Posts Tagged with "FTA"

既に発行済みのブログであっても適宜修正・追加することがあります。
We may make changes and additions to blogs already published.
posted by sakurai on October 14, 2020 #323

弊社では、定量FTAを用いてPMHFを見積もる論文を、RAMS 2021に提出済みです。さて、PMHFが業界でどのように見積もられているかを調べたところ、この資料を見つけました。

図%%.1
図323.1 ある資料のFT構成法

図323.1は少々複雑なので、思想を曲げない範囲で簡略化します。まず、SPFはDC=0の時のRFであるため、SPF/RFをひとまとめにし、 $$ \lambda_\text{IF,RF}=(\lambda_\text{G}+\lambda_\text{K}+\lambda_\text{B}+\lambda_\text{F})(1-DC)=(1-DC)\lambda_\text{IF}\tag{323.1} $$ (323.1)はRFの式そのものであり、OKです。

次に、DPF1ですが、これはSM1の不信頼度がかかっていることから、SM1が先にLFとなり、続いてIFがフォールトしVSGとなるDPFだと考えられます。DPF1は、 $$ \lambda_\text{DPF1}=\lambda_\text{IF}\cdot DC\cdot\frac{1}{2}\lambda_\text{SM1}T=\frac{1}{2}DC\lambda_\text{IF}\lambda_\text{SM1}T, ただし、\lambda_\text{SM1}=\lambda_\text{C}+\lambda_\text{I}+\lambda_\text{M}\tag{323.2} $$ Fault Tree中は故障率で書かれているので、少々心配になりますが(このような誤りが多々あるので)、きちんと$T$をかけて単位を[1/H]としているので、(323.2)もOKです。

最後にDPF2は、IFの不信頼度がかかっていることから、IFが先にLFとなり、続いてSM1がフォールトしVSGとなるDPFだと考えられます。DPF2は、 $$ \lambda_\text{DPF2}=\lambda_\text{SM1}\cdot\frac{1}{2}\lambda_\text{IF}T=\frac{1}{2}\lambda_\text{IF}\lambda_\text{SM1}T\tag{323.3} $$ (323.3)は誤りです。以下に列挙すると、誤りは、

  1. まず、IFとSM1の両方がリペアラブルではないことです。もっともこれは規格式も誤っているので見逃します。

  2. 次に、$\lambda_\text{DPF2}$において、$\lambda_\text{IF}$に$DC$がかかっていないことが誤りです。なぜなら$\lambda_\text{IF}$のうち、$1-DC$分、つまり$(1-DC)\lambda_\text{IF}$=RFとなり、$DC$分、つまり$DC\lambda_\text{IF}$=LFとなるためです。従って、正しくは $$ \lambda_\text{DPF2}=\lambda_\text{SM1}\cdot\frac{1}{2}\lambda_\text{IF}DC T=\frac{1}{2}DC\lambda_\text{IF}\lambda_\text{SM1}T $$ ところが、$\lambda_\text{DPF1}$と比較すればわかるように$\lambda_\text{DPF1}\equiv\lambda_\text{DPF2}$なので、実は別のツリーとする必要はありません。

  3. さらに、2nd SMのカバレージであるDC2が全く考慮されていないことも問題です。ただし、DC2=0のワーストケースの評価であれば問題ありません。

従って、大きな誤りは2番目の項目となります。とはいえ、ほとんど全ての論文において定量FTAでDPFまで計算しているものが無いことから、本資料は良いほうだと言えます。

結論として、上記2.の修正を行えば、「故障順序によらないPMHF式」(105.6)と一致します。まず、(105.6)は、 $$ M_{\mathrm{PMHF}}= (1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}(1-K_{\mathrm{SM,MPF}})T_\text{lifetime}\\ \tag{105.6} $$ ここで、2nd SMが不在というワーストケースを仮定して$K_{\mathrm{SM,MPF}}=0$とし、$K_{\mathrm{IF,RF}}=DC$と置きなおせば、 $$ M_{\mathrm{PMHF}}=(1-K_{\mathrm{IF,RF}})\lambda_{\mathrm{IF}}+ K_{\mathrm{IF,RF}}\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}T_\text{lifetime}\\ =(1-DC)\lambda_{\mathrm{IF}}+ DC\lambda_{\mathrm{IF}}\lambda_{\mathrm{SM}}T_\text{lifetime}\\ \tag{323.4} $$ (323.1)~(323.3)を全て加えると、(323.4)と一致することがわかります。


左矢前のブログ 次のブログ右矢

posted by sakurai on September 3, 2020 #308

FTA

A. 定量的な FTA の適用可能性と使用の制限

PMHF論文das2016$\dagger$の続きです。

以下の段落では一般論を述べています。

Quantitative methodologies are a useful tool in safety assurance processes, where the objective is to reduce risk to a quantifiably acceptable level by estimating the rates of occurrence of hazardous events. Standards such as IEC 61508 are based strongly on this principle. Given such an estimate of the probability of safety-related hazards, the risk can in principle be mitigated to an acceptably low level.

定量的方法論は、危険事象の発生率を推定することにより、リスクを定量的に許容できるレベルまで低減することを目的とした安全保証プロセスにおいて有用なツールである。IEC 61508 などの規格は、この原則に強く基づいている。安全に関連するハザードの発生確率をこのように推定すれば、原則としてリスクは許容可能な低レベルにまで軽減することができる。

以下の段落ではシステマティックフォールトを混ぜて議論していますが、混ぜるとわけがわからなくなります。対処する手法が異なるからです。ここではランダムハードウェア故障に絞って議論したほうが良いでしょう。  

However, there are several critical limitations to such methods that must be recognized. While random failures in electronic hardware may be modeled with probabilistic methods, systematic failures (for example in deterministic software) cannot be modeled in this way. This may lead the analyst to under-represent or overlook important systematic failures [8]. There is wide variability in underlying data available for the reliability failure of electronic components, which in turn leads to calculations with a relatively wide range of uncertainty. There is also evidence of a tendency for the analyst to believe in the independence of events which are represented independently in the FTA, while objective observation would find a correlation between events [9]. ISO 26262 takes steps to mitigate these limitations, for example by recognizing the primacy of process adherence in preventing and avoiding systematic faults, which are not generally quantifiable by probabilistic methods. It is important to remember that analyst judgment is a critical factor in the success of a quantified FTA. The analysis is neither a formal proof nor a validation of safety, but merely a structured record of the analyst's best understanding.

しかし、このような方法には、認識しなければならないいくつかの重大な限界がある。電子ハードウェアのランダムな故障は確率論的手法でモデル化することがでるが、系統的な故障(例えば決定論的ソフトウェア)はこの方法ではモデル化できません。このため、解析者は重要なシステマティックな故障を過小評価したり、見落としたりする可能性がありる[8]。電子部品の信頼性故障について利用可能な基礎データには大きなばらつきがあり、その結果、比較的広い範囲の不確実性を伴う計算が行われることになる。また、客観的な観察ではイベント間の相関関係を見つけることができるのに対し、分析者は、FTA で独立して表現されているイベントの独立性を信じる傾向があるという証拠もある[9]。ISO 26262 は、確率論的手法では一般的に定量化できないシステマティックな欠陥の予防と回避において、プロセスの堅持が重要であることを認識するなど、これらの制限を緩和するための措置を講じている。分析者の判断が定量化された FTA を成功させるための重要な要素であることを覚えておくことが重要である。解析は、安全性の正式な証明でも検証でもなく、解析者の最善の理解を構造化した記録に過ぎない。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

posted by sakurai on September 2, 2020 #307

FTA

PMHF論文das2016$\dagger$の続きです。

FTAの説明と、それによるPMHFの導出の概略を述べています。

FTA is a logical combination of intermediate events and basic events, which can be assembled using AND and OR logical operators to analyze the effects of component faults on system failures. In a safety analysis, the FTA typically begins with a top-level event representing a major hazardous event, and/or the violation of a safety goal or Functional Safety Requirement, as defined in ISO 26262. The analysis is then performed by deducing what conditions or events would lead to the top-level event, and in what logical combination. The method has been in use in industrial settings for several decades (see for example [3], [4], [5]). More recently, the method has been applied to automotive systems [6], [7] and suggested for wider use as an analysis framework. In some cases, the FTA may be qualitative in nature. If probabilities of the underlying lower-level events can be estimated, then an estimate of the probability can be made for the top-level event. The PMHF is just such a quantitative estimation.

FTA は、中間イベントと基本イベントを論理的に組み合わせたもので、AND と OR 論理演算子を使って組み立てることで、コンポーネントの故障がシステムの故障に与える影響を分析することができる。安全解析では、FTAは通常、主要な危険イベントや、ISO 26262で定義されている安全目標や機能安全要件の違反を表すトップレベルのイベントから始まる。次に、どのような条件や事象がトップレベルの事象につながるのか、どのような論理的な組み合わせで行われるのかを推論することで分析が行われる。この手法は、数十年前から産業界で使用されている (例えば [3], [4], [5] を参照)。最近では、この手法が自動車システムに適用され [6], [7]、解析フレームワークとしての幅広い利用が提案されています。いくつかのケースでは、FTA は定性的な性質を持っています。もし、基礎となる下位レベルのイベントの確率が推定できれば、上位レベルのイベントの確率を推定することができます。PMHF はまさにそのような定量的な推定である。

本論文は、初版の規格を別にすればPMHF式とFTAを結び付けた初めての論文で、重要論文です。しかしながら1st editionの範囲に留まっています。1st editionの範囲とは、IFがアンリペアラブルという意味です。従って、冗長サブシステムには用いることができません。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

posted by sakurai on September 1, 2020 #306

イントロダクション

PMHF論文das2016$\dagger$の続きです。

FTAの説明とフレームワークの必要性を述べています。

Fault Tree Analysis (FTA) is a method often proposed for calculation of the PMHF in real-world systems. However, FTA is a very general method, subject to a wide range of interpretations and techniques depending on the objectives of a given problem, the type of failures & faults being considered, and the terminology employed by various industries. There is not yet an accurate and well-explained practical guide to the specific techniques appropriate for PMHF calculation in the automotive industry. For example, large and complex systems, such as those that comprise real-world automotive products, are often difficult to capture in an FTA in a systematic and repeatable way. The use of diagnostic coverage (D.C.) (e.g., by an imperfect safety mechanism which may detect some but not all element faults) is often utilized in hardware metric calculations. However, D.C. concepts are not widely clarified in the industry literature, leaving a gap in understanding for many FTA practitioners. At lower levels of the FTA, specific frameworks for calculating the effect of single-point and dual-point faults (including dual-point latent faults) are necessary to obtain a correct PMHF estimation. All these topics will be addressed here along with a worked automotive example.

フォールトツリー解析(FTA)は、実世界のシステムにおけるPMHFの計算のためにしばしば提案される手法です。しかし、FTAは非常に一般的な手法であり、与えられた問題の目的、考慮される故障や故障の種類、そして様々な業界で採用されている用語に応じて、幅広い解釈や技術の対象となっています。自動車産業におけるPMHF計算に適した特定の技術については、正確かつ十分に説明された実用的なガイドはまだ存在しません。例えば、実際の自動車製品を構成するような大規模で複雑なシステムは、体系的で再現性のある方法でFTAに取り込むことが困難な場合が多い。診断カバレッジ(D.C.)(例えば、一部の要素の故障は検出できるが、すべての要素の故障は検出できない不完全な安全機構)の使用は、しばしばハードウェアメトリックの計算に利用されます。しかし、D.C.の概念は業界の文献では広く明確にされておらず、多くのFTA実務者にとっては理解にギャップがあります。FTA の低レベルでは、正しい PMHF 推定を得るためには、単点および二点故障(二点潜伏故障を含む)の影響を計算するための特定のフレームワークが必要となります。ここでは、これらすべてのトピックについて、実際の自動車の例を挙げながら解説します。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

PMHF論文das2016(2)

posted by sakurai on August 31, 2020 #305

イントロダクション

PMHF論文das2016$\dagger$の続きです。

以下の段落はISO 26262の概要です。

The international standard ISO 26262 “Road vehicles - Functional safety” has been released in final form since late 2011 [1]. It provides a standardized set of processes and methods to assure the functional safety of electrical and electronic systems in the automotive domain. The standard is an evolution of the IEC 61508 functional safety standard, applied specifically to the automotive realm [2].

国際規格ISO 26262「道路運送車両-機能安全」は、2011年後半から最終版としてリリースされている[1]。この規格は、自動車分野における電気・電子システムの機能安全を保証するためのプロセスと手法を標準化したものである。この規格は、IEC 61508の機能安全規格を発展させたもので、特に自動車分野に適用されている[2]。

以下の段落はISO 26262の説明です。

ISO 26262 requires a variety of processes and frameworks for safety management, safety concept development, requirements flow-down, and verification & validation activities. The standard also requires quantified metrics to be calculated for safety-related systems.

ISO 26262 は、安全管理、安全コンセプト開発、要求事項のフローダウン、検証・検証活動のためのさまざまなプロセスやフレームワークを要求している。また、安全関連システムの定量化されたメトリクスの計算も要求している。

以下の段落はPMHFの説明です。

Of particular interest is the Probabilistic Metric for Hardware Failure (or PMHF), which represents a calculated estimate of the rate of hazard occurrence due to random hardware failures. This value must be calculated for systems rated at a high Automotive Safety Integrity Level (or ASIL2). Specifically, systems rated at ASIL C or ASIL D must achieve targets such as those proposed by the standard and listed in Table 1.

特に関心が高いのは、ハードウェア故障の確率的指標(PMHF)であり、これは、ランダムなハードウェア故障によるハザード発生率の計算された推定値を表している。 この値は、高いAutomotive Safety Integrity Level(またはASIL2)で評価されたシステムのために計算されなければならない。具体的には、ASIL C または ASIL D に格付けされたシステムは、規格で提案され、表 1 に記載されているような目標を達成しなければならない。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

PMHF論文das2016

posted by sakurai on August 28, 2020 #304

次にPMHF論文das2016$\dagger$です。この論文は弊社の論文を除き、例外的に1st edition Part10に掲載されているPMHF式に準拠しているものです。それだけでなく、FTAによりPMHF式をどのように実装するかが述べられている実践的なものです。残念ながら、2nd edition発行前の論文であるため、1st editionの範囲でしかなく、冗長サブシステムに対応する形式にはなっていません。

アブストラクト

早速アブストラクトを見てみます。

Since its introduction in 2011, the ISO 26262 standard has provided state-of-the-art methodology for achieving the functional safety of automotive electrical and electronic systems. Among other requirements, the standard requires estimation of quantified metrics such as the Probabilistic Metric for Hardware Failure (PMHF) using quantitative failure analysis techniques. While the standard provides some brief guidance, a complete methodology to calculate the PMHF in detail has not been well described in the literature. This paper will draw out several key frameworks for successfully calculating the probabilistic metric for hardware failure using Fault Tree Analysis (FTA). At the top levels of the analysis, methods drawn from previous literature can be used to organize potential failures within a complex multifunctional system. At the lower levels of the FTA, the effects of all fault categories, including dual-point latent and detected faults, can be accounted for using appropriate diagnostic coverage and proof- test interval times. A simple example is developed throughout the paper to demonstrate the methods. Some simplifications are proposed to estimate an upper bound on the PMHF. Conclusions are drawn related to the steps and methods employed, and the nature of PMHF calculation in practical real-world systems.

ISO 26262規格は、2011年に導入されて以来、自動車の電気・電子システムの機能安全性を実現するための最先端の方法論を提供してきた。他の要求事項の中でも、定量的な故障解析技術を用いて、ハードウェア故障の確率的指標(PMHF)のような定量的な指標を推定することが求められている。この規格では、いくつかの簡単なガイダンスを提供しているが、PMHF を詳細に計算する完全な方法論は、文献に十分に記載されていない。この論文では、Fault Tree Analysis(FTA)を使用してハードウェア故障の確率的メトリックを計算するためのいくつかの重要なフレームワークを紹介する。解析の最上位レベルでは、複雑な多機能システム内の潜在的な故障を整理するために、これまでの文献から導き出された手法を使用することができる。FTA の下位レベルでは、デュアルポイントの潜在故障と検出された故障を含むすべての故障カテゴリの影響を、適切な診断カバレッジとプルーフテスト間隔時間を使用して説明することができる。本論文では、この方法を実証するために、全体を通して簡単な例を示している。PMHFの上限値を推定するために、いくつかの単純化を提案した。また、採用されたステップと手法、及び実用的な実世界のシステムにおけるPMHF計算の性質に関連した結論が示されている。

このアブストラクトに書かれているように、ISO 26262 Part 10ではPMHF式の結果しか書かれておらず、導出過程が書かれていません。さらに初版にはあった定量FTAによるPMHFの計算方法が、なぜか第2版では削除されています。従って、定量FTAによる正確なPMHF計算フレームワークは業界で必要とされており、それが今回弊社からRAMS 2021に投稿した論文です。これは現時点では非公開であるため、来年1月のRAMS 2021での発表以降に公開する予定です。


$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.


左矢前のブログ 次のブログ右矢

posted by sakurai on August 1, 2020 #284

Fault Tree図

次に論文中のFault Tree図を検証します。

図284.1に、論文中でFault Tree図と書かれている図を示します。図の中にあるように、これは故障率を示す図だそうですが、本来Fault Treeは確率図であるため、これは誤りです。

図%%.1
図284.1 論文中のFault Tree図

また、良くある誤りとして、故障率の2乗を計算しています。故障率の2乗の次元は$[1/H^2]$となるため、図284.1のように故障率$[1/H]$と足すことは、次元が合わないためできません。両辺を無次元の確率に直してから計算します。正しくは、 $$ \require{cancel} \lambda_\text{S}\bcancel{T_\text{lifetime}}=\lambda_\text{fD}\bcancel{T_\text{lifetime}}\cdot\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD}\bcancel{T_\text{lifetime}}\\ \therefore\lambda_\text{S}=\lambda_\text{fD}\lambda_\text{dUD}T_\text{lifetime}+\lambda_\text{fUD} $$ となります。従って、$\lambda_\text{fUD}T_\text{lifetime}$がSPF/RF確率を、$\lambda_\text{fD}T_\text{lifetime}\cdot\lambda_\text{dUD}T_\text{lifetime}$がDPF確率を表すため、論文の式はDPF確率を過剰に低く評価しています。

さらに、次のFault Tree図は故障率も確率も(確立も)まぜこぜになっています。

図%%.2
図284.2 論文中のFault Tree図2

本来PMHFはハードウエア故障確率の目標値であるため、ソフトウエアについては故障確率で評価するのはおかしいのですが、ハードもソフトもまぜこぜになっています。

本論文の目的はASILデコンポジションにおける独立性の検討のようですが、独立性はIEC 61508-6のβファクタとして検討されており、それを適用すれば良いことになっています。もっともIEC 61508は化学プラントが対象のようであり、Part6のβファクタは非常に適用しにくいのですが、車載用電子機器のβファクタ表が無いため、これを援用するしかありません。

元に戻してASILデコンポジションは過去記事で検討していますが、以下の2つの要件が重要なので、再掲します。これに触れられていないデコンポジション議論には意味がありません。

  1. 安全要求の冗長性
  2. 安全要求の割り当てられたエレメント間の独立性

左矢前のブログ 次のブログ右矢

ISO 26262のFTAに関する論文(18)

posted by sakurai on March 11, 2020 #219

元に戻って最初の論文を見てみたいと思います。元の論文のFTはLFが考慮されていないものでした。これに対して、前稿において、ワーストケース評価をするため、2nd SMのDC(Diagnostic Coverage)をゼロとして評価しました。

これに対して2nd SMのDCを考慮したらどうなるかを前稿と同様の考え方でやってみます。数式やFTの書き換えルールは基本的に前稿を踏襲しますが、IFUモデルとIFRモデルで数式が異なります。いずれにせよ、$K_\text{SM,MPF}=0$とおいたところに仮に$K_\text{SM,MPF}=0.6$と仮定して計算します。

すると、係数$C_\text{SM,MPF}=0.5368$となり、この係数をEBMとOn-line monitorのDPF項に掛けることになるため、そのFTは図219.1のようになります。

図%%.1
図219.1 Fault Tree

図219.2に図219.1のFTの拡大図を示します。C100として上記係数0.5368をかけています。

図%%.2
図219.2 Fault Treeの拡大

MCS分析を実施すると、42個のMCが得られ、3個以上のエレメント故障をカットすると、24個のMCが残ります。結果として、全く変化はありませんでした。

今回カットされた積項を表219.1に示します。加えた定数(赤字)は全て3点故障以上の積項に掛けられており、全てカットされています。ただし、カットされた積項は18個のはずですが、ツールのバグか17個となっています。

表219.1 図219.1のMCSのカット部分
表%%.1

得られたMCSを表219.2に示します。エレメント故障は2以下のみであり、定数を青字で示しています。

表219.2 図219.1のMCS
表%%.2

元々2 outof 4という変則的な2冗長内部のSMなので、IFとSMのANDはそれだけで4エレメント故障の積項ととなります。従って、この積項に何を追加しても元々消えるべき項でした。

弊社ではFTAに関する論文をRAMS 2021に投稿予定であり、そのため、ブログの一部を一旦非開示(セミナー内でのご紹介と表示)としました。


左矢前のブログ 次のブログ右矢

ISO 26262のFTAに関する論文(17)

posted by sakurai on March 10, 2020 #218

参照論文では、前提が誤っている$\dagger$ものの、2nd Edition規格式に近い形でFTを構成しているようです。例えば、AのRFが先に起きて、BのSPF/RFが後から起きる場合と、その逆パターンのORとなっています。一方、規格式ではAのLFが先に起きて、BのSPF/RFが後から起きる場合と、その逆パターンのORとなっています。従って、参照論文のRFをLFと読み替えれば、規格式と結果的に同じになります。

$$ \begin{eqnarray} \Pr\{\text{TOP Failure}\}&=&M_\text{PMHF}T_\text{L} \\ &=&\frac{1}{2}\lambda_\text{E1}\left[(1-K_\text{E1,MPF})T_\text{L}+K_\text{E1,MPF}\tau\right]\cdot \lambda_\text{E2}T_\text{L} \\ &+&\frac{1}{2}\lambda_\text{E2}\left[(1-K_\text{E2,MPF})T_\text{L}+K_\text{E2,MPF}\tau\right]\cdot \lambda_\text{E1}T_\text{L}\\ &=&\frac{1}{2}(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})\left(2-K_\text{E1,MPF}-K_\text{E2,MPF}+(K_\text{E1,MPF}+K_\text{E2,MPF})\cdot\frac{\tau}{T_\text{L}}\right)\\ &=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})C_\text{1, 2}' \end{eqnarray} $$

今回のE1, E2のペアで$C_\text{1, 2}'$を計算したところ、表218.1に示すようにC10からC19の10種類の定数が得られました。

表218.1
定数記号 定数値
C10 0.23572
C11 0.27046
C12 0.30520
C13 0.38626
C14 0.42100
C15 0.53680
C16 0.61786
C17 0.65260
C18 0.76840
C19 1.00000

よって、2AND項にそれぞれこの定数項を加えて3ANDとすれば、図218.1のようなFTとなります。

図%%.1
図218.1 Fault Tree

このMCSを取得したところ、表218.2のような結果となりました。
表218.2 図218.1のFTのMCS
図%%.1
頂上事象侵害確率は$1.159\times 10^{-3}$、PMHFは77.3[FIT]となりましたが、これは真値に対して38%もの過大評価となっています。

$\dagger$前稿でご説明したように、冗長チャネル内のSMは、2nd order SMなので、冗長チャネル内のエレメントの故障の場合は、RFではなくLFとなります。参照論文ではRF、LFの両方が起きると考えています。


左矢前のブログ 次のブログ右矢

ISO 26262のFTAに関する論文(16)

posted by sakurai on March 9, 2020 #217

この結果はワーストケースの評価であり、2nd order SMを無視しているものです。従って、この結果をより実際に近づけるには、2nd order SMのDCをFTに入れる必要があります。

まず、数式で書けば、 $$ \begin{eqnarray} \Pr\{\text{TOP Failure}\}=M_\text{PMHF}\cdot T_\text{L}&=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})[\img[-1.35em]{/images/withinseminar.png} ]\\ &=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})C_\text{1, 2} \end{eqnarray} $$ ただし $$ K_\text{MPF}=1-(1-K_\text{E1,MPF})(1-K_\text{E2,MPF}) $$ $C_\text{1, 2}$はE1, E2に依存する定数で、 $$ C_\text{1, 2}=\img[-1.35em]{/images/withinseminar.png} $$

車両寿命$T_\text{L}=15,000[H]$、定期検査周期$\tau=3,420[H]$として、今回のE1, E2のペアで$C_\text{1, 2}$を計算したところ、表217.1に示すようにC1からC9の9種類の定数が得られました。

表217.1
定数記号 定数値
C1 0.2280772
C2 0.2287720
C3 0.2310880
C4 0.2357200
C5 0.2588800
C6 0.3052000
C7 0.3515200
C8 0.5368000
C9 1.0000000

よって、2入力AND項にそれぞれこの定数項を加えて3ANDとすれば、図217.1のようなFTとなります。今回はマニュアル作業により付加しましたが、モデルもしくはツールを開発した暁には自動的に計算が行われる見込みです。

図%%.1
図217.1 2nd order SM効果を追加したFault Tree

このMCSを取得したところ、表217.2の表のような結果となりました。

表217.2 図217.1のMCS
表%%.2

頂上事象侵害確率は$8.321\times 10^{-4}$、PMHFは55.5[FIT]となりました。このように2nd order SMの効果を入れると、PMHFは25%まで低減することがわかります。

弊社ではFTAに関する論文をRAMS 2021に投稿予定であり、そのため、ブログの一部を一旦非開示(セミナー内でのご紹介と表示)としました。


左矢前のブログ 次のブログ右矢


ページ: