RBD

順に手法1, 手法2, 手法3とFTを自動生成させます。入力はRBD(Reliability Block Diagram)です。まず冗長系EPSの2nd SM無しのモデル(手法1)を作成させます。

このMCSをとると、上流に関してチャネル1側とチャネル2側の個々の組み合わせが6x6=36通り、下流も同様に2x2=4通り、計40通りとなることが分かります。従ってあらかじめexcelにより正解値を求めておくと、図916.2のように、頂上侵害確率は3.428E-03、PMHFは228.5 [FIT]となります。

見方の例として、図の左上のSC1(チャネル1側エレメント)とSC2(チャネル2側エレメント)のペアを取ります。SC1とSC2において、それぞれ故障率は1000[FIT]、車両寿命間の不信頼度確率は1.500x10^-2、それらの積は2.250x10^-4となります。それらの40個の積項の和が頂上事象侵害確率であり、3.428x10^-3です。それを車両寿命で割るとPMHFが228.5[FIT]と算出できます。

このexcelによる結果を、検証のために正解値として保持しておきます。

前のブログ 次のブログ

理論背景

過去記事#213や過去記事#217で記載しましたが、冗長の場合のFT(fault tree)構築方式については以下の3通りが考えられます。

1. 手法1: 2nd SM無しのFT
2. 手法2: 2nd SM有りのFT
3. 手法3: 規格式どおりの$\tau$の効果を入れたFT

弊社論文においては冗長系における2nd SMの効果まで書かれていませんでしたが、過去記事#217を参考にして、冗長の場合の不稼働確率を以下に示します。

$$ \begin{eqnarray} \Pr\{\text{TOP Unavailable}\}=M_\text{PMHF}\cdot T_\text{L}&=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L}) \left[ (1-K_\text{MPF})+K_\text{MPF}\cdot \frac{\tau}{T_\text{L}} \right]\\ &=&(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})C_\text{1, 2} \end{eqnarray} $$ ただし $$ K_\text{MPF}=1-(1-K_\text{E1,MPF})(1-K_\text{E2,MPF}) $$ $C_\text{1, 2}$はE1, E2に依存する定数で、 $$ C_\text{1, 2}\equiv(1-K_\text{MPF})+K_\text{MPF}\cdot \frac{\tau}{T_\text{L}} $$ ここで、上記のFT構成方法と対応させれば、

1. 手法1: $C_\text{1, 2}=1$--- 2nd SMの効果無し、最悪見積もり
2. 手法2: $C_\text{1, 2}=1-K_\text{MPF}=(1-K_\text{E1,MPF})(1-K_\text{E2,MPF})$---- 2nd SMの合成カバレージ分だけ故障率を減少させる
3. 手法3: $C_\text{1, 2}=(1-K_\text{MPF})+K_\text{MPF}\cdot \frac{\tau}{T_\text{L}}$---- 2nd SMの合成カバレージ分だけ故障率を減少させるが、一方2nd SMの検査周期内は検査されないためDPFとなる確率が若干存在し、その分を補正する

ここで、ChatGPTからヒントを貰いました。手法2においてはこのように3 ANDを構成するのではなく、E1, E2の故障率をカバレージ残余で割り引けば良いとのこと。以下、これが成り立つことを証明します。

$$ \Pr\{\text{TOP Unavailable}\}=(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})(1-K_\text{MPF})\\ =(\lambda_\text{E1}T_\text{L})(\lambda_\text{E2}T_\text{L})(1-K_\text{E1,MPF})(1-K_\text{E2,MPF})\\ =\left((1-K_\text{E1,MPF})\lambda_\text{E1}T_\text{L}\right) \left((1-K_\text{E2,MPF})\lambda_\text{E2}T_\text{L}\right)\quad(証明終) $$ このように手法2をとれば3 ANDにしなくても故障率を割り引くだけで済みますが、明示的に3 ANDにして2nd SMの効果を入れていることを表す方針とします。

前のブログ 次のブログ

過去記事ではFTを手で作成しました。その元となる論文を脚注$\dagger$に示します。ここでは生成AIで作成するトライアルを行います。

題材は完全冗長系のEPSです。なお本論文において車両寿命は15,000時間、2nd SMの検査時間は3,420時間とします(本来4,320時間=半年間のはずだが過去記事の誤り)。図914.1にEPSシステム構成図を示します。

このEPSシステムのRBDを図914.2に示します。

表914.1にRBD中のエレメント記号とエレメント名等を示します。

$\dagger$https://www.researchgate.net/publication/323450274_A_mixed_model_to_evaluate_random_hardware_failures_of_whole-redundancy_system_in_ISO_26262_based_on_fault_tree_analysis_and_Markov_chain

前のブログ 次のブログ

実行結果

前稿のMARDファイルをSAPHIREでロードし、自動生成したFTを図913.8に示します。イベントは縦積みにして横幅を抑えることができますが、敢えてフラットに表示させました。

このELEM1はサブツリーとしてFT一覧に表れます。

このサブツリーを組み込む先のTOP階層のツリーはTOPとしています。

ぶら下げたいゲート、この場合は頂上ORゲートに対して先のFT一覧ウインドウからドラッグ&ドロップを行えば、自動的にトランスファーゲートが生成されます。

トランスファーゲートをクリックすれば、再度図913.1のELEM1サブツリーウインドウが開きます。

前のブログ 次のブログ

それでは現実の回路でのトライアルを行います。まず受動部品から成るエレメントELEM1を取り上げます。 受動部品には以下のように抵抗とキャパシタが含まれます。

原始シート準備

エクセルシートを新規に開き、部品情報をSheet1のA1からB12まで並べます。並べるとSheet1は以下の図のようになります。

BED

準備としてSheet2に基本事象の部分を作成します。A1セルに

=IF(Sheet1!A1<>"",CONCATENATE(Sheet1!A1,", ",Sheet1!A1," ",Sheet1!B1,", TEST"),"")

この式を入れ行コピーを必要分行います。するとSheet2は以下の図のようになります。

Sheet2をコピーし、以下のようにBEDファイルの* Name ...のコメント行以下にペーストします。

*Saphire 8.2.9
TEST =
* Name , Descriptions , Project
C1000, C1000 Capacitor, TEST
C1001, C1001 Capacitor, TEST
R1000, R1000 Resistor, TEST
R1001, R1001 Resistor, TEST
R1002, R1002 Resistor, TEST
R1003, R1003 Resistor, TEST
C1010, C1010 Capacitor, TEST
C1011, C1011 Capacitor, TEST
R1010, R1010 Resistor, TEST
R1011, R1011 Resistor, TEST
R1012, R1012 Resistor, TEST
R1013, R1013 Resistor, TEST

BEI

準備としてSheet3に基本事象情報の部分を作成します。A1セルに

=IF(Sheet1!A1<>"",CONCATENATE(Sheet1!A1, ", 3, , , 0.000E+000, 0.000E+000, ",Sheet1!C1,"E-9",", 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST"),"")

この式を入れ行コピーを必要分行います。するとSheet3は以下の図のようになります。

Sheet3をコピーし、以下のようにBEIファイルの* Name ...のコメント行以下にペーストします。

*Saphire 8.2.9
TEST =
* Name ,FdT,UdC ,UdT, UdValue, Prob, Lambda, Tau, Mission, Init,PF, UdValue2, Calc. Prob, Freq, Analysis Type , Phase Type , Project
C1000, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1001, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1000, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1001, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1002, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1003, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1010, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
C1011, 3, , , 0.000E+000, 0.000E+000, 0.065E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1010, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1011, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1012, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST
R1013, 3, , , 0.000E+000, 0.000E+000, 0.011E-9, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.500E-003, ,RANDOM, CD, TEST

FTD

FTDは他のファイルと同一の以下のようなファイルです。

TEST =
* Name , Description, SubTree, Alternate, Project
ELEM1, PVSG of ELEM1 , , , TEST

FTL

FTLはシンプルなので、エクセルシートで事前生成をする必要はありません。Sheet1のA列のみを以下のようにFTLの3行目の"ELEM1 OR"の次の行からコピーします。

TEST, ELEM1=
ELEM1 OR
C1000
C1001
R1000
R1001
R1002
R1003
C1010
C1011
R1010
R1011
R1012
R1013
^EOS

GTD

中間ゲートが無いため本ファイルは不要です。

MARD

MARDを図912.7に示します。

TEST_Subs\TEST.BED
TEST_Subs\TEST.BEI
TEST_Subs\TEST.FTD
TEST_Subs\TEST.FTL

前のブログ 次のブログ

はじめに

過去記事の再トライアルとなります。なぜ再トライアルかというと、4年が経ちSAPHIREの版数も上がったので、ファイルに互換性が無くなったようです。そのためFault Treeを外部から生成する方法を本記事で確立します。

過去記事で「MAR-D(各種データ)の一括インポートにより、完全なFTが構成できるようです。」と書きましたが、これは変わりません。また対象FTも同一のもの(図911.1)とします。

図911.1のFTをテキストファイルで入力するためには

• .BED --- Basic Eventの説明等の記述
• .BEI --- Basic Eventの情報、故障率やミッション時間等
• .FTD --- Fault Treeの説明等の記述
• .FTL --- 木の構造
• .GTD --- Top Event、中間ゲートの説明等の記述
• .MARD --- 上記5種のリストを記述

の6種のファイルが必要です。図911.2～911.6に示すファイルを用意し、そのリストを図911.7のMARDファイルとしてMARDをloadすると、図911.1のFTが生成されました。以下に一つずつ文法例を解説します。先頭に*がある行はコメント行を表します。

BED

図911.2のBEDは基事象の定義で、3種類の基事象の名前と説明を記述します。

*Saphire 8.2.9
TEST =
* Name , Descriptions , Project
BE01 , Failure of 01 , TEST
BE02 , Failure of 02 , TEST
BE03 , Failure of 03 , TEST
TOP , PVSG of top , TEST

BEI

図911.3のBEIは基事象の故障モデル、故障率、ミッション時間を記述します。赤字は故障率、青字はミッション時間です。

*Saphire 8.2.9
TEST =
* Name ,FdT,UdC ,UdT, UdValue, Prob, Lambda, Tau, Mission, Init,PF, UdValue2, Calc. Prob, Freq, Analysis Type , Phase Type , Project
BE01 , 3, , , 0.000E+000, 0.000E+000, 1.234E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 1.234E-004, , RANDOM , CD , TEST
BE02 , 3, , , 0.000E+000, 0.000E+000, 2.345E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 2.345E-004, , RANDOM , CD , TEST
BE03 , 3, , , 0.000E+000, 0.000E+000, 3.457E-009, 0.000E+000, 1.000E+005, , , 0.000E+000, 3.456E-004, , RANDOM , CD , TEST
TOP , 1, , , 0.000E+000, 1.000E+000, 0.000E+000, 0.000E+000, 0.000E+000, , , 0.000E+000, 1.000E+000, , RANDOM , CD , TEST

ここで、図911.3中のFdtは、表911.1(一部のみ)により規定される故障計算タイプです。

図911.4はFT全体の定義を示すFTDファイルで、FTの名前と説明を記述します。

TEST =
* Name , Description, SubTree, Alternate, Project
TOP , PVSG of top , , , TEST

FTL

図911.5にFTの木構造であるFTLを記述します。

TEST, TOP =
TOP OR TOP0 BE03
TOP0 AND BE01 BE02
^EOS

GTD

図911.6のGTDにゲートの名前と説明を記述します。

TEST=
* Name , Description, Project
TOP, PVSG of top, ,TEST
TOP0, DPF of 01 and 02, ,TEST
TOP01, DPF of 01 and 02, ,TEST

MARD

最後のMARDを図911.7に示します。前述のように、TESTフォルダのSubsフォルダに各種ファイルをまとめ、一括ロードするためのリストです。

TEST_Subs\TEST.BED
TEST_Subs\TEST.BEI
TEST_Subs\TEST.FTD
TEST_Subs\TEST.FTL
TEST_Subs\TEST.GTD

おわりに

ツールの入力としてはDescriptionに日本語が入るようになって便利にはなりました。一方でimportにおいては日本語が化けるため、自動生成の場合、Descriptionに日本語が使用できません。4年前に日本語入力を依頼した時点では、日本語の入力の改修に対してネガティブな返答でしたが、機会があれば要求したいと思います。

前のブログ 次のブログ

こんどはYoutubeでおかしな表現を見つけました。図327.1に当該部分を引用します。

• SPFMの説明にはSPFをカバーすると書かれています。SPFは広義ではRFを含むこともあり、広義と教義があるので、広義だとすれば問題ありません。
• LFMの説明にはなぜかLFMと書かれていません。説明はLFをカバーすると書かれており、OKです。カバレージの意味もあるのかもしれませんが。
• PMHFの説明には、残余ハードウエアフォールトをカバーすると書かれています。通常はRFのことなので、ここにおいて最初のSPFの説明にRFが含まれなかった、つまり狭義のSPFだったことがわかります。

以上から、SPFMとPMHFの説明は誤りです。ただしくは、SPFMはSPF及びRFの両方のカバレージを意味します。さらに、PMHFはアイテムの車両寿命におけるダウン確率の時間平均を意味します。

この動画はあまり良くなく、FMEDAでSPFM/LFM/PMHFを計算すると言っています。原理的にFMEDAではPMHFを正しく計算するのは困難です。ワーストケースと思えば良いかもしれません。それにしても規格式を正しく実装しているかどうかが不明です。この動画は、自社のツールを使えば、ブラックボックスでアーキテクチャメトリクスが計算できると言っているにすぎません。

Youtubeで調べましたが、正しいPMHFの計算法を紹介している動画は見つかりませんでした。

前のブログ 次のブログ

FTA

A. 定量的な FTA の適用可能性と使用の制限

PMHF論文das2016$\dagger$の続きです。

以下の段落では一般論を述べています。

Quantitative methodologies are a useful tool in safety assurance processes, where the objective is to reduce risk to a quantifiably acceptable level by estimating the rates of occurrence of hazardous events. Standards such as IEC 61508 are based strongly on this principle. Given such an estimate of the probability of safety-related hazards, the risk can in principle be mitigated to an acceptably low level.

定量的方法論は、危険事象の発生率を推定することにより、リスクを定量的に許容できるレベルまで低減することを目的とした安全保証プロセスにおいて有用なツールである。IEC 61508 などの規格は、この原則に強く基づいている。安全に関連するハザードの発生確率をこのように推定すれば、原則としてリスクは許容可能な低レベルにまで軽減することができる。

以下の段落ではシステマティックフォールトを混ぜて議論していますが、混ぜるとわけがわからなくなります。対処する手法が異なるからです。ここではランダムハードウェア故障に絞って議論したほうが良いでしょう。 　

However, there are several critical limitations to such methods that must be recognized. While random failures in electronic hardware may be modeled with probabilistic methods, systematic failures (for example in deterministic software) cannot be modeled in this way. This may lead the analyst to under-represent or overlook important systematic failures [8]. There is wide variability in underlying data available for the reliability failure of electronic components, which in turn leads to calculations with a relatively wide range of uncertainty. There is also evidence of a tendency for the analyst to believe in the independence of events which are represented independently in the FTA, while objective observation would find a correlation between events [9]. ISO 26262 takes steps to mitigate these limitations, for example by recognizing the primacy of process adherence in preventing and avoiding systematic faults, which are not generally quantifiable by probabilistic methods. It is important to remember that analyst judgment is a critical factor in the success of a quantified FTA. The analysis is neither a formal proof nor a validation of safety, but merely a structured record of the analyst's best understanding.

しかし、このような方法には、認識しなければならないいくつかの重大な限界がある。電子ハードウェアのランダムな故障は確率論的手法でモデル化することがでるが、系統的な故障（例えば決定論的ソフトウェア）はこの方法ではモデル化できません。このため、解析者は重要なシステマティックな故障を過小評価したり、見落としたりする可能性がありる[8]。電子部品の信頼性故障について利用可能な基礎データには大きなばらつきがあり、その結果、比較的広い範囲の不確実性を伴う計算が行われることになる。また、客観的な観察ではイベント間の相関関係を見つけることができるのに対し、分析者は、FTA で独立して表現されているイベントの独立性を信じる傾向があるという証拠もある[9]。ISO 26262 は、確率論的手法では一般的に定量化できないシステマティックな欠陥の予防と回避において、プロセスの堅持が重要であることを認識するなど、これらの制限を緩和するための措置を講じている。分析者の判断が定量化された FTA を成功させるための重要な要素であることを覚えておくことが重要である。解析は、安全性の正式な証明でも検証でもなく、解析者の最善の理解を構造化した記録に過ぎない。

$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

前のブログ 次のブログ

FTA

PMHF論文das2016$\dagger$の続きです。

FTAの説明と、それによるPMHFの導出の概略を述べています。

FTA is a logical combination of intermediate events and basic events, which can be assembled using AND and OR logical operators to analyze the effects of component faults on system failures. In a safety analysis, the FTA typically begins with a top-level event representing a major hazardous event, and/or the violation of a safety goal or Functional Safety Requirement, as defined in ISO 26262. The analysis is then performed by deducing what conditions or events would lead to the top-level event, and in what logical combination. The method has been in use in industrial settings for several decades (see for example [3], [4], [5]). More recently, the method has been applied to automotive systems [6], [7] and suggested for wider use as an analysis framework. In some cases, the FTA may be qualitative in nature. If probabilities of the underlying lower-level events can be estimated, then an estimate of the probability can be made for the top-level event. The PMHF is just such a quantitative estimation.

FTA は、中間イベントと基本イベントを論理的に組み合わせたもので、AND と OR 論理演算子を使って組み立てることで、コンポーネントの故障がシステムの故障に与える影響を分析することができる。安全解析では、FTAは通常、主要な危険イベントや、ISO 26262で定義されている安全目標や機能安全要件の違反を表すトップレベルのイベントから始まる。次に、どのような条件や事象がトップレベルの事象につながるのか、どのような論理的な組み合わせで行われるのかを推論することで分析が行われる。この手法は、数十年前から産業界で使用されている (例えば [3], [4], [5] を参照)。最近では、この手法が自動車システムに適用され [6], [7]、解析フレームワークとしての幅広い利用が提案されています。いくつかのケースでは、FTA は定性的な性質を持っています。もし、基礎となる下位レベルのイベントの確率が推定できれば、上位レベルのイベントの確率を推定することができます。PMHF はまさにそのような定量的な推定である。

本論文は、初版の規格を別にすればPMHF式とFTAを結び付けた初めての論文で、重要論文です。しかしながら1st editionの範囲に留まっています。1st editionの範囲とは、IFがアンリペアラブルという意味です。従って、冗長サブシステムには用いることができません。

$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

前のブログ 次のブログ

イントロダクション

PMHF論文das2016$\dagger$の続きです。

FTAの説明とフレームワークの必要性を述べています。

Fault Tree Analysis (FTA) is a method often proposed for calculation of the PMHF in real-world systems. However, FTA is a very general method, subject to a wide range of interpretations and techniques depending on the objectives of a given problem, the type of failures & faults being considered, and the terminology employed by various industries. There is not yet an accurate and well-explained practical guide to the specific techniques appropriate for PMHF calculation in the automotive industry. For example, large and complex systems, such as those that comprise real-world automotive products, are often difficult to capture in an FTA in a systematic and repeatable way. The use of diagnostic coverage (D.C.) (e.g., by an imperfect safety mechanism which may detect some but not all element faults) is often utilized in hardware metric calculations. However, D.C. concepts are not widely clarified in the industry literature, leaving a gap in understanding for many FTA practitioners. At lower levels of the FTA, specific frameworks for calculating the effect of single-point and dual-point faults (including dual-point latent faults) are necessary to obtain a correct PMHF estimation. All these topics will be addressed here along with a worked automotive example.

フォールトツリー解析(FTA)は、実世界のシステムにおけるPMHFの計算のためにしばしば提案される手法です。しかし、FTAは非常に一般的な手法であり、与えられた問題の目的、考慮される故障や故障の種類、そして様々な業界で採用されている用語に応じて、幅広い解釈や技術の対象となっています。自動車産業におけるPMHF計算に適した特定の技術については、正確かつ十分に説明された実用的なガイドはまだ存在しません。例えば、実際の自動車製品を構成するような大規模で複雑なシステムは、体系的で再現性のある方法でFTAに取り込むことが困難な場合が多い。診断カバレッジ（D.C.）（例えば、一部の要素の故障は検出できるが、すべての要素の故障は検出できない不完全な安全機構）の使用は、しばしばハードウェアメトリックの計算に利用されます。しかし、D.C.の概念は業界の文献では広く明確にされておらず、多くのFTA実務者にとっては理解にギャップがあります。FTA の低レベルでは、正しい PMHF 推定を得るためには、単点および二点故障（二点潜伏故障を含む）の影響を計算するための特定のフレームワークが必要となります。ここでは、これらすべてのトピックについて、実際の自動車の例を挙げながら解説します。

$\dagger$N. Das and W. Taylor, "Quantified fault tree techniques for calculating hardware fault metrics according to ISO 26262," 2016 IEEE Symposium on Product Compliance Engineering (ISPCE), Anaheim, CA, 2016, pp. 1-8, doi: 10.1109/ISPCE.2016.7492848.

前のブログ 次のブログ