Loading [MathJax]/jax/element/mml/optable/GeometricShapes.js

Posts Issued in June, 2022

確率コントリビューション (5)

posted by sakurai on June 27, 2022 #490

過剰確率の調整

しかしながら前稿の注※確率調整で示すように、ユニオンエレメントに関して解いて得られたPMHF(488.6)は余分な場合を2パターン含みます。余分な場合とはユニオンが2回フォールトする時、

 ①IFのフォールトに引き続いてIFがフォールトする
 ②SM1のフォールトに引き続いてSM1がフォールトする

となる場合が含まれるため、そのPMHFを差し引く必要があるからです。

すると、①のPMHFは(489.5)であり、 MPMHF,DPF,IF⇒IFKIF,RF2λ2IF[(1KDPF)Tlifetime+KDPFτ] また②のPMHFも同様に(489.8)であるため、 MPMHF,DPF,SM⇒SMKIF,RF2λ2SM[(1KDPF)Tlifetime+KDPFτ] 従って、PMHFのDPF部分は、(488.6)から(490.1)及び(490.2)を差し引いて、 MPMHF,DPF=MPMHF,DPF,IFSMMPMHF,DPF,IF⇒IFMPMHF,DPF,SM⇒SM[(λIF+λSM)2λ2IFλ2SM]KIF,RF2[(1KDPF)Tlifetime+KDPFτ]KIF,RFλIFλSM[(1KDPF)Tlifetime+KDPFτ] これは過去記事で求めた、(222.9)のPMHF値のDPF項と完全に一致します。このように、得られた方程式に対して別の角度から整合性のある解釈ができることは、大変に面白いだけでなく方程式の妥当性を裏付けるものと考えます。

また、確率コントリビューションの考えから1st editionの式を出発点として、2nd editionの式ではなく、2020年論文の式が導出されることも大変興味深い事実です。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

確率コントリビューション (4)

posted by sakurai on June 24, 2022 #489

IFとSMのユニオンエレメントIFSMを考えます。PMHFのDPFに関する第1確率コントリビューションは、 Pc1R{(IFSM) up/down}: となり、第2確率コントリビューションは、 Pc2U{(IFSM) down}:=KIF,RF(λIF+λSM)Tlifetime と定義されます。これらの積からDPFのPMHFを作成したいのですが、問題は以下の2つのケースを除く必要があることです。

 ①IFのフォールトに引き続いてIFのフォールト、及び、
 ②SM1のフォールトに引き続いてSM1のフォールト

理由は、同じエレメントの引き続くフォールトではDPFとならないからです。それぞれの確率コントリビューションのマルコフ図は、

図%%.1
図489.1 IF⇒IFの場合

図489.1において、OPRLATOPRを繰り返している間はIFSM、すなわちIFかSMかのいずれかのフォールトが起きますが、LATDPFの遷移の場合のみ、IFがダウンしている場合にIFのフォールトが起きる事象です。

従って、合成エレメントの第1確率コントリビューションのPc1RIFSMの最後の状態において、IFSMの不信頼度のところを、IFのみの不信頼度に減らす必要があります。他方、第2確率コントリビューションのPc2Uは、エレメントはIFのみとすれば良いわけです。従って、減少分も含めた第1確率コントリビューションは、時刻tで第2フォールトが起きるとして、 Pc1R{(IFSM) up/down}QIF(t)QIFSM(t)Pc1R{(IFSM) up/down}FIF(t)FIFSM(t)(λIF+λSM)[(1KDPF)Tlifetime+KDPFτ]λIFtλIFt+λSMt=(λIF+λSM)[(1KDPF)Tlifetime+KDPFτ]λIFλIF+λSM=λIF[(1KDPF)Tlifetime+KDPFτ] となり、第2確率コントリビューションはIFのみなので、 Pc2U{IF down}=KIF,RFλIFTlifetime となります。従って、これらをかけ合わせれば除外するPMHFは、 MPMHF,DPF,IF⇒IF=KIF,RF2λ2IF[(1KDPF)Tlifetime+KDPFτ] となります。

全く同様に、SM⇒SMに関する確率コントリビューションのマルコフ図は、

図%%.2
図489.2 SM⇒SMの場合

同様に、減少分も含めた第1確率コントリビューションは、 Pc1R{(IFSM) up/down}QSM(t)QIFSM(t)λSM[(1KDPF)Tlifetime+KDPFτ] となり、第2確率コントリビューションはSMのみなので、 Pc2U{SM down}=KIF,RFλSMTlifetime となります。従って、これらをかけ合わせれば除外するPMHFは、 MPMHF,DPF,SM⇒SM=KIF,RF2λ2SM[(1KDPF)Tlifetime+KDPFτ] となります。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

確率コントリビューション (3)

posted by sakurai on June 23, 2022 #488

IFとSM1のユニオン

ここまでは1st editionと同様、IFUモデル、つまりSM1がリペアラブル、IFがアンリペアラブルでした。ここからは2nd editionに対応するべく、IFRモデル、つまりSM1もIFもリペアラブルで考えます。

ここで、IFとSM1のユニオンのIFSMを考えます。2つのユニオンと見ると、1回のダウンでは不稼働にならず、2回ダウンして初めて不稼働となります。図488.1で考えるとLAT状態ではIFもSM1もリペアラブルですが、リペアされないうちに再度フォールトが起きるとDPFに移行します。従って、最初のIFSMのフォールトはリペアラブル、2番目のIFSMのフォールトはアンリペアラブルです。

図%%.1
図488.1 IFとSM1のユニオンのマルコフ連鎖

これにより、SM1とIFの両方がリペアラブルであっても、e1⇒IFSM、e2⇒IFSMと置き換えることによりIFUモデルのCTMCを用いることができます。※確率調整:ただし、最後のIFの次にIFのフォールトと、SMの次にSMのフォールトでDPFになる場合は除く必要があります。

ユニオンの第1確率コントリビューション

まずユニオンエレメントの故障率を計算します。ユニオンエレメントの故障率は、 λIFSM=λIF+λSM となります。証明は過去記事#484で記載しています。

次に、ユニオンに対する見逃し率は、IFに対する2nd SMとSMに対する2nd SMの両方が見逃す率であるため、過去記事#485で証明したとおり(488.3)は Pr{¯(IFSM) detected}=(1KIF,DPF)(1KSM,DPF) となります。これよりユニオンに対する検出率KDPFは、 KDPF:=Pr{(IFSM) detected}=1(1KIF,DPF)(1KSM,DPF)=KIF,DPF+KSM,DPFKIF,DPFKSM,DPF となります。これらにより、第1確率コントリビューションは(488.5)においてe1IFSMと置き換えた後(488.1)、(488.3)を用いて Pc1R{(IFSM) up/down}=λ(IFSM)[Pr{¯(IFSM) detected}Tlifetime+Pr{(IFSM) detected}τ]=(λIF+λSM)[(1KDPF)Tlifetime+KDPFτ] となります。

ユニオンの第2確率コントリビューション

第2確率コントリビューションは(488.5)においてe2IFSMと置き換えた後(488.1)を用いて、 Pc2U{(IFSM) down}=Pr{(IFSM) prevented}λ(IFSM)Tlifetime=K(IFSM),RFλ(IFSM)Tlifetime=KIF,RF(λIF+λSM)Tlifetime SM1にはSPFもRFも無いことを用いています。

PMHF計算

以上から、(488.2)は(488.4)及び(488.5)の積を用いて、 MPMHF,DPF,IFSM=12TlifetimePc1R{(IFSM) up/down}Pc2U{(IFSM) down}=12Tlifetime(λIF+λSM)[(1KDPF)Tlifetime+KDPFτ]KIF,RF(λIF+λSM)Tlifetime=KIF,RF2(λIF+λSM)2[(1KDPF)Tlifetime+KDPFτ] となりそうですが、上記※確率調整を考慮する必要があります。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

確率コントリビューション (2)

posted by sakurai on June 22, 2022 #487

最初にSM1に、次にIFにフォールトが起きた場合

図487.2にIFUモデルのCTMCを示します。IFUモデルは最初のSM1のフォールトがリペアラブル、2番目のIFのフォールトがアンリペアラブルです。※便宜上「最初」と「2番目」と記述しましたが、厳密には「最後から2番目」と「最後」です。

図%%.1
図487.1 IFUモデルのマルコフ連鎖

CTMCによるPMHFの導出

(1st Editionの)規格第1式のPMHF式のDPF項の導出は以下の(487.1)のとおり、遷移確率と状態確率を掛けた確率微分方程式を車両寿命間で積分することにより導出します。 MPMHF,DPF=¯qDPF,IFU=1TlifetimePr{DPF at Tlifetime}=1TlifetimeTlifetime0Pr{LATat tIFU down in (t,t+dt]IF preventable}=1TlifetimeTlifetime0Pr{IFU down in (t,t+dt] | LAT at t}    Pr{LATat t}Pr{IF preventable}=KIF,RFTlifetimeTlifetime0QSM(t)RIF(t)λIFdt=KIF,RFTlifetimeTlifetime0[(1KSM,DPF)FSM(t)+KSM,DPFFSM(tmodτ)]fIF(t)dt,12KIF,RFλIFλSM[(1KSM,DPF)Tlifetime+KSM,DPFτ] となります。これには弊社の積分公式を用いています。このPMHF式は1st editionのPMHF第1式と完全に一致します。

PMHFを第1、第2確率コントリビューションに分解

このPMHFをIFとSM1の第1及び第2確率コントリビューションに分解します。第1及び第2確率コントリビューションPc1R及びPc2Uは確率ではありませんが、掛け合わせてPMHFに貢献する要素です。

SM1をe1: repairable 1st fault elementと置き、IFをe2: unrepairable 2nd fault elementと置けば(487.1)は、 MPMHF,DPF=12TlifetimePc1R{e1 up/down}Pc2U{e2 down}=12Tlifetimeλe1[(1Ke1,DPF)Tlifetime+Ke1,DPFτ]Ke2,RFλe2Tlifetime と書けます。確率コントリビューションは単独では意味を持たず、(487.2)のDPF積の場合にのみ使用します。

ここで、(487.2)において、Ke1,DPFはe1のLF検出率であり、それぞれ、 {1Ke1,DPF=Pr{¯e1 detected}Ke1,DPF=Pr{e1 detected} と書けます。また(487.2)において、Ke2,RFは、e2のVSG prevented確率であるため、 Ke2,RF=Pr{e2 prevented} と書けます。

よってe1e2の確率コントリビューションは、第1と第2がそれぞれ、 {Pc1R{e1 up/down}:=λe1(Pr{¯e1 detected}Tlifetime+Pr{e1 detected}τ)Pc2U{e2 down}:=Pr{e2 prevented}λe2Tlifetime と定義されます。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

確率コントリビューション

posted by sakurai on June 21, 2022 #486

弊社の考えるPMHF式について、再度DPFについて考察します。

2nd Editionから引用したシステムアーキテクチャ図を図486.1に示します。IFがVSGとなるのを抑止する(抑止確率KIF,RF)のと同時に、IFがレイテントとなるのを抑止する(抑止確率KIF,DPF)SM1が存在します。また、SM1がレイテントとなるのを抑止する(抑止確率KSM,DPF)SM2が存在します。

図%%.1
図486.1 System Architectural Design of the example

このモデルには一点問題があります。それは、冗長の場合、すなわち、IFとSM1が同機能である場合はSM2の存在が曖昧になることです。SM1の機能はIFのVSG抑止(1st SMの機能)及びLF抑止(2nd SMの機能)となっているのに対して、SM2はSM1に対するLF抑止(2nd SMの機能)です。

問題になるのはLATの場合です。これはSM1にフォールトが起きた場合に到達する状態ですが、この際に問題はIFに対する1st SMの機能喪失は当然として、2nd SM機能まで喪失するか否かです。

  • 喪失する場合 --- おそらく2nd editionの想定はこのようですが、この場合はLATに来た時刻により、LATの状態確率が変わってくるため、マルコフ性が成立しません。マルコフ性が成立しない場合の確率積分は非常に難しくなり解けないと言われています。
  • 喪失しない場合 --- LATの状態確率は来た時刻に依存しないため、マルコフ性が成立します。

そもそも1st SMと2nd SMが別エレメントと考えると2nd SMは故障しないという定理から、2番目が良いと考えられます。

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

合成カバレージの証明

posted by sakurai on June 20, 2022 #485

IFとSMのそれぞれがお互いのレイテントフォールトカバレージを持つとして、KIF,DPF及びKSM,DPFで表します。前記事で記載したように、 {KIF,DPF=Pr{IF detectable}KSM,DPF=Pr{SM detectable}

ここで、IFとSMの合体エレメントIFSMを考えると、合体エレメントのレイテントカバレージKDPFは、IFに対してはSM、SMに対してはIFのカバレージです。従って、合体エレメントが単一フォールトしても、IFのフォールトの場合はSMのカバレージ、SMのフォールトの場合はIFのカバレージとなり、合体カバレージは一切棄損しません。よって、 Pr{(IFSM) detectable}=Pr{IF detectableSM detectable}=Pr{IF detectable}+Pr{SM detectable}Pr{IF detectable}Pr{SM detectable}=KIF,DPF+KSM,DPFKIF,DPFKSM,DPFKDPF 反対に、 Pr{¯(IFSM) detectable}=Pr{¯IF detectable¯SM detectable}=(1Pr{IF detectable})(1Pr{SM detectable})=(1KIF,DPF)(1KSM,DPF)=1KDPF

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 17, 2022 #484

IFとSMのユニオンエレメントIFSMを考えます。ユニオンエレメントの故障率は、(484.1)のようにそれぞれの故障率の和になります。 λIFSM=λIF+λSM 以降では(484.1)を証明します。まず故障率の定義式から、 λIFSM=Pr{(IFSM) down in (t,t+dt] | (IFSM) up at t} となります。ここで、故障率とは「ユニオンエレメントがtの直前までupで次の瞬間のdt間にdownすること」なので、ユニオンをIFとSMに分解して考えれば、直前のup条件はIFとSMのであり、次の瞬間のdown条件はIFとSMのとなります。

これを用いれば(484.2)は、 (484.2)=Pr{IF down in (t,t+dt]SM down in (t,t+dt] |IF up at tSM up at t} となります。ここで条件付き確率の公式 Pr{A | B}=Pr{AB}Pr{B} を用いれば、

(AB of 484.3)=Pr{(IF down in (t,t+dt]IF up at tSM up at t)(SM down in (t,t+dt]IF up at tSM up at t)}

さらに、和積の公式 Pr{CD}=Pr{C}+Pr{D}Pr{CD}Pr{C}+Pr{D}s.t.Pr{CD}0 を用いれば、IFとSMのフォールトは独立事象であることも用いて、

(484.5)=Pr{IF down in (t,t+dt]IF up at t}Pr{SM up at t}+Pr{SM down in (t,t+dt]SM up at t}Pr{IF up at t}

さらに、 (B of 484.3)=Pr{IF up at t}Pr{SM up at t} であるから、

\require{cancel} (484.3)=\frac{(484.7)}{(484.8)}=\frac{\Pr\{\text{IF down in }(t, t+dt]\cap\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}{\Pr\{\text{IF up at }t\}\bcancel{\Pr\{\text{SM up at }t\}}}\\ +\frac{\Pr\{\text{SM down in }(t, t+dt]\cap\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}{\Pr\{\text{SM up at }t\}\bcancel{\Pr\{\text{IF up at }t\}}}\\ =\Pr\{\text{IF down in }(t, t+dt]\ |\ \text{IF up at }t\}+\Pr\{\text{SM down in }(t, t+dt]\ |\ \text{SM up at }t\}\\ =\lambda_\text{IF}+\lambda_\text{SM}\hspace{100pt}■ \tag{484.9}

なお、本稿はRAMS 2023に投稿中のため一部を秘匿していますが、論文公開後の2023年2月頃に開示予定です。RAMS 2023が終了したため、秘匿部分を開示します。


左矢前のブログ 次のブログ右矢

posted by sakurai on June 13, 2022 #483

前稿でご紹介した、2023年1月26日からフロリダ州オーランドのホテル・カンファレンスセンターで開催される予定のRAMS 2023(69th Annual Reliability and Maintainability Symposium)に、弊社代表が投稿した論文のアブストラクトが採択されたとの連絡が届きました。まだアブストラクトの採択ですが、正式採択されれば4年連続採択となります。正式採択に向け、8月の締め切りまでに論文をブラッシュアップしていくことになります。

表483.1はRAMS 2023正式採択までのマイルストーンであり、今後適宜更新します。

表483.1 RAMS 2023へのマイルストーン
年月日 マイルストーン 状態
2022/8/1 論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/? 学会出席登録締め切り
2022/9/1 第1回論文、プレゼン資料査読コメント受領
2022/?/? 改訂版論文、プレゼン投稿締め切り(名前、所属無し版)
2022/?/? 最終査読コメント受領
2022/10/10 最終論文、プレゼン投稿締め切り(名前、所属有り版)


左矢前のブログ 次のブログ右矢

RAMS 2023

posted by sakurai on June 10, 2022 #482

来年のRAMS 2023の日程が、2023/1/23~26と発表されました。場所はフロリダ州オーランドのフロリダホテル・カンファレンスセンターです。弊社は今年もアブストラクトを提出済みです。アブストラクトの採択の発表は例年どおり、6月初旬とのことです。

図%%.1
図482.1 RAMS 2023

左矢前のブログ 次のブログ右矢

規格第2版のPMHF式の疑問 (17)

posted by sakurai on June 9, 2022 #481

ISO 26262規格の疑問

そもそも論ですが、ISO 26262規格第2版の考え方には疑問があり、過去に何度も書いています。記事#68#69#109#130#313#329#344#473。弊社の見方では、

  • 第1版(the first edition, 2011年版)
    SMにはIFの代替機能無し。従ってIFがfailするとSMは機能を代替できないため、その場で故障が起きる。一方SMはフォールトしてもサブシステムは故障しない。すなわち、SMはリペアラブル、IFはアンリペアラブルが前提。

    PMHF式のべースとなるモデルは弊社に依れば図481.1のとおりIFU-SMUモデルとして構成されており、導出されたPMHF結果式は正しい。

    図%%.1
    図481.1 1st edition CTMC
  • 第2版(the second edition, 2018年版)
    SMにはIFの代替機能有り。従ってIFがfailするとSMは機能を代替する。例えば冗長構成が対象。IFもSMもフォールトすると代替機構が働くことにより、サブシステムは故障しない。すなわち、IFもSMもリペアラブルが前提。

    PMHF式のべースとなるモデルは図481.2のとおりIFRモデルとして構成されておらず、IFU-SMUモデルとして構成されている。従って、導出されたPMHF結果式は誤り。さらにPattern 2, 4には計算誤りまで含まれている。

    図%%.2
    図481.2 2nd edition CTMC

2nd editionの誤りは1st editionで用いたIFUモデルを引き続き用いたところにあります。本来は両方のエレメントがリペアラブルでなくてはなりません。ところが、2nd editionでは最初にIFがフォールトするとその後SMはアンリペアラブルとなります。逆に最初にSMがフォールトするとその後IFはアンリペアラブルとなります。つまり、最初にフォールトしたエレメントのみがリペアラブルという前提です。

例えばIFフォールト⇒IFフォールトリペア⇒SMフォールト⇒IFフォールトとなることはできません。(479.1)において、カッコ内の式に \left[\int_t^{T_\text{lifetime}}f_\text{IF}(t')dt'\cdot\color{red}{R_\text{IF}(t)}\right] とあるように、R_\text{IF}(t)が意味するところは時刻tまではIFは一度もダウンしていないことを表します。これはIFはアンリペアラブルであることを意味します。本来、IFのアベイラビリティであるA_\text{IF}(t)でなくてはなりません。 従って、サブシステムは図481.3のとおりIFRモデルでなくてはなりません。

図%%.3
図481.3 2nd edition CTMC(本来)

第2版の誤りは、DPFのケース分類をする時に、

 ①IF⇒SM1、もしくは
 ②SM1⇒IF

の2通りしかないとしたところは正しかったのですが、本来は

 ①(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがIF⇒最後のフォールトがSM1、もしくは
 ②(IF/SM1のup/downが0回以上起きる)⇒最後から2つ目のフォールトがSM1⇒最後のフォールトがIF

とすべきところを、なぜか、

 ①最初のフォールトがIF⇒(IFのup/downが0回以上起きる)⇒最後のフォールトがSM1、もしくは
 ②最初のフォールトがSM1⇒(SM1のup/downが0回以上起きる)⇒最後のフォールトがIF

と誤ったところにあると考えます。最初のフォールトが起きるエレメントを決めてしまうと、相手のエレメントフォールトが起きる場合にはDPFになってしまいます。従って相手のエレメントのフォールトは最後に起きるしかありません。従って最後のフォールトが起きる、相手のエレメントは非修理系でなくてはならない過剰な制約がつきます。黄色で示した無視された部分の違いが示すように、本来はIFもSM1も修理系のはずです。

DPF項はPMHF全体に対して3%未満であるという経験からすると、どちらでも良いと考えがちですが、EOTTIにはこのDPFが大きく効いてくるため、無視はできません。弊社の計算では30~40倍もEOTTIが異なるため、規格式による設計では耐故障システムに関しては数十倍の厳しい設計制約となります。

なお、本稿はRAMS 2024に投稿予定のため一部を秘匿していますが、論文公開後の2024年2月頃に開示予定です。


左矢前のブログ 次のブログ右矢


ページ: