SPFの再計算は必要?

前記事ではDPF1に関する平均PUDを再計算しました。IFの条件がアンリペアラブルからリペアラブルに変更され、リペアすることにより(一部の)OPRの状態確率が上がったためです。

しかし、SPFの確率は上がりません。その理由は、リペアによってIF downからIF up状態に戻ったということは、元のdownした時にはVSG抑止されていたはずです。そのため、リペアはDPF確率のみに影響し、SPFは全く無関係となります。従って、

$$ \overline{q_\text{SPF,IFR}}=\overline{q_{\mathrm{SPF,IFU}}}\tag{108.1} $$

よって、(103.7)、(107.8)、(106.4)を加え合わせて、 $$ \begin{eqnarray} \require{cancel} M_{\mathrm{PMHF}}&=&\overline{q_{\mathrm{SPF,IFR}}}+\overline{q_{\mathrm{DPF1,IFR}}}+\overline{q_{\mathrm{DPF2,IFR}}}\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}-\bcancel{(1-K_\text{IF,RF})\alpha}+\bcancel{(1-K_\text{IF,RF})\alpha}+K_\text{IF,RF}\beta+K_\text{IF,RF}\beta\\ &=&(1-K_\text{IF,RF})\lambda_\text{IF}+2K_\text{IF,RF}\beta\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau], \\ & &ただし、K_{\mathrm{MPF}}:=K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}} \tag{108.2} \end{eqnarray} $$ 2nd Editionの規格式とは異なるものの、これが正解と考えます。

一旦結論が出ましたが、次の記事に続きます。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

DPF1の再計算

ところがこのケース2.の場合は、(無関係と思われた)DPF1について再計算する必要があります。その理由は、IFの条件がアンリペアラブルからリペアラブルに変更され、リペアすることによりOPRの状態確率が上がり、結果としてDPF1の確率が下がるためです。図107.1に図104.1を再掲します。LAT2においてはIF=upであったのに対し、DPF1においてはIF=downとなります。

(104.1)を参考に、IFRモデルに変更します。 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFR}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF1\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ & &\cdot\Pr\{\mathrm{LAT2}\mathrm{\ at\ }t\} \end{eqnarray} \tag{107.1} $$ ここまでは(104.1)と同じです。LAT2はIFの稼働状態でかつSM1の不稼働状態であるから、 $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\}\tag{107.2} $$ IFとSM1の稼働状態は独立事象であり、IFRモデルではIF、SM1共にリペアラブルであることから、(107.2)は $$ (107.2)=\Pr\{\mathrm{IF^R\ up\ at\ }t\}\Pr\{\mathrm{SM\ down\ at\ }t\}\\ =A_{\mathrm{IF}}(t)Q_{\mathrm{SM}}(t)\tag{107.3} $$ と書けるように思われますが誤りです。IFのフォールトはVSG non preventableとVSG preventableに分けられるので、分配則より、 $$ \Pr\{\mathrm{IF\ up\ at\ }t\}=\Pr\{\left(\overline{\text{IF preventable}}\cup\text{IF preventable}\right)\cap\mathrm{IF\ up\ at\ }t\}\\ =\Pr\{\left(\overline{\text{IF preventable}}\cap\mathrm{\color{red}{IF^U}\ up\ at\ }t\right)\cup\left(\text{IF preventable}\cap\mathrm{IF^R\ up\ at\ }t\right)\}\tag{107.4} $$ となります。$\mathrm{\color{red}{IF^U}}$に注意してください。$\overline{\text{IF preventable}}$とはSM1によりVSG抑止できないことを意味し、修理は不可能であるため、その部分のIFはアンリペアラブルとなります。

ちなみに、この部分の確率はSMの状態によらずVSGとなるため、本質的にはSPFに入りそうですが、形式的にはSMがdownしているときのIFのフォールトなので、本稿ではDPFに入れます。なお、SPFに分類してもDPFに分類しても最終的には確率の総和を取るため、結果に変わりはありません。

従って、(107.4)のIFの前半がアンリペアラブル、後半がリペアラブルなので、(107.4)は、 $$ \require{cancel} \Pr\{\mathrm{IF\ up\ at\ }t\}=(1-K_{\text{IF,RF}})R_\text{IF}(t)+K_{\text{IF,RF}}A_\text{IF}(t)\\ (新規追加)=(1-\bcancel{K_{\text{IF,RF}}})R_\text{IF}(t)+K_{\text{IF,RF}}(\bcancel{1}-K_{\text{IF,MPF}})R_\text{IF}(t)+K_{\text{IF,RF}}K_{\text{IF,MPF}}R_\text{IF}(u)\\ =(1-K_{\text{IF,RF}}K_{\text{IF,MPF}})R_\text{IF}(t)+K_{\text{IF,RF}}K_{\text{IF,MPF}}R_\text{IF}(u), ただし、u:=t\bmod\tau \tag{107.5} $$ となるため、(107.2)は(107.5)を用いて、 $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\}\Pr\{\mathrm{SM\ down\ at\ }t\}\\ =\left[(1-K_{\text{IF,RF}})R_\text{IF}(t)+K_{\text{IF,RF}}A_\text{IF}(t)\right]Q_{\mathrm{SM}}(t)\\ (新規追加)=\left[(1-K_{\text{IF,RF}}K_{\text{IF,MPF}})R_\text{IF}(t)+K_{\text{IF,RF}}K_{\text{IF,MPF}}R_\text{IF}(u)\right]Q_{\mathrm{SM}}(t),\\ ただし、u:=t\bmod\tau \tag{107.6} $$ と書けます。

さらに、(107.1)の右辺積分中の条件付き確率式に、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を用いれば、DPF時の2つ目のフォールトはIF、SM1共にアンリペアラブルとなるため、 $$ \require{cancel} \Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\cap\bcancel{\mathrm{SM\ down\ at\ }t}\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\}=\lambda_{\mathrm{IF}}dt\tag{107.7} $$ となります。

よって、(107.1)に(107.7)、(107.6)を適用した上で、PUA(59.8)、PA(59.7)、故障率(66.6)及び弊社積分公式(60.1)及び(60.2)を用いれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFR}}}&=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)R_{\mathrm{IF}}(t)\lambda_{\mathrm{IF}}dt+\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)A_{\mathrm{IF}}(t)\lambda_{\mathrm{IF}}dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)f_{\mathrm{IF}}(t)dt+\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)q_{\mathrm{IF}}(t)dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}[(1-K_{\mathrm{SM,MPF}})F_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}F_{\mathrm{SM}}(u)]f_{\mathrm{IF}}(t)dt\\ & &+\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}[(1-K_{\mathrm{SM,MPF}})F_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}F_{\mathrm{SM}}(u)]\\ & &\cdot\left[(1-K_{\mathrm{IF,MPF}})f_{\mathrm{IF}}(t)+K_{\mathrm{IF,MPF}}f_{\mathrm{IF}}(u)\right]dt,\\ & &ただし、u:=t\bmod\tau\\ &\approx&\frac{1-K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ & &+\frac{K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1- K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau]\\ &=&(1-K_{\mathrm{IF,RF}})\alpha+K_{\mathrm{IF,RF}}\beta,\\ \end{eqnarray} \tag{107.8} $$

$$ ただし、\begin{cases} \begin{eqnarray} \alpha&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ \beta&:=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau]\\ K_{\mathrm{MPF}}&:=&K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}}\\ \end{eqnarray} \end{cases} $$ となります。

(2021年1月新規追加)これを整理すれば、 $$ \begin{eqnarray} (107.8)&=&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1- K_{\mathrm{MPF2}})T_\text{lifetime}+K_{\mathrm{MPF2}}\tau]\\ & &ただし、K_{\mathrm{MPF2}}:=K_{\mathrm{IF,RF}}K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,RF}}K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}}\\ \end{eqnarray} \tag{107.9} $$ となります。これは(107.6)の新規追加式を積分した結果と同一になります。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

2. LAT1において、検出周期内ではSM1のフォールトに応じて確率的にDPF2に遷移する。一方検出周期の最後で、検出されたIFのフォールトはリペアされOPRに戻る場合(IFRモデル)

ケース2.の場合の計算です。2nd Editionの中にPattern4が以下の図のように書かれています。IFが先にフォールトし、それが検出される場合についてはリペアされると推測され、Pattern4はこのケース2.の場合であると考えられます。

(日本語訳)IFのフォールトは軽減され、SM1によって通知されます。フォールトの露出時間は、ドライバーが車両を修理に持ち込むのに必要な予想時間と見なされます。

これが成立するのは、(規格には書かれていませんが1)SM1にIFの代替機能がある場合に限られます。それが無い場合は前稿のIFUモデルに対応します。それがある場合はIFRモデルに対応します。2nd EditionではPattern3及び4が追加され、IFRモデルを前提としており、本ケース2.が相当すると考えます。

前ページの(105.1)のIFUモデルをIFRモデルに変更します。 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2,IFR}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF2\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT1\ at\ }t\cap\mathrm{SM\ down\ in\ }(t, t+dt)\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{LAT1\ at\ }t\} \end{eqnarray} \tag{106.1} $$

ここで、LAT1はIFの不稼働状態でかつSM1によりVSGは抑止されるがSM2により検出されず、かつSM1の稼働状態であるから、 $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF\ down\ at\ }t\cap\text{VSG of IF preventable}\cap\mathrm{SM\ up\ at\ }t\}\tag{106.1} $$ IFとSM1の稼働状態は独立事象であり、IF、SM1は共にリペアラブルです。前稿にならいリペアラブルなIFを$\mathrm{IF^R}$と書くことにします。

SM1のVSG prevent能力はアーキテクチャ的に決定されるため、他の事象とは独立と考え、$K_\text{IF,RF}$(101.3)を用いると、(106.1)は $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF^R\ down\ at\ }t\}\Pr\{\text{VSG of IF preventable}\}\Pr\{\mathrm{SM\ up\ at\ }t\}\\ =K_{\mathrm{IF,RF}}Q_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\tag{106.2} $$ と書けます。

さらに、(105.1)の右辺積分中の条件付き確率式に(106.1)、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を用い、DPF時の2つ目のフォールトはIF、SM1共にアンリペアラブルとなるため、 $$ \require{cancel} \Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\cap\bcancel{\mathrm{IF^R\ down\ at\ }t}\cap\bcancel{\text{VSG of IF preventable}}\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\}=\lambda_{\mathrm{SM}}dt\tag{106.3} $$ よって、(105.1)に(106.3)、(106.2)を適用した上で、PUA(59.8)、PA(59.7)、故障率(66.6)及び弊社積分公式を用いれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2, IFR}}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}K_{\mathrm{IF,RF}}Q_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\lambda_{\mathrm{SM}}dt\\ &=&\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_{\mathrm{IF,MPF}})F_{\mathrm{IF}}(t)+K_{\mathrm{IF,MPF}}F_{\mathrm{IF}}(u)\right]\\ & &\cdot\left[(1-K_\text{SM,MPF})f_\text{SM}(t)+K_\text{SM,MPF}f_\text{SM}(u)\right]dt,\\ & &ただし、u:=t\bmod\tau\\ &\approx&\frac{K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{SM}}\lambda_{\mathrm{IF}}\left[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau\right], \\ & &ただし、K_{\mathrm{MPF}}:=K_{\mathrm{IF,MPF}}+K_{\mathrm{SM,MPF}}-K_{\mathrm{IF,MPF}}K_{\mathrm{SM,MPF}}\\ &=&K_{\mathrm{IF,RF}}\beta, \\ & &ただし、\beta:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{MPF}})T_\text{lifetime}+K_{\mathrm{MPF}}\tau] \end{eqnarray} \tag{106.4} $$

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

LAT1⇒DPF2の平均PUDの計算

次にLAT1からDPF2の平均PUDを計算します。時刻$t$でLAT1においてはSM1=upであったのに対し、$t+dt$までの間にSM1にフォールトが起き、DPF2に移行しSM1=downとなります。

この場合、規格(1st Edition)が曖昧であるため、次の2とおりのケースが考えられます。

1. LAT1においては既にIF=downであり、SM1のフォールトに応じて確率的にDPF2に遷移する。これはIFがアンリペアラブルの場合であり、これをIFUモデルと名付けます。図105.1の実線(のみ)の遷移です。
2. LAT1においては既にIF=downであり、検出周期内ではSM1のフォールトに応じて確率的にDPF2に遷移する。一方検出周期の最後で、検出されたIFのフォールトは全量(経過時間0で)リペアされ、IF=upとなりOPRに戻る。これはIFがリペアラブルの場合であり、これをIFRモデルと名付けます。図105.1の実線及び破線の遷移です。

1. LAT1のフォールトがDPF2に遷移する場合(IFUモデル)

まずケース1.のIFUモデルを前提として計算すると、条件付き確率の公式より、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF2\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT1\ at\ }t\cap\mathrm{SM\ down\ in\ }(t, t+dt)\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{LAT1\ at\ }t\} \end{eqnarray} \tag{105.1} $$ ここで、$\mathrm{LAT1}$という状態は、IFが不稼働状態にも関わらずVSGを免れており、かつSM1は稼働状態であるから、 $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF\ down\ at\ }t\cap\text{VSG of IF preventable}\cap\mathrm{SM\ up\ at\ }t\} \tag{105.2} $$ IFとSM1の稼働状態は独立事象であり、IFはアンリペアラブル、SM1はリペアラブルです。SM1のVSG prevent能力はアーキテクチャ的に決定されるため、他の事象とは独立と考え、$K_\text{IF,RF}$(101.3)を用いると、(105.2)は $$ \Pr\{\mathrm{LAT1\ at\ }t\}=\Pr\{\mathrm{IF^U\ down\ at\ }t\}\Pr\{\text{VSG of IF preventable}\}\Pr\{\mathrm{SM\ up\ at\ }t\}\\ =K_{\mathrm{IF,RF}}F_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\tag{105.3} $$ と書けます。

さらに、(105.1)の右辺積分中の条件付き確率式に(105.2)、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を用れば、 $$ \require{cancel} \Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT1\ at\ }t\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\cap\bcancel{\mathrm{IF^U\ down\ at\ }t}\cap\bcancel{\text{VSG of IF preventable}}\}\\ =\Pr\{\mathrm{SM\ down\ in\ }(t, t+dt]\ |\ \mathrm{SM\ up\ at\ }t\}=\lambda_{\mathrm{SM}}dt \tag{105.4} $$ よって、(105.1)に(105.4)、(105.3)を用いた上で、稼働度PA(59.7)、故障率(66.6)及び弊社積分公式を用いれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF2, IFU}}}&=&\frac{1} {T_\text{lifetime}}\int_0^{T_\text{lifetime}}K_{\mathrm{IF,RF}}F_{\mathrm{IF}}(t)A_{\mathrm{SM}}(t)\lambda_{\mathrm{SM}}dt\\ &=&\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_{\mathrm{IF}}(t)[(1-K_{\mathrm{SM,MPF}})R_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}R_{\mathrm{SM}}(u)]\lambda_{\mathrm{SM}}dt,\\ & &ただし、u:=t\bmod\tau\\ &=&\frac{K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}F_{\mathrm{IF}}(t)[(1-K_{\mathrm{SM,MPF}})f_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}f_{\mathrm{SM}}(u)]dt\\ &\approx&\frac{K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&K_{\text{IF,RF}}\alpha,\\ & &ただし、\alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{105.5} $$

ここで、$(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\gg K_{\mathrm{SM,MPF}}\tau$の場合に$M_{\mathrm{PMHF}}=\overline{q_{\mathrm{SPF,IFU}}}+\overline{q_{\mathrm{DPF1,IFU}}}+\overline{q_{\mathrm{DPF2, IFU}}}$を計算すると、 $$ M_{\mathrm{PMHF}}= (1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\\ \tag{105.6} $$ であり、さらにこれは、 $$ \begin{cases} \begin{eqnarray} \lambda_{\mathrm{IF,RF}}&:=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}\\ \lambda_{\mathrm{IF,DPF}}&:=&K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\\ \lambda_{\mathrm{SM,DPF,lat}}&:=&(1-K_{\mathrm{SM,MPF}})\lambda_{\mathrm{SM}} \end{eqnarray} \tag{105.7} \end{cases} $$ を用いて $$ (105.6)=\lambda_{\mathrm{IF,RF}}+\lambda_{\mathrm{IF,DPF}}\lambda_{\mathrm{SM,DPF,lat}}T_\text{lifetime}\tag{105.8} $$ と書きなおせるため、(105.8)は次の図105.2に示す、ISO 26262 1st edition Part 10の第3式に(IF⇒Mと読み替えることにより))完全に一致します。

この式は「故障順序によらない」PMHF式ということですが、「故障順序によらない」とは、「故障の順番がIF⇒SMまたはその反対のSM⇒IFの両方の場合」$\dagger$という意味です。1st editionの第3式に一致したということは、1st SMによりVSG抑止されたフォールトは全てレイテントフォールトになるのが規格の前提であると推測されます。

しかしながら、この前提はLFMにおいてdetected faultが算入されないという点で、規格内部での不一貫性を示しています。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。さらに、上記不一貫性の解消を目的とした新提案の論文をRAMS 2022に投稿し、これも採択されました。

$\dagger$連続確率過程の確率密度の観点からはIFとSMの同時故障の確率は”ほとんど確実に"0です。従って、この条件は全ての場合を表します。

前のブログ 次のブログ

LAT2⇒DPF1の平均PUDの計算

次にLAT2からDPF1となる平均PUDを計算します。時刻$t$でLAT2においてはIF=upであったのに対し、$t+dt$までの間にIFにフォールトが起き、IF=downとなると同時にDPF1に移行します。

CTMCの平均PUD基本式(101.5)について、条件付き確率の公式を用いて、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{DPF1\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{LAT2\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{LAT2}\mathrm{\ at\ }t\} \end{eqnarray} \tag{104.1} $$ ここで、LAT2はIFが稼働、SM1が不稼働状態であるから、 $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\cap\mathrm{SM\ down\ at\ }t\}\tag{104.2} $$ IFとSM1の稼働状態は独立事象で、IFはアンリペアラブル、SM1はリペアラブルであることから、(104.2)は $$ \Pr\{\mathrm{LAT2\ at\ }t\}=\Pr\{\mathrm{IF^U\ up\ at\ }t\}\Pr\{\mathrm{SM\ down\ at\ }t\}\\=R_{\mathrm{IF}}(t)Q_{\mathrm{SM}}(t)\tag{104.3} $$ と書けます。

さらに、(104.1)の右辺積分中の条件付き確率式に(104.2)、独立条件付き確率式(103.4)、及び微小故障条件付き確率式(66.8)を適用すれば、IFはアンリペアラブルであるため、 $$ \require{cancel} \Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{LAT2\ at\ }t\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\cap\bcancel{\mathrm{SM\ down\ at\ }t}\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\}=\lambda_{\mathrm{IF}}dt\tag{104.4} $$ よって、(104.1)に(104.4)、(104.3)を用いた上で、PUA(59.8)、故障率(66.6)、及び弊社積分公式を適用すれば、 $$ \begin{eqnarray} \overline{q_{\mathrm{DPF1,IFU}}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_{\mathrm{SM}}(t)R_{\mathrm{IF}}(t)\lambda_{\mathrm{IF}}dt\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\text{SM}(t)f_\mathrm{IF}(t)dt\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_{\mathrm{SM,MPF}})F_{\mathrm{SM}}(t)+K_{\mathrm{SM,MPF}}F_{\mathrm{SM}}(u)\right]f_{\mathrm{IF}}(t)dt,\\ & &ただし、u:=t\bmod\tau\\ &\approx&\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}\left[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau\right]\\ &=&\alpha,\\ & & ただし、\alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{104.5} $$ よって、(103.7)及び(104.5)より、 $$ \begin{eqnarray} M_{\mathrm{PMHF}}&=&\overline{q_{\mathrm{SPF,IFU}}}+\overline{q_{\mathrm{DPF1,IFU}}}\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+\frac{1}{2}K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+K_{\mathrm{IF,RF}}\alpha \end{eqnarray} \tag{104.6} $$ であり、さらに基本故障率及びパラメータにより各条件を含む故障率が記述でき、 $$ \begin{cases} \begin{eqnarray} \lambda_\text{IF,RF}&:=&(1-K_\text{IF,RF})\lambda_\text{IF}\\ \lambda_\text{IF,DPF}&:=&K_\text{IF,RF}\lambda_\text{IF}\\ \lambda_\text{SM,DPF,lat}&:=&(1-K_\text{SM,MPF})\lambda_\text{SM}\\ \lambda_\text{SM,DPF,det}&:=&K_\text{SM,MPF}\lambda_\text{SM} \end{eqnarray} \end{cases} \tag{104.7} $$ を用いて $$ (104.6)=\lambda_{\mathrm{IF,RF}}+\frac{1}{2}\lambda_{\mathrm{IF,DPF}} (\lambda_{\mathrm{SM,DPF,lat}}T_\text{lifetime}+\lambda_{\mathrm{SM,DPF,det}}\tau)\tag{104.8} $$ と書きなおせるため、(104.8)は次の図104.2に示す、ISO 26262 1st edition Part 10の最初のPMHF式、すなわちSM1に引き続きIFがフォールトすると(誤って)書かれている式と、(IF⇒Mと読み替えることにより)完全に一致します。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

OPR⇒SPFの平均PUDの計算

まずOPRステートからSPFステートへの、$t$から$t+dt$までの微小遷移確率を0から$T_\text{lifetime}$まで積分したものの時間平均、つまり平均PUDを計算します。時刻$t$でOPRにおいてはIF=upであったのに対し、時刻$t+dt$までの間にIFにフォールトが起き、IF=downとなると同時にSPFに移行します。平均PUDの定義については平均PUD定義式(66.13)をご覧ください。

SM1のVSG prevent能力はアーキテクチャ的に決定されるため、他の事象とは独立と考えます。 CTMCの平均PUD基本式(101.5)について、条件付き確率の公式を用いて、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&=&\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{SPF\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{OPR\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\cap\overline{\mathrm{VSG\ of\ IF\ preventable}}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{\mathrm{OPR\ at\ }t\}\Pr\{\overline{\mathrm{VSG\ of\ IF\ preventable}}\} \end{eqnarray} \tag{103.1} $$ ここで、OPRはIF、SM1共にupであるから、 $$ \Pr\{\mathrm{OPR\ at\ }t\}=\Pr\{\mathrm{IF\ up\ at\ }t\cap\mathrm{SM\ up\ at\ }t\} \tag{103.2} $$ IFとSM1の稼働状態は独立事象で、IFはアンリペアラブル、SM1がリペアラブルです。ここでIFがアンリペアラブルなことを特に$\mathrm{IF^U}$と表します。SM1は常にリペアラブルなのでそのままです。すると、(103.2)は $$ \Pr\{\mathrm{OPR\ at\ }t\}=\Pr\{\mathrm{IF^U\ up\ at\ }t\}\Pr\{\mathrm{SM\ up\ at\ }t\}\\ =R_\mathrm{IF}(t)A_\mathrm{SM}(t)\tag{103.3} $$ と書けます。ここで、以下の条件付き確率において、CがAともBとも独立であるとき、次の独立条件付き確率式 $$ \require{cancel} \Pr\{\mathrm{A}\ |\ \mathrm{B}\cap\mathrm{C}\}=\frac{\Pr\{\mathrm{A}\cap\mathrm{B}\cap\mathrm{C}\}}{\Pr\{\mathrm{B}\cap\mathrm{C}\}}=\frac{\Pr\{\mathrm{A}\cap\mathrm{B}\}\cdot\bcancel{\Pr\{\mathrm{C}\}}}{\Pr\{\mathrm{B}\}\cdot\bcancel{\Pr\{\mathrm{C}\}}}=\Pr\{\mathrm{A}\ |\ \mathrm{B}\}\tag{103.4} $$ が成り立つため、(103.1)の右辺積分中の条件付き確率式に(103.2)、(103.4)、及び微小故障条件付き確率式(66.8)を用いれば、IFはアンリペアラブルであるため、 $$ \Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR\ at\ }t\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\cap\bcancel{\text{SM up at }t}\}\\ =\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ \mathrm{IF^U\ up\ at\ }t\}=\lambda_{\mathrm{IF}}dt \tag{103.5} $$ よって、(103.1)に(103.5)、(103.3)、$\Pr\{\overline{\mathrm{VSG\ of\ IF\ preventable}}\}=1-K_{\mathrm{IF,RF}}$(100.3)を用いた上で、故障率(66.6)及びPUA(59.8)を適用すれば、平均PUDは、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_{\mathrm{IF,RF}})R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_{\mathrm{IF}}dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[1-Q_\text{SM}(t)\right]f_{\mathrm{IF}}(t)dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_{\mathrm{IF}}(t)dt-\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\text{SM}(t)f_{\mathrm{IF}}(t)dt\\ &=&\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}F_\text{IF}(T_\text{lifetime})\\ & &-\frac{1-K_{\mathrm{IF,RF}}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\text{SM,MPF})F_\text{SM}(t)+K_\text{SM,MPF}F_\text{SM}(u)\right]f_{\mathrm{IF}}(t)dt,\\ & &\text{ただし、}u:=t\bmod\tau \end{eqnarray} \tag{103.6} $$ よって、$1-e^{-\lambda_{\mathrm{IF}}t}\approx\lambda_{\mathrm{IF}}t$と近似するMaclaurin展開及び弊社積分公式により、 $$ \begin{eqnarray} \overline{q_{\mathrm{SPF,IFU}}}&\approx&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}-\frac{1-K_{\mathrm{IF,RF}}}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau]\\ &=&(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}-(1-K_{\mathrm{IF,RF}})\alpha\\ & &\text{ただし、} \alpha:=\frac{1}{2}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}[(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}+K_{\mathrm{SM,MPF}}\tau] \end{eqnarray} \tag{103.7} $$

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

前稿までの議論を踏まえ、ここからは$M_{\mathrm{PMHF}}$の計算を行います。

マルコフチェイン

図102.1にIF、SM1及び2nd SMから構成されるサブシステムの動作を表した連続時間マルコフ連鎖図(CTMC, Continuous-time Markov chains)を示します。IF、SM1のup又はdownの状態の組み合わせにより、下記の5通りの状態が存在し、その確率過程の組の遷移をマルコフ連鎖で表現します。前稿に示すように、遷移先状態確率は遷移元状態確率に微小遷移確率をかけたものを時間で積分することにより求める事ができます。以下、ステートを斜体で表します。

• IF:up, SM1:up --- OPR
• IF:down(VSG), SM1:up --- SPF
• IF:down(not VSG), SM1:up --- LAT1
• IF:up, SM1:down --- LAT2
• IF:down, SM1:down --- DPF 図102.1 対象となるCTMC

リペアラビリティ(修理可能性)

一般的なサブシステムではIF、SM1共リペアラブル(修理可能)と考えます。また、検出されたフォールトは全て修理(リペア)されるという仮定を置きます。もし修理率が存在するとしても、フォールト検出率に入れてしまえば、修理率は100%として良いためです。

IF及びSM1のレイテントフォールト検出は2nd SMにより、周期$\tau$で実行されます。レイテントフォールト検出率はIF、SM1についてそれぞれ$K_\text{IF,MPF}$及び$K_\text{SM,MPF}$ですが、アンリペアラブルとする場合はレイテントフォールト検出率をゼロとすれば良いわけです。従って、リペアラブルのほうが一般的なサブシステムを表します。ISO 26262の基本思想は、定数故障率(指数分布)、周期的フォールト検出が基礎となっています。

まず、IFがアンリペアラブル、SM1がリペアラブルの場合を考えます。これをIFUモデル(IFがUnrepairable)とします。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

米国ロチェスター大学の資料(そのキャッシュ)によれば、 ランダムプロセス$\eta_t$において、ステート空間を$i, j=0,1,2,...,\in\mathcal{E}$について、以下の式を満足する場合に、ランダムプロセス$\eta_t$は連続時間マルコフ連鎖(CTMC)となります。 $$ \Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i, \eta_u\in x_u, u\lt t\}=\Pr\{\eta_{(t+s)}\in j\ |\ \eta_t\in i\} $$ 遷移する確率が、過去の時刻$u$での状態に依存せず、現在時刻$t$での状態にのみ依存することを表します。

CTMCである$\eta_t$において、ステートiからjへの瞬間遷移確率関数(Instantanous Transition Probability Function)$P_{ij}$の式は以下のようになります。ただし、元の式を「信頼性関係式の定義式の表現」で導入した記法に変更しています。 $$ P_{ij}(t):=\Pr\{\eta_{(t+dt)}\in\mathcal{j}\ |\ \eta_{t}\in\mathcal{i}\}=q_{ij}dt+o(dt)\tag{101.1} $$ $q_{ij}$は遷移率(Transition Rate)です。ランダムプロセス$\eta_t$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\{t:\eta_{t}\in\mathcal{P}\}$と示すことができます。

稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移を考えると、(101.1)は、 $$ P_\mathcal{MP}(t)=\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_\mathcal{MP}dt+o(dt)\tag{101.2} $$ となりますが、これと前記事の微小ダウン確率形式と比較し、 $$ \Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}=q_\mathcal{MP}dt+o(dt)=\varphi(t)dt\tag{101.3} $$ すなわち、単位時間あたりの稼働状態$\mathcal{M}$から不稼働状態$\mathcal{P}$への遷移率$q_\mathcal{MP}$は、$o(dt)\approx 0$の場合のダウン率$\varphi(t)$にほかなりません。

ここで、条件付き確率の式から(101.3)の両辺に状態確率$\Pr\{\eta_{t}\in\mathcal{M}\}$をかけるとPUDが求まります。PUDについて、$0$から$T_\text{lifetime}$まで$t$で積分し(101.2)を用いれば、 $$ \int_0^{T_\text{lifetime}}P_\mathcal{MP}(t)\Pr\{\eta_{t}\in\mathcal{M}\} =\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\int_0^{T_\text{lifetime}}\Pr\lbrace\eta_{(t+dt)}\in\mathcal{P}\cap \eta_{t}\in\mathcal{M}\rbrace=\int_0^{T_\text{lifetime}}q(t)dt =Q({T_\text{lifetime}})\tag{101.4} $$ 前記事の平均PUD式(66.13)に基づき(101.4)の両辺を$T_\text{lifetime}$で割り、SPFになる平均PUDを$\overline{q_{\mathrm{SPF}}}$で表せば、 $$ \overline{q_{\mathrm{SPF}}}=\frac{1}{T_\text{lifetime}}Q({T_\text{lifetime}})=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\ |\ \eta_{t}\in\mathcal{M}\}\Pr\{\eta_{t}\in\mathcal{M}\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\eta_{(t+dt)}\in\mathcal{P}\cap\eta_{t}\in\mathcal{M}\} \tag{101.5} $$ これにより、CTMCを用いた平均PUDを求める基本式が求まりました。PMHFを求めるには、(101.5)式を駆使していきます。

RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。

前のブログ 次のブログ

プレスリリースで案内のとおり、去る1月27日から4日間、米国カリフォルニア州パームスプリングスで開催された、RAMS 2020${}^{\dagger 1}$において、PMHF${}^{\dagger 2}$に関する論文を発表しました。論文の題名は"Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262"です。邦題は「ISO 26262に準拠したランダムハードウェア故障の確率的メトリクスの一般式」であり、PMHFを正確に評価することを可能にするものです。RAMS 2020は、IEEE RS${}^{\dagger 3}$が主催する、信頼性工学に関する世界最高レベルの国際学会です。

発表の内容は、IF${}^{\dagger 4}$及びSM${}^{\dagger 5}$から構成されるサブシステムにおいて、IFがISO 26262第1版に対応する修理不能なモデルと、第2版に対応する修理可能なモデルの2つを考案し、それに基づいたPMHF式を導出し、第1版とは一致、第2版とは不一致となることを示しました。次に第2版との不一致について、規格第2版のPMHFの過小評価と、EOTTI${}^{\dagger 6}$の過大評価を計算し、規格第2版は31倍もの過剰な設計制約となっていることを明らかにしたものです。

下の写真の向かって右はRAMS 2020のGeneral ChairであるDr. Julio Pulidoです。

下の写真の左上はColloquim Session ChairであるJess Leszczynskiと、右上はPaper Session ChairであるDongmei Chenと、右下はProgram Committee ChairであるOm Yadavとの写真です。

[追記]
論文の公開場所は、以下のIEEE Xploreです。
https://ieeexplore.ieee.org/document/9153704

${}^{\dagger 1}$RAMS 2020: The 66th Annual Reliability & Maintainability Symposium
${}^{\dagger 2}$PMHF: Probabilistic Metric for random Hardware Failures ⇒用語集
${}^{\dagger 3}$RS: Reliability Society
${}^{\dagger 4}$IF: Intended Functionarity ⇒用語集
${}^{\dagger 5}$SM: Safety Mechanism ⇒用語集
${}^{\dagger 6}$EOTTI: Emergency Operation Tolerance Time Interval⇒用語集

前のブログ 次のブログ

ニュースリリースでも明らかにしたように、このブログで研究してきたPMHFの一般式が、RAMS 2020に採択されました。ブログにおいて機能安全の知識は前提として良いので、注釈を取り除き、逆にブログとの関連の注釈☆をつけて再掲します。リリース文を茶色、注釈を青色で表示します。

なお、RAMS 2020に投稿中だったため、最新の研究#103～108を非開示としていましたが、今回採択が決定したので、RAMS 2020終了後(2020年2月頃)に公開予定です。

ISO 26262機能安全コンサルティングを提供するFSマイクロ株式会社（本社：名古屋市）代表取締役社長 桜井 厚の論文が、2019年10月19日、IEEE Reliability Society主催の国際学会である第66回RAMS（RAMS 2020）に採択されました。RAMS 2020は、2020年1月27日から30日まで、アメリカ・カリフォルニア州パームスプリングスのマリオット・ルネッサンスにて開催予定です。(☆1月30日最終日の12:15～14:15に開催されるコロキアムセッションにて発表します。)

論文の題名は「Generic Equations for a Probabilistic Metric for Random Hardware Failures According to ISO 26262」です。邦題は「ISO 26262に準拠したランダムハードウェア故障の確率的メトリクスの一般式」であり、ランダムハードウェア故障の確率的メトリクス（PMHF）を正確に評価することを可能にするものです。(☆上記にもあるように、本ブログでは#103～108で書きましたが、暫定非公開中です。⇒RAMS 2020が終了したので、当該記事を公開に変更しました。)

2011年に車載電子機器における機能安全の国際規格であるISO 26262の初版が、また、2018年には改訂版が発効されました。この規格改訂版においてはPMHF式が変更されていますが、PMHF値の数学的な定義や、エレメントの前提条件が明確ではありませんでした。(☆エレメントの前提条件とは具体的には修理可能性のことです。規格初版と規格改定版で、この修理可能性の前提を変えていると推測します。) 本論文ではこれらの点を明確にし、さらに規格に準拠した周期的な検査が行われるエレメントの不稼働確率式を初めて明らかにしました。 (☆不稼働確率については前記事に記載しています。)

これに基づき、一般的なサブシステムに関するPMHF式を新たに導出しました。本論文によりPMHF値を正確に評価できるため、広範な車載ECUにおいて、適正な安全設計を実施することが可能となります。また、緊急操作許容時間間隔（EOTTI）に関する過剰な設計制約を軽減できるため、自動運転システムに代表される耐故障システムにおいて、設計工期の短縮や製品コストの低減が可能となります。 (☆EOTTIの31倍の過剰見積もりについては前記事に記載しています。)

商号　　　　　 FSマイクロ株式会社
代表者　　　　 桜井 厚
設立年月日　　 2013年8月21日
資本金　　　　 3,200万円
事業内容　　　 ISO 26262車載電子機器の機能安全のコンサルティング及びセミナー
本店所在地　　 〒460-0011
　　　　　　　 愛知県名古屋市中区大須4-1-57
電話　　　　　 052-263-3099
メールアドレス info@fs-micro.com
URL　　　　　 http://fs-micro.com

前のブログ 次のブログ