WO2013172325A1

WO2013172325A1 - 識別システム、識別方法及びプログラム

Info

Publication number: WO2013172325A1
Application number: PCT/JP2013/063374
Authority: WO
Inventors: 剣文向
Original assignee: 日本電気株式会社
Priority date: 2012-05-17
Filing date: 2013-05-14
Publication date: 2013-11-21
Also published as: US20150143176A1; JPWO2013172325A1

Abstract

本発明は、システム障害のカットセット論理式から、システムのコンポーネントの無関連性要因の論理式を算出する無関連性要因解釈部と、前記無関連性要因解釈部により算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する最小カットセット評価手段とを有する識別システムである。

Description

識別システム、識別方法及びプログラム

　本発明は、識別システム、識別方法及びプログラムに関し、特に、コンポーネントの無関連性要因と呼ばれる、システムにおいてコンポーネントの関連性がなくなる条件を識別する識別システム、識別方法及びプログラムに関する。

　フォールトトレランスシステムは、通常、コンポーネントの故障を冗長性でカバーするように設計されている。カバーされないコンポーネントの故障は、十分な冗長性が存在していても、システム障害、または、サブシステム障害につながる。そこで、システム障害、または、サブシステム障害を抑える自動カバレッジ機構は、故障の検知及び分離の機能と、システム再構成の機能とを含んでいる。その理由は、故障したコンポーネントが検出されないと、その故障したコンポーネントに対応するスペアに切り替えることができず、故障したコンポーネントを分離しないと、故障したコンポーネントが他の故障していないコンポーネントに影響を与える恐れがあるからである。

　不完全なカバレッジの影響を考慮するモデルは、不完全カバレッジモデル（IPCM）として知られている。IPCMに関する概説的なものが、非特許文献１に記載されている。

　従来のIPCMでは、カバレッジは、コンポーネントの関連性にかかわらず、故障したコンポーネントに限定されている。概略を述べると、システムの状態が、コンポーネントの故障のカバーによる影響を受けないならば、そのコンポーネントはシステムに対して関連性のないものとみなされる。例えば、コンポーネントが動作可能である、又は、コンポーネントが故障をカバーされたサブシステムの中にある場合等にかかわらず、システムが同様に動作するならば、そのコンポーネントはシステムに対して関連性のないものとみなされる。

　しかし、そのコンポーネントがシステムに関連性がないものであっても、そのコンポーネントに起因する将来カバーできない故障の原因となる潜在的なシステムの障害を防ぐため、そのようなコンポーネントを事前に分離・交換することが望ましい。

　多くのIPCMの研究において、システムは、本来、コヒーレントシステムであるとするのが一般的である、即ち、初期のシステム状態では、全てのコンポーネントは関連性があるものである。

　しかしながら、当初は関連性のあるコンポーネントが事後なんらかの特定な条件のもとで、関連性のないものになる可能性がある。そのような特定の条件を、以下に、コンポーネントの無関連性要因と記載する。一般的に、無関連性要因は、他のコンポーネントの故障である。この観点からすると、たとえシステムが本来コヒーレントなものであっても、稼働中及びメインテナンス中に、システムと関連性のないコンポーネントを識別し、分離することは重要である。

　しかしながら、従来の方法では、どのような条件のもとで、本来関連性のあるコンポーネントが関連性のないコンポーネントになるかという課題、即ち、どのような要因がコンポーネントの無関連性要因となるかということは導き出すことができなかった。

　特定のシステム状態において関連性のないコンポーネントを識別することと、コンポーネントの無関連性要因を識別することとは異なるものである。コンポーネントの無関連性要因は状態独立的なものであり、システム信頼性分析において重要な役割を果たす。より具体的には、コンポーネントの無関連性要因の発生前に発生するコンポーネントの故障と、コンポーネントの無関連性要因の発生後に発生するコンポーネントの故障とを区分する必要がある。

　前者は、故障がカバーされないとシステム障害またはサブシステム障害に繋がる恐れがある。一方、後者は、無関連性要因が発生する以前に、コンポーネントが既に分離されていれば、そのコンポーネントは故障のカバレッジには無関係であり、システムに影響を与えない。それ故、システムにおいて関連性のないコンポーネントのカバレッジが望まれるが、各コンポーネントの無関連性要因を知らずに、システムの信頼性を正確に分析（クローズトフォームソリューション）することは不可能である。

　コンポーネントの無関連性要因を識別するひとつの方法としては、各システム状態におけるコンポーネントの無関連性を全数テストする方法がある。あるシステム状態でコンポーネントの関連性がなければ、その状態がコンポーネントの無関連性要因とみなすことができる。

　しかしながら、この方法は、指数関数的に複雑化するため、実用的ではない。例えば、ｎ個のコンポーネントがあり、各コンポーネントが２つの状態（例えば、動作可能又は故障である場合）を有しているとすると、2ⁿのシステム状態があり得る。

　また、関連性のないコンポーネントのカバレッジが、いくつかの重要なコンポーネントに限定されていると、各システム状態における全数テストよりも重要なコンポーネントの無関連性要因の発生を観察することにより、カバレッジをより能率的に実行できる。

　更に、無関連性要因に類似するものが非特許文献２と非特許文献３に記載されている。

　しかしながら、これらのモデルにおける要因は、モデラーにより手動的に規定される必要がある。従って、それらの要因を手動的に規定することは、誤差を生みやすく、特に、システム障害の構造が簡単ではない場合は、不可能である。それ故、無関連性要因を識別する、自動的なアプローチが有益であり、且つ必要であった。

S. V. Amari, A. F. Myers, A. Rauzy, and K. S. Trivedi，"Handbook of Handbook of Performability Engineering, Chapter 22: Imperfect coverage models: status and trends, Springer"， pp. 321 - 348，2008年 J. B. Dugan, S. Bavuso, and M. Boyd, "Dynamic fault tree models for fault tolerant computer systems, IEEE Transactions on Reliability", 1992, vol. 41, no. 3, pp. 363 - 377 Marc Bouissou and Jean-Louis Bon, "A new formalism that combines advantages of fault trees and Markov models: Boolean logic driven Markov processes", Reliability Engineering and System Safety, Elsevier, 2003, vol. 82, pp. 149 - 163

　非特許文献２又は非特許文献３に記載された手法では、無関連性要因が手動で規定される必要があった。

　そこで、本発明は、システムの無関連性要因が手動で設定されない場合においても、システムの無関連性要因を識別することができる識別システム、識別方法及びプログラムを提供することにある。

　本発明は、システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出する無関連性要因解釈部と、前記無関連性要因解釈部により算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する最小カットセット評価手段とを有する識別システムである。

　本発明は、情報処理装置は、システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出し、情報処理装置は、前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する識別方法である。

　本発明は、システム障害のカットセット論理式fから、コンポーネントの無関連性要因の論理式を算出する処理と、前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する処理とをコンピュータに実行させるプログラムである。

　本発明は、システムの無関連性要因が手動で設定されない場合においても、システムのコンポーネントの無関連性要因を識別することができる。

図１は本発明の実施の形態の構成を示すブロック図である。図２は本発明の実施の形態の動作を示すフローチャートである。

　本発明の実施の形態を説明する。

　まず、本実施の形態に使用する用語の論理定義を以下に記載する。

　定義１　（無関連性の変数）　fをブール代数の公式、xをfの変数とすると、f (1/x) = f (0/x)の場合、変数xはfの中で無関連となる（関連性がない）。

　定義２　(コヒーレント)　ブール代数の公式が単調性であり、かつ、全ての変数について関連性がある場合、ブール代数の公式はコヒーレントである。

　定義３　(無関連性要因)　fをブール代数の公式、xをf の変数とすると、論理積τに対して、

及び

の場合、論理積τは変数xの無関連性要因である。

　定義４　(最小の無関連性要因)　fをコヒーレント式、xをfの変数とすると、

を満たす、変数xの無関連性要因τ’が存在しない場合、変数xの無関連性要因τは最小である。

　定義５　(カットセット)　fが単調性公式であり、αを（変数の）論理積とすると、

の場合、論理積αはカットセットである。

　定義６　(最小のカットセット)　fが単調性公式であり、αをfのカットセットとすると、

を満たす、fのカットセットβが存在しない場合、カットセットαは最小のカットセットである。

　上記のように定義した上で、本実施の形態では、システムの障害論理式は、一般的に最初はコヒーレントとするブール公式として扱われ、カバーされるコンポーネントの故障はシステムの障害論理式の変数とされる。

　ここで、＼は差集合演算子を表すものとする。そして、論理積と加法標準形（ＤＮＦ）とは、集合演算を適用した場合、それぞれ、変数のひとつの集合、変数の集合のひとつの集合となる。そして、minを、ブール代数に基づいて、論理積の集合（ＤＮＦ）から冗長な論理積を取り除く公式とする。すると、上述した定義１から定義６に基づいて、コヒーレント公式におけるある変数の最小の無関連性要因を計算する為の式（定理１）は、以下のように導出される。

　定理１　（最小の無関連性要因の計算）
　ここで、f が単調性公式、x をfの変数とする。更に、

とする。ここで、AとBとは、それぞれ、変数xを含むfの複数の（最小）カットセットと、変数xを含まないfの複数の（最小）カットセットとで構成される加法標準形（ＤＮＦｓ）である。そして、xの最小の無関連性要因は、min (T) として計算できる。ここで、

である。

　次に、上述した定理１の式を用いた無関連性要因識別システムの実施の形態について図面を参照して詳細に説明する。

　図１を参照すると、本発明の実施形態は、最小カットセット評価部１１０と、無関連性要因解釈部１２０とを備える。

　最小カットセット評価部１１０は、故障の木（又は、システム障害の論理を表すモデル）の（最小）カットセットを算出するものである。尚、上記カットセットは最小である必要はないが、次行程と要因の最小化の処理を減らすために、カットセットを最小化することが好ましい。また、無関連性要因解釈部１２０が生成したコンポーネントの無関連性要因の論理式を最小化する。カットセットの定義と同じく、無関連性要因の論理式は論理積として定義され、カットセットを最小化するための削減ルールやアルゴリズムも、無関連性要因の論理式を最小化するために適用できるためである。

　無関連性要因解釈部１２０は、コンポーネントの観点から（最小）カットセットを分類し、分類された（最小）カットセットに基づいて、あるコンポーネント（変数）の無関連性要因を算出するものである。無関連性要因解釈部１２０には、無関連性要因を算出するコンポーネント（変数）が与えられる。無関連性要因解釈部１２０は、そのコンポーネントを含むか否かで、最小カットセット評価部１１０からのカットセットを二つのグループに分類する。そして、無関連性要因解釈部１２０は、二つのグループに分類された（最小）カットセットに対して、上述の定理１を適用し、そのコンポーネントの無関連性要因の全てを論理的に包含している論理式を算出する。尚、算出された無関連性要因の構造は最小である必要はなく、算出された論理式を、再度、最小カットセット評価部１１０に入力することにより、無関連性要因を最小化することができる。

　次に、上述した構成の動作を説明する。

　図２のフローチャートを参照して、図１に示されるシステムの動作を説明する。

　まず、システムの障害論理を表す論理式が、最小カットセット評価部１１０に入力される（ステップA1）。障害論理の論理式は、システム障害を引き起こすコンポーネントの故障の組み合わせからなる。障害論理の論理式は、故障の木又は他の組み合わせ的なモデルにより表すことができる。障害論理の論理式は、当初、コヒーレントであり、全てのコンポーネントは、初期において関連性があるものである。

　最小カットセット評価部１１０は、入力された論理式のカットセットを算出する（ステップA２）。算出は、既存の最小のカットセット用のアルゴリズム、例えば、従来の二分決定グラフ（BDD）のトップダウン構成法を基にした方法等により行うことができる。

　次に、無関連性要因解釈部１２０には、無関連性要因を算出するコンポーネント（変数）が指定される（ステップA３）。そして、無関連性要因解釈部１２０は、最小カットセット評価部１１０からのカットセットを、指定されたコンポーネントを含むか否かで、２つのグループに分類する（ステップA４）。

　続いて、無関連性要因解釈部１２０は、二つのグループに分類された（最小）カットセットに対して定理１を適用し、無関連性要因を論理式として算出する（ステップA５）。

　論理式として算出された無関連性要因は、カットセットのように、論理積であるため、最小カットセット評価部１１０は、論理式で示される無関連性要因を、上述した従来の二分決定グラフ（BDD）のトップダウン構成法を基にした方法、アルゴリズムを適用して最小化する（ステップA６）。

　本実施の形態によれば、システムの障害論理を表す障害論理式が与えられれば、そのシステムのコンポーネントの無関連性要因を識別することができる。

　本発明の具体的な実施例を説明する。

　本実施例では、システムが８つのコンポーネントからなり、システムの障害論理は、以下の論理式で表されるものとする。

　ここで、

は、コンポーネントx_iのカバーされた故障を表す。但し、以下の説明では、理解を容易にするため、同じ記号x_iを使用し、記号x_iは、コンポーネントとそのコンポーネントのカバーされた故障とを表すものとする。障害論理によると、システムは、当初コヒーレントシステムである、即ち、全てのコンポーネントは関連性がある。

　ここで、コンポーネントx₁が重要なコンポーネントであり、そのコンポーネントの関連性がなくなれば、それを分離する必要があり、どんな条件の元でコンポーネントx₁が無関連性（関連性がなくなる）になるか、即ち、コンポーネントx₁の最小の無関連性要因は何であるかを識別する例を説明する。

　コンポーネントx₁の最小の無関連性要因を識別するために、まず、システムの障害論理の論理式fが最小カットセット評価部１１０に入力される（ステップA１）。そして、最小カットセット評価部１１０は、論理式fの最小のカットセットを算出する（ステップA２）。すると、算出された論理式fの４つの最小のカットセットの集合は以下の式で表される。

　変数（コンポーネント）x₁の最小の無関連性要因を分析するため、x₁をターゲット変数（コンポーネント）として、無関連性要因解釈部１２０に与える（ステップA３）。そして、無関連性要因解釈部１２０は、障害論理式fの最小のカットセットを、与えられたx₁を含むか否かで、２つのグループ、即ち、ＡとＢとに分類する（ステップA４）。

　次に、無関連性要因解釈部１２０は、上述した定理１を用いて、コンポーネントx₁の無関連性要因を含む論理式Tを以下のように算出する（ステップ５）。尚、ａ_１は、Ａの｛x₁，x₂，x₃，x₄｝を表し、ａ_２は、Ａの｛x₁，x₂，x₅，x₆｝を表し、ｂ_１は、Ｂの｛x₂，x₄，x₇｝を表し、ｂ_２は、Ｂの｛x₂，x₅，x₈｝を表す。

　無関連性要因解釈部１２０により算出されたコンポーネントx₁の無関連性要因の論理式、即ち、Tが最小カットセット評価部１１０に入力される。そして、最小カットセット評価部１１０は、コンポーネントx₁の最小の無関連性要因、即ち、Tの最小化を行う（ステップ６）。ここで、Tは、カットセットの定義と同じく、無関連性要因は論理積として定義され、カットセットを最小化するための削減ルールやアルゴリズムも、無関連性要因の論理式を最小化するために適用できるためである。本例では、コンポーネントx₁の最小の無関連性要因は以下の式で表される。

　上記式によれば、３つの最小の無関連性要因（｛x₄，x₇｝，｛x₇，x₈｝｛x₅，x₈｝）のいずれかが発生すると、コンポーネントx₁はシステムとは関連性のないコンポーネントとなり、分離する必要がある。例えば、無関連性要因のひとつである、コンポーネントx₄とコンポーネントx₇とが故障すると、コンポーネントx₁は定義３に従い関連性がないコンポーネントになる、即ち、式に表すと、

であり、｛x₄，x₇｝の論理積はｘ_１の無関連性要因である。

　同様に、無関連性要因のひとつである、コンポーネントx₇とコンポーネントx₈とが故障すると、コンポーネントx₁は定義３に従い関連性がないコンポーネントになる。また、無関連性要因のひとつである、コンポーネントx₅とコンポーネントx₈とが故障すると、コンポーネントx₁は定義３に従い関連性がないコンポーネントになる。すなわち、｛x₇，x₈｝の論理積及び｛x₅，x₈｝の論理積は、コンポーネントx_１の無関連性要因である。

　以上の如く、最小カットセット評価部１１０と無関連性要因解釈部１２０とが実行するコンポーネントの無関連性要因の識別により、本発明は、システムの無関連性要因を手動で設定する必要がなく、システムのコンポーネントの無関連性要因を識別することができる。そして、メインテナンス中に、不完全カバレッジを持つシステムにおいて、システムの障害に関連性がないコンポーネントをタイムリーにカバーすることができ、システムの信頼性を高めることができる。

　以上で本発明の実施の形態及び実施例の説明を終わるが、上述した説明からも明らかなように、各部をハードウェアで構成してもよいし、コンピュータプログラムにより実現してもよい。この場合、プログラムメモリに格納されているプログラムで動作するプロセッサによって、上述した各実施の形態と同様の機能、動作を実現させる。また、上述した実施の形態の一部の機能のみをコンピュータプログラムにより実現してもよい。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）　システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出する無関連性要因解釈部と、
　前記無関連性要因解釈部により算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する最小カットセット評価手段と
を有する識別システム。

　（付記２）　前記無関連性要因解釈部は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
付記１に記載の識別システム。

　（付記３）　前記最小カットセット評価手段を、前記システム障害の論理式からカットセットを算出して最小化するために用いる
付記1又は付記２に記載の識別システム。

　（付記４）　情報処理装置は、システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出し、
　情報処理装置は、前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する
識別方法。

　（付記５）　情報処理装置は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
付記４に記載の識別方法。

　（付記６）　情報処理装置は、前記算出されたコンポーネントの無関連性要因の論理式の最小化と同じ手法により、前記システム障害の論理式からカットセットを算出して最小化後、コンポーネントの無関連性要因の論理式の算出を行う
付記４又は付記５に記載の識別方法。

　（付記７）　システム障害のカットセット論理式fから、コンポーネントの無関連性要因の論理式を算出する処理と、
　前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する処理と
をコンピュータに実行させるプログラム。

　（付記８）　前記コンポーネントの無関連性要因の論理式を算出する処理は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
付記７に記載のプログラム。

　（付記９）　前記算出されたコンポーネントの無関連性要因の論理式の最小化と同じ手法により、前記システム障害の論理式からカットセットを算出して最小化後、コンポーネントの無関連性要因の論理式の算出を行う処理を
をコンピュータに実行させる付記７又は付記８に記載のプログラム。

　また、実施の形態及び実施例をあげて本発明を説明したが、本発明は必ずしも上記実施の形態及び実施例に限定されるものではなく、その技術的思想の範囲内において様々に変形し実施してもよい。また、各実施の形態を適宜組み合わせて実施してもよい。

　本出願は、２０１２年５月１７日に出願された日本出願特願２０１２－１１３６５２号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

１１０　最小カットセット評価部
１２０　無関連性要因解釈部

Claims

　システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出する無関連性要因解釈部と、
　前記無関連性要因解釈部により算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する最小カットセット評価手段と
を有する識別システム。
　前記無関連性要因解釈部は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
請求項１に記載の識別システム。
　前記最小カットセット評価手段を、前記システム障害の論理式からカットセットを算出して最小化するために用いる
請求項1又は請求項２に記載の識別システム。
　情報処理装置は、システム障害のカットセット論理式fから、システムのコンポーネントの無関連性要因の論理式を算出し、
　情報処理装置は、前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する
識別方法。
　情報処理装置は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
請求項４に記載の識別方法。
　情報処理装置は、前記算出されたコンポーネントの無関連性要因の論理式の最小化と同じ手法により、前記システム障害の論理式からカットセットを算出して最小化後、コンポーネントの無関連性要因の論理式の算出を行う
請求項４又は請求項５に記載の識別方法。
　システム障害のカットセット論理式fから、コンポーネントの無関連性要因の論理式を算出する処理と、
　前記算出された無関連性要因の論理式を最小化して、前記コンポーネントの無関連性要因を算出する処理と
をコンピュータに実行させるプログラム。
　前記コンポーネントの無関連性要因の論理式を算出する処理は、
　システム障害のカットセット論理式fを、無関連性要因を識別するコンポーネントに相当する変数を含むか否かでＡとＢとに分類し、

とし、

（α、βはカットセット）
に基づいて、前記無関連性要因を識別するコンポーネントの無関連性要因の論理式を算出する
請求項７に記載のプログラム。
　前記算出されたコンポーネントの無関連性要因の論理式の最小化と同じ手法により、前記システム障害の論理式からカットセットを算出して最小化後、コンポーネントの無関連性要因の論理式の算出を行う処理を
をコンピュータに実行させる請求項７又は請求項８に記載のプログラム。