Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

新方式によるPUAの導出 (4)

posted by sakurai on March 19, 2024 #757

ここまで見たように、PMHFの正確な議論のためには論文のロジックをPUA起点からPUD起点に組みかえる必要があります。 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime}) $$

現在までの流れ:

  • Kパラメータは条件付き確率ではないと仮定する
  • PUA $Q(t)$を導出する。その前提は「周期間での修理量は常に$KF(\tau)$に等しい」⇒これより $$ Q(t)=(1-K)F(t)+KF(u), u=t\bmod\tau $$
  • PUD $q(t)$はPUAを時間微分したもの
  • PMHFはPUAを車両寿命で割ったものとして導出する

改訂版の流れ:

  • Kパラメータは条件付き確率と仮定する
  • Kパラメータから微分方程式PUD $q(t)$を導出する $$ q(t)dt=R(t)\lambda dt=f(t)dt $$
  • 「周期の最後で検出し修理する」のと「瞬間瞬間で検出し色付けしておき最後で修理する」のとが等価であることを示す
  • 修理すればそれは良品となるため、周期の最後では不良品のみがLFとして残ることを示す
  • PUDの積分方程式$\int q(t)$を解いて正確なPUA $Q(t)$を導出する $$ Q(t)=K_\text{MPF}R(n\tau)F(u) ,\ \ s.t.\ n=\lfloor \frac{t}{\tau}\rfloor, u=t\bmod\tau\tag{5} $$
  • $R(n\tau)\approx1$の議論を行い、近似PUA(現行のPUA)を導出⇒ここから現在までの流れに合流する
  • PMHFはPUAを車両寿命で割ったものとして導出する

こうすることで今までの議論が全て成立することになります。

一例をあげると、 $$ \begin{eqnarray} \begin{cases} \lambda&=10FIT=1.0\times10^{-8}\\ n\tau&\approx T_\text{lifetime}=1.0\times10^{5} \end{cases} \end{eqnarray} $$ これらの数値を用いれば、 $$ R(n\tau)=0.999 $$ となり、ほぼ1であることからこの項は無視できることがわかります。逆に$\lambda$が513[FIT]未満であれば1とみなしても5%程度の誤差で収まります。

注意:
本記事も、上記のこのマーカーの箇所が誤りのようです。上記は修理可能部分の不信頼度は累積されないとして計算しましたが、実際には不信頼度は累積され、区間の最後で修理されます。従って、不信頼度の累積は高い不稼働度に繋がり、本計算では実際より低く見積もることになります。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

新方式によるPUAの導出 (3)

posted by sakurai on March 18, 2024 #756

さて、微小時間間隔$(t, t+dt)$における不検出部分の微小確率$q_\text{undet}(t)$は、 $$ q_\text{undet}(t)=\Pr\{\text{undetected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ =\Pr\{\text{undetected}\hspace{1pt}|\hspace{1pt}\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ \cdot\Pr\{\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ =(1-K_\text{MPF})\cdot\Pr\{\text{failed in }(t, t+dt)\hspace{1pt}|\hspace{1pt}\text{up at }t\}\cdot\Pr\{\text{up at }t\}\\ =(1-K_\text{MPF})\lambda dt R(t)=(1-K_\text{MPF})f(t)dt\tag{756.1} $$ でした。不検出部分は修理の影響を全く受けないため、$Q(t)$は $$ Q_\text{undet}(t)=\int_0^t q_\text{undet}(s)ds=(1-K_\text{MPF})\int_0^tf(s)ds=(1-K_\text{MPF})F(t)\tag{756.2} $$ 他方、検出部分の微小確率$q_\text{det}(t)$は $$ q_\text{det}(t)=\Pr\{\text{detected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ =\Pr\{\text{detected}\hspace{1pt}|\hspace{1pt}\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ \cdot\Pr\{\text{failed in }(t, t+dt)\cap\text{up at }t\}\\ =K_\text{MPF}\cdot\Pr\{\text{failed in }(t, t+dt)\hspace{1pt}|\hspace{1pt}\text{up at }t\}\cdot\Pr\{\text{up at }t\}\\ =K_\text{MPF}\lambda dt R(t)=K_\text{MPF}f(t)dt\tag{756.3} $$ この微小確率は累積せずに区間毎に修理され、最後の区間のみ累積されるため、$Q(t)$は $$ \require{cancel} Q_\text{det}(t)=\int_0^t q_\text{det}(s)ds=K_\text{MPF}\int_{n\tau}^t f(s)ds=K_\text{MPF}\left[F(t)-F(n\tau)\right]\\ =K_\text{MPF}\left((\bcancel{1}-e^{-\lambda t})-(\bcancel{1}-e^{-\lambda n\tau})\right)=K_\text{MPF}e^{-\lambda n\tau}\left(1-e^{-\lambda(t-n\tau)}\right)\\ =K_\text{MPF}R(n\tau)F(u) ,\ \ s.t.\ n=\lfloor \frac{t}{\tau}\rfloor, u=t\bmod\tau\tag{756.4} $$ 式(2), (3)を加えて、 $$ Q(t)=(1-K_\text{MPF})F(t)+K_\text{MPF}R(n\tau)F(u) ,\ \ s.t.\ n=\lfloor \frac{t}{\tau}\rfloor, u=t\bmod\tau\tag{756.5} $$

図756.1に、 $$ \begin{eqnarray} \begin{cases} Q_1(t)&=(1-K_\text{MPF})F(t)+K_\text{MPF}F(u)\\ Q_2(t)&=(1-K_\text{MPF})F(t)+K_\text{MPF}R(n\tau)F(u) ,\ \ s.t.\ n=\lfloor t/\tau\rfloor, u=t\bmod\tau\tag{756.6} \end{cases} \end{eqnarray} $$ のグラフを示します。

図%%.1
図756.1 $Q_1(t)$と$Q_2(t)$のグラフ

本来なら$Q_2(t)$を使用すべきですが、$Q_1(t)$を近似式として使用します。

注意:
本記事は上記のこのマーカーの箇所が誤りのようです。上記は修理可能部分の不信頼度は累積されないとして計算しましたが、実際には不信頼度は累積され、区間の最後で修理されます。従って、本来不信頼度の累積は高い不稼働度になるところが、本計算ではより低く見積もることになります。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

新方式によるPUAの導出 (2)

posted by sakurai on March 15, 2024 #755

さて、過去記事でKパラメータは条件付き確率ではなく、アーキテクチャ固有の値であると仮定したのには理由があり、2つの問題があるからでした。

問題1
しかしながら、Kパラメータ($K_{\mathrm{FMC,MPF}}$及び$K_{\mathrm{FMC,RF}}$)が条件付き確率として一定だと矛盾が起きます。抑止条件が確率的に作用することにより、例えば1回目にはVSG抑止されたフォールトが、2回目にはVSG抑止されないことが起こりえます。あるいは1回目にはリペアされたフォールトが2回目にはリペアされないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

これはIFのフォールトについてのステートメントなので、SMに書き換えます。

問題1
しかしながら、Kパラメータ($K_{\mathrm{MPF}}$)が条件付き確率として一定だと矛盾が起きます。検出が確率的に作用することにより、例えば1回目には検出されリペアされたフォールトが、2回目には検出されないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

という問題は、フォールト検出はアーキテクチャに無関係に確率的に行われるとすれば、問題ありません。

次の問題は、

問題2
次に、例えば故障検出率$K_{\mathrm{FMC,MPF}}$について考えると、長時間が経ち故障検出を長く続ける場合を考えます。検出されるフォールトは全量リペアされるのに比べて、検出されないフォールトはどんどん溜まって行き、不信頼度は上昇し続けます。従って、新たにフォールトするうちの検出される部分の比率が高まりそうであるのに、条件付き確率として一定値であると感覚に反します。

これはSMのフォールトについてのステートメントなのでそのままです。

これも検出は確率的に行われるとすれば、問題ありません。検出される部分の比が高まるように思うのは、アーキテクチャ的な構造を前提としているからであり、検出が完全に確率的だとすれば、特に矛盾はありません。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

新方式によるPUAの導出

posted by sakurai on March 14, 2024 #754

以下は全てSMについての議論とします。Kパラメータは条件付き確率ではなく、アーキテクチャ固有の値だと仮定してきました。そこでの議論のうち、$K_\text{RF}$すなわち、1st SMによるVSG preventionはSMについては1として無視して良いです。

しかしながら、以下の証明のように、アーキテクチャ固有の値ではなく、条件付き確率でも同様な結果が得られることが分かります。まず、信頼度と故障率を定義どおり、 $$ \begin{eqnarray} R(t)&=&\Pr\{\text{up at }t\}\\ \lambda dt&=&\Pr\{\text{failed in }(t, t+dt)\hspace{1pt}|\hspace{1pt}\text{up at }t\} \end{eqnarray}\tag{754.1} $$ とし、2nd SMによる検出率$K$を $$ K_\text{MPF}=\Pr\{\text{detected}\hspace{1pt}|\hspace{1pt}\text{failed in }(t, t+dt)\cap\text{up at }t\}\tag{754.2} $$ と仮定します。すると、微小時間間隔$(t, t+dt)$における不検出部分の故障確率は、 $$ \Pr\{\text{undetected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=(1-K_\text{MPF})R(t)\lambda dt=(1-K_\text{MPF})f(t)dt\tag{754.3} $$ よって、0から$t$まで積分すれば、$t$における不検出不信頼度は、 $$ \int_0^t(1-K_\text{MPF})f(s)ds=(1-K_\text{MPF})F(t)\tag{754.4} $$ 他方、微小時間間隔$(t, t+dt)$における検出部分の故障確率は、 $$ \Pr\{\text{detected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=K_\text{MPF}R(t)\lambda dt=K_\text{MPF}f(t)dt\tag{754.5} $$ よって、0から$u\in(0, \tau)$まで積分すれば、$u=t\bmod\tau$における検出不信頼度、すなわち修理確率は、 $$ \int_0^uK_\text{MPF}f(s)ds=K_\text{MPF}F(u), u=t\bmod\tau\tag{754.6} $$ 最後に、検出と不検出は背反事象であり確率は加えることができるため、全確率の定理より修理を考慮した不信頼度、すなわち不稼働度は $$ Q(t)=(1-K_\text{MPF})F(t)+K_\text{MPF}F(u), u=t\bmod\tau\tag{754.7} $$ と求まります。

注意:
ただしこれは全ての区間で修理量が同じという前提に立っています。最新の研究ではこれは近似値だと判明しており、今後この点についてIEEE学会投稿する予定です。また、このブログでも深堀し、一部について開示します。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (5)

posted by sakurai on March 13, 2024 #753

論文$\dagger$の続きです。

4.1 ISO 26262 Approachにおいて誤りをもうひとつ見つけました。

論文(7)式において $$ M_\text{PMHF}=\frac{F(T_\text{L})}{T_\text{L}}=\frac{1-e^{-(1-DC)\lambda T_\text{L}}}{T_\text{L}}\approx\frac{(1-DC)\lambda T_\text{L}}{T_\text{L}}=(1-DC)\lambda\tag{753.1} $$ であると書いています。ここでの誤りは、不検出故障による不信頼度を $$ 1-e^{-(1-DC)\lambda T_\text{L}}\tag{753.2} $$ としたところです。本来の故障率$\lambda$が検出動作によりみかけの故障率$(1-DC)\lambda$になるので、時刻$T_\text{L}$までの不信頼度$F(T_\text{L})$における$\lambda$を$(1-DC)\lambda$で置き換えた(2)式となるように思われます。

しかしながらこれは誤りであり、以下に証明します。まず$t$における不検出不信頼度の正しい式を求めると、 $$ \begin{eqnarray} R(t)&=&\Pr\{\text{up at }t\}\\ \lambda dt&=&\Pr\{\text{failed in }(t, t+dt)|\text{up at }t\}\\ DC&=&\Pr\{\text{detected}|\text{failed in }(t, t+dt)\cap\text{up at }t\}\tag{753.3} \end{eqnarray} $$ これらより、微小時間間隔$(t, t+dt)$における不検出部分の故障確率は、 $$ \Pr\{\text{undetected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=(1-DC)R(t)\lambda dt=(1-DC)f(t)dt\tag{753.4} $$ よって、0から$t$まで積分すれば、$t$における不検出不信頼度は、 $$ \int_0^t(1-DC)f(s)ds=(1-DC)F(t)=(1-DC)(1-e^{-\lambda t})\tag{753.5} $$ であり、(2)のように $$ 1-e^{-(1-DC)\lambda t}\tag{753.6} $$ ではありません。ただし、$\lambda t\ll1$の場合にはいずれも同じ値$(1-DC)\lambda t$に近似されます。

ではどこが誤りかと言えば、 $$ \lambda'=(1-DC)\lambda\tag{753.7} $$ と置き換えると分かりますが、(4)において、$\lambda'$を用いれば、 $$ (4)=(1-DC)R(t)\lambda dt=\lambda'R(t)dt=\lambda'e^{-\lambda t}dt\tag{753.8} $$ (8)の右辺が$\lambda'e^{-\lambda' t}dt$であれば(6)が成立しますが、そうではないので成立しません。近似であると断ってから使用すればまだしも、この著者は安易にこの導出$\ddagger$を使用しているため注意が必要です。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

$\ddagger$みかけの故障率が$(1-DC)\lambda$である場合に、$1-e^{-(1-DC)\lambda t}$となると誤解して不信頼度を導出すること


左矢前のブログ 次のブログ右矢

PUA関連論文Hokstad1997 (2)

posted by sakurai on March 12, 2024 #752

論文$\dagger$の続きです。

モデルDにおいては、 $$ I(t)=f(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ これは周期関数としては正しいですが、DC=100%として100%修理されていることに改善の余地があります本来は2nd SMによる検出可否に分解し、露出時間は検出可の部分は$\tau$とし、不可の部分は車両寿命とすべきです。検出可否を考慮に入れれば、 $$ q(t)=(1-K)f(t)+Kf(u), u=t\bmod \tau $$ となりPUDの一般式となります。

また、著者によるmean number of failure (cumulative intensity)は、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M(t)=\colorbox{pink}{$i$}F(\tau)+F(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ となっており、初項の$iF(\tau)$に疑問があります。

初項の導出の理由を示す部分を見てみましょう。原文では$n$となっていますが$i$に変えたのは、我々は$n=\lfloor t/\tau\rfloor$として使用しているためです。

As a last feature of model D observe that the mean number of failures up to time $t$ equals
モデルDの最後の特徴として、時刻$t$までの平均故障数が次に等しいことがわかる $$ M(t) = n\cdot F(\tau)+F(t - n\cdot\tau),\ \text{for }n\tau \le t\lt(n + 1)\tau. $$ In each interval there is either one failure or no failure, and of course $M(\tau)=F(\tau)=1-R(\tau)$ equals the probability of having one failure in the interval. In particular $M(n\cdot\tau)=n\cdot F(\tau)$, which is the relation to be used for estimating $i_{\tau}$.
各区間には故障が1回あるかないかであり、当然$M( \tau)=F( \tau)=1-R( \tau)$ はその区間に故障が1回ある確率に等しい。特に、$M(n\cdot \tau)=n\cdot F(\tau)$は、$i_{\tau}$を推定するための関係式である。

一区間の故障確率は、$M(\tau)=F(\tau)$であるから、$i\tau$における故障確率は$M(i\tau)=iF(\tau)$だとこのとですが、論文の最後のせいか十分な検討無しに書いたように思われます。そもそも$M(t)$はunavailabilityであるため、1を超えることはないはずです。

検証のためにChatGPTにより$M(t)$をグラフ化すると、

図%%.1
図752.1 $M(t)=iF(\tau)+F(t-i\tau), i=\text{floor}(t/\tau)$

となり、明らかにおかしいです。$M(t)$は我々の記法によれば、PUAであり、 $$ Q(t)=(1-K)F(t)+KF(u), u=t\bmod \tau $$ と書くことができます。

本論文は、様々なモデルや関数の定義を与える良い論文ではあるものの、昔の論文のせいかグラフ図が手書きで不正確です。上記の誤りがあるだけでなく、PUAの一般式も求められていません。


$\dagger$ P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.


左矢前のブログ 次のブログ右矢

PUA関連論文Hokstad1997

posted by sakurai on March 11, 2024 #751

PUA関連論文シリーズ最後は以下の論文です。

P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

故障事象モデルの定式化に対する統一的なアプローチを示す。これは、修理可能なものと修理不可能なもの、予防保全と是正保全の両方を分析するための共通の枠組みを提供するものであり、休止故障のあるものにも適用できる。提案された手順は、一連のグラフによってサポートされ、それによって、固有の信頼性(すなわち、ハザード率)と保守・修理方針の両方の重要性を明らかにする。様々な故障強度の概念の定義/解釈は、このアプローチの基本である。したがって、これらの強度間の相互関係を検討し、それによってこれらの概念の明確化にも貢献する。これらの概念の中で最も基本的なものである故障強度過程は、計数過程(マーチンゲール)で使用されるものであり、その時点までの品目の履歴が与えられた時点tにおける故障率である。提案するアプローチは、いくつかの標準的な信頼性とメンテナンスのモデルを考えることによって説明される。

いろいろな不稼働度モデルが紹介されていますが、我々の関心があるのは定期検査を持つModel Dと呼ばれるモデルです。

Model D (休眠故障と定期的なテストを伴うアイテム)

一方、著者によれば、様々な確率過程は以下の定義となります。

関数名 関数 論文関数名 論文関数 我々の関数名 我々の関数
非修理系 reliability $R(t)$ 修理系 availability $A(t)$ availability $A(t)$
PDF (probability density function) $f(t)$ failure intensity,
mean intensity,
unconditional intensity,
ROCOF(Rate of OCcurrence Of Failure)
$I(t)$ PUD (point unavailability density) $q(t)$
CDF (cumulative distribution function) $F(t)$ mean number of failure,
cumulative intensity
$M(t)$ PUA (point unavailability) $Q(t)$
hazard rate $\lambda(t)$ conditional intensity $I_{up}(t)$ Veseley's failure rate $\lambda_v(t)$

Average intensity、もしくはAROCOF (Average Rate of OCcurrence Of Failure)は、 $$ i_\tau=\frac{1}{\tau}\int_0^\tau I(t)dt=\frac{1}{\tau}M(\tau) $$ 我々の定義では、$I(t)$は$q(t)$と、$M(t)$は$Q(t)$と定義します。元になる非修理系において一般的な記法であるPDF=$f(t)$、その積分であるCDF=$F(t)$を踏襲するなら$i$や$I$の大文字小文字は逆にして欲しかったところです。

我々は特に車両寿命間の平均PUDが知りたいため、PFHも同様の定義ですが、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime})=i_{T_\text{lifetime}} $$ が求めたい平均不稼働密度です。


左矢前のブログ 次のブログ右矢

PUA関連論文Sobral2016

posted by sakurai on March 8, 2024 #750

次は以下の論文です。

J. Sobral, L. Ferreira, “Availability of Fire Pumping Systems Under Periodic Inspection,” J. Build. Eng., vol. 8, pp 285–291, (Dec.) 2016.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

消防ポンプシステムは、住宅、商業施設、工業施設など、あらゆる建物の消火に使用されている。これらのシステムは、建物保護の目的で設置された手動または自動装置に必要な水流と圧力を供給する役割を担っている。従って、望ましくない火災が発生した場合に、その可用性を保証することは非常に重要である。本稿では、消防ポンプ設備が定期的な点検や試験を受けた場合の可用性に焦点を当てる。これらの検査や試験は、システムの挙動を観察し、コンポーネントやサブシステムの潜在的な隠れた故障を検出するために実施される。本論文で提案する方法論は、第一段階として、重要な機器の要求時に故障が発生する確率を分析し、この重要な段階の成功確率を分析することに焦点を当てている。また、消防ポンプシステムの望ましい可用性に対する点検・試験頻度の影響も示す。

適用分野はだいぶ異なりますが、論文の(2)式は瞬間不稼働度を求めるもので、

$$ Q(T)=\frac{1}{T}\int_0^Tq(t)dt $$ と書かれています。これは我々のPUAと同じで、その場合$q(t)$はPUDということになります。

以降では本論文がPMHFをどのように導出するかを見ていきます。

$$ Q(\tau)=\frac{1}{\tau}\int_0^\tau(\tau-t)f(t)dt=\frac{1}{\tau}\int_0^\tau F(t)dt $$ ここで、F(t)を導出しており、$\tau-t$はダウンタイム幅と解釈されますが、式が誤っているようです。本来$f(t)$を積分すると$F(t)$になるため、積分せずに$F(t)$となることは改善の余地がありそうです。ただしavailabilityとしてsawtooth波形を掲載しているのは正しいので、その後の議論がおかしくなっているようです。

式はこの程度しか掲載されておらず、著者はPUAの一般式を導出していません。従ってこの論文の分析はここまでです。


左矢前のブログ 次のブログ右矢

2月の検索結果

posted by sakurai on March 7, 2024 #749

弊社コンテンツの2月の検索結果です。

表749.1 上昇率上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) +40
ASILデコンポジション +29
SPFM, LFM, PMHFの計算法の例 +22

表749.2 パフォーマンス上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) 203
ASILデコンポジション 152
機能安全用語集 128

表749.3 上昇率上位のクエリ
クエリ クリック数
FTTI +27
ASILデコンポジション +10
FTTI FHTI 違い +10

表749.4 パフォーマンス上位のクエリ
クエリ クリック数
FTTI 84
PMHF 35
SPFM 28


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (4)

posted by sakurai on March 6, 2024 #748

論文$\dagger$の続きです。

4.3 Unavailability Approach

ISO 26262は修理が前提であるため、不信頼度ではなく4.3の修理を考慮した不稼働度が正しいアプローチです。著者は論文(9)式において $$ M_\text{PMHF}=\frac{F(T_\text{DIAG})}{T_\text{L}}=\frac{(1-e^{-\lambda T_\text{DIAG}})}{T_\text{L}} $$ のように検出部分のみを考慮しています。これが検出部分のみというのは露出時間が$T_\text{DIAG}$ということで分かります。不検出部分を考慮すれば露出時間は$T_\text{L}$が関係するからです。そのため、本来は検出部分だけでなく不検出の部分の$(1-DC)F(T_\text{L})$も加わるはずです。DC=100%という前提であることは原文からもわかります。

Even if the cyclisation is taken into account, the DC is not, and it is assumed to be DC = 100 %.

一方でRFでは残余部分である(1-DC)を考えているのでDC=100%という前提は改善が必要な前提だと言えます。

さらに一周期分の不稼働度を車両寿命で割ることにも改善の余地があります。本来車両寿命間には検査周期が$n=T_\text{L}/T_\text{DIAG}$個あるはずなので、上式$F(T_\text{DIAG})/T_\text{L}$を$n$倍するべきです。

どうしてこの式になったのかは不明ですが、修理されたものは二度と故障しないという仮定なのでしょうか? 修理され良品となっても次の検査サイクルで故障する可能性はあります。従って、毎サイクルで不信頼度は$F(T_\text{DIAG})$となるため全周期分を車両寿命で割るべきです。

そもそも本論文の目的は、SPF/RFにおいても離散的な検査を考慮し、みかけのPMHFを引き下げることでFHTI$\ge$FTTIとなるようなサブシステムについてもOKとしたいということのようです。しかしながら、前述のように本来FHTI$\ge$FTTIという時点でDCをクレームできない(すなわちDC=0)というのがISO 26262的な観点であるため、PMHFは引き下げるどころか引き上げられます

従って、上記の数々の枝葉の問題以前に根本が破綻していると言えます。せっかくCyclisationを考慮するのなら2nd SMについての検討が望まれます。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢


ページ: