PFH と PMHF の厳密量の差

前稿の (1061.8) により、PFH は区間 $[0,T]$ における危険事象発生回数の期待値を $T$ で割った量として定義されます。本稿では、同じ危険事象に対して PMHF 型の量を定義し、両者が厳密にはどこで異なるのかを整理します。結論を先に言えば、その差は区間内における 2 回目以降の危険事象の寄与です。

同じ危険事象に対して、その初回発生時刻を

$$ \sigma_\text{DF}:=\inf\{t\ge0\mid N_\text{DF}(t)\ge1\} \tag{1062.1} $$

と定義します。

このとき、

$$ \{\sigma_\text{DF}\le T\}=\{N_\text{DF}(T)\ge1\} \tag{1062.2} $$

が成り立ちます。したがって、同じ危険事象に対する PMHF 型の量は

$$ \mathrm{PMHF}^{\ast}(T):=\frac{1}{T}\Pr\{\sigma_\text{DF}\le T\} =\frac{1}{T}\Pr\{N_\text{DF}(T)\ge1\} \tag{1062.3} $$

と書けます。VSG を吸収集合として扱う PMHF は、この形の量に対応します。

一方、前稿の PFH 定義に現れる期待回数は

$$ E\{N_\text{DF}(T)\} =\sum_{n\ge1}n\,\Pr\{N_\text{DF}(T)=n\} \tag{1062.4} $$

です。

これに対して、初回到達確率は

$$ \Pr\{N_\text{DF}(T)\ge1\} =\sum_{n\ge1}\Pr\{N_\text{DF}(T)=n\} \tag{1062.5} $$

です。したがって両者の差は

$$ E\{N_\text{DF}(T)\}-\Pr\{N_\text{DF}(T)\ge1\} =\sum_{n\ge2}(n-1)\Pr\{N_\text{DF}(T)=n\} \tag{1062.6} $$

となります。

前稿の PFH 定義と (1062.3), (1062.6) より、

$$ \mathrm{PFH}(0,T)-\mathrm{PMHF}^{\ast}(T) =\frac{1}{T}\sum_{n\ge2}(n-1)\Pr\{N_\text{DF}(T)=n\} \tag{1062.7} $$

です。

この式が示しているのは、PFH と PMHF 型の量の厳密な差が、区間 $[0,T]$ における 2 回目以降の危険事象の寄与そのものである、ということです。修理系では危険事象発生後も修理復帰し得るため、この項は一般には消えません。

これに対して、寿命区間 $[0,T]$ において危険事象は高々 1 回しか起きないという希少事象近似を

$$ \Pr\{N_\text{DF}(T)\ge2\}\approx0 \tag{1062.8} $$

と置けば、

$$ E\{N_\text{DF}(T)\}\approx\Pr\{N_\text{DF}(T)\ge1\} \tag{1062.9} $$

となります。したがって、PFH と PMHF 型の量の差は 1 次では見えなくなります。

要するに、PFH と PMHF の違いは、厳密には繰返し発生を数える量と初回到達をみる量の違いです。しかし希少事象近似を寿命区間全体にまで拡張すると、その差は 2 回目以降の発生確率に押し込められ、1 次では見えなくなります。次稿では、1057〜1059 で用いた IF-SM 潜在状態モデルを PFH 側にも持ち込み、同じ一次近似の下でどのような式になるかを示します。

---

前のブログ 次のブログ

PFH の定式化（修理系の危険事象と計数過程）

前稿までは、VSG を吸収集合とするサブシステムに対して PMHF を導きました。本稿からは PFH 側へ移ります。PFH 側では、危険状態に入った後も点検や修理により稼働状態へ復帰し得るので、危険状態集合は一般には吸収集合ではありません。本稿では区間平均量としての PFH を定義します。

サブシステム過程を $(\eta_t^\text{PFH})_{t\ge0}$ とし、稼働集合を $\mathcal M$、危険状態集合を $\mathcal P_\text{DF}$ とします。状態確率行ベクトルと生成行列を

$$ \begin{eqnarray} \left\{ \begin{array}{l} \mathbf p^\text{PFH}(t) =\bigl[\mathbf p_M(t)\ \mathbf p_P(t)\bigr], \\ \frac{d}{dt}\mathbf p^\text{PFH}(t)=\mathbf p^\text{PFH}(t)\mathbf Q^\text{PFH}, \\ \mathbf Q^\text{PFH} =\left(\matrix{ \mathbf Q_{MM} & \mathbf Q_{MP} \cr \mathbf Q_{PM} & \mathbf Q_{PP} }\right) \end{array} \right. \end{eqnarray} \tag{1061.1} $$

と表します。ここで修理系では、一般に $\mathbf Q_{PM}\neq\mathbf 0$ です。

危険状態の時点不稼働確率を

$$ U_\text{DF}(t) :=\Pr\{\eta_t^\text{PFH}\in\mathcal P_\text{DF}\} =\mathbf p_P(t)\mathbf 1 \tag{1061.2} $$

と定義します。ここで $\mathbf 1$ は適切な次元の全成分 1 の列ベクトルです。

一方、稼働集合から危険状態集合への条件付き遷移率、すなわち Vesely 故障率は

$$ \lambda_V^\text{PFH}(t) :=\lim_{dt\to0}\frac{\Pr\{\eta_{t+dt}^\text{PFH}\in\mathcal P_\text{DF}\mid\eta_t^\text{PFH}\in\mathcal M\}}{dt} =\frac{\mathbf p_M(t)\mathbf Q_{MP}\mathbf 1}{\mathbf p_M(t)\mathbf 1} \tag{1061.3} $$

です。

したがって、時刻 $t$ における危険状態への総流入頻度は

$$ w_\text{DF}(t) :=\mathbf p_M(t)\mathbf Q_{MP}\mathbf 1 =\Pr\{\eta_t^\text{PFH}\in\mathcal M\}\lambda_V^\text{PFH}(t) \tag{1061.4} $$

と書けます。これは、その時刻に稼働集合にいる確率と、その条件の下で危険状態へ移る率との積です。

他方、$U_\text{DF}(t)$ の時間変化は、危険状態への流入だけではなく、危険状態からの修理復帰にも依存します。(1061.2)を微分し、(1061.1)のブロック行列から $P$成分の前進方程式を取り出し、さらに生成行列の行和ゼロ$\mathbf{Q}_{PP}\mathbf{1}=-\mathbf{Q}_{PM}\mathbf 1$を用いると、危険状態確率の増加率は『流入 minus 流出』に書き直せるので

$$ \begin{eqnarray} \frac{d}{dt}U_\text{DF}(t) &=& \frac{d}{dt}\bigl(\mathbf p_P(t)\mathbf 1\bigr)\\ &=& \mathbf p_M(t)\mathbf Q_{MP}\mathbf 1+\mathbf p_P(t)\mathbf Q_{PP}\mathbf 1\\ &=& \mathbf p_M(t)\mathbf Q_{MP}\mathbf 1-\mathbf p_P(t)\mathbf Q_{PM}\mathbf 1 \end{eqnarray} \tag{1061.5} $$

となります。最後の等号では、各行の行和が 0 であることから $\mathbf Q_{PP}\mathbf 1=-\mathbf Q_{PM}\mathbf 1$ を用いました。したがって、修理系では一般に $dU_\text{DF}(t)/dt$ と $w_\text{DF}(t)$ は一致しません。

ここで、危険状態集合への進入回数を数える計数過程を $N_\text{DF}(t)$ とします。微小時間 $dt$ の間にその期待増分は

$$ E\{N_\text{DF}(t+dt)-N_\text{DF}(t)\} =w_\text{DF}(t)dt+o(dt) \tag{1061.6} $$

となるので、$W_\text{DF}(t):=E\{N_\text{DF}(t)\}$ とおけば、(1061.6)を$dt$で割って $dt\rightarrow0$とすると

$$ \frac{d}{dt}W_\text{DF}(t)=w_\text{DF}(t) \tag{1061.7} $$

です。

したがって、区間 $[0,T]$ における平均危険事象発生頻度は

$$ \mathrm{PFH}(0,T) :=\frac{1}{T}W_\text{DF}(T) =\frac{1}{T}\int_0^T w_\text{DF}(t)\,dt \tag{1061.8} $$

と定義できます。

さらに、希少事象近似の下で

$$ \Pr\{\eta_t^\text{PFH}\in\mathcal M\}\approx1 \tag{1061.9} $$

とみなせるとき、(1061.4)から

$$ w_\text{DF}(t)\approx\lambda_V^\text{PFH}(t) \tag{1061.10} $$

となります。したがって PFH は、Vesely 故障率の時間平均としても読めます。

ここで重要なのは、修理系では危険事象が繰返し起こり得るため、PFH が本質的に計数過程 $N_\text{DF}(t)$ に基づいて定義される、という点です。次稿では、この修理系の PFH と、吸収型の初回到達量としての PMHF とを、同じ確率論の枠で比較します。

---

前のブログ 次のブログ

結論

最後に本論文$\dagger$の結論部分では、

安全機構とミッションブロックが異なる場合、冗長アーキテクチャMooNは異なる非同一チャネルを持つ。この場合、MooN冗長アーキテクチャの一般化PMHF公式の開発は非常に複雑になる。しかし、異なるチャネルを持つアーキテクチャ1oo2に対して式(13)で得られた結果は、両方の公式式において同一のチャネルを仮定した場合の式(9)で得られた結果と等しい。

と述べており、非対称冗長について一般化PMHFが複雑になると言いながら、同一のチャネルを仮定しているのは理解できません。複雑であっても"m"と"sm"は非対称冗長の場合、異なる故障率を持つためです。これは前稿で指摘の(iv)項です。

同じく結論部分において、

今後の研究課題としては、本論文で開発したPMHF公式をMooN冗長アーキテクチャ向けに拡張し、多点欠陥検出間隔を持つ安全機構のテストや、非同一チャネルの考慮を含めることが考えられる。

と書いており、これらが考慮されていないことは著者自身でも課題(ないしは問題)だと思っているようです。これら2つの課題は、

• MPF検出率(DC)及び検出周期$\tau$を持つ2nd SMの効果
• 非対称冗長チャネル

であり、それぞれ前稿で指摘の(ii)(iii)及び(iv)項にあたります。著者はこの考慮を今後の研究課題としていますが、ISO 26262コンプライアンスを考えれば、本来は最初からこれらの条件を含めるべきでした。

また、本論文も例に漏れず、揃って規格のPMHF式を無視していますが、一つにはPart 10は参考情報であり、そのため読まれていないのではないでしょうか？どうも規格式について全般的にリスペクトが不足しており、まともに読んで批判しているのは弊社だけのように思います。

PFHとPMHFの比較と言うのは良い着眼であり、弊社でも過去に取り上げています。それに従えば、どちらも定義は「$\img[-1.35em]{/images/withinseminar.png}$」ですが、PFHが非修理系を対象にしているのに比べ、PMHFは定期検査修理を前提にしているため、その反映により計算式は異なってくるわけです。具体的には$\img[-1.35em]{/images/withinseminar.png}$が異なり、それらが次回RAMS 2025投稿論文のテーマです。

なお、本稿はRAMS 2025に投稿予定のため一部を秘匿しています。

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

アブストラクトの最後

本論文$\dagger$の最初に戻ってみると、アブストラクトの最後に、

本論文で示す比較分析により、PFH公式とPMHF公式が異なるケーススタディに対して同様の結果を与えることが実証された。

と主張していますが、ISO 26262の仮定を捨ててIEC 61508と同様な非修理系という誤った仮定を導入すれば、似たような式が得られても当然です。

本来はPeriodic inspection and repair (PIR) 保守戦略に基づく不稼働度を計算すべきであり、その仮定の元ではPMHF式は似たような式にはなりません。

誤りの背景

総じてこれらの仮定の誤りはISO 26262を良く分析していないことからくるものと思われ、これはIEC 61508出身の研究者にしばしば見られる現象です。それは、IEC 61508の観点からしかISO 26262を眺められないところに原因があります。

彼らの論文や資料には特有のパターンがあり、ISO 26262の論文や資料であるにも関わらずDU, DDで始まったら要注意です。そもそもISO 26262にはDU, DD等の用語はなく、かつDU, DD故障率はオブザーバブルではないため、以下のように1st SMのカバレージであるKパラメータ$K_\text{RF}$を用いて示すべきです。 $$ \lambda_\text{DD}=K_\text{RF}\lambda_\text{IF},\ \lambda_\text{DU}=(1-K_\text{RF})\lambda_\text{IF} $$

さらに、ISO 26262に存在する故障の区別、具体的にはSPFとDPFの区別がIEC 61508には存在しません。DPFは1oo2として取り扱うべきです。多くの著者はIEC 61508には存在しないLF(以下の式の$\lambda_\text{MPF,l}$)の概念が理解できずに故障率を以下の誤りの式の如く、全て加算してしまいがちです。過去記事中の論文や資料にも同様な誤りが見られます。 $$ \lambda_\text{DD}=\lambda_\text{SPF}+\lambda_\text{RF}+\lambda_\text{MPF,l} $$

さらに、修理の概念が無いようで、ISO 26262の基本の仮定であるPIRを考慮していません。

「ISO 26262などはIEC 61508の派生ないし亜流だ」と言う誤った考えを持たないことが、ISO 26262の理解の秘訣となります。

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

仮定のまとめ

本論文$\dagger$はその中程に、置いた4つの仮定をまとめてリストしています。

(i) すべての危険故障の故障率は，λD である（IEC 61508 の概念では DD と DU を区別せず，ISO 26262 の概念では SPF，RF，DPF 及び MPF を区別しない）
(ii) PFH 公式におけるプルーフテスト間隔$\tau$は、PMHF 公式における運転寿命間隔 $T_{Lifetime}$と等価である
(iii) システムは修理不可能である
(iv) チャネルが同一で独立している

これはいずれも誤りです。一項目ずつ見ていきます。

• IEC 61508はいざ知らず、ISO 26262においてはSPF, RFとは区別せず、DPF, MPFも区別せずで良いですが、それら2グループには明確な区別があります。言うまでもなく故障によるVSG確率が全く異なるため、それを考慮しなければなりません。具体的にはDPFは2重故障を意味するため、故障確率の2乗項が出現します。
• 「PMHF式では$\tau=T_{lifetime}$として良い」と言っていますが、前稿で指摘したようにこれは誤りで、ISO 26262にもプルーフテストというか定期検査修理は存在するため、テスト周期は$\tau$となり、車両寿命ではありません。反対にこう仮定すると、2nd SMの存在が無いことになります。規格書では2nd SMの存在がブロック図に書かれているにも関わらず、それが無視されています。
• ISO 26262で対象とするサブシステムは修理可能です。Part 10のPMHF式の箇所に、ドライバーがMPFを通知され、修理工場へ持ち込む表現があります。もちろんMPFを検出するのが2nd SMです。
• チャネルは前項のように、独立であっても同一ではありません。「冗長」は必ずしも対称冗長を意味しません。

以上から、論文途中の仮定リストの全点が誤っている(=ISO 26262非互換である)ため、ここから先の検討は不要となります。

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

不当な仮定1

正しく引用されたことは良かったのですが、本論文$\dagger$では弊社の式に対して新たに以下の(12)という仮定を加えており、残念なことにこれでは一般性を失う不要な仮定です。

$$ \lambda_{m,MPF}=\lambda_{sm,MPF}=\lambda_{MPF}=\lambda_{D}\tag{12} $$

この(12)の意味するところは"m"も"sm"も同じ故障率を持つこと、すなわち対称冗長を意味しており、これは特殊な場合に限られます。

反例を示すと、例えば過去記事の図70.1に示すヘッドライト装置の実例のように、

図70.1 非対称冗長の例

メカスイッチからのON信号をメインのチャネルではマイコンで点灯し、バックアップチャネルではトランジスタで点灯するような非対称冗長には(12)は当てはまりません。以下のように"m"系の故障率のほうが"sm"系よりも巨大になるためです。 $$ \lambda_{m,MPF}\gg\lambda_{sm,MPF} $$ さらに言えば、このような非対称冗長は、特にASIL分解においては、規格ではむしろ推奨されています。マイコンに低いASILを割り当てておき、複雑なシステムの開発を容易にできる一方、壊れにくい単純なトランジスタで元の安全要求を保証できるためです。

不当な仮定2

さらに別の仮定の問題があります。弊社の式における2nd SMの検査周期である$\tau$について、$\tau=T_{lifetime}$と仮定してしまったことです。これは2nd SMが存在しないか、あるいはDCがゼロであることを意味します。これは誤った仮定です。

なぜそうしたかはその箇所には書かれていませんが、アンリペアラブルという仮定を置いているのが後からわかります。

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

M-out-of-N冗長アーキテクチャにおいて、PFHとPMHFを比較するという大変興味深い論文$\dagger$をたまたま見つけたので読んでいきます。弊社の論文が引用されていたにも関わらず最近まで知りませんでした。

アブストラクト

例によって、DeepLで翻訳しながら見ていきます。まずアブストラクトから。

道路運送車両の国際機能安全規格ISO 26262は、ランダムなハードウェア故障が安全目標に違反する確率を定量的に推定する方法として、ランダムなハードウェア故障に対する確率的指標（PMHF）を用いることを提案している。PMHFの計算例はISO 26262に示されている。しかし、この規格にはM-out-of-Nの冗長アーキテクチャに対するPMHFの計算公式は含まれていない。 この公式は、冗長性の問題と冗長アーキテクチャの確率論的メトリクスの計算が特に関連するドライブ・バイ・ワイヤ・システムにおいて重要な応用を見出すことができる。

本論文では、M-out-of-N冗長アーキテクチャのPMHF計算公式を開発し、国際機能安全規格IEC 61508で定義されている高需要モードと連続需要モードの安全システムの平均危険故障頻度(PFH)公式と比較した。本論文で示す比較分析により、PFH公式とPMHF公式が異なるケーススタディに対して同様の結果を与えることが実証された。これらのケーススタディは、IEC 61508とISO 26262で定義されているさまざまなタイプの故障を考慮して調査されている。

アブストラクトに示すように、IEC 61508で定義されているPFDとPFHと、ISO 26262で定義されているPMHFを比較し、さらにMooN冗長サブシステムへの式の拡張を行ったものです。

弊社論文

弊社でも2018年以前にISO 26262のPMHFを実際のプロジェクトに適用した経験があり、さらにそのサブシステムが冗長構成であったので、PMHFの適用には悩みました。というのは2011年に発行された規格初版において、規格PMHF式は冗長に対応していなかったためです。そこで、弊社は2017年に冗長構成に対応したPMHF式の拡張を提案する論文を発表しましたが、本論文にはきちんと弊社論文が引用されています。

異なるチャネルを持つ2チャネル冗長アーキテクチャのPMHF公式は桜井によって得られている（桜井, 2018）。非同一チャネルを持つMooN冗長アーキテクチャのための一般化されたPMHF公式は非常に複雑になる。式(13)は非同一チャネルを持つ2チャネル冗長アーキテクチャのPMHF公式を示す。桜井は、一次安全機構（冗長ミッション機能を果たす）に加えて、二次安全機構（潜在的欠陥の防止）も考慮している（桜井, 2018）。本節では、桜井が開発した公式を、"M "と "SM "の二次安全機構を持たないことを念頭に、図2bに示したケーススタディに適用する：
$$ PMHF^{1oo2}=\frac{1}{2}\lambda_{m,MPF}\lambda_{sm,MPF}T_{lifetime}+\frac{1}{2}\lambda_{m,MPF}\lambda_{sm,MPF}T_{lifetime}\tag{13} $$ 式(12)で示されるように、同一チャネルの故障率は等しいことを考慮すると、式(13)は、同一チャネルを持つ1oo2アーキテクチャのPMHFの値を示す式(14)に変換できる： $$ PMHF^{1oo2}=\lambda_D^2T_{lifetime}\tag{14} $$

---

$\dagger$E. Rogova, C. Nowak, M. Ramold, et al., "Comparison of Analytical Formulas of PFH and PMHF Calculation for M-out-of-N Redundancy Architecture," Europ. Safe. Reliab. Conf.,, pp.1-5, 2019

---

前のブログ 次のブログ

PUA関連論文シリーズ最後は以下の論文です。

P. Hokstad, “The Failure Intensity Process and the Formulation of Reliability and Maintenance Models,” Rel. Eng. Syst. Safety, vol. 58, no. 1, pp 69–82, (Oct.) 1997.

以降翻訳はDeepLによるものです。まずアブストラクトを示します。

故障事象モデルの定式化に対する統一的なアプローチを示す。これは、修理可能なものと修理不可能なもの、予防保全と是正保全の両方を分析するための共通の枠組みを提供するものであり、休止故障のあるものにも適用できる。提案された手順は、一連のグラフによってサポートされ、それによって、固有の信頼性（すなわち、ハザード率）と保守・修理方針の両方の重要性を明らかにする。様々な故障強度の概念の定義／解釈は、このアプローチの基本である。したがって、これらの強度間の相互関係を検討し、それによってこれらの概念の明確化にも貢献する。これらの概念の中で最も基本的なものである故障強度過程は、計数過程（マーチンゲール）で使用されるものであり、その時点までの品目の履歴が与えられた時点tにおける故障率である。提案するアプローチは、いくつかの標準的な信頼性とメンテナンスのモデルを考えることによって説明される。

いろいろな不稼働度モデルが紹介されていますが、我々の関心があるのは定期検査を持つModel Dと呼ばれるモデルです。

Model D (休眠故障と定期的なテストを伴うアイテム)

一方、著者によれば、様々な確率過程は以下の定義となります。

系	関数名	関数	系	論文関数名	論文関数	我々の関数名	我々の関数
非修理系	reliability	$R(t)$	修理系	availability	$A(t)$	availability	$A(t)$
	PDF (probability density function)	$f(t)$		failure intensity, mean intensity, unconditional intensity, ROCOF(Rate of OCcurrence Of Failure)	$I(t)$	PUD (point unavailability density)	$q(t)$
	CDF (cumulative distribution function)	$F(t)$		mean number of failure, cumulative intensity	$M(t)$	PUA (point unavailability)	$Q(t)$
	hazard rate	$\lambda(t)$		conditional intensity	$I_{up}(t)$	Veseley's failure rate	$\lambda_v(t)$

Average intensity、もしくはAROCOF (Average Rate of OCcurrence Of Failure)は、 $$ i_\tau=\frac{1}{\tau}\int_0^\tau I(t)dt=\frac{1}{\tau}M(\tau) $$ 我々の定義では、$I(t)$は$q(t)$と、$M(t)$は$Q(t)$と定義します。元になる非修理系において一般的な記法であるPDF=$f(t)$、その積分であるCDF=$F(t)$を踏襲するなら$i$や$I$の大文字小文字は逆にして欲しかったところです。

我々は特に車両寿命間の平均PUDが知りたいため、PFHも同様の定義ですが、 $$ M_\text{PMHF}=\frac{1}{T_\text{lifetime}}\int_0^{T_\text{lifetime}} q(t)dt=\frac{1}{T_\text{lifetime}}Q(T_\text{lifetime})=i_{T_\text{lifetime}} $$ が求めたい平均不稼働密度です。

---

前のブログ 次のブログ

参照論文の調査

PMHF式に誤りのある「平成26年度 電子部品信頼性調査研究委員会 研究成果報告書」は2015年3月発行です。著者に連絡を取ったところ、論文$\dagger$からの引用だとのことでした。これは2014年発行なので、この論文$\dagger$が元凶であり、ブログで取り上げた日本人の資料である、この資料とこの資料に影響を与えたようです。IEEE発行の査読付き論文なのでそれなりに信用性があり、誤りが広まってしまうのかもしれませんが、非常に遺憾なことです。

もっとも、査読済み論文だからと言って、検証もしないで盲目的に引用する態度にも同様に問題があると考えます。

図326.1に当該部分を引用します。良くみると、上記報告書が引用したといいながら、DPF部分はlatentのみとなっています。従って、上記報告書と論文$\dagger$では少々異なります。

図326.1 ある論文中のPMHF式 この資料と、参考にした元論文の例では1st SMは存在しても2nd SMの概念が全く書かれていないので$\lambda_\text{MPF}$と$\lambda_\text{MPF,lat}$は一致するのでしょう。

IEC 61508との比較

また、図326.1の説明には、

ISO 26262にはSPFMやLFMと異なりPMHF式が出ていないためIEC 61508を参照する

と書かれていますが、実際はPart 10に式が記載されています。さらにIEC 61508にはPMHFはありません。近い概念としてはPFH(Probability of Failure per Hour)があります。Exidaの資料によればPFHは(326.1)式で表されます。 $$ PFH=\lambda_\text{DU}\tag{326.1} $$

ただし、これは1oo1の式だと思われます。少なくともDPFは、主機能と安全機構の双方がフォールトしたときの故障であるため、1oo2の式のほうがベターです。

しかしながら、ISO 26262はIEC 61508に基づいているといいながら、PMHF結果式はISO 26262独特のものであるため、1oo2としても式は一致しません。具体的には、ISO 26262はIEC 61508と異なり定期検査及び修理が前提となっています。

IEC 61508で学んだ多くの研究者が同じ誤りを起こしています。論文を見るとすぐ分かります。それは、ISO 26262にはDD, DUという用語は無いにもかかわらず、そのような用語を使用しているからです。そのような概念を表すものはKパラメータと呼ばれる診断率DCであり、 $$ \lambda_{DD}=K_\text{RF}\lambda_\text{IF}, \lambda_{DU} =(1-K_\text{RF})\lambda_\text{IF} $$ と表現しなければいけません。IEC 61508を過度に適用することは、上記の誤りにつながります。正しくはあくまでISO 26262の上で考えなくてはなりません。特にIEC 61508にはDPFの概念が無いため注意が必要です。

---

$\dagger$Y. Chang, L. Huang, H. Liu, C. Yang and C. Chiu, "Assessing automotive functional safety microprocessor with ISO 26262 hardware requirements," Technical Papers of 2014 International Symposium on VLSI Design, Automation and Test, Hsinchu, 2014, pp. 1-4, doi: 10.1109/VLSI-DAT.2014.6834876.

---

前のブログ 次のブログ

アブストラクト(続き)

論文sae2020$\dagger$のアブストラクトの続きです。

The new version of the standard expands the PMHF concept by further promoting a new metric “average probability of failure per hour over the operational lifetime of the item”, which has not been commonly used by the reliability engineering community.

本規格の新バージョンでは、これまで信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という新しい指標をさらに推進することで、PMHFの概念を拡張しています。

既に2つ問題があります。まず1つ目は、新バージョンになってPMHFが進化した、拡張されたと書かれていますが、PMHFの文字上の定義は初版と第２版の間では変わっていません。規格を見てみましょう。

ISO 26262:2011(初版) Part5

• 9.4.2.1 "Quantitative target values for the maximum probability of the violation of each safety goal due to random hardware failures"
• 9.4.2.2 "Quantitative target values of requirement 9.4.2.1 shall be expressed in terms of average probability per hour over the operational lifetime of the item"

ISO 26262:2018(第2版) Part5

• 9.4.2.1 "Quantitative target values of requirements 9.4.2.2 or 9.4.2.3 shall be expressed in terms of average probability per hour over the operational lifetime of the item"
• 9.4.2.2 "Quantitative target values for the maximum probability of the violation of each safety goal at item level due to random hardware failures"

初版と第2版で定義の順番が変わっていたり、"at item level"と微小な追加があったりしますが、基本的には同じことを言っています。日本語に訳せば、「アイテムの稼働期間中の1時間あたりの平均確率で表した、ランダムハードウェア故障によるアイテムレベルでの各安全目標違反の最大確率の定量的目標値」となります。

もう一つの問題は、信頼性工学の分野では一般的に使用されていなかった「項目の動作寿命における1時間当たりの平均故障確率」という部分で、これは既にISO 12489の3.1.23に書かれているPFHが相当します。ISO 12489の原文を読めば3.1.23の平均故障頻度(average failure frequency)の項に、

The average failure frequency is also called “Probability of Failure per Hour” (PFH) by the standards related to functional safety of safety related/instrumented systems (e.g. IEC 61508[2]): PFH = $\overline{w}(T)$ where $T$ is the overall life duration of the system.

平均故障頻度は、安全関連／計装システムの機能安全に関連する規格（例：IEC 61508[2]）では、"Probability of Failure per Hour"（PFH）とも呼ばれている。PFH = $\overline{w}(T)$ ここで、$T$はシステムの全体的な耐用年数である。

と書かれています。平均故障頻度はPFHとも呼ばれ、故障頻度(=故障確率密度)を0から車両寿命まで積分したものを車両寿命で平均化したものです。

この段落の問題をまとめると、

• PMHFの定義は第2版で拡張されていない(=初版と同じ定義である)
• PMHFは新しいなじみのない概念ではない(=ISO 12489で既に定義されているPFHと同じ)

---

$\dagger$: Kleyner, A. and Knoell, R., “Calculating Probability Metric for Random Hardware Failures (PMHF) in the New Version of ISO 26262 Functional Safety - Methodology and Case Studies,” SAE Technical Paper 2018-01-0793, 2018

---

前のブログ 次のブログ