レアイベント近似

アイテムが故障する確率＝トップ事象確率を求めるのがFTAの役割であるため、基事象の確率を求め、それを積算します。それぞれのイベントを$e_i$で表し、イベントの確率を$P\{e_i\}$で表すとき、MCSが$\{1\},\{2\},\{3,4,5\},\{6\},\{7,8\}$で表されるTOP事象の侵害確率P{TOP}は、直列アイテムでの不信頼度の(8.4)と並列アイテムでの不信頼度の(9.2)とを用いて、(21.1)と表されます。 \[ P\{TOP\}=1-(1-P\{e_1\})(1-P\{e_2\})(1-P\{e_3\}P\{e_4\}P\{e_5\})(1-P\{e_6\})(1-P\{e_7\}P\{e_8\})\tag{21.1} \]

ここで、(21.1)の比較的小さい値の項を省略した、ORを加算、ANDを乗算とする計算で求めるレアイベント近似方法があります。 \[ P\{TOP\}\approx P\{e_1\}+P\{e_2\}+P\{e_3\}P\{e_4\}P\{e_5\}+P\{e_6\}+P\{e_7\}P\{e_8\}\tag{21.2} \]

アイテムの故障率(2)で議論したように、これが可能なのは基事象確率が低い場合です。本来はダブルカウント分の確率を引くべきところ、ダブルカウント分の確率が小さく無視可能である場合に限り、レアイベント近似が成立します。

---

前のブログ 次のブログ

FTAとは

Wikipediaの記事FTAによって定義が示されるとおり、下位アイテム又は外部事象、若しくはこれらの組合せのフォールトモードのいずれが、定められたフォールトモードを発生させ得るか決めるための、フォールトの木形式で表された解析を意味します。基事象(Basic Event)は故障確率を持ち、TOP事象を侵害する確率計算を行います。

FTAの例

図20.1 WikipediaのFTA図

図20.1はWikipediaに掲載されているFT(Fault Tree)図です。

MCS, MPS

FTでは基事象、TOP事象は故障の時にtrueとなるという前提をとります。ここでTOP事象=故障を引き起こすための基本事象の組み合わせのうち、最も少ない組み合わせのことをMC(Minimal Cut, 最小カット)と呼び、一般的にそれらは複数あるため全体をMCS(Minimal Cut Set, 最小カット集合)と呼びます。例えば上記のFTAではMCは$\{1\},\{2\},\{3,4,5\},\{6\},\{7,8\}$となります。1のとき、または2のとき、または3かつ4かつ5のとき、または6のとき、または7かつ8のとき、と読みます。

一方、TOP事象が動作のときにtrueとなるツリーも構成できます。この場合、TOP事象=動作となる基本事象の組み合わせのうち、最も少ない組み合わせのことをMP(Minimal Path, 最小パス)と呼び、一般的にそれらは複数あるため全体をMPS(Minimal Path Set, 最小パス集合)と呼びます。

FT解析ではTOP事象＝故障となる分析を行うため、MCSが重要です。

RBD図

RBD(Reliability Block Diagram)では、FTとは逆に、動作をtrue、故障をfalseとしてシステム図を構成します。このときに、動作するパスをカットして動作しなくなる最小の組み合わせがMC(=最小カット)となり、その集合がMCSです。

具体的に、上記RBD図に先のMCSを適用すると、$\{1\},\{2\},\{3,4,5\},\{6\},\{7,8\}$のMCはそれぞれがRBDの成功パスをカットして、機能動作をさせなくするカットだということがわかります。例えば$\{1, 2\}$のように複数箇所をカットしても機能動作しなくなりますがこれはMinimalではなく、$\{1\}, \{2\}, ..., \{7, 8\}$がMCとなります。このように、MCSはFTの双対構造であるRBDにおいて定義して初めてその意味を理解できます。その意味では、FTにおいてFTを成立させる(=TOP事象を侵害する)最小の事象の組み合わせは、むしろMPSと呼ぶべきでしょうが、慣用的にRBDでの定義であるMCSと呼ばれます。

---

前のブログ 次のブログ

PMHFの加算

部品個別のPMHF式は前回導出したものとなりますが、これをアイテムとして積算(総和)する必要があります。その方法には一般に、FMEDAによるもの、FTAによるものの2種類があります。単純な直列アイテムであれば、確率計算的には和を取るだけなので(ただし$\lambda t\ll 1$のとき)FMEDAとFTAは同じ値になります。一方、冗長構成等の並列アイテムの場合は、FTAでないと正しい値は求まりません。アイテムの故障率(2)でご紹介したように、並列アイテムの場合、アイテム不信頼度は部品不信頼度の積となるためです。FTAを用いると、ANDゲートで並列アイテム、ORゲートで直列アイテムを表すことができ、値の計算を正確に行うことができます。

ANDゲートでは確率の乗算で、事象の確率が正確に求まります。一方ORゲートにおいては、$\lambda t\ll 1$のとき、例えば$\lambda t<0.1$の場合には加算で事象の確率が求められます。ただしこの場合はレアイベント近似となります。以下に、近似ではなくExcelを使った方法で、簡単に正確に求めるやり方をご紹介します。

教科書等には信頼度で書かれていますが、故障率は不信頼度を時間平均したものですから、不信頼度で表すのが便利です。すると、ANDゲート＝並列アイテムの不信頼度はアイテムの故障率(2)で求めた、 \[ F_{item}(t)=F_1(t)\cdot F_2(t)\cdot\cdots\cdot F_n(t)=\prod_{i=1}^n F_i(t)\tag{9.2} \]

のように、不信頼度の積で求められ、一方ORゲート＝直列アイテムの不信頼度はアイテムの故障率(1)で求めた、 \[ F_{item}(t)=1-\prod_{i=1}^n[1-F_i(t)] \tag{8.4} \]

のように求められます。

Excelによるレアイベント近似を用いない積算法

確率計算において乗算、加算を用いるレアイベント近似(FTA(2)で説明予定)の場合は特に関数を用意する必要はありませんが、(8.4)のようにレアイベント近似を用いない場合の計算については、以下のように関数を用意すると便利です。

public function lambda(range as range) as string
dim val as double
val = 1#
foreach cell in range
val = val * (1- cell)
next
lambda = format((1# - val)/100000#, "0.000E+00")
end function

Excelにおいて、確率計算の積は乗算を行い、一方和については上記関数を用いて(8.4)を計算します。

---

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
https://fs-micro.com/post/show/id/59.html

---

前のブログ 次のブログ

PMHF式の計算

(16.2)の添字の意味を見ていきます。故障率の添字がl(=latent)とd(=detected)で表されていますが、規格Part10の表記あるいは図16.1の表記を用いれば、 $$ \lambda_{RF}=(1-K_{M,FMC,RF}\lambda_M\\ \lambda_{M,DPF,l}=(1-K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{M,DPF,d}=K_{M,FMC,DPF})\lambda_{M,DPF}\\ \lambda_{SM,DPF,l}=(1-K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{SM,DPF,d}=K_{SM,FMC,DPF})\lambda_{SM,DPF}\\ \lambda_{M,DPF}=K_{M,FMC,RF}\lambda_M\\ \lambda_{SM,DPF}=\lambda_{SM} \tag{18.1} $$ となります。これらを(16.2)に代入すれば、 $$ \img[-1.35em]{/images/withinseminar.png}\tag{18.2} $$ となります。(18.2)に至ってようやく主機能故障率、安全機構故障率、安全機構カバレージ等の数値を用いてPMHFの計算を実行することが可能となります。

---

前のブログ 次のブログ

対象ブロック図

図17.1にPMHFの計算となるブロック図を示します。主機能Mに対して1st SMであるSMが設置されており、Mの2nd SMであるSM2-M及びSMの2nd SMであるSM2-SMが設置されています。Part10の記法に従い、SMのDC(Diagnostic Coverage)は$K_{M,FMC,RF}$、SM2M及びSM2SMのDCはそれぞれ$K_{M,FMC,MPF}$及び$K_{SM,FMC,MPF}$と書かれます。M、SMの故障率はそれぞれ$\lambda_M$、$\lambda_{SM}$ですが、2nd SMはλ=0となります。さらにMは安全機構ではないため(冗長の場合はSMとなりますが)、DC及び$\tau$(故障検出周期)は存在しません。さらにM及びSMの$\tau$は存在せず、SM2M及びSM2SMの$\tau$はそれぞれ$\tau_M$及び$\tau_{SM}$となります。

規格には明確に書かれていませんが、故障が検出された場合はゼロ時間で完全に修理されることが、暗黙に仮定されています。

図17.1 対象サブシステムブロック図

PMHF式の導出

規格の「SMが先に故障してその後Mが故障する場合」は誤りであることは説明しましたが、式を吟味すると「SMがどうであれMが故障してSG侵害となる場合」であるようです。従ってそのように読み替えれば、規格第1式は、

$$ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.1} $$ であり、これを計算すると、 $$ M_{PMHF,M}\approx \lambda_{M,RF}+\frac{1}{2}\lambda_{M,DPF}\lambda_{SM}\lbrace (1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\rbrace\tag{17.2} $$ となり、これは規格第1式と正確に一致します。

最終的なPMHFを求めます。SPFとDPFは排他事象であり、また、「主機能故障でレイテント⇒安全機構故障」とその逆の「安全機構故障でレイテント⇒主機能故障」も排他事象です。排他事象は確率が加え合わせられることから、トータルのPMHFは上記を(11.1)に適用して、(17.3)となります。 $$ M_{PMHF}=M_{PMHF,SPF}+M_{PMHF,DPF,M\rightarrow SM}+M_{PMHF,DPF,SM\rightarrow M}\tag{17.3} $$

これに対して、SPFに関しては(12.2)を適用します。さらに、DPFに関しては(15.2)に基づき、主機能故障と安全機構故障の順番を考慮して先の2パターンのPMHFを加え合わせれば、PMHF式(17.4)が得られます。

$$M_{PMHF}\approx \lambda_{M,RF}+\lambda_{M,DPF}\lambda_{SM}\lbrace (1-K_{SM,FMC,MPF})T_{lifetime}+K_{SM,FMC,MPF}\tau_{SM}\rbrace\tag{17.4}$$ となり、これは$K_{SM,FMC,MPF}\tau_{SM}\approx0$の場合、規格第3式と一致します。

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
https://fs-micro.com/post/show/id/59.html

---

前のブログ 次のブログ

故障検出周期

検出時点での故障率を、以下のように安全機構により検出できる部分とできない部分に分解します。またそれぞれの場合の条件を以下に示します。

1. 安全機構が周期$\tau_{SM}$で故障検出された際に検出できない故障率の部分は、なんど検出しても検出されないため、車両寿命の間中レイテントとなる。
2. 安全機構が周期$\tau$で故障検出した際に検出できる故障率の部分は、$t=0$～$\tau_{SM}$まではレイテントとなる。その後$t=\tau_{SM}$においてゼロ時間で修理される。

次に車両寿命におけるそれぞれの頻度を考えると、

1. $t=0$〜$T_{lifetime}$までの一回
2. $\frac{T_{lifetime}}{\tau_{SM}}$回

従って、(15.1)は正確には、上記の2つの事象確率と頻度の積を加えあわせ、 \[ M_{PMHF,DPF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{DPF,A\rightarrow B}(T_{lifetime}) =\frac{1}{T_{lifetime}}[F_{DPF,l,A\rightarrow B}(T_{lifetime})+\frac{T_{lifetime}}{\tau_{SM}}F_{DPF,d,A\rightarrow B}(\tau_{SM})] \]\[ \approx\frac{1}{2}\lambda_B(\lambda_{A,DPF,l}T_{lifetime}+\lambda_{A,DPF,d}\tau_{SM})\tag{16.1} \]

となります。

(16.1)は、「レイテント状態のエレメントAの不信頼度」に「Bの故障率」をかけたものです。前者をグラフ化したものが図16.1です。$DC=0$、つまり定期的な故障検出によりエレメントの故障が検出されない場合は、(14.1)のとおりです。一方、エレメントの故障が検出される部分がある場合には、検出時点で修理されるため、その分の不信頼度はゼロとなり、故障が検出されない部分のみが累積していきます。

図16.1 エレメントの不信頼度のグラフ

青のグラフがDC=0の場合、オレンジがDC=20%の場合、グレーがDC=40%の場合、黄色がDC=60%の場合、濃青がDC=80%の場合、緑がDC=100%の場合をそれぞれ表します。

---

前のブログ 次のブログ

DPFの場合のPMHFの導出

エレメントAが先に故障し、引き続いてエレメントBが故障する場合のDPFのPMHFは「エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する、車両寿命間のDPF確率の時間平均」であり、DPF(2)で求めたように、(14.6)を用いて $$ M_{PMHF,A\rightarrow B}=\frac{1}{T_{lifetime}}F_{A\rightarrow B}(T_{lifetime})\approx\frac{1}{2}\lambda_{A,DPF,l}\lambda_B T_{lifetime}\tag{15.1} $$ と求められます。

故障がレイテントとなる場合

ところが(15.1)はまだ場合分けが不足しています。先にエレメントAに起きた故障がレイテントになる場合は、一般的には時刻$t=\tau$において、安全機構の検出漏れとなる場合ですが、さらに安全機構の検出が間に合わない場合、言い換えれば検出までにエレメントAに故障が起きる場合も加える必要があります。なぜなら、安全機構は検出周期$\tau$で検出しますが、$\tau$までにエレメントAに発生した故障は$\tau$までは検出されないため、その間はレイテントとなる可能性が若干でも存在するからです。

この点について次稿で掘り下げて行きたいと思います。

---

前のブログ 次のブログ

DPFの定義

ISO26262でいうDPFは、前述のように、まずエレメントAの故障がおき、かつレイテント状態(故障分類(1)で解説)になっていて、それに関連するエレメントBの故障が引き続いて起きた場合が対象となります。ここで関連するとは、エレメントAが主機能の場合はエレメントBは安全機構、エレメントAが安全機構の場合はエレメントBは主機能という意味です。主機能とそれとは別の主機能の故障はDPFとは考えず、一点故障が別々の主機能に2回起きたと考えます。

さて、DPFの確率計算を行う場合、単純に主機能故障の起きる確率$PoF_{M,T_{lifetime}}=\Pr\{X_M\lt T_{lifetime}\}$と安全機構の故障の起きる確率$PoF_{SM,T_{lifetime}}=\Pr\{X_{SM}\lt T_{lifetime}\}$の乗算とはなりません。一般に安全機構が故障するとレイテントになる可能性が大であり、主機能は冗長構成を取らない限り、故障してレイテントになることはありません。従って、主機能故障がレイテントになる確率と安全機構がレイテントになる確率は異なるため、主機能と安全機構のどちらが先に故障したかで場合を分けて計算を行います。

A⇒BのDPFの確率計算

エレメントAが故障してレイテント状態になっている場合にエレメントBが故障する確率の導出を行います。まず、時刻$t$において、エレメントAが故障してレイテントとなっている場合の確率は、時刻$t$におけるエレメントAの不信頼度に他ならないため、(14.1)となります。 \[ \Pr\{\text{A is a latent state at }t\}=\Pr\{X_A\leq t\}=F_A(t)\tag{14.1} \]

次に、時刻$t$までエレメントBは故障しておらず、時刻$t+\Delta t$までの微小区間$(t, t+\Delta t]$にBが故障する微小確率$\Pr\{\text{B receives a fault in}(t, t+\Delta t]\}$は、(14.2)となります。 \[ \Pr\{\text{B receives a fault in}(t, t+\Delta t]\}=\Pr\{t\lt X_B\leq t+\Delta t\}=F_B(t+\Delta t)-F_B(t)\\ =f_B(t)\Delta t=\lambda_B R_B(t)\Delta t\tag{14.2} \]

従って、$(t, t+\Delta t]$の微小DPF確率は両者の積となるため、(14.3)となります。

(14.3)

$\Delta t\rightarrow 0$とした極限を$dt$で表し、0から$t$まで積分すると、時刻$t$までのDPF確率が(14.4)として求められます。

(14.4)

ここでexponential関数のマクローリン展開は(14.5)です。 \[ e^x=1+x+\frac{x^2}{2}+\cdots\tag{14.5} \]

(14.5)の2次の項までとり(14.3)に代入すれば、(14.6)のようにA⇒BのDPFの確率の近似式が求められます。

A⇒BのDPFの確率の式:

(14.6)

---

前のブログ 次のブログ

信頼度と故障率の関係式

DPF(Dual Point Failure; 2点故障)を説明する前に、時刻$t$から時刻$t+\Delta t$までの時間にエレメント$A$に関して起こる故障について、図13.1に示します。

図13.1 エレメントAに関して起こる故障

時刻$t$において、故障していない確率が$R_A(t)$であり、時刻$t+\Delta t$までの$\Delta t$時間における信頼度$R_A(t)$の減少分は、(2.6)から$\lambda_A R_A(t) \Delta t=f_A(t)\Delta t$となることから、

\[ R_A(t+\Delta t)=R_A(t)-\lambda_A R_A(t) \Delta t\tag{13.1} \]

DPFを考えるためにエレメント$A$とエレメント$B$の故障を考えます。エレメント$A$,$B$の故障は独立して起こるので、以下のようになります。

図13.2 エレメントA及びBに関して起こる故障

DPF

さて、次にエレメント$A$,$B$が有り、$A$が主機能の場合は$B$はそれに関する安全機構、$A$が安全機構の場合は$B$はそれに関する主機能であるとします。DPFの定義は

「主機能または安全機構が故障してレイテント状態であるときに、それに関する安全機構または主機能の故障が起きること」

であるため、「エレメントAが故障してレイテント状態であるときに、エレメントBの故障が起きること」を$A\Rightarrow B$で表し、「エレメントBが故障してレイテント状態であるときに、エレメントAの故障が起きること」を$B\Rightarrow A$で表すとき、以下の図13.3のように、どちらが先に故障するかによって、$A\Rightarrow B$または$B\Rightarrow A$の2つの場合となります。また、それらは排他であるため確率は和で表されます。

図13.3 片方がレイテント状態であるときに、他方の故障

---

前のブログ 次のブログ

PMHFの定義

ISO 26262 Part 5には以下のように定義されています。

9.4.2 Evaluation of Probabilistic Metric for random Hardware Failures (PMHF)

• Average probability per hour over the operational lifetime of the item (アイテムの運転寿命にわたる時間当たりの平均確率) [2, Part 5 9.4.2.1]
• Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures (ランダムなハードウェア故障によるアイテムレベルでの各安全目標の違反の最大確率の定量的な目標値) [2, Part 5 9.4.2.2]

どちらをとっても舌足らずであり、これら2つをまとめた次のような定義がPMHFの定義にふさわしいものです。

「ランダムなハードウェア故障によるアイテムレベルでの、各安全目標の違反のアイテムの運転寿命にわたる時間当たりの平均確率の目標値」

PMHFの規格式

(10.1)はISO 26262 Part10に掲載されている、「安全機構に続いて指令ブロックの故障が引き起こされる可能性を考慮した」(※)場合のPMHF式です。

$$ M_\text{PMHF} = \lambda_\text{RF} + \frac 1 2 \lambda_\text{M,MPF}(\lambda_\text{SM,MPF,l}T_\text{lifetime}+ \lambda_\text{SM,MPF,d}\tau) \tag{10.1} $$

• $\lambda_\text{RF}$: SMによる残余(VSG抑止されない)の、IFフォールトの故障率
• $\lambda_\text{M,MPF}$: SMによるVSG抑止された、IFフォールトの故障率
• $\lambda_\text{SM,MPF,l}$: 2nd SMで検出できないSMフォールトの故障率
• $\lambda_\text{SM,MPF,d}$: 2nd SMで検出できるSMフォールトの故障率
• $T_\text{lifetime}$: 車両寿命
• $\tau$: 2nd SMの検査周期
  
  

(注：IFはIntended functionality=主機能、VSGはViolation of a Safety Goal=安全目標違反、SMはSafety Mechanism=安全機構、1st SMはVSG抑止のためのSM、2nd SMはLF抑止のためのSM、LFはLatent Fault=潜在フォールトです。)

ご注意頂きたいのは、これはPMHFの定義式ではないことです。ISO 26262では、(書かれていない)数学的な定義を前提として導出されたPMHFの結果式(10.1)だけが提示されており、導出過程や前提の説明がほとんどありません。従って、このブログでPMHF式の導出について説明していきたいと思います。

※その前に、FSマイクロ株式会社では、(10.1)が「安全機構が故障して次に主機能が故障する場合」という規格の前提は誤りと考えます。(10.1)式の第1項の$\lambda_\text{RF}$は、主機能が故障して安全機構が安全目標侵害を防止した残余(つまり侵害を防止できない部分)の故障率なので、安全機構は動作していなければならないはずです。よって、(10.1)の式の条件は、正しくは「主機能のフォールトで故障(SPF/RFもしくはDPF)となる場合」です。明らかに、(10.1)右辺の第1項がSPF/RFによる効果、第2項がDPFによる効果です。

原文は「MPMHF, considering the conditional probability that a failure of the safety mechanism is followed by a failure of the mission block」ですので、原文から誤っています。一方訳文にも問題があり、数学用語である条件付き確率(conditional probability)を正しく訳さずに可能性という曖昧な翻訳になっています。

PMHFの弊社による数学的定義

前述のように、ISO26262規格にはPMHFの数学的定義は書かれておらず、(10.1)の結果式のみが掲載されています。そのため、まず弊社によるPMHFの定義を示します。

PMHFとは、ランダムハードウェア故障のメトリック(数値目標)で、正確に表現すれば「アイテムの車両寿命における不稼働率($\approx$故障確率)の時間平均」となります。単なる故障確率ではなく、修理も含めた不稼働確率です。数学的に書くと(10.2)のとおりです。 $$ M_\text{PMHF} :=\frac{1}{T_\text{lifetime}} \Pr\{\text{item down at } T_\text{lifetime}\} \tag{10.2} $$

PUA

ここで、時刻$t$におけるitemの不稼働率(Point Unavailability; PUA)である$Q_\text{item}(t)$を考えます。 $Q_\text{item}(t)$は以下の式で定義される、ある時刻$t$においてアイテムが稼働していない確率です。

$$ Q_\text{item}(t):=\Pr\{\text{item down at } t\} \tag{10.3} $$ 従って、(10.3)を(10.2)に用いれば、PMHFは $$ M_\text{PMHF} :=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime}) \tag{10.4} $$ と表されます。一方、稼働率(Point Availability)$A_\text{item}(t)$は、(10.5)に示すように、1からPUAである$Q_\text{item}(t)$を引いたものです。 $$ A_\text{item}(t):=1-Q_\text{item}(t)\tag{10.5} $$ 稼働率はまた、修理が可能なitemにおいて、

• 時刻$t$までに一度も故障が起きない確率と、
• 時刻$t$以前に故障が起きて修理された後、時刻$t$までに故障が起きない確率

の2つの部分に分けられます。これを数式で書けば、 $$ A_\text{item}(t)=\Pr\{\text{item up at } t\} \\ =\Pr\lbrace{\text{item not failed in }(0, t]\rbrace} + \displaystyle \sum_{i=1}^{n} \Pr\lbrace{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, t]\rbrace} \tag{10.6} $$ となります。(10.6)式の意味は、Point Availabilityは、Reliability(1度も故障しない確率)に加えて、各検査インターバルで故障検出を行い、検出された分については全て修理した上で、それが現在まで故障しない確率との和ということです。ここで注意すべき点は、検査は定期検査であることです。ISO 26262は定期検査・修理が前提となっています。

Point Availabilityに関してはQuality and Reliability of Technical Systemsの166ページに示されています。

図10.1 Point Availability

同著者の同内容が確認できます。この教科書では検査及び修理は分布関数により与えられるものとなっており、より一般的な議論となっています。

教科書等でよく現れるのは故障も修理もその確率過程が指数分布するパターンなのですが、ISO 26262は明白にかかれていないものの、故障確率過程は指数分布し、一方修理は定期検査・修理が前提です。この前提で安全目標侵害(VSG, violation of the safety goal)確率を考える必要があります。

PMHFの意味

ここで、(10.5)と(10.6)をPMHFの定義式(10.4)に代入すれば、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}Q_\text{item}(T_\text{lifetime})=\frac{1}{T_\text{lifetime}}\left[1-A_\text{item}(T_\text{lifetime})\right]\\ =\frac{1}{T_\text{lifetime}}\left[1-\Pr\{\text{item not failed in }(0, T_\text{lifetime}]\}\right]\\ -\frac{1}{T_\text{lifetime}}\displaystyle \sum_\text{i=1}^{n} \Pr\{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, T_\text{lifetime}]\}\\ =\frac{1}{T_\text{lifetime}}\Pr\{\text{item failed in }(0, T_\text{lifetime}]\}\\ -\frac{1}{T_\text{lifetime}}\displaystyle \sum_{i=1}^{n} \Pr\{\text{item repaired at }\tau_i \cap \text{item up in }(\tau_i, T_\text{lifetime}]\} \tag{10.7} $$ (10.7)のうち、第2項である修理される部分を一旦無視すれば、$X_\text{item}$を無故障運転時間を表す確率変数(random variable)としたとき、CDF(Cumulative Distribution Function)である$F(t)$を用いて、 $$ M_\text{PMHF}\approx\frac{1}{T_\text{lifetime}}\Pr\{\text{item failed in }(0, T_\text{lifetime}]\}\\ =\frac{1}{T_\text{lifetime}}\Pr\{X_\text{item}\lt T_\text{lifetime}\}=\frac{1}{T_\text{lifetime}}F_\text{item}(T_\text{lifetime})\tag{10.8} $$ (10.8)に対して、不信頼度$F(t)$の近似式である(7.2)を用いて $$ F_\text{item}(t)=1-e^{-\lambda_\text{item}t}\approx \lambda_\text{item}t, ~~\mbox{s.t.}~~ \lambda_\text{item}t \ll 1 \tag{10.9} $$ を適用すれば、次の(10.10)が得られます。 $$ M_\text{PMHF}\approx\lambda_\text{item},~~\mbox{s.t.}~~\lambda_\text{item}T_\text{lifetime}\ll 1\tag{10.10} $$ これにより、PMHFは$\lambda_\text{item}T_\text{lifetime} \ll 1$の場合に「アイテムの車両寿命間の平均的な故障率」とみなすことができます。

ここで、先に無視した修理分を含めれば、その故障率は(10.7)の第2項の修理分だけ下がるため、それを合わせればPMHFは(10.4)のように「アイテムの車両寿命間の平均的な不稼働率」と一般化されます。

※このブログは2016年に書かれたものであり、新しい研究結果を以下に連載していますので、参考にしてください
http://fs-micro.com/blogSummary/#/blogSummary/tab/PMHF+derivation.html

---

前のブログ 次のブログ