types priority and their outpu analyses based the accident
TRANSCRIPT
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
亶
事故 シ ナ リオ の 違 い に基 づ く優先 AND ゲ ー トの タイ プ と
出力特性解析
田 辺 安雄*
下 平庸晴* *
陶 山 貢 市*
佐藤 青信*
Types of Priority AND −ga七es and their Outpu七Analyses
based on the Variety of Accident Scenarios
Yasuo TANABE Tsuneharu SHIMoDAIRA Koichi SUYAMA YoshiIlobu SATO
要 旨 : シ ス テ ム の 安全性解析 を行 う際 に フ ォー
ル トツ リーが 従来広 く用 い られ て きた .そ の 中で 優
先 AND ゲートは,事象発 生 や 状態 生 起 の 時間的 な 射後関係 を記述 す る ヒで 重 要 な役割を果 た して い る.
本論文 で は,優先 AND ゲートに 少 な くと も 2 つ の タ イ プ が あ る こ と を明 ら か に し,そ れ ぞ れ の 特 徴 に
応 じた マ ル コ フ 解析 の 具体的手法 を提示す る.安 全 性評価 に 関係す る 国際規格 の 実用性 を高め る と い う
意味 で もそ の 意義は きわ め て 大 きい .
キ ーワード: フ ォ
ール トツ リー,優先 AND ゲート,マ ル コ フ 解 析
Abstract ; Apriority AND gate plays all iIIlpol・taIlt role in describing order relation amollg evellt
occurrellces in a fauit tree which has been widely used for safety assessment . This paper clari丘es
that there are at least two types of priority AND gates in deed, and presents quantitative analysis
method for each typc. These I・esults are indispensable for ilnproving the llsefulness of the relatcd
iILternational standards .
Keywords : Fault tree analysis, priority AND gate, Markov analysis
1 は じめ に
電気 ・電子 ・プ ロ グ ラ マ ブ ル 電子技術 を安全 確
保に使用す る産業 に対 して ,安全 の 枠組み を与え
る 国際規格 IEC 61508[1]で は,産業シ ス テ ム の リ
ス ク を分析 し, こ れ に 基 づ い て 所 与 の 許容 リ ス ク
ま で に軽減する安全 関連 系 の 設計 と管理 の 要求事
項 を規 定 して い る,また,安全 関連系 の 故障 を決
定論 的原 因故障 とラ ン ダ ム ハ ードウ ェ ア 故障 (定
量化可能な ヒ ューマ ン エ ラ
ー等を含 む)とに分 け ,
前者 につ い て は全安全 ライ フ サ イク ル を通 じて管
理 を行 い ,後者に つ い て は安全度水準 とい う 4 段
階の 離散的な確率論的尺 度に基づ い て 評価する こ
とが要求 され て い る .
一
方,安全度水準 を合理 的に決定す るため に は,
リス ク をよ り合理 的 に評価 す る必 要 があ る.安全
を確保 す るため には,多 くの 対 策をと る 必要 があ
るが,本論文 で は,定量化可能 な ヒ ュー
マ ン エ ラー
等を含 む ラ ン ダ ム ハ ードウ ェ ア故障 に よる リス ク
の 合 理 的な決定 方法 に着 囗 した .
こ れ まで,
シ ス テ ム の 安全性解析 を行 う際に フ
オール トツ リ
ー(以下 ,
FT )が 従来広 く用 い られ
て きた.そ の 中で 優先 AND ゲ ー トは, 事象発生
や 状 態生 起 の 時間 的な 前後関係 を記述 する 上 で
重要な役割 を果 た して お り [2,3], 国際規格 IEC
61025[4],IEC 61165[5]に お い て も言及 され て い
る.
また,Dynamic FTA を は じめ と して ,時間的
な挙動 を考慮する ため に 優先 AND ゲー
トを利用
し,FTA の 新たな表現能力 を改 善す る こ とを目的
*東 京 海 洋 大 学 大 学 院 海 洋 科学 技 術 研 究 科 応 用 環 境 シ ス テ ム 学 専 攻 〒 135−8533 東 京 都 江 東 区越 中 島 2−1−6
{ytanabe , suyama , yoshi }@kaiyodai .ac .jp*’
(株)イン ター
リス ク 総研 〒 1 1−8011 東京都千代 出 区神田 駿 河 台 3−9tsuneharu .shimodaira @ms−ins .c 。m
一181 REAJ 誌 2008 VQI、30、 No.2(通巻 166号)
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
と して検討が実施 され て い る [6,7,8亅.
一
方,プ ロ グ ラマ ブ ル 電子.安全関連系の 安全度
水準モ デ ル の 定式化 [9,10]や,産業 シス テ ム の リ
ス ク解析などで は,優先 AND ゲー
トの 定量 的な適
用につ い て研究成 果が報告され て い る [11,12
,13].
こ の よ うに実用上極め て重要 な優先 AND ゲー
トで はある が,た とえば,IEG 61025, IEC 61165
で は ,マ ル コ フ 解析 が可能で ある とされ て い る だ
けで ,そ の 具体的解析手法が 示 され て い ない .こ
の た め, 定量的な解析 に 関する 問題 点な ど が , そ
れ らの 策定/改定 な ど を機 に , 最近 ク ロ ーズ ア ッ
プされ て い る.
シ ス テ ム の 信頼性 の評価尺度 と して は Unavail−
ability 又は Availabilityな どが取 り上 げられる が ,
シ ス テ ム の安全性で は危険事象率 (事故の 発生率)
が評価尺 度 となる [1].
本論文で は,優先 AND ゲー
トに よる出力す な
わ ち危険事象の 後 に, 少 な くとも 2 つ の タ イ プ の
状況が ある こ とを明 らか にする.そ して,そ れぞ
れ の 状況 の 特徴 に応 じた順序依存 を考慮 して ,出
力の 発 生率 (危険事象率)を定量 的に計算す る マ
ル コ フ解析の具体的手法に つ い て ,数値計算上 の
限界 も含め て 提 示す る .こ れ に よ っ て,
こ の 「タ
イプ分け1 は従来明確 に意識 され て は い なか っ た
が,FT を用 い た実シ ス テ ム の安全性解析に お い
て, 極め て 重要 な意味 を持 つ こ とを明 らか にする.
2 優先 AND ゲ ートの 2 つ の タ イ プ
力 の 発生 (事象)は非生起 (状態)か ら生起 (状
態)へ の 状態の 遷移, 同様 に
, 回復 (事象)は 生
起か ら非生 起へ の 状態の遷移で ある.
本論文で は, 発生 と回復 を事象 (イベ ン ト)と
い い, 状態と 区別 す る [14].すなわち,状態 は時間
幅をもつ ア イテ ム の特性で あ り,事象は時間幅を
もたな い .
優先 AND ゲー
トの 出力は以 ドの 条件が 同時に
満足 され て い る と き発生す る.
● A1,A2
)...
,An −1 の 入力が生起 し, An が発
生 する.
・ 入 力 は 左 か ら 右 へ の 順 序 ,す な わ ち
A1,A2
,_ iAn の順で 発生する .
以上 の ような故障論理 を入力事象生起の順列 (以
下 , 順列)(Al ,A2
,...
,An)と い うこ と に する.
入力の 発 生 が指数分布 に従 う非修理系の 場合 ,
Fussel ら [2]に よ り出力事象の 発生 率が定量化 さ
れ て い る.さ ら に, 入 力 の 発生 と修復が指数分 布
に従 う修理系の 場合,Sat・ ら [3]に よ り出力事象
の 発生率推定式が導出 され て い る .
しか し,こ の よ うに定義 される出力に も実用上
は,以 下に示す ように ,少な くと も 2 つ の タ イプ
が存在す る .
なお,IEC 615〔〕8 等に従 い, 本論文で は 以下 の
仮定を設ける .
[仮定]入力 Ai (i =1,2
,...
,切 は発生率 濁 の 指
数分布 に従 っ て発 生 し,回復率 tLiの 指数分布に
従 っ て回復す る.
B
2.1 タ イ プ 1優先 AND ゲー
ト
AI A2 ● ● ● An
図 1: 優i先 AND ゲー
ト
一
般 に,FT で n 個 の 入力 を有す る優i先 AND
ゲー
トは図 1 の よ うに表 され る .こ こ で ,入力
Al,A2
,...
,An お よ び優先 AND ゲ ートの 出力 B
は 生起 (1)と非生起 (0)の 2状態を持 つ .入力/出
Start Start
A ,8L_ fiu−
・ ・IL− 」1L− _
・ IL一 困L _ I I I り
Renewal
図 2: タイプ 1優先 AND ゲー
トの 動作 (2 入力の
シ ス テ ム )
REAJ 誌 2008 VQI.30, No.2(通巻 166号) 一 182一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
あ る シ ス テ ム に お い て, 図 2 の よ うに,出力 (危
険事象)が発生す る と,当該シ ス テ ム は 回復不能
(例 えば,死 亡者の発生 な ど)に な る .する と,
シ
ス テ ム は リセ ッ トされ て, 新た なシ ス テ ム の 初期
状態か ら再ス ター トしなければ な らな い .す な わ
ち , 解析対象の シ ス テ ム に出力が発生する と,解
析対象は 母 集団の 残余の シ ス テ ム に移る.本論文
で は こ れ を タイプ 1 と呼ぶ こ と に する.こ の タ イ
プ 1優先 AND ゲー トは, 主に重大事故の リス ク解
析 に お ける FT の 頂上事象の 表現 な どに用 い る.
2 .1.1 タイプ 1(M /M )優先 AND ゲー
ト
」。
…〆 拶
一一一一一一一『
− i「図 3: 交差点 における 右折衝突事故
B 初め に 図 3 で 示 さ れ る交差点における右折時 の
衝突事故 を考察す る.衝 突事故の シ ナ リオ の一
つ
を,図 4 で 示 され るタイ プ 1優先 AND ゲー トを
使用 した FT で表す.図 3 で は, まず , 最初に , 入
力 A1 「右折支援シ ス テ ム の 故障」が発生する.も
し も入 力 A2 「(故障 して い る 右折支援 シ ス テ ム
を信用 して)右折 車が進入」が発生 し,次に, 入
力 A3 「直進車が進入」が発生する と,優先 AND
ゲ ー トを通 して, 出力 B が発生 する.こ こ で,交
差点の 状態 は,事故が発生 した通常 の 状 態へ 回復
される .
しか し,こ の 例で は 3 つ の 人力 Al,A2,A3 の発
生順 序の組み合わせ に よ っ て 6 通 りの 順列が考 え
られ る .従 っ て ,後述 する 図 13 の 3 入力 の タ イ
プ 1優先 AND ゲー トの 状態遷移に は ,吸 収状 態
が 6 個存在す る.
こ の よ うな優先 AND ゲー
トを タイプ 1(M /M )
優先 AND ゲー
トと呼ぶ こ と に する.こ こ で ,分
母 の M は順 列の最大数を示 し, 分子の M は重大
事故 に 至 る順列数 を表す.
交差点 の 例 で は,順列数が 6 で 重大事故 に至
る順列数が 6 で あ る こ と か ら タ イ プ 1(6/6)優先
AND ゲー
トと示 され る.図 4 に示す ように,タイ
プ 1(6/6)優先 AND ゲー
トが全部で 6 つ 存在する.
こ の よ うな優先 AND ゲ ートの 定量化の 試み と
して は,2 入力の場合に つ い て は川原 ら [9],吉村
ら [10]の 研究が あ り,3 入力 の 場合 に つ い て は叶
[11]らの 研究が ある .
の 槭
を 示
大事
を 示
図 4: 交差点に お け る右折衝突事故 の FT
2.12 タイ プ 1(1/M )優先 AND ゲー
ト
次 に ,図 5 で 示 さ れ る ロ ボ ッ トシ ス テ ム にお け
る人体 へ の 危害 〔以 ド, 危害)を考察す る.こ の
シ ス テ ム で は ,人 が近 づ く と セ ン サー
で検知 しイ
ン ターロ ッ ク機構が 自動的に ロ ボ ッ トの ア
ーム を
ロ ッ クする.ロ ボ ッ トが作動 して い る場合には,人
は警報や 目視 に よ っ て ロ ボ ッ トが作動 して い る こ
と に 気づ くの で, 停止 して い る場合に比 して接近
す る可能性 を無視で きる.イ ン ターロ ッ ク機構は,
一旦 ロ ッ クする と,当該機構が 故障 して もロ ッ ク
状態が継続する.
こ の ような シ ス テ ム で, 人に 危害 を与え る 順 列
を検討す る.
こ こ で ,入力事象 Al 「イ ン ター
ロ ッ ク機構の
故障」, 入力事象 A2 「人 の 侵入 」,入力事象 A3
「作動命令」 とする と,以 下 の 順 列が存在する.
順列 1 (Al ,A2
,A3): イ ン タ
ーロ ッ ク機構が 故
一183一 REAJ 誌 2008 Vol.30、 NO.2(通巻 166号)
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
障 し フ ォー
ル トにあ り,か つ ,ロ ボ ッ トは停止状
態に ある.そ こ へ ,人が侵入 して ロ ボ ッ トに近 づ
い た とき作動命令が 出て ロ ボ ッ トが作動す る .こ
れ に よ り危害が発生する .
順列 2 (A1,A3,A2 ): イ ン タ ーロ ッ ク機構が故
障 して お り,作動命令が 出 る と ロ ボ ッ トは作動す
る.次 に人が侵人 して も警報や 目視 によっ て ロ ボ ッ
トが作動 して い る こ とが わか る の で 危害に は な ら
な い .
順列 3 (A2 ,AhA3 ): 人 が侵入 する と, ロ ボ ッ
トは イ ン タ ーロ ッ ク機構 に よ っ て 停止状 態に な る.
次 に,イ ン ターロ ッ ク機構が故障 して もロ ボ ッ ト
は ロ ッ ク され た ままで ある の で, 作動命令が 出て
も,危害 に は 至 らない .
順列 4 (A2 ,A3
,Al): 人 が侵入 す る と, ロ ボ ッ
トは イ ン タ ーロ ッ ク機構 に よ っ て 停 止状態に な る.
次に,作動命令が 出て もロ ボ ッ トは ロ ッ ク され た
ま まで ある の で,危害に は至 らな い .イ ン ター
ロ ッ
ク機構が故障 して も,ロ ボ ッ トは ロ ッ ク され た ま
まで ある .
順列 5 (A3 ,A /,
A2 ): 作動命令が で て ロ ボ ッ ト
が作動する.次 に,イ ン ターロ ッ ク機構が故障す
る と人が侵 入 して もロ ボ ッ トを ロ ッ ク で きな い が,
人 は 日視や 警報に よ っ て ロ ボ ッ トが作動 して い る
こ とを知 る の で, 危害に は至 らな い .
順列 6 (A3 ,A2
,A1): 作動命令が で て ロ ボ ッ ト
が作動す る .人 が 侵 入 し,
イ ン ターロ ッ ク機構 に
よ っ て ロ ボ ッ トが ロ ッ クされ る.次 にイ ン ター
ロ ッ
ク機構が故障 して もロ ボ ッ トは ロ ッ ク され た まま
で あ り,危害に は至 らな い .
以上 よ り, 順列は 6 通 りあるが ,順列 1 に お い
て の み ,危害が発生す る .
こ こ で ,順列 1 は図 6 で示 され る タ イプ 1優先
AND ゲー
トを使用 した FT で 表わす こ とが で き
る .図 6 で は, 入力が Al
,A2
,A3 の 順で 生起 する
と,優先 AND ゲー トを通 して 出力 B 「危害」が
発生 す る,また ,こ こ で ,事故が発生 し た後,事故
処理 を行 っ て ,ロ ボ ッ トシ ス テ ム の状態は , 通常
の状態へ 回復 され る.即 ち,ロ ボ ッ トシ ス テ ム 全
体 は, 新 たな シ ス テ ム として ,リ セ ッ トされ,初
期状態か ら再ス タ ー トする .
こ の 例は ,順列数が 6 で 重大事故に 至 る順列数が
1 で ある こ と か ら タ イ プ 1(1/6)優先 AND ゲー ト
と示 され,後述する図 13 の 3人 力の タ イプ 1(1/6)
丶
〜/冠
か
図 5: ロ ボ ッ トシ ス テ ム
B
人
台
帰
に
イ
AI A2 An
図 6: ロ ボ ッ トシ ス テ ム に お ける 危害 の FT
優先 AND ゲー トの 状態遷移に対応す る .
こ の 優先 AND ゲー トに つ い て は,従来,定式
化が 行わ れ て い な い .
そ こ で ,3.33 入力以 上 の シ ス テ ム にお い て,マ
ル コ フ モ デ ル に よ っ て定式化 を行 う.
22 タイプ II優先 AND ゲー
ト
ある シ ス テ ム で は,図 7 の よ うに,出力 (危険
事象)の 後 ,どの 入力 も同復不 能に な る こ とな く
,
従 っ て,出力が何度で も発生/同復 を繰 り返す こ
とが 可能で ある.本論文 で は 当該 シ ス テ ム をタ イ
プ IIの シ ス テ ム と呼ぶ こ と に す る . FT の (出力
が頂上事象で な い )途 中段階の 表現 に用 い られ て
い る 優先 AND ゲー
トは,そ の 出力は危険事象で
は ない こ とが 多 く,こ の タ イ プが主 で ある.
図 8で示 され る凍結 した道路上 の 歩行者の 事故
を例示す る.シ ナ リオ は ,図 9 で 示 さ れ る タ イ プ
II優先 AND ゲー
トを使用 した FT で表わ される.
最初 に,入力 Al 「路面が 凍結する」が生起す
REAJ 誌 2008>oL30 , No.2(通 巻166号 ) 184 一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
宙t
101010
S
馬
現
B
図 7: タイプ II優先 AND ゲー
トの 動作 (2 入力の
シ ス テ ム)
AL A ユ AI
図 8: 凍結路 面にお け る転倒事故
る.そ の 後,入力 A2 「歩行者が来 る」 が発生 す
る と,出力 B 「転倒」が発生する .しか し,転倒
した歩行者は立 ち上 が っ て 再び歩 き出すが ,路面
は まだ凍結 して い る の で ,入力 Al は依然 と して
生起 にある .こ れ は出力の発生 に よ っ て シ ス テ ム
が初期状態 に戻 らない こ とを示 して い る.すな わ
ち,出力後,シ ス テ ム は残存 し,出力の発生 が繰
り返 され る シ ス テ ム に対 して用 い る ゲー トが タ イ
プ II優先 AND ゲ ー トの 特徴で ある.
タ イプ II優i先 AND ゲ ー トの 定式化は多重積分
法 を用 い て Satoら [3]に よ っ て行 われ て い るが ,
本論文で は 4 章にお い て マ ル コ フ モ デ ル に よ っ て
定式化を試み る.
B
3 タイ プ 1(1/M )優先 AND ゲ ー ト
の 出力特性解析
3.1 マ ル コ フ モ デル とその解 析
3.1.1 状態遷移図
優 先 AND ゲ ー トの 論 理 を状態 遷 移図 で 表
現 す る にあ た っ て は ,入 力 の 発 生順 序 を考慮
し て 状 態遷 移図 上 の 状態 を記 述す る必 要が あ
る .状 態 箇,毎 _, 砺 _ 4 ,、) で n 個 の 入力
A1,A2
,...
,A
ゴ,_
,An の 生 起 /非生 起 を ト
ータ
ル に扱 うこ と にす る.こ こ で ,ら = k (k =
0,1
,2
,...
,n )は k − 1 個 の 他の 入力が 生 起 にあ
る 状況か ら Aj が k 番 目に発生 して生 起に な っ て
い る こ とを表す.k = 0 は Aゴが 非生 起に ある こ
と を表す.た とえば,3 入力 の シ ス テ ム, (O,
2,1)
は 1 番目に A3 が発生 し, その 生起の もとで 2番
目に A2 が発生 して , トー
タル として A2 とA3 が
生起 して い る状態 を表す.
以 ヒの ように 入力の発生順序 を考慮 して状態遷
移図 上 の 状態 を記述する と ,π 人 力 の 場合
人 力力 (≧ 1)個生起 して い る状態数 =nPi (1)
で あるか ら,総状 態数 N は次の よ うにな る.
N = 1 十 nPl 十 ’rbP2 十 … 十 nPn (2)
一般性を失わず,状 態#1: (0,
0,...
,0)を初期
状態,状態#N : (1,2
,...
,n )をそ こ へ の遷移が優
先 AND ゲ ー トの 出力が 発生 する状態 とす る .
図 10 に n 人力の タ イプ 1優先 AND ゲー
トの
動作 を記述 した状態遷移図 を示す.状態#N か ら
出 る よ うな状 態遷 移 は存在 しな い .従 っ て ,状態
#1V が 唯一
の 吸収状態 とな っ て い る点が タ イ プ
1(1/M )優先 AND ゲ ー トの 特徴で ある.
以下 , 出力の 発生率を状態#N に初め て 落ちる
まで の 平均時 間 Mean Time To First Occurrence
(MTTFO )か ら求め る.
Al A2
図 9: 凍結路面 に おけ る転倒事故の FT
.185一 REAJ 誌 2008 >oL30 , NO.2(通巻166号 )
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
生 起状 態に ある
人力 の 数
o
1
2
3
η一1
●
●
●
● o ●
2
試1)● ● ●
図 10: タイ プ 1(1/M )優先 AND ゲー
トの 状態遷
移図
3.1.2 マ ル コ フ 微分方程式
Pi(t)(i = 1,_
,N )を時刻 t で状態#i に あ る
確率 と し,こ れ らをまとめ て
P (t)=
Pl(の
P2(オ)
PN (t)
(3)
とする と, 図 10 の 状態遷移 図か ら次の マ ル コ フ
微分方程式が 得 られ る .
d
語P (t)=Ap (t) (4)
こ こ で, 初期時刻 t =0 に お い て状態#1 に あ る
,
す なわ ち初期条件は次 の とお り.
3 .1 .3 定常確率
P (〔〕)=
10
:・
0
(5)
微分方程式 (4),初期条件 (5)に従 うp (t)の 定
常値 p (DO )は
{艢脈鴛 3、..、. 1…
を解 くこ とに よ り,
P (。。)一
0
:・
Ol(7)
となる .こ れ は,1V × N 行列 A = [α 剔が
(i) αちN =0, i= 1,2,… ,N
とい う構造 を持 つ こ と に よ る .こ れ は, 図 10 の
状態遷移図 で 状態#1Vか ら出る 遷移が な い, すな
わ ち状態#N が唯一の 吸収状態で ある の で ,当然
で ある .
3.1.4 出力の 発生率
マ ル コ フ微分方程式 (4)を積分 した
ズDC
箭醐 一f、° °
A ・(・)dt
か ら
P (oo )−P (0)=Aq
が 得 られ る .ただ し
q =
91
聖
…
僻
一 f。e°
・(t)dt − f。°°
P1(t)
P2(t)
PN (t)
(8)
(9)
dt
(10)
REAJ 誌 2008>ol.30, NO.2(通 巻 166号)一 186一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
今,マ ル コ フ微分 方程式 (4)にお ける行列 A の
上 記の特殊な構造 (i)に基 づ い て ,A の 第 1列か
ら第 (N − 1)列 まで を抜 き出 して N × (N − 1)行
列 A ’
を定義する.すなわ ち,
A − [A’
…o ]で ある .さ らに,A =[α司 は
(ii)Σ差、α
,,」 − 0, ゴー 1
,2
,...
,N
とい う構造 も持つ .ま た, 式 (5),(7)よ り
P (oc )− P (0)=
1一
〇
∩∪
−
〔11)
(12)
で ある が ,こ れ も屠 己(ii)と同様の 構造で ある.
以上 よ り, 式 (9)か ら抜 き出 した
A ’
129q
qN − 1
1一
〇
01
(13)
生起 状 態 に あ る
入力の 数
0
1
2
μ 1
に よ り, q],q2 ,。,.
,qN − 1 が求 まる.すなわ ち, 式
(13)は N − 1個の 変tw ql ,q2 ,...
, qN _1 に 対す る
条件 N 本 の 連立方程式だが,上記 (ii)に よ り,任
意 の N − 1本の 条件 を抜 き出 して 考え る こ とに よ
り,一意解が求 ま る .
求め られ た ql ,q2 ,.,.
,qN − 1 を用 い て
MTT ・・ − !l° ’
IP・(t)… (t)・+ ・”+ ・・ 一・(t)]dt
=91十 92 十 … 十 qN − 1 (14)
さ らに ,
が得 られ る .
1出力 の 発生率 = MTTFO
3.2 2 入 力の シス テ ム
(15)
3.1 の一
般的な n 入力の 議論 を 2 入力 の シ ス テ
ム に適用 して み よ う.
図 ll: 2 入力 タイ プ 1(1/2)優i先 AND ゲー 1・の状
態遷 移 図
まず,状態遷 移 図を図 11 に示す.
マ ル コ フ微分方程式 (4)に お け る行列 A は以 下
の 12個 だけの 非零成分 を持つ 5x5 行列で ある.
α・,・ =一(λ・ + λ2),
α ・,2 =μ・
α1,3 = μ2 , a2 ,1 = λ1
α 2,2 = 一(μ・ + λ2),α2,4 =
μ2 (16) a・3,・ 一 λ2 , α3β
一一(λ・+ μ2)
a3 ,4 =μ1 , α4,3 =λl
a4 ,4 − 一(μ1 + μ2), α5,2 一λ2
連立 方程式 (13)を解 くこ と に よ り
「11一
(μ1 + λ2)(λ/ + μ1 + μ2)λ、λ2(λ、 + μ、 + λ2 + μ2) 1 λ2
(μ1 + λ2)(μ1 + μ2)λ、μ2(λ、 + μ、 + λ2 + μ2)一 + /
μ2 (λ、 + μ、 + λ2 + μ2)
(17)
が得 られ る.こ れ を用 い て ,式 〔14),(15)に よ り,
出力 の発生率の 一般式が 求 まる .
吉村 ら [10]は, 特定の 2 つ の 入 力の全て の順序
で 危険事象が発生 する とい う前提条件で,
タ イプ
1(2/2)優先 AND ゲー
トを使用 し, 多重積分 で定
式化 して い る.
一
方 , 本セ ク シ ョ ン §3.2 で は ,2 つ の 入力が特
定 の 順序で 生起す るタイ プ 1(1/2)優先 AND ゲー
トを使用 した場合 をマ ル コ フ 解析に よ っ て定式化
して い る .こ の た め ,両者の 定式結果 は 異な る.
図 12 に吉村 ら との 解析結果 を比較 した.
こ こ で ,λ1 ,λ2 , U.1 ,μ2 は ,吉村 ら の 論文で は,
λs (故障率),λd(作動要求率),μ5(修復率),pad(完
了率)に相 当す る.
一 187一 REAJ誌 2008>oL30 , Ne.2(通巻166号)
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
比較結果 よ り,作動要 求 の 完了率が小 さ い 場合
に は,吉村 らに よる多重積分の 定式化 を用 い る と
過大評価 に なる の で 問題で ある .
次 セ ク シ ョ ン §3.3 で は, さら に
,
一般化 され
た 3 つ 以 上 の 人力が特定 の 順序 で 生 起 した 場合 に
つ い て ,定式化 を検討す る.
1E +00
竃 1E −01
癌1E −・・
S lE−D3
冊凵E−04
鼻
’E−05
1E −06
1E −Q7
1E −08 1E −07 1 E−Oδ 1 E−05
八 「 1E−4 [1/hr]
入 2=2E−2
μ =2E −41
/hr
匚1〆 hr]
プルー
フ テ
T=1000Dト間 隔 ;
hr]
村ら匚1明
本 論 文
1E −04 1 E−03 1 E−02 1E −Ol 完 了率 碗 [1/hr]
図 12: 2 入力の タ イプ 1(1/2)と タ イ プ 1(2/2)優i
先 AND ゲー トの 危険事象発 生率 の 比 .較
3.3 3 入力以上 の シ ス テ ム
入力数が 3以上 に な る と, 福 ,ILi (i= 1
,2
,...)に
よ る 出力の 発生率の一
般式 を得る こ とは実用 lt困
難で ある.したが っ て,以下 に まとめ た 鳧 ,tLi(乞=
1,2
,...)の 具体的な数値 を代入 し て の 数値計算 に
よ り出力の発生率を求め る.
[ア ル ゴ リズ ム 1 (3 入力以上の タイプ 1(1/M )優
先 AND ゲー
ト)]
L 状 態遷 移図を作成 す る.
2.行列 A,A ’
を記述す る .
3,行列 A ’
に含 まれ る 福 絢 (i = 1,2
,_ )に具
体的 な数値 を入れ ,連立 方程式 (13)を数値
的に解 い て q1 ,q2 ,...
, 9N 司 を求め る .
4.式 (14),(15)に よ り出力の 発生率を求め る.
以 下,3 入力の シ ス テ ム に つ い て ,状 態遷 移 図
(図 13)と行列 A だ けを示す.
”1起状 態にあ る
八力の 数
1
2
玉
倫
図 13: 3入力 タ イ プ 1(1/6)優先 AND ゲー トの 状
態遷移図
α 、,1 =一(λ、 + λ2 + λ3 ),
α 1,3 =μ2,
α 2,・ =λ・.α 2,5 =
μ2 ,
a2 ,7 =μ2,
α 3ユ =λ2 ,
a3 ,5 =μ1 ,
a・3,8 =μ3 ,
α 4,・ =λ3,{1・4,6 = It1,α4,9 =μ1,a
.・,2 ;λ2 ,
α 5,11 =μ3}
α6,2 =λ3 ,
α 6,ll =μ2,
α 7 β=λ1,
α7,12 =t13,a7 ,1.5 =
μ3 ,
α S β=一
(λ1 + μ2 + μ3 ),α8,/3 =
μ】,ag ,9 =一(μ・ + λ2 + μ3),α 9,14
= tt2,α 10,4 =λ2,α10,11 =
μ 1フa10 ,lot「= tLl,a !L1.,11 =一
(μ1 十 μ2 十 μ3 ),
α・2,・2 =一
(μ・ + μ2 + μ3 ),α、3,、3 =一(μ、 + μ2 + μ3),
α 14,M =一(μ1 + μ2 + μ3 ),
α、5,、5 =一
(μ、 + μ2 + μ3 ),
a1 ,2 =μ1
al ,4 =IL:3α 2,2 =一(μ1 + λ2 + λ3)α 2,6 =lt3α 2,9
= II3a3,3 =一
(λ1 十 μ2 十 λ3)α3、7
= llla3 ,lo = i13a4 ,4 =一
(λ1 十 λ2 十 μ3)a4,8 =
μ2
α 4、1n = ’必2
α5,5 =一(μ1 十 μ2 十 λ3)a5 ,14 =
μ3
α6,6 =一(μ1 十 λ2 十 μ3)α 6,12 =
μ2
a7 ,7 =一(μ、 + μ2 + λ3)
a7 、ユ3 = μ3
α 8β=λ3
a8 ,12 =μ1
ag .4 =λ1
α 943 =μ2
α 9,15 =μ2
a 王〔,、10 =一(λ1 十 μ2 十 μ3 )
α 10,14 =
’11
α ll 、6 =λ2
α 12,7 =λ3
al3 ,8 =λ1
α ユ4,9 =λ2
α 15,エ0 = λ・
α 16,5 =λ3
(18>A は以 下 の 60個 だけの 非零 成分 を持 つ 16 × 16 の
行列で ある.
REAJ 誌 2008 Voi.30, No.2(通 巻166号 ) .188一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
4 タ イ プ II優先 AND ゲー
トの 出力
特 性解 析
4 .1 マ ル コ フ モ デル とその 解析
4.1.2 マ ル コ フ微分方程式
タ イプ 1に 関する 3.1.2 と同様に して ,図 14 の
状態遷移図 か らマ ル コ フ 微分 方程式 (4),初期条
件 (5)が得 られ る.
4 .1.1 状態遷移図
3.1.1 で 述 べ た よ うな入力の 発生順序 を考慮
した状 態遷移 図 上 の 状 態 の 記述 ,状 態#1,#1V
の と り方 に加 えて ,一般性 を失 わず,状態#M :
(1,2
,_
,n − 1
,0)を優先 AND ゲ
ートの 出力が発
生 す るひ とつ 手前の 状 態 とす る.こ こ で ,
M = 1 十 nP1 十 nP2 十 … 十 nPn _2 十 1 (19)
で あ る .
図 14 に n 入力の タ イプ II優先 AND ゲー
トの
動作 を記述 した状態遷移図 を示す.こ の 場合,タ
イ プ 1 と異 な り,状 態#N は 吸収状 態 で は な い こ
とに注意する.
牛起.阪態 に ある
入 力の 数
o
上
2
3
n − 1
●
●
●
● ●
● ●
図 14: タ イプ II優i先 AND ゲー
トの状態遷移図
4 .1 .3 定常確率
タ イプ 1 と異 な り,タ イプ II優先 AND ゲー
トの 動作 を記 述 し た マ ル コ フ 微 分方 程 式 (4)に お け る行 列 A は 3.1.3 の (i)の 構造 を持 た
な い . しか し,3.1.3 の (ii)の 構造 は有 して い
る .したが っ て ,連 立方 程 式 (6)は N 個 の 変 数
p1 (OQ ),p2 (oo ),_
,PN (OQ )に対 して 条件が (N 十 1)
本だが,上 記 (ii)に よ り,任意の N 本の 条件 を抜
き出 し て考 え る こ と に よ り,
一意解が 求 ま る.す
なわ ち, 出力の 定常状態で の 発生率を計算する の
に必要 な PM (ac )が 求まる .
4.1.4 出力の発生率
出力の 発生 は状態#A,f か らの 入力 AN の発生 で
あ る こ と に注目 し て,
以 下 の 2 種類の 発生率 を考
える こ とが で きる .
(a )状態#ハf の 定常確率 pM (oc )を用 い て
出力の 定常状態で の 発生率 =PM (DC )× λN 〔20)
(b)マ ル コ フ 微分方程 式 (4),初 期条件 (5)か ら
時刻 t で状態#M にある確率 PUM(t)が (数値 的
に)得 られ て い れ ば
・力 ・ 平均轡 一瓦 (t…Ndt (…
た だ し,T は十分 長 い 時間,あ る い は プル ーフ テ
ス トな どの 保全問 隔.
4 .2 2 入力の シ ス テ ム
4.1 の一
般的 な n 人力 の 議論 を 2 入 力の シ ス テ
ム に適用 して み よ う.
まず,状 態遷 移図 を図 15 に 示 す.
マ ル コ フ 微分方程式 (4)に お ける行列 A は (16)の 12 個 に加 えて 以 下 の 3 個,合計 15 個だけの 非
零成分 を持 つ 5 × 5 行列で あ る .
α 2,5 =ll・2 , a・:i,5 =
μ1
α 5,5 − 一(μ・ + μ2)(22)
一189一 REAJ 誌 2008 Vol.30, NO.2(通巻 166号)
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
生 起状 態 に あ る
入 力 の 数
0
1
2
λ2
謡5∩∠
#
L
μ2
2 #3 (O,1)ltl
λ1
#4
(2,1)
μ 1
図 15: 2 入力 タイプ II優先 AND ゲー
トの 状態遷
移 図
(a )出力の 定常状態 で の 発 生 率
連立方程式 (6)を解 くこ とに よ り,
λ1μ2
P2(。。 );
(λ1 + μ 1)(λ2 + μ2 )
が 得 ら れ,
さ ら に次 の一
般式 が得 ら れ る .
出力 の 定常状態で の 発 生 率
λ1λ2μ2
(λ、 + μ、)(λ2 + μ2)
(b)出力の’ド均発生率
)1)9980
、9960
、99斗
0、992o
、99 0 亅0 20 30
且oo
10−sza
−一
.一.
r
40 50 60 70 Timc [hr亅
、b 9’。 詰。
(23)
一 . 「 I
P3
「
P2P4
.−P5
一一一.
(24)
数値例 と して ,以 下の パ ラ メ ータ値 を考え る .
λ1 = 0.0001[1/llr], μ1 =O.2[1/hr] (25) λ2 = 0.0002[1/hr], μ2 =0.1[lfhr}
p (t)を MATLAB の 関数 。 de45 に よ り数他 的に求め
た の が 図 16 で ある .さ ら に ,台形則 に よ る 数値
積分 を行 うMATLAB の 関数 trapz に よ り, 出力 の
平均発生率 (21)を計算 した結果 を表 ユ に示 す.
表 1: 出力の 平均発生 率
T [hr] 平均発生 率 [1/hr]
100 9.48xlO−8
500 9,88 × 10−8
1000 9.93× 10−8
5000 9.97xlO−8
10000 9.98x10−8
1〔〕LO
O TO 20 3U40 50 60 70 80 90 100 T 【me 匚hr]
なお,こ の 数値例 で は
出力 の定常状 態 で の 発 生率 = 9.98 × 10−8
[1/hr1
(26)
図 16:p (t)
4.3 3 入 力の シス テ ム
状態遷移図を図 17 に示す.
牛 起状態 に あ る
人丿丿の 数
o
1
で ある.
2
3
図 17: 3 入ノJ タイプ II優i先 AND ゲ ー トの 状態遷
移 図
マ ル コ フ 微分 方程 式 (4)に お ける行列 A は (18)の 60個に加 えて 以下 の 4 個 ,合計 64 個 だけ の 非
零成分 を持 つ 16 × 16 行列 で ある .
α5,16 = μ3, α6,16
= メ12
(27) a・8,16 一
μ1, a・16,上6 ・・一(μ1 + μ2 + μ3)
連立方程式 (6)を解 くこ と に よ り,
λ1λ2 μ2μ3
P5(。。)=
が得 られ,
(λ1 十 μ 1)(λ2 + μ2)(λ3 + μ3)(μ 1 + μ2)
(28)さ らに次 の
一般式が 得 られ る.
出力の 定常状態で の 発 生 率
REAJ 誌 20D8>ol,30, No.2(通巻 166号)一 190一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
923μ2μ3λ2λ1λ
})2μ十1μ()3μ十3いのμ十2λ(μ十λ(
=
式 (24), 式 (29)は文献 [3]の 多重積分 を用 い た
計算結果 と一
致する.
4 .4 4 入力以上 の シス テ ム
マ ル コ フ微分方程式 (4)の 次元 (すなわ ち,N )
が きわ め て 大 き くな る .た とえば ,4 入力以上 の
シ ス テ ム で は,N = 65 であ る (式 (2)参照).
(a)出力 の 定常状態 で の 発 生率
煽 腕 (i= 1,2
,...)を変数 と して 含ん だ 一
般的
な形で 連 立方程式 (6)を解 く,さ らに出力の 定常
状態で の発生率の一般 式を得る こ とは実用 上困難
で あ る.したが っ て ,以 下 に ま とめ た 福 侮 (i=
1,2
,_ )の 具体的 な数値 を代入 して 数値計算 に よ
り出力の 定常状態 で の 発 生 率を求め る .
[ア ル ゴ リ ズ ム 2 (4 入 力 以 上 の タ イ プ II 優先
AND ゲー
ト)]
1.状態遷 移図 を作成する .
2)入力生起 の 順 列数と重大事故 に至 る入 力生起
の 順列数 に よ り,タイプ 1優先 AND ゲー
トに タ
イブ 1(M /M )と タイプ 1(1/M )が あ る.
3)タイプ 1(1/2)優先 AND ゲー
トを用 い るべ き
シ ス テ ム に対 して タ イ プ 1(2/2)優先 AND ゲー
ト
を用 い る と,後者は,出力の発生率 を過大評価す
る の で 問題 で ある .
4)タ イプ II優先 AND ゲー トに おける 出力事象
率 は多重積分法 とマ ル コ フ モ デ ル とで ,3 入力 ま
で は…
致す る.
諸文献や 国際規格に もこ の 「タ イプ分け」は明
確 に 記述 され て は い な い 。また,数値計算上 の 限
界 も含め て ,実用的な観点か ら タ イプ に 応 じた解
析手法を明 らか に した こ との 意義は, 安全性評価
に 関係する 国際規格 の実用性を高 め る と い う意味
で も, きわめ て 大 きい .
なお , 入 力 Al,A2
,...
,An が独立な場合を取 り
上 げたが , 現実 に は 独立 して い ない 場合 もあ る .
こ の 原因と して は, 入力 Al
,A2
,...
,An の 原因を
さ ら に掘 り下 げて い くと, 独立 した原因の 他に共
通 した原因が存在する な どが 考え られ る .こ の よ
うな場合に つ い て は, 今後 の 検討課題で ある .
2.行列 A を記述する .
3.行列 A に含まれ る 福 腕 (i =1,2
,_)に具体
的な数値 を入 れ, 連立 方程式 (6)を数値的 に
解 い て,
ひ とつ 手前の 状態の 定常確率 PM (Oo )
を求め る .
4.λn をか け て,出力 の 定常状態で の 発 生率 の
具体的な数値 を求め る ,
(b)出力の平均発生率
マ ル コ フ微分方程式 を数値的 に 解 くこ とは実
用的な コ ン ピ ュータ の 計算能力の 観点か ら困難で
ある.
5 お わ り に
本論文で は,危 険事象が発生 した後の シ ス テ ム
の状況 を考慮 し て, 優先 AND ゲ
ートに よ る危険
事象率 をマ ル コ フ モ デ ル を用 い て解析 し,
以 下 を
明 らか に した.
1)優先 AND ゲー
トに ,少な くとも,2 つ の タ
イ プ (タ イプ 1優i先 AND ゲー
ト及び タ イ プ II優
先 AND ゲー
ト)があ る.
.参考文献
[111EC 61508 :Rlnctional Safety of Elec−
trical/Electronic/Prograllユlnable Electrollic
Safety Related Systems, Part1
,3
,4
,5(1998 ),
Part2,6,7(2000 ).
[21Fussel , J.B ., Aber
, E .F ., and Rahl
,
R .G .(1976):” On the Quantitative AIlaly−
sis of Priority−AND Failure Logic,
”
毋 EE
7b・ans α ctions on Reliability, Vol.25
, No .5
,
pp .324−326.
[3]Sato, Y .
, Inoue
, K .
, and Kumamoto
,
H .(1986): ” The Safety Assessment of
Human −Root Systems,
”Bulletin of JSME,
VoL29, No .257
, pp.3945−3951.
[4]IEC 61025 Ed.2,0: Fault tree analysis
(FTA )(2006).
[5]IEC 61165 Ed2 .0: Application of Markov
techniques (2006).
一 191−一 REAJ 誌 2eO8Vol .30、 NO.2(通巻 166号)
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Reliability Engineering Assooiation of Japan (REAJ }
[6]Dugan , JB ., Sullivan, K .J.
, and Coppit
,
D .(1999):”Developillg a High−Quality Soft−
ware [V()01 fbr Fault Tree Analysis,
,,1〔〕tll In.
ternatiollal Symposium oll Software Relia −
bility Engineerillg, p .222.
[7]W エlayarathna, P.G., Maekawa7
M .(2000):” Extending Fault Trees with
and AND −THEN gate;”11th Interna −
tional Symposium on Sofしware Reliability
Engineering, pp.282−292.
[8]Wa 正ker, M ,
, Papadopoulos,
Y .(2006):” PANDRA :THE TIME OF
PRIORITY −AND GATES −, 12th IFAC
Internatiollal Symposium on IIlfbrrnation
G ぐmtrol Problelns ill Manufacturing, France
[9亅川原 卓也,市塚昭 弘,佐藤吉信 (2002):”
自
己診断を有する安全関連系 の 安全度水準 モ デ
ル,
”
日本信頼性学会誌 ,Vol.24
, No .8 (通巻
/24 号), pp.731739 .
[IO]吉村 達,佐藤吉信 (2004):“
順序依存形故
障論理 を用 い た安 全度水準決定 の 定式化 ,
”
日本機械 学会 論文集 (C 編),70 巻 ,
691 号 ,
pp.271−277.
[111 叶海紅 ,下
’ド庸晴 , 佐藤吉信 ,
陶 [ll貢市 (2003):
”右折衝突防止 支援 シ ス テ ム の PSA
,
”
日本科
学技術連盟 第 33 回信頼性 ・保全性 シ ン ポ ジ
ウ ム 発表報文集 , pp .231−235.
[12]柴田 義文 , 佐藤吉信 (2003):ら
製 品安全の た め
の リス ク解析一a−FTA の 提案 と電気掃除機に
対する ケース ス タ デ ィー一
,
”
日本信頼性学会
誌 ,VoL25
, No .2 (通巻 126 号),
pp .175− 192 .
[13}柴 田義文 , 佐藤吉信 (2003 ):”
ア ドバ ン ス ト
(a−)FTA の 提案 プラ ン ト・リ ス ク解析 へ
の 活用 と安全度水準 の 検討;1H
本科学技術
連 盟 第 33 同信頼性 ・保全性 シ ン ポ ジ ウ ム発
表報文集,pp.143−154.
[14]JIS Z 8115 (2000):’,デ ィ ペ ン ダ ビ リテ ィ (信
頼性)用語,
”日本規格協会,p.11.
(た なべ や す お /しもだ い ら つ ね は る /すや ま
こ うい ち /さと う よ しの ぶ )
田辺 安雄
1974 年大阪大学大学院工 学研究科修士課程了 (応
用 物理専攻),同年 (株)東芝入社,原子力事業部
に て 原子炉 の 炉心設計,燃料設 計及び原子力 プ ラ
ン トの 遮蔽設計,安全設計 に従事,2001年か ら電
力 シ ス テ ム 社 に て IEC 61508 の 普及活動 に従事,
2005 年,ガイ ア ・シ ス テ ム ・ソ リ ュ
ーシ ョ ン を経
て ,(株)日本機能安全 で 機能安全 コ ンサ ル 業務 に
従事.IEC 61508 国際委員会エ キ ス パ ート,国 内
対策委員会委員, H本信頼性学会 , 安全工 学会 各
会員.
謬 罪 瞬 野ww va 伊 轄 ワ哂 su呷彫epm 弾脚齢 軸購覇聴噌
恥齢騨de 脚 齢 締 覊 郵 鵬
鞴 嬲 囎 騨 脚
罍 鶴 羈 融 嬲 轡 軸 讐脚 蜘齢詠’e畢 融 騨瀞 鯵齢 嚢齢齦瀞融
欝 響 難灘 雛 緊鰓 灘
1撲早
黴箇 ド平 庸晴
2005 年東京海洋大学大学院博士 課程 r.博士 (工
学), 現在 , (株)イ ン ターリス ク総研勤務.電子情
報通信学会,安全 工 学会各会員.
陶山 貢市
1990 年東京大学大学院工 学 系研究 科 博士 課 程 了
(計数工 学専攻).工 学博士.同年千葉工 大情報工
学 科助手.1992 年同講 師 ,1993 年 よ り東京商船
大学交通 電 r制御工 学講座助教授 .19981999 年
マ サ チ ューセ ッ ツ 工 科大学原子力工 学科客員研究
員.2003 年よ り東京海洋大学海 洋工 学部海事シ ス
REAJ誌 2008 Vol.30、 No.2(通 巻 166号 ) 一 192一
N 工工一Eleotronio Library
Reliability Engineering Association of Japan(REAJ)
NII-Electronic Library Service
Rellablllty Englneerlng Assoolatlon of Japan (REAJ }
テ ム 工学科助教授.制御系設計の研究,制御 シ ス
テ ム の 安全性 の 研究な ど に従事.電 r情報通 信学
会 ,計測 自動制御学会,シ ス テ ム制御情報学会,
安全工 学会,IEEE 各会員.
佐藤 占信
1971 年早稲 田大学機械卒,1974 年同大学院修 上
課程 ∫.同年産業安全研究所 人所.1986−1987 年
ヒ ュー
ス トン 大学工学部研究員.工博 (京大).1992
年東京商船 大学交通電 子制御 T.学講座教授,2003
年 よ り東京海洋大学海洋工学部海事シ ス テ ム ⊥学
科教授.シ ス テ ム 安全工 学,確率論的安全評価 ,
リ ス ク評価の 研究 に従事,2004 年 シ ス テ ム 安全
と機能安全 技法 に 関する教育研究の 功績 に よ り電
子情報通信学会 フ ェ ロ ー.IEEE , 日本機械学会 ,
自動車技術会,安全 工学会,日本信頼性学会等各
会員.
投稿受付 : 2007年 2 月 19日
改 訂 :2007年 6 月 4 日
再 改 訂 :2007年 10月 9 目
再 々 改訂 :2007年 11月 13日
一 193一 REAJ ?. 2008 Vol.30, NO2(通 巻 166号)
N 工工一Eleotronlo Llbrary