2013年5月26日日曜日

FMEA・FTA実施法



FMEA,FTAどちらもシステムの安全性を分析するときに使われる手法。(だけじゃないけど)

簡単に説明すると、FMEA(Fault Mode and Effect Analysis)は、まずシステムをコンポーネントに分けて、それぞれがどのような故障モードを持つか書きだす。そしてそれぞれについてシステム全体への影響と対策を書いていく、というもの。実システムについてやってみると結構難しく、経験ある人から、故障モードと故障を混同しているとダメ出しされた。実は違いがわかっていない。

FTA(Fault Tree Analysis)は、問題にしたいフォルト(飛行機が落ちるとか、エアバックが衝突時以外に起動してしまうとか)から出発し、それがどのような事象を原因にして起こるか書きだす。そして、その事象がすべてそろったときフォルトが起きるなら、事象をANDゲートで結び、どれかひとつの事象で起きるときにはORゲートで結ぶ。これを繰り返して、これ以上分解できない基本事象に至れば終わり。こうやって出来たブール木を解析して、フォルトの必要十分条件を求めたりする。

で、FMEAとFTAとどう使い分けるかというと、これはあまりはっきりした基準はないそうだ。ただ、自分の印象論で言うと、どういう問題が起こりえるか網羅的に知りたいときにはFMEAを、問題にしたいフォルトがあってその原因を探りたいときはFTAをするのかなあと思っている。

私はちょっと勉強しただけなのだけで実務経験もないのだけど、ちょっと感想を。もちろんどちらの手法もやらないよりやった方がいいのだけど、ちょっとなあと思うところもある。まずFMEAについて言うと、FMEAって基本的に1つの故障の影響しか考えなくて、複数の故障は考えない。でも実際事故が起きているのを見ると、複数の故障が絡んでいることが多いわけで、FMEAだと不十分かなあと思う。

それからFTA。ツリーを書いて、ある程度フォルトの原因が列挙できるわけだけど、どの原因で起きやすいか、とか知りたいし、そうすると確率を計算したくなる。実際、FTAから故障率を求めたりする方法もあるのだけど、この方法は基本事象が独立に起きると仮定している。だから、冗長系を入れたりするとすごく確率が小さくなる。でも本当に独立と仮定していいのだろうか。実際にはフォルトがカスケード的に起きることのほうが多いんじゃないか。まあ例えば地震→津波→停電みたいな。

この本では、FTAの活用例として原子力の安全性に関するラスムッセン報告書を挙げているのだが、Wikipediaによると、この報告書は原子炉のメルトダウンは2万年に1回しか起きないと評価しているそうだ。他にも…万年に1回とかいう評価は以前はよく聞いたけど、結局この数十年のうちに3回起きているわけで、これはFTA手法の失敗例ではないだろうか。

リスク評価で、PRA(確率論的リスクアセスメント)が流行っているけど、元の確率がゴミなら意味ないよね、という話だと思う。