16 |
レイテントフォールトの奥深さ (3) |
前項の矛盾解消案を示します。
. 主機能フォールトは100%検出され(修理されない)ため、レイテントにならないとの立場
この矛盾点は解消できない。
主機能フォールトは100%検出され修理されるため、レイテントにならないとの立場
この矛盾点は主機能も修理系であると変更する。主機能フォールトは、100%検出されてもレイテントになるとの立場
この矛盾点は1.と同様LFとなるため、矛盾は解消できない。
条件1及び3はどうしても矛盾が解消できないため、極端な条件
「車両に修理人及び全ての故障に対応可能なスペアパーツを搭載している」
という条件を設け、条件2.の矛盾を解消しました。
従って2.の矛盾解消はいわばIFはMPFフォールトしないという仮定です。これを現実的にするためにありうるシナリオを考えたのがRAMS 2022論文です。それは以下のような仮定です。
- IFが運転中にフォールトする。MPF detectedなので車両はFTTI中に安全状態に移行する。
- IFがフォールトしているため、IFが冗長構成でない限り運転の継続は不可能。すなわち時間経過は無い=露出時間はゼロとみなされる。
- 通常は速やかに(年単位放置でも構わないが)修理工場に運ばれるが、E/Eシステムは修理まで電源オフであるため、再故障しない。すなわち時間経過は無い=露出時間はゼロとみなされる。
- 修理中はE/Eシステムは電源オフである。すなわち時間経過は無い=露出時間はゼロとみなされる。
- 修理完了後にAs good as newとして運用される。
このシナリオによれば、
- IFのフォールト中の期間はFTTIを例外として露出時間はゼロであり、新品に交換された後に時間が経過する。
- よって、車両に実際に修理人とスペアパーツを搭載して運用しなくても、それと同等と見なすことが可能。
- 例外的なFTTI中のSMのフォールトは同時故障確率がゼロであることからゼロとみなす。
さて、上記からIFが(detectedの場合は)MPFフォールトしない前提であるため、PMHFのSPF/RF項だけが残り、IFの先故障によるDPF項はゼロとなります。従って、PMHFのDPF項は$\frac 1 2$が残ることになります。結論として1st edition/2nd editionのDPFの$\frac 1 2$は、SM1の先故障によるDPF確率だけをカウントするという意味で正しかったわけです。
一方で、1st editionのうち「故障順序によらない」場合の式は"MPF,detected"を加えている点で$\frac 1 2$が無いことから誤っています。2倍である理由は、DPFに関してSM1の先故障とIFの先故障の2つの場合を加えているためであり、上記のとおり、IFの先故障はカウントせずSM1の先故障のみをカウントするのが正解です。