Posts Tagged with "ISO 26262"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

AI Writer (3)

posted by sakurai on September 14, 2023 #663

同じ内容が繰り返されているようなので、ChatGPT-4に改善してもらいます。

以下の文章は冗長で長いため、冗長性を削除して短くしてください。特に不稼働度の項目は逆になっています。つまり不稼働度は高信頼性を意味すると書かれているが、逆であり、不稼働度は故障の確率を表すものです。この節だけ論旨を反対にしてください。

機能安全とは?車載ECUの不稼働度を評価するPMHFとISO26262との関係

機能安全とは

機能安全とは、車載ECUにおける機能安全の重要性について説明するものです。車載ECUは自動車の中枢を担い、安全性が最も重要な要素となっています。ISO26262規格は、この機能安全の要件を定め、その適用範囲や評価方法などを規定しています。

車載ECUの機能安全は、万が一の故障や異常動作を防止し、適切な制御が行われることを保証することを目的としています。ISO26262では、ハードウェアの設計やソフトウェアの開発、評価方法など、様々な要件が述べられています。機能安全の確保は、自動車の信頼性を高めるために欠かせない要素であり、自動車メーカーなどにとっては非常に重要な課題となっています。

不稼働度とは

不稼働度とは、車載ECUにおいて非常に重要な概念です。不稼働度とは、システムが正常に動作することが期待される時間に対して、システムが実際に正常に動作している時間の割合を示します。つまり、車載ECUの不稼働度が高いほど、システムの信頼性や安全性が高いと言えるのです。不稼働度を評価するためには、システムの故障率や故障の影響度などの情報が必要です。不稼働度の評価には、統計的な手法やシミュレーションなどが用いられます。不稼働度の高い車載ECUは、車両の安全性を確保する上で非常に重要であり、ISO26262規格などの機能安全の要件を満たす必要があります。車載ECUの不稼働度を向上させるためには、信頼性の高いハードウェアやソフトウェアの設計と開発が不可欠です。

PMHF(Probabilistic Metric for Random Hardware Failures)とは

PMHF(Probabilistic Metric for Random Hardware Failures)は、機能安全において重要な評価指標の一つです。PMHFは、車載ECUにおけるランダムなハードウェア故障の確率を算出するためのメトリックです。車載ECUには多くの電子部品や回路が搭載されており、これらのハードウェアの故障は機能安全に影響を与える可能性があります。PMHFは、このようなランダムなハードウェア故障の発生確率を示す指標として利用されます。PMHFの算出方法や評価指標はISO26262規格に基づいており、これに従って導入されることが推奨されています。PMHFを活用することで、車載ECUの機能安全を向上させることができます。

車載ECUにおけるPMHFの利用

車載ECUにおけるPMHFの利用は、機能安全の向上において非常に重要です。PMHFは、Probabilistic Metric for Random Hardware Failuresの略であり、ランダムなハードウェア障害の確率を評価する指標です。車載ECUでは、信頼性の向上や不稼働度の評価にPMHFを利用することができます。また、PMHFを活用することで車載ECUの故障の予測や調査が可能となり、車載システムの安全性を確保するための戦略や対策を立てることができます。これにより、自動車の安全性向上や事故や故障のリスクを軽減することができます。特に、ISO26262という機能安全の国際規格に基づいた車載システム開発では、PMHFの利用が求められています。車載ECUにおけるPMHFの利用により、より高い機能安全性を確保することができるため、自動車業界において重要な技術と言えます。

ChatGPT:

以下に短縮した文章を提供します。

機能安全とは?車載ECUの不稼働度を評価するPMHFとISO26262との関係

機能安全について

機能安全は、車載ECUが正常に動作し、故障や異常を防止することを目指します。この確保はISO26262規格で規定され、自動車の信頼性を高めるために重要です。

不稼働度について

不稼働度は、車載ECUが正常に動作していない時間の割合を表し、低いほど信頼性や安全性が高まります。不稼働度の評価には故障率や影響度が必要で、その向上には信頼性の高い設計と開発が必要です。

PMHFについて

PMHFは、車載ECUのランダムなハードウェア故障の確率を示す指標で、ISO26262規格に基づいています。PMHFの活用は、車載ECUの機能安全向上に有用です。

PMHFの利用

車載ECUでは、PMHFを活用し、信頼性の向上や故障の予測が可能になります。これにより、安全性の向上や事故や故障のリスク軽減に寄与し、高い機能安全性を確保します。


左矢前のブログ 次のブログ右矢

AI Writer (2)

posted by sakurai on September 13, 2023 #662

このタイトルやキーワードに沿って、記事の章立てを考えてくれます。適宜編集することが可能です。5番目の展望については不要なので、削除しました。

図%%.1
図662.1 記事の概要

この章立てで記事を書かせると、やや冗長な記事を書いてくれました。長いので、以下に部分のみを示します。

図%%.2
図662.2 記事の概要

不稼働度について、不稼働度が高まると信頼度が上がると逆のことが書かれています。これを修正させましょう。


左矢前のブログ 次のブログ右矢

AI Writer

posted by sakurai on September 12, 2023 #661

キーワードを入れると記事を書いてくれる(ChatGPTを活用した)AI Writerというサイトがあるとのことで、利用してみました。

https://ai-writer.userlocal.jp/

まず、記事を書きたいキーワードを入力します。

図%%.1
図661.1 記事のキーワード

すると、キーワードを膨らませてくれるので、適宜必要なキーワードを3~10個選択します。

図%%.2
図661.2 記事のキーワード

これらのキーワードから記事のタイトルを考えてくれます。

図%%.3
図661.3 記事のタイトル

左矢前のブログ 次のブログ右矢

posted by sakurai on September 11, 2023 #660

2nd SMは故障しないことを証明してください。ISO 26262において、VSGに必要なのは2つまでのフォールトであるということを用います。確率論によれば故障は同時に起きないので、IF, 1st SM、2nd SMの3つのエレメントのうち、2つが引き続いて故障する場合を考えます。すると順番が重要であるため、その場合の数は2 * 3C2となります。すべての場合を考えて2nd SMの故障がVSG=DPFに関わるかを考えてください。

ChatGPT:

了解しました。まず、3つのエレメントから2つを選ぶ異なる組み合わせの数は$_3C_2$であり、順序が重要であるためその2倍となります。したがって、評価する状態の総数は

$$ 2 \cdot _3C_2 = 2 \cdot \frac{3!}{2!(3-2)!} = 2 \cdot 3 = 6 $$

となります。それでは、各シナリオを評価しましょう:

  1. IF → 1st SM 故障
    ここではIFが最初に故障し、その後1st SMが故障します。このシナリオでは、2nd SMがその後故障するかどうかは関係ありません、なぜならVSGはすでに発生しているからです。

  2. 1st SM → IF 故障
    ここでも、1st SMが最初に故障し、その後IFが故障します。このシナリオでは、2nd SMがその後故障するかどうかは関係ありません、なぜならVSGはすでに発生しているからです。

  3. IF → 2nd SM 故障
    IFが最初に故障し、その後2nd SMが故障します。このシナリオでは1st SMがまだ機能しているため、VSGは発生しません。

  4. 2nd SM → IF 故障
    2nd SMが最初に故障し、その後IFが故障します。このシナリオでは1st SMがまだ機能しているため、VSGは発生しません。

  5. 1st SM → 2nd SM 故障
    1st SMが最初に故障し、その後2nd SMが故障します。このシナリオではIFがまだ機能しているため、VSGは発生しません。

  6. 2nd SM → 1st SM 故障
    2nd SMが最初に故障し、その後1st SMが故障します。このシナリオではIFがまだ機能しているため、VSGは発生しません。

これから分かるように、シナリオ3, 4, 5, 6では2nd SMの故障がVSGに影響を与えません。シナリオ1と2ではVSGが発生していますが、これは2nd SMの故障前に発生しており、2nd SMの故障自体はVSGに影響を与えません。

したがって、どのシナリオにおいても2nd SMの故障はVSG=DPFに影響を与えないことが確認でき、2nd SMが故障しないと言えます。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 8, 2023 #659

過去記事#621において、「ISO 26262の範疇では2nd SMは故障しない」ことを証明させました。

ChatGPT:

2nd SMが故障しないことを証明するためには、システムが危険な状態(VSG)になるためには、通常、2つの故障が必要であるという事実を利用します。つまり、1st SMが故障し(これが1つ目の故障)、その後にIFが故障する(これが2つ目の故障)というシナリオを考えます。

このシナリオでは、2nd SMが故障するという3つ目の故障は考慮されません。したがって、2nd SMが故障しないという前提は、ISO 26262の範囲内で合理的であると言えます。

単に「1st SMの故障⇒IFの故障」の一例だけの説明であり、全ての場合をつくしていないことから証明したとは言えません。そのため、2nd SMは故障しないことを全ての場合で証明させます。

ISO 26262において、IF(Intended functionality), 1st SM, 2nd SMの役割をそれぞれ説明してください。

ChatGPT:

ISO 26262標準に従った自動車の安全に関連するシステムの設計において、IF(Intended Functionality)、1st SM(First Safety Mechanism)、および2nd SM(Second Safety Mechanism)は以下のような役割を果たします。

  1. IF (Intended Functionality)
    IFはシステムが期待通りに動作することを保証する主要な機能を指します。これは通常の運用状況下でシステムが適切に機能することを保証する役割を担います。目的は、システムが定められた要件を満たし、安全目標を達成することです。

  2. 1st Safety Mechanism (1st SM)
    1st SMは、IFがVSG (Violation of a Safety Goal) を引き起こすのを防ぐための保護メカニズムです。IFの故障が発生した場合、1st SMはその故障を検出し、システムを安全な状態に移行させるか、故障の影響を緩和します。

  3. 2nd Safety Mechanism (2nd SM)
    2nd SMは1st SMが潜在的な故障(Latent Fault, LF)を発生させるのを防ぐための追加の保護メカニズムです。このメカニズムは1st SMの故障を緩和する役割を果たし、1st SMが故障した場合でもシステムを安全な状態に保つことができます。しかし、2nd SM自体はVSGを直接防止する役割は果たしていません。

これらのメカニズムはシステムの安全性を保証するために連携して機能し、それぞれが異なるレベルの保護を提供します。このようなアプローチにより、システムは多くの異なる故障シナリオで安全を保つことが可能となります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 6, 2023 #658

定期検査・修理説明図

以下は過去記事#347に掲載した図です。

図347.1
図347.1 定期検査と時刻$t$の関係

ISO 26262の前提は定期検査・修理です。具体的には検査周期を$\tau$として、時刻$\tau_i=i\tau (i=1, 2, ..., n, n=\lfloor\frac{t}{\tau}\rfloor)$において検査・修理が行われます。

1. 定期修理

過去記事で分析したように、稼働度$A_\text{SM}(t)$の修理を含めた式に従えば、SMの不稼働度$Q_\text{SM}(t)$は、修理密度を$m(x)$として、(658.1)となります。 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} \begin{eqnarray} Q_\text{SM}(t)&=&F_\text{SM}(t)-\int_0^t m(x)\colorbox{pink}{$R_\text{SM}(t-x)$}dx\\ &=&F_\text{SM}(t)-KF_\text{SM}(\tau)\sum_{i=1}^n R_\text{SM}(t-i\tau)\\ &=&F_\text{SM}(t)-K(1-R_\text{SM}(\tau))\sum_{i=1}^n R_\text{SM}(t-i\tau)\\ &=&F_\text{SM}(t)-K\sum_{i=1}^n R_\text{SM}(t-i\tau)+K\sum_{i=1}^n R_\text{SM}(t-(i-1)\tau)\\ &=&F_\text{SM}(t)-KR_\text{SM}(t-n\tau)+KR_\text{SM}(t)\\ &=&\img[-1.35em]{/images/withinseminar.png} \end{eqnarray} \tag{658.1} $$

ただし、$K$は各検査におけるフォールト検出率、$u:=t-n\tau$です。

(658.1)のピンクで示したように、例えば区間$[(i-1)i\tau, i\tau)$においてフォールトが発生し、その区間末で修理された場合、その後$t$までフォールトしないという前提の式となっています。これは、その後の区間$[(j-1)i\tau, j\tau), i<j$において再度フォールトする場合を含めると、次にその区間$[(j-1)i\tau, j\tau)$でのフォールトを考える場合にダブルカウントになるためです。

ここで(658.1)を書き直し以下の式を考えます。 $$ Q_\text{SM}(t)=F_\text{SM}(t)-K_\text{SM,MPF}\left[F_\text{SM}(t)-F_\text{SM}(u)\right] \tag{658.2} $$ 不稼働度は基本的には不信頼度から$t$までに検出(=修理)された分、すなわち$K_\text{SM,MPF}$がかかる項を引きます。さらに修理分のうち、$u:=t-n\tau$の期間のフォールトを引き戻し、その部分は修理されないことを表しています。

2. 1回修理

一方、本来は定期検査・修理が原則なのですが、1回修理としての考え方は、次の事実を利用します。

  • 最近の検査時刻による修理:
     ・ 検出可能フォールトの場合、$\tau_n$での検査時には、それまでの故障(もしあれば)が検出・修理されます。したがって、$\tau_n$以前の検査時刻での故障の有無は、時刻$t$における不稼働度に影響しません。
     ・ 検出不可フォールトの場合、修理は行われないため、修理回数は不稼働度に影響しません。

  • 次回検査までの期間: 時刻$t$における不稼働度を考える際、$\tau_n$以降、次回の検査$\tau_{n+1}$までの期間に生じる故障が関連します。この期間内での故障の有無、および$\tau_n$での検出の可否が、時刻$t$における不稼働度に影響します。

従って、細々と修理するのとまとめて一遍に修理するのでは効果が同じです。不稼働度の求め方は2種類考案したので、それらを以下に示します。

2.1 検査可否と検査前後のフォールト確率

過去記事で分析したように、検査の可否により、事象を分類します。

  • 検査可であるフォールトはどこで起きても、次の検査時点である$\tau_i$で全て修理されるため、$\tau_n$でも全て修理されています。従って$\tau_n$から$t$までのフォールトのみが問題となります。
  • 検査不可であるフォールトは、2nd SMが無いことと等価であるため、全期間である$0$から$t$までのフォールトが問題となります。

これにより(658.3)が得られます。

$$ \begin{eqnarray} Q_\text{SM}(t)&=& \Pr\{ (\text{fault detected at }\tau_n\ \cap\ \text{SM receives a fault in }(\tau_n, t]) \ \cup\\ &&\ \ \ \ (\overline{\text{fault detected at }\tau_n} \cap \text{SM receives a fault in }(0, t]) \}\\ &=&\img[-1.35em]{/images/withinseminar.png} \end{eqnarray} \tag{658.3} $$

2.2 検査検査前後のフォールト確率と検査可否の全ての組み合わせ

過去記事で分析したように、$\tau_n$での検出可否、$\tau_n$前と$\tau_n$後のフォールト生起有無の8通りの組み合わせを全て数え上げ、不稼働になる条件を洗い出します。

これにより(658.4)が得られます。

$$ \begin{eqnarray} Q_\text{SM}(t)&=&\Pr\{(\text{fault detected at }\tau_n\ \cap\\ &&\ \ \ \ [\text{SM receives a fault in }(0, \tau_n]\cap\ \text{SM receives a fault in }(\tau_n, t]\ \cup\\ &&\ \ \ \ \overline{\text{SM receives a fault in }(0, \tau_n]}\cap\ \text{SM receives a fault in }(\tau_n, t]])\ \cup\\ &&(\overline{\text{fault detected at }\tau_n} \cap \\ &&\ \ \ \ [\text{SM receives a fault in }(0, \tau_n]\cap\ \text{SM receives a fault in }(\tau_n, t]\ \cup\\ &&\ \ \ \ \overline{\text{SM receives a fault in }(0, \tau_n]}\cap\ \text{SM receives a fault in }(\tau_n, t]\ \cup\\ &&\ \ \ \ \text{SM receives a fault in }(0, \tau_n]\cap\ \overline{\text{SM receives a fault in }(\tau_n, t]}])\}\\ &=&\img[-1.35em]{/images/withinseminar.png} \end{eqnarray} \tag{658.4} $$

3. 不稼働度$Q(t)$のメリット

規格第2版ではPMHF式を導出する際に、2nd SMがドライバーへの通知可否により場合分けを行っています。ところがこの不稼働度は$\img[-0.9em]{/images/withinseminar.png}$

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 5, 2023 #657

人間:

間違いです。$F_\text{SM}(\tau_n)$は時刻$\tau_n$での修理によりゼロになります。ところがそれを代入すると、不稼働度は$F_\text{SM}(t)-0=F_\text{SM}(t)$となり、これは$\Pr\{\text{SM receives a fault in }(0,t)\}$となり不合理。本来は$\Pr\{\text{SM receives a fault in }(\tau_n,t)\}$となるはず。この矛盾を解消してください。

ChatGPT: (中略)

申し訳ありません、以前の説明で矛盾の解消に至らなかったことに気づきました。再度考察し、不稼働度を正しく表現しましょう。

検出不可の場合と検出可の場合を組み合わせて不稼働度を考える際、以下の確率を組み合わせる必要があります。

検出不可の場合

  • $ \Pr\{\text{fault not detected at } \tau_n\} = 1 - K $
  • $ \Pr\{\text{SM receives a fault in } (0, t]\} = F_{\text{SM}}(t) $

検出可の場合

  • $ \Pr\{\text{fault detected at } \tau_n\} = K $
  • $ \Pr\{\text{SM receives a fault in } (\tau_n, t]\} $

ここで、検出可の場合において、$ \tau_n $での故障は瞬時に修理されるため、$ F_{\text{SM}}(\tau_n) = 0 $ です。さらに、この時点での不信頼度がリセットされるため、$ \tau_n $から$ t $までの故障生起確率が重要となります。

この確率を表現するために、$ u = t - \tau_n $ と定義されていることを利用し、次のように表現します。

  • $ \Pr\{\text{SM receives a fault in } (\tau_n, t]\} = F_{\text{SM}}(u) $

したがって、不稼働度 $ Q_{\text{SM}}(t) $ は以下のようになります。

$$ Q_{\text{SM}}(t) =\img[-1.35em]{/images/withinseminar.png} $$

この式では、検出不可の場合と検出可の場合を適切に組み合わせ、不稼働度を正しく表現しています。検出可の場合において、$ \tau_n $での故障が瞬時に修理されること、およびその時点での不信頼度がリセットされることを反映しています。


今回は正解を与えずに矛盾を指摘して解消させましたが、うまく正解を導出できました。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 4, 2023 #656

人間:

$\tau_n$での検出可の確率を$\Pr\{\text{fault detected at }\tau_n\}=K (const.)$ 検出不可の確率を$\Pr\{\text{fault not detected at }\tau_n\}$、 時刻aからbまでにSMにフォールトが起きる確率を$\Pr\{\text{SM receives a fault in }(a, b]\}$ と表記してください。

ChatGPT: (中略)

指定された表記に基づいて、各確率を以下のように定義します。

  • $ \tau_n $での検出可の確率:$ \Pr\{\text{fault detected at } \tau_n\} = K $ (定数)
  • $ \tau_n $での検出不可の確率:$ \Pr\{\text{fault not detected at } \tau_n\} $
  • 時刻$ a $から$ b $までにSMにフォールトが起きる確率:$ \Pr\{\text{SM receives a fault in} (a, b]\} $

これらの確率を用いると、不稼働の条件を以下のように表現できます。

検出不可の場合

$$ \Pr\{\text{fault not detected at } \tau_n\} \cdot \Pr\{\text{SM receives a fault in } (0, t]\} $$

検出可の場合

$$ K \cdot \Pr\{\text{SM receives a fault in } (\tau_n, t]\} $$

上記の式は、検出の可・不可に基づいて、SMが不稼働になる確率を表現しています。

人間:

指数分布するフォールト事象について、以下のことが知られています。 $$\Pr\{\text{fault detected at }\tau_n\}=K (const.)$$ $$\Pr\{\text{SM receives a fault in }(a, b]\}=\int_a^b f_\text{SM}(x)dx = F_\text{SM}(b)-F_\text{SM}(a)$$ ただし、$f_\text{SM}(t)$はPDF, $F_\text{SM}(t)$はCDF tにおける不稼働度$Q_\text{SM}(t)$を、SMの不信頼度$F_\text{SM}(t)$を用いて表現してください。$u:=t-\tau_n$として$\tau$及び$\tau_n$を消去したうえで$t, u$で表現してください。exponential表現は使用しないこと。

ChatGPT:

指定された条件に基づいて、$ t $における不稼働度 $ Q_{\text{SM}}(t) $ を計算し、$ \tau $ 及び $ \tau_n $ を消去して $ t, u $ で表現します。変数 $ u $ は $ u = t - \tau_n $ と定義されています。

まず、前述の不稼働確率をSMの不信頼度 $ F_{\text{SM}}(t) $ として表現するために、以下の式を考えます。

検出不可の場合

$$ \begin{eqnarray} \Pr\{\text{fault not detected at } \tau_n\} \cdot \Pr\{\text{SM receives a fault in } (0, t]\} &=& (1 - K) \cdot (1 - e^{-\lambda t}) \\ &=& (1 - K) \cdot F_{\text{SM}}(t) \end{eqnarray} $$

検出可の場合

$$ \begin{eqnarray} K \cdot \Pr\{\text{SM receives a fault in } (\tau_n, t]\} &=& K \cdot (e^{-\lambda \tau_n} - e^{-\lambda t}) \\ &=& K \cdot (F_{\text{SM}}(\tau_n) - F_{\text{SM}}(t)) \end{eqnarray} $$

これらの式を合計すると、$ t $ における不稼働度 $ Q_{\text{SM}}(t) $ が得られます。

$$ \begin{eqnarray} Q_{\text{SM}}(t) &=& (1 - K) \cdot F_{\text{SM}}(t) + K \cdot (F_{\text{SM}}(\tau_n) - F_{\text{SM}}(t)) \\ &=& (1 - K) \cdot F_{\text{SM}}(t) + K \cdot F_{\text{SM}}(t - u) - K \cdot F_{\text{SM}}(t) \\ &=& F_{\text{SM}}(t) - K \cdot F_{\text{SM}}(t) + K \cdot F_{\text{SM}}(t - u) \end{eqnarray} $$

ここで、exponential表現を使用せず、$ \tau $ 及び $ \tau_n $ を消去して $ t, u $ で表現しました。この式が、指定された条件に基づく不稼働度の表現となります。


計算間違いがあるようです。さらに、単純に積分の式を当てはめても正解が出ません。


左矢前のブログ 次のブログ右矢

RAMS査読4回目

posted by sakurai on September 1, 2023 #655

おそらく最終の査読結果が届きました。指摘は2点あり、

  • Systematic Faultは意味がわかりにくいから解説を入れたほうが良い
  • メジャーなSystematic Faultにフォーカスして詳細に説明したほうが良い

とのことです。Systematic Faultは規格用語で、一般にはバグのような欠陥を指します。その説明をイントロダクションに追加し、さらにメジャーSystematic Faultの記述を図も含めて追加しました。そのため効果測定に関するEOTTIの部分を全て削除しました。英文校正を経て投稿済みです。

表655.1 RAMS 2024へのマイルストーン
期限 マイルストーン 状態
2023/4/30 アブストラクト投稿締め切り(システム入力) 投稿済
2023/6/10⇒2023/5/25 アブストラクト採択結果 採択済
2023/8/1 論文、プレゼン投稿締め切り(名前、所属無し版) 投稿済
2023/9/1 第1回論文、プレゼン資料査読コメント受領 投稿済
2023/10/10⇒2023/9/17 改訂版論文、プレゼン投稿締め切り(名前、所属有り版) 投稿済
2023/10/22 最終査読コメント受領
2023/10/10 学会出席登録締め切り
2023/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)

左矢前のブログ 次のブログ右矢

$Q(t)$とChatGPT (24)

posted by sakurai on August 31, 2023 #654

さらに、過去記事で8通りの事象の分類からの$Q_\text{SM}(t)$導出を実施しましたが、これをChatGPT-4に実行させてみます。

人間:

ISO 26262の範囲では故障率λは一定値をとると考える。従って、フォールトの分布は指数分布となります。

一般にはSM (Safety Mechanism)にフォールトが起きても直ちにVSG(Violation of a safety goal)とならないため、意図機能が動作している間に修理が可能であり、これをリペアラブルエレメントと言います。SMの故障率は$\lambda_\text{SM}$です。

定期検査修理スキームは以下のとおりです。2nd SMによるSMに対する定期検査が、周期$\tau$で行われます。 i番目の検査時刻は$\tau i, i=1,...,n$とするとき、最近の検査時刻を$τ_n$とすれば、$τ_n=nτ=\lfloor\frac{t}{\tau}\rfloor\tau$

定期検査により検出されたフォールトは全て、瞬時に修理されるものとします。ここで検査は確定的に実施されるため、区間$[(i-1)\tau, i\tau)$で生起した検出されるフォールトは全てiτにおいて修理されます。

SMのフォールト生起について、((0から$\tau_n$までの生起の有/無),($\tau_n$での検出の可/不可),($\tau_n$から$t$までの生起の有/無)) の8通りについて考え、$t$において不稼働の事象を洗い出してください。

なお、$\tau_n$での故障検出可とは、故障の有無を問わないものとします。一例として、故障が無いから検出できないとするのではなく、SMのうち検出可部分の故障が無いと読みます。この場合は故障の生起は無し、検出は有りとします。

ChatGPT: (中略)

指定されたシステムについて、フォールトの生起と検出に関連する8つの異なる事象を考えます。以下の条件を考慮して、不稼働の事象を洗い出します。

  1. $ 0 \leq t < \tau_n $: この区間では故障の検出は行われません。
  2. $ \tau_n \leq t < \tau_{n+1} $: この区間では故障が発生しても、次の検査時刻まで検出されません。

以下の8通りの事象を考えます。

  1. $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起なし
  2. $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起あり
  3. $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出可、$ (\tau_n,t) $での故障生起なし
  4. $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出可、$ (\tau_n,t) $での故障生起あり
  5. $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起なし
  6. $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起あり
  7. $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出可、$ (\tau_n,t) $での故障生起なし
  8. $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出可、$ (\tau_n,t) $での故障生起あり

したがって、不稼働の事象は以下の5つとなります。

  • 事象2: $ (0,\tau_n) $での故障が生起しないものの、$ (\tau_n,t) $で故障が生じ、そのまま不稼働となる。
  • 事象4: $ (0,\tau_n) $での故障が生起しないものの、$ (\tau_n,t) $で故障が生じる。この故障は$ \tau_n $で検出可能であったにも関わらず、次の検査まで検出されない。
  • 事象5: $ (0,\tau_n) $での故障が検出されず、$ \tau_n $での検出もなく、そのまま不稼働となる。
  • 事象6: $ (0,\tau_n) $での故障が検出されず、$ (\tau_n,t) $でさらに故障が生じ、不稼働となる。
  • 事象8: $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出可(瞬時に修理される)、$ (\tau_n,t) $での新たな故障生起あり(不稼働へ)

ご指摘いただいた内容を踏まえて、不稼働の事象は上記の5つとなります。再度ご確認いただけますでしょうか。

人間:

正解です。$t$においてSMが不稼働になる条件について、検出の可・不可にで大分類し、検出の可否とフォールトの生起区間の2つの事象の積にそれぞれ分解してください。 これはフォールトの生起と検出の可否が独立であるため可能です。 さらにフォールト生起区間を合成してください。合成とは、例えばフォールト生起区間$[t1, t2)$または$[t2, t3)$の事象を$[t1, t3)$とすることを意味します。

ChatGPT:

指定された条件に基づき、SMが不稼働になる条件を検出の可・不可によって大分類し、それぞれの事象を分解します。その後、フォールト生起区間を合成します。

検出不可の場合

検出不可の場合の不稼働事象は以下の3つでした。

  • 事象2: $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起あり
  • 事象5: $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起なし
  • 事象6: $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出不可、$ (\tau_n,t) $での故障生起あり
フォールト生起区間の合成
  • $ (0,\tau_n) $または$ (\tau_n,t) $の区間での故障生起

検出可の場合

検出可の場合の不稼働事象は以下の2つでした。

  • 事象4: $ (0,\tau_n) $での故障生起なし、$ \tau_n $での検出可、$ (\tau_n,t) $での故障生起あり
  • 事象8: $ (0,\tau_n) $での故障生起あり、$ \tau_n $での検出可(瞬時に修理)、$ (\tau_n,t) $での新たな故障生起あり
フォールト生起区間の合成
  • $ (\tau_n,t) $の区間での故障生起

結論

  • 検出不可の場合:フォールト生起区間が$ (0,\tau_n) $または$ (\tau_n,t) $であれば、SMが不稼働になる可能性がある。
  • 検出可の場合:フォールト生起区間が$ (\tau_n,t) $であれば、SMが不稼働になる可能性がある。

以上が、指定された条件に基づく不稼働の事象の分析です。

人間:

結論の時間区間を簡略化してください。

ChatGPT:

もちろんです。結論の時間区間を簡略化すると、以下のようになります。

  • 検出不可の場合:フォールト生起区間が $ (0,t) $ であれば、SMが不稼働になる可能性がある。
  • 検出可の場合:フォールト生起区間が $ (\tau_n,t) $ であれば、SMが不稼働になる可能性がある。

検出不可の場合では、検出が行われないため、全体の時間区間 $ (0,t) $ での故障生起が不稼働の条件となります。検出可の場合は、検出されれば修理されるため、$ \tau_n $ 以降の新たな故障生起が不稼働の条件となります。


うまく誘導した結果、正解の条件を導出しました。


左矢前のブログ 次のブログ右矢


ページ: