フォールトツリー分析

ウィキペディアから、無料の百科事典
ナビゲーションにジャンプ 検索にジャンプ
フォールトツリー図

フォールトツリー分析FTA)は、トップダウンの演繹的障害分析であり、ブール論理を使用してシステムの望ましくない状態を分析し、一連の低レベルのイベントを結合します。この分析方法は、主に安全工学信頼性工学で使用され、システムがどのように故障するかを理解し、リスクを軽減するための最良の方法を特定し、安全事故または特定のシステムレベル(機能) 失敗。FTAは、航空宇宙[1] 原子力化学およびプロセス[2] [3] [4] 製薬で使用されています。[5] 石油化学およびその他の危険性の高い産業。しかし、社会サービスシステムの障害に関連するリスク要因の特定など、さまざまな分野でも使用されています。[6] FTAは、デバッグ目的のソフトウェアエンジニアリングでも使用され、バグの検出に使用される原因除去手法と密接に関連しています。

航空宇宙では、より一般的な用語「システム障害状態」は、フォールトツリーの「望ましくない状態」/トップイベントに使用されます。これらの状態は、その影響の重大度によって分類されます。最も厳しい条件では、最も広範なフォールトツリー分析が必要です。これらのシステム障害状態とその分類は、多くの場合、機能ハザード分析で事前に決定されています。

使用法

フォールトツリー分析は、次の目的で使用できます。

  • トップイベント/望ましくない状態につながるロジックを理解します。
  • (入力)システムの安全性/信頼性要件への準拠を示します。
  • トップイベントにつながる貢献者に優先順位を付ける-さまざまな重要度の測定のための重要な機器/部品/イベントリストを作成する
  • 複雑なシステムの安全性能を監視および制御します(たとえば、燃料バルブxが故障した場合、特定の航空機は安全に飛行できますか?バルブが故障した状態で飛行できる期間はどれくらいですか?)。
  • リソースを最小化および最適化します。
  • システムの設計を支援します。FTAは、(出力/下位レベルの)要件の作成に役立つ設計ツールとして使用できます。
  • トップイベントの原因を特定して修正するための診断ツールとして機能します。診断マニュアル/プロセスの作成に役立ちます。

歴史

フォールトツリー解析(FTA)は、1962年にHAワトソンによってベル研究所で開発され、米国空軍の 弾道システム部門との契約に基づいて、ミニッツマンI 大陸間弾道ミサイル(ICBM)発射制御システムを評価しました。[7] [8] [9] [10]フォールトツリーの使用は、それ以来広く支持されており、信頼性の専門家によって障害分析ツールとしてよく使用されています。[11] 1962年のミニッツマンで最初に公開されたFTAの使用に続いて、私は制御安全性研究、ボーイングおよびAVCOを開始しました1963年から1964年にかけて、FTAの使用をミニットマンIIシステム全体に拡大しました。FTAは、ボーイングとワシントン大学が主催する1965年にシアトルで開催されたシステム安全シンポジウムで広範囲に渡って報道されました[12]ボーイングは、1966年頃に民間航空機の設計にFTAを使用し始めました。 [13] [14]

その後、米軍内で、ヒューズで使用するためのFTAの適用が、1960年代と1970年代にピカティニーアーセナルによって調査されました。[15] 1976年、米陸軍兵器・物資司令部はFTAを信頼性設計に関するエンジニアリング設計ハンドブックに組み込みました。[16]現在国防技術情報センター(信頼性情報分析センター、現在は国防システム情報分析センター[17] )を備えたローマ研究所の信頼性分析センターとその後継組織は、1960年代からFTAと信頼性ブロック図に関する文書を公開しています。 。[18] [19] [20]MIL-HDBK-338Bは、より最近のリファレンスを提供します。[21]

1970年に、米国連邦航空局(FAA)は、連邦官報の35 FR 5665(1970-04-08)で、輸送カテゴリの航空機に関する14CFR25.1309耐空規制への変更を公開しました。この変更により、航空機のシステムと機器の故障確率基準が採用され、民間航空でのFTAの普及につながりました。1998年、FAAはOrder 8040.4 [22]を発行し、航空交通管制や米国航空宇宙システムの近代化など、航空機の認証を超えた一連の重要な活動における危険分析を含むリスク管理ポリシーを確立しました。 これにより、さまざまなタイプの正式なハザード分析でのFTAの使用について説明したFAAシステム安全ハンドブックが発行されました。[23]

アポロ計画の早い段階で、宇宙飛行士を月にうまく送り、安全に地球に戻す可能性について質問がありました。ある種のリスクまたは信頼性の計算が実行され、その結果、ミッションの成功確率は許容できないほど低くなりました。この結果により、NASAは、1986年のチャレンジャー号事故後まで、さらなる定量的リスクまたは信頼性分析を思いとどまらせました。代わりに、NASAは、システムの安全性評価に故障モードおよび影響分析(FMEA)およびその他の定性的手法の使用に依存することを決定しました。チャレンジャー号事故後、確率論的リスク評価の重要性(PRA)およびシステムのリスクと信頼性の分析におけるFTAが実現され、NASAでの使用が拡大し始め、現在FTAは最も重要なシステムの信頼性と安全性の分析手法の1つと見なされています。[24]

原子力業界では、米国原子力規制委員会が1975年にFTAを含むPRA手法の使用を開始し、1979年のスリーマイル島事故後のPRA研究を大幅に拡大しました[25]これにより、1981年にNRCフォールトツリーハンドブックNUREG-0492 [26]が発行され、NRCの規制当局の下でPRAが強制的に使用されるようになりました。

1984年のボパール災害や1988年のパイパーアルファ爆発などのプロセス産業の災害に続いて、1992年に米国労働省 労働安全衛生局(OSHA)が連邦官報に57 FR 6356(1992-02-24)でそのプロセスを公開しました。 19 CFR 1910.119の安全管理(PSM)標準。[27] OSHA PSMは、FTAをプロセスハザード分析(PHA) の許容可能な方法として認識しています。

今日、FTAは、システムの安全性信頼性のエンジニアリング、およびエンジニアリングのすべての主要な分野で 広く使用されています。

方法論

FTAの方法論は、原子力産業向けのNRC NUREG- 0492、 NASAで使用するためのNUREG-0492の航空宇宙指向の改訂、[24] 民間航空宇宙向けのSAE ARP4761、MIL-HDBK-338など、いくつかの業界および政府の規格で説明されています。軍事システムの場合、IEC規格IEC 61025 [28]は業界を超えた使用を目的としており、European NormEN61025として採用されています。

十分に複雑なシステムは、1つ以上のサブシステムに障害が発生した結果として障害が発生する可能性があります。ただし、多くの場合、システム設計を改善することで障害の可能性を減らすことができます。フォールトツリー分析は、システム全体の論理図を作成することにより、フォールト、サブシステム、および冗長な安全設計要素間の関係をマッピングします。

望ましくない結果は、ロジックツリーのルート(「トップイベント」)と見なされます。たとえば、金属スタンピングプレス操作の望ましくない結果は、人間の付属肢がスタンピングされることです。この最上位のイベントから逆方向に作業すると、これが発生する可能性のある2つの方法があると判断する可能性があります。通常の操作中またはメンテナンス操作中です。この条件は論理ORです。通常の操作中に発生する分岐を考慮すると、おそらくこれが発生する可能性のある2つの方法があると判断します。プレスサイクルでオペレーターに害を及ぼすか、プレスサイクルで他の人に害を及ぼすかです。これは別の論理ORです。オペレーターが2つのボタンを押して機械を循環させることにより、設計を改善できます。これは、論理積の形式の安全機能です。ボタンには固有の故障率がある可能性があります。これは、分析可能な障害刺激になります。コンピュータプログラムは、フォールトツリーから故障確率を計算できます。特定のイベントに複数の効果イベントがあることがわかった場合、つまり複数のサブシステムに影響を与えた場合、それは共通原因または共通モードと呼ばれます。グラフィカルに言えば、このイベントがツリーのいくつかの場所に表示されることを意味します。一般的な原因は、イベント間の依存関係をもたらします。いくつかの一般的な原因を含むツリーの確率計算は、すべてのイベントが独立していると見なされる通常のツリーよりもはるかに複雑です。市場で入手可能なすべてのソフトウェアツールがそのような機能を提供するわけではありません。

ツリーは通常、従来の論理ゲートシンボルを使用して書き出されます。カットセットは、イベントの組み合わせであり、通常はコンポーネントの障害であり、最上位のイベントを引き起こします。トップイベントを発生させることなくカットセットからイベントを削除できない場合、それは最小カットセットと呼ばれます。

一部の業界では、フォールトツリーとイベントツリーの両方を使用しています(確率論的リスク評価を参照)。イベントツリーは、望ましくないイニシエーター(重要な供給の喪失、コンポーネントの障害など)から始まり、一連の最終的な結果に至るまで、起こりうるさらなるシステムイベントを追跡します。新しいイベントが発生するたびに、ツリー上の新しいノードが追加され、いずれかの分岐を取得する確率が分割されます。次に、最初のイベントから発生する一連の「トップイベント」の確率を確認できます。

古典的なプログラムには、米国の原子力発電所の多くと米国および国際的な航空宇宙メーカーの大多数によって使用されている電力研究所(EPRI)のCAFTAソフトウェア、およびアイダホ国立研究所SAPHIREが含まれています。原子炉宇宙シャトル、および国際宇宙ステーションの安全性と信頼性を評価するために米国政府によって米国以外では、ソフトウェアRiskSpectrumはフォールトツリーおよびイベントツリー分析用の人気のあるツールであり、確率論的安全性評価のために世界の原子力発電所のほぼ半分で使用するために認可されています。プロフェッショナルグレードの無料ソフトウェア広く利用可能です。SCRAM [29]は、確率論的安全性評価アプリケーション向け のOpen-PSA Model ExchangeFormat [30]オープンスタンダードを実装するオープンソースツールです。

グラフィックシンボル

FTAで使用される基本的なシンボルは、イベント、ゲート、および転送シンボルとしてグループ化されます。マイナーバリエーションはFTAソフトウェアで使用できます。

イベントシンボル

イベントシンボルは、プライマリイベント中間イベントに使用されます。一次イベントはフォールトツリーでさらに開発されません。中間イベントは、ゲートの出力で検出されます。イベントシンボルを以下に示します。

プライマリイベントシンボルは通常、次のように使用されます。

  • 基本的なイベント-システムコンポーネントまたは要素の障害またはエラー(例:スイッチが開いた位置で動かなくなった)
  • 外部イベント-通常は発生す​​ると予想されます(それ自体は障害ではありません)
  • 未開発のイベント-十分な情報が入手できない、または重要ではないイベント
  • コンディショニングイベント-論理ゲートを制限または影響する条件(例:有効な動作モード)

中間イベントゲートをプライマリイベントのすぐ上で使用して、イベントの説明を入力するためのスペースを増やすことができます。

FTAは上から下へのアプローチです。

ゲートシンボル

ゲートシンボルは、入力イベントと出力イベントの関係を示します。シンボルはブール論理シンボルから派生しています。

ゲートは次のように機能します。

  • ORゲート-入力が発生すると出力が発生します。
  • ANDゲート-すべての入力が発生した場合にのみ出力が発生します(入力はソースから独立しています)。
  • 排他的論理和ゲート-正確に1つの入力が発生した場合に出力が発生します。
  • 優先度ANDゲート-入力がコンディショニングイベントで指定された特定のシーケンスで発生した場合に出力が発生します。
  • ゲートの禁止-コンディショニングイベントで指定された有効化条件で入力が発生した場合に出力が発生します。

シンボルの転送

転送シンボルは、サブシステムのフォールトツリーなどの関連するフォールトツリーの入力と出力をシステムに接続するために使用されます。NASAは、実際の事件を通じてFTAに関する完全な文書を作成しました。[24]

基本的な数学的基礎

フォールトツリーのイベントは、統計的 確率またはポアソン指数分布の一定率に関連付けられています。たとえば、コンポーネントの故障は通常、一定の故障率λ(一定のハザード関数)で発生する可能性があります。この最も単純なケースでは、故障確率はレートλと露光時間tに依存します。

P = 1-exp(-λt)

どこ:

λt<0.001の場合、P≈λt

フォールトツリーは、飛行時間や平均ミッション時間など、特定の時間間隔に正規化されることがよくあります。イベント確率は、イベントハザード関数とこの間隔の関係によって異なります。

入力と出力がTRUE(1)またはFALSE(0)のバイナリ値を保持する従来の論理ゲート図とは異なり、フォールトツリーのゲートはブール論理の集合演算に関連する確率を出力します。ゲートの出力イベントの確率は、入力イベントの確率によって異なります。

ANDゲートは、独立したイベントの組み合わせを表します。つまり、ANDゲートへの入力イベントの確率は、同じゲートへの他の入力イベントの影響を受けません。集合論の用語では、これは入力イベントセットの共通部分に相当し、ANDゲート出力の確率は次の式で与えられます。

P(AおよびB)= P(A∩B)= P(A)P(B)

一方、ORゲートは、集合和に対応します。

P(AまたはB)= P(A∪B)= P(A)+ P(B)-P(A∩B)

フォールトツリーの故障確率は小さい(.01未満)傾向があるため、P(A∩B)は通常非常に小さい誤差項になり、ORゲートの出力は、入力が相互に排他的なイベント

P(AまたはB)≈P(A)+ P(B)、P(A∩B)≈0

2つの入力を持つ排他的論理和ゲートは、両方ではなく一方の入力が発生する確率を表します。

P(A xor B)= P(A)+ P(B)-2P(A∩B)

この場合も、P(A∩B)は通常非常に小さな誤差項になるため、フォールトツリーでは排他的論理和ゲートの値が制限されます。

多くの場合、ポアソン分布率[31]は、確率の代わりにフォールトツリーを定量化するために使用されます。確率は時間の関数であるのに対し、レートは時間的に一定としてモデル化されることがよくあります。ポアソン-指数イベントは無限に短いものとしてモデル化されているため、2つのイベントが重複することはありません。ORゲートは、ポアソン点過程としてモデル化された2つの入力故障頻度または故障率の重ね合わせ(率の加算)ですANDゲートの出力は、一方のイベントの使用不可(Q 1)を使用して計算され、もう一方のイベントのポアソン点過程(λ2)を間引きます次に、他のイベントが利用できない(Q 2)と、最初のイベントのポアソン点過程が薄くなります(λ1)。結果として得られる2つのポアソン点過程は、次の式に従って重ね合わされます。

ANDゲートの出力は、ANDゲートへの独立した入力イベント1と2の組み合わせです。

故障率=λ1Q2 + λ2Q1ここで、 Q = 1 - eλt≈λt ( λt <0.001の場合)
故障頻度≈λ1λ2t2 + λ2λ1t1 λ1t1 < 0.001およびλ2t2 < 0.001 場合_ _ _ _ _

フォールトツリーでは、可用性(Q)は安全な操作が利用できないこととして定義され、フォールトツリーがどのように構成されているかによってはシステム操作が利用できないことを意味しない場合があります。フォールトツリーへの入力項は注意深く定義する必要があります。

分析

FTAのモデル化にはさまざまなアプローチを使用できますが、最も一般的で一般的な方法をいくつかの手順で要約できます。単一のフォールトツリーを使用して、1つだけの不要なイベントを分析します。これらのイベントは、その後、基本的なイベントとして別のフォールトツリーに送られます。望ましくないイベントの性質は劇的に異なる可能性がありますが、FTAは望ましくないイベントに対して同じ手順に従います。電力の生成のための0.25ミリ秒の遅延、検出されない貨物室の火災、またはICBMのランダムな意図しない発射などです。

FTA分析には、次の5つのステップが含まれます。

  1. 調査する不要なイベントを定義します。
    • 望ましくないイベントの定義を明らかにするのは非常に難しい場合がありますが、一部のイベントは非常に簡単で観察しやすいものです。システムの設計に関する幅広い知識を持つエンジニアは、望ましくないイベントの定義と番号付けを支援するのに最適な人物です。不要なイベントは、FTAを作成するために使用されます。各FTAは、1つの望ましくないイベントに制限されています。
  2. システムの理解を得る。
    • 望ましくないイベントが選択されると、0以上の望ましくないイベントに影響を与える可能性のあるすべての原因が調査および分析されます。イベントにつながる確率の正確な数値を取得することは、非常にコストと時間がかかる可能性があるため、通常は不可能です。コンピュータソフトウェアは確率を研究するために使用されます。これにより、システム分析のコストが削減される可能性があります。
      システムアナリストは、システム全体を理解するのに役立ちます。システム設計者はシステムに関する完全な知識を持っており、この知識は、望ましくないイベントに影響を与える原因を見逃さないために非常に重要です。選択したイベントについて、すべての原因に番号が付けられ、発生順に順序付けられてから、フォールトツリーの描画または構築である次のステップに使用されます。
  3. フォールトツリーを構築します。
    • 不要なイベントを選択し、システムを分析して、すべての原因となる影響(および可能であればそれらの確率)を把握した後、フォールトツリーを構築できます。フォールトツリーは、フォールトツリーの主要な特性を定義するANDゲートとORゲートに基づいています。
  4. フォールトツリーを評価します。
    • 特定の望ましくないイベントに対してフォールトツリーが組み立てられた後、それは可能な改善について評価および分析されます。言い換えると、リスク管理を研究し、システム改善の方法を見つけます。幅広い定性および定量分析手法を適用できます。[32]このステップは、特定されたハザードを管理するための最終ステップの概要です。つまり、このステップでは、システムに直接または間接的に影響を与える可能性のあるすべての危険を特定します。
  5. 特定された危険を管理します。
    • このステップは非常に具体的であり、システムごとに大きく異なりますが、重要な点は、危険を特定した後、発生の可能性を減らすためにすべての可能な方法を追求することです。

他の分析メソッドとの比較

FTAは、複雑なシステムで発生する障害やイベントの影響を分析することを目的とした演繹的なトップダウン方式です。これは、機器またはサブシステムに対する単一のコンポーネントまたは機能の障害の影響を分析することを目的とした、誘導型のボトムアップ分析方法である障害モードおよび影響分析(FMEA)とは対照的です。FTAは、システムが単一または複数の開始障害に対してどれほど耐性があるかを示すのに非常に優れています。考えられるすべての開始障害を見つけるのは得意ではありません。FMEAは、開始する障害を徹底的にカタログ化し、それらの局所的な影響を特定するのに優れています。システムレベルで複数の障害やその影響を調べるのは得意ではありません。FTAは外部イベントを考慮しますが、FMEAは考慮しません。[33]民間航空宇宙では、通常、FTAとFMEAの両方を実行し、 FMEAとFTA間のインターフェースとして故障モード影響要約(FMES)を使用します。

FTAの代替には、信頼性ブロック図(RBD)およびマルコフ分析としても知られる依存性図(DD)が含まれます依存関係図は、FTAの論理的な逆である成功ツリー分析(STA)に相当し、ゲートの代わりにパスを使用してシステムを示します。DDとSTAは、トップイベントの確率ではなく、成功の確率(つまり、トップイベントの回避)を生成します。

も参照してください

参照

  1. ^ ゴールドバーグ、BE; Everhart、K .; スティーブンス、R .; バビット、N .; クレメンス、P .; スタウト、L。(1994)。「3」設計指向のエンジニアのためのシステムエンジニアリングツールボックスマーシャル宇宙飛行センター。pp。3–35から3–48。
  2. ^ 化学プロセス安全センター(2008年4月)。ハザード評価手順のガイドライン(第3版)。ワイリー。ISBN 978-0-471-97815-2
  3. ^ 化学プロセス安全センター(1999年10月)。化学プロセスの定量的リスク分析のガイドライン(第2版)。アメリカ化学工学研究所。ISBN 978-0-8169-0720-5
  4. ^ 米国労働省労働安全衛生局(1994)。コンプライアンスのためのプロセス安全管理ガイドライン(PDF)合衆国政府印刷局。OSHA3133。
  5. ^ ICH調和三者ガイドライン。品質ガイドライン(2006年1月)。Q9品質リスク管理
  6. ^ レイシー、ピーター(2011)。「政府資金によるヒューマンサービス提供におけるリスクの特定と管理へのフォールトツリー分析の適用」。公共政策と社会科学に関する第2回国際会議の議事録SSRN2171117_ 
  7. ^ エリクソン、クリフトン(1999)。「フォールトツリー分析-歴史」(PDF)第17回国際システム安全会議の議事録2011年7月23日にオリジナル(PDF)からアーカイブされました2010年1月17日取得
  8. ^ Rechard、Robert P.(1999)。「米国における放射性廃棄物処理の性能評価と他の種類のリスク評価との歴史的関係」(pdf)リスク分析19(5):763–807。土井10.1023 / A:1007058325258PMID10765434_ S2CID704496_ SAND99-1147J 2010年1月22日取得   
  9. ^ 冬、マティアス(1995)。「ADAで記述された自動制御システムデバイスのソフトウェアフォールトツリー分析」(pdf)修士論文ADA303377 2010年1月17日取得
  10. ^ ベナー、ルートヴィヒ(1975)。「事故理論と事故調査」航空安全研究者協会年次セミナーの議事録2010年1月17日取得
  11. ^ マルテンセン、アンナL .; バトラー、リッキーW.(1987年1月)。「フォールトツリーコンパイラ」ランゲリーリサーチセンターNTRS 2011年6月17日取得
  12. ^ DeLong、Thomas(1970)。「フォールトツリーマニュアル」(pdf)修士論文AD739001 2014年5月18日取得
  13. ^ Eckberg、CR(1964)。WS-133Bフォールトツリー解析プログラム計画ワシントン州シアトル:ボーイング社。D2-30207-1 2014年5月18日取得
  14. ^ Hixenbaugh、AF(1968)。安全のためのフォールトツリーワシントン州シアトル:ボーイング社。D6-53604 2014年5月18日取得
  15. ^ Larsen、Waldemar(1974年1月)。フォールトツリー分析ピカティニーアーセナル。テクニカルレポート4556 2014年5月17日取得
  16. ^ Evans、Ralph A.(1976年1月5日)。信頼性のためのエンジニアリング設計ハンドブック設計(PDF)兵器・物資司令部。AMCP-706-196 2014年5月17日取得
  17. ^ https://www.dsiac.org/
  18. ^ Begley、TF; カミングス(1968)。安全のためのフォールトツリーRAC。ADD874448。
  19. ^ アンダーソン、RT(1976年3月)。信頼性設計ハンドブック信頼性分析センター。RDH376 2014年5月17日取得
  20. ^ Mahar、David J .; ジェームズW.ウィルバー(1990)。フォールトツリー解析アプリケーションガイド信頼性分析センター。
  21. ^ 「7.9フォールトツリー分析」。電子信頼性設計ハンドブック(pdf)B.米国国防総省1998年。MIL–HDBK–338B 2010年1月17日取得
  22. ^ ASY-300(1998年6月26日)。安全リスク管理(PDF)連邦航空局。8040.4。
  23. ^ FAA(2000年12月30日)。システム安全ハンドブック連邦航空局。
  24. ^ a b c ベセリー、ウィリアム; etal。(2002)。航空宇宙アプリケーションを使用したフォールトツリーハンドブック(PDF)米国航空宇宙局2016年12月28日にオリジナル(PDF)からアーカイブされました2018年7月16日取得 パブリックドメイン この記事には、パブリックドメインにあるこのソースからのテキストが組み込まれています
  25. ^ Acharya、Sarbes; etal。(1990)。重大な事故のリスク:5つの米国の原子力発電所の評価(PDF)ワシントンDC:米国原子力規制委員会NUREG–1150 2010年1月17日取得
  26. ^ Vesely、WE; etal。(1981)。フォールトツリーハンドブック(PDF)原子力規制委員会NUREG-0492 2010年1月17日取得
  27. ^ Elke、Holly C.、プロセス安全管理基準のグローバルアプリケーション(PDF)
  28. ^ フォールトツリー解析エディション2.0。国際電気標準会議2006年。ISBN 978-2-8318-8918-4IEC61025。
  29. ^ 「アーカイブされたコピー」scram-pra.org2016年11月23日にオリジナルからアーカイブされました2022年1月13日取得{{cite web}}:CS1 maint:タイトルとしてアーカイブされたコピー(リンク
  30. ^ Open-PSAモデル交換フォーマット
  31. ^ Olofsson and Andersson、確率、統計および確率過程、John Wiley and Sons、2011年。
  32. ^ Ruijters、Enno; Stoelinga、MariëlleIA(2015年2月〜5月)。「フォールトツリー分析:モデリング、分析、ツールの最先端の調査」コンピュータサイエンスレビュー15–16:29–62。土井10.1016/j.cosrev.2015.03.001
  33. ^ Long、Allen、Beauty&Beast –ツールとしてのフォールトツリーの使用と乱用(PDF)、fault-tree.net、2009年4月19日にオリジナル(PDF)からアーカイブ、 2010年1月16日取得