JISC5750-4-4:2011 ディペンダビリティ　マネジメント－第４－４部：システム信頼性のための解析技法

C 5750-4-4：2011 (IEC 61025：2006)

（1）

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

ページ

序文 ··································································································································· 1

1 適用範囲························································································································· 1

2 引用規格························································································································· 2

3 用語及び定義 ··················································································································· 2

4 記号······························································································································· 5

5 FTA技法の概要 ··············································································································· 5

5.1 FT図の説明及び構成 ······································································································ 5

5.2 目的 ···························································································································· 6

5.3 適用 ···························································································································· 7

5.4 他の信頼性解析技法との組合せ ························································································ 7

6 新規作成及び評価 ············································································································· 9

6.1 一般的な考察 ················································································································ 9

6.2 要求されるシステム情報 ································································································ 11

6.3 FT図の図示及び構成 ····································································································· 12

7 FT図の作成及び評価 ······································································································· 12

7.1 概要 ··························································································································· 13

7.2 解析の適用範囲 ············································································································ 13

7.3 システムの理解 ············································································································ 13

7.4 FT図の作成 ················································································································· 13

7.5 FT図の構築 ················································································································· 13

7.6 FTAにおける故障率 ······································································································ 29

8 FT図における識別及びラベリング ····················································································· 30

9 報告書··························································································································· 30

附属書A（参考）記号 ·········································································································· 32

附属書B（参考）分離化のための詳細手順書············································································· 38

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

日本工業規格

JIS

C 5750-4-4：2011

(IEC 61025：2006)

ディペンダビリティマネジメント−

第4-4部：システム信頼性のための解析技法−

故障の木解析（FTA）

Dependability management-

Part 4-4: Analysis techniques for system reliability-

Fault Tree Analysis (FTA)

序文

この規格は，2006年に第2版として発行されたIEC 61025を基に，技術的内容及び構成を変更すること

なく作成した日本工業規格である。

故障の木解析（FTA: fault tree analysis）（以下，FTAという。）は，設定した頂上事象の発生の原因，潜在

的に発生の可能性がある原因又は発生の要因を抽出し，頂上事象の発生条件及び要因の識別及び解析を行

う手法である。FTAでは，設定する頂上事象は，通常，システムの機能喪失，性能低下，安全性又は他の

重要な運用上の特性劣化などである。これに対し成功の木解析（STA: success tree analysis）では，機能，

性能，特性などの成功に関係する事象を解析する。

FTAは，システム（輸送システム，電力発電プラント，それらの運用上の安全性評価などを要求するシ

ステムなど）の安全解析にしばしば適用されている。FTAはアベイラビリティ及び保全性解析にも使用で

きる。この規格では，説明を単純化するために，用語“信頼性”をシステムの機能，性能，特性などを表

す用語として使用する。

この規格は，FTAへの二つのアプローチを扱う。一つは定性的なアプローチで，事象及びそれらの寄与

要因，すなわち，入力事象の発生確率又は発生頻度は扱わない。このアプローチは事象又は故障（状態）

の詳細な解析であり，定性的又は伝統的なFTAとして知られている。原子力産業及び多くの他産業の実例

があり，潜在的な原因又は故障（状態）を抽出しようとしているが，それらの発生の確からしさは考慮し

ていない。伝統的なFTAでは，事象を定量的に解析することもある。ただし，これらの計算は全般的な信

頼度の概念とは異なるので，この場合，FTAを使用して全体の信頼度を計算する試みは行わない。二つ目

は，定量的なアプローチで，多くの産業で活用されており，製品，プロセス又はシステム全体を故障の木

図（以下，FT図という。）によってモデル化し，多くの基本事象について，故障（状態）又は事象の発生

確率を解析又は試験によって決定する。この場合，最終結果は，故障の信頼度又は発生確率を表す頂上事

象の発生確率である。

適用範囲

この規格は，製品（サービスを含む。JIS C 5750-1の3.5を参照。）のための故障の木解析（FTA: fault tree

analysis）に適用する。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

この規格は，FTAについて記述し，次の適用上の指針を示す。

− 基本原理の定義

− 関連する数学モデルの記述及び説明

− FTAと信頼性をモデル化する他の技法との関係についての説明

− FTAの解析手順の説明

− 適切な仮定，事象及び故障モードの識別

− 一般に用いる記号の識別及び説明

注記この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。

IEC 61025:2006，Fault tree analysis (FTA)（IDT）

なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”こ

とを示す。

引用規格

次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。これらの

引用規格は，その最新版（追補を含む。）を適用する。

JIS Z 8115 ディペンダビリティ（信頼性）用語

注記対応国際規格：IEC 60050-191，International Electrotechnical Vocabulary−Chapter 191:

Dependability and quality of service（MOD）

IEC 61165，Application of Markov techniques

用語及び定義

この規格で用いる主な用語及び定義は，JIS Z 8115によるほか，次による。

3.1

結果（outcome）

ある作用又は他の入力によって引き起こされる結末。原因の発生の帰結である。

注記1 結果は，事象又は状態である。故障の木図では，ゲートへの入力事象の組合せ結果は，中間

事象又は頂上事象である。

注記2 結果は，FT図では中間事象への入力となり，頂上事象ともなる。

3.2

頂上事象（top event）

全ての入力事象の組合せの結果。アイテムに発生することが望ましくない事象である。

注記1 頂上事象は，FT図を作成するときの目的となる事象である。頂上事象は，最終事象（3.3参

照）又は頂上結果（3.4参照）と呼ぶこともある。

注記2 頂上事象は，あらかじめ定義するFT図の出発点である。頂上事象は，FT図において事象の

階層の最上部に位置する。

3.3

［対応国際規格では，ここで“final event”を定義しているが，3.2の頂上事象と同じ内容であるため，

この規格では“頂上事象（top event）”に統一した。］

3.4

［対応国際規格では，ここで“top outcome”を定義しているが，3.2の頂上事象と同じ内容であるため，

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

この規格では“頂上事象（top event）”に統一した。］

3.5

ゲート（gate）

出力事象と対応する入力とを象徴的に関連付けるために使用する記号。

注記出力事象が生じるために，入力事象間で必要とされる関係を表す。

3.6

カットセット（cut set）

集合内の全ての事象が発生した場合に，頂上事象が発生するような事象の集合。

カット集合ともいう。

3.7

ミニマルカットセット（minimal cut set）

頂上事象を引き起こすために必要な最小限の事象から構成する集合。

最小カット集合ともいう。

注記ミニマルカットセットの事象のうち，一つでも発生しない事象がある場合，頂上事象は発生し

ない。

3.8

事象（event）

条件又は作用の発生。

3.9

基本事象（basic event）

それ以上展開できない事象又は状態。

3.10

［対応国際規格では，ここで“primary event”を定義しているが，3.9の基本事象と同じ内容であるため，

この規格では“基本事象（basic event）”に統一した。］

3.11

中間事象（intermediate event）

頂上事象でも基本事象でもない中間の事象。

注記中間事象は，通常，一つ以上の基本事象及び／又は他の中間事象の結果である。

3.12

非展開事象（undeveloped event）

いかなる入力事象ももたない事象。未展開事象ともいう。

注記非展開事象は，いろいろな理由から解析において展開されていない事象である。いろいろな理

由とは，詳細情報の不足，別の解析で展開されており当該の解析では非展開として注釈されて

いるなどである。非展開のゲートの例として，COTS（Commercial Off The Shelf items）がある。

3.13

単独故障（single point failure）

その故障が生じれば，システム全体の故障を引き起こす，すなわち，他の事象又はそれらの組合せにか

かわらず，それ自身の発生で望ましくない頂上事象（結果）を引き起こす故障。

3.14

共通原因事象（common cause events）

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

つである。解析担当者は，FTAを始める前に，結果の原因となる事象若しくは状態の流れの評価又はシス

テム若しくは構成品の信頼度及びアベイラビリティを評価する場合，各手法の目的及び各手法又はそれら

を組み合わせたときの適用可能性を検討することが望ましい。その検討では，各手法及び解析する製品の

利点及び欠点，解析に必要なデータ，解析の複雑さ並びにこの規格の中で明確にする他の要因を考慮する

ことが望ましい。

FT図は，“頂上事象”と呼ぶ定義した結果の発生を引き起こす又は発生に寄与する条件又は要因を体系

的に図示したものである。結果が成功である場合，FT図は成功の木図（ST図）となる。その場合，入力

事象は，最上部に示す成功事象に寄与する事象である。FT図は，その構成を明確に理解でき，解析でき，

かつ，必要ならば再整理し，次の要因及び事象が明確になるように表示する。

− 調査した頂上事象に影響する要因。これは，従来のほとんどのFTAで実行している。

− FTA技法を信頼性解析に使用する場合の，システムの信頼度及び性能特性に影響する要因。例えば，

設計の不具合，環境上又は運用上のストレス，構成品の故障モード，運用担当者の誤り，ソフトウェ

アフォールトなどである。

− 複数の機能部品に影響する事象。これは，特定の冗長性の利点を打ち消すか，又は一見無関係若しく

は独立しているように見える製品の複数の部品に影響する事象（共通原因の事象）である。

FTAは，設定した頂上事象を発生させる原因又は原因の組合せを正確に示すことを目的にした演えき的

（トップダウン）な解析手法である。解析の適用範囲に応じて，定性的又は定量的解析を行う。

FT図は，その相補的なSTAとして展開できる。その場合，頂上事象は成功事象であり，その入力は成

功（望まれた）事象に寄与する事象である。

基本事象の発生確率が推定できない場合，潜在的な望ましくない結果（すなわち，頂上事象）を発生さ

せる原因の調査に，定性的FTAを用いることがある。この場合，個々の基本事象の発生の確からしさを次

のように記述する。“発生確率が非常に高い”，“発生確率が高い”，“発生確率が中位である”，“発生確率が

低い”などである。定性的FTAの第一の目標は，基本事象群がどのように頂上事象に影響を及ぼすかを決

定するために，ミニマルカットセットを抽出することにある。

定量的FTAは，基本事象の発生確率が既知である場合に使用できる。基本事象の発生確率を基に，全て

の中間事象及び頂上事象（すなわち，結果）の発生確率を，モデルに従って求めることができる。さらに，

定量的FTAは，開発段階における製品又はシステムの信頼性解析に非常に役に立つ。

FTAは，ソフトウェア又はハードウェアの相互作用を含むサブシステム間の複雑な相互作用をもつシス

テムの解析にも使用できる。

5.2

目的

FTAは，他の信頼性解析とは単独で，又はそれらと組み合わせて試みてもよい。

FTAの目的を，次に示す。

− 頂上事象を発生させる原因又は原因の組合せの明確化

− 特定のシステム信頼性尺度が，所定の要求事項を満たすか否かの決定

− システム信頼度の実現可能な改善策を明確化するために，どの潜在的な故障モード又は要因が，シス

テムの故障発生確率（不信頼度）又はシステムが修理可能な場合はアンアベイラビリティに最も強く

影響しているかの決定

− システムの信頼性を改善する様々な設計代替案の解析及び比較

− 他の解析［例えば，マルコフ及び故障モード・影響解析（FMEA：failure mode and effects analysis）（以

下，FMEAという。）］で行った仮定が妥当であるという実証

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

− 安全問題を引き起こすことがある潜在的故障モードの明確化，対応する発生確率の評価及び低減策の

可能性の評価

− 共通事象（例えば，図10のブリッジ回路FT図の中央の枝を参照）の識別

− 頂上事象の発生を最も高い可能性で引き起こす事象又は事象の組合せの探索

− 頂上事象の発生確率に対する基本事象の発生の影響の評価

− 事象の発生確率の計算

− 定常状態を仮定でき，かつ，実施する修理が互いに独立している（成功パス図／信頼性ブロック図に

関する制約と同じ制約である）場合の，FT図によって表すシステム又はその構成品のアベイラビリテ

ィ及び故障率の計算

5.3

適用

FTAは，幾つかの機能的に関連する又は従属するサブシステムから構成されるシステムの解析に適して

いる。FTAの利点は，システム設計が幾つかの独立した専門の技術的な設計グループの製品で，個別のFT

図を一緒に結合する場合に明らかとなる。FTAは，原子力発電所，輸送システム，通信システム，化学な

どの工業プロセス，鉄道システム，家庭用娯楽システム，医療システム，コンピュータシステムなどの設

計に一般的に適用できる。さらに，FTAは，種々の構成品及びそれらの相互作用（機械的，電子的及びソ

フトウェアの構成品の）を含み，他の解析技法では容易にモデル化できないシステムに適用する場合に，

特に価値がある。例えば，構成品の破損及び故障を引き起こす振動疲労のように，その出現順序が極めて

重要となる事象の組合せがある。

FTAは，手法として多くの用途がある。幾つかの例を次に示す。

− 頂上事象に至る事象の適切な論理的組合せの決定及び有効なそれらの優先順位の決定

− 開発中のシステムについて調査し，望ましくない頂上事象の潜在的な原因を予想し，予防又は緩和す

る

− システムの解析，その信頼度の決定，その不信頼度の主な要因の明確化及び設計変更の評価

− 確率論的リスク評価の活動の支援

FTAは，全ての新製品又は改良製品に対し，その全ての設計段階において，潜在的な設計問題を明確化

する解析手法として適用できる。この適用には，設計の詳細情報が不完全な初期の設計段階も含む。これ

らの初期の成果は，システム設計及びその構成品についてより多くの情報が利用できるようになるに従っ

て，その後拡張される。さらに，FTAは，製品の物理的な設計，環境又は運用上のストレス，製品製造プ

ロセスでの軽微な欠点並びに運用及び保全の手順に起因する潜在的な問題をも明確にする。

5.4

他の信頼性解析技法との組合せ

5.4.1

FTAとFMEAとの組合せ

FTAとFMEAとの組合せは，各産業界の特定の規格によって，特に安全規格及び輸送規格の中で，よく

用いられる。これらの解析の組合せには，次に示す利点がある。

− FTAはトップダウンの解析手法であり，FMEAはボトムアップの解析手法である。演えき的推論（演

えき法）及び帰納的推論（帰納法）の両方を使用することで，解析の完全性を保証する上で十分な論

拠になる。

− 安全規格は単一故障の解析を要求することが多いが，複合故障の解析を要求することもある。単一故

障の解析は，FMEAで行える。単一故障及び複合故障の解析は，FTAで行える。

− FMEAは，基本事象又はハザードを包括的に明確化する有用な手法でもある。一方，FTAは望ましく

ない事象の原因を解析する実践的な手法である。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

さらに，FMEAとFTAとの間に，次に示す単純な整合性確認の方法がある。

− FMEAで明確化した単一故障でFT図の頂上事象に結びつくものは，ミニマルカットセットの中の単

独故障として表示しなければならない。

注記単独故障とは，それが生じたとき，システム全体の故障を起こす故障をいう。

− FTAで明確化した単独故障は，FMEAにおいても同様に表現することが望ましい。

解析を独立して行う場合，この整合性確認の有用性が増加する。これは，安全解析で特に重要となる。

この方法論は，JIS C 5750-3-1を参照。

5.4.2

FTAと事象の木解析との組合せ

FTAによって，どんな事象も解析できる。しかし，次に示す理由によって，適切ではない場合がある。

− 故障の因果関係よりも事象の発生順序で展開するほうが容易な場合

− 解析したFT図が非常に大きくなる可能性がある場合

− 別々のチームが，解析の異なる部分を取り扱う場合

実際的な手順を見つけるために最初に定義するのは，多くの場合，頂上事象としての望ましくない事象

ではなく，機能領域と技術領域とのインタフェースでの潜在的な望ましくない事象である。

宇宙船ミッションの頂上事象“乗組員又は宇宙船の喪失”を例に考える。“乗組員又は宇宙船の喪失”に

基づく大きなFT図を構築する代わりに，中間の望ましくない事象，例えば，“点火の故障”又は“推進力

の故障”を頂上事象として定義し，別々のFT図として解析する。その後，これらの縮小された頂上事象

を，順番に事象の木図（イベントツリー図ともいう。以下，ET図という。）への入力として使用し，運用

上の結果を解析する。

ETAとFTAとのこの組合せは，原因結果解析（CCA: cause consequence analysis）と呼ぶ。

5.4.3

FTAとマルコフ解析との組合せ

FTAで静的な事象の組合せ（タイミング，すなわち，事象の組合せの順番を考慮又はモデル化しない静

的ゲート）だけをもつ場合は，通常，事象の発生順序とは無関係にシステムを評価する。しかし，マルコ

フモデルを表す追加のゲートを定義することによって，FTAを拡張できる。これらのゲートは，“動的”

ゲートと呼び，優先ANDゲート（順序化ANDゲートともいう。）及びスペアゲートがある。これらのゲ

ートは，適切なマルコフモデル又はシミュレーションを使用することによって，時点tで故障確率を評価

する。いったん評価すると，動的ゲート及びその入力は，マルコフ解析によって求めた発生確率をもつ単

一基本事象に置換してもよい。市販ソフトウェアを使用すれば，動的ゲートをモデル化し，それらが表す

事象の発生確率を算出できる。動的な優先ANDゲートの例を，附属書Aに示す。

FT図の静的ゲート及び動的ゲートは両方とも，個々の事象は，共通として定義しない限り，独立してい

ると仮定して使用する。しかし，マルコフモデルに含まれる動的事象とそれ以外のFT図の中の事象とは，

相互に独立であるという特性に，特に注意しなければならない。

5.4.4

FTAとバイナリデシジョンダイアグラム技法との組合せ

多くのカットセットをもつFT図の頂上事象の発生確率を求めるには，全てのカットセットの組合せ確

率を求めなければならない。この計算は非常に複雑になるため，しばしば切り捨てる。バイナリデシジョ

ンダイアグラム（BDD: binary decision diagram）（以下，BBDという。）は，FT図から帰納的に構築できる。

また，BDDでは効率的かつ厳密に算出できる。この方法は，“NASA FT図ハンドブック，航空宇宙用バー

ジョン1.1”を参照。

BDDアプローチは，カットセットの確率計算を切り捨てた結果，正確さが非常に低下する場合又はFTA

解決方法では時間がかかり過ぎる場合，特に，発生確率の高い事象がモデル中に多く現れる場合，有効と

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

なる。また，BDDアプローチで生成した最小パスが分離しているので（7.5.5.4参照），重要度及び感度を

効率的かつ厳密に算出できる。

5.4.5

FTAと信頼性ブロック図との組合せ

信頼性ブロック図は，構成品又は故障モードのグループを表すブロック又はモジュールから構成する。

それらのグループは，通常，製品，システム又はプロセスの機能ブロック図によって形成する。これらの

モジュールは，与えた用途若しくは運用形態に対して決定した故障率若しくは算出した信頼度又は故障の

発生確率のいずれかをもつ。伝統的に，ブロックの故障率は，ブロックを構成する構成品それぞれの故障

率の合計である。したがって，モジュール内の構成品の機能的な相互作用は考慮しない。

ブロック（ソフトウェア，ハードウェア及び／又は機械部品の相互作用）内の機能的なモデル化の正確

さを増すために，あるブロックの信頼度をFT図でモデル化し，それらのブロックの発生確率について，

結果として生じる情報を，信頼性ブロック図の一部であるその特定のブロックに割り当てることができる。

このようにすれば，ブロック内の構成品における故障の独立性を仮定した信頼性ブロック図は，より現実

的な予測に使える。

新規作成及び評価

6.1

一般的な考察

6.1.1

概要

FT図は，“頂上事象”と呼ぶ望ましくない結果として定義した事象の発生原因又は発生の一因となる条

件を，体系的に図示したものである。FT図は，作成したFT図を明確に理解でき，解析でき，必要ならば

再整理でき，次の要因及び事象を明確化しやすい構成とする。

− システムの信頼度及び他の性能特性に影響する要因。これらの要因は，例えば，設計の不備，環境上

又は運用上のストレス，構成品の故障モード，運用担当者の誤り，ソフトウェアフォールトなどを含

む。

− FT図における中間事象の複数の結果に寄与する共通事象。例えば，複数の機能構成品に影響する事象

で，影響しなければ運用上は無関係のことがあるが，特定の冗長性という長所を打ち消すか，又は製

品の複数の部品に影響する。

FTAは，演えき的（トップダウン）解析の手法である。その目的は，定義された頂上事象に結びつく原

因又は原因の組合せを正確に示すことにある。その解析は，定性的な手法Aでも定量的な手法Bでもよく，

解析の適用範囲によって異なる。

基本事象の発生確率を推定できない場合は，定性的FTAである手法Aを使用して潜在的に望ましくな

い結果の原因を調査する。この場合，個々の基本事象の発生の確からしさを，“発生確率が非常に高い”，

“発生確率が高い”，“発生確率が中位である”，“発生確率が低い”のように記載する（5.1参照）。

定量的FTAである手法Bを使用できるのは，基本事象の発生確率が既知の場合である。この場合，全て

の中間事象及び頂上事象（すなわち，結果）の発生確率は，適切な数式を用いて求めることができる。

6.1.2

事象及び状態の概念及び組合せ

FT図の最終結果（頂上事象）は，それ自体が故障（状態）である。FT図には，原因となる事象又は他

の故障（状態）に起因する故障（状態）又は事象を記載する。FTAでは，事象の組合せは，状態又は事象

のいずれでもあり得る場合と，結果と整合していなければならない場合とがある。例えば，ORゲートの

結果が状態又は事象であるとき，その入力は状態又は事象である。結果が事象であるANDゲートへの入

力は，全て事象でなければならない。一方，結果が状態を表す場合は，入力は全て状態でなければならな

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

い。

状態は，その状態が時点tで存在する確率で示せる。一方，事象は，故障率若しくは故障発生頻度又は

時点tにおける事象の発生確率で示せる。

6.1.3

他の故障（状態）又は事象に結びつく故障（状態）を調査するためのFT図

伝統的に，FT図は，結果に結びつく故障（状態）又は事象を調査するために構築されている。この概念

は，多くの産業で長い間使用しており，特に効果的に適用しているのは原子力産業である。このように，

FT図は，潜在的な問題，事象，改良及び他の予防策を調査するための強力で非常に有用なツールであり，

望ましくない結果を排除又は緩和するのに役立つ。

結果は，正常の場合も失敗の場合も，調査する。また，この結果に結びつく状態又は事象を調査する。

それらの存在又は発生の確率を決定し，FT図のモデルが想定した結果の存在又は発生の確率を求められる

ように適切に構築する。

この適用では，FT図は箇条7に示すように作成及び評価する。結果を故障（状態）の存在又は事象の発

生の確率によって示すこと，及び結果は解析したアイテム又はシステムの信頼度とは関係がないことに注

意することが望ましい。

この種の解析では，基本事象又はその他の事象は，実際の確率の値が与えられることはなく，潜在的に

起こり得る事象の調査の中で使用するだけである（手法A）ことがある。この場合，事象は，記述的な確

率，すなわち“高い，中位の，又は低い”として記述し，頂上事象の潜在的な要因として評価する。この

種のFT図は，頂上事象に対する単独又は主要因の基本事象の明確化のために，広範な産業，例えば，自

動車，原子力，製造プラントなどで使用する。

6.1.4

製品開発中の信頼性評価及び改良におけるFTAの使用

定量的な手法Bに基づく適用では，FT図は，製品全体，又は製品の部品の信頼性若しくは運用上の安

全性のリスクを引き起こす製品の部品をモデル化できる。この場合，手法Bの解析による発生確率は，伝

統的な方法で決定できる。例えば，製品の安全に関わる故障（状態）若しくは事象の解析又は一定期間内

の潜在的な製品故障の詳細な解析を行うことによって，対象期間内の不信頼度又は故障確率の式で表せる。

この適用では，FT図による解析手法は，トップダウンの故障モード影響解析の原則に従う。潜在的な故障

モードは，製品故障に結びつく事象又は故障（状態）に帰着する。

ここでは，FTAは，潜在的な故障モードを表す故障（状態）又は事象間の相互作用と同様に，製品の動

的な事象及びソフトウェアとハードウェアとの相互作用を反映するモデルとして，特に有効である。この

相互作用は，通常のFMEAでは表すことができず，更に，従来の信頼性ブロック図を使用してモデル化す

ることも非常に難しい。また，製品の信頼性評価値は，製品の故障の要因となる故障モードだけが定義さ

れ，考慮されるため，更に現実的なものとなる。

FT図の作成は，システム設計段階の初期に開始し，製品の全ての開発段階の中で継続することが望まし

い。FT図の進展は，設計の進行状況を反映することが望ましい。したがって，設計が進むとともに，故障

モードについての理解が深まる。“設計と同時進行の解析”によって，早期のシステム設計変更を検討でき

る。FT図は大規模になるものが多く，その場合には，それらを扱うためにFTAのソフトウェアが必要と

なることがある。ソフトウェアを利用した場合，解析が容易になり，頂上事象の発生確率を容易かつ迅速

に推定できる。現在利用できるFTAソフトウェアプログラムは多数あり，更に多数のプログラムが開発中

である。これらのプログラムは，特定の用途のニーズに合わせるために多様なものとなる。

FT図の事象は，ソフトウェア又はハードウェアの故障だけに限定せず，それらの相互作用並びに頂上事

象に関係するヒューマンファクタ又は人の行為及びプロセスという他の要因を含むことに注意することが

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

重要である。

定量的な解析を行っても幾つかの事象の発生確率が決定できない場合，たとえ事象が系統的であっても，

それらの事象及びそれらの機能的（論理的）な組合せを解析に含めることが望ましい。この場合，これら

の故障モードは，信頼度又は故障の発生確率予測では説明できないが，それらの故障モードの存在は，定

性的な方法で説明できる。

FTA技法をシステム解析のための方法として有効に使用するためには，その手順は少なくとも次のステ

ップからなることが望ましい。

− 解析の適用範囲の定義

− システムの設計，機能及び運用の熟知

− 頂上事象の定義

− FT図の構築

− FT図の論理解析

− 解析結果についての報告

− 信頼度の改善及びトレードオフの評価

数値解析を行うときは，基本事象の確率又は他の属性，例えば，故障強度，平均故障間動作時間（MTBF），

故障までの平均時間（MTTF）などを数値的に評価する技法を定義する。使用するデータの選択及び信頼

度又は不信頼度の数値的評価は，この規格の適用範囲外である。

システム設計のFTAには多くの目的がある。目的の一つは，製品の構造及び機能遂行能力をトップダウ

ン方式でモデル化することであり，頂上事象によって定義する結果が生じる潜在的な故障モード及びそれ

らの原因を探索する。この情報に基づいて，頂上事象の発生確率又はシステム不信頼度に（定性的及び定

量的に）寄与するものについて，それぞれの原因を明確にするために調査する。これによって，許容しが

たい潜在的な故障モードを軽減するための可能な解決方法の検討及びトレードオフができ，最終的には，

達成される信頼度の改善を評価できる。

FTAは製品の構造及び機能のモデルであるので，そのシステム，設計特徴及び運用の詳細な知識をもち，

FTA及び他の適切な信頼度モデル化技法の訓練を受けた要員がFTAを実施することが望ましい。解析担当

者は，潜在的な故障モードの影響を評価し，異常な製品の動作を引き起こす原因を論理的に識別できなけ

ればならない。製品設計及び潜在的な故障モードについての技術的な知識が不足している場合，FTAは製

品機能の真の表現ではなくなり，解析結果は無意味になる。FTAを作成した場合，製品設計に参加するエ

ンジニアリングチームが，それが正確かつ完全であるかレビューすることが望ましい。合意した是正処置

は，文書化して継続管理しなければならない。

6.2

要求されるシステム情報

解析するシステムは，システム機能の記述及びシステムインタフェースの識別によって定義することが

望ましい。定義には，次の事項を含むことが望ましい。

− 設計目的の要約

− システム故障の要因の定義

− 機能ブロック図によって通常表すシステムの機能的な構造

− 他のシステムとの相互作用及びインタフェースによって管理するシステムの境界，例えば，電気的，

機械的及び運用上のインタフェース。そのような境界は，特定の機能，例えば，インタフェースを形

成する電気的な（内部又は外部の）接続，ヒューズなどを識別することによって表すことが望ましい。

− 機能的な構造に対応するシステムの物理的な構造

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

− システム運用の記述に伴ったシステム運用モードの識別及び各運用モードにおいて予期かつ許容でき

るシステム性能

− システムの運用上の概要

− システムの環境条件，関連する人的側面（例えば，運用担当者及び保全要員の訓練の程度）など

− 適用文書，例えば，図面，仕様書，運用マニュアルなどであって，機器設計及び運用の詳細を示すも

ののリスト。タスクの継続時間，（定期）試験の実施時間間隔及び事後保全処置に利用可能な時間は，

既知であることが望ましい。また，支援機器及び関与する要員の詳細も同様であることが望ましい。

運用上の各段階で規定する機能についての具体的な情報も必要である。

6.3

FT図の図示及び構成

FT図に使用する構成要素は，次のとおり。

ゲート

入力事象と出力事象との論理的な関係を示す記号。

静的ゲート：入力の発生順序に依存しない結果

動的ゲート：入力の発生順序に依存する結果

動的ゲート及びそれらの使用に関する説明を，表A.4に示す。優先ANDゲートの例を，図A.1に示す。

事象

FT図における最も下位の入力。一般に用いる事象記号及びそれらの定義を，表A.1に示す。

FT図の図示に使用する構成要素は，次のとおりとする。

a) FT図の論理記号（ゲート）

b) ゲート入力の接続線

c) 中間事象の記述

d) 移行の入力又は出力の記号

e) 基本事象の記号

関連する全ての事象を，FT図に含めることが望ましい。そのような事象は，アイテムが受ける環境の影

響又は他のストレスの状態を含むことが望ましい。これらの項目は，ソフトウェア，制御装置及び状態監

視に含むことがある。これらは設計仕様に含まなくても運用中に得られる。

解析担当者が詳細解析から除外した事象は，報告書の中で文書化することが望ましいが，最終的なFT

図には含めないことが望ましい。

FT図が，既に発生した一つの故障（状態）によって引き起こされた複数のシステム性能に関わる問題を

明らかにする場合，その故障（状態）を記述する事象は，FT図の複数の箇所に含めることが望ましい。こ

の事象は，更に，共通事象として示すことが望ましい。定量的解析では，共通事象は一度だけの計算とし

て含み，7.5.5.4に示す全ての分離基準を適用することが望ましい。共通事象を複数の計算の中に誤って含

めることを回避するために，そのような事象の慣例的なラベリングを確立し，使用することが望ましい。

この種の記号化は一貫していなければならない。コンピュータソフトウェアをFT図の評価支援に使用す

る場合，適切な慣例及び設定を使用しなければならない。

FT図を作成する場合，縦方向に最上部から最下部へ，又は横方向に左から右へ描くことがある。FT図

を横方向に左から右へ描く場合，表A.1〜表A.4に示す記号は，全て90°左回りに回転させる。

FT図は，発生した事故，故障などを処理する場合，調査するために，反対方向に読むことがある。

FT図の作成及び評価

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

7.1

概要

FT図の作成は，頂上事象の定義から始まる。FT図の従来方法の適用における作成，すなわち，システ

ム信頼性及び故障モード解析のための作成は演えき法であり，解析は，解析の適用範囲として定義した望

ましくない頂上事象から開始する。FT図は，目的とする範囲まで作成した時点で，単独又は他の事象と連

結して頂上事象の発生の原因となる全ての事象を図示できる。

7.2

解析の適用範囲

解析するシステムの定義，解析の目的及び適用範囲並びに想定する基本的な仮定を含むことが望ましい。

これらの仮定は，予想される運用及び保全条件に関する仮定並びに全ての使用条件下のシステム性能に関

する仮定を含むことが望ましい。

FTAは次の事項の情報を提供できる。

− システム信頼性の解析。基本事象の発生確率が既知の場合。

− 発生した望ましくない結果の根本的原因。適切な是正処置が必要となることがある。

頂上事象の発生確率を決定しなければならない場合，FTAの適用範囲は複雑なシステムまで及ぶ。ここ

で，他の信頼度モデル化及び予測解析手法と異なり，解析の適用範囲が拡張されるが，システム運用に影

響がある故障モード又は潜在的な事象だけを包含する。すなわち，頂上事象の発生に関係する故障モード

だけに限る。これによって，より狙いを絞ったシステム評価ができ，フィールド性能とのよりよい比較結

果が得られる。

7.3

システムの理解

FTAを正しく行うには，システムについての詳細な知識が必要である。ただし，システムが複雑な場合，

一人で完全に理解できない場合がある。この場合，必要な専門知識をチーム活動によって集め，システム

に精通する必要がある。

7.4

FT図の作成

頂上事象，すなわち，望ましくない事象の明確な定義から始まる。頂上事象は，解析全体の焦点である。

頂上事象は，危険な状態の発生若しくは存在（安全解析）又はシステムが望ましい性能を提供できないこ

となどである。

システムの性能又は信頼性の解析において，ゲートからの出力事象が機能の実行不能を示す場合には，

対応する入力事象は妥当な原因を表すことがある。例えば，ハードウェアの故障，ソフトウェアのフォー

ルト，性能の制約，不正確な命令（制御の故障），ヒューマンエラーに起因するものなど。

FT図の詳細な枝の作成は，次に示す事項に一つでも到達した後に終了する。

− 基本事象，すなわち，関連する特性がFT図以外の手段によって定義できる独立な事象。

− 解析担当者がそれ以上の作成の必要がないと定義した事象。

− 別のFT図の中で既に作成したか，又は更に作成する予定の事象。移行記号で表す。その事象を更に

作成する場合，後者の木が前者の木を継続できるように，そのような事象には別のFT図でも対応す

る事象と同じ識別名を付けなければならない。

7.5

FT図の構築

7.5.1

FT図の形式

縦方向又は横方向のどちらにも描くことができる。縦方向に描く場合，頂上事象は最上段に，基本事象

は最下段に記すことが望ましい。横方向に描く場合，頂上事象は左端に記すことも右端に記すこともある。

この規格の中の例（図1など）では，FT図の作成及び表現の例を示す。これらは，定義したFT図の論

理記号に加えて，事象が示す機能又は状態と同様に，事象を記述する方形の枠を含む。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

7.5.2

信頼性改善のためのシステム開発又は製品開発における定量的FTA（手法B）の使用

7.5.2.1

概要

FTAは，頂上事象の発生に寄与する事象を明確にする系統的な方法であり，演えき的に解析を進めるこ

とによって，中間事象及び最終的には基本事象まで求める。この系統的な解析によって，システム構成品

の故障モード及び故障モードの発生確率に寄与する要因を明確にする。例えば，ソフトウェアコマンド，

ヒューマンファクタなどを含む運用上又は環境上のストレスのような要因がある。

FTAと他の信頼度モデル化及び他の解析手法との主要な相違点は，次のとおりである。FTAは頂上事象

の発生に寄与する事象だけを含み，それら機能上の組合せ並びに可能な動的相互作用及び相互依存性をモ

デル化する。一方，他の手法は，通常，故障が独立に発生すると仮定し，構成品の故障率又は故障発生確

率（構成品の故障モード確率ではない）を扱う。例えば，電圧フィルタコンデンサの故障モードには，開

放故障（故障全体の約35 %），短絡故障（故障全体の約55 %）又は静電容量の変化（故障全体の残り約10 %）

があり，短絡故障の故障モードだけが製品の故障を引き起こす場合，FTAでは，故障確率の約55 %だけを

考慮する。これによって，設計者が注意しなければならない故障モード又はそれらの原因を現実に即して

識別できる。

FTAは，基本事象又は中間事象のいずれの場合も，マルコフ解析と組み合わせて事象の発生順序を正し

くモデル化できるので，製品の不信頼度に大きく寄与する基本事象／機能又は中間事象を明確化するため

の有力なツールになる。これによって，設計の欠点を緩和して設計を改良できる。また，改良の適合確認

をするため又は複数の設計改善案についてトレードオフの検討を行うために，FTAを改訂できる。

全ての連続するゲートモデルでは，発生確率の値は，故障モード及びそれらに寄与する要因だけの発生

確率，又は機能喪失及びシステム故障に結びつく故障モードの静的若しくは動的な組合せの発生確率であ

ることに留意しなければならない。

この方法によるFTAの用途は，5.4.4で記載した“NASA FT図ハンドブック，航空宇宙用バージョン1.1”

に詳細に示されている。

7.5.2.2

直列システムの構成

信頼性モデルでは，組立品（信頼性ブロック図中のブロック又は構成品）のいずれかの故障がシステム

故障につながるとき，組立品はシステムの中で直列構成となる。

FT図の対応するモデルでは，全ての“ブロック（ゲート又は事象）”がORゲートへの入力となる。

“n”個の独立したブロックからなる最上位の“システム”の信頼度は，式(1)によって求める。

)

(

....

)

(

.....

)

(

)

(

)

(

)

(

····································· (1)

ここに， RS(t)：最上位の“システム”の信頼度

Ri(t)：独立したブロックiの信頼度

i：1〜n
n：独立したブロックの数

式(1)でシステムが運用可能であるためには，全てのブロックが運用可能でなければならない。

FTAでは，不信頼度を求めるためにその逆の表現を使用する。故障結果は，構成品のいずれかの故障に

よって生じる。この理由から，ORゲートが，直列システム又は直列組立品の構成を表す。

ORゲートの数式は，故障発生確率を式(2)に示すように信頼度の確率的補数で表現する点を除き，直列

システムの表現と同じである。

F(t)＝1−R(t) ············································································· (2)

ここに，

F(t)：故障発生確率

R(t)：信頼度

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

n個の独立した入力ゲート又は入力事象からなるORゲート（“システム”）の望ましくない結果の発生

確率は，式(3)によって求める。

)]

(

......

)]

(

......

)]

(

)]

(

)

(

−

·············· (3)

ここに， FS(t)： “システム”の望ましくない結果の発生確率

Fi(t)：独立した入力ゲートi又は入力事象iの望ましくない結果の

発生確率

構成品（ブロック）のいずれかが故障した場合，システムは故障する。ORゲートの例を，図2に示す。

図2〜図12において，構成品の関連する故障モードは，入力事象として，出力事象の発生を引き起こす故

障モードとなる。

図2−直列構成のFT図

7.5.2.3

並列システムの構成−冗長系

7.5.2.3.1

常用冗長

ここでは，常用冗長への各入力の故障特性（故障モデル）は同じであり，動作している他の入力の多さ

に依存しないと仮定する。さらに，常用冗長ブロックへの各入力は独立であると仮定する。独立でない場

合は，附属書Bを参照。

全ての寄与する独立な入力事象が生じるときだけ出力事象が発生する場合，入力事象をANDゲートに

よって結合する。そのような構成は冗長系である。冗長系は，物理的な構成は異なることがあるが，信頼

性解析では並列システムとも呼ぶ。

他の入力事象の状態にかかわらず入力事象の確率が変わらない場合は，独立性の要求条件を満たす。

信頼性に関連する数式［式(4)参照］で表すと，構成品の少なくとも一つが運用可能な場合に，システム

が運用可能である。すなわち，構成品が全て故障した場合だけ，システムが故障する。

∏

−

)]

(

)

(

······························································· (4)

ここに， RS(t)： “システム”の信頼度

Ri(t)：構成品iの信頼度

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

FTAを用いると，式(4)は“n”個の入力ゲートすなわち入力事象をもつANDゲートによって表すことが

できる。これは，全ての構成品が故障した場合に，システムが故障することを意味する。故障確率は，式

(5)によって求める。

∏

)]

(

[

)

(

······································································· (5)

ここに， FS(t)： “システム”の故障確率

Fi(t)：構成品iの故障確率

並列冗長のFTA図を，図3に示す。この場合，ただ一つの構成品が機能していればシステム機能を運用

するためには十分であり，すなわち，構成品が全て故障した場合だけ，システムが故障する。

図3−並列−常用冗長のFT図

冗長系の構成品は，負荷を分散した状態で作動することがある（例えば，電力網に対する発電機）。各構

成品が故障することによって，故障していない構成品の故障事象の発生確率は増加することがある。事象

の発生確率がこのように変化した場合，単純なANDゲートを使用するために必要な，独立であるという

条件は成り立たない。

出力に寄与する全ての入力事象が生じる場合だけに出力事象が発生するが，入力事象が互いに依存して

いるときには，ANDゲートは使用できない。その場合，動的ゲートを使用する。

システム機能の成功条件が，全く同じn個のブロックのうちk個以上が使用できればよい冗長系の場合，

FTAで使用する信頼度及び不信頼度は，式(6)によって求める。

[

][

]

[

][

−

∑

)

(

)

(

)

(

)

(

)

(

)

(

···································· (6)

FTAでは，この事象の組合せを，多数決ゲートによって表す。ここで，票決数はm＝n−k＋1であり，m

はゲートで示す事象がFT図で更に伝ぱ（播）するために，幾つの入力事象が発生しなければならないか

を示す。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

7.5.3

構築手順

FT図構築の第一ステップは，頂上事象の定義，FT図の適用範囲及び目的，解析するシステムすなわち

解析対象の境界並びに解析の展開の深さ（分解能）を明確に定義することである。この目的を頂上事象の

定義によって明確にすることが望ましい。

頂上事象は，発生原因を決定するために解析しなければならない問題を明記する。開発段階におけるシ

ステムの信頼性改善のためにFTAを適用する場合には，頂上事象はシステム故障であり，解析の目的はこ

の事象に寄与する要因を決定して設計の弱点又は信頼性の低い構成品を識別することにある。定量的解析

では，頂上事象の発生確率及び全て又はほとんどの入力の発生確率が決まる。定性的解析（手法A）では，

頂上事象への入力を，その発生の原因［（他の事象又は故障（状態））］を明確にするために調査する。設計

改善のための定量的解析（手法B）では，頂上事象への主要な寄与要因を明確にし，それらの弱点を体系

的に除去又は寄与している故障モードを緩和することによって設計を改善するために，頂上事象への入力

を解析する。

解析の適用範囲では，FT図に含む事象又は故障モードを定義する。また，適用範囲は，解析する問題の

詳細，解析中のシステム設計の改訂レベル，システムの使用概要並びに運用及び環境の条件も含む。一方，

境界は，システムに何を含み，何を除外するか（例えば，内部接続，機械的なエンクロージャなど）を定

義する。

FT図は，それが頂上事象の発生を引き起こす事象の流れを明確に表すように構築することが望ましい。

頂上事象を明確に定義し，システム境界又は解析の範囲も定義した後，最上部から下方へとFT図を作

成する。頂上事象には入力があり，それらの入力の組合せを適切なゲートによってモデル化し，図示する。

その後，頂上事象への入力が，それ自身への入力事象の結果となるように体系的に展開する。各々の入力

はFT図を下方に別々に展開し，基本事象に到達するとこの展開は完了する。

展開の深さは，システムをどの程度まで解析するかによって決まる。例えば，電子装置の解析では，そ

の構成品並びにそれらの故障モード及び原因まで行うのか，又は高位の組立品（例えば，信号プロセッサ，

パワー増幅器，特定の電圧装置など）までで止めるのかによる。展開の深さ（分解能）は，詳細解析と組

立品レベルの解析との組合せのこともある。展開の深さは，発生確率の情報が利用できるかどうかに依存

する。

故障モードが，既に含まれていると仮定することによって省略されないことを確実にするために，厳密

に“直接の原因”の概念を厳守する。

“基本ユニット”の概念を使用した場合，解析担当者は新情報又は有用な情報が得られないFT図の作

成を省略できる。基本ユニットは，それ以上展開しない。単一のユニット又は構成品として，すなわち単

独に扱う。

ユニットすなわち事象を“基本”とみなすためには，次の三つの要件を満たすことが必要かつ十分な条

件である。

− 機能的境界及び物理的境界を明確に定義する。

− ユニットの運用がいかなる支援機能にも依存しない。すなわち，ユニットと関係する全ての事象が，

一つの入力がユニットの故障（状態）を示し，残りの入力が対応する支援機能を達成できない単一の

ORゲートによって図示できる。

− その事象の発生に対するいかなる直接の原因も定義できない。

FT図で使用する命名法は，混乱を最小限にし，系統的に，事象が何であるか明確に分類し，かつ，説明

するために標準化することが望ましい。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

FT図の実際の作成は，次に示す事象の流れの解析的な論理に従う。

− “直接の原因”という概念によって，解析担当者は頂上事象の発生に対する必要かつ十分な直接原因

を決定しなければならない。これらが最上部の結果，すなわち，頂上事象の基本原因ではなく，頂上

事象が生じる直接の原因又は直接のメカニズムであることに留意することが望ましい。これらはより

下位のレベルの（中間）事象ということもある。

− 頂上事象に対する必要かつ十分な直接原因は，中間事象として扱う。さらに解析を続けてそれらの必

要かつ十分な直接原因（入力事象）を決定し，その入力事象に必要かつ十分な原因を決定する。

− 作成をFT図の下方に進めて，注意をメカニズムからモードに移し，より低位のメカニズム及びモー

ドに絶えず接近し，最終的には適切又は明確な展開の深さに到達する。個々の基本事象（最下位の事

象）は，潜在的な故障の個々の原因を表す事象である。

7.5.4

FT図の評価

7.5.4.1

調査及び解析

FT図の調査は，利用可能な情報との比較によってFT図を見直すことを含む。利用可能な情報とは，例

えば，概略図，図面，機能図，ソフトウェアコマンド，共通事象の識別及び独立したFT図の枝の調査で

ある。FT図の調査では共通原因事象を明らかにすることが望ましいが，共通原因故障があるとの楽観的な

仮定をしないほうがよい。そのような結論を引き出すことができるのは，静的ゲートが存在する場合に，

ブール代数による簡素化，すなわち，ミニマルカットセットの決定を用いた完全な解析をした後に限られ

る。これは近似を適用して動的ゲートの順序を無視しない限り，カットセットは存在しないからである。

FT図が大きくなると解析は急に難しくなるが，FT図を検査することによって解析担当者はFT図のどの枝

が独立しているか，更に必要に応じて独立して解析できるかを識別できる。

FT図は，事象の流れを追い，それらの事象の原因を下方へ向かって解析する。FT図の評価は，論理的

（定性的）評価若しくは数値的（定量的）評価又はその両方がある。定量的なFT図解析は，製品開発に

おいて，頂上事象の発生確率に大きく寄与する要因又は高い発生確率をもつ要因を特定することによって，

信頼度を改善するために使用する。例えば，システムの組立品の故障確率がシステム故障確率に大きく寄

与する場合に，原因追及を行う。また原因が特定できる場合に，その故障モードを緩和できる。具体的な

例として，システム電源の故障発生確率に大きく寄与するのは，過度のストレスを受けたコンデンサであ

ると特定できる。そのコンデンサを，より高い定格電圧の別のものに取り替えることによって，組立品の

故障発生確率及びそれに続くシステムの故障発生確率は大きく下がる。

解析は，結果がレビューできるように，かつ，設計，操作手順又は故障物理の深まった理解の変更を反

映するために必要な変更を盛り込めるように，文書化することが望ましい。これを行うために，作成に当

たっては，系統的な方法を行わなければならない。この系統的な方法を行うために，二つの概念を理解し，

一貫して使用しなければならない。これらは，“直接の原因”（入力事象）の概念及び“基本ユニット”の

概念である。

システムの論理的（定性的）解析及び数値的（定量的）解析の主目的は，次のように要約できる。

− システム故障の直接的な原因となり，かつ，そのような事象の発生確率に寄与する事象で，その結果

としてシステムのディペンダビリティ（信頼度）を改善する事象又は故障（状態）の識別。

− 潜在的な危険性となり得る結果に寄与する可能性のある故障（状態）の緩和。

− システムのフォールトトレランス（一定数の低位の故障又は事象であって，システム故障に寄与する

ものがあったとしても，機能を失わない能力）の評価。

− 致命的構成品及び致命的故障メカニズムを突き止めるための情報の評価。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

− 機器故障診断，修理及び保全戦略への入力などの特定。

システムのフォールトトレランスの評価は，システムの冗長度の決定及び冗長性が共通事象によって損

なわれないことの適合確認を含む。大部分のフォールトトレランス評価には，数値データを使用する必要

はないが，システムの故障（状態）を引き起こす事象のどの組合せが最も起こりやすいかを評価するとき

には，数値データが必要になる。

7.5.4.2

論理的な解析

7.5.4.2.1

一般事項

論理的な解析には，次の三つの基本的手法を使用する。すなわち，調査，ブール代数による簡素化処理

及びミニマルカットセットの決定である。論理的な解析の基礎は，FT図の構成を提供するモデル化である。

そのFT図の構成は，機能，構成又はその二つの混合であってもよい。正確なモデル化は，システムの機

能又は構成品について，それらの相互作用，依存性，望ましくない結果の直接原因などを明確に表現する。

7.5.4.2.2

ブール代数による簡素化

ブール代数による簡素化は，FT図の中で，共通事象（異なる枝に生じる同一の事象）の影響の評価に使

用できる。この場合のFT図では，頂上事象の発生は，事象のタイミング及び発生順序に依存しない。ブ

ール代数による簡素化は，FT図に対するブール方程式を解くことによって実行できる。ブール代数による

簡素化は，ミニマルカットセットを特定するためにも使用できる。

7.5.4.2.3

ミニマルカットセットの識別

ミニマルカットセットの決定には幾つかの方法がある。ただし，大きなFT図への適用は困難で，不完

全なこともある。この理由によって，解析担当者は様々なコンピュータプログラムを利用する。

カットセットは，頂上事象を起こす事象のグループであり，グループ内の事象が一緒に生じる場合に頂

上事象が発生する。ミニマルカットセットは，そのような事象のグループの中で最も小さいものであり，

頂上事象が発生するためには全ての事象が発生しなければならない。ミニマルカットセットの中のいずれ

かの事象が起こらなければ，頂上事象は起こらない。この定義は，事象の発生順序に依存するFT図にも

拡張できる。そのような例では，ミニマルカットセットは，頂上事象を引き起こす可能性をもつ事象のグ

ループを決定する。頂上事象の発生が入力事象の発生順序に依存する場合，この事象はマルコフ技法を使

用して解析できる（IEC 61165参照）。

7.5.4.3

数値解析

数値解析の目的は，頂上事象の発生確率又は選択した一群の事象の発生確率を定量的に評価することに

ある。数値解析は，論理的な解析を支援し補足するためにも使用することがある。FT図の定量的評価を行

うには，構成品レベルの確率データが必要となる。定量的な値を得るために，信頼度及びアベイラビリテ

ィの予測技術，実際の試験データ又はフィールドデータを使用することがある。

7.5.5

ブール代数処理及びFT図を用いた簡単なハードウェア評価例

7.5.5.1

ブリッジ回路の例

信頼性解析は，ブール代数処理を用いたFT図で単純化できる。例に示すように，信頼性ブロック図で

解析する場合，非常に複雑な数式による記述が必要になるが，これは非常に簡単なブール代数によって代

用できる。FTAの使用は，ソフトウェアとハードウェアとの相互依存もあるより複雑な回路に対して特に

便利である。また，解析は多くの利用可能なソフトウェアパッケージを使用して行う。

ブリッジ回路を表現するFTAの使用例を，図8に示す。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

注記等価なFT図については図11及び図12を参照。

図8−FT図によって解析するブリッジ回路の例

図8のブリッジ回路では，信号は入力から出力まで流れなければならない。信号は，ブロックEを両方

向に流れることができる。解析を行う一つの方法は，二つの発生し得る状況を仮定してシステムをモデル

化することである。第一はブロックEが正常であるという仮定であり，第二はブロックEが故障している

という仮定である。第一の場合，信号はブロックA又はブロックBを通り，かつ，C又はDを通って，

あたかも各々が並列のブロックであるかのように流れる。ブロックEが異常（Eが故障している状態）の

場合，直列のブロックA及びブロックCが，直列のブロックB及びブロックDに対し並列になる。これ

を式(7)によって表す。

(

)(

)

(

)(

)

−

························ (7)

ここに，

RS：ブリッジ回路の信頼度

Ri：ブロックiの信頼度

i：A〜E

各ブロックの信頼度がRA＝0.78，RB＝0.30，RC＝0.15，RD＝0.50かつRE＝0.40のとき，ブリッジ回路の

信頼度は0.344となる。したがって，故障発生確率は，0.656となる。

ブリッジ回路（システム）のFT図を，図9に示す。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

(

)(

)

(

)(

)

(

)(

)

(

)(

)

−

)

Pr(

)

Pr(

)

Pr(

)

Pr(

································ (9)

ここに，

Fi：ブロックiの故障発生確率

Ri：ブロックiの信頼度

i：A〜E

前述の式(7)へ当てはめた数値の例では，幾つかのFT図又はブール代数による計算の正確な例証及び他

の算定方式で生じる誤りを指摘する目的で，意図的に大きな故障数を割り当てている。これらの誤りは，

システムのために作成された大規模なFT図において，基本事象の発生確率が非常に小さいときにも生じ

ることがある。そのような大規模なFT図での事象の発生確率は，より高位レベルへと集積される。その

結果，頂上事象での入力事象は，高い故障発生確率をもつので，その結果として頂上事象の発生確率の推

定が不正確になる。

7.5.5.2

イザリ-プロシャン（Esary-Proschan）法

共通の枝（計算に2回以上含めるべきではない）を考慮しない場合，イザリ-プロシャン方程式に従う故

障発生確率（分離化しない場合）は，式(10)によって求める（分離化なし）。

(

)

[

][

]

292

707

)

Pr(

)

Pr(

)

Pr(

)

Pr(

−

∪

−

···················· (10)

ここに， FS−EP：イザリ-プロシャン法で求めるブリッジ回路の故障発生確率

RS−EP：イザリ-プロシャン法で求めるブリッジ回路の信頼度

上記の計算は，図10に示すFT図によって表せるが，ここでは分離化に対する選択肢を使用しない。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

注記この計算は，完全には正確でない。

図10−ブリッジ回路のFTA−イザリ-プロシャン法，分離化なし

7.5.5.3

け（稀）有事象の計算

け（稀）有事象近似では，カットセットが同時に発生する可能性は全て無視する。け（稀）有事象近似

することで，この計算（ここでも分離化は無視して）並びに同じシステムの故障発生確率及び信頼度は，

単純に確率を加算したものになる［式(11)参照］。

002

)

Pr(

)

Pr(

)

Pr(

)

Pr(

−

·························(11)

ここに， FS−RA：け（稀）有事象近似で求めるブリッジ回路の故障発生確率

RS−RA：け（稀）有事象近似で求めるブリッジ回路の信頼度

け（稀）有事象近似は実施しやすいが，故障発生確率が，式(11)の例のように大きな値になる場合，計

算の誤差はかなり大きくなる（故障発生確率が1より大きくなることに注意）。

け（稀）有事象近似によって計算したFTAを，図11に示す。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

して頂上事象の故障発生確率又は故障率を算出する。この場合，必要な追加情報は故障発生確率を考慮す

る時間間隔となる。

FTAを拡張して修理系の解析に使用することは別の題目であり，この規格の適用範囲外である。

FT図における識別及びラベリング

FT図の中の各事象は，唯一の事象として識別しなければならない。事象には，FT図と対応設計文書と

の相互参照が容易にできるように，ラベリングすることが望ましい。

FT図の頂上事象は発生することが望ましくない結果であり，頂上事象の発生要因を抽出することがFTA

を実施する第一の理由である。単一の頂上事象だけが，与えられたFT図に関連づけられることがあるこ

とに注意することが望ましい。

FT図の中の各事象が全て同じアイテム（構成品）の異なる故障モードを参照する場合，そのような事象

には区別できるようにラベリングしなければならない。同時に，各事象が同じアイテムに関係する事象の

グループであることを明示することが望ましい。ほとんどのFTAソフトウェアパッケージは，解析担当者

が繰返し事象及び共通原因事象に同じ名前を意識的に割り当てるように，解析担当者が二つの入力事象に

同じ名前でラベリングできないようにしてある。

例えば，特定の弁が閉じない事象がFT図の幾つかの箇所で生じる場合，又はそれが幾つかのFT図で生

じる場合，そのような発生には全て同一のラベリングをしなければならない（ソフトウェアでは，同じ入

力事象をFT図の異なる箇所へその特定の名前で追加する。）。しかし，類似の異なるアイテムを含む事象

には，同じ識別名を付けてはならない。

典型的な事象コードは，サブシステム識別に関係のある情報を含むことが望ましい。これは，構成品及

びその故障モードを識別するためである（次に示す二つ目の例を参照。）。

電子回路解析の例を，次に示す。

− “Short̲C132”は，コンデンサC132が短絡の故障状態であることを意味する。

− “Short̲A̲C135”。ここで，他のサブシステムで参照番号が反復される場合に，文字Aをアナログサ

ブシステムの全ての構成品に適用する（例えば，コンデンサC135はプロセッササブシステムに実装

されている。）。

− “Open̲R34”は，抵抗器R34が開放の故障状態であることを意味する。

− “Low̲Output̲U2”は，集積回路が低出力の故障状態であることを意味する。

事象に関する更なる特殊ラベル又は名称の補足情報のセットを，必要に応じて作成してもよい。しかし，

解析担当者は，使用するラベル及び名前を定義及び報告し，与えられたFTA全体にわたって統一し，一貫

して使用する。コンピュータ支援技法を使用する場合，これは特に重要である。

ラベリングの一貫性は，FTAソフトウェアによって基本事象の発生確率の値を取り込むことができる場

合，より重要である。これらの値の計算は，材料，構成品，構成品故障モード及びそれらの使用方法の明

細書に基づいた表計算シートの中で行う。これは，複雑なシステムを解析する場合である。この場合，ラ

ベル，すなわち，基本事象の名前は，両方のファイル（表計算シート及びFTA）で同じでなければならな

い。名前の一致によって，発生確率値を対応事象に取り込むためである。

報告書

FTAの報告書は，最低限，次の基本項目を含むことが望ましい。特に，複雑なシステム解析では，追加

の補足情報を明確化のために提供してもよい。書式は，この規格では示さない。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

附属書A

（参考）

記号

FT図で一般に用いる記号を，表A.1に示す。

表A.1−FT図で一般的に用いる記号

記号1

記号2

名称

説明

信頼性との相互関係

入力
点数

基本事象

FT図の最下位の事象で，発
生確率又は信頼度情報が入
手できるもの。

構成品の故障モード又は故障
モードの原因。

条件付き事
象

出力が生じるために両方の
事象が生じなければならな
い場合，別の事象の発生が
条件である事象。

別の事象が発生するために，
発生しなければならない事象
の発生。
条件付き発生確率。

潜在事象

潜在故障を表す基本事象。
直ちには検知されないが，
追加検査又は解析を行えば
検知できるであろう事象。

構成品の潜在故障モード又は
潜在故障原因。

非展開事象

非展開のシステムの一部を
表す基本事象。

故障確率に寄与するが，事象
の展開のための適切な情報が
まだ入手できない。

移行出力

移行入力

移行ゲート

システムのこの部分を別の
部分又は別のページに展開
していることを示す。

部分的なFT図であり，システ
ム全体のFT図の別の箇所で
示す。
移行入力は展開ゲートが他の
箇所にあることを示す。移行
出力は，この箇所で展開され
たものと同じゲートを他の箇
所で使用することを示す。

ORゲート

入力事象のうちのいずれか
が生じる場合に，出力事象
が生じる。

システムのいずれかの部分が
故障すると，故障が生じる。
直列システム。

≧2

多数決ゲー
ト

合計入力n個のうちm個以
上の入力が生じる場合に，
出力事象が生じる。

k/n冗長系。

ここで，m＝n−k＋1

≧3

排他的OR
ゲート

一つの入力が生じ，他の入
力が生じない場合に，出力
事象が生じる。

二つの可能な故障の一つが生
じたとき，システムは故障す
る。二つとも故障したときで
はない。

AND
ゲート

入力事象の全てが生じる場
合に，出力事象が生じる。

並列冗長

n個の同一又は異なる枝の1

個が正常な場合，システムは
故障しない。

≧2

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

表A.3−静的ゲート

ゲート名

説明

信頼性モデル

入力点数

ORゲート

入力事象のうちのいず
れかが生じる場合に，出
力事象が生じる。

直列事象。独立している場合，

I＝1〜n

[

]

∏

−

)

(

)

(

ここに，F(t)−時刻tにおける事象の発生確率又は故障の
存在確率。

R(t)を使用する場合，F(t)の補数となる。

事象が独立でない場合，7.5.5.4（分離化）を参照。

≧2

ANDゲート

入力事象の全てが生じ
る場合に，出力事象が生
じる。

並列冗長，等しい又は異なる独立したFT図の枝。

∏

)(

事象が独立でない場合，7.5.5.4（分離化）を参照。

≧2

多数決ゲート

合計入力n個のうちm
個以上の入力が生じる
場合に，出力事象が生じ
る。

並列冗長。n個のうちk個のFT図の枝は故障していない。

m＝n−k＋1

全ての入力が等しいとき，

[

][

]

∑

−

)

(

)

(

)

(

事象が独立でない場合，7.5.5.4（分離化）を参照。

≧3

NOTゲート

入力事象が生じない場
合に，出力事象が生じ
る。

F(t)＝1−F1(t)

注記望ましくない結果を回避するために，経験を

積んだ解析担当者がこのゲートを注意深く使
用することが望ましい。

排他的OR（XOR）

ゲート

一つの入力が生じ，他の
入力が生じない場合に，
出力事象が生じる。

頂上事象が生じるのは，一つの入力が生じ，他の入力が
生じない場合だけである。

F(t)＝F1(t)×[1−F2(t)]＋F2(t)×[1−F1(t)]

NORゲート

入力事象のいずれも生
じない場合に，出力事象
が生じる。

NOTゲートとORゲートとの組合せの役割をする。一つ
以上の真（TRUE）の入力がある場合，出力は偽（FALSE）
となる。

[

]

∏

−

)

(

)

(

注記望ましくない結果を回避するために，経験を

積んだ解析担当者がこのゲートを注意深く使
用することが望ましい。

≧2

NANDゲート

入力事象の少なくとも
一つが生じない場合に，
出力事象が生じる。

ゲートはNOTゲートとANDゲートとの組合せとして機
能する。

∏

−

)

(

)

(

注記望ましくない結果を回避するために，経験を

積んだ解析担当者がこのゲートを注意深く使
用することが望ましい。

≧2

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

附属書B

（参考）

分離化のための詳細手順書

B.1

成功アプローチ

信頼性ブロック図が五つの要素A〜Eから成るネットワークを表し，対応するブール“成功”変数をそ

れぞれa〜eとする。ブール用語におけるシステム成功を，次の式によって定義する。

SS＝a×c＋b×d＋a×e×d＋b×e×c

ここに，

SS：システム成功

A〜E：ネットワークを構成する信頼性ブロック図の各要素

a〜e：信頼性ブロック図の各要素に対応するブール“成功”変数

上記の式を次の手順によって分離化する。

ステップ1.1：各項を第1項に関して分離する。系統的な方法で進めて第2項を第1項に関して分離する。

第1項のいずれかの変数が第2項に補数形式で現れているかどうか調べる。現れている場合，二つの項は

既に互いに分離しており，それ以上することはない。現れていない場合，第2項（b×d）には現れていな

い第1項（a×c）の変数を全て選び出す。集合論の用語では，これは第1項における第2項の補集合と呼

ぶ。ここでは，変数a及び変数cを得る。

ステップ1.2：第2項（b×d）を（

）に置換する。

ステップ1.3：第3項を第1項に関して分離する。まず，第1項のいずれかの変数が第3項に補数形式で

現れているかどうかを調べる。変数が現れていないとき，第1項における第3項の補集合を識別する。す

なわち変数cとなる。したがって，第3項を項（

）に置換する。

ステップ1.4：第4項（

）を第1項に関して分離する。第1項における第4項の補集合は，変数a

である。したがって，第4項を（

）に置換する。

この段階でのシステム成功式を，次に示す。

ここに，

SS1：ステップ1でのシステム成功

a〜d：信頼性ブロック図の各要素に対応するブール“成功”変数

の補数

第2項にステップ1.1〜ステップ1.4を行う。

ステップ2.1：SS1の第3項（

）を第2項（

）に関して分離する。この例では，項は既

に分離している（変数aのために）ので，これ以上することはない。

ステップ2.2：SS1の第4項（

）を第2項（

）に関して分離する。この例では，項は既

に分離している（変数aのために）ので，これ以上することはない。

ステップ2.3：SS1の第5項（

）を第2項（

）に関して分離する。補集合は変数dであ

る。したがって，第5項を（

）に置換する。

この段階でのシステム成功式を，次に示す。

ここに，

SS2：ステップ2でのシステム成功

第3項にステップ1.1〜ステップ1.4を行う。

ステップ3.1：SS2の第4項（

）を第3項（

）に関して分離する。補集合は変数bで

ある。したがって，第4項を（

）に置換する。

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

ステップ3.2：SS2の第5項（

）を第3項（

）に関して分離する。この例では，二

つの項は既に分離している（変数a，c及びdのために）ので，これ以上することはない。

この段階でのシステム成功式を，次に示す。

ここに，

SS3：ステップ3でのシステム成功

これ以上は単純化できないので，これが最終の分離化した式である。

通常の代入操作をすると，システム信頼度は，次の式のようになる。

−

)

ここに，

R S1：代入操作によって求めたシステム信頼度

R a〜R e：信頼性ブロック図の各要素の信頼度

この場合SS3という最終結果の式は，オリジナルのブール演算式中で項が書かれている順序に依存する

ことに注意することが望ましい。

全確率の定理を使用すると，システム信頼度は次のように表せる。

(

)(

)

(

)(

)

−

ここに，

R S2：全確率の定理を使用して求めたシステム信頼度

R a〜R e：信頼性ブロック図の各要素の信頼度

RS1及びRS2の表現は全く異なるように見えるが，実際は同じである。

B.2

システム故障（カットセット）アプローチ

分離化を次の式によって説明する。

ここに，

SF：システム故障

a〜e：信頼性ブロック図の各要素に対応するブール“故障”変数

上記の式を次の手順によって分離化する。

ステップ1.1：各項を第1項に関して分離する。系統的な方法で進めて第2項を第1項に関して分離する。

第1項のいずれかの変数が第2項に補数形式で現れているかどうかを調べる。現れている場合，二つの項

は既に分離しており，それ以上することはない。現れていない場合，第2項（c×d）には現れていない第

1項（a×b）の変数を全て選び出す（集合論用語では，第1項における第2項の補集合と呼ぶ。）。ここで

は，変数a及び変数bである。

ステップ1.2：第2項c×dを

に置換する。

ステップ1.3：第3項を第1項に関して分離する。まず，第1項のいずれかの変数が第2項に補数形式で

現れているかどうか調べる。ここでは現れていないので，第1項における第3項の補集合を識別する。す

なわち，変数bである。したがって，第3項を項

に置換する。

ステップ1.4：第4項（b×e×c）を第1項に関して分離する。第1項における第4項の補集合は，変数a

である。次に，第4項を変数

に置換する。したがって，この段階のシステム故障表現は，次の

ようになる。

ここに，

SF1：ステップ1でのシステム故障

a〜d：信頼性ブロック図の各要素に対応するブール“故障”変数

の補数

C 5750-4-4：2011 (IEC 61025：2006)

2019年7月1日の法改正により名称が変わりました。まえがきを除き，本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。

第2項にステップ1.1〜ステップ1.4を行う。

ステップ2.1：SF1の第3項（

）を第2項（

）に関して分離する。この例では，項は既

に分離している（変数aのために）ので，これ以上することはない。

ステップ2.2：SF1の第4項（

）を第2項（

）に関して分離する。この例では，項は既

に分離していることに注目する（変数aのために）。したがって，これ以上することはない。

ステップ2.3：SF1の第5項（

）を第2項（

）に関して分離する。補集合は変数dである。

したがって，第5項を

に置換する。

この段階でのシステム故障表現は，次のようになる。

ここに， SF2：ステップ2でのシステム故障

第3項にステップ1.1〜ステップ1.4を行う。

ステップ3.1：SF2の第4項（

）を第3項（

）に関して分離する。補集合は変数cで

ある。したがって，第4項を

に置換する。

ステップ3.2：SF2の第5項（

）を第3項（

）に関して分離する。この例では，項

は既に分離している（変数a及びdのため，かつ，定義した書式に従って）。したがって，これ以上分離す

ることはない。

この段階のシステム故障表現は，次のようになる。

ここに， SF3：ステップ3でのシステム故障

これ以上は単純化できないので，これが最終的な分離化された式である。

通常の代入操作をすると，システム不信頼度は，次の式のようになる。

−

)

ここに，

FS1：システム不信頼度

Fa〜Fe：信頼性ブロック図の各要素のシステム不信頼度

最終結果の形（この場合はSF3）は，オリジナルのブール演算式中で項が書かれている順序に依存する

ことに注意することが望ましい。