WO2011148891A1

WO2011148891A1 - システムモデルからの静的なフォルトツリー解析のシステムと方法

Info

Publication number: WO2011148891A1
Application number: PCT/JP2011/061738
Authority: WO
Inventors: 剣文向
Original assignee: 日本電気株式会社
Priority date: 2010-05-24
Filing date: 2011-05-23
Publication date: 2011-12-01
Also published as: US20130073271A1; JPWO2011148891A1

Abstract

本発明は、システムモデルから静的な故障の木を解析するシステムにおいて、システム構成と、解析する頂上事象のシステムとを入力するシステム構成入力手段と、システムアーキテクチャモデルとコンポーネントエラーモデルとを記憶するシステムモデルライブラリ手段と、コンポーネントエラーモデルで定義された分解ルールに従い、頂上事象からシステムの故障の木を解析するフォルトツリー解析手段とを有し、システム構成と頂上事象とは、システムモデルライブラリ手段にそれぞれ記憶されたシステムアーキテクチャモデルの事例とコンポーネントエラーモデルの故障事象であり、システムアーキテクチャモデルは、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述され、コンポーネントエラーモデルは、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義している故障の木を解析するシステムである。

Description

システムモデルからの静的なフォルトツリー解析のシステムと方法

　本発明は、システムの信頼性をシステム構成から自動的に解析する方法とシステムシスに関し、特に、静的なフォルトツリー解析（ＦＴＡ：fault tree analysis, 故障の木解析）モデルとシステムモデルを使い、コンピュータシステムの信頼性を定量的に解析する方法とシステムに関する。

　関連するフォルトツリー解析（ＦＴＡ）の例は非特許文献１に記載されている。このＦＴＡは、一般に、動的な論理ゲート、例えば、ＦＤＥＰ（機能依存性）やＰＡＮＤ（優先ＡＮＤ）を使用し、異なる事象間の機能依存性と系列依存性とをモデル化する。

　しかしながら、稼働時の故障の木状態を解析するには組み合わせ的な情報よりもむしろ、系列的な情報（即ち、発生事象の組み合わせよりむしろ履歴）が必要であるため、かかる動的な故障の木は、一般的に、システム管理やシステム保守のための余分な費用を必要とし、このことが大きく複雑なシステムを解析する際に主要な問題となり得る。更に、動的な故障の木は、一般的に、手書きされ、エンジニアが故障の木を効率的で正確なやり方で開発するのを手助けする体系的且つ自動的な方法又はモデルは提案されていない。

　特定な領域やシステムについて、ＦＴＡを使用した半自動的なシステムフォルトツリー解析の他の例のいくつかが、特許文献１、２、３に記載されている。例えば、図１４と図１５に示すように、特許文献３に開示された従来のシステムは、原子力発電所のレイアウト（三次元ＣＡＤデータ）を入力として使用し、ＦＴ図ＤＢ手段を使用していくつかの特定な装置の登録済み故障の木を保存している。装置の特殊な頂上事象が与えられ、当該故障の木が前記ＦＴ図ＤＢ手段にあれば、当該頂上事象用に故障の木を作成できる；そうでなければ、手動で改訂する必要がある。これらの従来のシステムや方法（例えば、特許文献１、２、３）に共通する問題は、故障の木を完全に自動的に開発するための形式上のパラメータ化されたシステムアートテクチャやコンポーネントエラー（故障）モデルが存在せず、従って、従来のシステムや方法は、一般的には、特定の領域やシステムに限定されることである。

　更に、これらの発明は、異なる事象間の系列依存性が一般には省略される、ＡＮＤやＯＲなどの従来の単純な静的論理関係にのみ焦点を当てている。

特許２８５３２１５号公報特開平０７－２００５３４号公報特開２００３－１４９３７７公報

J. B. Dugan, S. J. Bavuso, and M. A. Boyd, Dynamic Fault-Tree Models for Fault Tolerant Computer Systems, IEEE Trans. on Reliability, Vol. 41, No.3, 1992, pp. 363-377.

　第１問題は、上述した技術は手動による故障の木の開発は、特に大きな複雑なシステム解析の場合、困難で、エラーが生じやすいことである。

　その理由は、現在用いられているＦＴＡツールの多くが、特に、フォールトトレラントコンピューシステムの場合、故障の木を自動的に開発するための形式上のシステムアートテクチャモデルやコンポーネントエラーモデルをどのように開発するかに考慮が払われていないためである。むしろ、どのように最小カットセット（ＭＣＳ：最小カットセットは、頂上事象となる基本事象の最小組み合わせ）を算出するかや、先ずエンジニアが手動で開発するとされる、与えられた故障の木の故障率に主に関心が払われている。

　第２問題は、コンポーネントの事象間の機能依存性と系列依存性とが、通常、いくつかの動的ゲートでモデル化され、このことがセマンティックトラブルを引き起こす原因になり、稼働時のシステム管理やシステム保守のための余分な費用が必要となることである。

　その理由は、いくつかの動的ゲートの形式上のセマンティックが十分に定義されておらず、動的な故障の木状態を解析するには履歴（系列）情報が必要となり、そのことがトラブルの原因となり、大規模なシステムを解析する費用が増大するからである。

　そこで、本発明の目的は、システムモデルから故障の木を自動的に開発・解析するシステムと方法を提供することにある。

　また、本発明の他の目的は、標準的な静的論理ゲートを使い、事象間の機能依存性と系列依存性とを定義するモデルを提示することである。

　上記課題を解決する本発明は、システムモデルから静的な故障の木を解析するシステムにおいて、システム構成と、解析する頂上事象のシステムとを入力するシステム構成入力手段と、システムアーキテクチャモデルとコンポーネントエラーモデルとを記憶するシステムモデルライブラリ手段と、前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析するフォルトツリー解析手段と
を有し、前記システム構成と前記頂上事象とは、前記システムモデルライブラリ手段にそれぞれ記憶されたシステムアーキテクチャモデルの事例とコンポーネントエラーモデルの故障事象であり、前記システムアーキテクチャモデルは、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述され、前記コンポーネントエラーモデルは、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義している故障の木を解析するシステムである。

　上記課題を解決する本発明は、システムモデルから静的な故障の木を解析する故障の木解析方法であって、解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶し、解析するシステムの頂上事象を選択し、前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析する故障の木解析方法である。

　上記課題を解決する本発明は、コンピュータに、システムモデルから静的な故障の木を解析させるプログラムであって、解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶する処理と、前記コンポーネントエラーモデルで定義された分解ルールに従い、選択した頂上事象からシステムの故障の木を解析する処理とをコンピュータに実行させるプログラムである。

　本発明によれば、システムアーキテクチャモデルの事例と頂上事象とから、コンポーネントエラーモデルに関して、システムの故障の木が自動的に開発することができる。

本発明の第１の形態の構成を示すブロック図である。第１の実施の形態の動作を示す流れ図である。本発明の第２、３の実施の形態の構成を示すプロック図である。第２の実施の形態の動作を示す流れ図である。第３の実施の形態の動作を示す流れ図である。第１実施の形態の動作の具体例を示す図である。システムアーキテクチャモデルの例（UML図）を示す図である。ネットワークサーバアーキテクチャモデルの例（Maude仕様）を示す図である。コンポーネントエラーモデルの例（Maude仕様）を示す図である。 MCS算出ルールの例（Maude仕様）を示す図である。システム構成インプットの例(Maude仕様)を示す図である。図１１のインプットについてのMCSアウトプットを示す図である。 PANDゲートからANDゲートまでの変換の例を示す図である。特許文献３の信頼性解析支援装置実行される処理手順の説明図である。特許文献３のFT図作成ステプの詳細説明図である。

　本発明の概要を説明する。

　本発明のシステムモデルからの静的なフォルトツリー解析（ＦＴＡ）システムは、システム構成入力手段と、システムモデルライブラリ手段と、フォルトツリー解析（ＦＴＡ）手段とを備える。

　システム構成入力手段を使い、解析するシステムの（物理的及びセマンティックな）構成を入力する。入力構成は、以下に記す、システムモデルライブラリ手段で定義されたシステムアートテクチャモデルの定義に従う。

　システムモデルライブラリ手段を使い、システムアートテクチャモデルとコンポーネントエラーモデルとのセットと、故障の木の最小カットセット算出ルールのセットとを保存する。

　システムアートテクチャモデルは、コンポーネントの区分とコンポーネント間の関係とを含み、当該関係は潜在的な物理的接続と合成、及びコンポーネント間の機能依存性などのセマンティックな要求事項を含む。

　コンポーネントエラーモデルは、異なる故障の定義とコンポーネントの条件付き事象含み、コンポーネント間の機能依存性及び故障事象間の系列依存性の両方が網羅される。コンポーネントエラーモデルの定理が、故障の木を構築（解析）する分解ルールとして機能する。

　更に、最小カットセット（ＭＣＳ）算出ルールを使用し、解析された故障の木の最小カットセットを算出する。

　システムモデルライブラリ手段で定義された前記故障の木分解ルールとＭＣＳ算出ルールとに従い、フォルトツリー解析（ＦＴＡ）手段を使用し、入力されたシステム構成の故障の木を生成、解析する。

　以下、本発明の実施の形態を更に詳細に説明する。

　本発明の第１の実施の形態について図面を参照して詳細に説明する。

　図１を参照すると、本発明の第１の実施の形態が、システム構成入力手段１１０と、システムモデルライブラリ手段１２０、フォルトツリー解析（ＦＴＡ）手段１３０とを備える。

　システムモデルライブラリ手段１２０は、更にシステムアーキテクチャモデル手段１２１とコンポーネントエラーモデル手段１２２とを備える。

　これらの手段はそれぞれ概略つぎのように動作する。

　システム構成入力手段１１０は、システム構成と、解析するシステムの頂上事象とを入力する。システム構成は、後述するシステムアーキキテクチャモデル手段１２１で定義したシステムアーキキテクチャモデルの定義に追従しなければならない。

　システムモデルライブラリ手段１２０は、フォルトツリー解析（ＦＴＡ）用のシステムモデルのセットを記憶する。システムモデルは、更に、２つのグループ、すなわち、システムアーキキテクチャモデルと、コンポーネントエラーモデルとに区分することができる。

　システムアーキキテクチャモデル手段１２１は、コンポーネントの区分や属性を特定するシステムアーキキテクチャモデルのセットを記憶する。そこでは、属性がコンポーネントの合成と、コンポーネント間の潜在的な物理的接続やセマンティックな（機能上の）関係とを示す関数により表記される。

　コンポーネントエラーモデル手段１２２は、異なるコンポーネント故障や条件付き事象とその論理関係とを特定するコンポーネントエラーモデルのセットを記憶する。コンポーネントエラーモデルで定義された定理は、故障の木分解ルールとして機能する。

　フォルトツリー解析（ＦＴＡ）手段１３０は、前記入力システム構成と故障の木分解ルールとに従い、前記頂上事象から事象を分解する。即ち、故障の木を解析する。

　次に、図１及び図２のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

　先ず、システム構成が前記システム構成入力手段１１０により入力される（ステップＡ１）。

　利用者は、解析するシステムの頂上故障事象を入力する（選択する）（ステップＡ２）。

　頂上事象は、コンポーネントエラーモデル手段１２２で定義され一定の分解ルールによって、フォルトツリー解析（ＦＴＡ）手段１３０によりいくつかのサブ事象に分解される（ステップＡ３）。

　分解されたサブ事象に対する分解ルールがもはや入手できなるまで、即ち、サブ事象はもはや分解不可能な基本事象となるまで、サブ事象の分解（ステップＡ３）を繰り返す。

　最後に、（基本事象を含む）生成した故障の木を出力する。

　次に、本実施の形態の効果について説明する。

　本実施の形態は、コンポーネントエラーモデル手段１２２で定義され一定の分解ルールに従って、繰り返し事象を分解するので、入力頂上事象の故障の木は自動的に生成することができる。

　次に、本発明の第２の実施の形態について図面を参照して詳細に説明する。

　図３を参照すると、本発明の第２の実施の形態は第１の実施の形態を拡張したものであり、前記システムモデルライブラリ手段１２０が、故障の木のＭＣＳを算出するために使用する算出ルールのセットを記憶するＭＣＳ算出手段１２３を更に備える。同様に、第２の実施の形態のフォルトツリー解析（ＦＴＡ）手段１３０も第１の実施の形態で記載した事象の分解の他に、ＭＣＳへの算出に使用される。

　次に、図３及び図４のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

　ステップＢ１からＢ３は第１の実施の形態のステップＡ１からＡ３とそれぞれ同じである。頂上事象を分解後、サブ事象が、ＭＣＳ算出手段１２３で定義された算出ルールを使い、事象の冗長連言も除去される加法標準形（ＤＮＦ）に変換される（ステップＢ４）。ＤＮＦのいかなる事象に対しても、基本事象になる（即ち、分解不可能になる）までステップＢ３とステップＢ４を繰り返す。最後に、すべての事象が基本事象になると、最終ＤＮＦが故障の木のＭＣＳとして出力される。

　次に、第２の実施の形態の効果について説明する。

　本実施の形態は、故障の木の冗長ノードをタイムリーなやり方で除去できる、事象の繰り返し分解とＭＣＳへの算出を有するので、故障の木のＭＣＳを効率的なやり方で算出できる。しかしながら、ＭＣＳへの算出は事象の各分解後に行われるので、この実施の形態においては、ＭＣＳに算出されていない完全な本来の故障の木を出力することできない。

　次に、本発明の第３の実施の形態について図面を参照して詳細に説明する。

　図３を参照すると、本発明の第３の実施の形態は、第２の実施の形態の手段を有するが、第２の実施の形態と異なる所は、第３の実施の形態が、以下に記載する事象分解ステップとＭＣＳ算出ステップに関して異なる処理フローから構成されていることにある。

　次に、図３及び図５のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。

　本実施の形態も事象を分解すること（ステップＣ３）及びＭＣＳへ算出することを（ステップＣ４）有するが、分解は、分解を繰り返すことによりすべての事象が基本事象になって（分解不可能になって）から一回のみ行われる。それ故、削減されていない完全な本来の故障の木と、故障の木の最小カットセットの両方を出力することができる（ステップＣ５）。

　第３の実施の形態は、第２の実施の形態と比較すると、各分解後タイムリーな分解が行われないので、ＭＳＣを算出するのにより多くの時間を費やす。しかし、第３の実施の形態の効果は、完全な分解情報が保持されるので、削減されていない本来の故障の木を出力することができる。

　上述した本発明の実施の形態は、以下の効果を有する。

　第１の効果は、システム構成やシステムの望ましくない頂上事象が与えられると、頂上事象の故障の木並びに故障の木の最小カットセットを自動的に生成することができることにある。その理由は、入力システム構成がシステムアートテクチャモデルの定義に追従するので、システムモデルライブラリ手段で定義された故障の木分解ルールとＭＣＳ算出ルールにそれぞれ従い、故障の木とＭＣＳとを開発、算出することができるからである。

　第２の効果は、従来の動的なゲートよりむしろ標準的な静的論理ゲートを使い、コンポーネント間の機能依存性及び故障事象間の系列依存性をモデル化することができることにある。その理由は、コンポーネントの内部的な故障事象と外部的な故障事象とを区分することにより、異なるコンポーネント間の機能依存性を標準的なＯＲゲートで表示でき、余分な従属条件付き事象を導入することにより、コンポーネント故障事象間の系列依存性が標準的なＡＮＤゲートで取り扱うことができるからである。

　次に、具体的な実施例を用いて本発明の動作を説明する。

　ひとつの高信頼性ネットワーク構成を図６に示す。以下にシステムの構成を説明する。

　システムは２つのサーバｓ１とｓ２とから構成され、ｓ２はｓ１が故障した時作動する予備であり、ｓ１はプライマリ（作動）サーバである。

　各サーバは２つのネットワークカードを有し、各ネットワークカードは、プライマリｓ１のｃ１１（プライマリ）のカードとｃ１２（予備）と、スタンバイ用のｓ２のｃ２１（プライマリ）とｃ２２（予備）とである。

　２つのハブｈ１とハブｈ２とがあり、有線ケーブル、ｂ１１（ｃ１１とｈ１との間）、ｂ１２（ｃ１２とｈ２との間）、ｂ２１（ｃ２１とｈ１との間）、及びｂ２２（ｃ２２とｈ２との間）で２つのハブがネットワークカードｃ１１，ｃ１２，ｃ２１，ｃ２２に接続されている。

　ＵＭＬ形式で表記された例示的システムアーキキテクチャモデルを図７に示す。

　このシステムアーキキテクチャモデルは、システムアーキキテクチャモデル手段１２１に記憶され、ひとつの実施の形態に対して異なる形式で表すことができる。図７のＵＭＬグラフィック形式は、読みやすくするための一例にすぎない。図７のいくつかの注釈は、以下の通りである。

　コンポーネントは複合コンポーネント、ハードウエア、又はソフトウエアでもよい。ハードウエアコンポーネントは、バス、メモリ、プロセッサ、又はデバイスでもよく、必須コンポーネント又は予備コンポーネントとして機能する。プライマリコンポーネントは、少なくとも１つの予備コンポーネントを有する必須コンポーネントである。複合ハードウエア（複合ＨＷ）は複合コンポーネントとハードウエコンポーネントの両方である。

　複合ハードウエアは、１つまたはいくつかの（サブ）ハードウエコンポーネントから構成され、一般的は、その機能性は、すべての必須サブコンポーネントが十分に作動すること、即ち、ダウンしないことに依存している（故障事象ダウンの定義は、図９に後述する）。それ故、図７に示される如く、関係”depAll”は、実際には複合コンポーネントとサブハードウエコンポーネントとの間の一種の垂直機能依存性を表し、物理的分解関係”consists”のサブ関係にある。

　ハードウエアエコンポーネントはバスに接続されないか、又はいくつかのバスに接続され、一般的は、ハードウエアエコンポーネントは、ディスエイブルされていない（接続）バスのいずれかにアクセスできることが必要である。それ故、図７に示される如く、関係”reqAny”は、実際にはハードウエアとバスとの間の一種の水平機能依存性を表し、物理的接続関係”connects”のサブ関係にある。

　プライマリ（ハードウエア）は１つ又はいくつかの予備を有し、予備は１つ又はいくつかのプライマリを同時にサポートする。しかしながら、予備は常時せいぜい１つのプライマリ（即ち、最初の故障プライマリ）にのみ置き換わることができることに注目するべきである。置換の関係を使用して、同じ１つの予備でサポートされている２つのプライマリの系列事故事象を表すことができる。例えば、同じ１つの予備Ｓを共有している２つのプライマリエコンポーネントＰ１とＰ２があり、頂上事象は、Ｐ２はＰ１が故障する前に故障するとして定義されとする（Ｐ１が故障すると、予備ＳはＰ１に代わって作動できないので、Ｐ１とＰ２とから構成されるシステムが故障することを意味する）。条件付き事象置換（Ｓ、Ｐ２）を導入することにより、Ｐ１の故障とＰ２の故障との間の上記系列依存性は、図１３に示すように、従来のＰＡＮＤゲートよりも、むしろ標準的な静的ＡＮＤゲートで表記することができる。

　さらに、図８は、形式的仕様プログラム言語であるMaudeで書かれたネットワークサーバの例示的な形式的アーキキテクチャモデルを表す。図８のいくつかの表記は以下の通りである（ライン番号は読みやすさのため付け加えた）。

　ライン４から９に記載されている事項は、データタイプ（種類）とサブタイプの定義である。例えば、サーバは複合ハードウエアコンポーネントである。尚、サブタイプ関係は記号“＜”で表記される。

　ライン１０に記載されている事項は、述語“existNWCard”の定義であり、ハードウエアコンポーネントのセットにネットワークカードがあるか否かを表記する。

　ライン１１に記載されている事項は、いかなるネットワークサーバもいくつかのネットワークカードで構成されなければならいという属性を述べる式（定理）である。図７で記載したように、“consists”は複合ハードウエアコンポーネントブタイプからそのサブハードウエアコンポーネントへの定義された関数であることに注目すべきである。

　前記コンポーネントエラーモデル手段１２２に記憶される、Maudeで書かれた例示的コンポーネントエラーモデルを、図９に示す。図９で定義された式が、故障の木を開発する分解ルールとして機能する。図９のいくつかの表記は以下の通りである。

　ライン２から５に記載されている事項は、種類のコンポーネント故障事象を定義している。

　ライン２に記載されている「failed」は、コンポーネントの（一次的な）内部故障、例えば、破損である。

　ライン３に記載されている「disabled」は機能上依存する他のコンポーネントにより引き起こされるものであり、機能上依存する他のコンポーネント、例えば、メモリの故障により一般的に引き起こされるコンポーネントの（二次的な）外部故障は、メモリにはアクセス可能なバスが必要であるため、バスによりディスエイブルされる。

　ライン４に記載されている「functionless」は、コンポーネントの内部故障と外部故障とが重なったことを示している。

　ライン５に記載されている「down」は、プライマリコンポーネントが機能せず、その予備のいずれもが作動しなかったことを表記するために一般的に使用される。

　ライン６から８には、式用の変数宣言文が記載されている。

　ライン９と１０には、機能せずの意味を定義する式、即ち、複合コンポーネントは、その依存したサブ必須コンポーネントのいずれかがダウンした時及びその時のみダウンし（いかなる複合コンポーネントも、そのサブコンポーネントのいくつかを経由して他の周辺のコンポーネントに接続しなければならないという仮定のもとで）、そして非複合コンポーネントは、それ自体が故障した又はディスエイブルされた時及びその時のみ機能しないことを定義する式が記載されている。これらの２つの定理は垂直及び水平機能依存性をそれぞれ表示する。

　ライン１１には、ディスエイブルの意味を定義する式、即ち、コンポーネントは、すべての所要のバスが機能しなくなった時及びその時のみディスエイブルされることを定義する式が記載されている。尚、バス接続は一時的であり、相互作用するので、バスコンポーネントと非バスコンポーネントのケース分離並びに補助関数“＄allFunctionless”の第２のパラメータを使用し、サイクリック依存性を除去している。

　ライン１２から１５には、ダウンの意味を定義する式、即ち、プライマリコンポーネントは、プライマリコンポーネント自体が機能せず、その予備のいずれも作動しなくなった時及びその時のみダウンし、非プライマリコンポーネントのダウンは、便宜上、非プライマリコンポーネントが機能しないことと同じと定義することが記載されている。プライマリコンポーネント用に予備が作動しなかった理由は、予備が機能しない、又は以前にサポートした他のプライマリコンポーネントが作動しているからである。最後に、プライマリコンポーネント用の予備の作動は、プライマリが機能せず、予備がプライマリに置く変わることと同じである（条件付き事象）。

　ＭＣＳ算出手段１２３について、いくつかの例示的ルールを図１０に示す。いくつかの表記は以下の通りである。

　ライン１から４には、以降の式用の変数宣言文が記載されている。ソートFaultEventはBoolのサブソートであることに注目すべである。

　ライン５には、論理式（Boolean formula）をＤＮＦに変換する式が記載されている。

　ライン６には、最終ＭＣＳにおいて不必要な条件付き事象置換を除去する式が記載されている。この式が意味することは、同じ１つの予備を共有する２つのプライマリコンポーネントがあると仮定し、２つのプライマリコンポーネントの両方が機能しないことを述べる２つの連言があり、予備が、２つの連言において第１と第２のプライマリコンポーネントにそれぞれ置き換わるとすると、これらの２つの連言は、２つのプライマリコンポーネントのみから構成される１つの連言に統一することができることを意味する。

　ライン７から９には、冗長カットセット（連言）を除去して故障の木の最小カットセットを得る式が記載されている。

　図６に示す例示的なネットワーク構成のグラフィック表現及び図７と図８に示す例示的なシステムアーキキテクチャモデルを基にして、例示的なネットワーク構成の論理表現の入力は、図１１で示す如く形式で表記されると仮定する（図２のステップＡ１に対応する）。いくつかの表記は次の通りである。

　明確にするため、コンポーネント間の物理的接続用の形式的仕様を省略し、コンポーネント間の関数関係のみ表す。ある一定のルールを前記システムアーキキテクチャモデル手段１２１に追加したならば、関数関係は物理的接続から導き出し、簡易化すことができる。例えば、複合コンポーネントがそのサブ必須コンポーネントのすべてに依存すると仮定した場合、エンジニアが不必要になった必須サブコンポーネントを複合コンポーネントに誤って又は他の理由で導入しなければ、関数関係“depAll”は、“consists”内の予備コンポーネントを除去することにより、簡単なやり方で複合コンポーネントの物理的分解接続“consists”から導き出すことができる。

　例示的な構成の論理表現は、２つのメインパーツから構成される。１つはコンポーネントの定数値定義、即ち、ライン４から１１で表記されるコンポーネント事例の名前とタイプである。例えば、ライン４の定数値定義は、”sys”は複合コンポーネントの事例、即ち、例示的ネットワークシステムであると述べている。他はこれらのコンポーネント間の関係で、ライン１２から２６の式で表記される。例えば、ライン１２の式は、例示的ネットワークシステム、“sys”、はプライマリサーバｓ１に依存すると述べている。

　図１１に示す入力システム構成を基にして、利用者が、システム、“sys”、はダウンしている、即ち、“down(sys)”であるとして、解析する頂上事象を選択すると仮定する（図２のステップＡ２に対応する）。

　事例“sys”はプライマリコンポーネントではない、即ち、例示的ネットワークシステムはいかなる予備も有していないので頂上事象の最初の分解は、図９のライン１３に示す分解ルールを適用することにより“functionless(sys)”の１つのサブ事象を得る（図２のステップＡ３に対応する）。サブ事象は、図９のライン９に示す分解ルールを適用することにより、更に分解され、図１１のライン４とライン１１に示す構成式を基にしてサブ事象は“anyDown(s1)”を得る、即ち、sysは複合ハードウエアコンポーネントであり、サーバｓ１に依存する（図２のステップＡ３の繰り返される実行に対応する）。分解ステップを繰り返し行い、ＭＣＳへの算出もまた図４のステップＢ４又は図５のステップＣ４に示す如くなやり方で実行されると仮定すると、２つの頂上事象を持つ故障の木の最終のＭＣＳが図１２に示される（図４と図５のステップＢ５とＣ３にそれぞれ対応する）。

　尚、上述した実施の形態及び実施例では、各部をハードウエアで構成したが、各部の動作と同様な動作を行うプログラムとＣＰＵとで構成しても良い。

　以上好ましい実施の形態及び実施例をあげて本発明を説明したが、本発明は必ずしも上記実施の形態に限定されるものではなく、その技術的思想の範囲内において様々に変形し実施することが出来る。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　［付記１］　システムモデルから静的な故障の木を解析するシステムにおいて、
　システム構成と、解析する頂上事象のシステムとを入力するシステム構成入力手段と、
　システムアーキテクチャモデルとコンポーネントエラーモデルとを記憶するシステムモデルライブラリ手段と、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析するフォルトツリー解析手段と
を有し、
　前記システム構成と前記頂上事象とは、前記システムモデルライブラリ手段にそれぞれ記憶されたシステムアーキテクチャモデルの事例とコンポーネントエラーモデルの故障事象であり、
　前記システムアーキテクチャモデルは、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述され、
　前記コンポーネントエラーモデルは、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義している
故障の木を解析するシステム。

　［付記２］
　前記システムモデルライブラリ手段は、故障の木の最小カットセットを算出するためのＭＣＳ算出ルールを記憶し、前記ＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出するＭＣＳ算出手段を
有する付記１に故障の木解析システム。

　［付記３］
　システムモデルから静的な故障の木を解析する故障の木解析方法であって、
　解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶し、
　解析するシステムの頂上事象を選択し、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析する
故障の木解析方法。

　［付記４］
　故障の木の最小カットセットを算出するためのＭＣＳ算出ルールを記憶し、前記ＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出する
付記３に記載の故障の木解析方法。

　［付記５］
　コンピュータに、システムモデルから静的な故障の木を解析させるプログラムであって、
　解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶する処理と、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、選択した頂上事象からシステムの故障の木を解析する処理と
をコンピュータに実行させるプログラム。

　［付記６］
　故障の木の最小カットセットを算出するためのＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出する処理を
をコンピュータに実行させる付記５に記載のプログラム。

　本出願は、２０１０年５月２４日に出願された日本出願特願２０１０－１１７９４５号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明によれば、前記システムモデルライブラリ手段により定義された分解ルール及び削減ルールに従い、システムアーキテクチャモデルと、コンポーネントエラーモデルと、ＭＣＳ算出ルールとを定義する前記システムモデルライブラリ手段と、故障の木を生成し、ＭＣＳを算出する前記フォルトツリー解析（ＦＴＡ）手段とがそれぞれ実行することにより、システム構成から故障の木でシステム信頼性を自動的に解析することができる。

　１１０　　　システム構成入力手段
　１２０　　　システムモデルライブラリ手段
　１３０　　　フォルトツリー解析（ＦＴＡ）手段
　１２１　　　システムアーキテクチャモデル手段
　１２２　　　コンポーネントエラーモデル手段
　１２３　　　ＭＣＳ算出手段

Claims

　システムモデルから静的な故障の木を解析するシステムにおいて、
　システム構成と、解析する頂上事象のシステムとを入力するシステム構成入力手段と、
　システムアーキテクチャモデルとコンポーネントエラーモデルとを記憶するシステムモデルライブラリ手段と、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析するフォルトツリー解析手段と
を有し、
　前記システム構成と前記頂上事象とは、前記システムモデルライブラリ手段にそれぞれ記憶されたシステムアーキテクチャモデルの事例とコンポーネントエラーモデルの故障事象であり、
　前記システムアーキテクチャモデルは、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述され、
　前記コンポーネントエラーモデルは、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義している
故障の木を解析するシステム。
　前記システムモデルライブラリ手段は、故障の木の最小カットセットを算出するためのＭＣＳ算出ルールを記憶し、前記ＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出するＭＣＳ算出手段を
有する請求項１に故障の木解析システム。
　システムモデルから静的な故障の木を解析する故障の木解析方法であって、
　解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶し、
　解析するシステムの頂上事象を選択し、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、前記頂上事象からシステムの故障の木を解析する
故障の木解析方法。
　故障の木の最小カットセットを算出するためのＭＣＳ算出ルールを記憶し、前記ＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出する
請求項２に記載の故障の木解析方法。
　コンピュータに、システムモデルから静的な故障の木を解析させるプログラムであって、
　解析するシステムにおける、異なるコンポーネント間の物理的及び意味的関係の区分と定義とが記述されシステムアーキテクチャモデルと、コンポーネントの異なる故障事象と、故障の木を解析に用いられる機能依存性と系列依存性とを網羅する分解ルールであるブール論理式関係とを定義しているコンポーネントエラーモデルとを記憶する処理と、
　前記コンポーネントエラーモデルで定義された分解ルールに従い、選択した頂上事象からシステムの故障の木を解析する処理と
をコンピュータに実行させるプログラム。
　故障の木の最小カットセットを算出するためのＭＣＳ算出ルールに基づいて、事象の冗長カットセットを除去し、最小カットセットを算出する処理を
をコンピュータに実行させる請求項５に記載のプログラム。