理度の和で表されるので、結果として不稼働度は(351.2)のように不信頼度とSMの検出カバレージで表されます。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

3. 稼働度の定義からの導出

ついでに既出ですが、リペアラブルエレメントの不稼働度$Q(t)$の数式的な求め方を示します。基本的にはブログ記事に示す導出方法です。

$$ Q_\text{SM}(t):=\Pr\{\text{(repairable)SM down at }t\}=1-A_\text{SM}(t)\tag{350.1} $$ 一方、稼働度は、 $$ A_\text{SM}(t):=\Pr\{\text{(repairable)SM up at }t\}\\ =R(t)+\int_0^t m(x)R(t-x)dx\tag{350.2} $$ ここで、$A(t)$は時刻tにおけるポイントアベイラビリティ、$R(t)$は時刻tにおけるリライアビリティ(信頼度)、$m(t)$は時刻tにおけるリニューアル密度(修理密度)です。

規格に従えば、修理周期は教科書一般にあるように指数関数分布はとらず、定期的に$\tau$毎に行われるため、稼働度として(350.2)は(350.3)と表せます。ここで、$i$は$i$番目の定期検査・修理を意味し、時刻$t$までに$n$回の定期検査・修理が行われるものとします。 $$ A_\text{SM}(t)=R_\text{SM}(t)+K_\text{SM,MPF}F_\text{SM}(\tau)\sum_{i=1}^n R_\text{SM}(t-i\tau)\tag{350.3} $$ ここで、$K_\text{SM,FMC,MPF}$は少々長いので、$K_\text{SM,MPF}$と省略しました。PMHFの議論中のKはFMC(Failure Mode Coverage)に決まっているためです。

修理分$K_\text{SM,MPF}F_\text{SM}(\tau)$が時刻$t$の関数でないのは、検出能力$K_\text{MPF}$は一定で、かつ毎回の故障確率も一定で、検出した分は全て修理されるため、修理分が一定となるためです。(350.3)式の総和を展開すれば、 $$ \require{cancel} A_\text{SM}(t)=R_\text{SM}(t)+K_\text{SM,MPF}\left[1-R_\text{SM}(\tau)\right]\cdot\\ \left[R_\text{SM}(t-\tau)+R_\text{SM}(t-2\tau)+...+R_\text{SM}(t-(n-1)\tau)\right]\\ =R_\text{SM}(t)+K_\text{SM,MPF}\left[\bcancel{R_\text{SM}(t-\tau)}-R_\text{SM}(t)\\ +\bcancel{R_\text{SM}(t-2\tau)}-\bcancel{R_\text{SM}(t-\tau)}\\ ...\\ +R_\text{SM}(t-n\tau)-\bcancel{R_\text{SM}(t-(n-1)\tau)}\right]\\ =R_\text{SM}(t)+K_\text{SM,MPF}\left[-R_\text{SM}(t)+R_\text{SM}(t-n\tau)\right] \tag{350.4} $$ ここで、$u:=t-n\tau$とパラメータ$u$を定義し、(350.1)に(350.4)を代入すれば、 $$ Q_\text{SM}(t)=1-A_\text{SM}(t)=F_\text{SM}(t)-K_\text{SM,MPF}\left[F_\text{SM}(t)\bcancel{-1}+\bcancel{1}-F_\text{SM}(u)\right]\\ =\img[-1.35em]{/images/withinseminar.png} \tag{350.5} $$ 以上から、(348.1)、(349.3)、(350.5)で示されたように、導出手法は異なっても同一のPUA方程式が導出されることがわかります。

このリペアラブルエレメントの不稼働度$Q(t)$(350.5)及び、それを時間微分した不稼働密度$q(t)$の方程式(350.6)は、PMHF方程式の導出の根幹です。

$$ q_\text{SM}(t)=\frac{dQ_\text{SM}(t)}{dt}=(1-K_\text{SM,MPF})\frac{dF_\text{SM}(t)}{dt}+K_\text{SM,MPF}\frac{dF_\text{SM}(u)}{du}\frac{du}{dt}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{350.6} $$

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

2. 愚直に場合分けする導出法

前稿のようにエレガントに導出するのではなく、全ての場合を愚直に場合分けすることを行います。そのほうが抜け漏れが防止でき、確実そうです。

ただし、任意の検査時刻$\tau_i,\ i=1,...,n$で考えると、区間がn+1個、検査がn回であるため、区間$[\tau_{i-1}, \tau_i)$でのフォールトの生起有/無が$2^{(n+1)}$とおり、検査時点$\tau_i$でのフォールト検出可/不可が$2^n$とおりあるので、検討の組み合わせが$2^{(2n+1)}$とおりと膨大になります。

ところが幸いなことに、フォールト検出は確率的に行われるのではなく、アーキテクチャ的に行われる前提です(ブログ記事の前提の2項を参照)。従って、いつフォールトが起きてもその次の周期での検査(時刻=$\tau_i$)ではなく、最近の検査(時刻=$\tau_n$)まで です。

従って、フォールトの生起を単に「生起」、フォールトの検出を単に「検出」と省略して書けば、最近の検査までの生起の有/無、最近の検査での検出の可/不可、その後の生起の有/無の$2^3$とおりを考えれば良いわけです。この絞り込みは愚直とは言えず、むしろエレガントかもしれませんが。

この絞り込みを表現するために、3つ組記法を考え、

　(($0$から$\tau_n$までの生起の有/無),($\tau_n$での検出の可/不可),($\tau_n$からtまでの生起の有/無))

の全ての組み合わせを考えます。有/無や可/不可をYes(有)/No(無)で表せば、全ての場合は$2^3$とおりあり、

1. (Yes, Yes, Yes)
2. (Yes, No, Yes)
3. (Yes, Yes, No)
4. (Yes, No, No)
5. (No, Yes, Yes)
6. (No, No, Yes)
7. (No, Yes, No)
8. (No, No, No)

の8とおりです。このうち、時刻$t$でSMが不稼働状態になるのは、

1. (Yes, Yes, Yes)⇒不稼働
2. (Yes, No, Yes)⇒不稼働
3. (Yes, Yes, No)
4. (Yes, No, No)⇒不稼働
5. (No, Yes, Yes)⇒不稼働
6. (No, No, Yes)⇒不稼働
7. (No, Yes, No)
8. (No, No, No)

の1, 2, 4, 5, 6の5とおりです。これらの不稼働になる場合を、真ん中の検出可(=Yes)でまとめれば、

　1. (Yes, Yes, Yes)⇒不稼働
　5. (No, Yes, Yes)⇒不稼働

の2とおりとなります。検出可の条件で不稼働となる確率は、上記の2とおりです。従って、この条件での時刻$t$での不稼働確率は、次の確率式 $$ \Pr\{\text{fault detected at }\tau_n\ \cap\ \text{SM receives a fault in }(\tau_n, t]\}\tag{349.1} $$ で表されます。

一方、真ん中の検出不可(=No)でまとめれば、

　2. (Yes, No, Yes)⇒不稼働
　4. (Yes, No, No)⇒不稼働
　6. (No, No, Yes)⇒不稼働

の2, 4, 6の3とおりとなります。検出不可の条件で不稼働となる確率は、上記の3とおりです。従って、この条件での時刻$t$での不稼働確率は、次の確率式 $$ \Pr\{\text{fault not detected at }\tau_n\ \cap \text{SM receives a fault in }(0, t]\}\tag{349.2} $$ で表されます。

以上から、

1. 検出の可不可のそれぞれの場合は排反事象である(ためそれぞれの確率は足すことができる)
2. フォールトの生起と検出可不可はそれぞれ独立事象である(ため積事象の場合それぞれの確率は掛けることができる)

従って、不稼働度は、(349.1)と(349.2)を用いて $$ Q_\text{SM}(t)\equiv\Pr\{\text{SM is down at }t\}\\ =\Pr\{\text{fault not detected at }\tau_n\ \cap \text{SM receives a fault in }(0, t]\ \cup\\ \text{fault detected at }\tau_n\ \cap\ \text{SM receives a fault in }(\tau_n, t]\}\\ =\Pr\{\text{fault not detected at }\tau_n\}\Pr\{\text{SM receives a fault in }(0, t]\}\\ +\Pr\{\text{fault detected at }\tau_n\}\Pr\{\text{SM receives a fault in }(\tau_n, t]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{349.3} $$ と導出されます。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

1. エレガントな導出法

図347.1を以下に再掲します。

図347.1において、SMが$t$においてダウンしている確率を考えます。SMに起こったフォールトが、任意の$\tau_i$で2nd SMにより検出可能(=修理可能)か不可能かで分類します。

• 検出可能な場合：時刻$0$から$\tau_n$未満の間にフォールトが起きる場合、次の定期検査$\tau_i\ (i=1,...,n)$の時点で検出され修理されるので、最近の検査時刻$\tau_n$でフォールトはありません。あるいは、フォールトが起きない場合も$\tau_n$の時点ではフォールトはありません。従って、時刻$t$でダウンしている確率は$\tau_n$直後から$t$までの間にフォールトが起きる場合に限られます。
• 検出不可能な場合：2nd SMが無いのと同じことであるため、全ての時間、つまり時刻$0$から$t$までの間にフォールトが起きる確率、すなわち不信頼度$F(t)$が、時刻$t$でダウンしている確率となります。

以上を合わせ、SMが時刻$t$でダウンしている確率を求めます。

1. 検出の可不可のそれぞれの場合は排反事象である(ためそれぞれの確率は足すことができる)
2. フォールトの生起と検出可不可はそれぞれ独立事象である(ため積事象の場合それぞれの確率は掛けることができる)

上記から不稼働度は、

$$ Q_\text{SM}(t)\equiv\Pr\{\text{SM is down at }t\}\\ =\Pr\{\text{fault not detected at }\tau_n\ \cap \text{SM recieves a fault in }(0, t]\ \cup\\ \text{fault detected at }\tau_n\ \cap\ \text{SM recieves a fault in }(\tau_n, t]\}\\ =\Pr\{\text{fault not detected at }\tau_n\}\Pr\{\text{SM recieves a fault in }(0, t]\}\\ +\Pr\{\text{fault detected at }\tau_n\}\Pr\{\text{SM recieves a fault in }(\tau_n, t]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{348.1} $$ と導出されます。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

不稼働度$Q(t)$の導出準備

定期検査を持つリペアラブルエレメントの不稼働度(Unavailability, PUA)$Q(t)$の方程式は、世界で初めて弊社が導出したものです。このリペアラブルエレメントの不稼働度$Q(t)$の導出について解説します。

定義

不稼働度の定義は(66.10)に示します。

前提

一般にはSMにフォールトが起きても直ちにVSGとならないため、意図機能が動作している間に修理が可能であり、これをリペアラブルエレメントと言います。

図347.1のように、2nd SMによるSMに対する定期検査が、周期$\tau$で行われます。$i$番目の検査時刻は$\tau_i,\ i=1, ..., n$です。このときのSMの、時刻$t$での不稼働度を考えます。最近の検査時刻を$\tau_n$とすれば、 $$ \tau_n=n\tau=\lfloor\frac{t}{\tau}\rfloor\tau\tag{347.1} $$

前提をまとめると以下のようになります。

• 定期検査・修理をこれら時間間隔の総和であり、規格ではこれらを合わせたものを露出時間と呼ぶ。
• 2nd SMには診断カバレージ(DC)があるものの、このDCを$K_\text{FMC,MPF}$で表す。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

前のブログ 次のブログ

ISO 26262とPMHFのコンセプト(続き)

論文sae2020$\dagger$のISO 26262とPMHFのコンセプト(続き)です。

The PMHF and all the related failure rate calculations in a product development team are often handled by a reliability engineer and even though the standard uses the metrics reflecting the probability of failure (or unreliability in reliability engineer’s terms), some of the approaches and metrics used by ISO 26262 are not that of reliability engineering practice. Therefore, the objective of this paper is to explain some of the metrics and calculations suggested by the Functional Safety standard in reliability engineering terms in order to make their application easier.

製品開発チームにおける PMHF や関連するすべての故障率計算は信頼性技術者が担当することが多く、規格では故障の確率（信頼性技術者の用語では不信頼度）を反映したメトリクスを使用しているにもかかわらず、ISO 26262 で使用されているアプローチやメトリクスの中には、信頼性工学の実務とは異なるものもある。そこで、本稿の目的は、機能安全規格で提案されているメトリクスや計算の一部を信頼性工学の用語で説明し、その適用を容易にすることである。

「故障の確率（信頼性技術者の用語では不信頼度）」という表現は、ISO 26262的には誤りです。故障の確率や不信頼度(これらは修理を含まない)ではなく修理を考慮した不稼働度が正しい表現です。次の章で説明しますが、これについてはほとんどの論文が同じ誤りを犯しています。その理由は、規格に数学的な説明が無いためであり、これはPMHF式を自ら導出して初めて理解されることです。

PMHFと基本的な信頼性計算

In order to link the PMHF and reliability terminology, certain basics of reliability calculations need to be briefly covered here which can be found in multiple sources (see, for example, [3]). If the random failures in the field can be modeled by a statistical distribution with the probability density function (pdf) f(t), then the cumulative distribution function (CDF) F(t) representing the probability of failure at the time t or unreliability can be calculated as:

PMHF と信頼性の用語を結びつけるために、信頼性計算のある種の基礎をここで簡単に説明する必要があります。現場でのランダムな故障が確率密度関数(pdf) f(t)を持つ統計分布でモデル化できるならば、時刻 t での故障の確率または信頼性の低下を表す累積分布関数(CDF) F(t)は次のように計算できます。

故障だけを考えれば、PMHFは確率密度関数(PDF)あるいは、その累積分布関数である不信頼度(CDF)により表されるのですが、一方ISO 26262では2nd order SMによる周期的な故障検出と修理を仮定しています。従って、修理を考慮すると、不信頼度$F(t)$は不稼働度$Q(t)$に変更する必要があり、確率密度$f(t)$は不稼働密度(PUD)$q(t)$に変更する必要があります。

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

前のブログ 次のブログ