18 |
Point unavailability $Q(t)$ (2) |
本論文中には様々なPMHF導出のアプローチを紹介していますが、その中で4.3 Unavailability Approachという章があります。弊社ではまさにこのUnavailabilityに注目してPMHFを導出しています。
Unreliabilityすなわち$F(t)$で表す不信頼度が時刻$t$までに故障せず、$t$において初めて故障する確率を表すのに対して、Unavailabilityすなわち$Q(t)$で表す不稼働度は、時刻$t$における不稼働率を示します。まず稼働率は以下の式で表されます。
稼働率=(時刻$t$までに故障しなかった確率) または (時刻$x$までに故障したが、時刻$x$で修理され、かつ時刻$t$までに故障しなかった確率)
これを数式で書けば、稼働率は
$$A(t)=R(t)+\int_0^t m(x)R(t-x)dx$$
と表されます。一方、不稼働率は1から稼働率を引いた確率であるため、
$$Q(t)=F(t)-\int_0^t m(x)R(t-x)dx$$
と表されます。不稼働率は$t$までに故障した確率から修理分だけ少なくなります。
端的に言えば、$F(t)$は非修理系サブシステムに用いられ、$Q(t)$は修理系サブシステムに用いられます。ここでサブシステムとは主機能(IF)に何らかの1st SMあるいは2nd SMが組み合わされているサブシステムです。
上記論文の2.2には、
2.2 Failure Distribution Function
Random hardware faults of E/E systems are determined according to the exponential distribution. According to ISO 26262 these systems are non-repairable. Thereby the failure rate $\lambda$ is considered as constant [7].
(日本語訳)
2.2 故障分布関数
E/Eシステムのランダムハードウェア故障は指数分布に従って決定される。ISO 26262によると、これらのシステムは修復不可能である。したがって、故障率$\lambda$は一定とみなされる[7]。
とありますが、ISO 26262は修理系が前提であるため明らかに誤りです。さらに、システムは修復不可能であるから故障率$\lambda$が一定とみなされるような記述がありますが、そうではなく、指数分布だから故障率$\lambda$が一定なのです。
さらに、論文の4.3にも
4.3 Unavailability Approach
The PMHF value will be low in comparison to the ISO 26262 approach and can vary by several orders of magnitude. As described in section 3.2, the modeling of RFs and dormant SPFs has to be done according to F(t), not Q(t). For this reason, this approach is not valid.
(日本語訳)
4.3 不稼働率アプローチ
PMHFの値はISO 26262のアプローチと比較すると低く、数桁異なる可能性がある。3.2節で述べたように、RFと休止SPFのモデリングはQ(t)ではなくF(t)に従って行われなければならない。このため、このアプローチは有効ではない。
と記載されていますが、これも逆です。ISO 26262は修理系が前提であるため、$F(t)$ではなく$Q(t)$を用いなければなりません。
この論文だけでなく、他のほとんどの論文がここを誤っていますが、それにはいくつか理由があります。規格初版に導出過程があまり書かれていなかったこともありますが、第2版にはPart 10 8.4に導出過程が記載されているものの、却って誤解を受けそうな記述があります。
The following shows the derivation of the average probability of failure per hour over the operational lifetime of the item regarding single point faults.
(日本語訳)
以下は、一点故障に関するアイテムの運転寿命期間中の時間当たりの平均故障確率の導出を示す。
この後にPMHFの導出過程が続きます。この中でPMFHは$F(t)$で表されるとあります。これはDPFを無視していることを意味します。LFを無視しており、つまり修理を無視しています。
本文中に"regarding single point faults"とあるので、単一故障でVSGとなる場合について述べており修理を無視して良いのですが、これが数式の前提だという誤解の元になります。しかしながら規格には明示されているので、これは規格の問題ではありません。
誤解されないようにDPFの場合の導出を明示するほうが良いのですが、規格には書かれてないため、弊社論文を参照するしかありません。