Posts Tagged with "CTMC"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.

EOTTIの考え直し(3)

posted by sakurai on April 21, 2021 #386

前稿において、ようやくSM1にEOTTI制約がある場合についての$M_\text{PMHF}$が求められたので、今回は以前のブログ記事にならい、非冗長におけるEOTTIの制約を求めます。ただし、MPFDIを定めないとEOTTIが定まらないという制約があるので、MPFDIを100H, 10H, 1Hのように振ってみます。

さて、非冗長であることから(385.1)に$K_\text{IF,det}=1$を代入し、 $$ \begin{eqnarray} M_\text{PMHF}&=&(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF})\lambda_\text{IF}+\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\alpha \end{eqnarray}\tag{386.1} $$ ただし、 $$ \alpha:=\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}] $$ となります。よって、EOTTIの最大値は、 $$ \frac{M_\text{PMHF}-\lambda_\text{IF}}{\alpha-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\frac{M_\text{PMHF}-\lambda_\text{IF}}{\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}]-\lambda_\text{IF}}\cdot\frac{T_\text{mpfdi}}{K_\text{IF,RF}}\\ =\img[-1.35em]{/images/withinseminar.png} \tag{386.2} $$ で求められます。

規格に記述されている数値を入れてみたところ、矛盾が起きました。その理由は規格が誤ったPMHF方程式に基づいているためのようです。従ってEOTTIの最大値を具体的な数値について議論することは断念しました。

弊社ではEOTTIに関する論文をRAMS 2023に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2023で論文が採択・発表された後(2023年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

EOTTIの考え直し

posted by sakurai on April 19, 2021 #384

OPRSPFの平均PUDの計算

従来はMPF detectedはnon faultyでしたが、今回EOTTIの導入に伴い、SM1の時間制約としてのEOTTI後に、VSG抑止の時間切れとなることからSPFとするように変更しました。従って、MPF detectedといえどもSPF計算に関係してきます。 前稿#369を参照し、OPRからSPFへの平均PUD(66.13)を計算します。

図%%.1
図384.1 OPRSPFの遷移(a)

OPRからSPFへの平均PUDは、 $$ \overline{q_{\mathrm{SPF(a),IFU}}}=\frac{1}{T_\text{lifetime}}\Pr\{\mathrm{SPF\ via\ (a)\ at\ }T_\text{lifetime}\}\tag{384.1} $$ ここで、表368.1より、IF non preventableのupは(2)及び(4)のうちEOTTIでカバーされない分=miss分=(383.1)、の2排他条件であるため、 $$ \begin{eqnarray} (384.1)&=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\left(\mathrm{OPR_\overline{prev}\ at\ }t\cup\mathrm{OPR_\text{prev}\ at\ }t\cap miss\right)\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ & &+\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\left(\mathrm{OPR_\overline{prev}\ at\ }t\cap miss\right)\cap\mathrm{IF\ down\ in\ }(t, t+dt]\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\overline{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\}\\ & &+\frac{\Pr\{miss\}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\text{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\text{prev}\ at\ }t\}\\ \end{eqnarray} \tag{384.2} $$ 前稿#369の(369.5)より、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_\overline{prev}\ at\ }t\}\Pr\{\mathrm{OPR_\overline{prev}\ at\ }t\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}(1-K_\mathrm{IF,RF})R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.3} $$ さらに、 $$ \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF\ down\ in\ }(t, t+dt]\ |\ \mathrm{OPR_{prev}\ at\ }t\}\Pr\{\mathrm{OPR_{prev}\ at\ }t\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}K_\mathrm{IF,RF}R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.4} $$ は明らかであるから、これらを(384.2)に代入して、 $$ \require{cancel} (384.2)=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-\bcancel{K_\text{IF,RF}})+K_\text{IF,RF}\left(\bcancel{1}-\frac{T_\text{eotti}}{T_\text{mpfdi}}\right)\right]R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\text{IF,RF}\right)R_\mathrm{IF}(t)A_\mathrm{SM}(t)\lambda_\mathrm{IF}dt \tag{384.5} $$ よって、(103.6)の結果を用い、$\tau=T_\text{mpfdi}$であるから、 $$ \begin{eqnarray} (384.5)&\approx&\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\right)\lambda_\mathrm{IF}-\left(1-\frac{T_\text{eotti}}{T_\text{mpfdi}}K_\mathrm{IF,RF}\right)\alpha\\ &=&\img[-1.35em]{/images/withinseminar.png}\\ & &\text{ただし、} \alpha:=\frac{1}{2}\lambda_\mathrm{IF}\lambda_\mathrm{SM}\left[(1-K_\mathrm{SM,MPF})T_\text{lifetime}+K_\mathrm{SM,MPF}T_\text{mpfdi}\right] \end{eqnarray} \tag{384.6} $$

MPFDIに対してEOTTI分だけSM1のカバレージが減少すると解釈すると、SM1のEOTTIの制約に対して理屈に合っています。

弊社ではEOTTIに関する論文をRAMS 2023に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2023で論文が採択・発表された後(2023年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

EOTTIとは(3)

posted by sakurai on April 15, 2021 #383

EOTTIの問題点2点

以下は、$T_\text{mpfdi}\gt T_\text{eotti}$の場合に限ります。反対に、$T_\text{mpfdi}\le T_\text{eotti}$の場合は必ずEOTTI中に検査・修理が含まれるためSPFとなることはないので、MPF detectedは過去記事のようにup状態となります。

  1. PMHF式の修正が必要
    SM1にVSG抑止の制約時間であるEOTTIが存在する場合は、CTMCの遷移条件が異なってきます。それにより、結果として得られるPMHF方程式が変わってきます。

    CTMC遷移条件が変更⇒平均PUD微分方程式が変更⇒結果PMHF方程式が変更

    図%%.1
    図383.1 CTMC


    図383.1において、IFにフォールトが発生し、かつSM1によりそのフォールトが検出された場合、かつEOTTIが車両寿命以上の場合はVSGが抑止されている期間内に修理されることが前提のため、VSGとはなりません。一方EOTTIが車両寿命未満の場合はVSG抑止がされなくなるため、SPFとなります。つまりSM1によるMPF detectedフォールトについては、カバー範囲においても(a)の遷移が発生します。

  2. MPFDIとEOTTIの性質の違い
    過去記事のように、MPFDIとEOTTIは相反する時間制約であることから、相互に入れ替えることはできません。

    図383.2に$T_\text{mpfdi}\gt T_\text{eotti}$の場合のMPFDIとEOTTIの関係を示します。MPFDIの周期は検出・修理周期です。これを固定し、EOTTIをずらして行くと、(1)~(2)まではEOTTI中に検出・修理は入らないため、この期間はミス期間(長さ=MPFDI-EOTTI)となります。一方、(3)~(4)まではEOTTI中に検出・修理が含まれるので、この期間はヒット期間(長さ=EOTTI)となります。

    図%%.2
    図383.2 ヒットミス判定


    よって、$T_\text{mpfdi}\gt T_\text{eotti}$の場合はミス率、ヒット率は以下のように求められます。 $$ \Pr\{\text{miss}\}=\frac{\text{(1)~(2)までの時間間隔}}{\text{(1)~(4)までの時間間隔}}=\frac{T_\text{mpfdi}-T_\text{eotti}}{T_\text{mpfdi}}=1-\frac{T_\text{eotti}}{T_\text{mpfdi}}\tag{383.1} $$ $$ \Pr\{\text{hit}\}=\frac{\text{(3)~(4)までの時間間隔}}{\text{(1)~(4)までの時間間隔}}=\frac{T_\text{eotti}}{T_\text{mpfdi}}\tag{383.2} $$

弊社ではEOTTIに関する論文をRAMS 2023に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2023で論文が採択・発表された後(2023年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

EOTTIとは(2)

posted by sakurai on March 31, 2021 #382

そこで、新たにCTMCから考え直します。

図%%.1
図382.1 IFUモデルのCTMC

図382.1の前提として、IFUモデルで考えます。その理由は、SM1はVSG抑止に制約のあるSMであり、冗長構成ではないと考えるほうが自然だからです。

さらに、過去記事のCTMCからLAT1を削除しています。これは、SM1にIF代替機能が無い場合、つまり非冗長の場合はIFのダウンにより直ちにVSGとなるためです。従って、MPF detectedをMPF latentと同一視することはできません。この場合MPF latentはSM1のフォールトによって引き起こされるフォールトのみとなります。

SM1の検出機能によりVSG抑止される場合、$T_\text{service}$と$T_\text{eotti}$の大小関係により、動作が異なってきます。

  1. $T_\text{service}\lt T_\text{eotti}$のとき
    $\img[-1.35em]{/images/withinseminar.png}$
  2. $T_\text{service}\gt T_\text{eotti}$のとき
    $\img[-1.35em]{/images/withinseminar.png}$

弊社ではEOTTIに関する論文をRAMS 2023に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2023で論文が採択・発表された後(2023年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

EOTTIとは

posted by sakurai on March 29, 2021 #381

EOTTIとは

そもそもEOTTIとは何かを再確認します。過去記事によれば、

EOTTIとは、SM1によりIFのVSGが抑止されていて、かつ、その抑止に時間制約がある場合、その最小時間のことを指します。

となります。

MPFDIの性質

ここでMPFDIと比較すると、MPFDIは、レイテントを防止するためのSM、すなわち2nd SMの定期修理時間間隔です。MPFDIがある一定値よりも長いと、修理期間内で発生するフォールトの確率が上昇し、そのためPMHFが目標を超える可能性があります。従って、目標PMHFよりも小さくなる制約条件から、最大(ワースト)MPFDIが求められます。逆に、MPFDI=$\tau$が小なほうがアイテムのダウン確率やPMHFが低く、安全性は高いわけです。

図%%.1
図381.1 MPFDIとPMHFの関係

EOTTIの性質

規格ではEOTTIをMPFDIと同じPMHF式により求めていますが、良く考えるとおかしいです。EOTTIは、VSGを防止するためのSM、すなわち1st SMの抑止期間の最大値です。従って、EOTTIが小ということは制約条件が厳しく、弱いSMであるためPMHFは上昇するはずです。逆に、EOTTIが大なほうがアイテムのダウン確率やPMHFは低く、安全性が高いはずです。

図%%.2
図381.2 EOTTIとPMHFの関係

以上から、MPFDIとEOTTIはPMHFに関して相反する要素であるため、MPFDIとEOTTIを同一視することはできません。

そもそも、PMHF方程式の$\tau$はあくまで2nd SMの定期修理周期なので、$\tau$を1st SMの制約であるEOTTIに入れ替えることはできません。

まとめ

まとめると、

$\img[-1.35em]{/images/withinseminar.png}$

2つの誤りというより、1つめの誤りである1st SMの制約と2nd SMの制約を混同したことから、2つ目の矛盾が引き起こされたと考えます。

弊社ではEOTTIに関する論文をRAMS 2023に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2023で論文が採択・発表された後(2023年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 24, 2021 #367

再検討にあたっては計算の容易さから、図222.1を参照して、$\mathrm{IF^R}$をpreventableとnon preventableに分解して考えます。具体的には、CTMC図367.1に示すようにLAT2からの分岐をSPF方向(b)とDPF方向(c)に分離します。ただし、分解してもしなくても統合した結果は同じです。

図%%.1
図367.1 LAT2からの分岐をSPF方向(b)とDPF方向(c)に分離

(367.1)に、新しい記号の定義を示します。 $$ \begin{eqnarray} \{\mathrm{IF^R_{prev}}\text{up at }t\}&:=&\{\mathrm{IF^R}\text{up at }t\ \cap\ \text{IF preventable}\}\\ \{\mathrm{IF^R_\overline{prev}}\text{up at }t\}&:=&\{\mathrm{IF^R}\text{up at }t\ \cap\ \overline{\text{IF preventable}}\}\tag{367.1} \end{eqnarray} $$ より、 $$ \{\mathrm{IF^R}\text{up at }t\}=\{\mathrm{IF^R_{prev}}\text{up at }t\}\cup\{\mathrm{IF^R_\overline{prev}}\text{up at }t\}\tag{367.2} $$ が成立します。

弊社では、MPF detectedの再考に基づくPMHF式に関する論文をRAMS 2022に投稿予定であることから、ブログの一部を非開示(セミナー内でのご紹介と表示)としました。RAMS 2022で論文が採択・発表された後(2022年2月頃)に公開予定です。


左矢前のブログ 次のブログ右矢

posted by sakurai on February 5, 2020 #102

前稿までの議論を踏まえ、ここからは$M_{\mathrm{PMHF}}$の計算を行います。

マルコフチェイン

図102.1にIF、SM1及び2nd SMから構成されるサブシステムの動作を表した連続時間マルコフ連鎖図(CTMC, Continuous-time Markov chains)を示します。IF、SM1のup又はdownの状態の組み合わせにより、下記の5通りの状態が存在し、その確率過程の組の遷移をマルコフ連鎖で表現します。前稿に示すように、遷移先状態確率は遷移元状態確率に微小遷移確率をかけたものを時間で積分することにより求める事ができます。以下、ステートを斜体で表します。

  • IF:up, SM1:up --- OPR
  • IF:down(VSG), SM1:up --- SPF
  • IF:down(not VSG), SM1:up --- LAT1
  • IF:up, SM1:down --- LAT2
  • IF:down, SM1:down --- DPF
    図%%.1
    図102.1 対象となるCTMC

リペアラビリティ(修理可能性)

一般的なサブシステムではIF、SM1共リペアラブル(修理可能)と考えます。また、検出されたフォールトは全て修理(リペア)されるという仮定を置きます。もし修理率が存在するとしても、フォールト検出率に入れてしまえば、修理率は100%として良いためです。

IF及びSM1のレイテントフォールト検出は2nd SMにより、周期$\tau$で実行されます。レイテントフォールト検出率はIF、SM1についてそれぞれ$K_\text{IF,MPF}$及び$K_\text{SM,MPF}$ですが、アンリペアラブルとする場合はレイテントフォールト検出率をゼロとすれば良いわけです。従って、リペアラブルのほうが一般的なサブシステムを表します。ISO 26262の基本思想は、定数故障率(指数分布)、周期的フォールト検出が基礎となっています。

まず、IFがアンリペアラブル、SM1がリペアラブルの場合を考えます。これをIFUモデル(IFがUnrepairable)とします。

ブログでお知らせしたように、RAMS 2020においてPMHF式の論文発表が終了したため、本記事を開示します。


左矢前のブログ 次のブログ右矢