2 |
PMHF導出法の変更 |
動機
長い間MPF detectedの扱いに疑問が潜在していました。弊社では、MPF detectedは結局修理されないので、いつの日か2つ目のSMのフォールトによりDPFとなると考えます。従って、MPF detectedは結局MPF latent (=LF)となるとした上でPMHF式を導出しています。しかしながら、この考え方には、次の2点の問題があります。
- 規格のフォールト分類フローでは、MPF detectedとMPF latentが分離されているにも関わらず、弊社ではどちらもMPF latentと扱っているため、規格のフォールト分類と矛盾する。
- 規格LFMの計算式にMPF detectedが入っていない。これは、規格はMPF detectedは安全側だと考えているためだと推測されるが、弊社では上記の理由から危険側としている。
そこで、これらを満足する方法を検討します。最初の論文で導入された、SM1による検出率を意味する次の条件付き確率$K_\text{det}$を、ここで再び使用します。 $$ K_\text{det}:=\Pr\{\text{Fault detected}\ |\ \text{Fault prevented}\}\tag{355.1} $$
これはFMCというよりも、アーキテクチャ的に次のように0または1の値をとります。
- 検出系(非冗長系):1st SMはIFのフォールトを検出することによりVSG抑止を行う場合。この場合は検出するから抑止されるのであり、抑止される部分に対する検出される割合は100%です。すなわち$K_\text{det}=1$となります。
- 冗長系:1st SMはIFの代替機能を持つことによりVSG抑止を行う場合。この場合はVSG抑止はしますが、1st SMは一切検出を行いません。従って、抑止される部分の検出される割合は0%です。すなわち$K_\text{det}=0$となります。また、両チャネルが同時にフォールトすることは無いため、VSG抑止率は100%、すなわち$K_\text{IF,RF}=1$となります。
さて、MPF detectedの考え方ですが、主機能のVSGが抑止されているので、運転はできないかもしれないものの、とりあえず安全状態は保たれます。従ってSPFもDPFも発生しません。しかるべき時間後に(レッカー車で)修理工場へ持っていき、修理が行われ、その後に運転が継続できると考えます。
主機能は動作しないので、通電はされず、運転時間は増大しません。従って、故障から修理までの時間は無視することができるので、1st SMにより検出された故障は瞬間的に修理された=故障が起きなかったのと等価です。
やや無理がある解釈の感がありますが、今回このように仮定してPMHF式の導出を進めることにします。 ブログ記事#361に続きます。
RAMS 2022においてMPF detectedの再考に基づくPMHF式の論文発表が終了したため、秘匿部分を開示します。