1st Editionと2nd Editionとの変化点

本稿ではISO 26262:2011を1st Edition、ISO 26262:2018を2nd Editionと呼びます。さて、7年間の議論を経て発効された2nd Editionではどこがどう変わったのでしょうか？

本ブログではハードウェア領域においての変化点をご紹介していきます。ISO 26262においてのハードウェア領域は主にPart 5、Part 10、及びPart 11となります。

Part 5

本文中の細かいところも変更されていますが、一見して目に付くのがAnnexの章立てが変更されていることです。

• 1st Edition Annex F (スケーリングファクタ)の廃止
• 2nd Edition Annex F (PMHFの評価例)の追加
• 2nd Edition Annex G (PMHFバジェッティング例)の追加
• 2nd Edition Annex H(レイテントフォールト取扱い例)の追加

これらひとつひとつについて、「ISO 26262変化点セミナー」でご説明予定ですが、ブログでも簡単に解説していきたいと思います。

Annex F (スケーリングファクタ)の廃止

スケーリングファクタは異なる故障率データベースからの故障率を混ぜて使用する場合、土台を合わせないと正しく使用できないことから、それについての注意点を記述した章でした。ところが2nd Editionでは削除されています。元々、1st Editionでは9.2.4.7にのみスケーリングファクタが書かれており、そこからAnnex Fへ参照となっていたものです。この9.2.4.7はPMHF手法による、安全目標侵害確率の評価の最後の章となっています。つまり1st Editionでは、PMHFを正しく求める方法としてスケーリングファクタを導出し、故障率の土台を合わせて計算することを推奨していました。

一方2nd Editionでは、章が削除されたとはいえ、スケーリングの議論は8.4.3に新設されています。8.4は故障率を異なるデータソースから算出する話なので、スケーリングについて触れるにはちょうど良い場所です。さらに備考に、スケーリングを正しく行わない場合SPFM/LFMにも悪影響が及ぶとあり、スケーリング対象をPMHFのみからアーキテクチャメトリクスまで広げていることは妥当と考えます。

まとめると、独自の章としては削除されたものの、スケーリングは一層重要になります。

---

前のブログ 次のブログ

前稿(99.1)において、時刻$t$から$t+dt$において、IFのフォールトがVSG抑止される微小確率を求めると、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\\ =K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{100.1} $$ ただし、 $$ \Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\cap\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}},\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ となりましたが、「DCはSMのアーキテクチャにより決定される」ことを前提とし、フォールト発生とフォールト検出は独立な事象と考えれば、同じ確率式は、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ preventable}\}\cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt \tag{100.2} $$ ここで、 $$ \Pr\{\mathrm{IF\ preventable}\}=K_{\mathrm{IF,FMC,RF}}, \\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) $$ と求められます。従って、(100.1)の$\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ at\ }t\}$という確率的な$t$の関数を、(100.2)の$\Pr\{\mathrm{IF\ preventable}\}$という定数に置き換えることができます。

2nd SMの属性である$K_{\mathrm{FMC,MPF}}$についても同様の議論が成り立ち、Kパラメータは条件付き確率ではなく、アーキテクチャ的に決定している能力(定数)として扱います。結論として、

$$ K_{\mathrm{IF,FMC,RF}}:=\Pr\{\mathrm{IF\ preventable}\}\tag{100.3} $$ $$ K_{\mathrm{IF,FMC,MPF}}:=\Pr\{\mathrm{IF\ detectable}\}\tag{100.4} $$ $$ K_{\mathrm{SM,FMC,MPF}}:=\Pr\{\mathrm{SM\ detectable}\}\tag{100.5} $$

---

前のブログ 次のブログ

(98.1)の定義を用いれば、時刻$t$から$t+dt$において発生するIFのフォールトについて、VSG抑止される確率を求めると、条件付き確率のチェインルールを用いれば、 $$ \Pr\{\mathrm{IF\ prevented}\cap\mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ =\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}\\ \cdot\Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}\cdot\Pr\{\mathrm{IF\ not\ failed\ before\ }t\}\tag{99.1} $$ ここで、それぞれ $$ \Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed\ in\ }(t, t+dt]\cap\mathrm{IF\ not\ failed\ before\ }t\}=K_{\mathrm{IF,FMC,RF}},\\ \Pr\{\mathrm{IF\ failed\ in\ }(t, t+dt]\ |\ \mathrm{IF\ not\ failed\ before\ }t\}=\lambda_{\mathrm{IF}}dt,\\ \Pr\{\mathrm{IF\ not\ failed\ before\ }t\}=R_{\mathrm{IF}}(t) \tag{99.2} $$ であるから、 $$ (99.1)=K_{\mathrm{IF,FMC,RF}}\lambda_{\mathrm{IF}}R_{\mathrm{IF}}(t)dt\tag{99.3} $$ と、IFに関する故障率や信頼度関数で表すことができます。

問題1
しかしながら、Kパラメータ($K_{\mathrm{FMC,MPF}}$及び$K_{\mathrm{FMC,RF}}$)が条件付き確率として一定だと矛盾が起きます。抑止条件が確率的に作用することにより、例えば1回目にはVSG抑止されたフォールトが、2回目にはVSG抑止されないことが起こりえます。あるいは1回目にはリペアされたフォールトが2回目にはリペアされないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

問題2
次に、例えば故障検出率$K_{\mathrm{FMC,MPF}}$について考えると、長時間が経ち故障検出を長く続ける場合を考えます。検出されるフォールトは全量リペアされるのに比べて、検出されないフォールトはどんどん溜まって行き、不信頼度は上昇し続けます。従って、新たにフォールトするうちの検出される部分の比率が高まりそうであるのに、条件付き確率として一定値であると感覚に反します。

フォールト検出のたびにサイコロで検出を決めているならそのようになりますが、一般的には診断カバレージ(Diagnostic Coverage; DC)はSMのアーキテクチャにより決定され、確率的には検出されないとここでは考えることにします。そうすれば、上記の問題点は解消されます。

図99.1　Q(t)のグラフ

問題1
確率的に一定ではなく、アーキテクチャ的に一定量を必ず検出できるとした場合のグラフです。これであれば、$\tau$毎に必ず検出分は修理され、問題はありません。

問題2
これに関しても、アーキテクチャ的に一定量を必ず検出できるとした場合、グラフから見られるように、不信頼度は時間と伴に上昇していきます。

---

前のブログ 次のブログ

PMHF式において、あるいはその前提となる故障分類フローにおいて、Kパラメータが2種存在します。 具体的には$K_{\mathrm{FMC,RF}}$と$K_{\mathrm{FMC,MPF}}$の2種類です。それぞれ、1st order SMのVSG抑止率及び2nd order SMのフォールト検出率を意味します。規格では定数のように書かれているので、それぞれ $$ K_{\text{FMC,RF}},\\ K_{\text{FMC,MPF}} $$ と記述できます。

ここで1st order SMとは、主機能IFのフォールトによるSG侵害を抑止する働きを持つSMであり、2nd order SMとは、(主機能やSM等の)エレメントのフォールトがレイテントフォールトとなることを阻止する働きを持つSMです。

さらに、Kパラメータは、主機能とSMにそれぞれ存在するため、IF-SM-2nd SMモデル全体では $$ K_{\mathrm{IF,FMC,RF}},\\ K_{\mathrm{IF,FMC,MPF}},\\ K_{\mathrm{SM,FMC,MPF}} $$ の3種類が存在します。一般的にはSMのフォールトはVSGとならないため、$K_{\mathrm{SM,FMC,RF}}$は存在しません。

さて、当初、例えばこの記事でもこのKパラメータは定数であり、かつ条件付き確率であると解釈していました。例えば、 $$ K_{\mathrm{IF,FMC,RF}}:=\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed}\},\tag{98.1}\\ K_{\mathrm{IF,FMC,MPF}}:=\Pr\{\mathrm{IF\ detected}\ |\ \mathrm{IF\ prevented}\},\\ K_{\mathrm{SM,FMC,MPF}}:=\Pr\{\mathrm{SM\ detected}\ |\ \mathrm{SM\ prevented}\}\\ $$ と定義されます。

ただし上記は若干省略して書かれており、詳細に書けば、$\Pr\{\mathrm{IF\ prevented}\ |\ \mathrm{IF\ failed} \}$は$\Pr\{\mathrm{VSG\ of\ IF\ is\ prevented}\ |\ \mathrm{IF\ is\ failed} \}$であり、$\Pr\{\mathrm{IF\ detected}\ |\ \mathrm{IF\ prevented}\}$は、$\Pr\{\mathrm{The\ fault\ of\ IF\ is\ detected}\ |\ \mathrm{VSG\ of\ IF\ is\ prevented}\}$となります。

ここで、規格に書かれていない2nd SMの修理率は100%であり、

$$K_\text{SM,FMC,rep}=\Pr\{\text{SM repaired}\ | \text{SM detected}\cap\text{SM failed}\}=1.0$$

---

前のブログ 次のブログ

冗長構成とは以下のように定義されます。

• 冗長構成 --- 機能的に対称な冗長。1oo2の冗長であり、2つのチャネルから成り、主系も従系もどちらも主機能を果たす一方、他方が故障した場合にVSGを抑止するSMの機能を果たす。

この冗長構成サブシステムにPMHFの値は2つあるのでしょうか?

具体例でみてみましょう。図のヘッドライト回路において、マイコンとトランジスタスイッチの両方からヘッドライトを点灯する機能があるとします。両者ともコンビネーションスイッチ情報を読み込み、点灯するものとします。さて、この場合、どちらが主機能でどちらが安全機構でしょうか？

図70.1 非対称冗長システム例

この場合は冗長構成であるため、両方とも主機能となります。両方ともヘッドライト点灯という主目的をはたしているからです。一方で両方とも安全機構です。他方がフォールトしたときに、ライト消灯という、システムとしての機能喪失を抑止するためです。

具体的に数値を入れて見てみます。故障率をそれぞれ、スイッチ入力回路は1FIT、マイコンは100FIT、ドライバ出力回路は1FITとします。仮にマイコン側のチャネルを主機能、反対側をSMとし、主機能とSMの互いのSG侵害防止率を99%とすれば、PMHF第1式は、 $$ M_\mathrm{PMHF}=1.025FIT $$ となります。一方、どちらを主機能と見ても良いので、逆にすれば、 $$ M_\mathrm{PMHF}=0.015FIT $$ となります。このようにPMHFの値は2つあることになります。

しかしながら、設計意図の違いでアイテムのダウン確率が変わるはずがないため、これは明らかに誤りと分かります。論文で指摘したとおり、規格式が冗長に対応しておらず、MとSMに関して対称でないためです。

2nd Editionでは、MとSMに関して対称となっているので、本問題が解決されているように見えますが、既述のとおりある問題が残っています。

---

前のブログ 次のブログ

upやdownを数式で書いてみます。

ランダムプロセス$\eta_s$において、確率変数$X$を無故障稼働時間とします。$\mathcal{M}$を稼働状態のサブセットとし、$\mathcal{P}$を不稼働状態のサブセットとすれば、$X=\inf\lbrace s:\eta_{s}\in\mathcal{P}\rbrace$と示すことができます。 non-repairable elementの故障率$\lambda(t)$は、 $$\lambda(t)=\lim_{dt\to 0}\frac{\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace}{dt}\tag{67.1}$$ より形式的に瞬間故障確率(故障率$\times dt$)が求められ、 $$\lambda(t)dt=\Pr\lbrace X\le t+dt\ |\ t\lt X\rbrace=\frac{\Pr\lbrace t\lt X\le t+dt\rbrace}{\Pr\lbrace t\lt X\rbrace}=\frac{f(t)}{R(t)}dt\tag{67.2}$$

repairable elementのダウン$\varphi(t)$率は、Christiane Cocozza-Thivent他の論文"The Failure Rate in Reliability. Numerical Treatment"の(1.2)式によれば、

$$\varphi(t)=\lambda_V(t)=\lim_{dt\to 0}\frac{\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace}{dt}\tag{67.3}$$ より形式的に瞬間ダウン確率(ダウン率$\times dt$)が求められ、条件付き確率の公式より、 $$\varphi(t)dt=\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t\in\mathcal{M}\rbrace=\frac{\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace}{\Pr\lbrace\eta_{t}\in\mathcal{M}\rbrace}=\frac{q(t)}{A(t)}dt\tag{67.4}$$ となります。さらに前記論文が引用している同著者の論文"The failure rate in reliability: approximations and bounds"の(3.17)式の証明に、

$$\varphi(t)=\lambda_V(t)=\frac{1}{\Pr\lbrace \eta_{t}\in\mathcal{M}\rbrace}\lim_{dt\to 0}\frac{1}{dt}\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.5}$$ とあります。(67.4)と(67.5)を比較すれば、 $$q(t)dt=\Pr\lbrace \eta_{t}\in\mathcal{M}\cap\eta_{t+dt}\in\mathcal{P}\rbrace=\int_{\mathcal{M}}\Pr\lbrace \eta_{t+dt}\in\mathcal{P}\ |\ \eta_t=\eta\rbrace\Pr\lbrace\eta_{t}\in d\eta\rbrace\tag{67.6}$$

が得られます。

---

前のブログ 次のブログ

ISO/TR 12489:2013(E)において、信頼性用語の定義がまとめてあるため、それを記載します。ただし、弊社の考えを交えており、そのまま引用しているわけではありません。以下に$X_\text{item}$をアイテム$item$の無故障運転継続時間(failure free operating time)とするとき、

信頼度(Reliability)

$$ R_\text{item}(t):=\Pr\lbrace\text{item not failed in }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace=\Pr\lbrace t\lt X_\text{item}\rbrace \tag{66.1} $$ 非修理系システムで、時刻$t$までに一度も故障していない確率。非修理系なので、一度でも故障すると故障しっぱなしになるため、一度も故障していない確率です。

不信頼度(Unreliability, Cumulative Distribution Function, CDF)

$$ F_\text{item}(t):=\Pr\lbrace\mathrm{item\ failed\ in\ }(0, t]\rbrace=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=\Pr\lbrace X_\text{item}\le t\rbrace \tag{66.2} $$ 非修理系システムで、時刻$t$までに故障する確率。

非修理系なので、一度でも故障すると故障しっぱなしになるため、時刻が0からtまでに故障したことがある確率です。等号は有っても無くても値は変わりません。

故障密度(Probability Density, Probability Density Function, PDF)

$$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.3} $$ 又は、微小故障確率形式として、 $$ f_\text{item}(t)dt=\Pr\{\mathrm{item\ fails\ in\ }(t, t+dt]\cap\mathrm{item\ up\ at\ } t\}\\ =\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace\\ =\Pr\{X_\text{item}\in dt\} \tag{66.4} $$ 非修理系システムで、時刻$t$で、単位時間あたりに故障する確率。正確には、時刻$t$から$t+dt$までに故障する微小確率を$dt$で割り、単位時間あたりに直したもの。

【証明】 条件付き確率公式及び、確率の加法定理を用いて、 $$ f_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace t\lt X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{\Pr\lbrace t\le X_\text{item}\rbrace+\Pr\lbrace X_{item}\le t+dt\rbrace - \Pr\lbrace t\le X_\text{item} \cup X_\text{item}\le t+dt\rbrace}{dt} \\ =\lim_{dt \to 0}\frac{R(t)+F(t+dt)-1}{dt}=\lim_{dt \to 0}\frac{F(t+dt)-F(t)}{dt}=\frac{dF_\text{item}(t)}{dt} \tag{66.5} $$

(瞬間)故障率(Failure Rate)

$$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace}{dt}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.6} $$ 非修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに故障する条件付き確率。正確には、時刻$t$から$t+dt$までに故障する条件付き確率を$dt$で割り、単位時間あたりとしたもの。ISO 26262の場合は、確率分布が指数分布のため、故障率は定数として扱います。

【証明】 条件付き確率の式及び、上記$f_\text{item}(t)$の式を用いて $$ \lambda_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace X_\text{item}\le t+dt \cap t \le X_\text{item}\rbrace}{dt}\frac{1}{\Pr\lbrace t \le X_\text{item}\rbrace}=\frac{f_\text{item}(t)}{R_\text{item}(t)} \tag{66.7} $$ 又は、微小故障条件付き確率形式として、 $$ \lambda_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ fails\ in\ }(t, t+dt]\ |\ \mathrm{item\ not\ failed\ at\ } t\rbrace\\ =\Pr\{t\lt X_\text{item}\le t+dt\ |\ t\le X_\text{item}\}\\ =\Pr\{X_\text{item}\in dt\ |\ t\le X_\text{item}\} \tag{66.8} $$

稼働度((Point) Availavility)

$$ A_\text{item}(t):=\Pr\lbrace\mathrm{item\ up\ at\ }t\rbrace \tag{66.9} $$ 修理系システムで、時刻$t$で稼働している確率。

不稼働度((Pont) Unavailavility, PUA)

$$ Q_\text{item}(t):=\Pr\lbrace\mathrm{item\ down\ at\ }t\rbrace=1-A_\text{item}(t) \tag{66.10} $$ 修理系システムで、時刻$t$で不稼働な確率。

不稼働密度((Point) Unavailability Density, PUD)

$$ q_\text{item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace}{dt} =\frac{dQ_\text{item}(t)}{dt} \tag{66.11} $$ 又は、微小不稼働確率形式として、 $$ q_\text{item}(t)dt=\Pr\lbrace\mathrm{item\ down\ in\ }(t,t+dt]\cap\mathrm{item\ up\ at\ } t\rbrace \tag{66.12} $$ 時刻$t$で単位時間あたりに不稼働になる確率。正確には、時刻$t$から$t+dt$までに不稼働になる微小確率を$dt$で割り、単位時間あたりに直したもの。failure frequency (故障頻度), unconditional failure intensity (UFI; 無条件故障強度), ROCOF(Rate of OCcurrence Of Failure)とも呼ばれる。

一方、PUDは修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

平均不稼働密度(Average PUD)

PUDの車両寿命間$T_\text{lifetime}$の平均値を求めると、平均不稼働密度(Average PUD)は、積分の平均値の定理より、 $$ \overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime}) \tag{66.13} $$ AROCOFも同様な定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

PFH(Probability of Failure per Hour)

注意：Probablity of Failure per Hourは古い定義で現在はaverage failure frequency (平均故障頻度), average unconditional failure intensity (平均無条件故障強度)。

$$ PFH:=\overline{q_\text{item}}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}q_\text{item}(t)dt=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime})\\ =\frac{1}{T_\text{lifetime}}\Pr\lbrace\mathrm{item\ down\ at\ }T_\text{lifetime}\rbrace, \text{ただし}T_\text{lifetimeは車両寿命} \tag{66.14} $$ PMHFも同様の定義だが、平均不稼働密度(Average PUD)は修理系サブシステムが対象でかつ定期検査修理(PIR)が前提。

Vesely故障率(Vesely Failure Rate)

修理系システムで、時刻$t$で稼働している条件において、単位時間あたりに不稼働になる条件付き確率。conditional failure intensity (条件付き故障強度)とも呼ばれる。

$$ \lambda_\text{v,item}(t):=\lim_{dt \to 0}\frac{\Pr\lbrace\mathrm{item\ down\ in\ }(t, t+dt]\ |\ \mathrm{item\ up\ at\ } t\rbrace}{dt}=\frac{q_\text{item}(t)}{A_\text{item}(t)} \tag{66.15} $$

---

以下はISO/TR 12489にはない確率関数です。

修理度(Repairability)

修理系システムで、時刻$t$において不稼働度が修理されるその割合。修理時間は無視できるものとする。 $$ M(t):=\Pr\lbrace\text{repaired at }t\ |\ \text{failed at }t\rbrace\tag{66.16} $$

---

前のブログ 次のブログ

安全機構フォールトによるVSGの場合のPMHF計算

DPFにはもう1パターンが存在します。それがMのフォールトがSMにより抑止されているものの、SMフォールトが引き続いて起こる場合です(表63.1のCase 2)。

この状態がレイテントになるのかならないのかが曖昧です。PMHF式では次に示すようにVSGとなる場合に含まれているので、PMHFの観点ではレイテントとなると考えられますが、一方でLFMではこの状態は計算に入っていません。規格に自己矛盾が見られます。

PMHF規格第3式では、

図65.1 Part10 8.3.3 PMHF規格 第3式 のように「故障の次数がはっきりしない場合」と訳していますが、orderを次数としたのは誤りで、これは順番と訳すべきです。なぜなら、PMHF規格第1式は主機能とSMのフォールトの順番を条件としているためです。また、irrelevantにはっきりしない場合という訳は無く、無関係な場合と訳すべきです。

それでは「故障の順番が無関係な場合」とはどういうことでしょうか？実は前稿で求めたのが、最初のフォールトはどうあれ、主機能MのフォールトによるVSG確率でした(表63.1のCase 1及びCase 4)。従って、「故障の順番が無関係」とは、両方(全て)の条件の場合を意味し、次に必要なのはSMのフォールトによるVSG確率です(表63.1のCase 2及びCase 3)。とはいえSMの単一フォールトでVSGとはならないので、SMフォールトはDPF確率のみを考えます(表63.1のCase 2)。

マルコフ状態遷移図でのLAT1→DPF

従って、SMによるVSG(DPF)の微小不稼働確率は、 $$ q_{SM,DPF}(t)dt=\Pr\{\text{LAT1 at }t\cap\text{SM down in }(t, t+dt]\}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{65.1} $$ と求められ、平均PUDを計算すれば、 $$\overline{\varphi_{SM,DPF}}\approx\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\tag{65.2}$$ となるため、(63.1)と加え合わせれば、順番によらない式(というか、MまたはSMによりVSGとなる確率式) $$M_{PMHF}\approx(1-K_{M,FMC,RF})\lambda_M\\ +K_{M,FMC,RF}\lambda_M\lambda_{SM}\left[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\right]\\ =\lambda_{M,RF}+\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{65.3} $$ が求められます。

前稿と同様、車両寿命の項と比べて定期検査時間による項が十分小さく無視できる場合、つまり$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合、(65.3)は $$M_{PMHF}\approx\lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{65.4} $$ となり、PMHF規格第3式の

図65.2 Part10 8.3.3 PMHF規格 第3式(再掲) と正確に一致します。

---

前のブログ 次のブログ

次に、定期検査時間による項が、車両寿命に関する項よりも十分小さく無視できるとした場合、つまり、$\lambda_{SM,DPF,lat}T_{lifetime}\gg\lambda_{SM,DPF,det}\tau_{SM}$の場合は、(63.1)は $$ M_{PMHF,M}\approx\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM,DPF,lat}T_{lifetime}\tag{64.1} $$ となり、PMHF規格第2式の

図64.1 Part10 8.3.3 PMHF規格 第2式 と正確に一致します。

---

前のブログ 次のブログ

主機能フォールトによるVSGの場合のPMHF計算

前稿で目的の微小不稼働確率が求められたので、主機能フォールトに関するPMHFこと時間平均PUDを計算します。(61.5)に(62.3)を適用し、(60.6)及び(60.8)を適用すれば、PMHFの式は、 $$ M_{PMHF,M}=\overline{\varphi_{M}}\approx(1-K_{M,FMC,RF})\lambda_M\\ +\frac{1}{2}K_{M,FMC,RF}\lambda_M\lambda_{SM}[(1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}]\\ =\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1} $$ となり、これはPart10 8.3.3PMHF規格第1式の

図63.1 Part10 8.3.3 PMHF規格 第1式

と正確に一致します。ただし、条件に「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」とあり、「SMのフォールトの後に主機能がフォールトする場合」と読めますが、以前PMHFの意味でも述べたように、(訳文ではなく)原文の誤りと思われます。その理由は、SMがフォールトしている場合は主機能フォールト抑止ができず、従って$\lambda_{RF}$とはならないからです。残余故障率が存在するためには、SMが稼働している必要があります。さらに、この場合、probabilityの訳語としては可能性よりも数学用語である確率のほうが適当です。

正しくは前稿までに見たように、OPR→SPF(安全機構のフォールトが無い状態で主機能フォールトの場合)及びLAT2→DPF(規格の条件どおり、安全機構に続く主機能のフォールトの場合)の2条件の和となります。つまり規格第1式は、安全機構のフォールトの有無を問わない、主機能フォールトによるVSG確率を意味しています。

順番については表で表した方が分かりやすいため、以下に4つのケースを示します。

表63.1 主機能と安全機構のフォールト順番

	第1のフォールト	第2のフォールト	VSG
Case 1	M	-	〇(SPF/RF)
Case 2	M	SM	〇(DPF)
Case 3	SM	-	×
Case 4	SM	M	〇(DPF)

規格第1式の条件である、「SMのフォールトの後に主機能がフォールトする場合」はCase 4のみを意味していますが、実際には数式は、主機能フォールトによるVSG確率、つまりCase 1とCase 4の場合の両方を意味しています。直観的にも理解されるように、 $$M_{PMHF,M}=\lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}(\lambda_{SM,DPF,lat}T_{lifetime}+\lambda_{SM,DPF,det}\tau_{SM})\tag{63.1再掲}$$ の第1項がCase 1を、$\frac{1}{2}$以降の第2項がCase 4を表しています。

---

前のブログ 次のブログ