Posts Issued on September 4, 2020

posted by sakurai on September 4, 2020 #309

第2版でのPMHF式の改訂

ISO 26262第2版になり、PMHF式が改訂されました。第1版にはなかったパターン3,4が加わった理由は、例えば冗長システムのように、IFのフォールトがレイテントになる場合を考慮したものだと認識していました。このたび「ISO 26262第2版解説書」(日本規格協会)を購入し、その背景等の情報が掲載されていたため、検討します。

さて、上記解説書によれば、パターン3, 4が加わった理由は、「フォールトトレラントが要求されるアイテムの場合では、それ以外の順序、状況も想定できる」とあります。それ、というのは第1版の前提の意味であり、「安全機構、意図した機能の順でフォールトが発生する場合」とあります。すなわち、それ以外というのは、意図機能(IF)、安全機構(SM)の順番でフォールトが発生する場合であり、IFのフォールトがレイテントとなる場合に他なりません。これは弊社論文で2017年に指摘していたとおり、初版のPMHF式は冗長システムに対応していなかったことを裏書きします。

解説書には、今まで謎だったPMHF式の導出過程が載っていたので、それを解析します。

パターン1

図309.1は、第1版にも存在した、パターン1=「安全機構、意図した機能の順でフォールトが発生する場合で安全機構のフォールトが検出されない場合」です。

図%%.1
図309.1 パターン1

パターン1の導出過程を、記法を弊社と合わせたものを示します。弊社では先に$T_\text{lifetime}$で割るため、 $$ \frac{1}{T_\text{lifetime}}F_\mathrm{DPF,SM_\text{latent}\rightarrow IF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}}\left((1-K_\text{SM,MPF})f_\text{SM}(t)\\ \cdot\int_t^{T_\text{lifetime}}K_\text{IF,DPF}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\right)dt \tag{309.1} $$ そもそもこの式の成立に問題がありそうですが、それはさておき、式変形を辿ってみます。まず、(309.1)においてIFに関する演算を先に実行すれば、 $$ \require{cancel} \int_t^{T_\text{lifetime}}K_\text{IF,DPF}f_\text{IF}(t')dt'\cdot R_\text{IF}(t)\\ =K_\text{IF,DPF}\left(F_\text{IF}(T_\text{lifetime})-F_\text{IF}(t)\right) R_\text{IF}(t)\\ =K_\text{IF,DPF}\left((\bcancel{1}-e^{-\lambda_\text{IF}T_\text{lifetime}})-(\bcancel{1}-e^{-\lambda_\text{IF}t})\right)e^{-\lambda_\text{IF}t}\\ \approx\lambda_\text{IF,DPF}(T_\text{lifetime}-t)(1-\lambda_\text{IF}t) \tag{309.2} $$ (309.2)を(309.1)に代入して、 $$ \frac{1}{T_\text{lifetime}}F_\mathrm{DPF,SM_\text{latent}\rightarrow IF}\\ =\frac{1}{T_\text{lifetime}}(1-K_\text{SM,MPF})\int_0^{T_\text{lifetime}}f_\text{SM}(t)\lambda_\text{IF,DPF}(T_\text{lifetime}-t)(1-\lambda_\text{IF}t)dt \tag{309.3} $$ これと図309.1の2行目を比較すると、なぜか、 $$ \int_0^{T_\text{lifetime}}\color{red}{f_\text{SM}(t)}dt=\int_0^{T_\text{lifetime}}\color{red}{\lambda_\text{SM}}dt $$ と式変形しているようです(疑問1)。左辺の$f_\text{SM}(t)$に$R_\text{SM}(t)$をかければこうなりますが、$R_\text{SM}(t)$は式中に存在しないので、単純な計算ミスでしょうか?そうでなく、無理やり$R_\text{SM}(t)\approx1$を用いたと考えても、一方で$R_\text{IF}(t)$を計算しているのは片手落ちです。

【追記】 このようなことかもしれません。 $$ \int_0^{T_\text{lifetime}}f(t)dt=\left[F(t)\right]^{T_\text{lifetime}}_0=F(T_\text{lifetime})-F(0)=F(T_\text{lifetime})\\ =1-e^{-\lambda T_\text{lifetime}}\approx\lambda T_\text{lifetime}=\int_0^{T_\text{lifetime}}\lambda dt=\lambda\int_0^{T_\text{lifetime}}dt $$ $f(t)$の積分は$\lambda$として外に出せるという公式となります。上式の$R_\text{IF}(t)$にしても、式変形途中では$1-\lambda_\text{IF}t$としていますが、最終的に$R_\text{IF}(t)\approx1$としています。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢