Posts Issued in March, 2024

新方式によるPUAの導出 (2)

posted by sakurai on March 15, 2024 #755

さて、過去記事でKパラメータは条件付き確率ではなく、アーキテクチャ固有の値であると仮定したのには理由があり、2つの問題があるからでした。

問題1
しかしながら、Kパラメータ($K_{\mathrm{FMC,MPF}}$及び$K_{\mathrm{FMC,RF}}$)が条件付き確率として一定だと矛盾が起きます。抑止条件が確率的に作用することにより、例えば1回目にはVSG抑止されたフォールトが、2回目にはVSG抑止されないことが起こりえます。あるいは1回目にはリペアされたフォールトが2回目にはリペアされないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

これはIFのフォールトについてのステートメントなので、SMに書き換えます。

問題1
しかしながら、Kパラメータ($K_{\mathrm{MPF}}$)が条件付き確率として一定だと矛盾が起きます。検出が確率的に作用することにより、例えば1回目には検出されリペアされたフォールトが、2回目には検出されないことが起こりえます。検出が確率的になされるからとはいえ、同じ故障が検出されたりされなかったりするのは、合理性がありません。

という問題は、フォールト検出はアーキテクチャに無関係に確率的に行われるとすれば、問題ありません。

次の問題は、

問題2
次に、例えば故障検出率$K_{\mathrm{FMC,MPF}}$について考えると、長時間が経ち故障検出を長く続ける場合を考えます。検出されるフォールトは全量リペアされるのに比べて、検出されないフォールトはどんどん溜まって行き、不信頼度は上昇し続けます。従って、新たにフォールトするうちの検出される部分の比率が高まりそうであるのに、条件付き確率として一定値であると感覚に反します。

これはSMのフォールトについてのステートメントなのでそのままです。

これも検出は確率的に行われるとすれば、問題ありません。検出される部分の比が高まるように思うのは、アーキテクチャ的な構造を前提としているからであり、検出が完全に確率的だとすれば、特に矛盾はありません。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

新方式によるPUAの導出

posted by sakurai on March 14, 2024 #754

以下は全てSMについての議論とします。Kパラメータは条件付き確率ではなく、アーキテクチャ固有の値だと仮定してきました。そこでの議論のうち、$K_\text{RF}$すなわち、1st SMによるVSG preventionはSMについては1として無視して良いです。

しかしながら、以下の証明のように、アーキテクチャ固有の値ではなく、条件付き確率でも同様な結果が得られることが分かります。まず、信頼度と故障率を定義どおり、 $$ \begin{eqnarray} R(t)&=&\Pr\{\text{up at }t\}\\ \lambda dt&=&\Pr\{\text{failed in }(t, t+dt)\hspace{1pt}|\hspace{1pt}\text{up at }t\} \end{eqnarray}\tag{754.1} $$ とし、2nd SMによる検出率$K$を $$ K_\text{MPF}=\Pr\{\text{detected}\hspace{1pt}|\hspace{1pt}\text{failed in }(t, t+dt)\cap\text{up at }t\}\tag{754.2} $$ と仮定します。すると、微小時間間隔$(t, t+dt)$における不検出部分の故障確率は、 $$ \Pr\{\text{undetected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=(1-K_\text{MPF})R(t)\lambda dt=(1-K_\text{MPF})f(t)dt\tag{754.3} $$ よって、0から$t$まで積分すれば、$t$における不検出不信頼度は、 $$ \int_0^t(1-K_\text{MPF})f(s)ds=(1-K_\text{MPF})F(t)\tag{754.4} $$ 他方、微小時間間隔$(t, t+dt)$における検出部分の故障確率は、 $$ \Pr\{\text{detected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=K_\text{MPF}R(t)\lambda dt=K_\text{MPF}f(t)dt\tag{754.5} $$ よって、0から$u\in(0, \tau)$まで積分すれば、$u=t\bmod\tau$における検出不信頼度、すなわち修理確率は、 $$ \int_0^uK_\text{MPF}f(s)ds=K_\text{MPF}F(u), u=t\bmod\tau\tag{754.6} $$ 最後に、検出と不検出は背反事象であり確率は加えることができるため、全確率の定理より修理を考慮した不信頼度、すなわち不稼働度は $$ Q(t)=(1-K_\text{MPF})F(t)+K_\text{MPF}F(u), u=t\bmod\tau\tag{754.7} $$ と求まります。

注意:
ただしこれは全ての区間で修理量が同じという前提に立っています。最新の研究ではこれは近似値だと判明しており、今後この点についてIEEE学会投稿する予定です。また、このブログでも深堀し、一部について開示します。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (5)

posted by sakurai on March 13, 2024 #753

論文$\dagger$の続きです。

4.1 ISO 26262 Approachにおいて誤りをもうひとつ見つけました。

論文(7)式において $$ M_\text{PMHF}=\frac{F(T_\text{L})}{T_\text{L}}=\frac{1-e^{-(1-DC)\lambda T_\text{L}}}{T_\text{L}}\approx\frac{(1-DC)\lambda T_\text{L}}{T_\text{L}}=(1-DC)\lambda\tag{753.1} $$ であると書いています。ここでの誤りは、不検出故障による不信頼度を $$ 1-e^{-(1-DC)\lambda T_\text{L}}\tag{753.2} $$ としたところです。本来の故障率$\lambda$が検出動作によりみかけの故障率$(1-DC)\lambda$になるので、時刻$T_\text{L}$までの不信頼度$F(T_\text{L})$における$\lambda$を$(1-DC)\lambda$で置き換えた(2)式となるように思われます。

しかしながらこれは誤りであり、以下に証明します。まず$t$における不検出不信頼度の正しい式を求めると、 $$ \begin{eqnarray} R(t)&=&\Pr\{\text{up at }t\}\\ \lambda dt&=&\Pr\{\text{failed in }(t, t+dt)|\text{up at }t\}\\ DC&=&\Pr\{\text{detected}|\text{failed in }(t, t+dt)\cap\text{up at }t\}\tag{753.3} \end{eqnarray} $$ これらより、微小時間間隔$(t, t+dt)$における不検出部分の故障確率は、 $$ \Pr\{\text{undetected}\cap\text{failed in }(t, t+dt)\cap\text{up at }t\}=(1-DC)R(t)\lambda dt=(1-DC)f(t)dt\tag{753.4} $$ よって、0から$t$まで積分すれば、$t$における不検出不信頼度は、 $$ \int_0^t(1-DC)f(s)ds=(1-DC)F(t)=(1-DC)(1-e^{-\lambda t})\tag{753.5} $$ であり、(2)のように $$ 1-e^{-(1-DC)\lambda t}\tag{753.6} $$ ではありません。ただし、$\lambda t\ll1$の場合にはいずれも同じ値$(1-DC)\lambda t$に近似されます。

ではどこが誤りかと言えば、 $$ \lambda'=(1-DC)\lambda\tag{753.7} $$ と置き換えると分かりますが、(4)において、$\lambda'$を用いれば、 $$ (4)=(1-DC)R(t)\lambda dt=\lambda'R(t)dt=\lambda'e^{-\lambda t}dt\tag{753.8} $$ (8)の右辺が$\lambda'e^{-\lambda' t}dt$であれば(6)が成立しますが、そうではないので成立しません。近似であると断ってから使用すればまだしも、この著者は安易にこの導出$\ddagger$を使用しているため注意が必要です。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.

$\ddagger$みかけの故障率が$(1-DC)\lambda$である場合に、$1-e^{-(1-DC)\lambda t}$となると誤解して不信頼度を導出すること


左矢前のブログ 次のブログ右矢

PUA関連論文Hokstad1997 (2)

posted by sakurai on March 12, 2024 #752

論文$\dagger$の続きです。

モデルDにおいては、 $$ I(t)=f(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ これは周期関数としては正しいですが、DC=100%として100%修理されていることに改善の余地があります本来は2nd SMによる検出可否に分解し、露出時間は検出可の部分は$\tau$とし、不可の部分は車両寿命とすべきです。検出可否を考慮に入れれば、 $$ q(t)=(1-K)f(t)+Kf(u), u=t\bmod \tau $$ となりPUDの一般式となります。

また、著者によるmean number of failure (cumulative intensity)は、 $$ \require{color} \definecolor{pink}{rgb}{1.0,0.8,1.0} M(t)=\colorbox{pink}{$i$}F(\tau)+F(t-i\tau),\ t\in(i\tau, (i+1)\tau), i=0, 1, 2, ... $$ となっており、初項の$iF(\tau)$に疑問があります。

初項の導出の理由を示す部分を見てみましょう。原文では$n$となっていますが$i$に変えたのは、我々は$n=\lfloor t/\tau\rfloor$として使用しているためです。

As a last feature of model D observe that the mean number of failures up to time $t$ equals
モデルDの最後の特徴として、時刻$t$までの平均故障数が次に等しいことがわかる $$ M(t) = n\cdot F(\tau)+F(t - n\cdot\tau),\ \text{for }n\tau \le t\lt(n + 1)\tau. $$ In each interval there is either one failure or no failure, and of course $M(\tau)=F(\tau)=1-R(\tau)$ equals the probability of having one failure in the interval. In particular $M(n\cdot\tau)=n\cdot F(\tau)$, which is the relation to be used for estimating $i_{\tau}$.
各区間には故障が1回あるかないかであり、当然$M( \tau)=F( \tau)=1-R( \tau)$ はその区間に故障が1回ある確率に等しい。特に、$M(n\cdot \tau)=n\cdot F(\tau)$は、$i_{\tau}$を推定するための関係式である。

一区間の故障確率は、$M(\tau)=F(\tau)$であるから、$i\tau$における故障確率は$M(i\tau)=iF(\tau)$だとこのとですが、論文の最後のせいか十分な検討無しに書いたように思われます。そもそも$M(t)$はunavailabilityであるため、1を超えることはないはずです。

検証のためにChatGPTにより$M(t)$をグラフ化すると、

図%%.1
図752.1 $M(t)=iF(\tau)+F(t-i\tau), i=\text{floor}(t/\tau)$

となり、明らかにおかしいです。$M(t)$は我々の記法によれば、PUAであり、 $$ Q(t)=(1-K)F(t)+KF(u), u=t\bmod \tau $$ と書くことができます。

本論文は、様々なモデルや関数の定義を与える良い論文ではあるものの、昔の論文のせいかグラフ図が手書きで不正確です。上記の誤りがあるだけでなく、PUAの一般式も求められていません。


$\dagger$ P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.


左矢前のブログ 次のブログ右矢

PUA関連論文Hokstad1997

posted by sakurai on March 11, 2024 #751

PUA関連論文シリーズ最後は以下の論文です。

P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

故障事象モデルの定式化に対する統一的なアプローチを示す。これは、修理可能なものと修理不可能なもの、予防保全と是正保全の両方を分析するための共通の枠組みを提供するものであり、休止故障のあるものにも適用できる。提案された手順は、一連のグラフによってサポートされ、それによって、固有の信頼性(すなわち、ハザード率)と保守・修理方針の両方の重要性を明らかにする。様々な故障強度の概念の定義/解釈は、このアプローチの基本である。したがって、これらの強度間の相互関係を検討し、それによってこれらの概念の明確化にも貢献する。これらの概念の中で最も基本的なものである故障強度過程は、計数過程(マーチンゲール)で使用されるものであり、その時点までの品目の履歴が与えられた時点tにおける故障率である。提案するアプローチは、いくつかの標準的な信頼性とメンテナンスのモデルを考えることによって説明される。

いろいろな不稼働度モデルが紹介されていますが、我々の関心があるのは定期検査を持つModel Dと呼ばれるモデルです。

Model D (休眠故障と定期的なテストを伴うアイテム)

一方、著者によれば、様々な確率過程は以下の定義となります。

関数名 関数 論文関数名 論文関数 我々の関数名 我々の関数
非修理系 reliability $R(t)$ 修理系 availability $A(t)$ availability $A(t)$
PDF (probability density function) $f(t)$ failure intensity,
mean intensity,
unconditional intensity,
ROCOF(Rate of OCcurrence Of Failure)
$I(t)$ PUD (point unavailability density) $q(t)$
CDF (cumulative distribution function) $F(t)$ mean number of failure,
cumulative intensity
$M(t)$ PUA (point unavailability) $Q(t)$
hazard rate $\lambda(t)$ conditional intensity $I_{up}(t)$ Veseley's failure rate $\lambda_v(t)$

Average intensity、もしくはAROCOF (Average Rate of OCcurrence Of Failure)は、 $$ i_\tau=\frac{1}{\tau}\int_0^\tau I(t)dt=\frac{1}{\tau}M(\tau) $$ 我々の定義では、$I(t)$は$q(t)$と、$M(t)$は$Q(t)$と定義します。元になる非修理系において一般的な記法であるPDF=$f(t)$、その積分であるCDF=$F(t)$を踏襲するなら$i$や$I$の大文字小文字は逆にして欲しかったところです。

我々は特に車両寿命間の平均PUDが知りたいため、PFHも同様の定義ですが、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime})=i_{T_\text{lifetime}} $$ が求めたい平均不稼働密度です。


左矢前のブログ 次のブログ右矢

PUA関連論文Sobral2016

posted by sakurai on March 8, 2024 #750

次は以下の論文です。

J. Sobral, L. Ferreira, “Availability of Fire Pumping Systems Under Periodic Inspection,” J. Build. Eng., vol. 8, pp 285–291, (Dec.) 2016.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

消防ポンプシステムは、住宅、商業施設、工業施設など、あらゆる建物の消火に使用されている。これらのシステムは、建物保護の目的で設置された手動または自動装置に必要な水流と圧力を供給する役割を担っている。従って、望ましくない火災が発生した場合に、その可用性を保証することは非常に重要である。本稿では、消防ポンプ設備が定期的な点検や試験を受けた場合の可用性に焦点を当てる。これらの検査や試験は、システムの挙動を観察し、コンポーネントやサブシステムの潜在的な隠れた故障を検出するために実施される。本論文で提案する方法論は、第一段階として、重要な機器の要求時に故障が発生する確率を分析し、この重要な段階の成功確率を分析することに焦点を当てている。また、消防ポンプシステムの望ましい可用性に対する点検・試験頻度の影響も示す。

適用分野はだいぶ異なりますが、論文の(2)式は瞬間不稼働度を求めるもので、

$$ Q(T)=\frac{1}{T}\int_0^Tq(t)dt $$ と書かれています。これは我々のPUAと同じで、その場合$q(t)$はPUDということになります。

以降では本論文がPMHFをどのように導出するかを見ていきます。

$$ Q(\tau)=\frac{1}{\tau}\int_0^\tau(\tau-t)f(t)dt=\frac{1}{\tau}\int_0^\tau F(t)dt $$ ここで、F(t)を導出しており、$\tau-t$はダウンタイム幅と解釈されますが、式が誤っているようです。本来$f(t)$を積分すると$F(t)$になるため、積分せずに$F(t)$となることは改善の余地がありそうです。ただしavailabilityとしてsawtooth波形を掲載しているのは正しいので、その後の議論がおかしくなっているようです。

式はこの程度しか掲載されておらず、著者はPUAの一般式を導出していません。従ってこの論文の分析はここまでです。


左矢前のブログ 次のブログ右矢

2月の検索結果

posted by sakurai on March 7, 2024 #749

弊社コンテンツの2月の検索結果です。

表749.1 上昇率上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) +40
ASILデコンポジション +29
SPFM, LFM, PMHFの計算法の例 +22

表749.2 パフォーマンス上位のページ
タイトル クリック数
1st Editionと2nd Editionとの相違点 (Part 10) 203
ASILデコンポジション 152
機能安全用語集 128

表749.3 上昇率上位のクエリ
クエリ クリック数
FTTI +27
ASILデコンポジション +10
FTTI FHTI 違い +10

表749.4 パフォーマンス上位のクエリ
クエリ クリック数
FTTI 84
PMHF 35
SPFM 28


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (4)

posted by sakurai on March 6, 2024 #748

論文$\dagger$の続きです。

4.3 Unavailability Approach

ISO 26262は修理が前提であるため、不信頼度ではなく4.3の修理を考慮した不稼働度が正しいアプローチです。著者は論文(9)式において $$ M_\text{PMHF}=\frac{F(T_\text{DIAG})}{T_\text{L}}=\frac{(1-e^{-\lambda T_\text{DIAG}})}{T_\text{L}} $$ のように検出部分のみを考慮しています。これが検出部分のみというのは露出時間が$T_\text{DIAG}$ということで分かります。不検出部分を考慮すれば露出時間は$T_\text{L}$が関係するからです。そのため、本来は検出部分だけでなく不検出の部分の$(1-DC)F(T_\text{L})$も加わるはずです。DC=100%という前提であることは原文からもわかります。

Even if the cyclisation is taken into account, the DC is not, and it is assumed to be DC = 100 %.

一方でRFでは残余部分である(1-DC)を考えているのでDC=100%という前提は改善が必要な前提だと言えます。

さらに一周期分の不稼働度を車両寿命で割ることにも改善の余地があります。本来車両寿命間には検査周期が$n=T_\text{L}/T_\text{DIAG}$個あるはずなので、上式$F(T_\text{DIAG})/T_\text{L}$を$n$倍するべきです。

どうしてこの式になったのかは不明ですが、修理されたものは二度と故障しないという仮定なのでしょうか? 修理され良品となっても次の検査サイクルで故障する可能性はあります。従って、毎サイクルで不信頼度は$F(T_\text{DIAG})$となるため全周期分を車両寿命で割るべきです。

そもそも本論文の目的は、SPF/RFにおいても離散的な検査を考慮し、みかけのPMHFを引き下げることでFHTI$\ge$FTTIとなるようなサブシステムについてもOKとしたいということのようです。しかしながら、前述のように本来FHTI$\ge$FTTIという時点でDCをクレームできない(すなわちDC=0)というのがISO 26262的な観点であるため、PMHFは引き下げるどころか引き上げられます

従って、上記の数々の枝葉の問題以前に根本が破綻していると言えます。せっかくCyclisationを考慮するのなら2nd SMについての検討が望まれます。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (3)

posted by sakurai on March 5, 2024 #747

論文$\dagger$の続きです。

Section 3まで前置きがあり、Section 4から各種アプローチの紹介があります。

4.1 ISO 26262 Approach

この著者は、ISO 26262ではSMについて周期的な検査は仮定していないから(それは正しい)、SPF/RFについては論文(7)式において $$ M_\text{PMHF}=\frac{F(T_\text{L})}{T_\text{L}}=\frac{1-e^{-(1-DC)\lambda T_\text{L}}}{T_\text{L}}\approx\frac{(1-DC)\lambda T_\text{L}}{T_\text{L}}=(1-DC)\lambda $$ であると書いています。ちなみに原文は以下のとおりです。

This approach is only valid for continuous safety measures with FHTI$\le$FTTI; no cyclisation is taken into account.

この考えの問題点は1st SMと2nd SMを区別していないところです。本来は2nd SMはこれに当てはまりません。

そもそもISO 26262自体の記述も偏っており、Part 10 8.4において、2つの事象を扱っています。まずSPF事象では当然修理は起きないので、$F(T_\text{L})/T_\text{L}$となるのは正しいのですが、次のDPF事象において、冗長系でかつ2nd SMの無い系について数学的なモデルを示しています。 「露出時間を考慮に入れる必要がある」と言いながら、2nd SMが無いため露出時間は常に車両寿命です。そのため修理時間は全く例に出てきません。これらの理由により1st SMの修理という事象がほとんどの論文で無視されているようです。

図%%.1
図747.1 Part 10のパターン分解

ところが図747.1に示すように、Part 10ではパターン2でSM1のフォールトが修理され、パターン4でIFのフォールトが修理されるという記述があります。どちらも露出時間は$T_\text{service}$です。

従って著者のISO 26262は非修理が前提という認識には改善の余地があります。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢

PUA関連論文Köhler2021 (2)

posted by sakurai on March 4, 2024 #746

論文$\dagger$の続きです。

Generally speaking: Safety measures, which are under influence of cyclisation, potentially violate the criteria FHTI ≤ FTTI. (略) In order to change that, a novel approach for safety validation process of safety measures with FHTI ≥ FTTI is described in this paper.
一般的に言えば、サイクル化の影響を受ける安全対策は、FHTI ≤ FTTI の基準に違反する可能性がある。(略)これを変更するために、本論文では、FHTI≥FTTIを持つ安全対策の安全性検証プロセスに対する新しいアプローチについて述べる。

これで分かることは、安全機構の周期的な検査はMPFDIではなく、FTTIの話のようです。つまり1st SMが議論の対象となります。

本来、規格の観点からFHTI$\ge$FTTIなる違反は認められませんが、これに違反するFHTIを持つSMを救う話のようです。しかしながら、FHTI$\ge$FTTIの違反の段階で当該SMのDCはゼロと見なされるため、そのSMは無いも同然と考えるべきです。

話を戻すと、本論文において周期的な検査機構を持つのは1st SMです。ということは、定期点検修理を行う2nd SMを前提とする我々のPMHFの議論とは全く異なる議論であると判断します。

さらに、最も問題となる部分が以下の仮定です。

For this paper investigations and all related approaches, the boundary conditions are:
• all faults are random hardware faults (not systematic),
• scope of the safety measure are RFs and dormant SPFs,
• the system is non-repairable with λ = const.,
• the PMHF corresponds to the probability of failure F(t).
本論文の調査および関連するすべてのアプローチにおいて、境界条件は以下の通りである:
- 欠陥はすべてランダムなハードウェア欠陥である(系統的ではない)、
- 安全対策の範囲はRFと休止状態のSPFである、
- システムはλ = const.で修復不可能である、
- PMHF は故障確率 F(t)に対応する。

ほとんど全ての論文がPart 10に修理の話が書かれているのを見過ごしていますが、ISO 26262の前提によれば、少なくともSMは1st editionから修理可能です。


$\dagger$A. Köhler and B. Bertsche, “Cyclisation of Safety Diagnoses: Influence on the Evaluation of Fault Metrics,” 2021 Anuu. Rel. Maint. Symp. (RAMS), pp 1–7, Orlando, FL, USA, (Jan.) 2021.


左矢前のブログ 次のブログ右矢


ページ: