©  All rights reserved.   

FTA解析(故障の木解析)事例解説

 および  4点法FMEA  特性要因図  QC工程表
このページは、FMEA / FTAセミナーの内容のうち、 FTAの部分を抜粋したものです。

[ 客観説TQM−TOP ]         [ 申込状況 ]

〔セミナー情報〕
受講者の声
4点法FMEA,FTA
受講後のQ&A
申込状況
東京開催のご案内
京都開催のご案内
〔理論の概要〕
事例1
論理記号
事例2
実績データによる修正
様々なケース

 FMEAとFTAの関係を簡単に説明します。
 FMEAは、もれなくの故障や災害をあぶり出すための手法です。従って、結果について想定外が生じないよう、故障モード(構造破壊)という、その分野の専門家であれば見逃さない事象を列挙して、そこから故障や災害を全て顕在化するというボトム・アップの追跡法となります。
 他方、FTAは、故障に限らず、とにかく予防しなければならない重大事故が特定されている場合に、その発生頻度(ないし確率)を計算する手法です。従って、トップ・ダウンの追跡法となります。その追跡の過程で、発生要因事象についての想定外をなくす工夫をしなければなりません。
 しかし、一般にこれらの技法の指導は正しく行なわれず、多くの場合に飾り物になるだけです。例えば、普通のFTA教育では、発生要因事象についての想定外をなくす工夫がありません。たまたま思いついた要因事象を並べるだけです。また、「誰が何のためのFTAをするのか」という意識がなく、「FTAのためのFTA」という飾り物であることが多く、要注意です。
 本稿では、最初に、事例1と事例2で、基礎的なことを述べ、続いてこのような「問題のある指導例」を吟味して参りましょう。
 このページではFTAだけを紹介しますが、セミナーはFMEA、ETA、特性要因図を含みます。その全体の説明は、FMEAのページに移って下さい。


■事例 1
 FTAの一般的な手順を、右の図の事例に沿って説明します。
  • 起こしてはならない事象(トップ事象)を決め、FT図の最上位に置く。
  • 中間事象(場合分けのための事象)、すなわち、第1次要因事象を列挙し、さらに第2次要因以下、因果関係を展開し、最下位に基本事象(直接に確率を見積る事象)を列挙し、それぞれの確率を見積もる。
  • そこから逆に確率を集計(加算、または、乗算)して行き、トップ事象の確率を求める。
  • 下位事象A、Bなどが1つでも起きれば上位事象Xが起きる場合は、Aの確率とBの確率の加算値をもって上位事象Xの確率とする。この関係を表すには、上位事象Xと下位事象A、Bの間にORゲートの論理記号を介在する。
  • 下位事象AとBが同時に起きるときに限って上位事象Xが起きる場合は、Aの確率とBの確率の積をもって上位事象Xの確率とする。この関係を表すには、上位事象Xと下位事象A、Bの間にANDゲートの論理記号を介在する。
  • 下位事象Aが、条件事象Bが起きている時に起きれば上位事象Xが起きる場合は、制約ゲートを用い、その横に条件事象を、下に下位事象を配置する。
  • トップ事象の確率が過大なら、確率が最大のルートに対して対策を講じ、トップ事象の確率が十分に小さくなるまで繰り返す。

■事例2(客観説TQM研究所が実施した例)
 セミナー当日に何らかの事情でセミナーを開催できなくなる事象を何としても回避するために、FTAを行った当研究所の事例を紹介します。右の上の図で、「開催不能」がトップ事象です。基本事象をもれなく列挙するために中間事象として5Mを列挙し、それぞれの基本事象を導いて頻度を評価します。
 頻度の見積は正確なところは分からないので、月1回よりは少ないが10年に1回よりは多いなら年に1回と判断します。年に2回か3回かという調整は、後で実績を参照して行います。
 「年に1回か? 3回か?」などと判断しないで、1日に1回、週に1回、月に1回、年に1回、10年に1回、100年に1回、1000年に1回〜のような単位で評価します。その結果、年に1回(1日)の頻度で起きると判断した事象が、セミナー当日に起きる確率は、
1日/年間稼働日数=1日/260日=4×10-3
 さらに、月1回の事象がセミナー当日に起きる確率、12×4×10-3、10年に1回の事象がセミナー当日に起きる確率、0.1×4×10-3、という要領で各基本事象の確率を右表に示します。
 何も対策しなければ、年に17回の頻度で開催不能となる恐れがあります。
 次に対策を考えます。交通機関の運行異常に対しては、会場付近にホテルに前泊します(確率⇒0)。
 プレゼン機器は全て1台ずつ準備し、講師も2名が交代で臨時講師として待機し、冗長設計を採用します。
 冗長設計二より故障の頻度は自乗の関係になり、年に1回故障しそうなパソコンを2台そろえて、
(年1回)×(年1回)=(年1回)×(4×10-3=1,000年に4回
に改善され、トップ事象のへの影響は、パソコン、電源、マウス、プロジェクターの4つで、1,000年に16回となります。一方、講師の病気対策の効果も、1000年に4回であり、結局、開催不能の頻度リスクは、
16回+4回=20回/1000年=1回/50年
 停電リスクは10年1回で、自家発電の故障等が年1回あるとして、4×10-4(4×10-3)=0.4回/1000年、となって他に比べて無視できる。
 FTAにより、リスク全体を見渡し、クリティカル・パス(最大リスク箇所)が可視化されます。
 このような概算見積もりのもとで5年過ごした実績データと照合して、確率の是正を行った。
 パソコン等の故障や講師の病気などの頻度を、「1回/年 → 1回/4年」に修正した結果、右の図のようにトップ事象の頻度は、「1回/50年 → 1回/500年」と一桁小さいものとなった。

 上の事例では、基本事象が起きるとストレートに事故(トップ事象)につながった。しかし、システムによっては、下の表に示すように、いろいろなものがある。

基本事象の性格基本事象と影響
結果の内容と程度が一定停電 → パソコン機能停止→講習会の中止
程度が不定地震 → 震度によって、影響の程度は不定
内容も程度も不定修理途中を修理完了と勘違いして自動車を運転

 このようなさまざまな基本事象が起こるシステムでは、どのようにFTAを構築するか?
 実務ではこのようなシステムが多く、かような問題をどんどんこなすような力がないと、実務は勤まりません。
 例えば、ヒヤリハット活動というのがありますが、ヒヤリハットは次から次へと、無数に出てきます。
 その全てのヒヤリハットに発生対策を講じなければならないかどうか判定するツールにFTAが使われます。そして、ヒヤリハットには上の表に示す3種類のものが含まれるので、これらの扱いが分からないと収拾がつかないことになります。
 以下、好ましくない指導例を吟味して、理解を深めよう。
■問題ある事例(1) 機械振興協会の事例 
 上の説明図は、(財)機械振興協会が指導している「風力発電機の回転体の破損」のFTAを引用したものです。図を一見して「4つの決定的な誤り」に気が付く人は、一応、最低限の理論と実務経験を持つといえます。しかし、気が付かない人は、初心者の域を出ません。
 もっとも、その話を進める前に、大きな問題があります。「回転体の破損」の意味が不明確です。羽根だけを指すのか、羽根の回転を伝えるカプリング、発電機の主軸、それを支えるベアリング等を含むのかどうか、いま一つ明確でありません。こういう表現は、議論が困難です。
 そのことを指摘した上で本題に移ります。

〔第1の問題点〕FTAは予防目的のツール
 上図の左端に「回転体の破損は、なぜ起こったか?」と過去形です。これだと起きた事故の原因を探すアプローチになってしまい、大変な間違いです。
 FTAは、将来起きるリスクを見積もるためのツールです。
〔第2の問題点〕FTAは頻度集計のツール
 FTAと管理用-特性要因図は似ていますが、最大の違いは、FTAが確率(頻度)を集計し、特性用図はそれをしないことです。その帰結として、頻度の見積と集計をしなければFTAの参考事例になりません。

〔第3の問題点〕想定外の防止(総枠の設定
 さらに、「想定外」を防ぐ特別な工夫が必要です。それには、「これで全部だ」と確認できる「総枠」を分類事象として設定しなければなりません。
 総枠を設定では、事例2のように「5M」を使うこともできるし、「上・中・下」、「左・中・右」、「天然現象・人工現象」、「空・陸・海・地下」の枠も有効です。製品設計の場合は、システムの構成要素(サブシステム)に分ける場合もあります。
 そこで改めて上のFT図を見ると、トップ事象の下に「使用材料の劣化」と「異常回転による破損」の2つしかないことに気が付きます。


 例えば、右の図のように「これで全部だ」という枠が設定されていないと、「他にもあるのでは?」と疑わざるを得ません。
 2013-03-23、鳥の衝突が頻発すとして、青森県十三湖付近の風力発電所の建設計画が環境省から待ったがかかりました。
 また、2013-04-06、三重県の青山高原ウインドファーム風力発電所の羽根が台風で14トンも落下しました。
 台風、落雷、竜巻などに留まりません。地震や津波、はたまた、へリコプターや小型飛行機が落ちてくるかも知れません。これらの中には「思い過ごし」もあるかも知れませんが、想定外を防ぐには「これで全部」と納得できる枠が必要なのです。
 機械振興協会の指導例では内部的な事象しかありません。 しかし、外部的な事象と、内外の相互作用として「共振」を考慮する必要があります。風と羽根の固有振動数に注意が必要です。

〔第4の問題点〕基本事象の意味
 第1次中間事象の総枠を設定したら、その下にも(明示,黙示に)総枠を設定します。
 総枠を設定してから、該当する事象を抽出します。こうして「想定外」を極力なくしてから頻度を見積もります。

■問題ある事例(2) IT情報マネジメント
 機械振興協会は、基本事象を「これ以上展開できない事象」と定義していますが、間違いです。「この事象の頻度は見当がつく」と判断した事象を基本事象として丸枠で囲みます。基本事象は頻度見積をした事象を指し、「さらに展開できるかどうか」とは無関係です。この点は、このあと、さらに解説します。
 FTA(Fault Tree Analysis)/ 故障の木解析
 安全性・信頼性解析手法の1つ。システムに起こり得る望ましくない事象(特定の故障・事故)を想定し、上位のレベルから順次下位に論理展開して、最下位の基本事象の発生頻度から最初に想定したトップ事象の発生確率を算出し、同時に故障・事故の因果関係を明らかにする手法をいう。
 分析・改善の大まかな手順は、以下のとおり。
 ・解析範囲を明確化し、解析対象システムを理解する
 ・そのシステムにとって望ましくない事象=頂上事象を定義する
 ・フォールトツリーの作成
 ・フォールトツリーの定性解析
 ・フォールトツリーの定量解析
 ・システムの改善
問題点
 上の解説では、
 ・全体枠の設定が抜けており、従って、想定外の因果関係の見逃しが発生します。
 ・基本事象の定義が誤りです。「上位のレベルから順次下位に論理展開して、最下位の基本事象」というだけでは、基本事象は決まりません。  
 ・頻度見積の仕方が不明です。従って、指導を受けても、実務に適用することが困難です。
 従って、指導を受けても、想定外を発生し、基本事象の頻度見積ができず、結局、実用的な技術習得には至らず、形骸化してしまいます。
 このようにして、FTAを実施していると称して、実は体裁だけを整える企業が急速に増加しています。

■問題ある事例(3) Sprax Systems
 左の事例を吟味しよう。Sprax Systems 社の事例を少し変形して見やすくしたものです。基本的な問題を3つ指摘します。
〔第1の問題点〕
 モスグリーンの基本事象は、「使用時の不注意」で電源コードを差し込まなかった場合です。青は「故障の場合」で、黄色は「製造不良」に属する欠陥です。
 このようなFTAは、専門家はやらないでしょう。FTAの実務経験がない人が作ったと思われます。なぜ、それが分かるのでしょうか? TPO (Time, Place, Occasion)が織り込まれず、FTAのためのFTAになっています。
 (A)使う人の場合
 重要な顧客先にプレゼンのために出張する途中、列車の中でプレゼンの一部を修正する必要があり、パソコンが起動しないと困ります。この場合は、すでに前日にパソコンを使用しており、不良は考えないはずです。旅の途中でパソコンを落して壊したり、短期故障などのリスクだけを考えればよい。
 すると、パソコン本体、電源アダプター、マウスなどの完成品の故障だけを列挙し、製品の内部に展開しません。

 これらは1年に1回ほどの故障リスクがあるから、それぞれ2つ持参して冗長設計にすれば対策として十分です。これで立派に冗長設計になっており、リスクは極限に低減します。

 (B)製品設計者の場合
 製品計者は、設計ミス(機能不全と故障)だけを考えます。当然、完成品の内部に展開しますが、SWの入れ忘れや不良問題は考慮しません。
 代表的な用途は、製品設計者がFMEAを行う場合の併用です。ある故障・災害を起こす故障モードA、B、C、D、Eがある場合に、これらの関係をFTAで表します。そうすることで、これらの故障モードと故障の関係が明確になり、FMEA上の評価や要求される対策の指針になります。

〔第2の問題点〕---総枠の欠如
 トップ事象のすぐ下に横並びになっている事象は、「これで考慮すべき全てだ」という枠がはめてありませんから、想定外を見逃している可能性があります。たとえば、電源スイッチの故障は、どこで評価するのでしょうか?
製品設計者の場合


〔第3の問題点〕
 基本事象が丸枠で示されていますが、これらはどのように頻度を見積もるのか、示されていません。頻度を示さないならFTAではありません。

■問題ある事例(4) ティ・エフ・マネジメント

 同社は次のように説明していますが、これもプロの作成とは思われません。

 右図は、@子供が自動車の後部ドア(ETG:Electric Tailing Gate)と車体の間に指を挟まれ負傷する」というFTA事例です。@の事象が起こるには、@〜Dの事象が同時に発生し、Eの条件がなければ起こりません。また、Aは、a、b、 c のいずれか一つが発生し、BCDが同時に起これば@の事象が発生するということです。
 FTA解析を行う場合、次の3点から検討するのが良いやり方です。
 ・ありうる機器の故障
 ・機器の設定条件に間違いはないか
 ・人間工学的にあり得る行動:過失、ミス
 FTA解析では、ABCDEの発生確率が分かれば、@の発生確率が分かることになります。つまり、FTA解析では、定量的な予測ができるという利点があります。
〔この自動車の安全装置の概要〕
 FT図に書かれた事象の説明からたどって、この安全装置の仕組みを推測すると、次のようになっています。
 ・子供がゲートに手を置くと運転者に警報が出る。
 ・警報による運転者のドア反転操作が間に合わなくても、ドアが指を噛み込む圧力をセンサーが感知してドアを反転する。

〔問題点1〕設計の問題
 まず、FTA以前に、設計の問題があります。運転者に対する警報と同時にドアモーターを反転すべきです。警報を受けてから運転者が操作をするのでは、安全装置としてあまり有効ではありません。
〔問題点2〕FTAの問題
 結論の「FTAでは、定量的な予測ができるという利点があります」という記述に問題があります。なぜなら、その結論は「ABCDEの発生確率が分かれば〜」という条件が付いているからです。そして、これらの条件の確率を評価することは、とてつもなく難しい。
 そこで、プロの設計者・解析者は、こういう複雑なFT図は作りません。もっと要点を絞って「驚くほど単純なFT図」を作ります。総枠設定によって想定外を作らない反面、FT図は簡単になり、その結果、頻度評価は楽になり、対策も確実になるのです。
 どの程度簡単になるか? ティ・エフ・マネジメント(株)の事例を使って演習してみよう。

[プロは簡単なFT図] → 要点化
 これがその簡単になったFT図です。総枠設定は「必要な要因事象を見逃がさない」ための工夫ですが、要点化は「無駄な要因事象を排除する」ための工夫です。
 子供が手をゲートに置くことは条件ですから、常にそういう状態にあるとみなすのが最適です。頻度評価も対策も行いません。また、子供が何か物を取り出そうとしてドアが閉まる寸前に手を入れた場合に、運転者への警報は役に立ちません。これも「ないよりはマシ」という扱いで、頻度見積や対策の対象にしません。
 最後の砦は、ドアに指を軽く挟んだ状態で、確実に反転させることにあります。従って、「センサーによる指の感知」と「モーターの反転」のみを評価します。
 その結果、「指の挟みこみは年に2回程度の頻度」となります。その後の対策はどうしますか? 読者はご自分で考えてみて下さい(セミナーで説明します)。

〔部品主義と機能主義〕
 「センサーが感知せず」と「反転せず」は、いずれも機能障害ですが、その機能に関連する部品の数に大きな違いがあります。部品が多いほど、故障も起きやすいはずだと考えれば、右の図の頻度見積に疑問を感じるかも知れません。

 しかし、本当に、部品数に応じて機能障害の頻度は違ってきますか? この問題も、FTAを実行する前に解決しておかねばならない問題点です。
 パソコンは、極めて多数の部品で構成されています。それに比べて、マウスやアダプターの部品数は多くありません。では、パソコンはアダプターやマウスよりも圧倒的に頻繁に故障しますか?
 この謎を解けば、簡単なFT図と簡単な手段で、十分な対策を迅速に講ずることができるのです。

■問題ある事例(5) 構造化知識研究所
 同所の説明を引用します。
 「FTAは、事故や故障などの起こしてはならない重大な事象をトップ事象として捉え、発生要因を逐次展開してゆく要因解析になる」と説明し、右の図が「対象とするシステム・プロセスを構成要素に展開したもの」だとのことです。
 しかし、実務経験のない者の解説は、どこかに実情に沿わない「ボロ」が出ます。造化知識研究所は、最も悪質なサイトの一つです。

(1)基本事象の意味
 トップ事象は解析の対象となる「システムやプロセス」だとしても、基本事象は「部品や要素作業」だというのは、全くの間違いです。
 パソコンは細部の部品に分解して異常を挙げねばなりませんか? 右の図を見て下さい。1台のパソコンを使って重要な客先にプレゼンをする場合に、それが故障することを極力回避するには、2台のパソコンで「冗長設計」にすれば非常に効果的な対策になります。パソコンの部品などは、全く問題にしていません。つまり基本事象とは、部品や単位作業のレベルを指すのではなく、頻度を見積もるレベルのことです。

(2)総枠設定の欠如
 右の一番下の図は、「電源基盤の焼損」をトップ事象にして、その下にいきなり「レギュレータICの発火」を抽出していますが、これは「たまたま思いついたものを挙げる」というやり方であり、想定外を防止する手立てが為されていません。
 総枠の設定がないレベルのFTAでは、当然、要点化も行っていないから、複雑なFT図を作成して飾り物にするだけです。
構造化知識研究所の事象構造

基本事象が完成品の場合

構造化知識研究所の模範事例
■問題ある事例(6) 原子力新規制基準
 2013-7-8の新聞報道を引用します。
、「想定外」という言い訳はもう許さない----。原子力規制委員会は、発足から10か月でまとめた新基準を7/8から施行し、原発の再稼働に向けて安全審査を開始する。それによると、放射性物質が大量に漏れる重大事故の発生確率は「100万年に1回以下」とされている。
 さて、どのような基本事象について、どう頻度を見積もり、どう集計したのだろうか?
 新聞に書いてある限りでは、
  1. 設備の故障
  2. 自然災害(地震、津波、火山)
だけのようです。しかも、写真などで見る限り、火山噴火の際の火山石の飛来に備えているようには見えません
 人工衛星、隕石、航空機の墜落、外国からのロケット攻撃などは登場しないのです。もし、こういうことが起きれば「想定外であり、やむを得ない」と言い訳するのだろうか?
■問題ある事例(7) 富士ゼロックス(株) の模範例
 次の説明図は富士ゼロックス(株)のHPから引用し、(1)、(2) 等の番号は当方がつけたものです。
 説明文中の赤文字は、当方が解説する個所を示すために着色した部分です。読者は、この指導例をみて、どの程度のレベルの人が書いた説明だと推測しますか?
 FTAは、故障という事象を起点にして発生に至る過程を論理的にまとめたものです。発生した故障がどのような現象の連鎖や組合せによって最終的に発生するかを論理図の形で展開(図2)し、真の原因や故障メカニズムを解明するための手法です。
 富士ゼロックスでは、過去の市場トラブルや前製品の開発途中で発生したトラブルについてFTAを用いて解析し、その結果を再発防止リストとしてデータベース化しています。バーチャルフェーズの初期段階からこのデータベースを活用して、設計の初期の段階でしか対応できない根本的な原因部分に対策を施すことが可能となります。
 (1) トップ事象:
 トップ事象の「モータ不作動」とは、負荷がないモーターの作動を問題にしています。これが実務だとすると、単にモターの回転だけをみる検査作業しか考えられません。しかし、こういうFTAは実務では考えられません。回転を受ける負荷を伴うのが通常であり、この事例はおそらく素人が作ったと思われます。
 (2) 総枠設定:
 「モータ不作動」を起こす事象は、「モーターの故障」か、「電流が流れない」の2つだけになっています。これは、たまたま思いついた事象を列挙するというFTAでは厳禁とされるやり方です。モーターコイルの断線は、「モータ―の故障」と「電流が流れない」のどちらの事象なのか区別できないし、軸の曲り、焼き付き、過負荷などの事象を見逃しています。
 そういう問題を検討する必要がないなら、何を目的とする解析でしょうか? 
 こういうやり方は、FTAとは呼びません。ここに、総枠設定がないために、第一歩で想定外を生んでいます。
 (3) ORゲートのところの「断線」 とは、電源、スイッチ、モーターの間を連結する電線を指すと思われますが、必ず接続器が介在して電線を堅く固定します。この固定が緩んで電線が外れることが考慮されていません。また、電線のショートや漏電も見逃しています。
 (4) 要点化
 一番下に、(4)「スイッチ1」または「2」が開いている基本事象が挙げられています。 これは、左の説明で根本的な原因部分とされている事象です。
 しかし、これもあり得ないことです。

 モーターが動かない場合は、まっ先に2つのスイッチを入れるはずだし、それをしない人は使い方を知らないのであって、故障の問題ではないからです。すなわち、「スイッチ1」または「2」が開いていることは、考慮から外すべきです(不要な要素を削除することを要点化と呼びます)。
 しかし、「スイッチ1」または「2」の故障なら、除外するわけにはいきません。操作ミスなのか故障なのか、区別が不明確です。
 (5) FTAの目的:
 この事例は、FTAの目的を取り違えています。
 FTAは予防のための手法です。起きてしまった過去の事例を解析してからでは遅いのです。何も事例がない状況の下で、いかに確率・頻度を見積もって、トップ事象の頻度や確率を推定し、また、どこに高いリスクが潜むかを明らかにして再策を講じるものでなくてはなりません。
 そしてこの模範例の何よりも深刻な欠陥は、基本事象の頻度評価も集計もないことです。
 富士ゼロックスの製品に故障が多いとは思いませんが、上に紹介されたようなFTAが役に立っている筈はありません。

■問題ある事例(8) (独)中小企業基盤整備機構 の解説
 「基盤整備機構」などという、いかめしい名称の官庁は、何の役に立っているのか判然としません。
 ここのサイトでは、FTA解析の利点と欠点について次のように解説しています。
利点欠点
 (1) 分析した条件や要因(下位の初期事象)の発生確率が得られている場合には、単純な理論式を用い、上位事象発生確率を求めることができる。
 (2) FTは、主にANDゲートとORゲートを用い、単純な理論構造で表現されるで、視覚的解釈が容易である。そのため、事故・災害に至る経路や要因が明確になり、対策を立てやすい。
 (3) 単一的な故障のみではなく、複合事象を評価することが可能である。
 (4) ヒューマンエラーを定量的に扱うことが可能である。
 (1) 事象が発生するための条件や要因をツリー上で表現するため、簡単なシステムに対しては理解しやすいが、複雑なシステムに対しては巨大なツリーになるため、理解するのが困難である。
 (2) FT図上の各事象に対し、時間経過を表現することが困難である。
 (3) 定量的評価を行う際、事故の危険性、発生確率等のデータが不足しており、入手が困難である。
 上の記述のうち、赤文字のところに着目してみよう。
 FTA解析は、発生確率が得られていれば使えるが、発生確率等のデータが不足しており、入手が困難だ、と言っています。つまり、「FTAは使えない手法である」と述べているように読めます。
 しかし、FTA解析をする場合に発生確率のデータがあるというケースは全くないと言っても過言ではありません。「では、どうするか」という点の解説がないのでは、全く無価値な記事というより他はありません。
 「 ヒューマンエラーを定量的に扱うことが可能である」という記述は、2つの誤りを含むと考えるべきです。
 (1) FTAでは、全ての事象を定量的に扱うのであって、ヒューマンエラーか否かは関係ありません。
 (2) 「定量的に扱うことが可能になる」のではありません。定量的に「扱わねばならない」のです。
 以上のような独立強制法人の部署は税金を無駄遣いする存在であり、廃止すべきです。
(以上)

[客観説TQM−TOP]