最初にSM1に、次にIFにフォールトが起きた場合

図487.2にIFUモデルのCTMCを示します。IFUモデルは最初のSM1のフォールトがリペアラブル、2番目のIFのフォールトがアンリペアラブルです。※便宜上「最初」と「2番目」と記述しましたが、厳密には「最後から2番目」と「最後」です。

図487.1　IFUモデルのマルコフ連鎖

CTMCによるPMHFの導出

(1st Editionの)規格第1式のPMHF式のDPF項の導出は以下の(487.1)のとおり、遷移確率と状態確率を掛けた確率微分方程式を車両寿命間で積分することにより導出します。 $$ \begin{eqnarray} M_\text{PMHF,DPF}&=&\overline{q_\mathrm{DPF,IFU}}\\ &=&\frac{1}{T_\text{lifetime}}\Pr\{DPF\mathrm{\ at\ }T_\text{lifetime}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{LAT\mathrm{ at\ }t\cap\mathrm{IF^U\ down\ in\ }(t, t+dt]\cap\mathrm{IF\ preventable}\}\\ &=&\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\Pr\{\mathrm{IF^U\ down\ in\ }(t, t+dt]\ |\ LAT\mathrm{\ at\ }t\}\\ & &\ \ \ \ \cdot\Pr\{LAT\mathrm{ at\ }t\}\Pr\{\mathrm{IF\ preventable}\}\\ &=&\frac{K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}Q_\mathrm{SM}(t)R_\mathrm{IF}(t)\lambda_\mathrm{IF}dt\\ &=&\frac{K_\text{IF,RF}}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left[(1-K_\mathrm{SM,DPF})F_\mathrm{SM}(t)+K_\mathrm{SM,DPF}F_\mathrm{SM}(t\bmod\tau)\right]f_\mathrm{IF}(t)dt,\\ &\approx&\frac{1}{2}K_\mathrm{IF,RF}\lambda_\mathrm{IF}\lambda_\mathrm{SM}[(1-K_\mathrm{SM,DPF})T_\text{lifetime}+K_\mathrm{SM,DPF}\tau] \end{eqnarray} \tag{487.1} $$ となります。これには弊社の積分公式を用いています。このPMHF式は1st editionのPMHF第1式と完全に一致します。

PMHFを第1、第2確率コントリビューションに分解

このPMHFをIFとSM1の第1及び第2確率コントリビューションに分解します。第1及び第2確率コントリビューション$\text{Pc}^\text{1R}$及び$\text{Pc}^\text{2U}$は確率ではありませんが、掛け合わせてPMHFに貢献する要素です。

SM1を$e1$: repairable 1st fault elementと置き、IFを$e2$: unrepairable 2nd fault elementと置けば(487.1)は、 $$ M_\text{PMHF,DPF}=\frac{1}{2T_\text{lifetime}}\text{Pc}^\text{1R}\{e1\text{ up/down}\}\text{Pc}^\text{2U}\{e2\text{ down}\}\\ =\frac{1}{2T_\text{lifetime}}\lambda_\mathrm{e1}[(1-K_\mathrm{e1,DPF})T_\text{lifetime}+K_\mathrm{e1,DPF}\tau]\cdot K_\mathrm{e2,RF}\lambda_\mathrm{e2}T_\text{lifetime} \tag{487.2} $$ と書けます。確率コントリビューションは単独では意味を持たず、(487.2)のDPF積の場合にのみ使用します。

ここで、(487.2)において、$K_\mathrm{e1,DPF}$はe1のLF検出率であり、それぞれ、 $$ \begin{cases} 1-K_\mathrm{e1,DPF}=\Pr\{\overline{e1\text{ detected}}\}\\ K_\mathrm{e1,DPF}=\Pr\{e1\text{ detected}\} \end{cases} \tag{487.3} $$ と書けます。また(487.2)において、$K_\mathrm{e2,RF}$は、e2のVSG prevented確率であるため、 $$ K_\mathrm{e2,RF}=\Pr\{e2\text{ prevented}\}\tag{487.4} $$ と書けます。

よって$e1$と$e2$の確率コントリビューションは、第1と第2がそれぞれ、 $$ \begin{cases} \text{Pc}^\text{1R}\{e1\text{ up/down}\}:= \lambda_{e1}(\Pr\{\overline{e1\text{ detected}}\}T_\text{lifetime}+\Pr\{e1\text{ detected}\}\tau)\\ \text{Pc}^\text{2U}\{e2\text{ down}\}:= \Pr\{e2\text{ prevented}\}\lambda_{e2}T_\text{lifetime} \tag{487.5} \end{cases} $$ と定義されます。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

弊社の考えるPMHF式について、再度DPFについて考察します。

2nd Editionから引用したシステムアーキテクチャ図を図486.1に示します。IFがVSGとなるのを抑止する(抑止確率$K_\mathrm{IF,RF}$)のと同時に、IFがレイテントとなるのを抑止する(抑止確率$K_\mathrm{IF,DPF}$)SM1が存在します。また、SM1がレイテントとなるのを抑止する(抑止確率$K_\mathrm{SM,DPF}$)SM2が存在します。

図486.1　System Architectural Design of the example

このモデルには一点問題があります。それは、冗長の場合、すなわち、IFとSM1が同機能である場合はSM2の存在が曖昧になることです。SM1の機能はIFのVSG抑止(1st SMの機能)及びLF抑止(2nd SMの機能)となっているのに対して、SM2はSM1に対するLF抑止(2nd SMの機能)です。

問題になるのはLATの場合です。これはSM1にフォールトが起きた場合に到達する状態ですが、この際に問題はIFに対する1st SMの機能喪失は当然として、2nd SM機能まで喪失するか否かです。

• 喪失する場合 --- おそらく2nd editionの想定はこのようですが、この場合はLATに来た時刻により、LATの状態確率が変わってくるため、マルコフ性が成立しません。マルコフ性が成立しない場合の確率積分は非常に難しくなり解けないと言われています。
• 喪失しない場合 --- LATの状態確率は来た時刻に依存しないため、マルコフ性が成立します。

そもそも1st SMと2nd SMが別エレメントと考えると2nd SMは故障しないという定理から、2番目が良いと考えられます。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

IFとSMのそれぞれがお互いのレイテントフォールトカバレージを持つとして、$K_\text{IF,DPF}$及び$K_\text{SM,DPF}$で表します。前記事で記載したように、 $$ \begin{eqnarray} \left\{ \begin{array}{l} K_\text{IF,DPF}=\Pr\{\text{IF detectable}\}\\ K_\text{SM,DPF}=\Pr\{\text{SM detectable}\} \end{array} \right. \end{eqnarray} \tag{485.1} $$

ここで、IFとSMの合体エレメント$\text{IF}\cup\text{SM}$を考えると、合体エレメントのレイテントカバレージ$K_\text{DPF}$は、IFに対してはSM、SMに対してはIFのカバレージです。従って、合体エレメントが単一フォールトしても、IFのフォールトの場合はSMのカバレージ、SMのフォールトの場合はIFのカバレージとなり、合体カバレージは一切棄損しません。よって、 $$ \Pr\{(\text{IF}\cup\text{SM) detectable}\}=\Pr\{\text{IF detectable}\cup\text{SM detectable}\}\\ =\Pr\{\text{IF detectable}\}+\Pr\{\text{SM detectable}\} -\Pr\{\text{IF detectable}\}\Pr\{\text{SM detectable}\}\\ =K_\text{IF,DPF}+K_\text{SM,DPF}-K_\text{IF,DPF}K_\text{SM,DPF}\equiv K_\text{DPF} \tag{485.2} $$ 反対に、 $$ \Pr\{\overline{(\text{IF}\cup\text{SM) detectable}}\}=\Pr\{\overline{\text{IF detectable}}\cap\overline{\text{SM detectable}}\}\\ =(1-\Pr\{\text{IF detectable}\})(1-\Pr\{\text{SM detectable}\})=(1-K_\text{IF,DPF})(1-K_\text{SM,DPF})\\ =1-K_\text{DPF} \tag{485.3} $$

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

IFとSMのユニオンエレメント$\text{IF}\cup\text{SM}$を考えます。ユニオンエレメントの故障率は、(484.1)のようにそれぞれの故障率の和になります。 $$ \lambda_{\text{IF}\cup\text{SM}}= \lambda_{\text{IF}}+\lambda_{\text{SM}} \tag{484.1} $$ 以降では(484.1)を証明します。まず故障率の定義式から、 $$ \lambda_{\text{IF}\cup\text{SM}}=\Pr\{\text{(IF}\cup\text{SM) down in }(t, t+dt]\ |\ \text{(IF}\cup\text{SM) up at }t\} \tag{484.2} $$ となります。ここで、故障率とは「ユニオンエレメントが$t$の直前までupで次の瞬間の$dt$間にdownすること」なので、ユニオンをIFとSMに分解して考えれば、直前のup条件はIFとSMの$\cap$であり、次の瞬間のdown条件はIFとSMの$\cup$となります。

これを用いれば(484.2)は、 $$ (484.2)=\Pr\{\text{IF down in }(t, t+dt]\cup\text{SM down in }(t, t+dt]\ |\\ \text{IF up at }t\cap\text{SM up at }t\} \tag{484.3} $$ となります。ここで条件付き確率の公式 $$ \Pr\{\text{A}\ |\ \text{B}\}=\frac{\Pr\{\text{A}\cap\text{B}\}}{\Pr\{\text{B}\}} \tag{484.4} $$ を用いれば、

$$ (\text{A}\cap\text{B of }484.3)=\Pr\{(\text{IF down in }(t, t+dt]\cap\text{IF up at }t\cap\text{SM up at }t)\\ \cup(\text{SM down in }(t, t+dt]\cap\text{IF up at }t\cap\text{SM up at }t)\} \tag{484.5} $$

さらに、和積の公式 $$ \Pr\{\text{C}\cup\text{D}\}=\Pr\{\text{C}\}+\Pr\{\text{D}\}-\Pr\{\text{C}\cap\text{D}\}\\ \approx\Pr\{\text{C}\}+\Pr\{\text{D}\}\quad s.t.\quad\Pr\{\text{C}\cap\text{D}\}\approx 0 \tag{484.6} $$ を用いれば、IFとSMのフォールトは独立事象であることも用いて、

$$ (484.5)=\Pr\{\text{IF down in }(t, t+dt]\cap\text{IF up at }t\}\Pr\{\text{SM up at }t\}\\ +\Pr\{\text{SM down in }(t, t+dt]\cap\text{SM up at }t\}\Pr\{\text{IF up at }t\} \tag{484.7} $$

さらに、 $$ (\text{B of }484.3)=\Pr\{\text{IF up at }t\}\Pr\{\text{SM up at }t\} \tag{484.8} $$ であるから、

$$ \require{cancel} (484.3)=\frac{(484.7)}{(484.8)}=\frac{\Pr\{\text{IF down in }(t, t+dt]\cap\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}{\Pr\{\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}\\ +\frac{\Pr\{\text{SM down in }(t, t+dt]\cap\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}{\Pr\{\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}\\ =\Pr\{\text{IF down in }(t, t+dt]\ |\ \text{IF up at }t\}+\Pr\{\text{SM down in }(t, t+dt]\ |\ \text{SM up at }t\}\\ =\lambda_\text{IF}+\lambda_\text{SM}\hspace{100pt}■ \tag{484.9} $$

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。

---

前のブログ 次のブログ

前稿でご紹介した、2023年1月26日からフロリダ州オーランドのホテル・カンファレンスセンターで開催される予定のRAMS 2023(69th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだアブストラクトの採択ですが、正式採択されれば4年連続採択となります。正式採択に向け、8月の締め切りまでに論文をブラッシュアップしていくことになります。

表483.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

表483.1　RAMS 2023へのマイルストーン

年月日	マイルストーン	状態
2022/8/1	論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/?	学会出席登録締め切り
2022/9/1	第1回論文、プレゼン資料査読コメント受領
2022/?/?	改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/?	最終査読コメント受領
2022/10/10	最終論文、プレゼン投稿締め切り(名前、所属有り版)

---

前のブログ 次のブログ

来年のRAMS 2023の日程が、2023/1/23～26と発表されました。場所はフロリダ州オーランドのフロリダホテル・カンファレンスセンターです。弊社は今年もアブストラクトを提出済みです。アブストラクトの採択の発表は例年どおり、6月初旬とのことです。

図482.1　RAMS 2023

---

前のブログ 次のブログ

ISO 26262規格の疑問

そもそも論ですが、ISO 26262規格第2版の考え方には疑問があり、過去に何度も書いています。記事#68、#69、#109、#130、#313、#329、#344、#473。弊社の見方では、

• 第1版(the first edition, 2011年版)
  SMにはIFの代替機能無し。従ってIFがfailするとSMは機能を代替できないため、その場で故障が起きる。一方SMはフォールトしてもサブシステムは故障しない。すなわち、SMはリペアラブル、IFはアンリペアラブルが前提。
  
  PMHF式のべースとなるモデルは弊社に依れば図481.1のとおりIFU-SMUモデルとして構成されており、導出されたPMHF結果式は正しい。

  図481.1 1st edition CTMC

• 第2版(the second edition, 2018年版)
  SMにはIFの代替機能有り。従ってIFがfailするとSMは機能を代替する。例えば冗長構成が対象。IFもSMもフォールトすると代替機構が働くことにより、サブシステムは故障しない。すなわち、IFもSMもリペアラブルが前提。
  
  PMHF式のべースとなるモデルは図481.2のとおりIFRモデルとして構成されておらず、IFU-SMUモデルとして構成されている。従って、導出されたPMHF結果式は誤り。さらにPattern 2, 4には計算誤りまで含まれている。

  図481.2 2nd edition CTMC

2nd editionの誤りは1st editionで用いたIFUモデルを引き続き用いたところにあります。本来は両方のエレメントがリペアラブルでなくてはなりません。ところが、2nd editionでは最初にIFがフォールトするとその後SMはアンリペアラブルとなります。逆に最初にSMがフォールトするとその後IFはアンリペアラブルとなります。つまり、最初にフォールトしたエレメントのみがリペアラブルという前提です。

例えばIFフォールト⇒IFフォールトリペア⇒SMフォールト⇒IFフォールトとなることはできません。(479.1)において、カッコ内の式に $$ \left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot\color{red}{R_\text{IF}(t)}\right] $$ とあるように、$R_\text{IF}(t)$が意味するところは時刻$t$まではIFは一度もダウンしていないことを表します。これはIFはアンリペアラブルであることを意味します。本来、IFのアベイラビリティである$A_\text{IF}(t)$でなくてはなりません。 従って、サブシステムは図481.3のとおりIFRモデルでなくてはなりません。

図481.3 2nd edition CTMC(本来)

第2版の誤りは、DPFのケース分類をする時に、

　①IF⇒SM1、もしくは
　②SM1⇒IF

の2通りしかないとしたところは正しかったのですが、本来は

　①(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがIF⇒最後のフォールトがSM1、もしくは
　②(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがSM1⇒最後のフォールトがIF

とすべきところを、なぜか、

　①最初のフォールトがIF⇒(IFのup/downが0回以上起きる)⇒最後のフォールトがSM1、もしくは
　②最初のフォールトがSM1⇒(SM1のup/downが0回以上起きる)⇒最後のフォールトがIF

と誤ったところにあると考えます。最初のフォールトが起きるエレメントを決めてしまうと、相手のエレメントフォールトが起きる場合にはDPFになってしまいます。従って相手のエレメントのフォールトは最後に起きるしかありません。従って最後のフォールトが起きる、相手のエレメントは非修理系でなくてはならない過剰な制約がつきます。黄色で示した無視された部分の違いが示すように、本来はIFもSM1も修理系のはずです。

DPF項はPMHF全体に対して3%未満であるという経験からすると、どちらでも良いと考えがちですが、EOTTIにはこのDPFが大きく効いてくるため、無視はできません。弊社の計算では30～40倍もEOTTIが異なるため、規格式による設計では耐故障システムに関しては数十倍の厳しい設計制約となります。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

---

前のブログ 次のブログ

弊社CTMCベース

一方、弊社の方式ではフォールト生起順序と積分順序は同一です。

図480.1 弊社CTMCベース 図480.1に従い、時刻$t$までのSM1の積分を先に実行し、その後IFの積分を0から車両寿命まで実行すれば、 $$ M_\text{PMHF,fsm,P1}=\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}f_\text{IF}(t)\left[\int_0^{t}f_\text{SM1}(t')dt'\right]dt\\ =\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}F_\text{SM1}(t)f_\text{IF}(t)dt\quad\quad\color{red}{※}\\ \approx\frac{1}{2}K_\text{IF,DPF}(1-K_\text{SM1,DPF})\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}\tag{480.1} $$ となり、前稿と同じ値になります。導出には公式(60.6)を使用しました。

CTMC理論

CTMC理論に基づけば、時刻$t$におけるサブシステムのレイテントとなる状態確率は「SM1がdownかつSM2により非検出かつIFがup」であるため、 $$ \Pr\{\text{SM1 down at }t\cap\text{fault not detected}\cap\text{IF up at }t\}=F_\text{SM1,DPF,lat}(t)R_\text{IF}(t)\\ =(1-K_\text{SM1,DPF})F_\text{SM1}(t)R_\text{IF}(t)\tag{480.2} $$ レイテント状態における微小時間間隔$dt$間の遷移確率(条件付き確率)は、公式(66.8)より $$ \require{cancel} \Pr\{\text{IF down in }[t, t+dt)|\bcancel{\text{SM1 down at }t}\cap\text{IF up at }t\}=K_\text{IF,DPF}\lambda_\text{IF}dt\tag{480.3} $$ となります。従って確率は(480.2)と(480.3)の積を$0$から$T_\text{lifetime}$まで積分した $$ K_\text{IF,DPF}(1-K_\text{SM1,DPF})\int_0^{T_\text{lifetime}}F_\text{SM1}(t)R_\text{IF}(t)\cdot\lambda_\text{IF}dt\tag{480.4} $$ となり、(480.1)$\color{red}{※}$で示すパターン1のDPF確率と一致します。

両者の比較

前稿の解説書の方式はフォールトと順序積分順序が逆ではあるものの、図479.1と図480.1を比較すれば、特に大きな問題はなさそうですし実際に結果も一致します。しかしながら、弊社の方式はCTMC理論でも裏付けされており、フォールトと順序積分順序も一致しているため、straight forwardだと考えます。

結論

本来の条件であるIFとSM1の両方がrepairableであるというシンプルな条件と異なるため、誤りではあるものの、規格第2版の前提と想定される、以下のおかしな条件(図313.1)によるPMHF式の導出はこれで完了です。

• サブシステムはIFとSM1とSM2から構成される。
• もしSM1のフォールトが最初に起きた場合、SM1はrepairableとなりIFはunrepairableとなる。
  　　・SM1のフォールトのSM2により検出されない部分は修理されず、暴露時間は$T_\text{lifetime}$となり、 (Pattern 1)
  　　・SM1のフォールトのSM2により検出される部分は修理され、暴露時間は$T_\text{service}$となり、 (Pattern 2)
  暴露時間中における引き続くIFの最初のフォールトでDPFが発生する。⇒IFUモデル
• もしIFのフォールトが最初に起きた場合、IFはrepairableとなりSM1はunrepairableとなる。
  　　・IFのフォールトのSM1により抑止されない部分は修理されず、暴露時間は$T_\text{lifetime}$となり、 (Pattern 3)
  　　・IFのフォールトのSM1により抑止される部分は修理され、暴露時間は$T_\text{service}$となり、 (Pattern 4)
  暴露時間中における引き続くSM1の最初のフォールトでDPFが発生する。⇒SMUモデル

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

---

前のブログ 次のブログ

ここまでで規格解説書方式と弊社CTMCベースでは積分順序に違いがあることがわかります。パターン1はフォールトの生起はSM1⇒IFの順であり、かつSM1のフォールトはSM2により検出されず、全量レイテントとなる場合です。表479.1に示すように規格解説書の方式は、積分順序がフォールト生起とは逆順です。

表479.1

パターン1	フォールト 生起順序	積分順序
規格解説書方式	SM1⇒IF	IF⇒SM1
弊社CTMC方式	SM1⇒IF

規格解説書方式

規格解説書によればPoF(Probability of Failure)は、 $$ PoF_\text{SM1,lat⇒IF}=\int_0^{T_\text{lifetime}}f_\text{SM1,DPF,lat}(t)\left[\int_t^{T_\text{lifetime}}f_\text{IF,DPF}(t')dt'\cdot R_\text{IF}(t)\right]dt \tag{479.1} $$ と記載されています。その意味は図479.1で示すように、時刻$t$から車両寿命まで、後フォールトであるIFに関する積分を先に実行し、後から先フォールトであるSM1の積分を実行しています。

図479.1 規格解説書方式 2つの定数 $$ \begin{eqnarray}\begin{cases} f_\text{SM1,DPF,lat}(t)=(1-K_\text{SM1,DPF})f_\text{SM1}(t)\\ f_\text{IF,DPF}(t')=K_\text{IF,DPF}f_\text{IF}(t') \end{cases}\end{eqnarray}\tag{479.2} $$ を用いて書き換えます。まず(479.1)を車両寿命で時間平均したものがPMHFであるから $$ M_\text{PMHF,com,P1}=\frac{1}{T_\text{lifetime}}PoF_\text{SM1,lat⇒IF}\\ =\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}f_\text{SM1}(t)\left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\right]dt \tag{479.3} $$ と書き換えられます。規格解説書の導出において条件付き確率を用いていない誤りがあるため、まずそれを修正した上でPMHF式を導出します。

第1の誤り

(479.3)は[]内のIFについての積分に2か所誤りが有ります。まず、「IFが時刻$t$までup」という条件 $R_\text{IF}(t)$がかけられていますが、IFのフォールト時刻は図479.1より時刻$t'$であるため、IFは$t'$までupでなければなりません。従って、 $$R_\text{IF}(t)⇒R_\text{IF}(t')$$ と修正します。

$R_\text{IF}(t)$を用いることもできますが、さらに「IFが時刻$t$までupという条件下で時刻$t'$までup」という条件付き確率をかける必要があります。そうしないと時刻$t$から$t'$までの変化を無視してしまいます。条件付き確率の公式 $$ \Pr\{A|B\}=\frac{\Pr\{A\cap B\}}{\Pr\{B\}} $$ を用れば、 $$ \require{cancel} \Pr\{\text{IF up at }t\}\cdot\Pr\{\text{IF up at t'}|\text{IF up at }t\}=\bcancel{R_\text{IF}(t)}\cdot \frac{R_\text{IF}(t')}{\bcancel{R_\text{IF}(t)}}=R_\text{IF}(t’) $$ となり、前述のように$R_\text{IF}(t)$⇒$R_\text{IF}(t')$と修正したのと同じことになります。

第2の誤り

2点目は$f_\text{IF}(t')$が誤りです。IFのupとdownの事象は独立ではないので、これは「IFが時刻$t'$までupという条件下で$t'$から$t'+dt'$までの間にIFがフォールトする」という条件付き確率でなければなりません。 そのため、(66.4)の確率密度関数ではなく(66.8)の故障率をかける必要があります。従って、 $$ f_\text{IF}(t')dt'⇒\lambda_\text{IF}dt' $$ と修正します。

パターン1のPMHFの導出

上記の誤り2点を修正すれば(479.3)は、 $$ M_\text{PMHF,com,P1}=\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}f_\text{SM1}(t)\left[\int_t^{T_\text{lifetime}}R_\text{IF}(\color{red}{t'})\cdot\color{red}{\lambda_\text{IF}}dt'\right]dt\\ =\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}f_\text{SM1}(t)\left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\right]dt\\ =\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF}) \int_0^{T_\text{lifetime}}f_\text{SM1}(t)\left[F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right]dt\\ =\frac{K_\text{IF,DPF}}{T_\text{lifetime}}(1-K_\text{SM1,DPF})\left[F_\text{IF}(T_\text{lifetime})F_\text{SM}(T_\text{lifetime})- \int_0^{T_\text{lifetime}}f_\text{SM1}(t)F_\text{IF}(t)dt\right]\quad\quad\color{red}{※}\\ \approx K_\text{IF,DPF}(1-K_\text{SM1,DPF})\left[\lambda_\text{IF}\lambda_\text{SM}T_\text{lifetime}- \frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}f_\text{SM1}(t)F_\text{IF}(t)dt\right]\\ =\img[-1.35em]{/images/withinseminar.png} \tag{479.4} $$ と求められます。導出には公式(60.6)を使用しました。

若干気持ち悪いのは、フォールト順がSM1⇒IFであるのに対して、積分順序が逆順になっていることです。(479.4)$\color{red}{※}$行を見ても、SM1⇒IFの確率を求めるのにあたり、DPF確率全体$F_\text{IF}(T_\text{lifetime})F_\text{SM}(T_\text{lifetime})$から逆順であるIF⇒SM1の確率を引いており、straight forwardではありません。

本稿では上記2点の誤りを修正しましたが、結果として解説書の方式でも結果は変わりません。従って、これらはマイナーな誤りと判定します。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

---

前のブログ 次のブログ

パターン1

規格解説書によるPMHF式の導出手法と、弊社による導出手法を比較します。簡単化のため(及びパターン2は解説書は積分範囲に誤りがあるため)、パターン1どうしを比較しそれぞれ規格解説書=com、弊社=fsmとします。

まず、規格解説書パターン1(476.6)は、 $$ \require{color} \definecolor{yellow}{rgb}{1.0,1.0,0.8} \definecolor{lime}{rgb}{0.8,1.0,0.9} \definecolor{water}{rgb}{0.8,0.9,1.0} \definecolor{pink}{rgb}{1.0,0.8,1.0} \definecolor{red}{rgb}{1.0,0.8,0.8} \definecolor{orange}{rgb}{1.0,0.9,0.8} M_\text{PMHF,com,P1}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}d\!\Pr\{\text{SM1 down in }[t, t+\delta t)\cap\text{SM1 up at }t\\ \cap\colorbox{pink}{$\text{SM1 undetected}$}\}\cdot\colorbox{lime}{$\Pr\{\text{IF up at }t \cap\text{IF fails in }[t, T_\text{lifetime})$}\\ \cap\colorbox{water}{$\text{IF prevented}$}\} \tag{478.1} $$

一方、弊社パターン1(474.5)は、 $$ M_\text{PMHF,fsm,P1}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}d\!\Pr\{\colorbox{orange}{$\text{LAT2 at }t$}\cap\colorbox{water}{$\text{IF prevented}$}\\ \cap\text{IF down in }(t', t'+\delta t']\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}d\!\Pr\{\text{IF up at }t'\cap\colorbox{orange}{$\text{SM1 down at }t$}\cap\colorbox{pink}{$\text{SM1 not detected}$}\\ \cap\colorbox{water}{$\text{IF prevented}$}\cap\text{IF down in }(t', t'+\delta t']\}\\ =\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\colorbox{orange}{$\Pr\{\text{SM1 fails in }[0, t)$}\cap\colorbox{pink}{$\text{SM1 not detected}$}\}\\ \cdot d\!\Pr\{\text{IF down in }[t', t'+\delta t')\cap\text{IF up at }t'\cap\colorbox{water}{$\text{IF prevented}$}\} \tag{478.2} $$ でした。

ここで、以下(478.3)の2つの確率 $$ \begin{eqnarray}\begin{cases} \Pr\{\colorbox{pink}{$\text{SM1 undetected}$}\}=\colorbox{pink}{$1-K_\text{SM1,DPF}$}\\ \Pr\{\colorbox{water}{$\text{IF prevented}$}\}=\colorbox{water}{$K_\text{IF,DPF}$} \end{cases}\end{eqnarray}\tag{478.3} $$ は定数であることから、この(478.3)を代入すれば、(478.1)は、 $$ (478.1)=M_\text{PMHF,com,P1}=\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$}\\ \cdot\int_0^{T_\text{lifetime}}d\!\Pr\{\text{SM1 down in }[t, t+\delta t)\cap\text{SM1 up at }t\}\\ \cdot\colorbox{lime}{$\Pr\{\text{IF up at }t'\cap\text{IF fails in }[t, T_\text{lifetime})\}$} \tag{478.4} $$ となり、(478.2)は、 $$ (478.2)=M_\text{PMHF,fsm,P1}=\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$}\\ \cdot\int_0^{T_\text{lifetime}}\colorbox{orange}{$\Pr\{\text{SM1 fails in }[0, t')\}$}\cdot d\!\Pr\{\text{IF down in }[t', t'+\delta t')\cap\text{IF up at }t'\} \tag{478.5} $$ となります。それぞれに(66.4)を適用すれば、(478.4)は、 $$ (478.4)=M_\text{PMHF,com,P1}=\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$}\\ \cdot\int_0^{T_\text{lifetime}}f_\text{SM1}(t)\colorbox{lime}{$\Pr\{\text{IF up at }t\cap\text{IF fails in }[t, T_\text{lifetime})\}$}dt\\ =\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$}\\ \cdot\int_0^{T_\text{lifetime}}f_\text{SM1}(t)\colorbox{lime}{$\left[\Pr\{\text{IF fails in }[0, T_\text{lifetime})\}-\Pr\{\text{IF fails in }[0, t)\}\right]$}dt\\ =\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$} \int_0^{T_\text{lifetime}}f_\text{SM1}(t)\colorbox{lime}{$\left[F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right]$}dt\\ \tag{478.6} $$ となり、(478.5)は、 $$ (478.5)=M_\text{PMHF,fsm,P1}\\ =\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1-K_\text{SM1,DPF})$}\int_0^{T_\text{lifetime}}\Pr\{\colorbox{orange}{$\text{SM1 fails in }[0, t')$}\}f_\text{IF}(t')dt'\\ =\frac{1}{T_\text{lifetime}}\colorbox{water}{$K_\text{IF,DPF}$}\colorbox{pink}{$(1- K_\text{SM1,DPF})$}\int_0^{T_\text{lifetime}}\colorbox{orange}{$F_\text{SM1}(t)$}f_\text{IF}(t)dt \tag{478.7} $$ となります。$t'$を$t$に置き換えても値は変わりません。(478.6)も(478.7)も結果式は同一であり、 $$ (478.6)=(478.7)=\frac{1}{2}K_\text{IF,DPF}K_\text{SM,DPF}\lambda_\text{IF}\lambda_\text{SM1}T_\text{service} \tag{478.8} $$ と、このように一致します。従って元の(478.1)と(478.2)は同値であるはずです。

ここで(478.6)、(478.7)のそれぞれの意味を解析してみます。(478.6)の解説書の方法は、

SM1のフォールトの確率密度を、$t$をSM1のフォールト時刻として0から車両寿命まで積分するにあたり、

1. 0から$t$まではIFが先にフォールトしている場合のIFの先フォールトの確率(=確率密度の積分)
2. $t$から車両寿命まではSM1が先にフォールトしている場合のIFの後フォールトの確率(=確率密度の積分)

の合計$\colorbox{lime}{$F_\text{IF}(T_\text{lifetime})$}$を求めます。これから1.$\colorbox{lime}{$F_\text{IF}(t)$}$を引けば、結果としてSM1⇒IFの順のDPF確率が求まります。

このようなことをせずにCTMCを用いて(478.7)のとおり、

IFのフォールトの確率密度を、$t'$をIFのフォールト時刻として0から車両寿命まで積分するにあたり、

1. 0から$t'$まではSM1が先にフォールトしている場合のSM1の先フォールトの確率(=確率密度の積分)

である$\colorbox{orange}{$F_\text{SM1}(t')$}$を先に求めれば、結果としてDPFを単純に求めることができます。時系列的にもSM1⇒IFの順のフォールトなので、最初にSM1のフォールト確率積分をするほうが自然です。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。

---

前のブログ 次のブログ