σ加法族と有限加法族を調べています。有限加法族にたいして無限和まで制約を厳しくしたものがσ加法族なので、有限加法族のほうが広い概念です。すなわち、

• σ加法族であれば有限加法族である。
• 有限加法族であっても σ加法族とは限らない。

そのため、有限加法族であっても σ加法族ではない例があるはずです。そこで、次の記事を参考にしました。https://sorai-note.com/math/algebra-of-sets/

Q 有限加法族であるが、σ加法族で無い例をひとつ挙げよ。

$\mathbb{N}$の部分集合からなる集合族 $$ \mathcal{F}=\left\{S\subseteq\mathbb{N}\mid Sまたは\overline{S}は有限集合\right\} $$ は$\mathbb{N}$上の有限加法族であることを示す。

1. 空集合を含む:
   空集合$\varnothing$は有限集合であるから$\varnothing\in\mathcal{F}$
2. 補集合で閉じること:
   $A\in\mathcal{F}$とすると、$\mathcal{F}$の定義より、$A$または$\overline{A}$のどちらかが有限集合。
   (i) $A$が有限集合のとき
   $\quad\overline{\overline{A}}$が有限集合なので、$\overline{A}\in\mathcal{F}$
   (ii)$\overline{A}$が有限集合のとき
   $\quad\mathcal{F}$の定義より、$\overline{A}\in\mathcal{F}$
   
3. 有限和で閉じること:
   $A, B\in\mathcal{F}$とする。$A$または$\overline{A}$のどちらかが有限集合であり、$B$または$\overline{B}$のどちらかが有限集合。
   (i) $A$も$B$も有限集合のとき
   $\quad A\cup B$が有限集合となるので、$A\cup B\in\mathcal{F}$である。
   (ii)$\overline{A}$または$\overline{B}$が有限集合のとき
   $\quad\overline{A}\cap\overline{B}$が有限集合、すなわち$\overline{A\cup B}$が有限集合なので、$A\cup B\in\mathcal{F}$である。

ここまでで$\mathcal{F}$は有限加法族であることが証明された。次に$\mathcal{F}$が加算和で閉じないことを示す。各$n\in\mathbb{N}$に対し、$A_n={2n}$とすると、これらは有限集合なので、$A_n\in\mathcal{F}$であるが、 $$ \bigcup_{n\in\mathbb{N}}A_n=\{2n\mid n\in\mathbb{N}\}=\{0, 2, 4, 6, ...\} $$ は無限集合であり、その補集合 $$ \overline{\bigcup_{n\in\mathbb{N}}A_n}=\{2n+1\mid n\in\mathbb{N}\}=\{1, 3, 5, 7, ...\} $$ も無限集合である。従って、$\bigcup_{n\in\mathbb{N}}A_n\notin\mathcal{F}$となる。

前のブログ 次のブログ

"Reliability Assessment of Safety and Production Systems"から従属故障の例を引用します。

Example 5.1 アポロ13号の月着陸船には、2つの酸素タンクが用意されていた（Jones 2016）。 1970年4月13日、1つの酸素タンクが爆発し、その爆発で2つ目の酸素タンクも破壊され、ミッションの失敗を招いた。3人のクルーは無事に地球に帰還することができた。2基目のタンクの故障はカスケード故障である。

Example 5.2 1974年3月3日、パリ郊外のエルムノンヴィルの森にマクドネル・ダグラス社製飛行機DC-10が墜落した（JO 1976）。 この航空機の貨物ドアは、圧力で外側に開くように設計されていたが、圧力で各貨物扉をロックする特定のラッチ機構を備えていた。離陸後、ラッチシステムの1つが故障し、後部左の貨物ドアが開いた。客室の床の一部が飛び出した。 しかし、そのような状況でもパイロットは機体の制御を維持することができた。残念なことに、すべての冗長制御ケーブルが損傷した床の下を通っていたため、パイロットは空中で機体を制御することがでなかった。 346人が死亡した。 適切なゾーン分析が行われていれば、冗長制御ケーブルが同じ場所にあることが判明していたはずである。従って、設計を変更していれば、航空機が制御不能に陥ることはなかったはずである。

Example 5.3 1979年3月28日、スリーマイル島原子力発電所の2号機で事故が発生し、炉心が一部メルトダウンした（Rogovin and Frampton 1979）。 これは、機器の不具合、設計上の問題、人為的なミスが重なった結果であった。このうち、加圧弁の位置が定期的なプルーフテスト後にずれていたことは、ヒューマンエラーによる共通原因故障の典型例と言える。人身事故はなかったが、この事故は人為的な原因による失敗の教科書的な事例として語られることが多い。このような事故が起こる確率を下げるには、オペレーターの訓練が必要である。

Example 5.4 バイキング・スカイは2016年に就航したクルーズ船である（Wikipedia Viking Sky 2019）。 暴風雨警報が発令されていたにもかかわらず、トロムソからスタバンゲル（ノルウェー）に向けて2019年3月23日に1,373人を乗せた状態で航行していたところ4基のエンジンに不具合が発生した。 潤滑油の油圧が低下したことが4つのエンジンが停止した共通の原因である。 荒れたコンディションのため救助は困難であった（これも共通の原因！）。 3月24日の夜、3つのエンジンが再始動する前に、470人の乗客がヘリコプターで避難した。その後バイキング・スカイ号は再び航行できるようになった。 3人の重傷を含む16人が負傷した。 共通のユーティリティ（ここでは潤滑装置）を避けることは、故障のこのような共通原因を防ぐための良い方法である。

前のブログ 次のブログ

次回RAMS 2024に投稿する論文を "Gap Analysis of the Derivation Process of the Probabilistic Metric for Random Hardware Failures in ISO 26262""Bridging the Gap of the Derivation Process in ISO 26262 Probabilistic Metric (PMHF) Formulas" と改題し、アブストラクトを投稿しました。

過去に掲載した論文の実績と予定をアップデートします。

前のブログ 次のブログ

規格の例題のALUの永久故障に関するパラメータをまとめます。図は論文に投稿したターゲットサブシステムの図です。

この図に基づき、規格のFTから得られたobservable parametersを以下に示します。 $$ T_\text{lifetime}=5,000 [H] $$

$$ \begin{eqnarray} \text{IF}\quad &&\left\{ \begin{array}{l} \lambda&=&3.48\times10^{-11} [H^{-1}]\\ DC&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM1}\quad &&\left\{ \begin{array}{l} \lambda&=&2.9\times10^{-12} [H^{-1}]\\ DC1&=&0.2\\ DC2&=&\text{nonexistent}\\ \tau&=&\text{nonexistent} \end{array} \right.\\ \text{SM2}\quad &&\left\{ \begin{array}{l} \lambda&=&0 \\ DC2&=&0.9\\ \tau&=&1.0 [H] \end{array} \right. \end{eqnarray} $$

それぞれ、IF, SM1, SM2について説明を示します。

• ミッションタイム：車両寿命$T_\text{lifetime}$です。
• IF：ALUはIFなのでそもそもカバレージ$DC$も定期検査周期$\tau$もありません
• SM1：ALUは冗長系ではないため、ALUはレイテントフォールトとなりません。そのため、ALUにはSM2は存在せず、LFカバレージ$DC2$もなければ定期検査周期$\tau$もありません。一方、ALUに対するVSG抑止カバレージ$DC1$は存在します。
• SM2：SM2は故障しないため、SM2の故障率$\lambda$はゼロです。一方、SM1に対するLFカバレージ$DC2$及び定期検査周期$\tau$が存在します。

前のブログ 次のブログ

今までの結果を数式にまとめます。ORゲートまで戻るとLFの項にlatent確率、detected/percieved確率の2つだけでなく、3つ目としてサブツリー確率の和となっています。同様なので本記事では省略しますが、サブツリーの内容はアラームのフォールトとなっています。検出機構だけでなくアラームも2nd SMの一部であるため、LFとして同様に、検出部分と非検出部分に分解して加算するのが正しい方法です。

今までの式をまとめると、確率は、 $$ Q=\lambda_\text{IF}T_\text{lifetime}\left[(1-DC_\text{1})+\left\{\lambda_\text{SM1}T_\text{lifetime}(1-DC_\text{2})+\frac{1}{2}\lambda_\text{SM1}\tau DC_\text{2}\right\}\cdot DC_\text{1}\right]\tag{590.1} $$ これを時間平均したものがPMHFなので$T_\text{lifetime}$で割れば、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M_\text{PMHF}=(1-DC_\text{1})\lambda_\text{IF}+DC_\text{1}\lambda_\text{IF}\left[(1-DC_\text{2})\lambda_\text{SM1}T_\text{lifetime}+\frac{1}{2}DC_\text{2}\lambda_\text{SM1}\tau\right] \tag{590.2} $$ ここで、 $$ \begin{eqnarray} \left\{ \begin{array}{l} (1-DC_\text{1})\lambda_\text{IF}&=&\lambda_\text{RF}\\ DC_\text{1}\lambda_\text{IF}&=&\lambda_\text{IF,MPF}\\ (1-DC_\text{2})\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,lat}\\ DC_\text{2}\lambda_\text{SM1}&=&\lambda_\text{SM1,MPF,dp} \end{array} \right.\\ \end{eqnarray} \tag{590.3} $$ であることを用いれば、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\colorbox{pink}{2}\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.4} $$ とまとめられるものの、レイテントフォールトの係数が誤っているように思います。RWBの調査をしなければ不明ですが、ミッションタイムを手入力したときのみ$\frac{1}{2}$を掛ける仕様なのでしょうか。もしそうならレイテントの場合だけは、$\frac{1}{2}T_\text{lifetime}$を手入力する必要があります。

正しくは、フォールト順序がSM1⇒IFの場合には、(590.4)のピンクで示した"2"を削除した、 $$ M_\text{PMHF}=\lambda_\text{RF}+\frac{1}{2}\lambda_\text{IF,MPF}(\lambda_\text{SM1,MPF,lat}T_\text{lifetime}+\lambda_\text{SM1,MPF,dp}\tau) \tag{590.5} $$ となります。このようにマニュアルで木構造を構築するのはかなり大変なので、ツールにPMHFモデルが組み込まれることが望まれます。

前のブログ 次のブログ

次にSM1のフォールトが、2nd SMであるSM2により検出可能にもかかわらずLFとなる確率を示すANDゲートです。

SM2によりSM1のフォールトが検出されない部分は前ページのツリーでした。このページはSM2によりSM1のフォールトが100%検出される部分なので、基本的にはLFにはならないように思われます。実は、SM2の検査周期以内ではSM1のフォールトの検出できないことから、微小な確率が残ります。

ANDゲートの左下の事象はSM1のフォールトが検査周期内にフォールトする確率です。故障率に掛ける時間がデフォールトのミッションタイムである車両寿命ではなく、特殊なミッションタイムである検査周期となるため、注意喚起のため本記事でのみ、事象を黄色で塗っています。そのため事象には、故障率$\lambda_\text{SM1}$だけでなくミッションタイム$\tau$も入力します。計算では以下のように$\frac{1}{2}$をかけているようで、確率は $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} Q=\frac{1}{2}\lambda_\text{SM1}\tau=\colorbox{pink}{0.5(?)}\cdot2.9\times10^{-12}\cdot1=1.45\times10^{-12}\tag{589.1} $$ となっています。0.5の理由は不明です。

ANDゲートの右下の事象はSM2によるレイテントフォールトカバレージで、$DC_\text{2}$を示します。 $$ Q=DC_\text{2}=0.9\tag{589.2} $$ となっています。

前のブログ 次のブログ

別ページのサブツリーです。これはSM1のフォールトによるLFの項を表すORゲートです。内容は3つの確率の加算となります。

確率の和は、 $$ Q=2.176957\times10^{-9}\tag{588.1} $$ となっています。

次にORゲートの左下に接続されるANDゲートは、2nd SMであるSM2によって検出されないSM1のフォールトのLFを表す確率です。 その確率は、 $$ Q=1.45\times10^{-9}\tag{588.2} $$ となっています。

ANDゲートの左下の事象は、SM1の故障率事象です。同様にミッションタイムが自動掛け算され、 $$ Q=\lambda_\text{SM1}T_\text{lifetime}=2.9\times10^{-12}\cdot5.0\times10^{3}=1.45\times10^{-8} $$ という計算が実行されています。

ANDゲートの右下の事象は、SM2のレイテントフォールトカバレージの残余$1-DC_\text{2}$です。

$$ Q=1-DC_\text{2}=0.1=1.0\times10^{-1}より、\\ DC_\text{2}=90\% $$ と逆算されます。

前のブログ 次のブログ

前ページ右下のORゲートから左下への事象です。これはRFの項を表しており、ALUのフォールトカバレージ残余である$1-DC$が接続されています。

ここで確率に着目すれば、 $$ Q=1-DC_\text{1}=0.8=8.00\times10^{-1}より\\ DC_\text{1}=20\% \tag{587.1} $$ と逆算されます。$DC_\text{1}$のような無次元の定数にはミッションタイムは自動掛算されません。

次に同じくORゲートから右下への事象です。これはDPF確率を示すANDゲートです。

このANDゲートの左下への分岐はLFのサブツリーとなっています。

右下への事象はIFのDPFフォールトを表す事象で、具体的にはSM1でVSG抑止された部分である$DC$を示しています。 $$ Q=DC_\text{1}=0.2=2.00\times10^{-1}より、\\ DC_\text{1}=20\% \tag{587.2} $$ となっています。

前のブログ 次のブログ

図585.1が小さいので拡大して見ていきます。まず部分FTのトップのANDゲートです。車両寿命間におけるALUの永久故障確率を表しています。

ANDゲートの左下の事象はALUの永久故障率です。ALUの2つの数字、故障率と確率に着目すれば、本文に$T_\text{lifetime}=5,000[H]$とあることを用いて、 $$ \lambda_\text{IF}=3.48\times10^{-11} および\\ Q=\lambda_\text{IF}T_\text{lifetime}=3.48\times10^{-11}\cdot5.0\times10^{3}=1.74\times10^{-7}\tag{586.1} $$ となります。

事象には故障率$\lambda_\text{IF}$を入力します。ここで故障率は$[H^{-1}]$の次元を持つため、FTAツールがデフォールトのミッションタイム(運用時間)である車両寿命$T_\text{lifetime}$を自動的に掛け、確率$Q$に直して計算します。

注目すべき記号としてLがあります。これはプライオリティを示すもので、Lで示される側のフォールトが後で生起する場合に限定されます。従って本FTはフォールト順序がSM1⇒IFの順であり、冗長性は持たないという前提です。すなわちDPF項には$\frac{1}{2}$が必要です。

トップのANDゲートの右下のORゲートは、ALUの検出されない永久故障と書かれており、SPFとDPFの確率を加算するためのORゲートです。

前のブログ 次のブログ

昨日某社様向けにISO 26262ハードウェアセミナーを実施しましたが、以下のご質問を受けました。

Q「DPFを表すにはIFのフォールトの基事象とSMのフォールトの基事象をANDゲートで結べば良いが、定量FTAによりPMHFを表すには具体的にはどうすれば良いのでしょうか」

これは実務においては重要なノウハウとなります。その理由は規格ではPMHFの目標値がいくらで、それを満足しなければならないと書かれていますが、実際のECUでどのように計算するかにはほとんど言及が無いためです。わずかにPart 10に式が掲載されているに過ぎません。実は1st editionではいくつかの例が掲載されていましたが、2nd editionで削除されています。

結論から言えば、定量FTAでイベントの組み合わせでPMHF式を構築することになります。まず、1st editionに参考になるFT図が掲載されているので、これを子細に見てみます。

左のFT図はALUのフォールトのFTであり2つに分離していたものを組み合わせています。半分より上側のFTがちょうどSPF/RF項を、下側のFTがDPF項を表しています。FTツールではフォールトイベントを確率で表現するため、故障率には指定しなければミッションタイム$T$が自動でかかり、確率として表します。例外はLFの黄色で示すイベントで、ミッションタイムを手で入力し、$\tau$＝定期検査周期としています。

FTは確率$P$を表し、そのまま式で表すと①式となります。PMHF式は車両寿命においてSG侵害確率の時間平均であるため、①を$T$で割ると②の式となります。これはSM⇒IFの順にフォールトが起きる場合のPMHF式と1/2を除き一致します。さらにIF⇒SMの順のフォールトのPMHFを合わせると②となりますが、前提としてIFのフォールトもLFとなる必要があります。これは冗長を意味するものです。

記事の(10.1)に1st editionのPMHF式を掲載していますが、1/2を除き②と一致していることが確認されます。 $$ M_\text{PMHF} = \lambda_\text{RF}+\frac{1}{2}\lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$ これをまとめたものをRAMS 2021に投稿し、採択されたので、以下に場所を示します。

https://ieeexplore.ieee.org/document/9605710

前のブログ 次のブログ