All rights reserved.

FTA(故障の木解析)

→ 客観説TQM研究所―TOP

設計FMEA  医療FMEA  工程FMEA  なぜなぜ分析


[戻る]

はじめに

 FTA(Fault Tree Analysis:故障の木解析)とは、予防すべき重大な事象の要因事象を展開し、要因事象の発生頻度を集計してその重大事象の発生頻度を計算する手法・活動をいう。

FTAの原理図
FTAの原理図

 上の原理図で説明すると、
  • 予防すべき重大事象(トップ事象)を矩形の枠で囲って最上位に配置する。矩形枠は「さらに展開する」という意味を表す。

  • トップ事象から、2個の要因事象に展開する。
    これら要因事象のうち、1個が発生すればトップ事象の発生につながる場合は "OR記号" を仲介して、頻度計算が足し算になることを明示する。
    これら要因事象の全てが発生すればトップ事象の発生につながる場合は "AND記号" を仲介して、頻度計算が足し算になることを明示する。

  • 頻度を見積もることができる要因事象を〇で囲って 基本事象 と呼ぶ。

  • これらの事象をさらに下位の事象に展開するときは、〇ではなく□で囲って 中間事象 と呼ぶ。

  • トップ事象も中間事象も、矩形枠で囲った事象は 展開事象 と呼ぶ。

  • 基本事象の頻度を集計して、トップ事象の頻度を求める。
 簡単に述べると以上の通りであるが、実際に運用するにはいくつかの注意事項があるので、最後まで通読して欲しい。

 FTAは、米空軍が開発中だった大陸間弾道弾ミニットマンの発射管制システムの信頼性評価に関する研究をベル研究所に委託して研究された。機器の故障のほか、不良品の混入・ポカミス・外部からの妨害を含めた総合的な発射失敗の確率を把握することを目的とした。

 ベル研究所は、過去の故障や事故に関する膨大なデータを持っていたので、頻度計算が可能であったと推測される。しかし、一般の企業でFTAを実施しようとやたらと細部まで展開しても、その発生頻度のデータがないケースが大半を占めるので実施が困難である。

 他方、有効に実施できるケースもあるので、事例を参考にして欲しい。

 分析・改善の大まかな手順は、以下のとおり。

  1. 解析対象システムを理解する。
  2. 「望ましくない事象」をトップ事象にする。
  3. トップ事象の直下に、要因事象の総枠を設定する(後述)。
  4. FT図を作成する(定性解析)。
  5. 定量解析(基本事象の頻度見積り、トップ事象の頻度集計)
  6. 頻度の高いルート(クリティカル・パス)を明確にする。
  7. 頻度の改善

[戻る]
ページのトップへ

FTAの制約

 (1) FTAは、不具合事象の予防のための手法。不具合事象の発生後に原因調査の目的で行うのは間違いです。起きるまで待って、起きてから始めるのでは、時すでに遅し。それはトラブル・シュート、または特性要因図と混同した結果である。

 (2) FTAは、重大な不具合事象の頻度(確率)を見積もるための手法です。単に展開するだけの定性解析だけではFTAにならない。

[戻る]
ページのトップへ

FMEAとの相違

  1. 不良品
    製品設計のFMEAは製品の設計を評価するものであり、不良品を対象にしない。これに対し、FTAは不具合事象が起きる頻度を問題にするから、不良品の発生も対象にすることができる。

  2. トップ・ダウン
    FMEAはシステムの構造破壊(故障モード)を列挙し、この構造破壊が起きたらどんな不具合事象が起きるかというボトム・アップ追跡となる。これに対して、FTAはシステムの不具合事象を最初に特定して、その不具合事象がなぜ起きるかというアプローチになり、トップ・ダウンになる。

  3. 総枠設定
    FMEAの故障モードは、設計者にとって明白であり、列挙もれが少ない。これに対して、FTAの頻度見積の基礎になる事象(基本事象)はトップ・ダウンに追跡するためもれやすく、漏れを防ぐための特別な工夫として総枠設定が必要になる。

  4. 頻度の見積と集計
    FMEAは一般的な製品や工程の最適信頼を目的とするものであり、故障による被害・頻度・大事に至る前の検知という3方面からの定性的な評価を行い、頻度見積を必ずしも数値的に行う必要はない。これに対して、FTAでは重大な不具合事象を対象に、数値的な頻度だけを目的とするため、基本事象の頻度見積が不可欠である。
 しかし一般にこれらの技法の指導は正しく行なわれず、多くの場合に飾り物になる。例えば、

 *要因事象についての想定外をなくす工夫がない。たまたま思いついた要因事象を並べるだけである場合が大半。

 *展開が進むほどに、個々の些細な事象に分解される。しかし、発生頻度は、さっぱり見当がつかず、結局のところトップ事象の頻度集計ができないで終わる。こういう事例が圧倒的に多い。

[戻る]
ページのトップへ

FTAを行う者の立場

 要因事象としてどのようなものを含み、あるいは含まないか、FTAを行う者の立場によって異なる。

 * 製品設計者がFMEAの補助としてFTAを行う場合は、そのFTAの対象は設計通りの製品に限られ、不良品は含まれない。

 *製品の使用者がFTAを行う場合は、製品の信頼性を調査することが目的ではないから、製品の内部に展開しない。

 *製品開発者がFTAを行う場合は、製品外部の人の行動、天候、天変地異に展開し、さらに製品内部に展開して、構造破壊やユニットの故障、それに不良品なども要因事象にする。ミニットマンの開発がこれに該当する。

 FMEAが「どんな事故が起きるか分からない」というテーマを扱うのに対して、FTAは「分かっている事故の頻度を知りたい」というテーマを扱う。だから、特性要因図のように定性的に展開するだけではFTAにならない。

[戻る]
ページのトップへ

論理記号

*上位事象に対して下位事象が複数ある時、どれか1個の下位事象が起きれば上位事象が起きるなら、「OR ゲート」で示す。この場合、頻度は足し算になる。

〔ORゲートは頻度を足し算〕
FTAの原理図

 工程抜けの頻度を年に換算して、
1回/週=4回/月=48回/年

 両方の頻度を加算して、
48回/年+1回/年=49回/年

 あるいは、1回/年を無視することもできる。

*上位事象に対して下位事象が複数ある時、全ての下位事象が同時に起きるときだけ上位事象が起きるなら、「AND ゲート」で示す(下の図)。この場合、頻度は掛け算になる。

〔ANDゲートは頻度を掛け算〕
ANDゲートの説明図

(48回/年)×(48回/年)=(48回/年)×(48日/250日) =9回/年

*下位事象Aが、条件事象Bが起きている時に起きれば上位事象Xが起きる場合は、制約ゲートを用い、その横に条件事象を、下に下位事象を配置する。

*下に主に使用される論理記号の一覧表を示す。

主な論理記号
論理記号の一覧表

*トップ事象の頻度が過大なら、確率が最大のルート(クリティカル・パス)に対して対策を講じ、トップ事象の頻度が十分に小さくなるまで繰り返す。

[戻る]
ページのトップへ

クリティカル・パス

 トップ事象から下に展開した事象には、頻度が高いものや低いものがある。

 トップ事象から展開した直下の事象が A、B、C の3つのユニットの故障だとする。

 Aの頻度は非常に高く、次にBの頻度も高いが、これらに比べてCの頻度は十分に低いとする。こういう場合に、頻度の高い事象も低い事象も差別なく展開するのは間違いである。

〔クリティカル・パスを明確にする〕
展開しない事象

 Aは中間事象として、さらに展開を続け、頻度見積と対策が可能な基本事象にまで展開した事例。

 頻度の低い事象や対策がある事象を放置して、高い事象を優先的に展開して危険な故障経路(クリティカル・パス)をあぶり出すのが上手な展開の仕方。

 だから、頻度見積をしながら展開するのです。構わず展開して、これ以上展開できない末端の事象を基本事象として、その頻度を見積もる・・・というのは間違いである。

 Bは頻度は高いが、定期交換というメンテ制度によって常に新品に維持できるユニットなので、これ以上は展開する必要はない。

 Cはとりあえず対策の必要がないから展開もこれ以上行わず、○枠で囲って基本事象とし頻度を見積もります。頻度が他と比較して著しく小さい場合は、頻度計算上、無視することもできる。

 FT図の全体から、トップ事象の頻度に最も貢献しているクリティカル・パスの頻度を下げるよう、対策を考案する。

[戻る]
ページのトップへ

事例1(当研究所の実施例)

 セミナー当日に何らかの事情でセミナーを開催できなくなると、受講者の皆様に多大なご迷惑をおかけすることになる。当日は会社を欠勤し、中には、航空機でおいでになり、ホテルに宿泊される方もおられ、講習会場に来てみると中止というのでは、当研究の言い訳が立たない。

 そこで、せめて当研究所の怠慢で中止になる事態だけは何としても回避すべくFTAを行った。

総枠設定

 下の図で、「開催不能」がトップ事象です。基本事象をもれなく列挙するために中間事象として5Mを列挙し、それぞれの基本事象を導いて頻度を評価する。

 このように、展開すべき要因事象の抜けを無くすために、「これ以外にはない」という総枠を設定して、その中で要因事象を列挙します。要因事象が全て分かっている場合は、総枠設定は不要。

 本件では総枠として5Mを使っているが、これに限らない。

総枠設定の図

〔参考〕
    5Mとは、次の5個の経営資源をいう。
  • 材料(Material:処理を受けるもの):本事例でいえば、受講者の方々。開催中止とは無関係と考えられる。
  • 方法(Method:処理の仕方):本事例では、開催中止とは無関係と考えられる。
  • 機械等の装置(Machine:処理に使用する設備):本事例では、講師が使用する交通機関、パソコン、プロジェクター等の異常・故障が該当する。
  • 測定(Measurement:関連データの収集・分析):本件では、開催中止とは無関係と考えられる。
  • 人(Man:そのプロセスに関係する人材):本事例でいえば、講師の急病が該当する。

頻度の見積

 頻度の数値的な見積は、ほとんどの場合、正確なところは分からない。しかし、月1回よりは少ないが10年に1回よりは多いなら年に1回と判断する。年に2回か3回かという調整は、後日、実績を参照して行う(後述)。

頻度の見積

 その結果、本件の場合は、上図に示すように危険な日は、年間で17日あることが分かる。

 他方、講習会は年に6回開催するとして、6日/年 と表す。すると、危険日と開催日がかち合う頻度は、

(17日/年)×(6日/年)=(17日/年)×(6/260) =0.4/年

となって、2年に1回ほど危ない目に合うという計算になり、勿論、不合格。

 頻度の表し方を整理すると、下の表のようになる。

事象の頻度 頻度の表現
年に1回(1日) 1/年
月に1回(1日) 12/年
週に1回(1日) 48/年
10年に1回(1日) 0.1/年

 「1年に1回」は、260日(稼働日)のうちの1日がブラックデーになると考えて「1/260」とも表すことができる。

 合否判断に明確な基準はないが、大人数の生命に関わるような大事故なら10万年に1回程よりも小さい頻度が求められる。本件の場合のような個人的なケースで少額の損失を問題とする場合は、100年に1回程ほどで十分かと思われる。

[戻る]
ページのトップへ

対策と効果

 そこで、本件の対策を考えたものが次の図。

対策の図

  • 列車異常の対策は、会場に近いホテルに前泊して徒歩で講習会場に行くようにする。これで頻度=0 になる。

  • PC、アダプター(電源)、マウス、プロジェクターは予備を会場に持ち込み、故障したら直ちに交換する(冗長設計)。

    上の冗長業設計は、いずれも頻度を自乗する。

    (1日/年)×(1日/年)=(1日/年)×(1/260)=1日/260年

    これが4個あるから4倍して、

    4×(1日/260年)=4日/260年-----(1)

  • 講師の急病については、事務局がホームページに情報を公開して、受講者の方が出発直前に開催について異常がないか確認して頂くことにした。

     ホームページへの公開を担当する事務局にも支障が生じることが年に1回あり得るとして、

    (1日/年)×(1日/年)=(1日/年)×(1/260) =1日/260年-----(2)

    * 停電は災害がない限り、日本では1回/10年程度であり、これに自家発電設備を有する会場を使うという対策を織り込んで、

    (1回/10年)×(1回/年)=(1/2600)×(1日/年) =1日/2600年-----(3)

 以上を合計すると、
(1)+(2)+(3)=(4+1+0.1)/260年 =5.1/260年=1回/50年
 上の計算を下の図に示す。

効果の図

 危険日は 1日/50年であり、開催日は年間で6回予定するので、これらがかち合う頻度を求めると、

(1日/50年)×(6日/年)=(1日/50年)×(6/260) =1日/5,000年

となって、合格とみなすことができる。

 FTAにより、リスク全体を見渡し、クリティカル・パス(最大リスク箇所)が可視化される。

[戻る]
ページのトップへ

実績による修正

 このような概算見積もりのもとで5年過ごした実績データと照合して、確率の是正を行った。

 パソコン等の故障や講師の病気などの頻度を、「1回/年 → 1回/4年」に修正した結果、右の図のようにトップ事象の頻度は、「1回/50年 → 1回/500年」と一桁小さいものとなった。

 上の事例では、基本事象が起きるとストレートに事故(トップ事象)につながった。しかし、システムによっては、下の表に示すように、いろいろなものがある。

実績による修正の図

[戻る]
ページのトップへ

事例2

 FTAの目的は、トップ事象の発生頻度を見積もること、および、最も発生する頻度の高い系統(クリチカル・パス)を明確にして、対策の実施を効率化することである。従って、単に要因事象を展開するだけの特性要因図と混同してはならない。

   すると、下に示すFT図に2つの間違いがあることに気づく。

誤ったFTA図
  1. まず、「回転体の破損は、なぜ起こったか?」と、過去の事故の原因を追究することはFTAの問題ではない。特定の事故の原因候補は、その事故に特有のものに限定されてしまうからである。

    例えば、その特定の事故が起きた時に、台風も火山爆発も地震もなかったなら、これらは要因事象から除外されてしまう。しかし、FTAは将来のあらゆる可能性を考慮して要因事象を列挙する必要がある。

    「回転体の破損」の発生メカニズムは、材質劣化や異常回転などの内部要因に限らない。台風や渡り鳥の衝突飛行機の衝突などもあります。これ以外にはあり得ないという総枠設定により、想定外を防がねばならない。

  2. 次の間違いは、「回転体の破損」というトップ事象の下に、いきなり2つの要因事象を挙げていることです。なぜ、この2つだけなのか?

    それは、たまたま脳に浮かんだ2つを挙げたからである。「他にもあるのではないか?」という疑問に答えていない。こういう展開の仕方だと、要因事象(原因候補)のもれを防ぐことができず、いわゆる「想定外」を回避できない。

 このような「検討力」を身につけることが学習の要です。このような間違いに注意しながら、FTAの手順を学んで行こう(以上)。

[戻る]
ページのトップへ


客観説TQM−TOP   FMEA/FTA セミナー申込状況