>サイトトップへ >このカテゴリの一覧へ

C 5750-4-4

:2011 (IEC 61025:2006)

(1)

目  次

ページ

序文  

1

1

  適用範囲  

1

2

  引用規格  

2

3

  用語及び定義  

2

4

  記号 

5

5

  FTA 技法の概要  

5

5.1

  FT 図の説明及び構成  

5

5.2

  目的  

6

5.3

  適用  

7

5.4

  他の信頼性解析技法との組合せ  

7

6

  新規作成及び評価  

9

6.1

  一般的な考察  

9

6.2

  要求されるシステム情報  

11

6.3

  FT 図の図示及び構成  

12

7

  FT 図の作成及び評価  

12

7.1

  概要  

13

7.2

  解析の適用範囲  

13

7.3

  システムの理解  

13

7.4

  FT 図の作成  

13

7.5

  FT 図の構築  

13

7.6

  FTA における故障率  

29

8

  FT 図における識別及びラベリング  

30

9

  報告書 

30

附属書 A(参考)記号  

32

附属書 B(参考)分離化のための詳細手順書  

38


C 5750-4-4

:2011 (IEC 61025:2006)

(2)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,財団法人日本規格協会(JSA)から,工業標

準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業

大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS C 5750

の規格群には,次に示す部編成がある。

JIS C 5750-1

  第 1 部:ディペンダビリティ  マネジメントシステム

JIS C 5750-2

  第 2 部:ディペンダビリティ  マネジメントのための指針

JIS C 5750-3-1

  第 3-1 部:適用の指針−ディペンダビリティ解析手法の指針

JIS C 5750-3-2

  第 3-2 部:適用の指針−フィールドからのディペンダビリティデータの収集

JIS C 5750-3-3

  第 3-3 部:適用の指針−ライフサイクル  コスティング

JIS C 5750-3-4

  第 3-4 部:適用の指針−ディペンダビリティ要求事項仕様書作成の指針

JIS C 5750-3-5

  第 3-5 部:適用の指針−信頼性試験条件及び統計的方法に基づく試験原則

JIS C 5750-3-6

  第 3-6 部:適用の指針−ディペンダビリティにおけるソフトウェアの側面

JIS C 5750-3-7

  第 3-7 部:適用の指針−電子ハードウェアの信頼性ストレススクリーニング

JIS C 5750-4-1

  第 4-1 部:適用の指針−リユース部品を含む製品のディペンダビリティ−機能性及び

試験に関する要求事項

JIS C 5750-4-2

  第 4-2 部:適用の指針−ソフトウェア  ライフサイクル  プロセスにおけるソフトウェ

ア  ディペンダビリティ

JIS C 5750-4-3

  第 4-3 部:システム信頼性のための解析技法−故障モード・影響解析(FMEA)の手

JIS C 5750-4-4

  第 4-4 部:システム信頼性のための解析技法−故障の木解析(FTA)


日本工業規格

JIS

 C

5750-4-4

:2011

(IEC 61025

:2006

)

ディペンダビリティ  マネジメント−

第 4-4 部:システム信頼性のための解析技法−

故障の木解析(FTA)

Dependability management-

Part 4-4: Analysis techniques for system reliability-

Fault Tree Analysis (FTA)

序文 

この規格は,2006 年に第 2 版として発行された IEC 61025 を基に,技術的内容及び構成を変更すること

なく作成した日本工業規格である。

故障の木解析(FTA: fault tree analysis)

(以下,FTA という。

)は,設定した頂上事象の発生の原因,潜在

的に発生の可能性がある原因又は発生の要因を抽出し,頂上事象の発生条件及び要因の識別及び解析を行

う手法である。FTA では,設定する頂上事象は,通常,システムの機能喪失,性能低下,安全性又は他の

重要な運用上の特性劣化などである。これに対し成功の木解析(STA: success tree analysis)では,機能,

性能,特性などの成功に関係する事象を解析する。

FTA は,システム(輸送システム,電力発電プラント,それらの運用上の安全性評価などを要求するシ

ステムなど)の安全解析にしばしば適用されている。FTA はアベイラビリティ及び保全性解析にも使用で

きる。この規格では,説明を単純化するために,用語“信頼性”をシステムの機能,性能,特性などを表

す用語として使用する。

この規格は,FTA への二つのアプローチを扱う。一つは定性的なアプローチで,事象及びそれらの寄与

要因,すなわち,入力事象の発生確率又は発生頻度は扱わない。このアプローチは事象又は故障(状態)

の詳細な解析であり,定性的又は伝統的な FTA として知られている。原子力産業及び多くの他産業の実例

があり,潜在的な原因又は故障(状態)を抽出しようとしているが,それらの発生の確からしさは考慮し

ていない。伝統的な FTA では,事象を定量的に解析することもある。ただし,これらの計算は全般的な信

頼度の概念とは異なるので,この場合,FTA を使用して全体の信頼度を計算する試みは行わない。二つ目

は,定量的なアプローチで,多くの産業で活用されており,製品,プロセス又はシステム全体を故障の木

図(以下,FT 図という。

)によってモデル化し,多くの基本事象について,故障(状態)又は事象の発生

確率を解析又は試験によって決定する。この場合,最終結果は,故障の信頼度又は発生確率を表す頂上事

象の発生確率である。

適用範囲 

この規格は,製品(サービスを含む。JIS C 5750-1 の 3.5 を参照。

)のための故障の木解析(FTA: fault tree

analysis)に適用する。


2

C 5750-4-4

:2011 (IEC 61025:2006)

この規格は,FTA について記述し,次の適用上の指針を示す。

−  基本原理の定義

−  関連する数学モデルの記述及び説明

− FTA と信頼性をモデル化する他の技法との関係についての説明

− FTA の解析手順の説明

−  適切な仮定,事象及び故障モードの識別

−  一般に用いる記号の識別及び説明

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

IEC 61025:2006

,Fault tree analysis (FTA)(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”こ

とを示す。

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。

)を適用する。

JIS Z 8115

  ディペンダビリティ(信頼性)用語

注記  対応国際規格:IEC 60050-191,International Electrotechnical Vocabulary−Chapter 191:

Dependability and quality of service(MOD)

IEC 61165

,Application of Markov techniques

用語及び定義 

この規格で用いる主な用語及び定義は,JIS Z 8115 によるほか,次による。

3.1

結果(outcome)

ある作用又は他の入力によって引き起こされる結末。原因の発生の帰結である。

注記 1  結果は,事象又は状態である。故障の木図では,ゲートへの入力事象の組合せ結果は,中間

事象又は頂上事象である。

注記 2  結果は,FT 図では中間事象への入力となり,頂上事象ともなる。

3.2 

頂上事象(top event)

全ての入力事象の組合せの結果。アイテムに発生することが望ましくない事象である。

注記 1  頂上事象は,FT 図を作成するときの目的となる事象である。頂上事象は,最終事象(3.3 

照)又は頂上結果(3.4 参照)と呼ぶこともある。

注記 2  頂上事象は,あらかじめ定義する FT 図の出発点である。頂上事象は,FT 図において事象の

階層の最上部に位置する。

3.3 

[対応国際規格では,ここで“final event”を定義しているが,3.2 の頂上事象と同じ内容であるため,

この規格では“頂上事象(top event)

”に統一した。

3.4

[対応国際規格では,ここで“top outcome”を定義しているが,3.2 の頂上事象と同じ内容であるため,


3

C 5750-4-4

:2011 (IEC 61025:2006)

この規格では“頂上事象(top event)

”に統一した。

3.5

ゲート(gate)

出力事象と対応する入力とを象徴的に関連付けるために使用する記号。

注記  出力事象が生じるために,入力事象間で必要とされる関係を表す。

3.6

カットセット(cut set)

集合内の全ての事象が発生した場合に,頂上事象が発生するような事象の集合。

カット集合ともいう。

3.7

ミニマルカットセット(minimal cut set)

頂上事象を引き起こすために必要な最小限の事象から構成する集合。

最小カット集合ともいう。

注記  ミニマルカットセットの事象のうち,一つでも発生しない事象がある場合,頂上事象は発生し

ない。

3.8

事象(event)

条件又は作用の発生。

3.9

基本事象(basic event)

それ以上展開できない事象又は状態。

3.10

[対応国際規格では,ここで“primary event”を定義しているが,3.9 の基本事象と同じ内容であるため,

この規格では“基本事象(basic event)

”に統一した。

3.11

中間事象(intermediate event)

頂上事象でも基本事象でもない中間の事象。

注記  中間事象は,通常,一つ以上の基本事象及び/又は他の中間事象の結果である。

3.12

非展開事象(undeveloped event)

いかなる入力事象ももたない事象。  未展開事象ともいう。

注記  非展開事象は,いろいろな理由から解析において展開されていない事象である。いろいろな理

由とは,詳細情報の不足,別の解析で展開されており当該の解析では非展開として注釈されて

いるなどである。非展開のゲートの例として,COTS(Commercial Off The Shelf items)がある。

3.13

単独故障(single point failure)

その故障が生じれば,システム全体の故障を引き起こす,すなわち,他の事象又はそれらの組合せにか

かわらず,それ自身の発生で望ましくない頂上事象(結果)を引き起こす故障。

3.14

共通原因事象(common cause events) 


4

C 5750-4-4

:2011 (IEC 61025:2006)

システム又は FT 図で,同一の発生原因をもつ異なる事象。

注記  共通原因事象の例として,回路基板の屈曲によるセラミックコンデンサの短絡がある。異なる

機能をもつ別々のコンデンサであっても,それらの短絡は,同じ原因,すなわち,同じ入力事

象をもつ。

3.15

共通原因(common cause) 

複数の事象の発生原因。

注記  共通原因事象の例では,共通原因は回路基板の屈曲であり,それ自体中間事象である。その原

因は,複数の事象,例えば,環境上の衝撃,振動又は人力による回路基板の破損が製品の製造

中に発生することにある。

3.16

反復事象(replicated or repeated event) 

より高いレベルの複数の事象への入力となる事象。

重複事象,繰返し事象ともいう。

注記  この事象は,構成品の共通原因又は故障モードであり,設計の複数の部分で共有する。

上記の用語の幾つかを,

図 で説明する。FT 図の実際の適用をより理解しやすく説明するために,事象

の概要及び注釈を

図 に示す。カットセット又はミニマルカットセットの図示による説明は,他の適切な

用語の図示を単純化するために

図 では省略する。この規格の全ての FT 図中の記号は,個々の事象を記

述するためにゲート記号の上に記述ブロックを追加したので,

表 A.1∼表 A.4 に示す記号とは異なる。


5

C 5750-4-4

:2011 (IEC 61025:2006)

図 1FTA の中で使用する用語の説明 

記号 

FT 図の図示では,記号,事象ごとの事象名称の統一による識別及びラベリングを,一貫した方法で使用

する。FT 図の事象を記述する記号は,ユーザの好み及びソフトウェアパッケージによって変わる。記号,

事象ごとの事象名称の統一による識別及びラベリングについての一般的な手引きを,箇条 及び

附属書 A

に示す。

この規格の中で使用する他の記号は,時間の関数である F(t):不信頼度,又は時間の関数ではない,あ

る機会に生じる確率 のような,標準的な信頼性記号である。したがって,この規格では記号の個別リス

トは示さない。

5 FTA

技法の概要 

5.1 FT

図の説明及び構成 

ディペンダビリティ(信頼性)解析には幾つかの解析手法が利用可能であり,FTA はそれらの手法の一


6

C 5750-4-4

:2011 (IEC 61025:2006)

つである。解析担当者は,FTA を始める前に,結果の原因となる事象若しくは状態の流れの評価又はシス

テム若しくは構成品の信頼度及びアベイラビリティを評価する場合,各手法の目的及び各手法又はそれら

を組み合わせたときの適用可能性を検討することが望ましい。その検討では,各手法及び解析する製品の

利点及び欠点,解析に必要なデータ,解析の複雑さ並びにこの規格の中で明確にする他の要因を考慮する

ことが望ましい。

FT 図は,“頂上事象”と呼ぶ定義した結果の発生を引き起こす又は発生に寄与する条件又は要因を体系

的に図示したものである。結果が成功である場合,FT 図は成功の木図(ST 図)となる。その場合,入力

事象は,最上部に示す成功事象に寄与する事象である。FT 図は,その構成を明確に理解でき,解析でき,

かつ,必要ならば再整理し,次の要因及び事象が明確になるように表示する。

−  調査した頂上事象に影響する要因。これは,従来のほとんどの FTA で実行している。

− FTA 技法を信頼性解析に使用する場合の,システムの信頼度及び性能特性に影響する要因。例えば,

設計の不具合,環境上又は運用上のストレス,構成品の故障モード,運用担当者の誤り,ソフトウェ

アフォールトなどである。

−  複数の機能部品に影響する事象。これは,特定の冗長性の利点を打ち消すか,又は一見無関係若しく

は独立しているように見える製品の複数の部品に影響する事象(共通原因の事象)である。

FTA は,設定した頂上事象を発生させる原因又は原因の組合せを正確に示すことを目的にした演えき的

(トップダウン)な解析手法である。解析の適用範囲に応じて,定性的又は定量的解析を行う。

FT 図は,その相補的な STA として展開できる。その場合,頂上事象は成功事象であり,その入力は成

功(望まれた)事象に寄与する事象である。

基本事象の発生確率が推定できない場合,潜在的な望ましくない結果(すなわち,頂上事象)を発生さ

せる原因の調査に,定性的 FTA を用いることがある。この場合,個々の基本事象の発生の確からしさを次

のように記述する。

“発生確率が非常に高い”

“発生確率が高い”

“発生確率が中位である”

“発生確率が

低い”などである。定性的 FTA の第一の目標は,基本事象群がどのように頂上事象に影響を及ぼすかを決

定するために,ミニマルカットセットを抽出することにある。

定量的 FTA は,基本事象の発生確率が既知である場合に使用できる。基本事象の発生確率を基に,全て

の中間事象及び頂上事象(すなわち,結果)の発生確率を,モデルに従って求めることができる。さらに,

定量的 FTA は,開発段階における製品又はシステムの信頼性解析に非常に役に立つ。

FTA は,ソフトウェア又はハードウェアの相互作用を含むサブシステム間の複雑な相互作用をもつシス

テムの解析にも使用できる。

5.2 

目的 

FTA は,他の信頼性解析とは単独で,又はそれらと組み合わせて試みてもよい。

FTA の目的を,次に示す。

−  頂上事象を発生させる原因又は原因の組合せの明確化

−  特定のシステム信頼性尺度が,所定の要求事項を満たすか否かの決定

−  システム信頼度の実現可能な改善策を明確化するために,どの潜在的な故障モード又は要因が,シス

テムの故障発生確率(不信頼度)又はシステムが修理可能な場合はアンアベイラビリティに最も強く

影響しているかの決定

−  システムの信頼性を改善する様々な設計代替案の解析及び比較

−  他の解析[例えば,マルコフ及び故障モード・影響解析(FMEA:failure mode and effects analysis)

(以

下,FMEA という。

]で行った仮定が妥当であるという実証


7

C 5750-4-4

:2011 (IEC 61025:2006)

−  安全問題を引き起こすことがある潜在的故障モードの明確化,対応する発生確率の評価及び低減策の

可能性の評価

−  共通事象(例えば,

図 10 のブリッジ回路 FT 図の中央の枝を参照)の識別

−  頂上事象の発生を最も高い可能性で引き起こす事象又は事象の組合せの探索

−  頂上事象の発生確率に対する基本事象の発生の影響の評価

−  事象の発生確率の計算

−  定常状態を仮定でき,かつ,実施する修理が互いに独立している(成功パス図/信頼性ブロック図に

関する制約と同じ制約である)場合の,FT 図によって表すシステム又はその構成品のアベイラビリテ

ィ及び故障率の計算

5.3 

適用 

FTA は,幾つかの機能的に関連する又は従属するサブシステムから構成されるシステムの解析に適して

いる。FTA の利点は,システム設計が幾つかの独立した専門の技術的な設計グループの製品で,個別の FT

図を一緒に結合する場合に明らかとなる。FTA は,原子力発電所,輸送システム,通信システム,化学な

どの工業プロセス,鉄道システム,家庭用娯楽システム,医療システム,コンピュータシステムなどの設

計に一般的に適用できる。さらに,FTA は,種々の構成品及びそれらの相互作用(機械的,電子的及びソ

フトウェアの構成品の)を含み,他の解析技法では容易にモデル化できないシステムに適用する場合に,

特に価値がある。例えば,構成品の破損及び故障を引き起こす振動疲労のように,その出現順序が極めて

重要となる事象の組合せがある。

FTA は,手法として多くの用途がある。幾つかの例を次に示す。

−  頂上事象に至る事象の適切な論理的組合せの決定及び有効なそれらの優先順位の決定

−  開発中のシステムについて調査し,望ましくない頂上事象の潜在的な原因を予想し,予防又は緩和す

−  システムの解析,その信頼度の決定,その不信頼度の主な要因の明確化及び設計変更の評価

−  確率論的リスク評価の活動の支援

FTA は,全ての新製品又は改良製品に対し,その全ての設計段階において,潜在的な設計問題を明確化

する解析手法として適用できる。この適用には,設計の詳細情報が不完全な初期の設計段階も含む。これ

らの初期の成果は,システム設計及びその構成品についてより多くの情報が利用できるようになるに従っ

て,その後拡張される。さらに,FTA は,製品の物理的な設計,環境又は運用上のストレス,製品製造プ

ロセスでの軽微な欠点並びに運用及び保全の手順に起因する潜在的な問題をも明確にする。

5.4 

他の信頼性解析技法との組合せ 

5.4.1 FTA

と FMEA との組合せ 

FTA と FMEA との組合せは,各産業界の特定の規格によって,特に安全規格及び輸送規格の中で,よく

用いられる。これらの解析の組合せには,次に示す利点がある。

− FTA はトップダウンの解析手法であり,FMEA はボトムアップの解析手法である。演えき的推論(演

えき法)及び帰納的推論(帰納法)の両方を使用することで,解析の完全性を保証する上で十分な論

拠になる。

−  安全規格は単一故障の解析を要求することが多いが,複合故障の解析を要求することもある。単一故

障の解析は,FMEA で行える。単一故障及び複合故障の解析は,FTA で行える。

− FMEA は,基本事象又はハザードを包括的に明確化する有用な手法でもある。一方,FTA は望ましく

ない事象の原因を解析する実践的な手法である。


8

C 5750-4-4

:2011 (IEC 61025:2006)

さらに,FMEA と FTA との間に,次に示す単純な整合性確認の方法がある。

− FMEA で明確化した単一故障で FT 図の頂上事象に結びつくものは,ミニマルカットセットの中の単

独故障として表示しなければならない。

注記  単独故障とは,それが生じたとき,システム全体の故障を起こす故障をいう。

− FTA で明確化した単独故障は,FMEA においても同様に表現することが望ましい。

解析を独立して行う場合,この整合性確認の有用性が増加する。これは,安全解析で特に重要となる。

この方法論は,JIS C 5750-3-1 を参照。

5.4.2 FTA

と事象の木解析との組合せ 

FTA によって,どんな事象も解析できる。しかし,次に示す理由によって,適切ではない場合がある。

−  故障の因果関係よりも事象の発生順序で展開するほうが容易な場合

−  解析した FT 図が非常に大きくなる可能性がある場合

−  別々のチームが,解析の異なる部分を取り扱う場合

実際的な手順を見つけるために最初に定義するのは,多くの場合,頂上事象としての望ましくない事象

ではなく,機能領域と技術領域とのインタフェースでの潜在的な望ましくない事象である。

宇宙船ミッションの頂上事象“乗組員又は宇宙船の喪失”を例に考える。

“乗組員又は宇宙船の喪失”に

基づく大きな FT 図を構築する代わりに,中間の望ましくない事象,例えば,

“点火の故障”又は“推進力

の故障”を頂上事象として定義し,別々の FT 図として解析する。その後,これらの縮小された頂上事象

を,順番に事象の木図(イベントツリー図ともいう。以下,ET 図という。

)への入力として使用し,運用

上の結果を解析する。

ETA と FTA とのこの組合せは,原因結果解析(CCA: cause consequence analysis)と呼ぶ。

5.4.3 FTA

とマルコフ解析との組合せ 

FTA で静的な事象の組合せ(タイミング,すなわち,事象の組合せの順番を考慮又はモデル化しない静

的ゲート)だけをもつ場合は,通常,事象の発生順序とは無関係にシステムを評価する。しかし,マルコ

フモデルを表す追加のゲートを定義することによって,FTA を拡張できる。これらのゲートは,“動的”

ゲートと呼び,優先 AND ゲート(順序化 AND ゲートともいう。

)及びスペアゲートがある。これらのゲ

ートは,適切なマルコフモデル又はシミュレーションを使用することによって,時点 で故障確率を評価

する。いったん評価すると,動的ゲート及びその入力は,マルコフ解析によって求めた発生確率をもつ単

一基本事象に置換してもよい。市販ソフトウェアを使用すれば,動的ゲートをモデル化し,それらが表す

事象の発生確率を算出できる。動的な優先 AND ゲートの例を,

附属書 に示す。

FT 図の静的ゲート及び動的ゲートは両方とも,個々の事象は,共通として定義しない限り,独立してい

ると仮定して使用する。しかし,マルコフモデルに含まれる動的事象とそれ以外の FT 図の中の事象とは,

相互に独立であるという特性に,特に注意しなければならない。

5.4.4 FTA

とバイナリデシジョンダイアグラム技法との組合せ 

多くのカットセットをもつ FT 図の頂上事象の発生確率を求めるには,全てのカットセットの組合せ確

率を求めなければならない。この計算は非常に複雑になるため,しばしば切り捨てる。バイナリデシジョ

ンダイアグラム(BDD: binary decision diagram)

(以下,BBD という。

)は,FT 図から帰納的に構築できる。

また,BDD では効率的かつ厳密に算出できる。この方法は,

“NASA FT 図ハンドブック,航空宇宙用バー

ジョン 1.1”を参照。

BDD アプローチは,カットセットの確率計算を切り捨てた結果,正確さが非常に低下する場合又は FTA

解決方法では時間がかかり過ぎる場合,特に,発生確率の高い事象がモデル中に多く現れる場合,有効と


9

C 5750-4-4

:2011 (IEC 61025:2006)

なる。また,BDD アプローチで生成した最小パスが分離しているので(7.5.5.4 参照)

,重要度及び感度を

効率的かつ厳密に算出できる。

5.4.5 FTA

と信頼性ブロック図との組合せ 

信頼性ブロック図は,構成品又は故障モードのグループを表すブロック又はモジュールから構成する。

それらのグループは,通常,製品,システム又はプロセスの機能ブロック図によって形成する。これらの

モジュールは,与えた用途若しくは運用形態に対して決定した故障率若しくは算出した信頼度又は故障の

発生確率のいずれかをもつ。伝統的に,ブロックの故障率は,ブロックを構成する構成品それぞれの故障

率の合計である。したがって,モジュール内の構成品の機能的な相互作用は考慮しない。

ブロック(ソフトウェア,ハードウェア及び/又は機械部品の相互作用)内の機能的なモデル化の正確

さを増すために,あるブロックの信頼度を FT 図でモデル化し,それらのブロックの発生確率について,

結果として生じる情報を,

信頼性ブロック図の一部であるその特定のブロックに割り当てることができる。

このようにすれば,ブロック内の構成品における故障の独立性を仮定した信頼性ブロック図は,より現実

的な予測に使える。

新規作成及び評価 

6.1 

一般的な考察 

6.1.1 

概要 

FT 図は,“頂上事象”と呼ぶ望ましくない結果として定義した事象の発生原因又は発生の一因となる条

件を,体系的に図示したものである。FT 図は,作成した FT 図を明確に理解でき,解析でき,必要ならば

再整理でき,次の要因及び事象を明確化しやすい構成とする。

−  システムの信頼度及び他の性能特性に影響する要因。これらの要因は,例えば,設計の不備,環境上

又は運用上のストレス,構成品の故障モード,運用担当者の誤り,ソフトウェア  フォールトなどを含

む。

− FT 図における中間事象の複数の結果に寄与する共通事象。例えば,複数の機能構成品に影響する事象

で,影響しなければ運用上は無関係のことがあるが,特定の冗長性という長所を打ち消すか,又は製

品の複数の部品に影響する。

FTA は,演えき的(トップダウン)解析の手法である。その目的は,定義された頂上事象に結びつく原

因又は原因の組合せを正確に示すことにある。

その解析は,

定性的な手法 A でも定量的な手法 B でもよく,

解析の適用範囲によって異なる。

基本事象の発生確率を推定できない場合は,定性的 FTA である手法 A を使用して潜在的に望ましくな

い結果の原因を調査する。この場合,個々の基本事象の発生の確からしさを,

“発生確率が非常に高い”,

“発生確率が高い”

“発生確率が中位である”

“発生確率が低い”のように記載する(5.1 参照)

定量的 FTA である手法 B を使用できるのは,基本事象の発生確率が既知の場合である。この場合,全て

の中間事象及び頂上事象(すなわち,結果)の発生確率は,適切な数式を用いて求めることができる。

6.1.2 

事象及び状態の概念及び組合せ 

FT 図の最終結果(頂上事象)は,それ自体が故障(状態)である。FT 図には,原因となる事象又は他

の故障(状態)に起因する故障(状態)又は事象を記載する。FTA では,事象の組合せは,状態又は事象

のいずれでもあり得る場合と,結果と整合していなければならない場合とがある。例えば,OR ゲートの

結果が状態又は事象であるとき,その入力は状態又は事象である。結果が事象である AND ゲートへの入

力は,全て事象でなければならない。一方,結果が状態を表す場合は,入力は全て状態でなければならな


10

C 5750-4-4

:2011 (IEC 61025:2006)

い。

状態は,その状態が時点 で存在する確率で示せる。一方,事象は,故障率若しくは故障発生頻度又は

時点 における事象の発生確率で示せる。

6.1.3 

他の故障(状態)又は事象に結びつく故障(状態)を調査するための FT  

伝統的に,FT 図は,結果に結びつく故障(状態)又は事象を調査するために構築されている。この概念

は,多くの産業で長い間使用しており,特に効果的に適用しているのは原子力産業である。このように,

FT 図は,潜在的な問題,事象,改良及び他の予防策を調査するための強力で非常に有用なツールであり,

望ましくない結果を排除又は緩和するのに役立つ。

結果は,正常の場合も失敗の場合も,調査する。また,この結果に結びつく状態又は事象を調査する。

それらの存在又は発生の確率を決定し,FT 図のモデルが想定した結果の存在又は発生の確率を求められる

ように適切に構築する。

この適用では,FT 図は箇条 に示すように作成及び評価する。結果を故障(状態)の存在又は事象の発

生の確率によって示すこと,及び結果は解析したアイテム又はシステムの信頼度とは関係がないことに注

意することが望ましい。

この種の解析では,基本事象又はその他の事象は,実際の確率の値が与えられることはなく,潜在的に

起こり得る事象の調査の中で使用するだけである(手法 A)ことがある。この場合,事象は,記述的な確

率,すなわち“高い,中位の,又は低い”として記述し,頂上事象の潜在的な要因として評価する。この

種の FT 図は,頂上事象に対する単独又は主要因の基本事象の明確化のために,広範な産業,例えば,自

動車,原子力,製造プラントなどで使用する。

6.1.4 

製品開発中の信頼性評価及び改良における FTA の使用 

定量的な手法 B に基づく適用では,FT 図は,製品全体,又は製品の部品の信頼性若しくは運用上の安

全性のリスクを引き起こす製品の部品をモデル化できる。この場合,手法 B の解析による発生確率は,伝

統的な方法で決定できる。例えば,製品の安全に関わる故障(状態)若しくは事象の解析又は一定期間内

の潜在的な製品故障の詳細な解析を行うことによって,

対象期間内の不信頼度又は故障確率の式で表せる。

この適用では,FT 図による解析手法は,トップダウンの故障モード影響解析の原則に従う。潜在的な故障

モードは,製品故障に結びつく事象又は故障(状態)に帰着する。

ここでは,FTA は,潜在的な故障モードを表す故障(状態)又は事象間の相互作用と同様に,製品の動

的な事象及びソフトウェアとハードウェアとの相互作用を反映するモデルとして,特に有効である。この

相互作用は,通常の FMEA では表すことができず,更に,従来の信頼性ブロック図を使用してモデル化す

ることも非常に難しい。また,製品の信頼性評価値は,製品の故障の要因となる故障モードだけが定義さ

れ,考慮されるため,更に現実的なものとなる。

FT 図の作成は,システム設計段階の初期に開始し,製品の全ての開発段階の中で継続することが望まし

い。FT 図の進展は,設計の進行状況を反映することが望ましい。したがって,設計が進むとともに,故障

モードについての理解が深まる。

“設計と同時進行の解析”によって,早期のシステム設計変更を検討でき

る。FT 図は大規模になるものが多く,その場合には,それらを扱うために FTA のソフトウェアが必要と

なることがある。ソフトウェアを利用した場合,解析が容易になり,頂上事象の発生確率を容易かつ迅速

に推定できる。現在利用できる FTA ソフトウェアプログラムは多数あり,更に多数のプログラムが開発中

である。これらのプログラムは,特定の用途のニーズに合わせるために多様なものとなる。

FT 図の事象は,ソフトウェア又はハードウェアの故障だけに限定せず,それらの相互作用並びに頂上事

象に関係するヒューマンファクタ又は人の行為及びプロセスという他の要因を含むことに注意することが


11

C 5750-4-4

:2011 (IEC 61025:2006)

重要である。

定量的な解析を行っても幾つかの事象の発生確率が決定できない場合,

たとえ事象が系統的であっても,

それらの事象及びそれらの機能的(論理的)な組合せを解析に含めることが望ましい。この場合,これら

の故障モードは,信頼度又は故障の発生確率予測では説明できないが,それらの故障モードの存在は,定

性的な方法で説明できる。

FTA 技法をシステム解析のための方法として有効に使用するためには,その手順は少なくとも次のステ

ップからなることが望ましい。

−  解析の適用範囲の定義

−  システムの設計,機能及び運用の熟知

−  頂上事象の定義

− FT 図の構築

− FT 図の論理解析

−  解析結果についての報告

−  信頼度の改善及びトレードオフの評価

数値解析を行うときは,基本事象の確率又は他の属性,例えば,故障強度,平均故障間動作時間(MTBF)

故障までの平均時間(MTTF)などを数値的に評価する技法を定義する。使用するデータの選択及び信頼

度又は不信頼度の数値的評価は,この規格の適用範囲外である。

システム設計の FTA には多くの目的がある。目的の一つは,製品の構造及び機能遂行能力をトップダウ

ン方式でモデル化することであり,頂上事象によって定義する結果が生じる潜在的な故障モード及びそれ

らの原因を探索する。この情報に基づいて,頂上事象の発生確率又はシステム不信頼度に(定性的及び定

量的に)寄与するものについて,それぞれの原因を明確にするために調査する。これによって,許容しが

たい潜在的な故障モードを軽減するための可能な解決方法の検討及びトレードオフができ,最終的には,

達成される信頼度の改善を評価できる。

FTA は製品の構造及び機能のモデルであるので,そのシステム,設計特徴及び運用の詳細な知識をもち,

FTA 及び他の適切な信頼度モデル化技法の訓練を受けた要員が FTA を実施することが望ましい。解析担当

者は,潜在的な故障モードの影響を評価し,異常な製品の動作を引き起こす原因を論理的に識別できなけ

ればならない。製品設計及び潜在的な故障モードについての技術的な知識が不足している場合,FTA は製

品機能の真の表現ではなくなり,解析結果は無意味になる。FTA を作成した場合,製品設計に参加するエ

ンジニアリング  チームが,それが正確かつ完全であるかレビューすることが望ましい。合意した是正処置

は,文書化して継続管理しなければならない。

6.2 

要求されるシステム情報 

解析するシステムは,システム機能の記述及びシステム  インタフェースの識別によって定義することが

望ましい。定義には,次の事項を含むことが望ましい。

−  設計目的の要約

−  システム故障の要因の定義

−  機能ブロック図によって通常表すシステムの機能的な構造

−  他のシステムとの相互作用及びインタフェースによって管理するシステムの境界,例えば,電気的,

機械的及び運用上のインタフェース。そのような境界は,特定の機能,例えば,インタフェースを形

成する電気的な(内部又は外部の)接続,ヒューズなどを識別することによって表すことが望ましい。

−  機能的な構造に対応するシステムの物理的な構造


12

C 5750-4-4

:2011 (IEC 61025:2006)

−  システム運用の記述に伴ったシステム運用モードの識別及び各運用モードにおいて予期かつ許容でき

るシステム性能

−  システムの運用上の概要

−  システムの環境条件,関連する人的側面(例えば,運用担当者及び保全要員の訓練の程度)など

−  適用文書,例えば,図面,仕様書,運用マニュアルなどであって,機器設計及び運用の詳細を示すも

ののリスト。タスクの継続時間,

(定期)試験の実施時間間隔及び事後保全処置に利用可能な時間は,

既知であることが望ましい。また,支援機器及び関与する要員の詳細も同様であることが望ましい。

運用上の各段階で規定する機能についての具体的な情報も必要である。

6.3 FT

図の図示及び構成 

FT 図に使用する構成要素は,次のとおり。

ゲート 

入力事象と出力事象との論理的な関係を示す記号。

静的ゲート:入力の発生順序に依存しない結果

動的ゲート:入力の発生順序に依存する結果

動的ゲート及びそれらの使用に関する説明を,

表 A.4 に示す。優先 AND ゲートの例を,図 A.1 に示す。

事象 

FT 図における最も下位の入力。一般に用いる事象記号及びそれらの定義を,表 A.1 に示す。 
FT 図の図示に使用する構成要素は,次のとおりとする。

a) FT

図の論理記号(ゲート)

b)

ゲート入力の接続線

c)

中間事象の記述

d)

移行の入力又は出力の記号

e)

基本事象の記号

関連する全ての事象を,FT 図に含めることが望ましい。そのような事象は,アイテムが受ける環境の影

響又は他のストレスの状態を含むことが望ましい。これらの項目は,ソフトウェア,制御装置及び状態監

視に含むことがある。これらは設計仕様に含まなくても運用中に得られる。

解析担当者が詳細解析から除外した事象は,報告書の中で文書化することが望ましいが,最終的な FT

図には含めないことが望ましい。

FT 図が,既に発生した一つの故障(状態)によって引き起こされた複数のシステム性能に関わる問題を

明らかにする場合,その故障(状態)を記述する事象は,FT 図の複数の箇所に含めることが望ましい。こ

の事象は,更に,共通事象として示すことが望ましい。定量的解析では,共通事象は一度だけの計算とし

て含み,7.5.5.4 に示す全ての分離基準を適用することが望ましい。共通事象を複数の計算の中に誤って含

めることを回避するために,そのような事象の慣例的なラベリングを確立し,使用することが望ましい。

この種の記号化は一貫していなければならない。コンピュータソフトウェアを FT 図の評価支援に使用す

る場合,適切な慣例及び設定を使用しなければならない。

FT 図を作成する場合,縦方向に最上部から最下部へ,又は横方向に左から右へ描くことがある。FT 図

を横方向に左から右へ描く場合,

表 A.1∼表 A.4 に示す記号は,全て 90°左回りに回転させる。

FT 図は,発生した事故,故障などを処理する場合,調査するために,反対方向に読むことがある。

7 FT

図の作成及び評価 


13

C 5750-4-4

:2011 (IEC 61025:2006)

7.1 

概要 

FT 図の作成は,頂上事象の定義から始まる。FT 図の従来方法の適用における作成,すなわち,システ

ム信頼性及び故障モード解析のための作成は演えき法であり,解析は,解析の適用範囲として定義した望

ましくない頂上事象から開始する。FT 図は,目的とする範囲まで作成した時点で,単独又は他の事象と連

結して頂上事象の発生の原因となる全ての事象を図示できる。

7.2 

解析の適用範囲 

解析するシステムの定義,

解析の目的及び適用範囲並びに想定する基本的な仮定を含むことが望ましい。

これらの仮定は,予想される運用及び保全条件に関する仮定並びに全ての使用条件下のシステム性能に関

する仮定を含むことが望ましい。

FTA は次の事項の情報を提供できる。

−  システム信頼性の解析。基本事象の発生確率が既知の場合。

−  発生した望ましくない結果の根本的原因。適切な是正処置が必要となることがある。

頂上事象の発生確率を決定しなければならない場合,FTA の適用範囲は複雑なシステムまで及ぶ。ここ

で,他の信頼度モデル化及び予測解析手法と異なり,解析の適用範囲が拡張されるが,システム運用に影

響がある故障モード又は潜在的な事象だけを包含する。すなわち,頂上事象の発生に関係する故障モード

だけに限る。これによって,より狙いを絞ったシステム評価ができ,フィールド性能とのよりよい比較結

果が得られる。

7.3 

システムの理解 

FTA を正しく行うには,システムについての詳細な知識が必要である。ただし,システムが複雑な場合,

一人で完全に理解できない場合がある。この場合,必要な専門知識をチーム活動によって集め,システム

に精通する必要がある。

7.4 FT

図の作成 

頂上事象,すなわち,望ましくない事象の明確な定義から始まる。頂上事象は,解析全体の焦点である。

頂上事象は,危険な状態の発生若しくは存在(安全解析)又はシステムが望ましい性能を提供できないこ

となどである。

システムの性能又は信頼性の解析において,ゲートからの出力事象が機能の実行不能を示す場合には,

対応する入力事象は妥当な原因を表すことがある。例えば,ハードウェアの故障,ソフトウェアのフォー

ルト,性能の制約,不正確な命令(制御の故障)

,ヒューマンエラーに起因するものなど。

FT 図の詳細な枝の作成は,次に示す事項に一つでも到達した後に終了する。

−  基本事象,すなわち,関連する特性が FT 図以外の手段によって定義できる独立な事象。

−  解析担当者がそれ以上の作成の必要がないと定義した事象。

−  別の FT 図の中で既に作成したか,又は更に作成する予定の事象。移行記号で表す。その事象を更に

作成する場合,後者の木が前者の木を継続できるように,そのような事象には別の FT 図でも対応す

る事象と同じ識別名を付けなければならない。

7.5 FT

図の構築 

7.5.1 FT

図の形式 

縦方向又は横方向のどちらにも描くことができる。縦方向に描く場合,頂上事象は最上段に,基本事象

は最下段に記すことが望ましい。

横方向に描く場合,

頂上事象は左端に記すことも右端に記すこともある。

この規格の中の例(

図 など)では,FT 図の作成及び表現の例を示す。これらは,定義した FT 図の論

理記号に加えて,事象が示す機能又は状態と同様に,事象を記述する方形の枠を含む。


14

C 5750-4-4

:2011 (IEC 61025:2006)

7.5.2 

信頼性改善のためのシステム開発又は製品開発における定量的 FTA(手法 B)の使用 

7.5.2.1 

概要 

FTA は,頂上事象の発生に寄与する事象を明確にする系統的な方法であり,演えき的に解析を進めるこ

とによって,中間事象及び最終的には基本事象まで求める。この系統的な解析によって,システム構成品

の故障モード及び故障モードの発生確率に寄与する要因を明確にする。例えば,ソフトウェアコマンド,

ヒューマンファクタなどを含む運用上又は環境上のストレスのような要因がある。

FTA と他の信頼度モデル化及び他の解析手法との主要な相違点は,次のとおりである。FTA は頂上事象

の発生に寄与する事象だけを含み,それら機能上の組合せ並びに可能な動的相互作用及び相互依存性をモ

デル化する。一方,他の手法は,通常,故障が独立に発生すると仮定し,構成品の故障率又は故障発生確

率(構成品の故障モード確率ではない)を扱う。例えば,電圧フィルタコンデンサの故障モードには,開

放故障(故障全体の約 35 %)

,短絡故障(故障全体の約 55 %)又は静電容量の変化(故障全体の残り約 10 %)

があり,短絡故障の故障モードだけが製品の故障を引き起こす場合,FTA では,故障確率の約 55 %だけを

考慮する。これによって,設計者が注意しなければならない故障モード又はそれらの原因を現実に即して

識別できる。

FTA は,基本事象又は中間事象のいずれの場合も,マルコフ解析と組み合わせて事象の発生順序を正し

くモデル化できるので,製品の不信頼度に大きく寄与する基本事象/機能又は中間事象を明確化するため

の有力なツールになる。これによって,設計の欠点を緩和して設計を改良できる。また,改良の適合確認

をするため又は複数の設計改善案についてトレードオフの検討を行うために,FTA を改訂できる。

全ての連続するゲートモデルでは,発生確率の値は,故障モード及びそれらに寄与する要因だけの発生

確率,又は機能喪失及びシステム故障に結びつく故障モードの静的若しくは動的な組合せの発生確率であ

ることに留意しなければならない。

この方法による FTA の用途は,5.4.4 で記載した“NASA FT 図ハンドブック,航空宇宙用バージョン 1.1”

に詳細に示されている。

7.5.2.2 

直列システムの構成 

信頼性モデルでは,組立品(信頼性ブロック図中のブロック又は構成品)のいずれかの故障がシステム

故障につながるとき,組立品はシステムの中で直列構成となる。

FT 図の対応するモデルでは,全ての“ブロック(ゲート又は事象)”が OR ゲートへの入力となる。

n”個の独立したブロックからなる最上位の“システム”の信頼度は,式(1)によって求める。

)

(

....

)

(

.....

)

(

)

(

)

(

)

(

3

2

1

t

R

t

R

t

R

t

R

t

R

t

R

n

i

S

×

×

×

×

=

  (1)

ここに,

R

S

(t): 最上位の“システム”の信頼度

R

i

(t): 独立したブロック の信頼度

i

:1∼n

n

:独立したブロックの数

式(1)でシステムが運用可能であるためには,全てのブロックが運用可能でなければならない。

FTA では,不信頼度を求めるためにその逆の表現を使用する。故障結果は,構成品のいずれかの故障に

よって生じる。この理由から,OR ゲートが,直列システム又は直列組立品の構成を表す。

OR ゲートの数式は,故障発生確率を式(2)に示すように信頼度の確率的補数で表現する点を除き,直列

システムの表現と同じである。

F(t)

=1−R(t)  (2)

ここに,

F(t)

故障発生確率

R(t)

信頼度


15

C 5750-4-4

:2011 (IEC 61025:2006)

n

個の独立した入力ゲート又は入力事象からなる OR ゲート(

“システム”

)の望ましくない結果の発生

確率は,式(3)によって求める。

)]

(

1

[

......

)]

(

1

[

......

)]

(

1

[

)]

(

1

[

1

)

(

2

1

t

F

t

F

t

F

t

F

t

F

i

i

S

×

×

×

×

×

=

  (3)

ここに,

F

S

(t): “システム”の望ましくない結果の発生確率

F

i

(t): 独立した入力ゲート 又は入力事象 の望ましくない結果の

発生確率

構成品(ブロック)のいずれかが故障した場合,システムは故障する。OR ゲートの例を,

図 に示す。

図 2∼図 12 において,構成品の関連する故障モードは,入力事象として,出力事象の発生を引き起こす故

障モードとなる。

図 2−直列構成の FT  

7.5.2.3 

並列システムの構成−冗長系 

7.5.2.3.1 

常用冗長 

ここでは,常用冗長への各入力の故障特性(故障モデル)は同じであり,動作している他の入力の多さ

に依存しないと仮定する。さらに,常用冗長ブロックへの各入力は独立であると仮定する。独立でない場

合は,

附属書 を参照。

全ての寄与する独立な入力事象が生じるときだけ出力事象が発生する場合,入力事象を AND ゲートに

よって結合する。そのような構成は冗長系である。冗長系は,物理的な構成は異なることがあるが,信頼

性解析では並列システムとも呼ぶ。

他の入力事象の状態にかかわらず入力事象の確率が変わらない場合は,独立性の要求条件を満たす。

信頼性に関連する数式[式(4)参照]で表すと,構成品の少なくとも一つが運用可能な場合に,システム

が運用可能である。すなわち,構成品が全て故障した場合だけ,システムが故障する。

=

=

n

i

i

S

t

R

t

R

1

)]

(

1

[

1

)

(

  (4)

ここに,

R

S

(t): “システム”の信頼度

R

i

(t): 構成品 の信頼度


16

C 5750-4-4

:2011 (IEC 61025:2006)

FTA を用いると,式(4)は“n”個の入力ゲートすなわち入力事象をもつ AND ゲートによって表すことが

できる。これは,全ての構成品が故障した場合に,システムが故障することを意味する。故障確率は,式

(5)によって求める。

=

=

n

i

i

S

t

F

t

F

1

)]

(

[

)

(

  (5)

ここに,

F

S

(t): “システム”の故障確率

F

i

(t): 構成品 の故障確率

並列冗長の FTA 図を,

図 に示す。この場合,ただ一つの構成品が機能していればシステム機能を運用

するためには十分であり,すなわち,構成品が全て故障した場合だけ,システムが故障する。

図 3−並列−常用冗長の FT  

冗長系の構成品は,負荷を分散した状態で作動することがある(例えば,電力網に対する発電機)

。各構

成品が故障することによって,故障していない構成品の故障事象の発生確率は増加することがある。事象

の発生確率がこのように変化した場合,単純な AND ゲートを使用するために必要な,独立であるという

条件は成り立たない。

出力に寄与する全ての入力事象が生じる場合だけに出力事象が発生するが,入力事象が互いに依存して

いるときには,AND ゲートは使用できない。その場合,動的ゲートを使用する。

システム機能の成功条件が,

全く同じ 個のブロックのうち 個以上が使用できればよい冗長系の場合,

FTA で使用する信頼度及び不信頼度は,式(6)によって求める。

[

] [

]

[

] [

]

i

n

i

k

i

S

i

n

i

k

i

S

t

F

t

F

i

n

i

n

t

F

t

R

t

R

i

n

i

n

t

R

=

=

=

=

)

(

)

(

1

)!

(

!

!

)

(

 

)

(

1

)

(

)!

(

!

!

1

)

(

0

0

1

0

0

0

1

0

  (6)

FTA

では,この事象の組合せを,多数決ゲートによって表す。ここで,票決数は

m

n

k

1

であり,

m

はゲートで示す事象が

FT

図で更に伝ぱ(播)するために,幾つの入力事象が発生しなければならないか

を示す。


17

C 5750-4-4

:2011 (IEC 61025:2006)

例えば,要求する冗長が

3/6

3-out-of-6

)冗長である場合,多数決票決数,すなわち,故障と決定する

数は,

4

である。なぜなら

4

個の入力事象が起こると,使用できる状態のままの構成品は

2

個しか残らず,

これは,

6

個のうち

3

個の構成品が運用可能である必要があったために,システムが故障したことを意味

するからである。

多数決ゲートを,信頼度モデル化の中で使用するゲートの他の例とともに,

図 に示す。

7.5.2.3.2 

待機冗長(非常用冗長) 

待機冗長とは,運用に必要な数の構成品だけが実働しているとき,それらの構成品の一つ以上が故障し

た場合,一つ以上の置換スペアが実働状態となり,故障した構成品の機能を果たすことである。システム

故障は,機能部品の総数がシステム運用に必要な数を満たさない事象として定義する。冗長な構成品(予

備)は,

FTA

において,実働している構成品が故障しにくい場合に用いる“冷待機”,実働運用に比べて

小さい故障率で故障する場合に用いる“温待機”

,又は運用時と同一の故障率で故障する場合に用いる“熱

待機”のいずれかの状態となる。

待機冗長は,静的ゲートでは表せない。ただし,スペアゲートは使用してもよい。このゲートを解析す

るには,マルコフ解析を使用する。

待機冗長は動的ゲートによって,適切に対処できる。ここでは,スペアゲートを発生確率が変化する冗

長系に対して使用する。

7.5.2.4 

条件付き確率の反復事象,共通原因事象及び移行事象の表現 

条件付き確率とは,ある事象の発生する確率が別の事象の発生に依存することである。最初の事象が生

じたときだけ第二の事象が起こる。

条件付き確率を,マルコフ状態解析を使用する動的ゲートによって表す。例えば,

表 A.4 に示す優先

AND

ゲートである。

条件付き確率の使用例を,

図 に示す。


18

C 5750-4-4

:2011 (IEC 61025:2006)

図 4−異なるゲートタイプを示す FT 図の例 

この規格に示す

FT

図は,一例である。

7.5.2.5 FT

図の視覚的図示 

FT

図は,国及び適用における選好及び慣例によって,様々な図示の方法がある。ある図示では方形を用

いる。例えば,方形の中の記号

&

AND

ゲートを表し,記号

OR

ゲートを表す。この場合,記号のな

いゲートも

OR

ゲートとして分類する。ゲート及び事象を方形で表す場合,その中の記号を十分に定義し,

明確に示さなければならない。

方形ゲート及び方形事象の例を,

図 に示す。

注記

図 及び図 では,ゲート記号は表 A.1 に示す記号

2

を用いている。

図 及び図 以外の図で

は,ゲート記号は

表 A.1 に示す記号

1

を用いている。

図 で,事象

A

が発生するのは事象

B

及び事象

C

の両方が発生する場合だけである。事象

C

が発生す

るのは,事象

D

又は事象

E

のいずれかが発生する場合である。


19

C 5750-4-4

:2011 (IEC 61025:2006)

図 5−方形ゲート及び方形事象の図示 

注記

  A

B

などの各事象には,まず事象の名前又は記述を記載し,その後に事象コード及び発生確

率を記載することが望ましい。

事象が反復事象又は共通原因事象を表す場合,それを

FT

図の中で繰り返して示す。ただし,フラグを

付けて,それが

FT

図の中で他の事象の入力事象でもあることを示す。セットの中の反復事象又は共通原

因事象には,全て同じ事象コードをつけ,かつ,移行入力記号又は特定の

FT

図で通常用いる記号で示さ

なければならない。この規則は,移行出力記号で示すセット中の最下位レベルの事象を除いた全ての反復

又は共通原因事象に当てはまる。幾つかの

FT

図では,反復する基本事象又は反復するより高位レベルの

事象に対して,同じ記号を用いる。

一つの例を,

図 に示す。反復事象をページ番号のフラグを付けた

OR

ゲートで表し,

FT

図の別の箇所

に示す。それは異なるより高位レベルの事象への入力事象になる。この事象は,

FT

図で

3

か所以上に現れ

ることがある。そのような事象の例として,システム内で二つの異なる事象の発生を引き起こす温度上昇

又は湿度上昇がある。この場合,そのような事象に分離化を適用する。さらに,移行ゲートを

図 に示す。

移行ゲートは,この事象が

FT

図の別の箇所又は別のページで発生したことを示す。これを通常用いるの

は,より複雑な事象がより高位レベルの事象への入力事象であり,別のシート上でその事象を更に展開し

なければならない場合である。

図 に示す優先

AND

ゲートは,出力事象が入力事象の順序に依存する場

合に用いる。


20

C 5750-4-4

:2011 (IEC 61025:2006)

図 6−反復事象及び移行事象を含む FT 図の例 

移行出力した反復事象又は共通原因事象を示す方形図示の

FT

図の例を,

図 に示す。事象

B

は,別の

FT

図の上で更に解析する。事象

D

は基本事象である。

図 7−方形ゲート図示で共通原因考察を示す例 


21

C 5750-4-4

:2011 (IEC 61025:2006)

7.5.3 

構築手順 

FT

図構築の第一ステップは,頂上事象の定義,

FT

図の適用範囲及び目的,解析するシステムすなわち

解析対象の境界並びに解析の展開の深さ(分解能)を明確に定義することである。この目的を頂上事象の

定義によって明確にすることが望ましい。

頂上事象は,発生原因を決定するために解析しなければならない問題を明記する。開発段階におけるシ

ステムの信頼性改善のために

FTA

を適用する場合には,頂上事象はシステム故障であり,解析の目的はこ

の事象に寄与する要因を決定して設計の弱点又は信頼性の低い構成品を識別することにある。定量的解析

では,頂上事象の発生確率及び全て又はほとんどの入力の発生確率が決まる。定性的解析(手法

A

)では,

頂上事象への入力を,その発生の原因[

(他の事象又は故障(状態)

]を明確にするために調査する。設計

改善のための定量的解析(手法

B

)では,頂上事象への主要な寄与要因を明確にし,それらの弱点を体系

的に除去又は寄与している故障モードを緩和することによって設計を改善するために,頂上事象への入力

を解析する。

解析の適用範囲では,

FT

図に含む事象又は故障モードを定義する。また,適用範囲は,解析する問題の

詳細,解析中のシステム設計の改訂レベル,システムの使用概要並びに運用及び環境の条件も含む。一方,

境界は,システムに何を含み,何を除外するか(例えば,内部接続,機械的なエンクロージャなど)を定

義する。

FT

図は,それが頂上事象の発生を引き起こす事象の流れを明確に表すように構築することが望ましい。

頂上事象を明確に定義し,システム境界又は解析の範囲も定義した後,最上部から下方へと

FT

図を作

成する。頂上事象には入力があり,それらの入力の組合せを適切なゲートによってモデル化し,図示する。

その後,頂上事象への入力が,それ自身への入力事象の結果となるように体系的に展開する。各々の入力

FT

図を下方に別々に展開し,基本事象に到達するとこの展開は完了する。

展開の深さは,システムをどの程度まで解析するかによって決まる。例えば,電子装置の解析では,そ

の構成品並びにそれらの故障モード及び原因まで行うのか,又は高位の組立品(例えば,信号プロセッサ,

パワー増幅器,特定の電圧装置など)までで止めるのかによる。展開の深さ(分解能)は,詳細解析と組

立品レベルの解析との組合せのこともある。展開の深さは,発生確率の情報が利用できるかどうかに依存

する。

故障モードが,既に含まれていると仮定することによって省略されないことを確実にするために,厳密

に“直接の原因”の概念を厳守する。

“基本ユニット”の概念を使用した場合,解析担当者は新情報又は有用な情報が得られない

FT

図の作

成を省略できる。基本ユニットは,それ以上展開しない。単一のユニット又は構成品として,すなわち単

独に扱う。

ユニットすなわち事象を“基本”とみなすためには,次の三つの要件を満たすことが必要かつ十分な条

件である。

機能的境界及び物理的境界を明確に定義する。

ユニットの運用がいかなる支援機能にも依存しない。すなわち,ユニットと関係する全ての事象が,

一つの入力がユニットの故障(状態)を示し,残りの入力が対応する支援機能を達成できない単一の

OR

ゲートによって図示できる。

その事象の発生に対するいかなる直接の原因も定義できない。

FT

図で使用する命名法は,混乱を最小限にし,系統的に,事象が何であるか明確に分類し,かつ,説明

するために標準化することが望ましい。


22

C 5750-4-4

:2011 (IEC 61025:2006)

FT

図の実際の作成は,次に示す事象の流れの解析的な論理に従う。

“直接の原因”という概念によって,解析担当者は頂上事象の発生に対する必要かつ十分な直接原因

を決定しなければならない。これらが最上部の結果,すなわち,頂上事象の基本原因ではなく,頂上

事象が生じる直接の原因又は直接のメカニズムであることに留意することが望ましい。これらはより

下位のレベルの(中間)事象ということもある。

頂上事象に対する必要かつ十分な直接原因は,中間事象として扱う。さらに解析を続けてそれらの必

要かつ十分な直接原因(入力事象)を決定し,その入力事象に必要かつ十分な原因を決定する。

作成を

FT

図の下方に進めて,注意をメカニズムからモードに移し,より低位のメカニズム及びモー

ドに絶えず接近し,最終的には適切又は明確な展開の深さに到達する。個々の基本事象(最下位の事

象)は,潜在的な故障の個々の原因を表す事象である。

7.5.4 FT

図の評価 

7.5.4.1 

調査及び解析 

FT

図の調査は,利用可能な情報との比較によって

FT

図を見直すことを含む。利用可能な情報とは,例

えば,概略図,図面,機能図,ソフトウェアコマンド,共通事象の識別及び独立した

FT

図の枝の調査で

ある。

FT

図の調査では共通原因事象を明らかにすることが望ましいが,共通原因故障があるとの楽観的な

仮定をしないほうがよい。そのような結論を引き出すことができるのは,静的ゲートが存在する場合に,

ブール代数による簡素化,すなわち,ミニマルカットセットの決定を用いた完全な解析をした後に限られ

る。これは近似を適用して動的ゲートの順序を無視しない限り,カットセットは存在しないからである。

FT

図が大きくなると解析は急に難しくなるが,

FT

図を検査することによって解析担当者は

FT

図のどの枝

が独立しているか,更に必要に応じて独立して解析できるかを識別できる。

FT

図は,事象の流れを追い,それらの事象の原因を下方へ向かって解析する。

FT

図の評価は,論理的

(定性的)評価若しくは数値的(定量的)評価又はその両方がある。定量的な

FT

図解析は,製品開発に

おいて,

頂上事象の発生確率に大きく寄与する要因又は高い発生確率をもつ要因を特定することによって,

信頼度を改善するために使用する。例えば,システムの組立品の故障確率がシステム故障確率に大きく寄

与する場合に,原因追及を行う。また原因が特定できる場合に,その故障モードを緩和できる。具体的な

例として,システム電源の故障発生確率に大きく寄与するのは,過度のストレスを受けたコンデンサであ

ると特定できる。そのコンデンサを,より高い定格電圧の別のものに取り替えることによって,組立品の

故障発生確率及びそれに続くシステムの故障発生確率は大きく下がる。

解析は,結果がレビューできるように,かつ,設計,操作手順又は故障物理の深まった理解の変更を反

映するために必要な変更を盛り込めるように,文書化することが望ましい。これを行うために,作成に当

たっては,系統的な方法を行わなければならない。この系統的な方法を行うために,二つの概念を理解し,

一貫して使用しなければならない。これらは,

“直接の原因”

(入力事象)の概念及び“基本ユニット”の

概念である。

システムの論理的(定性的)解析及び数値的(定量的)解析の主目的は,次のように要約できる。

システム故障の直接的な原因となり,かつ,そのような事象の発生確率に寄与する事象で,その結果

としてシステムのディペンダビリティ(信頼度)を改善する事象又は故障(状態)の識別。

潜在的な危険性となり得る結果に寄与する可能性のある故障(状態)の緩和。

システムのフォールトトレランス(一定数の低位の故障又は事象であって,システム故障に寄与する

ものがあったとしても,機能を失わない能力)の評価。

致命的構成品及び致命的故障メカニズムを突き止めるための情報の評価。


23

C 5750-4-4

:2011 (IEC 61025:2006)

機器故障診断,修理及び保全戦略への入力などの特定。

システムのフォールトトレランスの評価は,システムの冗長度の決定及び冗長性が共通事象によって損

なわれないことの適合確認を含む。大部分のフォールトトレランス評価には,数値データを使用する必要

はないが,システムの故障(状態)を引き起こす事象のどの組合せが最も起こりやすいかを評価するとき

には,数値データが必要になる。

7.5.4.2 

論理的な解析 

7.5.4.2.1 

一般事項 

論理的な解析には,次の三つの基本的手法を使用する。すなわち,調査,ブール代数による簡素化処理

及びミニマルカットセットの決定である。論理的な解析の基礎は,

FT

図の構成を提供するモデル化である。

その

FT

図の構成は,機能,構成又はその二つの混合であってもよい。正確なモデル化は,システムの機

能又は構成品について,それらの相互作用,依存性,望ましくない結果の直接原因などを明確に表現する。

7.5.4.2.2 

ブール代数による簡素化 

ブール代数による簡素化は,

FT

図の中で,共通事象(異なる枝に生じる同一の事象)の影響の評価に使

用できる。この場合の

FT

図では,頂上事象の発生は,事象のタイミング及び発生順序に依存しない。ブ

ール代数による簡素化は,

FT

図に対するブール方程式を解くことによって実行できる。ブール代数による

簡素化は,ミニマルカットセットを特定するためにも使用できる。

7.5.4.2.3 

ミニマルカットセットの識別 

ミニマルカットセットの決定には幾つかの方法がある。ただし,大きな

FT

図への適用は困難で,不完

全なこともある。この理由によって,解析担当者は様々なコンピュータプログラムを利用する。

カットセットは,頂上事象を起こす事象のグループであり,グループ内の事象が一緒に生じる場合に頂

上事象が発生する。ミニマルカットセットは,そのような事象のグループの中で最も小さいものであり,

頂上事象が発生するためには全ての事象が発生しなければならない。ミニマルカットセットの中のいずれ

かの事象が起こらなければ,頂上事象は起こらない。この定義は,事象の発生順序に依存する

FT

図にも

拡張できる。そのような例では,ミニマルカットセットは,頂上事象を引き起こす可能性をもつ事象のグ

ループを決定する。頂上事象の発生が入力事象の発生順序に依存する場合,この事象はマルコフ技法を使

用して解析できる(IEC 61165 参照)

7.5.4.3 

数値解析 

数値解析の目的は,頂上事象の発生確率又は選択した一群の事象の発生確率を定量的に評価することに

ある。数値解析は,論理的な解析を支援し補足するためにも使用することがある。

FT

図の定量的評価を行

うには,構成品レベルの確率データが必要となる。定量的な値を得るために,信頼度及びアベイラビリテ

ィの予測技術,実際の試験データ又はフィールドデータを使用することがある。

7.5.5 

ブール代数処理及び FT 図を用いた簡単なハードウェア評価例 

7.5.5.1 

ブリッジ回路の例 

信頼性解析は,ブール代数処理を用いた

FT

図で単純化できる。例に示すように,信頼性ブロック図で

解析する場合,非常に複雑な数式による記述が必要になるが,これは非常に簡単なブール代数によって代

用できる。

FTA

の使用は,ソフトウェアとハードウェアとの相互依存もあるより複雑な回路に対して特に

便利である。また,解析は多くの利用可能なソフトウェアパッケージを使用して行う。

ブリッジ回路を表現する

FTA

の使用例を,

図 に示す。


24

C 5750-4-4

:2011 (IEC 61025:2006)

注記  等価な FT 図については図 11 及び図 12 を参照。

図 8FT 図によって解析するブリッジ回路の例 

図 のブリッジ回路では,信号は入力から出力まで流れなければならない。信号は,ブロック

E

を両方

向に流れることができる。解析を行う一つの方法は,二つの発生し得る状況を仮定してシステムをモデル

化することである。第一はブロック

E

が正常であるという仮定であり,第二はブロック

E

が故障している

という仮定である。第一の場合,信号はブロック

A

又はブロック

B

を通り,かつ,

C

又は

D

を通って,

あたかも各々が並列のブロックであるかのように流れる。ブロック

E

が異常(

E

が故障している状態)の

場合,直列のブロック

A

及びブロック

C

が,直列のブロック

B

及びブロック

D

に対し並列になる。これ

を式

(7)

によって表す。

(

) (

)

(

)

)

E

D

C

B

A

D

B

C

A

E

D

C

D

C

B

A

B

A

S

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

×

×

×

×

×

+

×

+

×

×

+

×

×

+

=

1

   

  (7)

ここに,

R

S

ブリッジ回路の信頼度

R

i

ブロック の信頼度 
i

:A∼E

各ブロックの信頼度が R

A

=0.78,R

B

=0.30,R

C

=0.15,R

D

=0.50 かつ R

E

=0.40 のとき,ブリッジ回路の

信頼度は 0.344 となる。したがって,故障発生確率は,0.656 となる。

ブリッジ回路(システム)の FT 図を,

図 に示す。


25

C 5750-4-4

:2011 (IEC 61025:2006)

図 9−ブリッジ回路の FT  

ブール代数及びミニマルカットセット(システム運用を妨げる経路)を使用すると,

図 のシステムは

次のようになる。

このシステムでのミニマルカットセットは,次のブロックを通る信号を遮断する事象の組合せになる。

−  ブロック A 及びブロック B(c

1

F

a

×F

b

a×b

−  ブロック C 及びブロック D(c

2

c×d

−  ブロック A,ブロック E 及びブロック D(c

3

a×e×d

−  ブロック B,ブロック E 及びブロック C(c

4

b×e×c

上記のいずれかの組合せが生じると,

“入力”から“出力”への信号の流れを遮断する。

ブール代数処理を使用し,システムの故障発生確率を,式(8)によって求める。

(

)

4

3

2

1

Pr

c

c

c

c

F

S

=

  (8)

ここに,

F

S

ブリッジ回路の故障発生確率

c

i

ミニマルカットセット の故障発生確率 
i

:1∼4

ミニマルカットセットの確率は,式(9)によって求める。


26

C 5750-4-4

:2011 (IEC 61025:2006)

(

) (

)

(

) (

)

(

) (

) (

)

(

) (

) (

)

C

E

B

C

E

B

D

E

A

D

E

A

D

C

D

C

B

A

B

A

R

R

R

F

F

F

c

R

R

R

F

F

F

c

R

R

F

F

c

R

R

F

F

c

×

×

=

×

×

=

×

×

=

×

×

=

×

=

×

=

×

=

×

=

1

1

1

)

Pr(

1

1

1

)

Pr(

1

1

)

Pr(

1

1

)

Pr(

4

3

2

1

  (9)

ここに,

F

i

ブロック の故障発生確率

R

i

ブロック の信頼度 
i

:A∼E

前述の式(7)へ当てはめた数値の例では,幾つかの FT 図又はブール代数による計算の正確な例証及び他

の算定方式で生じる誤りを指摘する目的で,意図的に大きな故障数を割り当てている。これらの誤りは,

システムのために作成された大規模な FT 図において,基本事象の発生確率が非常に小さいときにも生じ

ることがある。そのような大規模な FT 図での事象の発生確率は,より高位レベルへと集積される。その

結果,頂上事象での入力事象は,高い故障発生確率をもつので,その結果として頂上事象の発生確率の推

定が不正確になる。

7.5.5.2 

イザリ-プロシャン(Esary-Proschan)法 

共通の枝(計算に 2 回以上含めるべきではない)を考慮しない場合,イザリ-プロシャン方程式に従う故

障発生確率(分離化しない場合)は,式(10)によって求める(分離化なし)

(

)

[

] [

] [

] [

]

1

292

.

0

9

707

.

0

)

Pr(

1

)

Pr(

1

)

Pr(

1

)

Pr(

1

1

Pr

4

3

2

1

4

3

2

1

=

=

×

×

×

=

=

EP

S

EP

S

EP

S

R

F

c

c

c

c

c

c

c

c

F

   

  (10)

ここに,

F

S

EP

イザリ-プロシャン法で求めるブリッジ回路の故障発生確率

R

S

EP

イザリ-プロシャン法で求めるブリッジ回路の信頼度

上記の計算は,

図 10 に示す FT 図によって表せるが,ここでは分離化に対する選択肢を使用しない。


27

C 5750-4-4

:2011 (IEC 61025:2006)

注記  この計算は,完全には正確でない。

図 10−ブリッジ回路の FTA−イザリ-プロシャン法,分離化なし 

7.5.5.3 

け(稀)有事象の計算 

け(稀)有事象近似では,カットセットが同時に発生する可能性は全て無視する。け(稀)有事象近似

することで,この計算(ここでも分離化は無視して)並びに同じシステムの故障発生確率及び信頼度は,

単純に確率を加算したものになる[式(11)参照]

3

4

3

2

1

10

2

002

.

1

)

Pr(

)

Pr(

)

Pr(

)

Pr(

×

=

=

×

×

+

×

×

+

×

+

×

=

+

+

+

=

RA

S

RA

S

C

E

B

D

E

A

D

C

B

A

RA

S

RA

S

R

F

F

F

F

F

F

F

F

F

F

F

F

c

c

c

c

F

  (11)

ここに,

F

S

RA

け(稀)有事象近似で求めるブリッジ回路の故障発生確率

R

S

RA

け(稀)有事象近似で求めるブリッジ回路の信頼度

け(稀)有事象近似は実施しやすいが,故障発生確率が,式(11)の例のように大きな値になる場合,計

算の誤差はかなり大きくなる(故障発生確率が 1 より大きくなることに注意)

け(稀)有事象近似によって計算した FTA を,

図 11 に示す。


28

C 5750-4-4

:2011 (IEC 61025:2006)

図 11−け(稀)有事象近似で計算したブリッジ回路の故障発生確率 

図 11 に示すように,入力事象の故障発生確率が相当に大きい数になる場合,多くは大規模システムの頂

上事象への入力事象のときであるが,重大な計算の誤りが生じることがある(頂上事象の発生確率が 1 よ

り大きくなるという誤りに注意)

7.5.5.4 

分離化 

分離化は,共通の枝,すなわち,共通原因故障を計算に繰り返し含まないことを確実にするための,一

連の代数的演算である。代数的多段ステップ法(計算に現れる多事象の項を用いてその項を前に現れた項

から分離化する方法)

,β ファクタモデル,α ファクタモデル,MGL(multiple Greek letter)モデルなどの

方法が,分離化に利用できる。1 番目の方法以外は全て共通原因故障の計算に使用する。

分離化を,

附属書 に示す。

分離化の手順は,コンピュータプログラム化できることに注意することが重要である。そのようなプロ

グラムの使用によって,非常に煩雑なブール演算式を容易に分離化できる。これによって,信頼性技術者

はシステム成功(又はシステム故障)に対する正確な表現を得ることに専念できる。また,ブール演算式

を確率的な信頼度表現に変換する単調な仕事を,コンピュータに委ねることができる。

一方,全確率の定理を使用するアプローチは,特定の事例に対しては非常に有効である。しかし,多く

の実例において非常に複雑になることがある。特に,信頼性ブロック図(RBD)が非対称の場合である。


29

C 5750-4-4

:2011 (IEC 61025:2006)

多くの市販の FTA ソフトウェアパッケージは,分離化のためのオプションを含む。分離化が作動した場

合の計算を,

図 12 に示す。ユーザは,ユーザ固有のニーズに従ってソフトウェアを選択する。

注記  この計算は,完全に正確である。

図 12−分離化を用いた頂上事象の発生確率 

図 12 に示す頂上事象の発生確率,すなわち,システム信頼度又はシステム不信頼度は,式(7)による計

算と同じである。

図 10,図 11 及び図 12 において,記号 F は,非修理系に対する故障確率を表す。

7.6 FTA

における故障率 

多くの実例によると,FTA は,事象の故障発生確率の代わりに故障率を使用できる。この場合,事象の

発生はポアソン分布に従い,関連する故障率は一定であると仮定する。従来の信頼性モデルに関係のある

代数を使用する。また,出力事象の故障率の計算に使用するアルゴリズムは,信頼性ブロック図モデルと

同じものを使用する。結果として,頂上事象もその故障率によって表す。

さらに,故障率と故障発生確率との混合を様々な事象に割り当てた FT 図を構築できる。このタイプの

FT 図を解析する最も容易な方法は,故障率をそれぞれの発生確率に変換し,標準の FTA 原則を適用する

ことである。幾つかのソフトウェアが,事象についての混合情報を受け入れ,適切なアルゴリズムを使用


30

C 5750-4-4

:2011 (IEC 61025:2006)

して頂上事象の故障発生確率又は故障率を算出する。この場合,必要な追加情報は故障発生確率を考慮す

る時間間隔となる。

FTA を拡張して修理系の解析に使用することは別の題目であり,この規格の適用範囲外である。

8 FT

図における識別及びラベリング 

FT 図の中の各事象は,唯一の事象として識別しなければならない。事象には,FT 図と対応設計文書と

の相互参照が容易にできるように,ラベリングすることが望ましい。

FT 図の頂上事象は発生することが望ましくない結果であり,頂上事象の発生要因を抽出することが FTA

を実施する第一の理由である。単一の頂上事象だけが,与えられた FT 図に関連づけられることがあるこ

とに注意することが望ましい。

FT 図の中の各事象が全て同じアイテム(構成品)の異なる故障モードを参照する場合,そのような事象

には区別できるようにラベリングしなければならない。同時に,各事象が同じアイテムに関係する事象の

グループであることを明示することが望ましい。ほとんどの FTA ソフトウェアパッケージは,解析担当者

が繰返し事象及び共通原因事象に同じ名前を意識的に割り当てるように,解析担当者が二つの入力事象に

同じ名前でラベリングできないようにしてある。

例えば,特定の弁が閉じない事象が FT 図の幾つかの箇所で生じる場合,又はそれが幾つかの FT 図で生

じる場合,そのような発生には全て同一のラベリングをしなければならない(ソフトウェアでは,同じ入

力事象を FT 図の異なる箇所へその特定の名前で追加する。

。しかし,類似の異なるアイテムを含む事象

には,同じ識別名を付けてはならない。

典型的な事象コードは,サブシステム識別に関係のある情報を含むことが望ましい。これは,構成品及

びその故障モードを識別するためである(次に示す二つ目の例を参照。

電子回路解析の例を,次に示す。

−  “Short_C132”は,コンデンサ C132 が短絡の故障状態であることを意味する。

−  “Short_A_C135”

。ここで,他のサブシステムで参照番号が反復される場合に,文字 A をアナログ  サ

ブシステムの全ての構成品に適用する(例えば,コンデンサ C135 はプロセッサ  サブシステムに実装

されている。

−  “Open_R34”は,抵抗器 R34 が開放の故障状態であることを意味する。

−  “Low_Output_U2”は,集積回路が低出力の故障状態であることを意味する。

事象に関する更なる特殊ラベル又は名称の補足情報のセットを,

必要に応じて作成してもよい。

しかし,

解析担当者は,使用するラベル及び名前を定義及び報告し,与えられた FTA 全体にわたって統一し,一貫

して使用する。コンピュータ支援技法を使用する場合,これは特に重要である。

ラベリングの一貫性は,FTA ソフトウェアによって基本事象の発生確率の値を取り込むことができる場

合,より重要である。これらの値の計算は,材料,構成品,構成品故障モード及びそれらの使用方法の明

細書に基づいた表計算シートの中で行う。これは,複雑なシステムを解析する場合である。この場合,ラ

ベル,すなわち,基本事象の名前は,両方のファイル(表計算シート及び FTA)で同じでなければならな

い。名前の一致によって,発生確率値を対応事象に取り込むためである。

報告書 

FTA の報告書は,最低限,次の基本項目を含むことが望ましい。特に,複雑なシステム解析では,追加

の補足情報を明確化のために提供してもよい。書式は,この規格では示さない。


31

C 5750-4-4

:2011 (IEC 61025:2006)

報告書の基本項目は,次に示す項目であることが望ましい。

−  目的及び適用範囲

−  システム記述:設計記述,システム運用,詳細なシステム境界定義など

−  仮定事項:システム設計の仮定事項

−  運用,保全,試験及び検査の仮定事項,信頼度及びアベイラビリティモデル化の仮定事項など

−  解析担当者又はチーム(その履歴及び関連する専門知識とともに,報告書の標題又は別項に記述す

る。

:頂上事象の定義及び基準

−  基本事象,非展開事象,他のプロジェクトなどで解析した事象及びその発生確率を使用する根拠(例

えば,同じストレス,同じ使用方法など)

− FTA:解析内容,データ,使用した記号,共通原因故障,ミニマルカットセットなど

−  結果,結論及び推奨事項

報告書には,次の補足のデータ項目を含んでもよい。

−  システムブロック図又は回路図

−  使用した信頼度及び保全性のデータ並びに出所の要約。例えば,データベース,構成品のメーカから

の情報,ファイルした情報など

− FMEA 若しくは FMECA 解析又は解析への参考事項

FMEA ワークシートは,懸念事項の表示,設計改善の提案(例えば,試験のような懸念事項の適合確認

の提案)及び諸活動のフォローアップの提案に有用なことがある。


32

C 5750-4-4

:2011 (IEC 61025:2006)

附属書 A

(参考)

記号

FT 図で一般に用いる記号を,表 A.1 に示す。 

表 A.1FT 図で一般的に用いる記号 

記号 1

記号 2

名称

説明

信頼性との相互関係

入力
点数

基本事象 FT 図の最下位の事象で,発

生確率又は信頼度情報が入
手できるもの。

構成品の故障モード又は故障
モードの原因。

0

条 件 付 き 事

出力が生じるために両方の
事象が生じなければならな
い場合,別の事象の発生が

条件である事象。

別の事象が発生するために,
発生しなければならない事象
の発生。

条件付き発生確率。

0

潜在事象

潜在故障を表す基本事象。

直ちには検知されないが,
追加検査又は解析を行えば
検知できるであろう事象。

構成品の潜在故障モード又は

潜在故障原因。

0

非展開事象

非展開のシステムの一部を
表す基本事象。

故障確率に寄与するが,事象
の展開のための適切な情報が

まだ入手できない。

0

移行出力

移行入力

移行入力

移行ゲート

システムのこの部分を別の

部分又は別のページに展開
していることを示す。

部分的な FT 図であり,システ

ム全体の FT 図の別の箇所で
示す。 
移行入力は展開ゲートが他の

箇所にあることを示す。移行
出力は,この箇所で展開され
たものと同じゲートを他の箇

所で使用することを示す。

0

OR ゲート

入力事象のうちのいずれか

が生じる場合に,出力事象
が生じる。

システムのいずれかの部分が

故障すると,故障が生じる。
直列システム。

≧2

多 数 決 ゲ ー

合計入力 個のうち 個以
上の入力が生じる場合に,

出力事象が生じる。

k/n

冗長系。

ここで,mnk+1

≧3

排他的 OR 
ゲート

一つの入力が生じ,他の入
力が生じない場合に,出力

事象が生じる。

二つの可能な故障の一つが生
じたとき,システムは故障す

る。二つとも故障したときで
はない。

=2

AND 
ゲート

入力事象の全てが生じる場
合に,出力事象が生じる。

並列冗長

n

個の同一又は異なる枝の 1

個が正常な場合,システムは

故障しない。

≧2


33

C 5750-4-4

:2011 (IEC 61025:2006)

表 A.1FT 図で一般的に用いる記号(続き) 

記号 1

記号 2

名称

説明

信頼性との相互関係

入力 
点数

優 先

AND

(PAND) ゲ
ート(順序化
AND ゲート
ともいう)

入力事象が左から右に順に
生じる場合に,出力事象が
生じる。

二次故障の表示又は事象の
順序を表すことができる。

≧2

制約ゲート

入力事象が両方とも生じる
場合に,出力事象が生じる
(記号 1)

。それらのうちの

一つは条件付きである(記
号 1)

条件付き発生確率。 2

(記号 1)

NOT ゲート

入 力 事 象 が 生 じ な い 場 合
に,出力事象が生じる。

排他的な事象,又は予防手
段が発生していない。

1

ス ペ ア ゲ ー

予備品(待機冗長系)の数
が 要 求 す る 数 未 満 の 場 合
に,出力事象が生じる。

冷待機,温待機及び熱待機
の予備品の表現。全てが指
数分布の場合,閉じた形式

の 解 が 存 在 す る こ と が あ
る。入力事象の発生確率が
一定の場合,マルコフ解析

が必要である。他の分布の
場合,条件付き発生確率又
はシミュレーションが必要

となることがある。 
予備品は,それらが実働し
ていない時間では,発生確

率は低い(冷待機及び熱待
機の冗長モデル化に関して
は,7.5.2.3.2 を参照。

≧1

家形事象

起こった事象又は確実に起
きる事象。

ゼロ事象

起こり得ない事象。

表 A.1 には,全てを含まない。他に比較するものがない幾つかのゲート又は事象表現は,表 A.1 から省

略しているが,

表 A.2∼表 A.4 にあるものもある。

事象及び事象図示に共通の記号を,

表 A.2 に示す。


34

C 5750-4-4

:2011 (IEC 61025:2006)

表 A.2−事象及び事象図示に共通の記号 

記号

記号名

定義

説明

基本事象 FT 図の最下位の事象であり,発生確率

又は信頼度情報が入手できるもの。

構成品の故障モード又は独立した故

障原因。

条 件 付 き 事

別事象の発生の条件で,出力が生じるた

めに両方の事象が生じなければならな
い。

出力事象が生じるために必要な条件

となる事象。PAND ゲート及び制約ゲ
ートとともに使用する。

潜在事象

潜在故障を表す基本事象。直ちには検知
されないが,追加検査又は解析をすれば

検知できるであろう事象。

検査,解析又は試験によって検知でき
ることがある基本事象。

非展開事象

システムの非展開となっている一部を
表す基本事象。

頂上事象の発生に対し,潜在的に寄与
するもの。しかし,事象を展開するた
めの関連情報は現在入手できない。

家形事象

真である事象(ON の状態)又は偽であ
る事象(OFF の状態)

。FT 図の一部であ

るが,ON 又は OFF に対応して解析に含
む又は解析から除外する事象。

交互に起きる,定義したシステム条件
下での解析ができる,ユーザが管理で

きる事象。

静的ゲート,例えば,OR ゲート,AND ゲート,排他的 OR ゲート,制約ゲート及び多数決ゲートを,

表 A.3 に示す。


35

C 5750-4-4

:2011 (IEC 61025:2006)

表 A.3−静的ゲート 

ゲート名

説明

信頼性モデル

入力点数

OR ゲート

入力事象のうちのいず

れかが生じる場合に,出
力事象が生じる。

直列事象。独立している場合,

I

=1∼n

[

]

=

=

n

i

i

t

F

t

F

1

)

(

1

1

)

(

ここに,F(t)−時刻 における事象の発生確率又は故障の
存在確率。

R(t)

を使用する場合,F(t)の補数となる。

事象が独立でない場合,7.5.5.4(分離化)を参照。

≧2

AND ゲート

入力事象の全てが生じ

る場合に,出力事象が生
じる。

並列冗長,等しい又は異なる独立した FT 図の枝。

=

=

n

i

i

t

F

t

F

1

)

(

)

(

事象が独立でない場合,7.5.5.4(分離化)を参照。

≧2

多数決ゲート

合計入力 個のうち m

個以上の入力が生じる
場合に,出力事象が生じ
る。

並列冗長。

n

個のうち 個の FT 図の枝は故障していない。

m

nk+1

全ての入力が等しいとき,

[

] [

]

=

×

×

=

1

0

0

0

)

(

)

(

1

)!

(

!

!

)

(

k

i

i

n

i

t

F

t

F

i

n

i

n

t

F

事象が独立でない場合,7.5.5.4(分離化)を参照。

≧3

NOT ゲート

入力事象が生じない場
合に,出力事象が生じ
る。

F(t)

=1−F

1

(t)

注記  望ましくない結果を回避するために,経験を

積んだ解析担当者がこのゲートを注意深く使

用することが望ましい。

1

排他的 OR(XOR)

ゲート

一つの入力が生じ,他の

入力が生じない場合に,
出力事象が生じる。

頂上事象が生じるのは,一つの入力が生じ,他の入力が

生じない場合だけである。

F(t)

F

1

(t)×[1−F

2

(t)]+F

2

(t)×[1−F

1

(t)]

=2

NOR ゲート

入力事象のいずれも生
じない場合に,出力事象
が生じる。

NOT ゲートと OR ゲートとの組合せの役割をする。一つ
以上の真(TRUE)の入力がある場合,出力は偽(FALSE)
となる。

[

]

=

=

n

i

i

t

F

t

F

1

)

(

1

)

(

注記  望ましくない結果を回避するために,経験を

積んだ解析担当者がこのゲートを注意深く使
用することが望ましい。

≧2

NAND ゲート

入力事象の少なくとも
一つが生じない場合に,
出力事象が生じる。

ゲートは NOT ゲートと AND ゲートとの組合せとして機
能する。

=

=

n

i

i

t

F

t

F

1

)

(

1

)

(

注記  望ましくない結果を回避するために,経験を

積んだ解析担当者がこのゲートを注意深く使

用することが望ましい。

≧2


36

C 5750-4-4

:2011 (IEC 61025:2006)

表 A.3−静的ゲート(続き) 

ゲート名

説明

信頼性モデル

入力点数

制約ゲート

入力事象が両方とも生

じる場合に,出力が生じ
る。それらのうちの一つ
は条件付きである。

発生確率は,入力事象の発生確率に,成立した条件付き

発生確率を乗じたものである。

2

動的ゲート,例えば,優先 AND ゲート及びスペアゲートを,

表 A.4 に示す。

表 A.4−動的ゲート 

ゲート名

説明

解説

入力点数

優先 AND

(PAND)ゲート

入力事象が左から右に

順に生じる場合に,出力
事象が生じる。

二次故障の表示に適している,又は二つ以上の事象の順

序付けに適している。 
マルコフ解析が必要。

≧2

スペアゲート

予備品(待機冗長系)の
数が要求する数未満の

場合に,出力事象が生じ
る。

冷待機,温待機及び熱待機の予備品の表現。全てが指数
分布の場合,閉じた形式の解が存在することがある。入

力事象の発生確率が一定の場合,マルコフ解析が必要で
ある。他の分布の場合,条件付き発生確率又はシミュレ
ーションが必要となることがある。

予備品は,それらが実働していない時間では,故障発生
確率は低い。 
(冷待機及び熱待機の冗長モデル化に関しては,

7.5.2.3.2

を参照。

≧1


37

C 5750-4-4

:2011 (IEC 61025:2006)

動的な優先 AND ゲートの例を,

図 A.1 に示す。

注記  ダイオード D1 は供給電圧サージに起因する過電流から IC を保護する。ダイオードが最初に故障して開放モー

ドにならない限り,IC は電圧サージによって破損されない。ダイオードが開放となり,第 2 の事象である電圧
サージが起こると,頂上事象(IC 破裂)が起こる。

図 A.1PAND ゲートの例 


38

C 5750-4-4

:2011 (IEC 61025:2006)

附属書 B

(参考)

分離化のための詳細手順書

B.1 

成功アプローチ 

信頼性ブロック図が五つの要素 A∼E から成るネットワークを表し,対応するブール“成功”変数をそ

れぞれ aとする。ブール用語におけるシステム成功を,次の式によって定義する。

SS

a×cb×da×e×db×e×c

ここに,

SS

システム成功

A

E

ネットワークを構成する信頼性ブロック図の各要素

a

e

信頼性ブロック図の各要素に対応するブール“成功”変数

上記の式を次の手順によって分離化する。

ステップ 1.1:各項を第 1 項に関して分離する。系統的な方法で進めて第 2 項を第 1 項に関して分離する。

第 1 項のいずれかの変数が第 2 項に補数形式で現れているかどうか調べる。現れている場合,二つの項は

既に互いに分離しており,それ以上することはない。現れていない場合,第 2 項(b×d)には現れていな

い第 1 項(a×c)の変数を全て選び出す。集合論の用語では,これは第 1 項における第 2 項の補集合と呼

ぶ。ここでは,変数 及び変数 を得る。

ステップ 1.2:第 2 項(b×d)を(

d

b

c

a

d

b

a

×

×

×

+

×

×

)に置換する。

ステップ 1.3:第 3 項を第 1 項に関して分離する。まず,第 1 項のいずれかの変数が第 3 項に補数形式で

現れているかどうかを調べる。変数が現れていないとき,第 1 項における第 3 項の補集合を識別する。す

なわち変数 となる。したがって,第 3 項を項(

d

e

a

c

×

×

×

)に置換する。

ステップ 1.4:第 4 項(

c

e

b

×

×

)を第 1 項に関して分離する。第 1 項における第 4 項の補集合は,変数 a

である。したがって,第 4 項を(

c

e

b

a

×

×

×

)に置換する。

この段階でのシステム成功式を,次に示す。

c

e

b

a

d

e

a

c

d

b

c

a

d

b

a

c

a

SS

×

×

×

+

×

×

×

+

×

×

×

+

×

×

+

×

=

1

ここに,

SS

1

ステップ 1 でのシステム成功

a

∼ 

信頼性ブロック図の各要素に対応するブール“成功”変数
の補数

第 2 項に

ステップ 1.1∼ステップ 1.4 を行う。

ステップ 2.1SS

1

の第 3 項(

d

b

c

a

×

×

×

)を第 2 項(

d

b

a

×

×

)に関して分離する。この例では,項は既

に分離している(変数 のために)ので,これ以上することはない。

ステップ 2.2SS

1

の第 4 項(

d

e

a

c

×

×

×

)を第 2 項(

d

b

a

×

×

)に関して分離する。この例では,項は既

に分離している(変数 のために)ので,これ以上することはない。

ステップ 2.3SS

1

の第 5 項(

c

e

b

a

×

×

×

)を第 2 項(

d

b

a

×

×

)に関して分離する。補集合は変数 であ

る。したがって,第 5 項を(

c

e

b

a

d

×

×

×

×

)に置換する。

この段階でのシステム成功式を,次に示す。

c

e

b

a

d

d

e

a

c

d

b

c

a

d

b

a

c

a

SS

×

×

×

×

+

×

×

×

+

×

×

×

+

×

×

+

×

=

2

ここに,

SS

2

ステップ 2 でのシステム成功

第 3 項に

ステップ 1.1∼ステップ 1.4 を行う。

ステップ 3.1

SS

2

の第 4 項(

d

e

a

c

×

×

×

)を第 3 項(

d

b

c

a

×

×

×

)に関して分離する。補集合は変数

b

ある。したがって,第 4 項を(

d

e

a

c

b

×

×

×

×

)に置換する。


39

C 5750-4-4

:2011 (IEC 61025:2006)

ステップ 3.2

SS

2

の第 5 項(

c

e

b

a

d

×

×

×

×

)を第 3 項(

d

b

c

a

×

×

×

)に関して分離する。この例では,二

つの項は既に分離している(変数

a

c

及び

d

のために)ので,これ以上することはない。

この段階でのシステム成功式を,次に示す。

c

e

b

a

d

d

e

a

c

b

d

b

c

a

d

b

a

c

a

SS

×

×

×

×

+

×

×

×

×

+

×

×

×

+

×

×

+

×

=

3

ここに,

SS

3

ステップ 3 でのシステム成功

これ以上は単純化できないので,これが最終の分離化した式である。

通常の代入操作をすると,システム信頼度は,次の式のようになる。

c

e

b

a

d

d

e

a

c

b

d

b

c

a

d

b

a

c

a

S

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

×

×

×

×

+

×

×

×

×

+

×

×

×

+

×

×

+

×

=

)

1

(

)

1

(

)

1

(

)

1

(

)

1

(

)

1

(

1

   

ここに,

R

 S1

代入操作によって求めたシステム信頼度

R

 a

R

e

信頼性ブロック図の各要素の信頼度

この場合

SS

3

という最終結果の式は,オリジナルのブール演算式中で項が書かれている順序に依存する

ことに注意することが望ましい。

全確率の定理を使用すると,システム信頼度は次のように表せる。

(

) (

)

(

)

)

e

d

b

c

a

d

b

c

a

e

d

c

d

c

b

a

b

a

S

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

R

×

×

×

×

×

+

×

+

×

×

+

×

×

+

=

1

2

   

ここに,

R

 S2

全確率の定理を使用して求めたシステム信頼度

R

 a

R

e

信頼性ブロック図の各要素の信頼度

R

S1

及び

R

S2

の表現は全く異なるように見えるが,実際は同じである。

B.2 

システム故障(カットセット)アプローチ 

分離化を次の式によって説明する。

c

e

b

d

e

a

d

c

b

a

SF

×

×

+

×

×

+

×

+

×

=

ここに,

SF

システム故障

a

e

信頼性ブロック図の各要素に対応するブール“故障”変数

上記の式を次の手順によって分離化する。

ステップ 1.1:各項を第 1 項に関して分離する。系統的な方法で進めて第 2 項を第 1 項に関して分離する。

第 1 項のいずれかの変数が第 2 項に補数形式で現れているかどうかを調べる。現れている場合,二つの項

は既に分離しており,それ以上することはない。現れていない場合,第 2 項(

c

×

d

)には現れていない第

1 項(

a

×

b

)の変数を全て選び出す(集合論用語では,第 1 項における第 2 項の補集合と呼ぶ。

。ここで

は,変数

a

及び変数

b

である。

ステップ 1.2:第 2 項

c

×

d

d

c

b

a

d

c

a

×

×

×

+

×

×

に置換する。

ステップ 1.3:第 3 項を第 1 項に関して分離する。まず,第 1 項のいずれかの変数が第 2 項に補数形式で

現れているかどうか調べる。ここでは現れていないので,第 1 項における第 3 項の補集合を識別する。す

なわち,変数

b

である。したがって,第 3 項を項

d

e

a

b

×

×

×

に置換する。

ステップ 1.4:第 4 項(

b

×

e

×

c

)を第 1 項に関して分離する。第 1 項における第 4 項の補集合は,変数

a

である。次に,第 4 項を変数

c

e

b

a

×

×

×

に置換する。したがって,この段階のシステム故障表現は,次の

ようになる。

c

e

b

a

d

e

a

b

d

c

b

a

d

c

a

b

a

SF

×

×

×

+

×

×

×

+

×

×

×

+

×

×

+

×

=

1

ここに,

SF

1

ステップ 1 でのシステム故障

a

d

信頼性ブロック図の各要素に対応するブール“故障”変数
の補数


40

C 5750-4-4

:2011 (IEC 61025:2006)

第 2 項に

ステップ 1.1∼ステップ 1.4 を行う。

ステップ 2.1

SF

1

の第 3 項(

d

c

b

a

×

×

×

)を第 2 項(

d

c

a

×

×

)に関して分離する。この例では,項は既

に分離している(変数

a

のために)ので,これ以上することはない。

ステップ 2.2

SF

1

の第 4 項(

d

e

a

b

×

×

×

)を第 2 項(

d

c

a

×

×

)に関して分離する。この例では,項は既

に分離していることに注目する(変数

a

のために)

。したがって,これ以上することはない。

ステップ 2.3

SF

1

の第 5 項(

c

e

b

a

×

×

×

)を第 2 項(

d

c

a

×

×

)に関して分離する。補集合は変数

d

である。

したがって,第 5 項を

c

e

b

a

d

×

×

×

×

に置換する。

この段階でのシステム故障表現は,次のようになる。

c

e

b

a

d

d

e

a

b

d

c

b

a

d

c

a

b

a

SF

×

×

×

×

+

×

×

×

+

×

×

×

+

×

×

+

×

=

2

ここに,

SF

2

ステップ 2 でのシステム故障

第 3 項に

ステップ 1.1∼ステップ 1.4 を行う。

ステップ 3.1

SF

2

の第 4 項(

d

e

a

b

×

×

×

)を第 3 項(

d

c

b

a

×

×

×

)に関して分離する。補集合は変数

c

ある。したがって,第 4 項を

d

e

a

c

b

×

×

×

×

に置換する。

ステップ 3.2

SF

2

の第 5 項(

c

e

b

a

d

×

×

×

×

)を第 3 項(

d

c

b

a

×

×

×

)に関して分離する。この例では,項

は既に分離している(変数

a

及び

d

のため,かつ,定義した書式に従って)

。したがって,これ以上分離す

ることはない。

この段階のシステム故障表現は,次のようになる。

c

e

b

a

d

d

e

a

c

b

d

c

b

a

d

c

a

b

a

SF

×

×

×

×

+

×

×

×

×

+

×

×

×

+

×

×

+

×

=

3

ここに,

SF

3

ステップ 3 でのシステム故障

これ以上は単純化できないので,これが最終的な分離化された式である。

通常の代入操作をすると,システム不信頼度は,次の式のようになる。

c

e

b

a

d

d

e

a

c

b

d

c

b

a

d

c

a

b

a

S

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

F

×

×

×

×

+

×

×

×

×

+

×

×

×

+

×

×

+

×

=

)

1

(

)

1

(

)

1

(

)

1

(

)

1

(

)

1

(

1

   

ここに,

F

S1

システム不信頼度

F

a

F

e

信頼性ブロック図の各要素のシステム不信頼度

最終結果の形(この場合は

SF

3

)は,オリジナルのブール演算式中で項が書かれている順序に依存する

ことに注意することが望ましい。


41

C 5750-4-4

:2011 (IEC 61025:2006)

参考文献 

[1]  NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications, Version 1.1,

2002

[2]  US Nuclear Regulatory Commission: NUREG 0492, Fault Tree Handbook, January, 1981

[3]  Mohame Modarres, Mark Kaminskiy, Vasiliy Krivitsov: Reliability Engineering and Risk Analysis, Marcel

Dekker Inc., New York, 1999

[4]  Alfredo H-S. Ang, Wilson H. Tang: Probability Concepts in Engineering Planning and Design, 1990

[5]  Milena Krasich: Fault Tree Analysis for Failure Mode Identification and Product Reliability Improvement,

Tutorial, RAMS, 2005, Alexandria, VA

[6]  Joanne Bechta Dugan, “Fault-Tree Analysis of Computer-Based Systems” 1999 Tutorial Notes, Reliability and

Maintainability Symposium, Washington, DC

[7]  Kiran Kumar Vemuri and Joanne Bechta Dugan, “Reliability Analysis of Complex Hardware-Software

Systems”, Proceedings, Annual Reliability and Maintainability Symposium, January 1999, Washington, DC

[8]  Géza Szabó and Péter Gáspár, “Practical Treatment Methods for Adaptive Components in the Fault-Tree

Analysis”, Proceedings, Annual Reliability and Maintainability Symposium, January 1999, Washington, DC

[9]  JIS C 5750-1  ディペンダビリティ  マネジメント−第 1 部:ディペンダビリティ  マネジメントシステ

注記  対応国際規格:IEC 60300-1,Dependability management−Part 1: Dependability management

systems(IDT)

[10] JIS C 5750-3-1  ディペンダビリティ管理−第 3-1 部:適用の指針−ディペンダビリティ解析手法の指

注記  対応国際規格:IEC 60300-3-1:2003,Dependability management−Part 3-1: Application guide

−Analysis techniques for dependability−Guide on methodology(IDT)

[11] JIS C 5750-4-3  ディペンダビリティ  マネジメント−第 4-3 部:システム信頼性のための解析技法−

故障モード・影響解析(FMEA)の手順

注記  対応国際規格:IEC 60812,Analysis techniques for system reliability−Procedure for failure mode

and effects analysis (FMEA)(IDT)

[12] IEC 61078,Analysis techniques for dependability−Reliability block diagram and boolean methods