>サイトトップへ >このカテゴリの一覧へ

C 5750-4-3

:2011 (IEC 60812:2006)

(1)

目  次

ページ

序文  

1

1

  適用範囲  

1

2

  引用規格  

1

3

  用語及び定義  

2

4

  概要 

3

4.1

  はじめに  

3

4.2

  解析の目的及び目標  

4

5

  故障モード・影響解析(FMEA  

5

5.1

  一般的事項  

5

5.2

  準備作業  

5

5.3

  故障モード・影響及び致命度解析(FMECA  

14

5.4

  解析結果の報告  

21

6

  その他の検討事項  

22

6.1

  共通原因故障  

22

6.2

  ヒューマンファクタ  

23

6.3

  ソフトウェアのエラー  

23

6.4

  システム故障の影響の大きさに関する FMEA  

24

7

  適用 

24

7.1

  FMEA 又は FMECA の活用  

24

7.2

  FMEA の利点  

25

7.3

  FMEA の限界及び欠点  

26

7.4

  他の手法との関係  

26

附属書 A(参考)FMEA 及び FMECA の手順の要約  

28

附属書 B(参考)解析の例  

31

附属書 JA(参考)三要素 FMEA による人−装置系の解析例  

38

参考文献  

46


C 5750-4-3

:2011 (IEC 60812:2006)

(2)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,  財団法人日本規格協会(JSA)から,工業

標準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,経済産

業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS C 5750

の規格群には,次に示す部編成がある。

JIS

C

5750-1

  第 1 部:ディペンダビリティ  マネジメントシステム

JIS

C

5750-2

  第 2 部:ディペンダビリティ  マネジメントのための指針

JIS

C

5750-3-1

  第 3-1 部:適用の指針−ディペンダビリティ解析手法の指針

JIS

C

5750-3-2

  第 3-2 部:適用の指針−フィールドからのディペンダビリティデータの収集

JIS

C

5750-3-3

  第 3-3 部:適用の指針−ライフサイクル  コスティング

JIS

C

5750-3-4

  第 3-4 部:適用の指針−ディペンダビリティ要求事項仕様書作成の指針

JIS

C

5750-3-5

  第 3-5 部:適用の指針−信頼性試験条件及び統計的方法に基づく試験原則

JIS

C

5750-3-6

  第 3-6 部:適用の指針−ディペンダビリティにおけるソフトウェアの側面

JIS

C

5750-3-7

  第 3-7 部:適用の指針−電子ハードウェアの信頼性ストレススクリーニング

JIS

C

5750-4-1

  第 4-1 部:適用の指針−リユース部品を含む製品のディペンダビリティ−機能性及び

試験に関する要求事項

JIS

C

5750-4-2

  第 4-2 部:適用の指針−ソフトウェア  ライフサイクル  プロセスにおけるソウトウェ

ア  ディペンダビリティ

JIS

C

5750-4-3

  第 4-3 部:システム信頼性のための解析技法−故障モード・影響解析(FMEA)の手

JIS

C

5750-4-4

  第 4-4 部:システム信頼性のための解析技法−故障の木解析(FTA)


日本工業規格

JIS

 C

5750-4-3

:2011

(IEC 60812

:2006

)

ディペンダビリティ  マネジメント−第 4-3 部:

システム信頼性のための解析技法−

故障モード・影響解析(FMEA)の手順

Dependability management-Part 4-3 : Analysis techniques for system

reliability-Procedure for failure mode and effects analysis (FMEA)

序文 

この規格は,2006 年に第 2 版として発行された IEC 60812 を基に,技術的内容及び構成を変更すること

なく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項及び

附属書 JA は,対応国際規格にはない事項であ

る。

適用範囲 

この規格は,製品[サービスを含む。JIS C 5750-1 の 3.5(製品)を参照。

]のための故障モード・影響

解析(以下,

“FMEA”という。

)並びに故障モード・影響及び致命度解析(以下,

“FMECA”という。

)に

適用する。

この規格は,次に示す項目によって様々な目的を達成するために,FMEA 及び FMECA の適用について

の指針を示す。

−  解析を行う上で必要となる手続き上のステップの提供

−  適切な用語,前提条件,致命度の測定及び各故障モードの明確化

−  基本的な諸原則の規定

−  必要なワークシート類又はその他の表形式の書式例の提供

FMECA

が FMEA の拡張であることから,FMEA に対する全ての一般的な要求事項は,FMECA に対し

ても適用する。

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 60812:2006

,Analysis techniques for system reliability−Procedure for failure mode and effects

analysis (FMEA)

(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”こ

とを示す。

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。

)を適用する。


2

C 5750-4-3

:2011 (IEC 60812:2006)

JIS C 5750-1

  ディペンダビリティ  マネジメント−第 1 部:ディペンダビリティ  マネジメントシステ

JIS Q 9000

  品質マネジメントシステム−基本及び用語 

JIS Z 8115

ディペンダビリティ(

信頼性)用語

用語及び定義 

この規格で用いる主な用語及び定義は,JIS C 5750-1JIS Q 9000 及び JIS Z 8115 によるほか,次によ

る。

3.1 

アイテム(item)

ディペンダビリティの対象となる,部品,構成品,デバイス,装置,機能ユニット,機器,サブシステ

ム,システムなどの総称又はいずれか。

注記 1  アイテムは,ハードウェア及び/又はソフトウェアから構成する。さらに,特別な場合は,

人間も含む(JIS Z 8115 の G1 参照)

注記 2  プロセスも既定の機能を実行するアイテムとして定義し,プロセス FMEA 又は FMECA をプ

ロセスに対して実行する。通常,ハードウェア FMEA は,人並びに人とハードウェア及び/

又はソフトウェアとの相互作用は対象としないが,プロセス FMEA は,通常,人の行動も含

む。

3.2 

故障(failure)

アイテムが要求機能達成能力を失うこと(JIS Z 8115 の F1 参照)

3.3 

フォールト(fault) 

アイテムが要求機能を達成できない状態。

ただし,予防保全若しくはその他計画された活動の場合又は外部からの供給不良による場合は除く。

注記 1  フォールトはアイテム自体の故障の結果であるが,先行する故障がなくても存在することが

ある(JIS Z 8115 の FS1 参照)

注記 2  この規格では,“フォールト”を歴史的な理由で“故障”という言葉に言い換える。

注記 3  JIS Z 8115 の FS1 の定義を,次に示す。

a)

ある要求された機能を遂行不可能なアイテムの状態,また,その状態にあるアイテムの

部分。

b)

アイテムの要求機能遂行能力を失わせたり,要求機能遂行能力に支障を起こさせる原因

(設計の状態)

ただし,予防保全又はその他の計画された活動による場合,若しくは外部からの供給

不良による場合は除く。

3.4 

故障の影響(failure effect)

運用,機能又はアイテムの状態による故障モードの結果。

3.5 

故障モード(failure mode)


3

C 5750-4-3

:2011 (IEC 60812:2006)

アイテムにおける故障の様子。

注記 JIS 

8115

の F2 の定義を,次に示す。

故障状態の形式による分類。例えば,断線,短絡,折損,摩耗,特性の劣化など。

3.6 

故障致命度(failure criticality)

影響の厳しさ及びその発生頻度の組合せ,又は対処及び軽減に必要な尺度としてのその他の故障属性。

3.7 

システム(system)

相互に関連する又は相互に作用する要素の集まり[JIS Q 9000 の 3.2.1(システム)参照]

注記 1  ディペンダビリティの概念において,システムには次の事項を含む。

−  要求機能によって表現する明確な目的

−  運用に関する規定条件

−  明確にした境界

注記 2  システムの構造は,階層化されている場合もある[JIS C 5750-1 の 3.6(システム)参照]。

3.8 

故障の厳しさ(failure severity)

アイテムの運用,環境又は運用担当者に対する故障モードの影響の重要性又は格付け。解析するシステ

ムの規定の境界線及び関連する故障モードの影響の厳しさを示す。

概要 

4.1 

はじめに 

FMEA

は,システムの性能(直接の組立品及び全体のシステム又はあるプロセスの性能)に関する潜在

的故障モード並びにそれらの原因及び影響を明確にすることを目的とした,システムの解析のための系統

的な手順である。ここでいうシステムとは,ハードウェア若しくはソフトウェア(それらの相互作用を含

む。

)又はプロセスを表すものとして使用する。システムの解析は,故障モードの除去又は軽減が最もコス

ト有効度の高いものになるように開発サイクルの中でなるべく早期に実施する。この解析は,システムを

構成要素の性能を定義付ける機能ブロック図として表せば,すぐに開始できる。

FMEA

の実施時期は重要である。開発サイクル内の十分早い段階で FMEA を実施すれば,そこで明確に

なった欠点を改善する設計変更は,コスト低減に効果的な場合もある。したがって,FMEA は,設計プロ

セスと同時に繰り返し行うプロセスである。

FMEA

は,最上位のブロック図から個別の構成品又はソフトウェアの命令の各機能に至る,システムの

様々なレベルに対して適用可能である。FMEA は,設計開発が進むにつれて繰り返し更新するプロセスで

もある。設計変更は,FMEA の関連する部分の再検討及び更新を要求することになる。

徹底的な FMEA は,故障の原因となる製品設計における様々な種類の潜在的な不具合の大きさ及び結果

の大きさを認識し,評価する能力をもった人々のチーム活動から生まれる。チーム活動の長所は,思考プ

ロセスを相互に刺激し,必要な専門性を確実にする点にある。

FMEA

は,潜在的故障モードの厳しさを明らかにし,リスク低減措置へのインプットを提供する方法と

なる。FMEA は,故障モードの発生確率の推定を含む場合もある。これは,故障モードの起こりやすさの

尺度を提供することで解析精度を高めている。


4

C 5750-4-3

:2011 (IEC 60812:2006)

FMEA

の適用の前に,システム(ソフトウェアを含むハードウェア又はプロセス)をより基本的な階層

構造の要素へ分解する。この分解を説明するためには,単純なブロック図を用いることが有益である(IEC 

61078

参照)

。解析は,最下位レベルの要素から開始する。下位レベルのアイテムの故障モードの影響は,

その上位レベルのアイテムの故障モードの原因となり得る。この解析は,そのシステムに対する最終的な

影響が明らかになるまで,ボトムアップの方法で進める。この関係を,5.2.2.3 及び

図 に示す。

FMECA

は FMEA の拡張であり,改善策の優先順位を決めるために,故障モードの厳しさについて格付

けする方法を含む。これは,致命度と呼ばれる測定基準を作成するために,厳しさの尺度と発生頻度とを

組み合わせることによって行われる。

FMEA

の諸原則は,設計活動以外にも適用できる。FMEA の手順は,製造工程,又は病院,医学研究室,

学校などのその他の作業プロセスに適用できる。FMEA を製造工程に適用する場合,この手順は,産業界

では工程 FMEA 又はプロセス FMEA(以下,

“PFMEA”という。

)として知られている。FMEA を有効に

するために,チーム活動にとって適切なリソースを確保しなければならない。解析中のシステムの細部に

わたる理解は,準備段階の FMEA にとって不可欠なものではない。設計開発に伴い,詳細な故障モード解

析には,設計性能及び仕様書に関する細部にわたる知識が必要となる。複雑な設計には,通常,様々な分

野の設計専門家の参加が必要となる(例えば,機械工学,電気工学,システム工学,ソフトウェア工学,

保全支援など)

FMEA

は,通常,個々の故障モード及びシステムに対するこれらの故障モードの影響を扱う。それぞれ

の故障モードは互いに独立なものとして扱う。したがって,その手順は,従属故障又は一連の事象から引

き起こされる故障の検討には適していない。これらの状況を解析するには,マルコフ解析(IEC 61165 

照)又は故障の木解析(JIS C 5750-4-4 参照)など,その他の方法又は技法が必要となる。

故障の影響を決定するときに,より上位のレベルで誘発される(結果として生じる)故障又は場合によ

っては同じレベルでの誘発される故障を検討しなければならない。その解析は,より上位のレベルの影響

の原因となる故障モードの組合せ又はそれらの結果について,

できる限り示すことが望ましい。

その場合,

そのような影響の規模又は発生確率を推定するための更なるモデル化が必要となる。

FMEA

は,特定の産業又は製品のニーズに合わせて工夫ができる柔軟なツールである。特定の記入を求

める専用のワークシートが,

ある用途のために採用される。

故障モードの厳しさのレベルが規定されたら,

ワークシートは異なるシステム又は異なるシステムレベルのために個別に規定してもよい。

4.2 

解析の目的及び目標 

FMEA

又は FMECA を実施する目的を,次に示す。

a)

システム運用について好ましくない影響をもつ故障を明らかにする。例えば,運用を妨げたり,著し

く低下させたり,ユーザの安全に影響を及ぼしたりすることなどがこれに当たる。

b)

適用可能な場合には,顧客の契約に基づく要求事項を満たす。

c)

システムの信頼性又は安全性を改善できるようにする(例えば,設計の部分変更又は品質保証活動)。

d)

システムの保全性を改善できるようにする(保全性に対するリスク又は不適合を明らかにすることに

よって)

FMEA

を実施するための上記 a)d)の観点から,FMEA 又は FMECA の目標には,次に示す項目を含め

る場合がある。

a)

解析するシステムで,規定する条件での全ての好ましくない影響,並びに原因によらず当該システム

の機能階層構造の様々なレベルで明らかになったアイテムの故障モードによって生じる一連の事象の

包括的な識別及び評価。


5

C 5750-4-3

:2011 (IEC 60812:2006)

b)

システムの正しい機能若しくは遂行能力又は関連するプロセスに対する影響に関して,各故障モード

への対処又は緩和(箇条 参照)のための致命度又は優先課題の判定。

c)

関連特性に従って識別された故障モードの分類。関連特性には,検出の容易さ,診断能力,試験容易

性,修復及び運用の供給(修理,保全,補給など)を含む。

d)

システム機能故障の明確化並びに厳しさの尺度及び故障確率の推定

e)

故障モード削減の設計改善計画の立案

f)

故障の可能性を軽減し,削減するための効果的な保全計画立案の支援(IEC 60300-3-11 参照)

注記  致命度又は発生確率について言及する場合,上記のコメントは FMECA の方法に関するもので

ある。

故障モード・影響解析(FMEA 

5.1 

一般的事項 

伝統的に,FMEA を実施し,表現する方法には,多様性がみられる。その解析は,通常,故障モード,

それらの原因,並びに直接及び最終の影響を明らかにすることで実施される。解析の結果は,全体システ

ム及びそのシステムの細部の重要情報の核心部分を含むワークシートに表すことができる。それは,シス

テムが潜在的に故障になりそうな道筋,

システム故障の原因となりそうな構成品及びそれらの故障モード,

並びに個々の故障モードの発生原因を表す。

複雑な製品に適用する FMEA にかける労力は,極めて広範囲にわたる。これは,一部のサブアセンブリ

又はそれらの部品が完全には新しくはないことを念頭に置くことによって,かつ,製品設計の一部が前の

製品設計からの繰返し又は部分変更であることを明らかにすることによって,ときには縮小してもよい。

新たに行う FMEA は,それを構成する既存のサブアセンブリに関する情報をできる限り使用することが望

ましい。またそれは,新しい特色及びアイテムに対しては,最終試験又は十分な解析の必要性を明らかに

するものでなければならない。いったん,一つの設計に対して詳細な FMEA を作成したら,その設計以降

の世代まで更新かつ改善できる。このように既存の FMEA を更新かつ改善することで全く新しく解析する

よりも著しく少ない労力で作成できる。

過去の製品の既存の FMEA を使用する場合,その繰り返された設計が本当に同じ方法で,前の設計と同

じストレスの下で使用されることの確認が重要である。新たな運用ストレス又は環境ストレスがある場合

は,既に完成した FMEA の見直しが必要となる。異なる運用ストレス及び環境ストレスがある場合は,新

たな運用条件を考慮して全く新たな FMEA を作成することが要求される。

FMEA

手順は,次の主な四つの段階で構成する。

a) FMEA

の基本的ルールの確立,解析を行うための時間並びに専門的知識を確保するための計画及び工

程の作成

b)

論理図若しくは故障の木など他の手段又は適切なワークシートを活用した FMEA の実施

c)

様々な結論及び提言を含む解析の要約及び報告書の作成

d)

開発活動の進展に伴う FMEA の更新

5.2 

準備作業 

5.2.1 

解析のための計画 

FMEA

活動,追跡調査(フォローアップ)活動,手順,他の信頼性活動との関係,是正処置の管理及び

その終了の各プロセス並びにマイルストーンは,全体のプログラム計画の中に統合することが望ましい。


6

C 5750-4-3

:2011 (IEC 60812:2006)

信頼性プログラム計画は,使用する FMEA 解析方法を記述することが望ましい。この記述は,要旨又は

方法の記述を含む出典文書から参照したものであってもよい。

この計画には,次の事項を含むことが望ましい。

−  解析の具体的目的及び期待する結果についての明確な定義

− FMEA がどのように特定の設計要素に焦点を当てるのがよいかに関する,現状解析の範囲。この範囲

は,設計の成熟度,及び重要な機能を果たすという理由又は用いる技術の未成熟さの理由によってリ

スクとみなされる設計の要素を反映することが望ましい。

−  現状の解析がプロジェクト全体のディペンダビリティをいかに支えているかの記述

− FMEA の改訂及びその関連文書の管理に用いる決められた方法。解析文書及びワークシートの改訂管

理及び保存方法を規定することが望ましい。

−  必要なときに対応可能な設計専門家の解析への参加

−  適時な解析を確実にすることを明記したプロジェクトスケジュールの重要なマイルストーン。

−  対処が必要な故障モードの削減のプロセスにおいて,全ての明確にした処置の終了方法。

計画書は,全ての参加者の同意を反映し,プロジェクト管理者が承認することが望ましい。製品の設計

の最終段階又はその製造プロセス(プロセス FMEA)で完成した FMEA の最終レビューは,重要な故障モ

ードの削減のために記録された処置及びそれらの終了方法を明確にする。

5.2.2 

システムの構造 

5.2.2.1 

システムの構造に関する情報 

次に示す事項を,システムの構造に関する情報の中に含める。

a)

特性,性能,役割及び機能を含む異なるシステム要素

b)

各要素間の論理的な結び付き

c)

冗長レベル及びその性質

d)

設備全体でのシステムの位置及び重要性(可能な場合)

e)

システムのインプット及びアウトプット

f)

運用モードを変えたときのシステム構造の変化

FMEA

がそれら機能のいずれかを妨げる故障モードに適切に対処できるように,機能に関する情報,特

徴及び性能は,全てのシステムレベルについて,最高位のレベルまで検討しなければならない。

5.2.2.2 

解析のためのシステムの境界の定義 

システムの境界は,システムと環境との間の物理的及び機能的なインタフェースを形成する。この環境

は,システムと互いに影響し合う他のシステムを含む。解析のためのシステム境界は,設計及び保全につ

いて定義する境界と一致することが望ましい。これは,いかなるレベルにあるシステムにも適用すること

が望ましい。境界の外側にあるシステム及び/又はその構成品は,明確に除外して定義することが望まし

い。

システム境界の定義は,FMEA の最適な要求事項よりも,設計,用途,供給源及び商業基準によって影

響される可能性が高い。ただし,システム FMEA とプログラム内のその他の関連する調査・研究との統合

を容易にするために,可能な場合は境界を定義することが望ましい。このことは,特に,システムが境界

をまたぐ複数のアウトプットと境界内の複数のアイテムとの複数の相互結合で機能的に結び付いている場

合に当てはまる。このような場合,他のシステムとのインプット及びアウトプットの結び付きの数を制限

するために,ハードウェア及びソフトウェアの視点よりも,機能の観点から検討して境界を定義する方が

適切である。これは,システムの故障の影響の数を削減する結果となる。


7

C 5750-4-3

:2011 (IEC 60812:2006)

対象システムの境界の外にある他のシステム又は構成品も,検討除外であることを明白に示し,その存

在を忘れないように配慮することが望ましい。

5.2.2.3 

解析のレベル 

解析に用いるシステム内の保全実施単位を決定することは重要である。例えば,システムは,機能,サ

ブシステム,交換可能ユニット又は個別の構成品に分解できる(

図 参照)。解析のためにシステムの保

全実施単位を選択する基本ルールは,期待する結果及び設計情報の入手の可能性に依存する。有用な指針

を,次に示す。

a)

システムの最上位レベルは,設計概念及び規定したアウトプット要求事項から選択する。

b)

解析が効果的であるシステムの最下位レベルは,各機能の定義及びその説明を制定するための情報が

入手できるレベルである。適切なシステムのレベルの選択は,これまでの経験の影響を受ける。詳細

でない解析でも,確かな信頼性,保全性及び安全性記録をもつ成熟した設計に基づくシステムについ

ては,適切と判断できる場合もある。逆に,新たに設計されたシステム,又は信頼性の履歴が不明な

システムについては,極めて詳細でそれに対応する,より下位のレベルが必要となる。

c)

規定した又は意図した保全及び修復のレベルは,より下位のシステムレベルを決定する上で有用な指

針となり得る。

FMEA

における故障モード,故障原因及び故障の影響の内容は,解析及びシステム故障基準のレベルに

依存する。解析が進むにつれ,より下位レベルの故障の影響が,上位レベルの故障モードの原因になる場

合もある。

それらの下位レベルの故障モードの影響が,

上位レベルの故障モードの原因となる場合もある。

システムをその構成要素に分解する場合,一つ以上の故障モードの影響が,別の故障モードの原因とな

り,それが上位レベルに影響,すなわち,部品故障の原因となる。部品故障は,更に上位レベルに影響,

すなわち,モジュール故障の原因となり,それ自体がサブシステム故障の原因となる。このように,ある

構成要素レベルの原因による影響は,より上位のレベルで別の故障の原因となる。上記の関係を

図 に示

す。


8

C 5750-4-3

:2011 (IEC 60812:2006)

サブシス

テム 1

サブシス

テム 4

サブシス

テム 2

サブシス

テム 3

サブシス

テム 5

モジュ

ール 1

モジュ

ール 2

モジュ

ール 4

モジュ

ール 3

サブシステム 4 の故障の原因

故障モード

部品 1

モジュール 3 の故障の原因

故障モード

システム

システム故障の原因

故障モード

サブシステム 4

モジュール 3

モード

1

部品 2 の故障の原因

故障の原因

部品 2

原因

1

部品 2 のモード 3 の故障の原因

サブシステム 4 の故障に影響

モジュール 3 の故障に影響

部品 2 の故障に影響

モード 3 の故障に影響

部品 2

部品 3

部品 4

部品 5

モード

2

モード

3

原因

2

原因

3

図 1−システム階層構造内の故障モードと故障の影響との関係 

5.2.2.4 

システム構造の表示 

システムの構造及び運用の記号による表現,

特に図による表示は,

解析を進める上で極めて有用である。

システムに不可欠な全ての機能を示した単純な図を作成することが望ましい。図の中の各ブロックは,

各機能に関するインプット及びアウトプットを示す線によって結び付けられている。通常,各機能及び各

インプットの特性は,正確に記述する必要がある。システム運用の異なる段階を網羅する複数の図があっ

た方がよい。


9

C 5750-4-3

:2011 (IEC 60812:2006)

システム設計の進捗に合わせて,構成品のブロック図を実際の構成品又は部品を示すブロックを用いて

作成できる。この追加された知識によって,潜在的故障モード及び原因のより正確な識別が可能となる。

これらの図は,要素間の直列及び冗長の関係並びに機能的な相互依存性を示すことが望ましい。これに

よって,機能故障をシステム全体を通して突き止めることが可能となる。システム運用の代替的なモード

を示すためには,複数の図が必要な場合がある。各運用モードには,個別の図が必要である。少なくとも,

ブロック図は,次の事柄を含むことが望ましい。

a)

システムの機能の関係を含めた主要なサブシステムへの分解

b)

全て適切に名付けられたインプット及びアウトプット,並びに各サブシステムが一貫して参照される

識別番号

c)

システムを故障から保護する全ての冗長性,代替の信号回路及びその他の技術的特徴

5.2.2.5 

システムの開始,運用,管理及び保全 

システムの異なる運用条件は,設定の変更,又は異なる運用段階の間のシステム及びその構成の変更と

同様に規定することが望ましい。要求する最低のシステム性能は,その正常及び/又は故障の基準が明確

に理解できるように定義することが望ましい。アベイラビリティ又は安全性などの特定の要求事項は,達

成することが望ましい最低レベルの性能及び許容できる最大レベルの損害又は損傷という観点から検討す

ることが望ましい。次に示す項目について,正確な知識をもつ必要がある。

a)

システムが働くために必要なそれぞれの機能の持続時間

b)

定期試験の時間間隔

c)

システムに深刻な結果が起こる前に是正処置するための利用可能な時間

d)

運用担当者とのインタフェース並びに相互作用を含む全ての設備,環境及び/又は人員

e)

システムの始動,停止,その他の運用推移などの運用手順

f)

運用段階の管理

g)

予防保全及び/又は事後保全

h)

実施する場合は,ルーチン試験のための手順

FMEA

の活用の一つは,保全戦略の進展を支援することであるとされてきた。ただし,保全戦略をあら

かじめ決定している場合,予防保全及び事後保全のために,保全の設備,機器及び予備品に関する情報を

周知することが望ましい。

5.2.2.6 

システム環境 

システムの環境条件は,周囲の条件及び近接しているその他のシステムによって生み出されるものも含

めて,規定することが望ましい。システムは,その関連性,従属性又は補助システム若しくはその他のシ

ステムとヒューマンインタフェースとの相互接続について,図で示すことが望ましい。

設計段階では,これらの事実は,通常全く不明なので,概算及び仮定が必要である。プロジェクトが進

展するにつれて,データを拡充し,新たな情報,変更された仮定又は概算を考慮して FMEA を修正する。

多くの場合 FMEA は,必要な条件を規定するために有用である。

5.2.3 

故障モードの判定 

当該システムの運用が成功するかどうかは,ある種の重要なシステム要素の性能に左右される。システ

ム性能の評価の鍵は,それらの重要な要素の識別である。故障モード並びにそれらの原因及び影響を識別

する手順は,次に示す項目に照らして予想される故障モードのリストを準備することによって効果的に強

化できる。

a)

システムの使用


10

C 5750-4-3

:2011 (IEC 60812:2006)

b)

含まれる特定のシステム要素

c)

運用モード

d)

適切な運用仕様

e)

時間的制約

f)

環境ストレス

g)

運用ストレス

一般的な故障モードの例を,

表 に示す。

表 1−一連の一般的な故障モードの例

1

運用中の故障

2

指定された時間に運用できない故障

3

指定された時間に運用を停止できない故障

4

指定された時間前の運用

注記  このリストは,一例にすぎない。異なるタイプのシステ

ムには,異なるリストが必要となる。

実際には,あらゆるタイプの故障モードが,これらの区分のうちの一つ以上に分類される。しかし,こ

れらの一般的な故障モードの区分では最終的な解析のためには適用範囲が広すぎる。このため,区分をも

っと特定するためにリストを拡大する必要がある。信頼性ブロック図に関するインプット及びアウトプッ

トを規定する性能仕様書と結び付けて使用すれば,全ての潜在的故障モードを明確化し,記述できる。当

該故障モードには,幾つかの原因があることに注意するとよい。

解析の目的に合う最低位レベルのシステム境界内での全てのアイテムの評価を,全ての潜在的故障モー

ドを明確にするために実施することが重要である。次に,サブシステム及びシステム機能に関する故障に

ついて,発生し得る原因及び影響を決定するための調査に着手できる。

アイテムの供給者は,自分たちの製品の潜在的なアイテムの故障モードを明確にすることが望ましい。

この機能の代表的な故障モードデータを支援することは,次に示す領域から求めることができる。

a)

新しいアイテムについては,類似の機能及び構造をもった他のアイテム及び適切なストレスレベルの

下でそれらに関して実施する試験の結果を参照できる。

b)

新しいアイテムについては,その設計の意図及び詳細な機能解析によって,潜在的故障モード及びそ

れらの原因を示すことができる。この方法は,a)の方法より優れている。なぜならば,それらのスト

レス及び運用自体が,同種のアイテムとは異なる可能性があるためである。この状況の一例が,同種

の設計の中で用いられるものとは異なるシグナルプロセッサの使用である。

c)

使用中のアイテムについては,使用中の記録及び故障データを考慮する。

d)

潜在的故障モードは,そのアイテムの運用に特徴的な機能的かつ物理的パラメータから導き出すこと

ができる。

アイテムの故障モードは,データ不足から除外せず,当初の評価は,試験結果及び設計の進展によって

改善することが重要である。FMEA はそれらの評価の状態を記録することが望ましい。

故障モードの識別及び必要な場合には,改善設計処置,予防的な品質保証処置又は予防保全処置の決定

が最も重要である。発生確率を知ることよりも,設計方法によって故障モードの影響を明らかにし,可能

な場合には,それを軽減することの方が重要である。優先課題を指定するのが困難な場合は,故障致命度

の解析が必要になる。


11

C 5750-4-3

:2011 (IEC 60812:2006)

5.2.4 

故障の原因 

それぞれの潜在的故障モードの最も可能性の高い原因を明確にし,説明することが望ましい。一つの故

障モードには一つ以上の原因があり得るので,各故障モードについて最も可能性の高い個別の原因を明確

にし,説明する必要がある。

故障の原因の明確化及び説明は,必ずしも解析で明確になる全ての故障モードについて必要ではない。

故障の原因の明確化及び説明は,それらの削減に関する提案とともに,故障の影響及び故障の厳しさに基

づいて実施することが必要である。故障モードの影響が厳しくなればなるほど故障の原因をもっと正確に

明確化し,説明する必要がある。そうでないと,解析担当者は,システムの機能性に影響を及ぼさないか,

極めてわずかな影響しか及ぼさない,それらの故障モードの故障原因の明確化に関して,無用な努力をす

ることになる。

故障の原因は,フィールド故障又は試験ユニット内の故障の解析によって判断する。設計が新しくて前

例がない場合,専門家の意見を聞くことによって故障の原因を判断してもよい。

各故障モードの原因が明確化された場合,推奨する処置は,推定する故障の発生確率及びその故障の厳

しさに基づいて評価することである。

5.2.5 

故障の影響 

5.2.5.1 

故障の影響の定義 

故障の影響は,システムの運用,機能又は状態に関する故障モードの結果の大きさである(3.4 参照)

故障の影響は,一つ以上のアイテムの一つ以上の故障モードによって引き起こされる場合がある。

システム要素の運用,機能又は状態に関する各故障モードの結果の大きさを明確にし,評価し,記録す

る必要がある。適切な場合には,いつでも,保全活動及びシステムの目的を考慮することが望ましい。あ

る故障の影響がすぐ上のレベルに影響を及ぼし,最終的に解析されている最上位のレベルに影響を及ぼす

可能性がある。したがって,各レベルでは,上位のレベルに対する故障の影響を評価することが望ましい。

5.2.5.2 

局所的な故障の影響 

“局所的な影響”という表現は,検討中のシステム要素に対する故障モードの影響を指す。アイテムの

アウトプットに対するそれぞれの発生し得る故障の結果の大きさを説明することが望ましい。局所的な影

響を明確にする目的は,既存の代替的対策を評価するか,又は推奨する是正処置を考案するときに判断の

基礎を提供することにある。ある例では,故障モードそれ自身を超える局所的な影響はないことがある。

5.2.5.3 

システムレベルの故障の影響 

最終的な影響を明確にするとき,最上位のシステムレベルに対して発生し得る故障の影響は,全ての中

間的なレベルの解析によって規定し,評価する。記述する最終的な影響は,複合故障の結果であることが

ある(例えば,安全装置が壊れ,そのために安全装置の設計上の主な機能が許容範囲を超える場合にだけ,

壊滅的な最終影響をもたらす安全装置の故障など)

。複合的故障がもたらすこれらの最終的な影響を,ワー

クシートに記入することが望ましい。

5.2.6 

検出の方法 

各故障モードについて,解析担当者は,故障を検出する方法及びそれによってユーザ又は保全担当者が

故障に気付く手段を決定することが望ましい。故障の検出は,設計の自動的特性(組込み試験)

,システム

運用の前の特別な点検手順の確立,又は保全活動中の検査によって実施してもよい。それは,システムの

開始時点又は運用中連続的に若しくは指定された間隔で実施してもよい。いずれの場合でも,故障の検出

及びその予告は,危険な運用条件をあらかじめ排除することが望ましい。

同様の兆候を引き起こすと考えられるもの以外の故障モードを解析し,一覧にすることが望ましい。運


12

C 5750-4-3

:2011 (IEC 60812:2006)

用中の冗長要素の故障について,個別的な検出の必要性も検討することが望ましい。

設計 FMEA では,設計の不具合の発生頻度,発生及び発生箇所を検出できるかを検討する(レビュー,

解析,シミュレーション,試験などによって)

。プロセス FMEA では,プロセスの中で,不具合の発生頻

度,発生及び発生箇所を検出でき,そのプロセスの中で,例えば,操作担当者,統計的プロセス管理,品

質チェック手順又はその後の段階などによる確率を検討する。

5.2.7 

故障を補正するための対策 

故障モードの影響を防止し,軽減する能力をもつ当該システムレベル又はその他の対策での設計特徴の

明確化が,極めて重要である。そのため,FMEA は,その故障モードが存在するうちに,そうした特徴を

もった真の動作を明確に示すことが望ましい。FMEA 内に記録する必要のある故障に対するその他の対策

には,次に示す項目を含む。

a)

一つ以上の要素が故障しても連続的な運用ができる冗長アイテム

b)

代替の運用手段

c)

監視装置又は警報装置

d)

効果的な運用を可能にする,又は損害を抑えるその他の手段

設計プロセスの間に,アイテムの機能要素(ハードウェア及びソフトウェア)を繰り返し再調整したり,

設計し直したり,その能力を変更したりしてもよい。各段階で,明確化した故障モードと FMEA との関連

性は,更新するか,又はそのままであることが望ましい。

5.2.8 

故障の厳しさの分類 

故障の厳しさは,アイテムの動作に関する故障モードの影響の重要性の評価である。故障の厳しさの影

響の分類は,FMEA の適用に大きく依存し,次に示す幾つかの要因を検討する中で展開する。

−  故障によってユーザ又は環境にもたらされる可能性のある影響に関係するシステムの特性

−  システム又はプロセスの機能性能

−  顧客によって課せられる契約上の要求事項

−  政府又は産業界の安全要求事項

−  保証書が示す要求事項

FMEA

タイプの一つに対する,ある製品の定性的な故障の厳しさの分類の事例を,

表 に示す。

表 2−最終的な影響に関する故障の厳しさの分類の事例

区分

故障の厳しさのレベル

人又は環境への結果の大きさ

IV

全機能喪失

システムの主要機能の故障につながる可能性があり,その結果,システム及びその
環境に深刻な損害及び/又は人に傷害をもたらす故障モード

III

致命的

システムの主要機能の故障につながる可能性があり,その結果,システム又は環境
への著しい損害の原因となるが,生命の危険又は傷害はもたらさない故障モード

II

限定的

システムに対する著しい損害又は生命の危険若しくは傷害の可能性はないが,シス
テムの作動機能の劣化を招く可能性のある故障モード

I

軽微

システムの作動機能の劣化を招く可能性はあるが,システムに損害又は生命の危険
若しくは傷害をもたらさない故障モード

5.2.9 

発生頻度又は発生確率 

故障モードの影響又は致命度を適切に評価するために,各故障モードの発生頻度又は発生確率を決める

ことが望ましい。

故障モードの発生確率の決定については,故障率に関する公開された情報に加えて,その発生確率に寄


13

C 5750-4-3

:2011 (IEC 60812:2006)

与する各構成品の運用プロフィール(適用する環境的,機械的,及び/又は電気的ストレス)を検討する

ことが極めて重要である。これは,構成品の故障率,その結果としての検討中の故障モードの故障率が,

多くの場合,べき乗則の関係又は指数的に適用されるストレスの増加に比例して増加するためである。設

計についての故障モードの発生確率は,次のような事柄から推定できる。

−  構成品の寿命試験のデータ

−  故障率についての入手可能なデータベース

−  フィールド故障データ

−  同様のアイテム又は構成品の区分についての故障データ

発生の確率が測定されたら,FMEA は,測定を行う期間を決めなければならない。それは通常,そのア

イテム又は製品の保証期間又はあらかじめ設定された寿命期間である。

発生頻度及び発生確率の適用は,故障致命度の解析の記述の中で更に説明する。

5.2.10 

解析の手順 

解析がどのように進行するかを示すフローチャートを,

図 に示す。


14

C 5750-4-3

:2011 (IEC 60812:2006)

図 2−解析のフローチャート 

5.3 

故障モード・影響及び致命度解析(FMECA 

5.3.1 

解析の目的 

FMEA

に追加された文字 C は,その故障モード解析が致命度解析も生み出すことを意味している。致命

度の決定は,故障モードの影響の大きさに関する定性的な尺度の追加を意味する。致命度には多数の定義

及び尺度があり,それらの大半が類似の意味,すなわち,対策及び軽減が必要な故障モードの影響又は重

要性という意味をもつ。それらの尺度の一部を,5.3.2 及び 5.3.4 に示す。致命度解析の目的は,致命度及

アイテムの FMEA 又は FMECA を開始する。

解析するアイテムの構成品を選択する。

選択した構成品の故障モードを明らかにする。

解析する故障モードを選択する。

故障モードの即時的な影響及び最終的な影響を明確にする。

最終的な影響の厳しさを判定する。

その故障モードの原因と思われるものを明確にする。

あらかじめ決定した期間中の故障モードについて

発生頻度又は発生確率を推定する。

軽減方法,是正処置,補正対策を提示する。

処置及び責任者を明確にする。

はい

いいえ

故障の

厳しさ及び/又は

故障の発生確率は,処理の必

要性を示しているか

その他の

解析のための構成品は

存在するか

FMEA

を終了。適切な場合は,

次の改訂年月日を決定する。

勧告,処置,所見などの文書化

いいえ

いいえ

はい

はい

解析しなければ

ならないその他の構成品の

故障モードは存在

するか


15

C 5750-4-3

:2011 (IEC 60812:2006)

び厳しさの組合せで,故障の影響を軽減したり,最小化したりする処置の優先順位を設定するように,意

思決定の一助として,各故障の影響の相対的な大きさを定量化することにある。

5.3.2 

リスク(R)及びリスク優先数(RPN 

致命度の定量的判定方法の一つが,リスク優先数,RPN(Risk Priority Number)である。リスクは,こ

こでは,影響の厳しさに関する主観的尺度及び解析のために事前に決定した期間で期待発生確率の推定値

によって評価する。これらの尺度が利用できない一部のケースでは,非数量的 FMEA というより単純な形

態を参照することが必要となる。

FMECA

内の潜在的リスクの尺度に関する一般的な関係を,次の式によって求める場合がある。

RS×

ここに,

R: FMECA 内の潜在的リスク

S: 厳しさを表す無次元の数,すなわち,故障の影響がどれ

ほど強くシステム又はユーザに影響を与えるかの推定値

P: 発生確率を表す無次元の数

0.2

未満の場合,5.3.4 で規定する一部の定量的 FMEA で

用いる致命度数 C,すなわち,その故障の影響の発生し
やすさの推定値によって置き換えることができる。

FMEA

又は FMECA の適用は,システムレベルで故障の検出のレベルを付加的に区別する。故障の検出

に関する付加的区分(これも無次元の数である。

)を用い,リスク優先数(RPN)は次の式によって求める。

RPNS×O×D

ここに,

RPN: リスク優先数

O: 事前に決定又は規定した期間における故障モードの発

生頻度。実際の発生頻度よりも順位番号で規定する場合
もある。

D: 故障の検出に関する付加的区分,すなわち,そのシステ

ム又は顧客が影響を受ける前に,故障を識別し,除去す
る機会の見積もり値。 
通常,厳しさ又は発生回数とは逆の順序で格付けする。
すなわち,値が大きいほど,その検出の確からしさは小
さくなる。その結果,検出の確率が小さくなると RPN 
大きくなり,故障モード解決のための優先順位は高くな
る。

RPN は,故障モードの軽減に取り組むときの優先順位付けに用いる。さらに,故障モード軽減のための

優先順位は,故障モードの厳しさにも影響を受ける。すなわち,類似の又は同一の RPN をもつ故障モード

が存在する場合には,故障モードの厳しさの大きいものから取り組まなければならない。

これらの関係は,連続的又は離散的な尺度のいずれかで,数値で評価できる(有限個の既定値)

次に,故障モードは,それらの RPN に従って順序付けられ,RPN が大きくなれば優先順位は高くなる。

一部の適用では,規定したしきい(閾)値を超える RPN の影響は許容できないが,他の適用では,RPN

の値にかかわらず,高い厳しさの数の方がより重要とみなせる。

異なるタイプの FMECA は S及び に異なる尺度を指定する。1∼4 又は 5 のものもあれば,設計又

は生産プロセスの解析のために自動車産業で広く活用されている FMECA(DFMEA 及び PFMEA の名で知

られている。

)などの中には,三つの属性(S及び D)の全てに,1∼10 の尺度を用いるものもある。


16

C 5750-4-3

:2011 (IEC 60812:2006)

5.3.3 FMECA

とリスク解析との関係 

厳しさと結び付いた致命度はリスクの尺度であるが,一般に認められているリスクの尺度とは異なり,

評価においては,より厳密でなく,したがって,多くの場合,より費用がかからない。この違いは,故障

の影響の厳しさの予測方法だけでなく,寄与する要素間の比較的単純な相互関係が FMECA に適用する典

型的なボトムアップ式の手順でモデル化できる点にも表れる。FMECA が通常,全体のリスクへの寄与の

相対的な順位を示すのに対し,高リスクのシステムについてのリスク解析は一般にリスクの許容可能性を

目指している。しかし,低リスク及び複雑さの少ないシステムについては,FMECA は,極めてコスト有

効度が高くて適切な方法の可能性がある。FMECA の期間中に,高リスクの影響の起こりやすさが認識さ

れる場合はいつでも,確率的なリスク解析(PRA)を FMECA に優先して使用する。

したがって,高リスク又はより複雑なシステムの特定の影響のリスクが許容可能なほど小さいかどうか

の判断のために,FMECA の結果を唯一の根拠とするのは望ましくない。頻度又は厳しさの推定値が信頼

できるデータに基づいている場合でも同様である。許容可能かどうかの判断は,確率的リスク解析の作業

となる。より影響を及ぼすパラメータ(及びそれらの相互作用)

,例えば,暴露時間,回避の確率,故障の

潜在,フォールト検出メカニズムなどをこの解析の中で考慮する。

FMEA

によって明確化する故障の影響を用いることで,各影響は,適切な厳しさ区分に配分される。事

象の頻度は,関連する部品の故障データ又は推定値から計算する。関係するミッション時間を乗じた頻度

が致命度数となり,それは,それ自身の値に従っていずれかの尺度に適用できるか,又はその尺度がイベ

ントの発生確率を示す場合には,その発生確率は尺度によって見積もることができる。それぞれの影響に

関する厳しさの区分及び致命度(又は発生確率)の区分は,共に影響の大きさに相当する。二つの主な致

命度評価の方法は,致命度マトリックス方法及び RPN の概念に区別できる。

5.3.4 

故障モードの故障率,確率及び致命度数の決定 

類似アイテムの故障モードについての故障率が活用でき,それらが解析中のシステムについて想定され

るものと同じ環境条件及び運用条件の下で決定されている場合,それらの影響に関する事象の頻度を,

FMECA

に直接追加できる。一般的には,次のケースが多いが,故障率が,故障モードについてではなく

アイテムについて算出されている場合,また,異なる環境又は運用条件について故障率が算出されている

場合は,故障モードの故障率を計算する必要がある。一般に次の関係が成立する。

λ

i

λ

j

×α

i

×β

i

ここに,

λ

i

故障モード の故障率(一定値)の推定値

λ

j

構成品 の故障率

α

i

故障モード の故障モード比率,すなわち,そのアイテ
ムが故障モード をもつ確率

β

i

故障モード と仮定した場合の故障の影響の条件付き確

この方法の主な欠点は,一定の故障率を暗黙に想定していることであり,多くの要因が予測又は最適な

推測にすぎない点である。このことは,システムの構成品の関連する故障率が存在しない場合,特に,機

械の構成品又はシステムなどのように,特定の適用,適用期間及び関連ストレスに対して計算された故障

確率が存在しない場合に当てはまる。

故障率データに関連する環境,負荷及び保全条件の変更は,要因を修正することで評価する。適切な修

正値に関する指針は,信頼性データを対象とする出版物に掲載されている場合がある。選ばれた変更子が

正確で,特定のシステム及びその運用条件に適用できることを確実にするために,特別な配慮を行う必要

がある。


17

C 5750-4-3

:2011 (IEC 60812:2006)

致命度解析への定量的な方法の一部の適用では,故障モード致命度数(

“致命性”という一般的な言葉と

は関連がない)が故障モード の故障率の代わりに用いられる。致命度数は,条件付き故障頻度と運用時

間とを関係付け,それは次に,事前に決定された製品使用期間中の故障モードリスクに関するより現実的

な評価の助けとなる。

C

i

λ

i

×t

λ

j

×α

i

×β

i

×t

j

ここに,

C

i

故障モード致命度数

t

j

FMECA

に用いる全ての既定時間中の構成品運用時間

(動作状態にある構成品動作時間)

通りの故障モードをもつ構成品の致命度数は,次のようになる。

×

×

×

m

i

j

i

i

j

j

t

C

1

β

α

λ

致命度数が致命度という言葉そのものと関係がないことに注意する。それは,故障モードの結果の大き

さ及びその発生確率の相対的な尺度という意味合いで,ある FMECA タイプについて計算された値にすぎ

ない。ここで,致命度数は,リスクの尺度であって,発生確率の尺度ではない。

時間 t

j

での故障モードの発生確率は,計算された致命度から次の式によって求める。

i

C

i

P

− e

1

ここに,

P

i

時間 t

j

での故障モードの発生確率

概算によって,故障モードの故障率及びその結果としての致命度数が小さい場合,発生確率が 0.2 未満

のとき(この場合,致命度は 0.223 である。

)は,致命度数及び故障の確率の値は,極めて類似する。

故障率又は故障頻度が一定でない場合には,故障率(頻度)が一定であるとの仮定に基づく致命度では

なく,発生確率を計算しなければならない。

5.3.4.1 

致命度マトリックス 

致命度は,

図 3

に示すように,致命度マトリックス上に示すことができる。致命度の普遍的な定義は存

在しないが,致命度が解析担当者によって定義され,プロジェクト又はプログラムの管理者が受容する必

要がある。各定義は,適用分野によって大きく異なる。

発生確率の可能性

5

(A)

高リスク

4

(B)

故障モード

1

3

(C)

2

(D)

故障モード

2

1

(E)

低リスク

 I

II  III  IV

厳しさ

図 3

致命度マトリックス 


18

C 5750-4-3

:2011 (IEC 60812:2006)

図 3

では,厳しさは値が大きくなるに従って増加し,IV が最も高い厳しさ(人命及び/又はミッション

若しくは運用の損失,又は傷害)である。また,発生確率の可能性は,5 が最も高い。最も高い発生確率

が 0.2 未満の場合,発生確率及び致命度の値はほぼ同じである。しばしば見られるマトリックスの一つを,

次に示す。

−  致命度数 1 又は E,起こり得ない,発生確率:0≦P

i

<0.001

−  致命度数 2 又は D,低い,発生確率:0.001≦P

i

<0.01

−  致命度数 3 又は C,時々起こる,発生確率:0.01≦P

i

<0.1

−  致命度数 4 又は B,起こり得る,発生確率:0.1≦P

i

<0.2

−  致命度数 5 又は A,頻繁に起こる,発生確率:P

i

≧0.2

図 3

は一例である。異なるレベル及び異なる定義をもつ致命度又は厳しさを示す方法もある。

図 3

に示す例で,故障モード 1 は,故障モード 2 よりも発生可能性が高い。故障モード 2 は,故障モー

ド 1 よりも厳しさが高い。故障モードが,対応が必要なほど優先順位が高いかどうかの判断は,厳しさ及

び頻度の分類の尺度並びに順位付けの原則による。線形の尺度において,故障モード 1 が(通常,マトリ

ックスによって示すような)故障モード 2 よりも致命度(又は発生確率)が高いにもかかわらず,厳しさ

が頻度に優先するため,故障モード 2 の方がより致命的な故障モードとなる適用もある。また,同じシス

テムの保全実施単位に関連する故障モードだけを,致命度マトリックスで比較することに意味がある。な

ぜなら,複雑度の低いシステムでは,より下位レベルの故障モードが,通常,低頻度を示す傾向があるか

らである。

致命度マトリックス(

図 3

参照)は,上記の説明のように,定性的かつ定量的に適用できる。

5.3.5 

リスク許容度評価 

最終製品の解析に致命度マトリックスを行う場合,厳しさ及びその事象の頻度によって表すことができ

る。リスクの許容度は,主観的な又は専門的及び財政的な判断によって行われ,産業のタイプによって異

なる。リスク許容度のクラスと修正された厳しさのレベルとのマトリックスの例(故障の影響の発生頻度

と厳しさのレベルとのマトリックス)を,

表 3

に示す。

表 3

故障の影響の発生頻度と厳しさのレベルとのマトリックス 

故障の影響の発生頻度

厳しさのレベル

I

重要でない

II

軽微

III

重大

IV

破滅的

5

:頻繁に起こる

望ましくない

許容できない

許容できない

許容できない

4

:起こり得る

許容できる

望ましくない

許容できない

許容できない

3

:時々起こる

許容できる

望ましくない

望ましくない

許容できない

2

:低い

無視できる

許容できる

望ましくない

望ましくない

1

:起こり得ない

無視できる

無視できる

許容できる

許容できる

5.3.6 

順位の尺度をもつ FMECA の形式 

5.3.2

で規定した FMECA の形式は,自動車産業における製品の製造工程の解析用だけではなく,製品設

計の解析のためにも一般的に用いられる。

解析の方法は,厳しさ S,発生頻度 及び検出 について示す三つの表(

表 4

表 6

参照)の定義を除

けば,一般的な形態の FMEA 又は FMECA で説明するものと同じである。


19

C 5750-4-3

:2011 (IEC 60812:2006)

5.3.6.1 

代替的な厳しさの決定 

自動車産業で主として用いられる厳しさ順位の例を,

表 4

に示す。

表 4

故障モードの厳しさ 

厳しさ

基準

順位

なし

目に見える影響はない。 1

非常に軽微

は(嵌)め合い,仕上げ,きし(軋)み音又は“がたがた”という音を立てるア
イテムが基準に適合しない。目の肥えた顧客が気付く欠点(25 %以下)

2

軽微

は(嵌)め合い,仕上げ,きしみ音又は“がたがた”という音を立てるアイテム
が基準に適合しない。顧客の 50 %が気付く欠点。

3

非常に低い

は(嵌)め合い,仕上げ,きしみ音又は“がたがた”という音を立てるアイテム
が基準に適合しない。大半の顧客が気付く欠点(75 %以上)

4

低い

車両又はアイテムは動作可能だが,快適又は便利アイテムは動作するが性能が低
下した状態。顧客はやや不満。

5

中程度

車両又はアイテムは動作可能だが,快適又は便利アイテムは動作しない。顧客は
不満。

6

高い

車両又はアイテムは動作可能だが,性能が低下した状態。顧客は極めて不満。 7

非常に高い

車両又はアイテムが動作不能(主要な機能の喪失)

。 8

警告を要する程度に
危険

潜在的故障モードが安全な車両の運用に影響する。及び/又は警告はあるが法令
の不履行を含むほど,厳しさの順位が極めて高い。

9

警告なしでは危険

潜在的故障モードが安全な車両の運用に影響する。及び/又は警告なしに法令の
不履行を含むほど,厳しさの順位が極めて高い。

10

注記  出典:SAE J1739

厳しさの順位は,システムとしての車両という観点から,そのシステムに対する要求事項,目的及び制

約事項に着目し,システム全体の性能及び安全性に対する影響の厳しさに基づいて,各故障モードがもた

らす故障の影響に応じて配分する。これは FMECA シートによって最も簡単に実施できる。

表 4

による厳

しさの判定では,6 以上のものについては極めて明確である。厳しさ 3∼5 の判定は主観的なものである。

5.3.6.2 

発生頻度の代替的な決定方法 

自動車産業で RPN の概念の中で用いる故障発生頻度及び故障発生確率による故障モードの発生の定義

の例を,

表 5

に示す。

表 5

故障発生頻度及び故障発生確率による故障モードの発生の定義の例 

故障モードの発生

格付け

故障頻度

故障確率

まれ(稀)

:故障はまず起こらない 1

車両又はアイテム 1 000 件当たり 0.010 以下

1

×10

5

以下

低い:比較的故障が少ない 2

車両又はアイテム 1 000 件当たり 0.1 1×10

4

3

車両又はアイテム 1 000 件当たり 0.5 5×10

4

中程度:時々故障する 4

車両又はアイテム 1 000 件当たり 1 1×10

3

5

車両又はアイテム 1 000 件当たり 2 2×10

3

6

車両又はアイテム 1 000 件当たり 5 5×10

3

高い:繰り返し故障する 7

車両又はアイテム 1 000 件当たり 10 1×10

2

8

車両又はアイテム 1 000 件当たり 20 2×10

2

非常に高い:故障が不可避 9

車両又はアイテム 1 000 件当たり 50 5×10

2

10

車両又はアイテム 1 000 件当たり 100 以上

1

×10

1

以上

注記  出典:AIAG(Automotive Industry Action Group):潜在的故障モード・影響解析,FMEA,第 3 版。


20

C 5750-4-3

:2011 (IEC 60812:2006)

表 5

で,

“故障頻度”という用語は,ミッション又は決められた寿命期間での動作回数当たりの発生割合

とする。それは“故障比率(fraction failed)

”又は発生確率とみなすことができ,それらに対応する確率は

単にこの比率を反映することに注意することが望ましい。例えば,格付けが 9 の故障モードは,既定のミ

ッション期間中における三つのシステム内における一つの故障の原因となる。故障確率は,使用期間と関

連付けなければならない。解析の項目の中で,この期間について提示するのがよい。

想定する(環境的及び運用的な)ストレスを適用する場合の構成品とそれらの故障モードとの特定の故

障率に基づいて,それぞれの発生確率を計算するときに,最良の手法を適用する。その情報が入手できな

い場合,推定値を求めてもよいが,解析チームは発生率,すなわち,保書,車両寿命などの解析に用いる

車両の既定時間内の 1 000 台当たりの発生数のもつ意味を気にし続けなければならず,それは当該期間(使

用期間又は使用予定期間)内のその故障モードの,計算又は推定した発生確率でもある。厳しさの尺度と

は異なり,発生の基準は線形ではなく対数形なものでもないことに注意する。したがって,計算され,評

価された結果としての RPN 数も線形ではないことに留意することが望ましく,かつ,特別な注意を払わな

ければならない。

5.3.6.3 

故障検出確率の格付け 

RPN の概念では,特定の故障が検出される可能性を推定しなければならない。それは,システムレベル

での故障を防ぐために,設計の特性若しくは支援又は検証手順によって潜在的故障モードを検出する確率

をいう。あるプロセスの適用(プロセス FMEA 又は PFMEA)によって,現在行われている一連のプロセ

ス管理が,引き続きプロセスへの移行又は最終的な製品の提供をする前に,故障を検出,かつ,分離でき

るようになる。

特に,幾つかの異なるシステム及び適用で使用する一般的な製品では,検出確率の推定が困難な場合が

ある。

自動車産業で用いる故障モード検出の評価基準の方法の一つを,

表 6

に示す。

表 6

故障モード検出の評価基準

故障モードの検出

評価基準(設計管理による検出の可能性)

順位

ほとんど確実

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を,ほとんど確実に検出できる。

1

非常に高い

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性が極めて高い。

2

高い

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性が高い。

3

中程度の高さ

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性は中程度より高い。

4

中程度

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性は中程度である。

5

低い

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性は低い。

6

非常に低い

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出する可能性は極めて低い。

7

まれ(稀)

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出することはまれ(稀)である。

8

非常にまれ(稀)

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出することは極めてまれ(稀)である。

9

全く不確か

設計活動内で,潜在的原因及びメカニズム並びにその結果もたらされる故障モード
を検出することはない及び/又はあり得ない,又は設計活動での管理が存在しない。

10

注記  出典:AIAG:潜在的故障モード・影響解析,FMEA,第 3 版。


21

C 5750-4-3

:2011 (IEC 60812:2006)

5.3.6.4 

リスク評価 

前述した,この極めて直感的な手段は,顧客に対して最高レベルの安全を保証するために実施する処置

の優先順位のランク付けに続いて行わなければならない。例えば,厳しさのレベルが高く,発生率が低く,

かつ,検出率が高い(例えば,それぞれ 10,3 及び 2)故障モードは,全てのパラメータが平均的なもの

よりも,はるかに低い RPN(この例では 60)となる場合がある(例えば,パラメータが三つ共 5 のとき,

RPN は 125)。その結果,付加的手順は,この厳しさのレベルが高い故障モード(例えば,9 又は 10)が優

先し,最初に(その影響を)軽減することを確実に行うために規定する場合が多い。この場合,その決定

は,RPN だけによってではなく,厳しさのレベルの大きさに従うことが望ましい。全ての事例で,よりよ

い意思決定プロセスのために RPN とともに,故障モードの厳しさの順位を検討することになる。リスク優

先数は,その他の FMEA 方法,特に本来定性的なものによっても決定される。

表 4

表 6

とともに,RPN は,故障モードの軽減のための指針として用いる場合が多い。

5.3.2

に従い,

RPN の欠点を十分に認識しなければならない。

RPN がもつ欠点には,次のようなものがある。

対象となる範囲の隔たり

  範囲の 88 %が空であり,1 000 当たり 120 だけが作られる。

RPN

の重複

  異なる要因の幾つかの組合せによっては同じ RPN となる。

小さな変化に対する感度

  ある要因に小さな変化が起きた場合,他の要因が大きいときはそうでない

ときに比べてはるかに大きな影響を及ぼす(例えば,三つ目の要因が 3 から 4 に変化したとき,9×9

×3=243  から 9×9×4=324 への変化の方が,3×4×3=36  から 3×4×4=48 への変化よりも影響が

大きい)

不適切な尺度

  発生率表の比率は,比例又は線形ではない。例えば,発生率は二つの連続的な順位付

けの間で 2.5 にも 2 にもなる可能性がある。

−  RPN の不適切な尺度。RPN の違いは,実際には重要にもかかわらず,無視してもよいように見える場

合がある。一つの例として,次のような場合がある。S=6,O=4 及び D=2 は RPN=48 となり,S

6

O=5 及び D=2 は RPN=60 となる。O=5 は O=4 の 2 倍の発生頻度であるが,RPN は 2 倍ではな

い。したがって,RPN の値は,線形的に比較すべきではない。

−  尺度としての RPN の比較から誤解されやすい結論は,順位の問題であって比率の問題ではない。

RPN のレビューには,慎重さ及び優れた判断力が必要である。意見をまとめ,是正措置を行う前に,厳

しさのレベル,発生頻度及び検出の確率について,それぞれの値を徹底して点検しなければならない。

5.4 

解析結果の報告 

5.4.1 

結果報告書の範囲及び内容 

FMEA

に関する報告書は,より広範な検討結果を含むか又は独立していてもよい。いずれの場合でも,

報告書は,要約及び解析の詳細な記録並びにそのシステムの構造を規定するブロック図又は機能図に関す

る詳細な記録を含むことが望ましい。報告書には,FMEA が基礎とする図面の一覧表(発行状態を含む。

も盛り込むことが望ましい。

5.4.2 

影響の要約 

FMEA

によって明らかにする特定のシステムに関する故障の影響の一覧表を準備することが望ましい。

モータ車両始動機及び電気回路に対する典型的な故障の影響を,

表 7

に示す。


22

C 5750-4-3

:2011 (IEC 60812:2006)

表 7

一連の故障の影響の例(モータ車両始動機の場合) 

番号

影響

1

始動モータが作動しない。

2

始動モータのスピードが規定より遅い。

3

始動モータがリングギアを作動させない。

4

始動モータが早く作動する。

注記  この一覧表は例である。解析する各システム又はサブシステムは,それ自身

の一連の故障の影響を受ける。

一覧にした故障の影響から,システムの結果としての故障確率を決定し,改善処置又は予防処置の優先

順位を決めるために,故障の影響の要約を行う。故障の影響の要約は,最終的な故障への影響の一覧表を

基にすることが望ましく,各故障に影響するアイテムの故障モードの詳細を盛り込むことが望ましい。各

故障モードの発生確率は,期待する使用プロフィール及びストレスに加えて,アイテム使用の規定期間を

対象に計算する。故障の影響の発生確率の例を,

表 8

に示す。

表 8

故障の影響の発生確率の例 

番号

影響

寄与する故障モード

故障の影響の発生確率

1

始動モータが作動しない。

1

,3,7,8,9,16,21 及び 22

8

×10

3

2

始動モータのスピードが規定より遅い。

6

,11,12,19 及び 20 6×10

4

3

始動モータがリングギアを作動させない。

2

,4,5,10 及び 13 1.1×10

5

4

始動モータが早く作動する。 14,15,17 及び 18 3.6×10

7

注記  アイテム又はシステムのその他の定性的及び定量的な順位付けのために作成できる。

要約には,実施した解析の方法及びそのレベル,前提条件及び基本的なルールに関する簡潔な説明を盛

り込むことが望ましい。加えて,次の事項を含むのがよい。

a)

深刻な影響をもたらす故障モード

b)

設計担当者,保全スタッフ,計画担当者及びユーザの注意喚起のための推奨事項

c)

 FMEA

の結果として既に組み込まれている設計変更

d)

組込済みの設計変更によって軽減した影響

その他の検討事項 

6.1 

共通原因故障 

信頼性解析では,ランダムで独立した故障を検討するだけでは不十分である。設計不良(不適切な構成

品による性能低下)

,環境ストレス(雷放電)又はヒューマンエラーなどの単一原因によって,複数のシス

テムの構成品が同時に不足することで,システム性能の劣化又は故障を引き起こす幾つかの“共通原因”

故障(CCF)が発生し得る。

共通原因故障(以下,CCF という。

)とは,FMEA 内で検討中の故障モードは独立するという基本的な

規定を覆す故障である。CCF は,同時又は同時故障とみなせるだけ十分に短い期間内での,複数のアイテ

ムの故障である。

一般に,CCF の原因には,次のものを含む。

設計

  ソフトウェア,定格,など

製造

  構成品の欠点に関連した一群

環境

  電気干渉妨害,温度サイクル,振動など


23

C 5750-4-3

:2011 (IEC 60812:2006)

ヒューマンファクタ

  不適切な運用又は保全作業

したがって,FMEA では,故障の影響の大きさを軽減する機能又は複数のアイテムを維持するために冗

長性を用いるシステムを解析するとき,発生し得る CCF の原因を検討しなければならない。

CCF

は,論理的従属性によって,二つ以上の構成品で同時故障状態の原因となる事象の結果である(一

次故障の影響によって引き起こされる二次故障を除く。

。CCF は,システムの種々の組立に使用されてい

る同じ故障モード及び弱点をもつ同一部品に発生し得る(冗長性が欠けているところでは,できる限り冗

長をとる。

CCF

は,FMEA を用いて定性的に解析できるが,CCF を十分に解析するための FMEA の能力は限定さ

れる。しかし,FMEA は,各故障モード及びそれに関連する原因を検証し,全ての定期的な試験,予防保

全措置などを明らかにするための手順である。これによって,潜在的 CCF を発生させ得る全ての原因を検

討することが可能となる。

CCF

を防止又は軽減するためには,複数の方法の組合せが有効である(システムのモデル化,構成品の

物理的解析など)

。例えば,機能的多様性(同じ機能を果たすシステムの冗長な部分又は部品が同一ではな

く異なる故障モードをもつ場合)及び CCF,試験などを引き起こす環境又は EMI(電磁干渉)のストレス

による影響を除去するための物理的な分離がある。

通常,FMEA は,CCF に対する予防措置の調査を考慮しない。ただし,これらの措置は,全体的な FMEA

を理解するために,所見欄の中に含めなくてはならない。

6.2 

ヒューマンファクタ 

一部のシステムは,ヒューマンエラーを防止又は軽減するように設計しなければならない。これらの措

置の一例が,鉄道の信号機に関する機械的インタロック及びコンピュータの使用又はデータ検索のための

パスワードである。これらの対策がシステム内に存在する場合,対策の故障の影響はエラーの種類に依存

する。一部のヒューマンエラーモードについても,対策の有効性を確認するために,他の無欠点システム

を検討することが望ましい。不十分であっても,これらのモードの部分的なリスト化でさえ,設計及び手

順の欠点を識別するためには有益である。ヒューマンエラー全ての発生し得る形態の識別は,通常,不可

能である。

多くの CCF がヒューマンエラーを含む。例えば,同様なアイテムの不適切な保全は,冗長性を無効にす

る可能性がある。これを避けるために,冗長的要素には多様な素材を導入する場合が多い。

6.3 

ソフトウェアのエラー 

複雑なシステムのハードウェアに関して実施する FMEA は,そのシステム内のソフトウェアに影響を及

ぼす可能性がある。そのため,FMEA における影響,致命度及び条件付き確率についての決定は,ソフト

ウェアの要素,それらの性質,順序及びタイミングに依存することがある。このことが確かである場合,

ハードウェアとソフトウェアとの相互関係を明確化する必要がある。なぜなら,ソフトウェアのその後の

変更又は改良が,FMEA 及びそれに由来する評価を変更する可能性があるためである。ソフトウェア開発

及び変更の承認は,FMEA の改訂及びそれに関連する評価の改訂が条件となる場合がある。例えば,運用

の信頼度を犠牲にして安全性を改善するために,ソフトウェアロジックを変更してもよい。

ソフトウェアのエラー又は不適切さによる機能不全は,ハードウェア及びソフトウェアの双方の設計に

大きな影響を受ける。それらのエラー又は不適切さの仮定及びそれらの影響の解析は,範囲を限定するこ

とによってだけ可能である。ソフトウェアで発生するエラーについて,関連するハードウェアに対する影

響を推定し,その影響を解析することによって,ソフトウェア又はハードウェアのいずれかの代替の処置

が得られることが多い。


24

C 5750-4-3

:2011 (IEC 60812:2006)

6.4 

システム故障の影響の大きさに関する FMEA 

システム FMEA は,特定の適用を参照することなく実施することが可能であり,その後のプロジェクト

に適用できる。これは,一般的な構成品とみなされる比較的小さな組立品(例えば,電子アンプ,電気モ

ータ,機械式バルブなど)が当てはまる。

ただし,プロジェクト専用の FMEA を開発し,システム故障の特定の影響の大きさを検討する方が一般

的である。これらの故障の重大性,例えば,フェールセーフ,修理可能な故障,修理不能な故障,ミッシ

ョンの劣化,ミッションの故障,個人,集団又は社会全般に対する重大性に従って,システム故障の影響

を分類することが必要である。

FMEA

をシステム故障の最大の重大性と関連付ける必要性は,プロジェクト,及び FMEA と故障の木,

マルコフ図,ペトリネットなどのその他の解析形態との関係に依存する。

適用 

7.1 FMEA

又は FMECA の活用 

FMEA

は,主として材料及び機器故障の検討に適合した手法である。FMEA は,異なる技術(電気,機

械,水圧など)及び種々の技術の組合せに基づくシステムの分野に適用できる手法であり,機器のある部

分に固有なもの,システム又はプロジェクト全般に特有であってもよい。

FMEA

は,ソフトウェア及び人の性能がシステムのディペンダビリティに関連する場合,これらを検討

することが望ましい。FMEA は,プロセス FMEA 又は PFMEA というときに,様々なプロセス(医療,実

験,製造,開発,教育など)を調査するために一般的に使用する調査手法である。工程 FMEA を実施する

ときは常に,プロセスの最終目標又はプロセスの目標に関して実施し,次に,プロセス内の他のステップ

又はプロセスの最終目標の望ましくない結果を生じる可能性があるものとして,そのプロセス内の各ステ

ップについて検討する。

7.1.1 

プロジェクト内での適用 

ユーザは,自身の技術領域で FMEA をどのように及び何の目的のために使用するかを決定することが望

ましい。FMEA は単独で使用又はその他の信頼性解析方法の補足及び支援のために使用してもよい。FMEA

の要求事項は,ハードウェアの働き及びシステム又は機器の運用の実施の意味を理解する必要性から始ま

る。FMEA の必要性は,プロジェクトごとに大きく異なる。

FMEA

はデザイン・レビューの考え方を支援し,システム及びサブシステムの設計の期間中,できる限

り早期に使用することが望ましい。FMEA は,全てのレベルのシステム設計に適用可能であるが,多数の

アイテムを含む及び/又は機能面で複雑な場合,低位のレベルに最適である。FMEA を実施する要員の特

別な訓練が重要であり,システムエンジニアと設計者との緊密な協力が必要である。FMEA は,プロジェ

クトの進展及び設計の変更のときに更新することが望ましい。FMEA は,プロジェクトを終了するとき,

設計の点検に用いられ,設計するシステムに要求する規格,規制,ユーザの要求事項に適合することを立

証するために重要である。

FMEA

からの情報は,製造及び据付けのときの統計的プロセス管理,サンプリング,検査,認定,承認,

受入れ及び開始試験のための優先順位を明確にする。また,ハンドブックに記載されている診断及び保全

手順のための本質的な情報を提供する。

あるアイテム又は設計に FMEA を適用したほうがよい範囲及び方法の決定に当たり,FMEA の結果を必

要とする特定の目的,その他の活動との同期及び既定の認知の程度を確立することの重要性を検討し,望

ましくない故障モード及び影響を管理することが重要である。これによって,反復的な設計及び開発プロ


25

C 5750-4-3

:2011 (IEC 60812:2006)

セスと関連付けるため,特定のレベル(システム,サブシステム,構成品及びアイテム)について,定性

的用語で,FMEA の計画作成を行うことができる。

FMEA

の位置付けは,有効であることを確実にするため,時間,マンパワー,それを有効にするために

必要なその他のリソースとともに,

ディペンダビリティ  プログラムの中で明確に確立することが望ましい。

時間及び費用の節約のために FMEA を簡略化しないことが,極めて重要である。時間及び費用が不足して

いる場合,FMEA では,新たな設計又は新たな方法を使用する設計に集中することが望ましい。FMEA は,

経済的な観点から,他の解析方法によって致命的であることが明確になっている領域を対象とできる。

7.1.2 

プロセスへの適用 

プロセスについて準備するとき,PFMEA の性能には次の項目が必要である。

a)

プロセスの目標の明確な設定。プロセスが複雑な場合,そのプロセスの目標は,全体の目標又はその

プロセスの製品,目標又は一連のプロセスの系列若しくは各ステップの製品及び個々のプロセスのス

テップの製品に分けることができる。

b)

プロセス内の個々のステップに対する理解。

c)

各プロセスのステップ内の潜在的欠点についての理解。

d)

各欠点のそれぞれ(潜在的故障)がプロセスの製品に及ぼす可能性のある影響に関する理解。

e)

潜在的な各欠点の原因又は潜在的なプロセスの故障及び/又はフォールトについての理解。

プロセスが一つ以上の製品をもつ場合,特定の製品について解析することを念頭に置く。すなわち,

PFMEA

は個々の製品について行う。そのプロセスは,その各ステップ及び潜在的な望ましくない結果に

関しても解析することが可能であり,個々の製品のタイプにかかわらないプロセスのための一般化された

PFMEA

をもたらす。

7.2 FMEA

の利点 

FMEA

の詳細な適用及び利点の一部を,次に示す。

a)

設計の欠点の早期明確化によって費用のかかる変更処置を免れられる。

b)

故障が単独又は複合的に発生するときに,許容できない又は重要な影響を及ぼす故障を明確化し,予

想する又は要求する運用に深刻な影響を及ぼす故障モードを決定できる。

注記 1

それらの影響には,二次故障も含まれることがある。

c)

信頼性改善のための設計方法の必要性を決定できる(冗長系,運用のストレス,フェールセーフ,構

成品の選択,ディレーティングなど)

d)

致命度解析の準備のときに,システムの異常な動作条件の発生確率又は割合を評価するために必要な

論理モデルを提供できる。

e)

安全性及び製造物責任問題の領域,又は規制要求事項の不履行を開示できる。

注記 2

しばしば安全性については,個別の検討が必要となるが,重複は避けられないので,規制

要求事項とともに検討することを強く勧める。

f)

開発試験プログラムが潜在的故障モードを確実に検出できる。

g)

品質管理,検査及び製造工程の管理に集中する重要領域に焦点を当てることができる。

h)

一般的な予防保全戦略及びスケジュールの様々な側面を規定するときに支援できる。

i)

例えば性能試験及び信頼性試験で,試験基準,試験計画及び診断手順の決定を促進又は支援できる。

j)

フォールトを隔離する順序の設計を支援し,かつ,代替的な運用及び再配置モードのための計画立案

を支援できる。

k)

システムの信頼性に影響を及ぼす各要因の理解を設計者に提供できる。


26

C 5750-4-3

:2011 (IEC 60812:2006)

l)

設計が業務の仕様に適合することを考慮している事実(及びその範囲)を裏付ける最終文書を提供で

きる(このことは,製品製造責任の場合に特に重要である。

7.3 FMEA

の限界及び欠点 

FMEA

は,システム全体又はシステムの主要機能の故障の原因となる各要素の解析に適用するときに,

極めて有効である。しかし FMEA は,異なるシステム構成品の組合せを含む複数の機能をもつ複雑なシス

テムの場合には,困難かつ単調なものとなる可能性がある。これは,考慮の必要がある詳細な多量のシス

テム情報のためである。この困難さは,修復及び保全方針の検討に加えて,数多くの可能な運用モードの

存在によって増加することがある。

FMEA

は,それを思慮深く適用しない場合は,困難で非効率なプロセスとなる可能性がある。後にその

結果を評価する活用を定義することが望ましく,FMEA は,見境なく要求仕様書に含めないほうがよい。

システム設計において冗長を適用する場合には,FMEA が階層構造内の幾つかのレベルに及ぶときに,

複雑化,誤解及びエラーが発生することがある。

個々の又は複数の故障モード若しくは故障モードの原因の間のいかなる関係も,FMEA 内で効果的に表

現することはできない。なぜなら,それらの解析の主な仮定が故障モードが独立しているとするためであ

る。この欠点は,独立の仮定を適用できない場合に,ソフトウェアとハードウェアとの相互作用の観点か

らより一層明確になる。ハードウェアに人との相互作用を付加し,それらの相互依存性をモデル化すると

き,同じタイプの問題に遭遇する可能性がある。独立性を仮定すると,別の故障モードの結果でそれぞれ

が個別に低い発生確率をもつ場合に,劇的な影響をもたらすことがある故障モードを曖昧にする可能性が

ある。この場合は,FTA(Fault Tree Analysis)ツールを用いた故障モード解析方法を使用する相互関係シ

ナリオのほうがはるかにうまくモデル化できる(

JIS C 5750-3-1

参照)

したがって,FMEA は,階層構造内の関連する二つのレベルにだけ限定することが望ましい。例えば,

アイテムの故障モードを明確化し,組立に対するそれらの影響を決定することは比較的直接的な作業であ

る。これらの影響は,更に次のレベルアップ,例えばモジュールなどでの故障モードとなる。ただし,し

ばしば複数レベルの FMEA が実施される。

FMEA

の付加的な欠点は,全体的なシステムの信頼性の尺度を提供できなかったり,同じ理由で設計改

善又はトレードオフの尺度を提供できなかったりする点に見られる。

7.4 

他の手法との関係 

FMEA

又は FMECA は,単独で用いることができる。FMEA は,体系的で帰納的な解析方法として,そ

の他の方法,とりわけ FTA などの演えき(繹)的な方法を補うために最も多く用いられる。設計の段階で

は,帰納的及び演えき(繹)的な方法が思考及び解析のプロセスに結び付いているので,いずれが有力か

判断することが困難な場合が多い。産業用設備及びシステムの中でリスクのレベルが明確化されている場

合は,演えき(繹)的な方法が好まれるが,FMEA も依然として有効な設計ツールである。ただし,他の

方法によって補足することが望ましい。このことは複数の故障及び結果の影響について検討が必要なとき

に,問題点を明確化し,解決策を見つける必要がある場合に,特に当てはまる。最初に用いる方法は,プ

ロジェクトのプログラムに依存する。

機能,全般的なシステムの構造及びサブシステムだけしか規定しない初期の設計段階では,システムが

うまく動作することを,信頼性ブロック図又は故障の木の故障の道筋によって描き出すことができる。た

だし,これらのシステムの図面を描くことを支援するために,サブシステムを設計する前に,FMEA 帰納

プロセスをサブシステムに適用することが望ましい。これらの環境の下で,FMEA は,包括的な手順では

ないが,その代わりに厳密な表の形で容易に表現できない思考プロセスである。一般に,幾つかの機能,


27

C 5750-4-3

:2011 (IEC 60812:2006)

数多くのアイテム及びアイテムの間の相互関係を含む複雑なシステムを解析するとき,FMEA は,基本で

はあるが十分なものではないことが分かる。

FTA

は,故障モード及びそれらの原因解析のための補足的で演えき(繹)的な手法である。それは,仮

定する高レベルの故障の低レベルの原因を突き止める。論理的な解析は,フォールト順序の純粋に定性的

な解析に用いることが可能であり,また時々用いられるが,通常は,仮定する高レベルの故障頻度の推定

に用いる。FTA は,様々な故障モードの相互依存性をモデル化することができ,その相互作用は,相当な

比率の,おそらくは厳しさの高い事象をもたらす可能性がある。このことは,一つの故障モードの発生が

最初,確率が高く厳しさが高い別の故障モードの発生の誘引となり得る場合に特に重要である。このシナ

リオは,各故障モードが独立したものと考えられる FMEA ではうまくモデル化できない可能性がある。

FMEA

の欠点の一つは,

システム内の故障モードの発生の相互作用及び動的特性を検討できない点である。

FTA

では,望ましくない影響の大きさを引き起こす同時的(又は連続的)で代替的な事象のロジックに

集中する。それは,信頼性(又は故障の確率)の推定だけではなく,解析するシステムの正しいモデルを

生み出すことができ,システム全体の信頼性に対する設計の改善及び故障モードの軽減の影響も評価でき

る。FMEA フォーマットは,もっと記述的であってもよい。両手法は,複雑なシステムにおける安全及び

ディペンダビリティに関する十分な解析に使用できる。ただし,このシステムが主として,ほとんど冗長

がなく,ほとんど機能をもたない直列のロジックに基づいている場合は,FTA は,ロジックの提示及び故

障モードの識別には不必要に複雑な方法である。そのような場合には,FMEA 及び信頼性ブロック図が適

切である。FTA が好まれる他の場合にも,故障モード及び故障の影響の記述を高める必要がある。

解析方法を選択するときの主な検討事項は,技術的な要求事項に関してだけでなく,所要時間,費用,

効率,結果の活用などの,プロジェクト特有の要求事項に依存することが望ましい。一般的な指針を,次

に示す。

a)

 FMEA

は,アイテムの故障特性の包括的な知識が要求される場合に適している。

b)

 FMEA

は,小さなシステム,モジュール又は組立に適している。

c)

 FMEA

は,許容できない故障の影響を明確にする必要があり,解決策が見つかったときの研究開発又

は設計段階の基本的なツールである。

d)

 FMEA

は,画期的な設計で,故障の特性が過去の運用経験からは分からないアイテムについて必要と

なることがある。

e)

 FMEA

は,通常,主に直列故障のロジックが関係するとみなせる数多くの構成品をもつシステムに,

適用可能である。

f)

 FTA

は一般に,複雑な故障ロジック及び冗長を含む複合的な故障モード並びに従属性の解析により適

している。FTA は,設計段階の初期にシステム構造内のより高位レベルで使用可能であり,詳細設計

でのより低位レベルの詳細な FMEA に対するニーズを明確にするのに役立つ。


28

C 5750-4-3

:2011 (IEC 60812:2006)

附属書 A

(参考)

FMEA

及び FMECA の手順の要約

A.1 

解析の実施ステップ 

解析の実施に当たって必要な実施ステップを,次に示す。

a)

 FMEA

又は FMECA のいずれが必要か決定する。

b)

解析のためのシステムの境界を定義する。

c)

システムの要求事項及び機能を理解する。

d)

故障又は無故障の判定基準を規定する。

e)

各アイテムの故障モード及び故障の影響の大きさを定義及び記録する。

f)

各故障のもつ影響の大きさを要約する。

g)

解析結果を報告する。

FMECA

では,次のステップを追加する。

h)

システム故障の厳しさの区分を決定する。

i)

アイテムの故障モードにおける厳しさを設定する。

j)

アイテムの故障モード及び影響の頻度を決定する。

k)

故障モードの頻度を決定する。

l)

アイテムの故障モードに関する致命度マトリックスを作成する。

m)

致命度マトリックスから故障の影響がもつ致命度を要約する。

n)

システム故障の影響に関する致命度マトリックスを作成する。

o)

解析の全てのレベルにおける解析結果を報告する。

注記

 FMEA

の終了時点で,ステップ

h)

i)

及び

j)

を実施することによって,故障モード及び影響

の頻度の数量化を FMEA 内で実施してもよい。

A.2 FMEA

のワークシート 

A.2.1 

ワークシートの範囲 

FMEA

のワークシートは,解析の詳細を表の形で表現する。一般的な FMEA の手順は標準化されている

が,特定のワークシートの設計は,適用及びプロジェクトの要求事項に合うように作成できる。

FMEA

ワークシートのフォーマット例を,

図 A.1

に示す。

A.2.2 

ワークシートの表題 

このフォームの表題部分は,次に示す情報を表現する。

−  最終アイテムとしてのシステムは,その最終的な影響が明確になるアイテムを識別する。この識別さ

れた対象アイテムは,ブロック図,回路図又はその他の図面で使用する用語と一致することが望まし

い。

−  解析のために仮定される運用モード。

−  アイテムとは,このワークシートで解析するアイテム(モジュール,構成品又は部品)のことを指す。

−  改訂のレベル,日付及び文書管理の目的のために追加情報を提供するチームの中核メンバーの名前と

同様に,FMEA の作業に協力している解析者の名前。


29

C 5750-4-3

:2011 (IEC 60812:2006)

A.2.3 

ワークシートへの記入 

“アイテムの参照”欄及び“アイテムの説明及び機能”欄への記入は,解析の主題を明確化するために

行う。参考資料は,ブロック図又はその他の支援文書に合わせて調整することが望ましい。アイテムの要

約及びその機能を記入する。

アイテムの故障の形態は,

“故障モード”欄に記入する。

5.2.3

に,潜在的故障モードを識別するための

指針を示す。それぞれのアイテムに固有の故障モードの識別子(

“故障モードのコード”欄)を記入するこ

とによって,解析の結果を要約できる。

故障モードの最も可能性の高い原因を,

“発生し得る故障原因”欄に記入して一覧にする。

解析中のアイテムがもつ故障モードの影響に関する簡潔な説明は,

“局所的影響”欄に記入する。類似の

情報は,

最終アイテムに関する故障モードの影響を示すために,

“最終的影響”

欄に記入する。

一部の FMEA

解析では,中間的なレベルで故障の影響の大きさを評価することが望ましい。この場合は,

“高次のアセン

ブリ”に対する影響がある場合は追加欄を設けて記入する。故障モードの影響の大きさを明らかにするこ

とについては,

5.2.5

に示す。

故障モードの検出方法に関する簡単な説明を,

“検出方法”欄に記入する。検出方法は,設計で仕込まれ

るビルトインテスト(BIT)機器によって自動的に実施されるか,又は運用要員若しくは保全要員による

診断手順を必要とする。検出方法を明らかにしておくことが重要である。それによって,解析担当者が是

正処置が必要かどうかを確認できる。

冗長性のように,特定の故障モードを軽減する設計特性は,

“故障への補償対策”欄に記入する。特定の

保全によって提供される補償又はオペレータの処置についても,ここに記入することが望ましい。

“厳しさの区分”欄には,FMEA 解析担当者が判定した厳しさのレベルを記入する。

“発生確率又は頻度”欄には,特定の故障モードの発生率を記入する。頻度の基準は,用途(例えば,

100

万時間当たりの故障,走行距離 1 000 km 当たりの故障など)に合うように調整する。

“備考”欄の記入には,

5.3.4

に示すように,解析担当者の意見及び提案を記入する。

A.2.4 

ワークシートの備考 

最後に,その他の事項を明確にするために,適切な備考を記入することが望ましい。設計への改善要望

のような実施可能な対応策を記録し,報告書で更に詳しく説明する。この欄には,次の項目を含めてもよ

い。

a)

何らかの異常な条件

b)

冗長要素の故障の影響

c)

特に致命的な設計特性に対する認識

d)

記載事項をより詳細にするための備考

e)

連続的な故障解析のための,その他の記載事項の参照

f)

重要な保全の要求事項

g)

主な故障の原因

h)

主な故障の影響の大きさ

i)

決定事項(例えば,設計審査のときの決定事項)


30

C 5750-4-3

:2011 (IEC 60812:2006)

最終アイテム: 
動作期間:

アイテム: 
改訂:

作成者: 
日付:

アイテム

の参照

アイテムの説明

及び機能

故障モード

故障モードの

コード

発生し得る

故障原因

局所的影響

最終的影響

検出方法

故障への 
補償対策

厳しさの

区分

発生確率 
又は頻度

備考

 
 
 
 
 

 
 
 
 
 

 
 
 
 
 

 
 
 
 
 

図 A.1

FMEA

ワークシートのフォーマット例 

30

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


31

C 5750-4-3

:2011 (IEC 60812:2006)

附属書 B

(参考) 
解析の例

B.1 

例 1

RPN

計算を伴う自動車電子工学部品のための FMECA 

自動車製品に対して行う広範囲の FMECA の一部を,

図 B.1

に示す。解析する組立品は電源であり,バ

ッテリーラインへの接続だけである。

このバッテリーラインは,ダイオード D1 及びバッテリーのプラス側をグランドに接続するコンデンサ

C9

をもつ。このダイオードは,バッテリーのマイナス側がアイテムに接続されてマイナス電圧がグランド

に短絡した場合に,アイテムをダメージから守るように反対の極性となっている。コンデンサは,EMI フ

ィルタ用である。これらの部品のいずれかがグランドに短絡した場合,バッテリーの消耗の原因となるグ

ランド短絡となる。そうした故障には前兆がなく,自動車産業における“重大な(walk home)

”故障はハ

ザードとみなす。したがって,両方の部品の“短絡”の故障モードは,ランクが 10 である。故障の発生

確率は,

車両使用時に発生するそれぞれのストレスでの部品の故障率から計算し,

自動車に適用する FMEA

の スケールとする。部品の短絡は試験ですぐに判明するので(すなわち,アイテムは動作していない。

故障の検出は極めて低い。

前述の部品のいずれかの開放は,ダイオードが開放する場合を除いて,アイテムへのダメージの原因と

はならないので,逆のバッテリー保護は存在しないが,コンデンサが開放した状態では,EMI フィルタと

はならないので,車両中の他の機器についてはノイズ発生の可能性がある。

主にフィルタリングのために,バッテリーとアイテムの電気回路との間にコイル L1 がある。コイル L1

が開放している場合,バッテリーが接続されず,警告表示が点灯しないので,アイテムは作動しない。コ

イルの故障率は極めて低いので,故障の発生確率は 2 である。

抵抗器 R91 は,スイッチングトランジスタにバッテリーの電圧を伝える。開放故障の場合,アイテムを

動作不能にし,厳しさのレベルは 9 になる。抵抗器の故障率は極めて低いので,故障の発生確率は 2 であ

る。アイテムが動作しないので,故障の検出は 1 である。


32

C 5750-4-3

:2011 (IEC 60812:2006)

アイテム・機能

潜在的

故障

モード

潜在的

故障の影響

区分

潜在的 
原因・ 
故障の

メカニズム

故障の

詳細な原因

・メカニズム

現在の設計

管理予防

現在の設計
管理の検出


R
P
N

推奨処置 責任及び

目標

終了日

処置の結果

サブ

システム

アセン

ブリ

構成品

局所的

影響

最終的な

影響

R
P
N

電力供給

V1

 

D1

短絡

バ ッ テ リ ー
電 圧 + グ ラ
ン ド へ の 短

バ ッ テ リ ー
の消耗,重大

10

構 成 品 の 固
有の故障

材料の不具合 3  より高い品

質の選択及
びランク付

評価及び信
頼性妥当性
試験

1 30

D1

開放

逆 電 圧 保 護
なし

目 立 つ 影 響
なし

2

構 成 品 の 固
有の故障

接合又は半伝
導若しくは亀

3

より高い品
質の選択及

びランク付

評価及び信
頼性妥当性

試験

2 12

C9

短絡

バ ッ テ リ ー
電 圧 + グ ラ
ン ド へ の 短

バ ッ テ リ ー
の消耗,重大

10

構 成 品 の 固
有の故障

絶縁破壊又は
クラック

3

より高い品
質の選択及
びランク付

評価及び信
頼性妥当性
試験

1 30

C9

開放 EMI 排出な

仕 様 か ら 外
れ た ア イ テ

ムの運用

2

構 成 品 の 固
有の故障

絶縁開放,リ
ーク,ボイド,

又はクラック

2

より高い品
質の選択及

びランク付

評価及び信
頼性妥当性

試験

1 4

L1

開放 No

V1

ア イ テ ム の
動作不能 
警 告 表 示 な

9

構 成 品 の 固
有の故障

材料の不具合 2  より高い品

質の選択及
びランク付

評価及び信
頼性妥当性
試験

1 18

R91

開放

そ の ア イ テ
ム の 回 路 切

り 換 え の た
め の 電 圧 な

ア イ テ ム の
動作不能

警 告 表 示 な

9

構 成 品 の 固
有の故障

接合又は材料
のクラック

2

より高い品
質の選択及

びランク付

評価及び信
頼性妥当性

試験

1 18

図 B.1

RPN

計算を伴う自動車電子工学の一部の FMECA

32

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


33

C 5750-4-3

:2011 (IEC 60812:2006)

B.2 

例 2

モータ発電機セットのサブ

サブシステムのための FMEA 

この例は,モータ発電機(M-G)システムへの FMEA の適用を示す。この検討対象は,このシステムだ

けに限定し,M-G セットが電力を供給する負荷の故障の影響又はその他の故障の外的な影響には適用しな

い。これは解析の境界を明確にしている。部分だけで示すこの例は,システムをどのように階層構造のブ

ロック図の形態で表現するかを明確にする。最初の下位分類は五つのサブシステム(

図 B.2

参照)及びそ

れらの一つを明らかにし,エンクロージャ・ヒーティング,換気及び冷却システムは,FMEA を開始する

ために決定した構成品のレベルよりも低い階層構造のレベルを通して開発する(

図 B.3

参照)

。また,ブロ

ック図は FMEA ワークシートと相互参照できる番号をもつシステムを示す。

この規格で推奨するフォーマットに従っている M-G セットのサブ・サブシステムのワークシートの一例

を,

図 B.4

に示す。

この FMEA の基本的な前提条件は,完全な M-G システムに対する故障の影響の厳しさの定義及び分類

である。この例のシステムでの定義を,

表 B.1

に示す。

表 B.1

完全な M-G システムに対する故障の影響の厳しさの定義及び分類 

レベル

厳しさ

説明

5

全機能喪失

ミッション完了前に発電能力の故障がある。

4

致命的

ミッション完了前にシステムに劣化がある。

3

重度

修復までの強制停止によって発電能力が失われる。

2

軽度

修復に都合がつくまでに一時的にシステムに劣化がある。

1

無視できる

発電能力の喪失又は著しい劣化はない。

 
 
 

モーター発電機

セット

 
 
 
 
 
 
 
 
 
 
 

機械の構造

エンクロージャ・ヒ

ーティング,換気 
及び冷却システム

 
 
 
 

DC

機械

(+AVFR 制御)

 
 
 
 
 
 
 
 
 
 

器具の使用

 
 
 
 

AC

機械

(+AVFR 制御)

10

20

30

40

50

図 B.2

モータ発電機セットのサブシステム図


34

C 5750-4-3

:2011 (IEC 60812:2006)

エンクロージャ・ヒー
テ ィ ング ,換気 及び
冷却システム

 
 
 
 

ヒータ

システム

 
 
 
 
 
 

換気及び

冷却システム

 
 
 
 
 
 

緊急冷却

(入口/出口)扉

凝結物/

冷却水排出

システム

20

凝結物排出

パイプ

(小口径)

 
 
 
 

凝結物/漏出物

排出パイプ

 
 
 
 
 
 

汚水ため

 
 

漏出検出室からの

漏出排水パイプ

 
 
 
 
 
 
 

漏出検出室

 
 
 
 
 
 
 

漏出集積エリア

 

 
 

空気/

水熱交換機

 
 
 
 
 
 
 

ヒータ

 
 
 
 

ファン及び

ファンのハブ

 
 
 

プラスチック

泡空気フィルタ

ヒータターミナル

ボックス,ターミナ

ル/ケーブル

20.1.1

20.2.1

20.4.1

20.4.2

20.4.4

20.4.5

20.4.6

20.4.3

20.1.2

20.2.3

20.2.2

20.1

20.2

20.3

20.4

図 B.3

エンクロージャ

ヒーティング

換気及び冷却システム図

34

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


35

C 5750-4-3

:2011 (IEC 60812:2006)

サブ・サブシステム−20 エンクロージャ・ヒーティング,換気及び冷却システム

参照

構成品

機能

故障モード

故障の影響

検出方法又は前兆  供給された(与え

られる)冗長性

モード故障率の厳しさのレベル

F/Mhr

所見

1 2 3 4 5

20.1

ヒ ー タ シ ス テ ム
(12 オフ−各エン

ドで 6 オフ)

(機械

が動作しない場合
だけ使用)

全て

作動中にヒータが
自動的に切れない

と,

機械が過熱する

可能性がある。

20.1.1

ヒータ

エンクロージャを
強める

a) o/c

,焼きつい

たヒータ

短縮加熱

a)

温度表示 5 度
以上の環境

全てが同時,供給
の重複はなし

1.

b) s/c

又は絶縁故

障によるアー

スフォールト

全ての加熱の浪費
−発生し得る凝縮

b)

供給,ヒュー
ズ又は監視し

ているサーキ
ットブレーカ

0.

一つのアースフォ
ールトでシステム

を停止しないほう
がよい。

20.1.2

ヒータターミナル

ボックス,ターミ
ナル/ケーブル

ヒータへの供給を

接続

a) o/c

ターミナル

又はケーブル
が 1,3,6 又
は全てのヒー

タを停止させ
ることができ

加熱の浪費又は短

縮−凝縮

5

度以上の周囲温

0.

b) s/c

ターミナル

(トラッキン
グ)

全ての加熱の浪費
−凝縮

監視された供給

無 視
で き
る。

総計

.

図 B.4

サブ

サブシステム 20 のための FMEA 

35

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


36

C 5750-4-3

:2011 (IEC 60812:2006)

B.3 

例 3

製造プロセスのための FMECA 

製造又は工程 FMECA は,関連するアイテムの製造に関わる各プロセスを検討し,何が故障し得るのか,

どのような故障に対する予防(保護)手段があるのか,故障はどの程度頻繁に起こり得るのか,かつ,ア

イテム又はプロセスの再設計によって故障を除去できるのかを検討する。その目的は,要求するアウトプ

ット品質を維持又は達成するときに発生し得る

(又は知られている)

諸問題に関心を集中することにある。

自動車など複雑な物品を組み立てる人は,自動車の構成品の供給者が構成品の解析を実施するように促す

が,構成品の製造者は通常,主な受益者である。この演習は製造のときの確立された方法の再試験を実施

させ,ほとんどの場合,費用の改善をもたらしている。

このフォーマットは,基本的に製品 FMECA のそれと類似しているが,わずかに異なる要求事項によっ

て,一部変更が必要である(

図 B.5

参照)

。致命度の測定尺度は,処置優先順位(APN)であるが,基本的

にはリスク優先順位(RPN)と等しい。工程 FMECA は,欠点及び不良品がどのように生じ,顧客に達す

るのか,又は品質管理手順によって発見されるのかを検証する。製品が,摩耗又は不適切な運用によって

どのように業務が行えなくなるかについては審査しない。ある欠点が構成品の運用の耐久性に影響を及ぼ

し,他の欠点が即時又は初期故障の原因となるので,必然的に一部重複が存在する。


37

C 5750-4-3

:2011 (IEC 60812:2006)

現在の条件

改訂された条件

アイテム

参照

プロ

セス

故障モード

影響

潜在的影響

V

潜在的

原因

現在の管理

発生

Occ

厳しさ

Sev

検出

Det

RPN

推奨処置

取られる

処置

発生

Occ

厳しさ

Sev

検出

Det

APN 

01-01-01

挿入

不正確なサ

イズ又はシ

ョルダー傾

斜角度

i)a

金型への負荷なし

の挿入。

生産性の減少。

劣悪な製造又

は品質管理

生産者及び受入

サンプリング計

1 9

9 81

抜取り計画の見直し。

良品の在庫から不良品の在

庫を隔離。

組立担当者の訓練。

01-01-02

i)

b

位置決めを誤って

挿入。

01-01-03

i)a

挿入を囲む覆いの

厚さ誤り。

01-01-04

iv)

b

低下した性能。

01-01-05

iv)c

寿命の短縮(短寿

命)

01-02-01

挿入

劣悪なフラ

ッシュニッ

ケルめっき

ii)a

腐食。仕上げの段階

で不合格となる。

サンプリング計

画の受入の時点

での目視検査

5 6

1 30

正確なめっきのための目視

検査を実施するサンプリン

グ検査における指示を含

む。

01-03-01

挿入

不適切なフ

ェーススコ

アリング

i)a

劣悪な金属の流れ。

不正確な壁の厚さ。

スクラップ。

劣悪な製造又

は品質管理

サンプリング計

画の受入の時点

での目視検査

2 8

6 96

正確なめっきのための目視

検査を実施するサンプリン

グ検査における指示を含

む。

01-03-02

ii)a

機械仕上げ中に見

つかった薄い壁。

スクラップ

01-03-03

iv)a

寿命の短縮

影響コード:

プロセスの配分に対する影響

プロセスの終了に対する影響

組立担当者に対する影響

最終ユーザに対する影響

致命度コード: 
Occ

=発生確率×10

Sev

=1∼10 基準に対する影響の厳しさ

Det

=顧客に達する前に検出されない確率×10

APN

=処置優先順位=Occ×Sev×Det

図 B.5

機械化されたアルミニウム鋳造についてのプロセス FMECA の一部

37

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


38

C 5750-4-3

:2011 (IEC 60812:2006)

附属書 JA

(参考) 

三要素 FMEA による人−装置系の解析例

JA.1 

三要素 FMEA の目的

三要素 FMEA は,人,環境及び装置,又は人,環境及び人の三つの要素を考慮したシステムにおいて,

逸脱的環境の下での人と装置との間又は人と人との間の望ましくない相互作用をボトムアップ的に解析し

得るように拡張したプロセス FMEA と位置付けられる

[22]

[23]

。特に,

7.3

に記載する“異なるシステム構

成品の組合せを含む複数の機能をもつ複雑なシステムの場合”における限界を一部緩和し得る。三要素

FMEA

は,これらのシステムの活動を時系列に沿って一連のプロセスに分解し,各プロセスに起こる望ま

しくない個別事象及び複合事象を網羅的に抽出し,それらの事象がシステムへ及ぼす厳しさを解析し,信

頼性及び安全性に関わる問題点を未然に防止することを目的とする。

JA.2 

潜在危険要因とそれによる危害 

人−装置系に存在する潜在危険要因は,次に分類できる(

図 JA.1

参照)

a)

人の行動において,人が犯すエラー要因

b)

装置の動作において,装置に生じる故障要因

c)

人の行動と装置の動作との相互作用から生じる不具合要因

d)

気温,電磁波などの系外からのかく乱要因。ただし,

d)

は系の環境要因に含めて取り扱うことができ

る。これらのインプット要因が及ぼす人−装置系での望ましくない影響はアウトプット要因となり,

ここでは“危害”という。危害は,次に分類できる。

1)

装置への危害

2)

人への危害

3)

人−装置系への危害

4)

系外へ及ぼす危害。ただし,

4)

は,影響が及ぶ外部の系の状態に依存し,一意に同定できないため,

解析対象には含めない。


39

C 5750-4-3

:2011 (IEC 60812:2006)

図 JA.1

人−装置系の潜在危険要因とそれによる危害 

JA.3 

三要素 FMEA の特徴 

三要素 FMEA には,次の五つの特徴がある。

a)

基本的な人的エラーの見出し語表を定め,正規の人の行為と組み合わせて類推し,当該作業に生じ得

る人的エラーを網羅的に抽出する。

b)

既存の事故データベースから,類似の事故を洗い出し,当該作業に生じ得る人的エラーの抽出に活用

する。

c)

人−装置系で想定し得る危害からトップダウン的にたどって潜在危険要因を抽出する。

d)

潜在危険を保有する,又は内在しそうな部品に着目して,装置の潜在危険要因を抽出する。

e)

人のエラー,装置の故障又は両者の相互作用が及ぼす人−装置系への危害の影響解析を行い,危害リ

スクを評定する。

人−装置系に生じる危害は,系を取り巻く環境の影響を敏感に受ける。装置は物理的及び/又は化学的

ストレスの影響を受け,故障を生じる。人も物理的及び/又は化学的ストレスに加え,心理的及び/又は

生理的ストレスによっても変化を来たし,エラーを起こす。

JA.4 

三要素 FMEA の構造及び機能 

三要素 FMEA の構造及び機能を,

図 JA.2

に示す。三つの機能部分に大別できる。左端部はインプット

部で,原因系を記述する。解析の基点は,装置の正規動作及び人(ユーザ)の正規操作に置く。正規の動

作及び操作は,装置の製造業者があらかじめ設定する仕様書及び取扱説明書に基づく。装置の使用システ

ムは一連の正規動作及び正規操作のプロセスからなり,それらのプロセスは要素作業で構成する。その要

素作業ごとの逸脱的環境条件,その環境下で発生するおそれのある装置の逸脱的動作(故障モード)及び

人の逸脱的行為(エラーモード)並びに故障モード又はエラーモードの根本原因を検討し,洗い出す。

D)系外に及ぼす危害

・エコロジー

・社会

④外来要因

・自然環境

・社会的環境

C)系全体への危害

装置の信頼性問題

人的安全問題

B)人への危害

A)装置への危害

②エラー要因

①故障要因

③相互作用

    による要因

人−装置系

 

装置


40

C 5750-4-3

:2011 (IEC 60812:2006)

右端部はアウトプット部で,結果系を記述する。原因系が及ぼす人−装置系への影響を解析する。人,

装置及びシステムへの危害を摘出し,そのリスク評点によって対策の優先度を決め,具体的な対策案を検

討する。

中央部は T 形マトリックスになっており,当該要素作業における人的エラーをマトリックス解析する部

分である。次の三つの機能を分担する。

a)

意識フェーズとエラー見出し語とを組み合わせて類推し,当該操作における人のエラーモードを抽出

する。

b)

事故データベースから抽出した過去の事例とエラー見出し語とを組み合わせて類推し,当該操作にお

ける人のエラーモードを抽出する。

c)

エラー見出し語と意識フェーズとを組み合わせて思考し,当該操作における他の手段で洗い出した人

のエラーモードに対する心理的要因を推理する。

三要素 FMEA において,人のエラーの解析に慣れていれば,中央部は省略し得る。この左端部と右端部

を直接結合すると,在来の FMEA に対応する様式になるが,人と装置との間の相互作用を解析し評価する

欄が追加されている。

図 JA.2

人−環境−装置の三要素 FMEA の構造及び機能 

JA.4.1 

エラー見出し語の設定 

エラー見出し語は,製品の正規操作の各要素作業と対照することによって,ユーザの逸脱行為を合理的

に類推できるようにガイドとして設定したものである。

エラー見出し語の基本形は,人的エラー発生の現象に着眼した分類,並びに大脳の情報処理プロセスで

エラーを分類する S-O-R(Stimulus-Organism-Response,刺激−生活体−反応)モデルにおける認知ミス,

判断ミス及び操作ミスを組み合わせた分類があり,前者を簡易形,後者を標準形という(

表 JA.1

参照)

標準の三要素 FMEA は,標準形である。

JA.4.2 

意識フェーズの導入及びマトリックス解析 

エラーポテンシャル理論

[21]

は,大脳生理学に基づき,作業を実行する人の意識の強さを 5 段階の“意識

フェーズ”に分類するとき,人のエラー発生の内容,確率などがフェーズによって異なるというものであ

る。

エラーモードの根本原因を分析するときに,意識フェーズとエラー見出し語とのマトリックス解析によ

影響(危害)解析部

 

潜在危険要因抽出部

 

意識フェーズに基づく

エラーモードの

原因解析

事故データベースか
らのエラーモードの
抽出

エラー見出し語
を利用した解析 
・エラーモード 
  の抽出 
・エラーモード 
  の原因解析

人のエラー解析部

・操作の要素作業抽出 
・故障モード/エラー

モード抽出

・モード間の関係分析

・影響(危害)解析

・リスクの格付け・評点

・対策案の確認・評価


41

C 5750-4-3

:2011 (IEC 60812:2006)

って,人の心理的行動について理解を深め,かつ,演えき(繹)的推理によって得られたエラーモードを

認知心理学的に分析するために三要素 FMEA を利用する。

JA.4.3 

故障モードとエラーモードとの関係 

同一要素作業において,同じ危害の原因となり得る装置の故障モード及び人のエラーモードを網羅的に

洗い出した後,それぞれのモード間の相互関係を論理的に解析できる。三要素 FMEA では,このモード間

の関係を考慮しつつ,人,装置及び人−装置系への影響を分析する。

モード間の関係は,異種モード間(エラーモードと故障モードとの間)又は同種モード間(故障モード

間又はエラーモード間)にかかわらず,次の四つの関係が主に現れる。

a)

論理積

  二つ以上のモードが同時に発生した場合に潜在危険要因になる(記号:∩)

b)

論理和

  少なくとも一つのモードが発生すれば潜在危険要因になる(記号:∪。省略可。

c)

順序化論理積

  矢印で指定した順に全てのモードが発生すると潜在危険要因になる

(記号:→←↑↓)

d)

排他的論理和

  いずれか一つのモードが発生する場合にだけ潜在危険要因になる(記号:

多くの場合,モード間の関係は論理和になる。排他的論理和の関係はほとんど現れないため,通常の論

理和に含めて取り扱う。

表 JA.1

エラー見出し語の基本形

a) 

現象に着目した分類(簡易形) 

忘れる

誤って行う

理解なし

不十分に行う

気を取られる

見えにくい

操作に不慣れ

操作性・効率の低下

禁止作業の実施

悪戯・好奇心

b) S-O-R

モデルに基づく分類(標準形) 

受容

判断

行動

見えにくい/聞きにくい

見る/聞くものが違う

追従できず

理解なし

理解不足

理解が遅い

誤って理解する

行わない

忘れる

不十分に行う︵抜け︶

過度に行う︵余分︶

遅すぎる

早すぎる

違うことをする

順序が違う

JA.4.4 

影響の解析及び危害リスクの評定 

危害リスクは危害の発生頻度とその及ぼす影響の大きさとの組合せで評価する。潜在危険の発生頻度及

び危害の影響度についてのランク付け及び評点を定めた例を,

表 JA.2

に示す。この場合,潜在危険が起き

ると直ちに危害に影響を及ぼすものとする。この例では,リスク評点は,

(発生頻度評点)×(影響度評点)

によって求める。

a)

発生頻度評点

  危害の発生頻度は危害に至るまでに関わるモード間の関係に依存するので,次のよう


42

C 5750-4-3

:2011 (IEC 60812:2006)

に求める。

−  論理積:Min[

(人の評点)

(装置の評点)

−  順序化論理積:

[最初に発生する事象の評点]

−  論理和及び排他的論理和:

(人の評点)+(装置の評点)−1

b)

影響度評点

  影響度の算定は,通常の FMEA 又は FMECA における方法と変わらない。装置と人とに

分けて影響を評価できるようにするとよい。

c)

リスク評点

  リスク評価は,人,装置又は人−装置系に分けて行うとよい。リスク評点は,次のよう

に求める。

−  (装置のリスク評点)=(装置の発生頻度評点)×(装置の影響度評点)

−  (人のリスク評点)=(人の発生頻度評点)×(人の影響度評点)

−  (系のリスク評点)=[

a)

の方法による(発生頻度評点)

]×[

(装置の影響度評点)+(人の

影響度評点)

表 JA.2

リスク評価のためのランク付け及び評点例 

[発生頻度ランク例] 

ランク

発生頻度

発生の程度

評点例

a

極めて頻繁

持続的,10 %∼ 8

b

かなり頻繁 1

%

∼10 %

4

c

時折,まれ(稀)に 0.1

%

∼1 %

2

d

極めてまれ(稀)に/

ほとんどない

上記以下 1

[影響度ランク例] 

ランク

影響度

影響の程度

評点例

I

致命的,重度

死亡,重傷, 
完全又は重度の装置損傷

8

II

軽度

軽傷, 
軽度の装置損傷

4

III

微度

微度の傷(擦り傷など)

微度の装置損傷

2

IV

無視できる

上記より軽い。人又は装置への影響 1

JA.4.5 

逸脱環境の洗い出し 

標準から逸脱した人の使用環境及び装置の動作環境を洗い出し,エラー又は故障が起こりやすい水準又

は条件の組合せを,マトリックス図を用いて洗い出す。人の使用環境では,心理的及び/又は生理的環境

条件を重視し,起こりやすさで重み付けして表示するとよい。検討事項の一例を,次に示す。

a)

使用環境条件

−  気象条件(寒暖,乾湿,強風,地震など)

−  使用場所(屋外,屋内,乗り物など)

−  使用条件(連続,間欠,一回限りなど)


43

C 5750-4-3

:2011 (IEC 60812:2006)

−  故障時の作動状況など

b) 

人的環境条件 

−  生理的条件(老若,男女,疲労など)

−  心理的条件(喜怒哀楽,単調作業など)

この結果,重みの大きい条件の組合せを優先的に取り上げ,三要素 FMEA 表の“環境”欄に記入する。

人の生理的条件の一部として“対象者”欄に次の記号を記入する。

C

:幼児(乳児及び児童を含む。

E

:高齢者

H

:障害者

対象者が限定できないときには,

“全”と記入する。

JA.5 

三要素 FMEA の解析手順 

三要素 FMEA の標準の解析手順は,

図 JA.3

の 10 ステップで行う。ステップ 3∼ステップ 6 は人及び装

置の潜在危険要因を洗い出す作業であり,互いに補完的で,演えき(繹)的方法と帰納的方法とを交互に

行うことによって抽出する要因の網羅性を高めるために行う。ステップ 3∼ステップ 6 はそれぞれ異なる

手段で構成し,要因の重複抽出をできるだけ減らす方向に設計する。緊急の解析要求などでステップを飛

ばさざるを得ない場合にも,ステップ 3[演えき(繹)的方法]及びステップ 4(帰納的方法)は,この順

序で最低限実施することが望ましい。この場合は解析を実施する人の知識及び経験への依存度が高まるた

め,

できるだけ異なる分野の経験者でグループを構成し,

知識及び経験のバランスをとることが望ましい。

これに対し,標準の方法では,データベースを利用するステップを加えることで属人的にならないように

する。

ステップ 3∼ステップ 6 は,どのステップから始めてもよく,並行して行ってもよい。

なお,標準ステップの演えき(繹)的方法の後に帰納的方法を行うことによって,潜在故障要因の抽出

力が高まり,漏れ及び抜けも少なくでき,効率的であることが実証されている。

JA.6 

三要素 FMEA 適用事例 

人−環境−装置の三要素 FMEA を市販のコーヒーメーカの使用上の安全解析に適用した事例を,

図 JA.4

に示す。また,人−環境−装置の三要素 FMEA は人手を要する製造プロセスにおいて,作業者と生産設備

とのインタフェースで生じる不具合を解析する目的で,従来の工程 FMEA の代わりに用いることもできる。

さらに,人−環境−人の三要素 FMEA は医療,教育,設備保全,接客などのサービスにおける不具合及び

欠点の解析に用いられる

24


44

C 5750-4-3

:2011 (IEC 60812:2006)

図 JA.3

人−環境−装置の三要素 FMEA の標準解析手順 

標準の操作手順(操作フローと要素 
作業)の明確化

逸脱的環境/人的条件の洗い出し

(環境条件)

(人のふるまい)

人−装置系の想定危害から潜在危険要因
(故障モード/エラーモード)の抽出[演
えき(繹)的]

エラー見出し語から類推する潜在危険要因
(エラーモード)の抽出(帰納的)

事故データベースの分析による潜在危険要

因(主にエラーモード)の抽出[演えき(繹)
的]

装置の潜在危険部品の洗い出しによる潜在

危険要因(故障モード)の抽出         
(帰納的)

人のエラーモードの認知心理学的原因分析

人のエラーモードと装置の故障モードのイ
ンタフェース分析

抽出した潜在危険要因の人−装置系への影

響(危害)とリスク解析

リスク解析結果に基づく製品安全対策の検
討と効果の評価

ステップ  

ステップ  

ステップ  

ステップ  

ステップ  

ステップ  

ステップ  

ステップ  10 

ステップ  

ステップ  

故障モード/エラーモ
ードの抽出

影響(危害)解析とリ

スク解析 
(アウトプット)

故障モード/エラーモ
ードの関係分析と原因
分析

標準とする使用条件と

それからの逸脱環境と
の同定

(インプット)

データベース化


45

C 5750-4-3

:2011 (IEC 60812:2006)

人−環境−装置の三要素 FMEA 表

  対象製品:コーヒーメーカ                                  No.4/4

意識フェーズ

エラーポテンシャル(エラー率)

事故例の心理的解析

事故データベース(人的要因の事故例)

フェーズ I

:疲労・単調

高(0.1 以上)

フェーズ II

:定例作業・休息

やや高(0.01∼0.000 01)

フェーズ III  :積極的活動時

低(0.000 001 以下)

フェーズ IV  :慌て・パニック

高(0.1 以上)

エラー見出し語

受容

判断

行動

故 障 ・ エ ラ ー の

影 響 ( 危 害 )






対策

装置への

影響

人への影響

使

フィルタカッ
プをガラス容
器から外す

慌てている/
気が抜けてい

コーヒーが滴下

  I

火傷

1

2

1

2

1

4

9

水蒸気に触れる

  I

IV

火傷

1

2

1

2

1

4

9

保温板に触れる

  I

IV

火傷

1

2

1

2

1

4

9

コーヒーをカ
ップに注ぐ

取っ手部破損 
ガラス容器破損

破片に接触

  破損

火傷,切傷

使用不可

4

2

4

2

2

4

8

4

16

8

24

12

○ 設計見直し

警告表示

差込プラグを
コンセントか
ら抜く

水を使用

コンセントに触れる

全 全

I

IV

感電

1

2

1

1

8

4

1

16

8

27

10

W 警告表示(取説)

電源スイッチ
を“ON”にし,
ガラス容器を
保温板に置く

慌てている/
気が抜けてい

温度センサー故障  ∩

忘れる

I

IV

  動作不良

火災による二
次被害

火災

2

1

4

4

8

4

8

残ったコーヒ
ーを捨てる

慌てている

まだ熱いコーヒーがかか

  I

火傷

1

2

1

4

1

8

15

手で洗う

かえり/鋭角部が
ある

素手でエッジを触る

  I

IV

切傷

1

2

2

4

2

8

6

保管する

寒冷地

水が凍結しパイプ
が破損

水抜きを忘れる

  I

I

IV

  破損

使用不可

4

2

4

2

4

2

16

8

8

4

24

12

W 警告表示(取説)

図 JA.4

コーヒーメーカの使用に対する人−環境−装置の三要素 FMEA 事例 




エラーモード

[人]

[環境]

  係

故障モード

[装置]

45

C

 5750-4-3

2

0

11

 (IEC

 60812

2

006)


46

C 5750-4-3

:2011 (IEC 60812:2006)

参考文献

[1]

JIS C 5750-3-1

  ディペンダビリティ管理−第 3-1 部:適用の指針−ディペンダビリティ解析手法の指

注記 

対応国際規格:

IEC 60300-3-1

:2003

,Dependability management−Part 3-1: Application guide−

Analysis techniques for dependability

−Guide on methodology(IDT)

[2]

JIS C 5750-4-4

  ディペンダビリティ  マネジメント−第 4-4 部:システム信頼性のための解析技法−

故障の木解析(FTA)

[3]

BS 5760-5

:1991

,Reliability of systems, equipment and components−Part 5: Guide to failure modes, effects

and criticality analysis (FMEA and FMECA)

[4]

SAE J1739

:2002

,Potential Failure Mode and Effects Analysis in Design (Design FMEA), Potential Failure

Mode and Effects Analysis in Manufacturing and Assembly Processes (Process FMEA), and Potential Failure

Mode and Effects Analysis for Machinery (Machinery FMEA)

[5]

SAE ARP5580

,Recommended Failure Modes and Effects Analysis (FMEA) Practices for Non-Automobile

Applications

[6]

AIAG

,Potential Failure Mode and Effects Analysis, Third Edition, 2001

[7] M.

Krasich

,Fault Tree Analysis for Failure Modes Identification and Product Reliability Improvement, tutorial

presented at the Reliability and Maintainability Symposium; Tutorial Proceedings of 2002, 2003, and 2005

[8] J.

Bowles

,An Assessment of RPN Prioritization in a Failure Modes Effects and Criticality Analysis, technical

paper presented at the Reliability and Maintainability Symposium, 2003

[9]

IEC 60300-3-9

:1995

,Dependability management−Part 3 : Application guide−Section 9 : Risk analysis of

technological systems

[10]

IEC 60300-3-11

:1999

, Dependability management − Part 3-11: Application guide − Reliability centred

maintenance

[11]

IEC 61078

,Analysis techniques for dependability−Reliability block diagram and boolean methods

[12]

IEC 61160

:1992

,Formal design review

[13]

IEC 61165

:1995

,Application of Markov techniques

[14]

内藤勝次:1997  ヒューマンエラー・ゼロへの挑戦,オーム社.

[15]

塩見弘他:1983  FMEA,FTA の活用,日科技連信頼性工学シリーズ 7,日科技連出版社.

[16]

日科技連製品安全グループ編:1982,製品安全技術,日科技連出版社.

[17]

和田浩,白水修:1989,商品安全評価技法の開発と活用,品質管理,40[11]

,p.311-315.

[18]

塩見弘:1996,人間信頼性工学入門,日科技連出版社.

[19] F.Redmill, M.F.Chudleigh and J.R.Catmur

:1997,“Principles underlying a Guideline for applying HAZOP to

Programmable Electronic Systems,” Reliability Engineering & System Safety, 55, p.283-293.

[20] Kumamoto H. and E.J.Henley

:1996,“Probabilistic Risk Assessment and Management for Engineers and

Scientists,” IEEE Press.

[21]

橋本邦衛:1984,安全人間工学,中央労働災害防止協会.

[22]

益田昭彦,岩瀬智之,鈴木和幸:1999,人・環境・装置の三要素 FMEA を用いた製品安全解析につい

ての一考察,品質,29[1]

,p.11-24.

[23]

益田昭彦,鈴木和幸:2005,三要素 FMEA を用いたユーザーエラーの予測とガイドワードを用いたエ


47

C 5750-4-3

:2011 (IEC 60812:2006)

ラー予測の自動化,品質,特集,35[1]

,p.42-50.

[24]

益田昭彦:2006,サービスへの信頼性概念の拡張,電子情報通信学会誌,89[12]

,p.1032-1039.