FMEA/FTA/特性要因図/なぜなぜ分析産業と医療の信頼性セミナーの概要　　　　 English / Quick Reference 客観説TQM研究所－TOP 　　<A href="http://www.ziyu.net/"><IMG SRC="http://megalodon.jp/get_contents/85335887" border="0" alt="ACRWEB"></A> 　 or

著作権に関するご注意

テキスト印刷:2010-7-18
受講後のQ＆A 印刷
申込み状況
東京開催 / 京都開催
受講者の声(20)新コスモス電機
★はじめに
　　東北大震災
　　FMEAとは　　注意事項
　　多くの指導者が犯す過ち
　　＠IT情報マネジメント
　　久次昌彦
★特性要因図
　　福知山線の脱線
　　フェール・セーフ
　　スイス氷河急行の脱線
　　事故調査委員会
　　義歯設計士事件
　　米国牛肉輸入再禁止
　　サンヨー洗濯乾燥機
　　大藤正

★FTA
　　みずほ証券誤発注
　　冗長設計
　　クリティカル・パス
★ETA
★FMEA
　1. 故障モードとは何か？
　　Iteq International
　　西村三郎
　　小野寺勝重
　　国井良昌
　　IT情報マネジメント
　　真壁肇
　　日本規格協会
　　ビッグ３のリコール問題
　　ISO/TS 16949
　　ポカヨケ
　　JIS の定義
　　河野哲也
　　オムロン綾部工場
　　故障モードの世界的定義
　　プール排水口吸込み

　2. 故障モードの探し方
　　機能入口説
　　間違ったワークシート
　　構造化知識研究所
　　松岡猛、伊藤博子
　　塩見弘（機能ブロック図）
　　ブレーン・ストーミング
　　潜在的故障モード
　　Potential の意味
　　Relex FMEA
　　安藤黎二郎
　　大石直暢
　　weblio
　　ポテンシャルFMEA
　　宮村鐵夫
　　吾伊蘇企画
　3. 故障モードの評価
　　危険優先指数 RPN
　　IT自分戦略研究所
　　機械振興協会
　　山科隆伸
　　中條武志

　　ワークシート - techdmba
　　不良と故障
　　QC工程表
　　管理用-特性要因図
　　工程FMEA様式
★医療FMEA
　　神戸医療センター事故
　　飯田修平：習慣的工程
　　医療FMEAの危機(1)
　　医療FMEAの危機(2)
　　2011-02-09 事故の事例
　　正しい工程設計
　　成松隆美：相対評価の根拠
　　機能設計と信頼性設計
★事例集
　　松下電器の食器洗機
　　羽田A滑走路閉鎖失念
　　電源オフの保安検査
　　トヨタの販売中止
　　トヨタ品質管理の問題
　　石山敬幸
　　今井義男
　　なぜなぜ分析

　当ホームページは、FMEA等の望ましくない指導・教育によって多くの技術者・管理者が矛盾や疑問に悩んでいる実情に鑑み、不適当な指導例を指摘して是正を促しています。これは故障や事故の適切な予防を推進するという公共的な目的に基づくものです。これに対し、自己の氏名や社名の掲載を中止すべく要請が寄せられることがあります。勿論、当方の見解に間違いがあればお詫びして是正しますが、逆に誤りを改善しない場合は要求に応ずることはできません。これを不当とする方は、ご自分のホームページ等において当サイトをご遠慮なく批判して下さい。誰の理論が説得力を有して優れているか、それは読者が選択することです。

はじめに

　2011-03-11、東北地方を襲った地震、津波、原発崩壊は甚大な被害となった。被害者には大変に気の毒な話だが、国民にとっては大きな教訓となった。その教訓の主なものは、

原子力発電所の設計の粗雑さ
原子力安全委員会の無能力
被害の大きさ
巨大地震発生時の帰宅禁止の不徹底
想定外のトラブル災害が重要なこと

　中でも、「想定外のトラブル」をあぶりだす技術に弱いことが顕著になった。専門家が検討したはずなのに、「あれも、これも想定外で打つ手なし」であることに驚かされる結果となった。

　それもそのはず、古典的なFMEAは「想定したトラブル」がなぜ起きるか、という追及に終始するのである。これをトップ・ダウン方式という。　多くの参考書やセミナーで指導される危険優先指数：RPN を指標とするやり方＝相対評価法である。専門家が検討したシステムにしては、あまりに「間抜け」に映るのは、想定していなかったから何も対策は考えていなかった、という点である。このやり方を一日でも早く廃止して、危険指数：RI を指標とする、ボトム・アップのやり方＝絶対評価法に切り替え、想定外をなくさねばならない。
　すなわち、最初に機能や故障を想定するのではなく、最初に故障モードを想定するやり方だ。故障モードには「想定もれ」が起きないからである。

　FMEAを簡単に一口で説明すると、次の通りである。
　FMEA（故障モード影響解析）とは、例えば、ある製品で使われている「ねじ」がもし緩んだら、そのこと（＝故障モード）が、どんな結果を招きかねないか？　単に、ガタガタと音がするだけか、ガスが漏れて爆発する危険があるか、操作中に怪我でも負う危険があるか～というような影響を解析することをいう。
　もう少し詳しく言うと、システムに何らかの故障モードが発生した場合に想定される影響、発生頻度、発生の検知性などを総合判断して、その故障モードに対する対策の要否を判断する手法をいう。
　ここに「故障モード」とは、システム構成部分の破壊をいう。システムとしては製品や工程（プロセス）があるが、製品の場合は部品の破壊や接続の破壊が故障モードであり、工程の場合は工程指示の違反が故障モードになる。

　つまり「ああしなさい、こうしなさい」に違反することが工程FMEAの故障モードであり、生ずる結果が故障（＝不良、クレーム、事故･災害などの）トラブルである。よくある「不良」が故障モードだという指導は誤りであり、それは工程の故障である。
　製品設計のFMEAを設計FMEA（DFMEA）と呼び、工程のそれを工程FMEA（PFMEA）と呼ぶ慣わしである。しかし、いずれも設計FMEAである。製品FMEAとプロセスFMEAに分けるべきだが、従来の粗雑な理解が誤った呼び方を招いた。
　FMEAを導入するにはFMEAの書物を読むか講習会で指導を受ければよい～と普通は考える。そしてこれまで非常に多くの企業や技術者が誤った講習を受け、FMEAの導入に失敗し飾り物のFMEAをやってきた。そのことはQCストーリー、目標設定、方針管理、特性要因図がそうであったのと同じである。

　このページはセミナーの予習事項であり、詳細はセミナーで説明します。従って受講者でない方は、以下の記事について質問は出来ません。
　まず必要なのは、故障モードの意味、FMEAの意味、その解析手法の原理を知ることです。単に、「FMEAとは、故障モード影響解析のこと」～などと記述しても説明したことにはなりません。
　また工程FMEA（PFMEA）について、特性要因図 → QC工程表 → 工程FMEA という基本を知らないと、故障モード＝「不良モード」＝「トラブルモード」～というナンセンスな思想に陥ります。それ故、FMEAセミナーでは、工程FMEAを行う前の段階、すなわち、管理用-特性要因図、QC工程表、機能設計と信頼性設計の講義を欠かせません。

　そういう基本を無視したFMEAソフトも販売されているが、購入をちょっと待って頂き、先に当セミナーでFMEA事例を学んでみて下さい。
　世の中はありとあらゆる情報で溢れ、いわば玉石混交です。私達はどれが正しくどれが誤りか取捨選択しなければなりませんが、それには分析力・判断力が必要となります。なぜなら、多くの書物や講習会が「これが正しいFMEAだ」と誤った指導をするからです。このページではいろいろな見解の「ダメな点」をほじくって、誤りを見抜く力の大切さと、いかに誤った事例が多いかを明らかにします。
　最も注意しなければならない誤ったFMEA理論は、多くの参考書やセミナーで指導される危険優先指数：RPNを指標とするやり方＝相対評価法です。

　〔学習の注意事項〕
　FMEA（に限らないが）を学ぶ人には２つのタイプがあります。
　Ａタイプ：従来正しいとされた考え方、やり方に疑問を持ち、何が間違っているか考えようとする。そして自説に根拠を持ち、反対説を転覆する説明を考える。このタイプの人は「自分で考える力」が身について、将来一人前になっていきます。
　Ｂタイプ：誤った方法や理論を解説して貰っても役に立たないから、「正しいやり方の説明だけにして欲しい」と考える。そして抽象的な理論を説明されても役に立たないから、具体例、できれば実例を示して欲しいと考える。このタイプの人は「自分で考える力」が身につかず、他人が示す模範例の形だけを模倣する傾向に走り、将来モノになりません。

　〔多くのFMEA指導者が誤解する点〕
　(1) 設計に潜む無数の信頼性欠陥の全てに対策を打つのは限度あるリソースの有効利用にならないから、FMEAで欠陥に優先順をつけるために危険優先指数：RPNを用いることである。
　これは、建築物を強度計算なしに設計し、FMEAで「優先的」と評価した欠陥だけに対策するやり方で、根本的に誤っている。正しくは、設計で全要素の信頼性設計を行うが、その際の対策の不足を補うためにFMEAを行う。欠陥は少数であって優先順をつける必要は全くない。
　(2) 多くのFMEA指導者が「故障モード」と「故障」の区別を知らないため、「故障モードの影響」ではなく、「故障の影響」を調べようとする。これはFMEAの基本原理を知らないことを意味する。

　FMEAに対する一般の感想は、「FMEAをまともに行うと、次のように多大な労力を要する。もっと効率の良い方法はないものだろうか？」というものである。
　１．部品１点１点から故障モードをブレーン・ストーミングで洗い出すと、部品が数百点ある場合はシステム全体でFMEAだけで１ヶ月以上かかる。
　２．影響解析や対策などで膨大な作業になる。
　３．製品や工程は１つではなく、かようなFMEAを全製品に行えば、本来の業務ができない。
　しかし、ここでご紹介する４点法FMEAは、そんなものではない。正式にFMEAを行う以上ある程度の時間はかかるが、一般に指導されるQS 9000の相対評価10点法に比べたら 10～20 倍の速度である。みならず、最速かつ最適信頼性を得るFMEAは、ここに紹介する絶対評価４点法FMEAだけである。誤解されては困るが、この４点法は、「10点法を簡略化したもの」ではない。

2011年度　FMEA 定例セミナー
テーマ
場　所
開催日	06/22	11/26
手続き
情　報
聴講料	25,000円
申込
講　師	鵜沼崇郎（録音は自由）

　「本来は10点法であるべきところ、４点に簡略化したもの＝相対評価４点法」（TS16949はそれでも認可する）とは全く違う。点数の意味が違うのである。他方、危険優先数（RPN）を用いる相対評価FMEAは、10点にしろ４点にしろ、遅いだけでなく実用性もない。

　そのような誤った指導事例は無数にあるが、インターネットですぐに拝見できるサイトを紹介しよう。
　(1) ＠IT情報マネジメント

　FMEAは、サブシステムの単一故障（不具合、機能不全、失敗）が全体システムの信頼性・保全性・安全性に与える影響を定性的に解析するもので、導き出された重要度に基づいて優先順位を定め、事前対策を施す。

　間違っている点は、（カッコ内が正しい）

「故障」が与える影響を評価（正：故障モード）

「信頼性・保全性・安全性に与える影響」を解析（正：環境側面や経済的影響も）

「重要度に基づいて優先順位を定め」とする（正：優先順位を問わない。プロの設計は、重要な点だけを拾って他は放置するというやり方をしない）

「事前対策を施す」とする（正：設計時に行うべき対策の漏れや不足を補充する）

　(2) 久次昌彦

　FMEA（故障モード影響解析）とは、･････中略･････問題（潜在的故障モード）を洗い出し、その原因と影響を想定してリスクを把握して対策につなげる手法です。
　故障モードを抽出･････中略･････その後のRPN（リスク優先度）を改善する作業の実施や改善結果の反映までを･････中略･････運用できていない例をよく見掛けます。

　間違っている点は、（カッコ内が正しい）

「潜在的故障モード」を洗い出し（正：故障モードは潜在的ではない）

「原因と影響を想定してリスクを把握して対策につなげる手法」（正：原因と影響を想定して設計時に打った対策が十分かどうかを評価し、不足を補う手法）

「運用できていない例をよく見掛けます」（正：このサイトのように、潜在的故障モード、リスク優先度などの誤指導の故に、FMEAが形骸化している。）

　FMEAの書物の著者やセミナー講師の多くは、自身で製品設計や工程設計をした実務経験はなく、他人の書いたFMEA関係の書物を読んで「なるほど」と納得して育った人々が大半だという事実がある。
　故障と故障モードの区別なしに相対評価10点法で危険優先数（RPN）を求めたり、工程FMEAでの故障モードは不良モードであると説くやり方が多い。
　これが実務では無意味なアプローチだと気がつかないのも、「潜在的故障モード」という誤った理論がはびこるのも、やはり実務経験のない先生方に起因すると思われる。そのためか、福知山線の脱線転覆、シンドラー社のエレベータ事故、日立の洗浄乾燥機火災、松下の暖房乾燥機事故や食器洗機火災事故などが世間を騒がせた。

　さらに、シュレッダーでの指の切断事故、高速船の鯨・流木衝突事故、水泳プールの排水口の死亡事件、ソニーのリチウム電池発火事故など、FMEAを正しく行えば防げたはずの事故が続いている。製品設計や工程設計の技術者・管理者に限らず、銀行・証券会社・病院・鉄道・航空などの危機管理者にとって、特性要因図、FMEA（故障モード影響解析）、FTA（故障の木解析）などは必須の技法である。

特性要因図（Fishbone Diagram）

故障モード影響解析（FMEA ; Failure Mode and Effect Analysis）

故障の木解析（FTA ; Fault Tree Analysis）

事象の木解析（ETA ; Event Tree Analysis）

　またQCサークルのような小集団活動も、小改善にこれらの技法を適用して製品設計や工程設計の信頼性を向上することができる。
　FMEAは難しいから小集団にはムリ？　このセミナーで学ぶFMEAはまさに小集団向きである。
　一般にこれらの技法の指導・教育は正しく行なわれておらず、多くの場合に飾り物になるだけだ。
　例えば、普通のFMEA教育では、危険優先指数（Risk Priority Number:RPN）なる指数を用いて、これが対策を打つべき優先順位を表すものとする。

　だけど、対策の要否は分からない。「対策が要るかどうかは分からないが、優先順はこうだ」という判断は役に立つだろうか？　かような無意味な内容で満ち溢れている。
　以下、そのことを説明しよう。
　FMEA/FTAの講習は２日がかりとなることが多いが、１日で終えるようにするため、ここでは予習の意味で少し中身に立ち入って説明しよう。
　とっつきにくかったFMEAやFTAが、実に面白くなる。そして、面白くなったらシメシメだ。

特性要因図

　「FMEA講習会なのに、なぜ、特性要因図？」と疑問に思うかも知れない。実は、製品にせよ工程にせよ、およそシステムの設計は"機能設計"と"信頼性設計"から成り立つ。機能設計は、「システムがちゃんと機能するように設計する」ことで、品質・時間・コスト・安全・環境保護の面でのトラブルを予防することである。この予防を十分に行うために、特性要因図の作成が不可欠になる（特に、工程設計で）。
　また、信頼性設計は、「システムが壊れない」ように設計することである。FMEAは、これら機能設計と信頼設計を終えたシステム設計に対して行なう。
　すると、特性要因図を誤って理解し、予防を設計に織り込めなかった場合は、FMEAをしようにも進まなくなる。特性要因図の正しい知識がない故に、FMEAの指導講師ですら行き詰まる。

　どこの講習会でも、特性要因図には管理用と解析用の区別があって目的・作り方・利用の仕方が違うことを説明しない。むしろ、指導講師がそれを知らないのが実情である。
　予防の場合はまだ活動（生産など）をしていないから、実績データもなく、その分野の知識や経験に基づいて、頭の中から要因を着想して列挙するしかない。
　まだ起きていないトラブルに関する要因（心配事）をできるだけ洩らさず列挙し、全てに対策を打つから、要因の数と対策の数は非常に多くなる。
　このようにして作るのが管理用-特性要因図であるが、全要因に対策を講ずる。この中の重要なものだけに対策を講ずるのではない。
　以下、管理用-特性要因図の正しい運用がない故に起きた事故を列挙してみよう。

★　2005年4月25日朝に発生したJR福知山線の脱線事故は、なんとも悲惨な結果となったが、このような事態は絶対にあってはならない。
　ところが、当時の国土交通大臣は、「原因を徹底的に明らかにした上で、適切に対処して参りたい」というような答弁をしている。
　野党議員も「JR職員の安全意識が低いのではないか？」という追求の仕方である。これでは最初から駄目だ。「JR職員の安全意識がどうであろうが絶対に起きないし、起きてもひどい結果にならない」という設計上の対策が必要である。
　運転士が最高速度を出し、レール上に石を置き、誰かが何とかして脱線させてやろうとしても脱線しない対策、そして万一脱線が始まっても、最悪の結果に至らないような対策を問題としなければならない。

　JR西日本の社長は、全管理職150人を集め、「人の命を運んでいることを意識して安全運転をするように、社長から全社員に伝えてくれとの声が強かった。」と訓示した。まるで他人ごとだ。
　無管理状態の責任者は当の社長自身なのであって、社員に訓示できる立場にはない。
　また、安全対策は管理職150人に要求することではなく、社長が専門部署に指示することである。
　社長始め安全推進部長などの責任者は当然に引責辞任しなければならいが、これほどずさんな管理で引責辞任で済むとは納得し難いことです（2008-07-06、尼崎東署捜査本部が立件に向け捜査中）。
　線路上の置き石が原因となった可能性をいち早く発表するなど、JR西日本に安全対策推進の専門家がいないとは、まさに驚きである。

　もっと具体的に説明する。
　１．脱線・転覆の要因に、どのようなものがあるか。
　２．それら要因に、対策を講じたか。
　３．脱線が起きた場合に被害を抑える対策（フェール・セーフ）を講じたか。
ということが問題になる。
　そして、「脱線は起きないはずだ、起きても僅かな被害のはずだ」と言える状態（管理状態）の下で起きたのなら、「原因は何か」という問題解決型のテーマとして現場の痕跡などのデータに基づく解析用特性要因図を作成する。いうなれば、犯人探しということになる。しかし、予防が不完全である故に、～

　・レールに石が載っていると脱線しかねない。
　・カーブで制限速度を越えれば転覆しかねない。
　・カーブで急ブレーキをかければ脱線しかねない。
　・先頭車が軽く、先頭車が浮きかねない。
　・レール幅や左右の高さが適切だったか分らない。
　・脱線転覆すると何に衝突するか分からない。ビルに当たるかも知れないし、後続車や対向車が追突するかも知れない。
～という無管理状態だと、もやは原因を探すテーマではない。
　多数の要因のうち、今回はどれが原因だったかを解明しても無意味である。管理用特性要因図を作成して全ての要因に対策を打つことが重要なのである。

　JR西日本の課題はこれら全ての要因に対策を講ずることであって、特定の限られた原因についてのみ対策を講ずることではないのである。つまり予防型のテーマであり、特性要因図は管理用になる。
　JR西日本が旧式ATSのままでの運行再開を宣言すると、国土交通大臣が「新型ATS-P（速度オーバーに反応）の設置なくして再開は考えられない。」との談話を発表し、結局、設置が再開の条件になった。
　結局、新型ATS-Pの設置、ダイヤの改正、運転士の安全教育などの対策を講ずることで「一件落着」となったようだが、これでは駄目なのである。
　他の要因（レール上の石など）についての発生対策は？
　万一脱線した場合のビルへの衝突防止、対向車・後続車との衝突防止に安くて確実な方法があるのに、なぜ実施しないか？

　新型ATS-Pの設置が最適信頼性を確保することにはならない。何しろ、福知山線だけで100億円もかかる。東海道新幹線のような猛スピードならいざ知らず、普通の電車には金のかけ過ぎだ。
　金をかけ過ぎても100％の信頼度はないから、適度の発生対策とフェール・セーフ（発生しても重大事故にならない対策）で最適信頼度を求めるべきである。「カーブの外側にガイド・レールを設置」という対策なら、実に1％以下のに出費で賄える。これでは不足との判断なら、そこで出費大の対策を考えればよい。
　JR西日本は、結局４つのミスを犯した。
　(1)　脱線転覆について全面的な予防策を講じないで（無管理状態で）事故を起こした。
　(2)　事故原因の一部にだけ対策を講じた。
　(3)　高額に過ぎる対策を実施した。

　(4)　万一の脱線に備えた柵などのフェール・セーフがない。
　その後JR西日本はATS-Pを設置したが、設定ミスで数ヶ月の間にわたり作動しておらず、事故調査委員会から指摘される失態を演じた（2005年11月１日発表）。東武東上線でもＡTS－Ｐ等が故障したことがあり、これらは決して万全の対策ではない。
　無策のまま運行再開を考えたJR西日本の甘さも驚きだが、国土交通大臣がこれまで予防を義務付けずに運行を認めてきたのはなぜか？国土交通省の事故調査委員会（ARAIC）は詳細に原因調査を行なうが、もっと重要な予防活動はしないようだ。
　福知山線の脱線転覆事故の後２年もかけて原因を調べ、挙句の果て「運転士が遅れた時間を過少報告するように車掌との交渉に気をとられた」ことが原因だ、などと報告されてもどうにもならない。その暇で、予防に欠けている点を調査して頂きたい。

　政府機関が予防を担当すると、事故発生の都度、「予防の失敗」として責任を負う側に立つから、それを嫌って、もっぱら他人の責任を追及する原因調査だけになるワケである。換言すれば、国民のためではなく自分達の都合を優先しているということである。
　最近大問題になったのは、虚偽の強度計算に基づいて立てられた多数の危険な建築物である。国交省は姉歯建築設計事務所を建築基準法違反の疑いで刑事告発を検討した。刑事告発といえば聞こえはいいが、「国交省の役立たず」がみえみえである。
　起きてから刑事告発しても被害は戻らないし、刑事告発は誰でも出来るから、国交省が行政の使命を取り違えていることがますます明確になっている。
　「性善説に立って耐震性の確認制度を設けた」などと弁解するのが役所の常だが、性善説に立つなら役所が認可する制度自体の存在意義が疑われる。

　2010-07-23 スイスのアルプスで観光列車「氷河急行」の後部の３両が脱線し、特に最後部の車両が大きく転覆して多数の日本人乗客が死傷した。
　当初いろいろな原因が考えられたが、最終的な公式発表では、運転ミスであるという。すなわち、カーブで徐行し、カーブを通過し終わってから速度を上げる決まりになっているのに、この運転士は早い時期に速度を上げてしまい、最後の３両が遠心力で外側に振られたという。
　これも、福知山線の場合と同様、柵などのフェール・セーフを怠った結果である。

（産経新聞から引用）　カーブの外側に振られたことが分かる。

　かつて狂牛病への対応が問われた農水省の場合と同様、危機管理が飾り物に過ぎない実態が見え隠れする。2006年１月20日、米国産牛肉の輸入再開から１ヶ月余で危険部位の混入が見つかり、早くも再禁止である。例によって農水省は、「原因を究明し、再発の防止を徹底して欲しい」と、米国に対して誤った申し入れをするのではないだろうか？
　十分な予防管理に「ちょっとしたスキマ」があって危険部位が混入したのか、それとも無管理状態なのか、この判断を極めることが第１の課題である。
　これに対する米国農務長官の声明は、何と「認定業者も農務省の検査官も、日本向けに危険部位の混入が禁止されていることを知らなかった」というもので、ただ驚くばかりである。

　つまり全くの無管理状態だから、「原因を明らかにして再発を防止する」というアプローチではモグラ叩きが始まることになる。
　無管理状態なら、全ての要因を列挙して、全ての要因に対して対策を講じなければならない。日米共同で、管理用の特性要因図を作成し、あるいはＦＴ図を作成することが最初の仕事である。
　何もしないで現状を傍観し、様子をみて「何か起きたら他人の責任を追及する」という習慣がついている一部の官庁には、予防管理という基本的な姿勢に欠けており、予防管理のための管理用-特性要因図という概念を持っていない。
　だから、驚くような事件（モグラ）が次から次へと起きるのである。

　ソニー、サンヨー、松下電池と、似たようなリチウム電池の回収や無償交換が次々と起きている。そのバックグラウンドに潜む問題点はないだろうか。
　リチウム電池は歴史が浅いため、設計・製造を行う上で一通りの失敗を犯した上で原因を明確にして対策を講じるという「モグラ叩き」に陥っている。
　これまでの古典的な品質管理では、「管理とは、PDCAサークルを回すことを言う」とする誤った理解をした。
　つまり、成否は不明だがとにかく計画Ｐを立て、実施Ｄし、結果を点検Ｃし、問題があるなら次の行動Ａをとる）。「PDCAを回すことが管理だ」とする古典理論（大藤正氏等）では、「失敗した対策を打つ」を正常とするから予防が出来ないのである。

　「予防こそが品質管理だ」とする立場では、PDCAサークルは普遍的な手法ではあり得ず、管理用-特性要因図を重視する傾向となる。
★　最近のサンヨーの洗濯乾燥機の発火事故トラブルは100億円の損害となって、同社の赤字決算の主要な背景となっている。
　まず、製品設計でFMEAが適切に行われず信頼性に問題があった。さらに、トラブル発生後の修理プロセスのFMEAも適切に行われず、同じ機種で５回のリコールとなっている。
　いわば、数人が数日で済む人件費10万円程度のFMEAを怠って、100億円の損害を出したことになる。
　４点法FMEAを実施せずに起こしたトラブルについて、言い訳が立つ余地はないのである。

FTA

実施例１　　論理記号　　実施例２　　実績データによる修正　　さまざまなケース

　福知山線の脱線転覆、シンドラー社のエレベータ事故、日立の洗浄乾燥機、松下の暖房乾燥機一酸化炭素事故、シュレッダーでの指の切断事故、高速船の鯨・流木衝突事故、水泳プールの排水口の死亡事件、ソニーのリチウム電池発火事故、松下電器の食洗機火災事故など、基礎的な信頼性技法を正しく使用したならば防げていたはずの事故が続いている。
　製品設計や工程設計の技術者・管理者に限らず、銀行・証券会社・病院・鉄道・航空などの危機管理者にとって、特性要因図、FMEA（故障モード影響解析）、FTA（故障の木解析）などは必須の技法である。

　またQCサークルのような小集団活動も、小改善にFTAを適用して製品設計や工程設計の信頼性を向上することができる。
　一般にこれらの技法の指導・教育は正しく行なわれているとは言えず、多くの場合に飾り物になるだけである。例えば、普通のFTA教育では、頻度確率と状態確率という区別がない。
　だけど、この区別がないのでは、結局のところFTAは飾り物である。
　FTAは、一般に次の手順で行う。次に示す〔実施例１〕に沿って説明すると、

起こしてはならない事象（トップ事象）をFT図の最上位に置く。
中間事象（場合分けのための事象）、すなわち第１次中間事象（必要なら、第２次も）を列挙し、さらに因果関係を展開し、最下位に基本事象（直接に確率を見積る事象）を列挙し、それぞれの確率を見積もる。
そこから逆に確率を集計（加算、または、乗算）して行き、トップ事象の確率を求める。
下位事象Ａ、Ｂなどが１つでも起きれば上位事象Ｘが起きる場合は、Ａの確率とＢの確率の加算値をもって上位事象Ｘの確率とする。この関係を表すには、上位事象Ｘと下位事象Ａ、Ｂの間に「ORゲート」の論理記号を介在する。→　右下の表
下位事象ＡとＢが同時に起きるときに限って上位事象Ｘが起きる場合は、Ａの確率とＢの確率の積をもって上位事象Ｘの確率とする。この関係を表すには、上位事象Ｘと下位事象Ａ、Ｂの間に「ANDゲート」の論理記号を介在する。
下位事象Ａが、条件事象Ｂが起きている時に起きれば上位事象Ｘが起きる場合は、「制約ゲート」を用い、その横に条件事象を、下に下位事象を配置する。
トップ事象の確率が過大なら、確率が最大のルート（クリティカルパス）に対して対策を講じ、トップ事象の確率が十分に小さくなるまで繰り返す。
基本事象や中間事象の発生状況の記録を維持し、年に１回程度、確率評価を実際のデータで見直す。

　しかし、多くの場合、基本事象の確率を見積ることができずに形骸化してしまう。なぜか？　原因は２つある。
《第１の原因》データアプローチの原則に従わずに、カンで確率を見積もるからである。
　自動車の脱輪事故、六本木の回転ドア事故、新潟水害など、いずれの場合も確率を低く（ほぼゼロに）見積もって失敗している。
　なぜ、低く見積もってしまうか？「単なるカン」だからです。「単なるカン」を「事実に基づく判断」に切り替えねばならない。
【第１問】　さて、問題を出そう。いま、医師の指示に従って看護師が外来患者の血圧を測定するとき、患者を取り違える確率はどの程度だろうか？
　年１回にも思えるし、そそっかしい患者や看護師なら週１回にも思える。さぁ、どう見積もるか？

《第２の原因》確率の性質を区別しないからである。
【第２問】FT図はトップ事象から基本事象までをORゲートやANDゲートなどの論理記号で連結し、確率の積算を可能にするための図であるが、確率には4つの異なった性質のものがある（結局は２種類に帰する）。

「年に１回起きる程度だから、１か月で起きる確率＝0.08」というような単位時間の故障確率
「設計上十分な強度がある確率＝0.1」というような状態確率
「日産1,000個で不良率１％の製品ロットから取り出した特定の１個が不良品である確率＝0.01」のような混入確率
「袋の中に白石100個、黒石100個が入っていて、その中から1個取り出したものが黒石である確率」のような帰属確率

　これら異なった性質の確率を、相互に掛け算や足し算することは許されるか？
【第３問】　ある塔が震度７の地震で崩壊する状態確率は0.1程度であり、そのそばを日中は１日100人ほど通り、夜間は10人ほど通る。
　この地域で震度７の地震が50年に１度起きるとして、この塔が地震で崩壊して人が死傷するのは、何年に１人と見積もるか？

【第４問】 2006年2月15日に、みずほ証券で誤発注が発生し、損失は500億円に拡大した。
　金融庁の発表では、証券会社による昨年１年間の株式の誤発注件数が198社で合計14,318件に達した。売買代金が１億円超の誤発注も667件あった。
　こういう誤った指示による損失金額の期待値は確率×金額として計算されるが、この期待値を下げる手段はどうすればよいか？

■FTAのヴァリエーション
　右の表は何だと思いますか？
　実は、これもFTA。ライターの着火不良をトップ事象にして解析した事例だすが、上に示したような論理記号は使わない。
　管理技術は、習ったことを覚えるだけでは使い切れない。自分で考える能力を養うことが大切だ。

■FTAの〔実施例２〕
　セミナー当日に何らかの事情でセミナーを開催できなくなる事象を何としても回避するために、FTAを行った当研究所の事例を紹介する。右の上の図で、「開催不能」がトップ事象である。基本事象をもれなく列挙するために中間事象として５Ｍを列挙し、それぞれの基本事象を導いて確率を評価する。
　頻度の見積は正確なところは分からないので、月１回よりは少ないが10年に１回よりは多いなら年に１回と判断する。

　「年に１回かな？　３回かな？」などと判断しないで、１日１回、週１回、月１回、年１回、10年に１回、100年に１回、1000年に１回～と言うような単位で評価する。その結果、年に１回（１日）の頻度で起きると判断した事象が、セミナー当日に起きる確率は、１日/年間稼働日数＝１日/260日＝4×10^-3 　それが分かれば、月１回の事象がセミナー当日に起きる確率、12×4×10^-3、10年に１回の事象がセミナー当日に起きる確率、0.1×4×10^-3、という要領で各基本事象の確率を右表に示した。

　何も対策をしなければ、合計で年17回の頻度で開催できない恐れがある。
　次に対策を考える。交通機関の運行異常に対しては、会場付近に前泊することで対処する（確率⇒0）。
　プレゼン機器は全て２台ずつ準備し、講師も２名が交代で臨時講師として待機し、冗長設計を採用する。
　冗長設計をすると故障発生の確率は自乗の関係になり、年に１回故障しそうなパソコンを２台そろえて、（年１回）×（年１回）＝（年１回）×（４×10^-3）＝1,000年に4回

に改善され、トップ事象のへの影響は、パソコン、電源、マウス、プロジェクターの４つで、1,000年に16回となります。一方、講師の病気対策の効果も、1000年に4回であり、結局、開催不能の頻度リスクは、 16回＋4回＝20回/1000年＝１回/50年　停電リスクは10年１回で、自家発電の故障等が年１回あるとして、４×10^-4（４×10^-3）＝0.4回/1000年、となって他に比べて無視できる。
　FTAにより、リスク全体を見渡し、クリティカル・パス（最大リスク箇所）が可視的になる。

　このような概算見積もりのもとで５年過ごした実績データと照合して、確率の是正を行った。
　パソコン等の故障や講師の病気などの頻度を、「１回/年　→　１回/４年」に修正した結果、右の図のようにトップ事象の頻度は、「１回/５０年　→　１回/５００年」と一桁小さいものとなった。

　上の事例では、基本事象が起きるとストレートに事故（トップ事象）につながった。しかし、システムによっては、下の表に示すように、いろいろなケースがある。

基本事象の性格	基本事象と影響
その事象が起きれば、結果も程度も分る	停電 → パソコン機能停止 → 講習会の開催不能
その事象が起きても、結果は分るが程度が不定	地震 → 震度によって影響の程度は不定
その事象が起きても、結果も程度も不定	修理中を終了と勘違いして自動車を運転 → 何が起きるか不明

　このようなさまざまな基本事象が起こるシステムでは、どのようにFTAを構築するか？
　実務ではかようなシステムが多く、かような問題をどんどんこなす力がないと実務は勤まらない。
　例えば、ヒヤリハット活動というがあるが、ヒヤリハットは次から次へと無数に出てくる。

　その全てのヒヤリハットに発生対策を講じなければならないかどうか、を判定するツールにFTAが使われる。
　ヒヤリハットには上の表に示す３種類のものが含まれるので、これらの扱いが分からないと収拾がつかないことになる。

ETA

　ETAは、基本事象が起きたときに、トップ事象に至らないようにする危機管理手法である。
　新潟の水害で河川が危険水域に達したときに、自治体によって対応に差がありました。

ある自治体は、「危険水域に達したのだから、堤防が決壊する可能性がある。」と考え、住民に避難勧告を出した。
別の自治体は、「昨年も数年前も危険水域に達したが、何も起こらなかった。故に、今度も何も起こらないだろう。」と考え、住民の避難勧告は出さなかったのである。

　危機管理は、「起きるかどうか」ではなく「起きたらどうするか？」の問題である。事前に対策を考えて準備しておかないと、起きてからでは対応しきれません。

　そこで基本事象が起きたとの前提で、トップ事象の発生確率を（例えば）10万年に１度程度に追い込むのがETA(Event Tree Analysis：事象の木解析)である。
　JR福知山線の脱線事故の場合も、「もし脱線転覆したらどうなるか？」を考えていないフシがある。
　あの急カーブのところにあのマンションがあってよいか？対向列車や後続列車を自動停止するシステムがなくてよいか？
　基本事象が起きたときにトップ事象に至らないようにするには、逆に、故意にトップ事象が起きるルートを考え、そこに対策を講じて行かねばならない（悪意ある管理者の発想）。
　それには新QC七つ道具のPDPCで基本事象を展開し、各基本事象にETAを展開すれば格段に有効性が増すことが分る。

FMEA

　FMEAについて冒頭で簡単に説明したが、例にもれずかなりおかしな指導・教育が行なわれている。
　FMEA/FTAには、いくつかの落とし穴がある。まず、「故障モードとは何か？」という最初の第１歩から人によって考え方が違う。
　また、その見つけ方、評価の仕方、評価の基準、対策の仕方も人によって教え方が違う。だから、幸運にも正しい指導を受けた人は有効なFMEAを行なうが、多くは誤った指導を受けてしまって、体裁上のFMEAで終わってしまうのだ。

　なぜ、そうなるか？数あるFMEAセミナーには「故障と故障モードと不良の区別が分からない」という、全くデタラメなの講師もいる訳である。
　また、実務経験もなしに書物や論文から得た知識だけの大学の先生もいる。というワケで、いろいろな指導の仕方が生まれるのである。
　本セミナーを受講すると、こういう偽者講師の判別がつくようになる。客観説TQMの考え方を身につけた上でFMEA/FTAに進めば、正しい理解が素早く得られる。以下、さわりを見て参ろう。

故障モード

　1. 故障モードとは何か？
　ある機器を買って、使い始めてから数年過ぎたとする。その機器の中に「作動ピン」があって、それが使っているうちに何かの原因で曲がると、「作動ピンの曲がり」という事象と「機器が動かない」という事象が把握される。
　そこで、前者を故障モード、後者を故障と呼び分ける（同旨：久米均、「設計開発の品質マネジメント」、日科技連 P.141 は故障モードの意味を正しく解説している）。つまり、停止、チョコ停、油漏れ、騒音・振動････というような機能障害が故障であり、ひび割れ、　欠け、腐食、磨耗、曲がり、折れ、断線、ピンホール～などの物理・化学的な変化（システムの破壊）を故障モードと呼ぶ。

　私が勉強を始めた1960年頃、「モード」は服装の流行型を意味した。だから、「故障モード」を「流行している故障パターン」だと思った。今思えば笑っちゃうが、友人はもっとひどく、モードとムードを取り違えて「故障ムード」と言っていた。
　ところで現在、正しく故障モードを理解しているか？実は、日科技連や日本規格協会などの大手の指導機関はいうまでもなく、中小のコンサルタントも、書物や講習会でFMEAを誤って伝えている。
　ウェブで拝見することのできる例を紹介すると、西村三郎氏は、FMEA手法テキストを公開している。
　それによると、「FMEA＝故障モード影響解析」とした上で、次のように解説している。以下、これを批判する。

〔西村経営事務所テキストより〕

　FMEA⇒故障モードと影響解析
　　(1)FMEAとは、故障モードをもとに、システムを構成する機器あるいは部品がある故障を起こしたとき、その故障がシステムにどのような影響を及ぼすかを解析し、大きな影響を及ぼす機器あるいは部品を抽出する方法である。
　　(2)故障モードとは、断線、短絡、折損、磨耗、特性劣化などの故障による形式をいうが、製造工程を対象にしたFMEAでは、エラーモードや不良モードが用いられる。
　　(3)故障又はエラーの影響度、発生頻度、致命度、おのおのの段階をスケール評価し、その積である危険度優先順位数が基準値以上のものの改善を検討する。
（例えば、影響度、発生頻度、致命度、おのおのを10点満点で表し、その積である危険度優先順位数が100以上のものの改善を検討する。）

　(1)「故障モードをもとに」が、その後の「構成する」「起こした」「及ぼす」「解析し」「及ぼす」「摘出する」という６つの動詞のどれにかかるのか曖昧である。こういう曖昧な表現は、理解不十分な人に特有のものである。
　(2)「故障モードとは、断線、短絡～などの故障による形式」とあるが、列挙したものはシステムの破壊形式であり故障（機能障害）形式ではない。つまり故障と故障モードの区別が曖昧である。
　設計FMEAでは断線などのシステム破壊を故障モードとしつつ、工程FMEAでは一転して不良モードなどのアウトプットを故障モードとする理由も不明である。

　(3)「影響度、頻度、致命度の10点評価値積である危険優先順位数が100点以上のものの改善を検討する」とあるが、影響度＝致命度であってこれが重複している反面、検知難度が抜けている点も、全くのデタラメである。
　同じく(3)で、100点というカットオフ・ポイントの根拠が見当たらず、全くのデタラメである。
　「危険優先順数でリスクを評価する」ということは、換言すれば「100点というような基準を設けない」ことを意味するものであって、西村氏はこの点の理解を欠いている。

　１０点法は、評価すること自体が困難なうえ「対策の要否」は評価しない。故に、出てくるのは優先順位だけで要否の判断はあり得ない。このような誤った指導が、多くの専門書やセミナーに見られる。
　このような指導をする大学教授、参考書の著者、セミナー講師などの指導者は、自分ではFMEAの実務経験がないと思われる。なぜなら、疑問点に答えることができずに、逃げてしまうからである。例えば、日科技連セミナーにおける小野寺氏の指導をみると、～

（問い）「停止しない～という現象は故障か故障モードか？」
（答え）「故障モードは故障現象・故障状態で、『停止しない』は製品の故障現象で故障モードである。と、意味不明である。
（問い）「RPN＝200点を改善して100にしても、それがまだ最大値ならどこまで対策が必要か？」
（答え）「FMEAは設計改善項目を摘出することが目的で、できるだけ多くの設計見直し事項を摘出するように考えた評価をする」と、これまた意味不明である。

　（有）アイテックインターナショナルというサイトでは、FMEAを次のように紹介しており、３つの間違いを指摘することができる。

　FMEA(故障モード影響解析
　Failure Mode and Effect Analysis) 製品(システム)を構成する部品などが故障した時に⁽¹⁾，どのような製品(システム)の不良現象⁽²⁾になるかを整理し，影響の大きい不良現象⁽³⁾を事前に排除することができる設計手法．

　(1)「故障した時に」ではなく、「使用中に」どんな故障モードひいては故障や災害が起きるかである。
　(2)「どのような～不良現象」ではなく、「どのような故障」である。これは不良と故障の区別を知らないことを意味する。
　(3)「影響の大きい不良現象」を排除するのではなく、「放置できない故障モード」を排除する。素人設計の多数の欠陥を含むシステムを前提に、全部の欠陥は排除できないからせめて影響の大きいものだけでも排除する～との考え方で実用性ありとは思えない。

　国井良昌氏が日刊工業新聞社の２００８年「機械設計６月号」に提唱された３Ｄ-FMEAと称するやり方がある。これは故障モードをブレーン・ストーミングで列挙する代わりに、経時的に列挙するというものである。
　つまり、製品のライフサイクルを考えて、初期に出る故障から始まって経年変化によるものまで順に抽出することによって、格段に故障モードの列挙数が豊富になるという。
　しかし根本的な間違いがあって、到底、賛同することはできない。品質管理の基礎理論においても間違った認識をしている（参照）。

　１．「ブレーン・ストーミングをする代わりに」とあるように、故障モードは潜在的とし、「潜在的なものを抽出するには時系列的にするのがよい」と提唱しているに過ぎない。
　２．故障モードは「材料劣化」や「接触不良」など、トラブルの状態や現象であるという。つまり、
　　故障モード（材料劣化＝システムの破壊）
　　故障（接触不良＝機能障害）
の区別がないというのは、致命的な欠陥である。
　３．故障モードと故障が混ざった「豊富な列挙」がむしろ弊害になり、初期と経年に分けなければならない分だけ、さらに余計な手間となる。

　もう１つ、國井良昌氏のFMEA指導例を紹介しよう。
　下のFMEA表のNo.1の行で、「マグネットの脱落」を故障モードに、「ねじの緩み」と「部品不良」を原因にしているが、「おかしい」と思わないのだろうか。
　１．「ねじの緩み」はインターフェースの故障モードである。
　２．設計FMEAは設計に対する評価であり、設計には不良品が含まれないから、「部品不良」が原因となることはあり得ない。

　不良品を問題にするのは工程FMEAである。もし部品不良を原因とするなら、ありとあらゆる不良を列挙せねばならず、これまた際限のない仕事になってしまう。
　３．「発生度１」、「検出度３」の判断が恣意的で根拠がない。
　４．「危険度」がいくらなら対策が必要なのか不明である。

〔國井良昌氏のワークシート〕

　もう一つIT 情報マネジメントというサイトの解説を拝見しよう。
〔1〕パイプの「漏れ」「詰まり」は機能障害（＝故障）であり、電気回路の「断線」「ショート」「ドリフト」は構造破壊、「ノイズ発生」は機能障害である。「亀裂」「さび」「伸縮」「塑性変形」「脆性破壊」は構造破壊であり、全く性質の異なる事象を混同している。ただし、パイプ中の「障害物の存在」は故障モードである。
〔2〕「各分野で発生し得る不良事象を一般化したもの」と、不良と故障モードを混同している。
〔3〕「根本的な故障原因と最終的な故障結果を結ぶ分類概念」と説明するが、なぜ、構造破壊も機能障害も区別なく故障モードとしてしまうのか、理由の説明がない。

　故障モードは根本的な故障原因と最終的な故障結果を結ぶ分類概念で、パイプであれば「漏れ」「詰まり」、電気回路ならば「断線」「ショート」「ドリフト」「ノイズ発生」、機械加工ならば「亀裂」「さび」「伸縮」「塑性変形」「脆性破壊」というように、各分野で発生し得る不良事象を一般化したものである。

　次の例は、真壁肇編「信頼性工学入門」（日本規格協会）の模範例で、間違いだらけという他はない。
　正しくは表の黄色の欄が故障モードであり、「踏み込めない」、「戻らない」は故障（＝機能障害）と理解すべきで、JIS用語に規定されている。
　１．故障モードの欄：上半分の「踏み込めない」等は故障であって故障モードではない。
　２．原因の欄：上半分の「ペダルクランクの折損」等は故障モードであって原因ではない。
　３．黄色の欄は全て故障モードなのに不統一。
　４．原因欄にたまたま気付いたものをトップ・ダウン式に挙げ、列挙漏れが起きる。例えば米国トヨタで起きた「マット外れでペダル戻らず」が抜ける。
　５．原因欄に「溶接不良」とあるが、不良は工程FMEA（PFMEA）で扱うべし。設計FMEA（DFMEA）は設計通りのアイテムを前提に解析すべきもの。
　６．トップ・ダウン式列挙である故に、最も重要な運行システム（最上位システム）の解析が抜ける。
　以上の意味は、セミナーで解説する。

　このように故障と故障モードを混同する立場を機能障害説というが、この表を見て、指摘した６つの誤りが目に付くなら貴方は卒業である。
　実は、ISO/TS16949がこの誤ったQS 9000規格のFMEAを承認したことに問題がある。これはアメリカのビッグスリーといわれるジェネラルモーターズ、フォード、クライスラーが共同して定めたもので、日科技連や日本規格協会（HPに、そう明示している）のFMEA講習も同様である。

　右の朝日新聞（2010-03-05）の記事によると、2009年のリコール件数は、

トヨタ　：487万台

フォード：452万台

GM　　：223万台

　2010年に入ると、トヨタとGMは、さらに数百万台のリコールを追加している。
　米国における自動車のリコールは、トヨタが槍玉にあがった形だが、その影でビッグ３のリコールは膨大な件数にのぼり、彼らが行なっているFMEAが飾り物であることを如実に物語っている。

　ここでは、クラックや変形などのほか、「トルクを伝えない」、「乗り心地が悪い」のような機能障害も全て故障モードとされる。要求を満たさないものは全て故障モードの扱いだが、これだと非常に困ったことになる。ビッグ３を向こうに回してモノ申すのも恐れ多いが、だからとて誤りは誤りだ。
　アメリカ発祥のE・デミングのPDCAサイクル、Ｐ・ドラッカーの目標管理、Ｖ・パレートの原則に由来する重点管理などの誤りが既に明らかになっており（参照：ＨＰ開設の目的）、これらを中心とする古典品質管理からの脱却を進めなければならない。

　幸いなことに最近の情報で、TS16949 の審査に当たってわが４点法を排除しない傾向にある。要するに「ちゃんとした説明ができればそれで十分」との意見がTS関係者に多い。10点法は最低限度の要求で、より合理的な４点法を排除する趣旨ではない。以上は、このセミナーの受講者の声（16）にも反映している。
　TS関係者は４点法FMEAを排除しないが、むしろ困るのは「10点法でなければ、取引をしない」という心無い顧客に出くわす場合である。従来のQS 9000 の10点法FMEAは、次のような問題点を含む。

項　目	内　容
FMEA の担当者	営業・購買・輸送・保管・製造・設計・生産技術など、各部署からのメンバーで構成した多機能チーム（Multi-functional Team）が担当する。FMEAを設計レビュー（DR）と勘違いした結果である。素人チームが担当するから、素人向きの方法を考えやすく、次のような過ちに発展する。
機能入口説	素人は設計の細部が分からないから、一番分かりやすい「完成品の故障」から手をつけようとする。　つまり、機能→機能障害（故障）→原因という構図を考え、機能障害（故障）と故障モードを同視する。ここで、故障モードは「潜在的なもの」との誤った観念に陥る（潜在的故障モード）。 FMEAはボトム・アップだと言いつつ、実質はトップ・ダウンをしている。なぜなら、先に機能展開というトップ・ダウンを行なって、あとから逆に辿ることをボトム・アップと称しているだけだからである。
トップ・ダウンの弊害（1）	完成品システムから入るから、その下にサブシステム、コンポネント、パーツという具合にシステムの階層性に従ってトップ・ダウンに展開して考える。すなわち、「FMEAはボトム・アップ、FTAはトップ・ダウン」という基本的な区別をここで誤る。故障モード＝故障、との考え方だと、列挙するにはトップ・ダウンの「機能入り口説」がよいことになる。つまりシステムの機能（任務）を明らかにして、次にそれを実現するにはサブシステムにはどのような機能が必要かという具合に機能を展開することになる。しかし、それだと「想定内の故障」だけを問題にする手法になり、FMEAの本来の目的である「想定外の故障と災害」は見つからない。「機能障害＝故障モード」が起きるメカニズムとして「気がついたもの」を列挙し、「気がつかないもの」は漏れるから、「漏れの多い解析法」になる。機能障害（故障）を故障モードと同視するのなら、「故障モード」という概念を導入する必要がない訳で、到底耐えられない理論的な矛盾である。
トップ・ダウンの弊害（2）	完成品を最終システムとしてトップ・ダウンで解析すると、その上位の運行システム（使い方、メンテナンスの仕方）の解析が漏れる。例えば、客車をトップ・ダウンで解析すると、「脱線」という故障モードは決して出てこない。現在、社会問題になった事故の大半は、この運行システムの解析漏れによる。
評価の観点と10点法	素人は故障モードの対策の必要性について絶対的な判断は出来ないが、「Ａ故障よりもＢ故障を優先して予防してほしい」という相対判断はできるので、故障について優先順位の評価をすることになる。そのためには「同順位」の評価を極力避けねばならず、故に段階の多い10点法を採用する。 10点法を採用すると、ある故障モードを３と評価すべきか６と評価すべきか、評価の決め手がなく、デタラメな評価となる。優先順位を無理やり決めたとしても、対策の要否について根拠ある判断は全く出来ない。従って、「必要な対策は打つ、不要な対策は打たない」という最適信頼性の基礎がなくなってしまう。
コンカレント・エンジニアリング	担当者の能力・知識不足、機能ブロック図の作成、故障と故障モードの混同、10点法の困難、対策要否判断の困難、などの原因で、FMEAに膨大な時間を費やすことになり、コンカレント・エンジニアリングは実施不能に陥ってしまう。

　JIS z 8115 は、次のように定義している。

「故障」とは規定の機能を失うこと。

「故障モード」とは故障状態の形式による分類。例えば、断線、短絡、折損、磨耗、特性の劣化など。

　故障モードの定義の仕方をみると、「折損、磨耗～」などの例は部品の場合に限らない。組立品の故障モードも「剥離、抜け、緩み、詰まり、外れ～」などのシステムの破壊であり、「動かない、回転しない、伝わらない」などの機能障害は故障モードではない。
　また、「故障モードが原因になって故障が起きる」のではない。原因は「製品の落下」や「経時変化」などのシステムに加えられる使用環境である。これらの原因によって生じた破壊が故障モードであり、その影響が故障、及びそれが引き起こすトラブルである。
　例えば、シャフトと板をネジ止めして組んだ組立品の故障モードとは、何を指すか？

　さらに、完成品（完成組立品）の故障モードはどのようなものか？　完成品の故障モードで終わりか？～などの問いに的確に答えねばならない。
　初期の新幹線で、トイレのドアが開かず閉じ込められるトラブルが頻発した。トンネル通過中に気圧が下がって、トイレのドアが開かないのである。気密性がよすぎたのであるが、開くはずのドアが開かないのだから故障は故障だ。ところがドアは勿論、どこも折れたり割れたりしていない。はてな、この場合の故障モードは何だろうか？
　この問題は、JR福知山線の脱線事故の故障モードを考える場合にも共通する。実際に起きた事故を分析すると、JRの安全対策がA,B,C,D,EのEであることが分る。何しろ運転手がポカをすればそれっきりで、「エレベータ嬢がポカをすれば、たちまち落下する高層ビルのエレベータ」のようなものである。

　ポカの話が出たついでに、ポカヨケの話をしよう。2010-8-17、羽田発神戸行き全日空411便（エアバスA320、乗員乗客102人）が神戸空港に着陸した際、逆噴射装置が作動せず、タイヤのブレーキのみで着陸した。
　全日空によると、16日夜からの整備作業の際、整備士が逆噴射装置を解除。作業終了後、正常に戻すのを忘れたらしい。エンジン内部で解除したため、運航前点検で機長は気付かず、着陸時に「使用できない」との表示で分かった。ブレーキの効き具合によっては、大惨事になるところであった。

　新聞等のマスコミの記事以上の通りで、これではマススコミの使命が果たされていない。なぜなら、一般の読者は勿論、航空会社ですら「整備士は、もっと注意して気を入れて仕事をすべきだ」と思ってしまい、何の啓蒙にもならないからである。
　問題は、整備士の不注意を責めても解決しない。誰にもポカ（ヒューマンエラー）は起こり得るから、ポカヨケが必要である。例えば、「使用できない」との表示が離陸前に出る設計でなければおかしいのであって、エアバス S.A.S.社に対して、至急、是正を要求すべきである。

　JISの「故障モードとは、故障状態の形式による分類」という不明確な表現に問題がある。「脱落、ずれ、さび、破損～」などを指すなら「システムの破壊形式」と表現すべきである。さもないと「止まらない、動かない、振動が出る」なども故障状態の形式による分類だとする解釈も出てくるからである。同様に、電気通信大学の河野哲也氏がウェブに公開する故障モードの定義は、何も考えなかったとみえて、

　故障モードとは、故障の一般的現象を表す言葉。例えば、脱落、ずれ、さび、破損など。

～というもので、JISの定義と同様である。「故障の一般的現象」を表すとすれば、「止まらない、動かない、振動が出る」なども故障モードになる。現に、同氏は「配管のさび」「配管に亀裂」のほかに「液漏れ」をも故障モードにしている。同氏ないし指導教官は、この定義が「意味不明の曖昧なもの」との疑問を持たなかったのであろうか？

　意味不明の定義は学者として理解不十分であることを示すもので、これを読む実務者にとって無益のみならず誤解を生んで有害である。
　同様の「JISの定義の丸写し」は、オムロン綾部のサイトに見られる。

〔Q〕FMEAの「故障モード」とは何ですか？
〔A〕故障モードとは、故障状態の形式による分類のことをいいます。断線、短絡、折損、摩耗、特性の劣化などが例として挙げられます。FMEAでは、システムが受ける信頼性、保全性等に関する影響を解析し、重要な故障モードを摘出します。

　繰り返すが、「故障状態の形式」は「動かない、止まらない」などの機能障害の形式の意味であり、例示された「断線、短絡、折損、摩耗」等は構造破壊の形式である。定義と例が一致せず理解不十分であり、これでは当工場でFMEAが正しく行われているとは思えない。

　世界的に通用する故障モードの定義は、次の通り。
Ways in which a product or process can fail. 　訳すると「製品または工程の故障の起き方」であり、この定義は正しい。
　しかし理論のない人がこれを読むと、完全に誤解する。例えば「自動車のワイパーが作動しない故障は、なぜ起きるか？」と考え、モーターの故障、モーターとワイパー軸を連結カプリングの空転故障、スイッチ接点が摩滅、バッッテリーの上がり、被覆が剥れた不良電線など、いくつかの起き方を考える。
　これらが「ワイパー作動せず」という上位の故障に対する故障モードだと理解しまうと、故障と故障モードと不良の区別は完全になくなる。この解釈の間違いは、The way をトップ・ダウンに考える点にある。
　FMEAは、想定外の故障や災害の可能性を探して、その可能性を評価する手法である。

　目的とする故障や災害は「想定外」だから、「この故障、または災害は、なぜ起きるか？」という出発点はあり得ないのだ。
　正しくは、ボトム・アップに辿ればよい。すなわち、この部品が壊れたらどうなるか～という具合に、出発点は最下位に位置する部品と結合の破壊である。モーターの電線の断線、電線のショート、電線とコネクターの分離、コネクターの外れ～というような部品と結合の破壊が出発点であって、機能不全（＝故障）は故障モードにならない。不良品を設計するはないから、故障モードに「不良」は出てこない。
　トップ・ダウンという間違いは、機能　→　故障　→　「下位の故障、不良、部品の破壊」という順序をたどる特徴がある。ワークシートでいうと、最初に「機能」を記載するようになっている場合は、トップ・ダウンのやり方であることを示している。

★　2006-7-31、ふじみ野市の市民プールで排水口の柵が外れ、小２の少女が排水口に吸い込まれて死亡した（小２プール排水口吸込み事件）。
　10年ほど前にプールを新設する際の設計で、３か所の排水口の各２個の柵（柵は合計６個）はボルト固定になっていたが、穴加工は工場で行わずプールの現場で現物合わせで加工された。そのため柵は特定の位置にしか取り付かず、互換性のない状況にあった。
　６年前にプール清掃時に６個の柵を外し、清掃後に柵を固定しようとしたときに柵が入れ替わって、柵と枠のボルト穴（１個の柵で４個の穴）が合わなくなったのである。
　ところがプール管理者は「穴が合わないのは、取り付け位置が違うため」とは知らず、ワイヤで固定することにした。

　ボルトがワイヤに変わったこと自体が大変な事態だというのに、それを６年間も「異常なし」と判断した。その上、ワイヤの点検もしないまま放置し、腐蝕→折損→柵の外れ、と進んだ。
　設計時にワイヤはないから、ワイヤの腐蝕・折損は故障モードではない。ボルトを清掃時に緩めて外すことは折込済みの正常な変化であり、ボルトの緩みや外れが故障モードとなったワケではない。
　この場合、設計段階で何が故障モードか、貴方は分りますか？

＜左の柵が外れた状態＞

　2. 故障モードの探し方
　故障モードと故障の区別を間違うと、「故障モードは機能障害だから、漏らさず故障モードを列挙するには、機能を漏らさず列挙すればよい。」とする考え方になる(機能入り口説）。
　この機能入り口説の講習会に出てみると、決まって面白い例題が出る。
　懐中電灯には反射板があるが、この部品の故障モードを列挙するには、まず機能として「電球保持機能、通電機能、反射機能」の３つを洩らさず列挙する必要があるそうだ。

　そうすれば「電球を保持しない」、「通電しない」、「反射しない」という３つの故障モードが見つかるというが、どれも故障モードではないから笑っちゃうね。もともと機能が分かっていなければ設計できないのであって、機能を洩らしてはならないのは商品企画ないし設計の時である。FMEAの段階で「機能を洩らさず列挙せよ」というのでは既に遅い。
　機能→機能障害→故障モード、の順に故障モードを拾い上げるのはトップ・ダウンのFTAである。ボトム・アップ方式で品目から入って故障モードを拾うのがFailure Mode and Effect Analysisである。

　FMEA ワークシートを見れば、誤ったトップ・ダウンのFMEAが一見して分る。つまり、ワークシートの冒頭に「機能欄」があり、次に「故障モード欄」、「原因欄」と続くように構成されているからである。
　これは、機能を挙げて、その故障を故障モードとし、次に、その原因を導くという具合にトップ・ダウンなっている。

　FMEA　の目的は、どのような故障（機能障害）や災害が起き得るか、を予知することにある。つまり、想定外の故障や災害を探らねばならない。
　ところがトップ・ダウンのやり方は、想定内の故障から出発するから、目的からして FMEA にはなり得ない。そのようなワークシートを事例から拾って、下に紹介する（赤の丸印に注意）。

(Robin E. McDermott.p.24)

日科技連	（独）海上技術安全研究所（宇都宮大学工学部機械システム工学科）	（財）機械振興協会技術研究所

　ワークシート（正・誤）のサンプルを参照 ⇒ クリック

ワークシート(A)「現行管理」の項目がない場合

品名	機能	故障モード	影響	原因	厳しさ（S）	頻度（O）	検知難度（D）	RPN

ワークシート(B)「現行管理」の項目がある場合

品名	機能	故障モード	影響	原因	現行管理	厳しさ（S）	頻度（O）	検知難度（D）	RPN

　読者が上のFMEA ワークシート(A)、(B) を使っていたら、やり直しを覚悟して欲しい。まずい点は、
(1)「品名」の後、続いて「機能」となっている。
　「機能」を品名の次に挙げたのは、「その機能のトラブル（故障）がなぜ起きるか？」という追跡をする出発点と理解しているからである。すると、ここで漏れてしまった機能とトラブルは、何の対策も講じない、いわゆる「想定外」となる。
(2)「機能」に続いて「故障モード」となっている。
　これは、機能に変調をきたす現象、すなわち、故障と故障モードは同じと理解していることを示す。

　故障と故障モードは全く違う概念であって、これを混同するようでは話にもならない。
　このように、機能、故障を出発点とするやりかたをトップ・ダウン方式といい。想定外のトラブルに手が出ない主たる原因になっており、さらに様々な欠陥を抱えたやり方である。
(3)「現行管理」がないワークシート(1)の場合
　設計は機能設計と信頼性設計から構成され、その信頼性設計を評価するのがFMREAである。ところが、信頼性設計を行っていない素人設計では、「現行管理」がなく、FMEAの評価対象もないことになる。

構造化知識研究所のホームページからの引用

（機能から故障を導き、その故障を故障モードと呼ぶ形になっている：矢印は当サイトが挿入）

　ウェブに公開されたワークシート(A)の事例として、上掲の構造化知識研究所の事例を説明する。左から、アイテム（品名）、機能、故障モード....という順序でワークシートが構成されており、機能の悪化＝故障モード、として故障と故障モードの区別がなくなっている。
　そして、「故障は何故起きるか」を出発点として、その答えとして「原因」が列挙されている。これは、つまり、典型的なトップダウン方式のやり方である。
　ここで故障モードと称しているのは機能障害（すなわち、故障）である。そして、これは「機能」から導いたものに該当する。すなわち、

「電装ユニット内の熱を排出」⇒なぜ、悪化？　⇒「エア吸込み量が低下」「振動がなく静か」　⇒なぜ、悪化？　⇒「冷却ファン匡体の微振動異音」　一般にワークシートは、手順に添って項目を並べるから、品目⇒機能⇒機能障害と進めていることが伺われる（現実にどうしているかの問題ではない）。しかも、列挙が漏れている。作業者の安全を害する「電線被覆の剥離」とか火災の発生を招く「ショート、漏電」等は、なぜ、「故障モード欄」に記載されないのか？
　このような、いわゆる「想定外」が発生することも相対法の問題点の一つである。さらに指摘すれば、上のワークシートの重大な欠陥は、

(1) 故障モード（何が壊れるか）の大半が漏れている。構造の詳細は分らないが、「冷却ファンASSY」という品名であれば、普通、

などは最小限存在するはずの故障モードである。しかも、これらは「機能」から導けると限らないから、列挙もれが生じることは必定である。

(2) 信頼性設計による現行管理の欠如
　設計は、機能設計と信頼性設計から構成されネバならない。FMEAは、「既に行った、あるいは予定した信頼性対策（現行管理）を評価する活動であるが、上のワークシートでは評価すべき「現行管理」（Current control）が欠けており、評価の対象が存在しない。
(3) 評価は「いかに悪いか」ではなく、「いかに対策が不足するか」の評価でなければならない。
　単に「悪い程度」順番を示しても、手段追加の必要があるかどうか判断できない。従って、致命度の値がどうなら改善を要するのか一向に判断がつかないやり方である。RPNについては「許容できるレベルまで改善する」と説明がされているが、その許容できるレベルは決まるはずもない（相対評価は順を決めるだけで、絶対評価をしない前提で成り立つ）。
　その他、相対法のFMEAは、多くの欠陥を包含して実用性に問題を生じている。

〔註〕　構造化知識研究所から、以上の記述を削除すべく要請があった。しかし、これら問題点について納得できる説明はなく、さらに「故障モードについて議論する意思はない」とのことなので削除に応じていない。

　構造化知識研究所が自己のやり方が合理的であるとするなら、自己のホームページにその根拠を説明すれば済むことである。不思議なことに、当方に対して強く抗議するだけで、一向に合理的な説明をしない。

　右のワークシートは、海上技術安全研究所 NMRI　: 松岡猛、伊藤博子等の発表によるFMEA（故障モードおよび影響解析）実施手順：P.15 に示されている模範例である。この例もトップ・ダウンであり、故障モードの記述欄に記載されているものは「機能」から導いた「故障」であって、故障と故障モードの区別を理解していないことが分かる。
　「想定外」を予防することがFMEA役目であるのに、故障から故障モードへの転記において漏れが生じやすいトップ・ダウンであるため、逆に想定外の促進を招き、かつ製造不良を故障モードに含めてしまう間違いを犯すこと必定である。
　このようなトップ・ダウンFMEAは、陳腐化した古典的なFMEAであるから、当然にRPNによる相対法になって、さらにそのキズを深くして行くから、決して真似てはならない。　

〔海上技術安全研究所の模範例〕

（矢印は、等研究所が挿入したもの）　機能に起きる障害は故障なのに、これを故障モードとし、しかも列挙し損ねたものは想定外となる

　機能から入るやり方には、さらなる困難がある。塩見弘「FMEA、FTAの活用」(日科技連出版社）、P.117 に倣ってガスライターの設計について次のような機能ブロック図が作成されたとする。

〔ガスライターの機能ブロック図〕

　これをみて、誰しもいくつかの疑問を持つと思う。
（1）「ガスに着火」の以前に「火花の発生」という機能が抜けている。
（2）「やすり車の回転」と言う機能が抜けている。
（3）「手の力の伝達」という機能が「ガスの放出」の方にない。
（4）「手の力の伝達」という機能は相当に複雑で、親指で「やすり車」を回し、ガスボンベ開放レバーを押し、ライターが倒れないように人差し指で支えねばならない。また、本体が握れると言う機能、「やすり車」や開放レバーを回転可能に支持する機能など、かなりいろいろな部品や構造に関係する。
　このような簡単な事例を「相応の専門家？」が行なっても、機能展開は極めて困難な作業であり、大変な時間を浪費し、結果もきわめて不完全になる。

　そもそも故障モード概念を導入したのは何故か？
　作動ピンとか、こういう品目に付随する故障モードは（個々の具体的な製品が不明でも）一般的抽象的に明らかにすることができ、かつ少数だから、漏らさず一覧表にまとめることができる（同旨：久米均、前掲 P.142 は正当。）。
　個々の製品設計において、この一覧表から直ちに故障モードが決まり、あとは要因と影響を追及すればよい。

　しかし、要因（発生メカニズム）や機能や影響（故障）は個々の具体的な製品によって多岐にわたり、　一般的抽象的に明らかにすることができない。そこで、品目から入って故障モードを列挙することにしたのがFMEAなのである（品目入り口説）。
　品目は部品表などで明らかで、機能を洩らさず列挙して機能から品目や故障モードを探すという迂回はムダな手順である（同旨：久米均、前掲 P.142）。

　機能入口説で故障モードを列挙する方法には、２つのやり方がある。いずれも成功しないが。

品名から機能と故障を導く方法として、機能展開図を作成する。
品名と機能からブレーン・ストーミングで故障モードを探する。

　故障モードから故障を推定する（ボトム・アップ）が正しいのだが、上のやり方はいずれも機能から故障モードを探す（トップ・ダウン）という反対の誤ったやり方である。
　右に、ブレーン・ストーミングを推奨する米国品質協会 (ASQ) のサイトから引用する。

Quoted from the website: ASQ

Learning Objectives

Define the properties of FMEA
Brainstorm potential failures
Assess risk of failure
Determine areas that need action
Apply FMEA methods
Know your role for team participation
Apply mistake-proofing techniques
Describe the purpose of the FMEA process. （Hereinafter abbreviated　by us.）

　ここまで来ると、次のような指導者が使っている潜在的故障モードとかポテンシャルFMEAとかの用語の誤りが明白になる。

ナショナル・セミコンダクター

安藤黎二郎氏

日科技連

テクノシステム

大石直暢氏
　なるほど「潜在的故障モード」という言葉の響きは、姿を見せない故障モードが竹の子の生えるが如く姿を現すようなイメージを伴うから魅力的である。しかしそれは全くの勘違いで、故障モードは決して潜在的ではない。作動ピンの故障モードとして「錆び」、「曲がり」、「折れ」、「磨耗」、「かじり」、「擦り傷」、「打痕」など、その分野の専門家なら漏れなく列挙が可能である。潜在的なのは、故障モードではなく、その影響たる故障や二次災害の方である。

　「故障モードとその影響の解析」とは、顕在的な故障モードからたぐって潜在的（気がつかなかった）な故障や二次災害等を明らかにすることである。
　だから、「故障モード」と「故障」を混同することは絶対に許されない。機能入口説が「潜在的故障モード」の用語を好んで使うのは、FMEAの基本的な原理を勘違いしたものである。

　この「潜在的」という用語は、もちろん英語のpotentialを訳したものである。
　何しろ、英文のFMEA解説書を読むと、

　Potential Failure Mode
　Potential Effects of Failure
　Potential Cause of Failure

という具合に、頻繁に "Potential" が出てくる。これを「潜在的」と訳すと、意味が問題になってくる。
　Potential は、Actual, Existing などの反対後として使われる。すなわち、「現存しないが、将来、実現する可能性のあるもの」という意味である。これは、「知りえない、見えない」という意味での潜在的とは全く異なり、「知っているもの、分っているもの」も　Potential　なのである。"Potential cause" は、日本では「潜在的原因」と呼ばないで、要因（Factor）という。

　それでは、"Potential failure mode" は何と訳すかというと、「潜在的原因」とは言わず、単に「故障モード」と呼ぶだけである。FMEAは設計時に行うのが建前だから、故障モードは、原則として全て "Potential"　だから、それで十分である。
　もし、現実に起きた故障モードと区別する必要が生じたら「起きていない故障モード、起きた故障モード」という具合に呼ぶだけのことである。
　日本語と英語の間の言語習慣の違いについて、一言、触れておく。
　日本語は時間に関係なく「相」すなわち状態を表現し、英語は相に関係なく「時制」すなわち時間を表現する。より具体的にいうと、日本語では、物事の過去・現在・未来に関係なく「始まる前に」「最中に」「終わった後に」と表現する。過去のことについても「始まる前」であり、未来のことにも「終わった後に」という。

　ところが英語は、過去の始まり、現在の始まり、未来の始まりは全て違う。この言語習慣の相違を考えずに直訳すると、ヘンテコな日本語訳になる。
　英語では、現存するものと将来のものとは時制が違うから表現が変わる。将来のものを "Potential"　というのであって、それ以上の意味はない。つまり日本語に「訳す必要のない英語」なのである。
　ところが「潜在的」と表現すると、単なる言語習慣の違いが、俄然、特別な意味（元の英語にない新たな意味）が生まれる。つまり、「見えなかった潜在的な問題点が見えてくる」という魅力的な意味が生まれる。だから、誤訳として戒めなければならない。
　ちなみに「潜在的なもの」は過去・現在・未来を問わずに存在し、"Potential" とは一致しない。日本語の「潜在的」はむしろ、"unknown" に近い。

　英語のこのような言語習慣は理屈の上では合理的かもしれないが、実際は複雑で不便なのである。その証拠に、FMEAは設計の検討ツーであるからFMEAで扱う原因・故障モード・結果・故障・影響・災害などは全てが "Potential" がつかねばならない。ところが、どのネイティブの英文書物でも、
　・Listing potential effects of failure mode
　・Prioritize the failure modes for action
　・Potential cause of failure
のように、"potential" がついたり外れたりで、全くの大混乱なのである。
　全部とは言わないが、こと時制に関しては単純な日本語の方が優れている。わざわざ潜在的故障原因などと言う言葉遣いをする人は、まぁ最初から勉強しなおすんですな。日本では「要因」と呼ぶ。

　Relex FMEA というソフトが販売されているが、その説明文を切り抜いて右に示した。
　何が問題かというと、見出しに「潜在的な故障を解析して～」とあり、その後の本文では「システムの潜在的な故障モード～」と変わっている点である。
　潜在的なのは故障なのか、故障モードなのか、ごちゃ混ぜとなっている。
　これではまともな理解からは遠いと言わねばならない。故障と故障モードの区別を理解しているなら、決してこのような説明文は書かないと思われるからである。

　中央大学教授：宮村鐵夫氏は、故障と故障モードの関係、および、故障モードの探し方について、興味深い考え方を提唱している（品質管理学会誌「品質」1999,No.1の報文に掲載された同氏の論文)。
　宮村氏によれば、現代のFMEAはコンカレント・エンジニアリング（CE）とコンピュータ支援（CAE）にマッチせねばならない。

　故に、設計の思考プロセスに沿った故障モードの発想が必要で、そのための機能展開を行うという。
　原文は極めて学術的表現で説明されており、凡人には容易に理解できない。そこで、凡人向きに具体例を拾って翻訳（誤訳？）して以下に説明する。

　ロータリー・ポンプを設計する際に、

a.（問）要求機能は？
b.（答）機械エネルギーを流体エネルギーに変換
c.（問）変換する原理・方式は？
d.（答）回転エネルギーを流体圧力に変換
e.（問）構造・形状は？
f.（答）シリンダー内でローターを回す構造
との思考プロセスが存在する（右図の上部）。

すると、「要求機能」からは図の下の方に示す①「エネルギー変換不能」と②「変換効率の低下」という２つの非必要機能が導かれる。前者を上の「原理・方式」及び「構造・形状」に照らせば、「所要の回転エネルギーが供給されない」ことにより「高温による熱膨張のためローターの焼き付き」という具体的な故障モードが導かれる。後者についても同様である。

その結果、「高温による熱膨張のためローターの焼き付き」と「磨耗力によるローター磨耗のため内部漏れ増加」という２つの故障モードが得られる、～という。

〔宮村氏のアプローチ〕

　こんなことでは、コンカレント・エンジニアリングは絶望的で、実用性はゼロである。なぜなら、
　(1)故障モードは顕在的である。設計者には「ローターの焼き付き」や「ローター磨耗による漏れ」などは常識で、宮村氏のアプローチで得るものは何もない。
　(2)ボトム・アップであるべきFMEAがトップ・ダウンになり、故障モードの漏れが著しい。上の具体例でも、たまたま頭に浮かんだ故障モードを出しただけで、合計２個しか得られず、大半は漏れてしまう。
　(3)機能展開に時間をとられて設計の遅延が著しく、コンカレント・エンジニアリングは絶望的である。
　(4)宮村氏が「機能故障モード」と呼んでいるのは、機能障害（＝故障）である。

　「機能故障モード」という新たな呼び名を作る価値はなく、用語と概念が混乱するだけである。
　(4)演繹的なアプローチ（トップ・ダウン）では故障モードの漏れが多くなることは宮村氏も自覚しているようでだが、その「漏れが多くなるメカニズム」を誤解している。すなわち、「当該部位だけでなく、他の部位を源としたストレスを見逃すことにある」として、そうならないような膨大な検討作業を提唱している。すると、さらに余計な仕事が増えてしまう。
　結局、FMEAの基本原理（ボトム・アップ）を無視して思いつきで目先を追いかけても、価値ある理論は得られないことが分かる。

　吾伊蘇企画による「ISO/TS16949の窓」というサイトでは、「潜在的故障モードと影響解析」について、最近の改訂を右のように説明している。
　＊リスク優先数（RPN）は、処置の必要性を決定するための推奨方法ではない。
　＊「厳しさ」、「発生頻度」、「検出難度」の内容や数値全てが大幅に変更になった。
～などは、従来の相対法が使い物にならないと認めざるを得なくなった危機感が伺わせる。
　しかも、それを解決する方法は具体的に示されず、もっぱら実務家を混乱さるだけの役目しか果たしていない。

　１．FMEA第４版の主な変更点（順不同）
　1）RPNをリスク評価の主要手段にしないように変更されています。
　第Ⅲ章、第Ⅳ章のリスク評価のなかで、従来使用してきた“リスク優先数（RPN）は処置の必要性を決定するための推奨方法ではない”と追記されています。したがって推奨処置を特定する際には、RPNの値ではなく厳しさ、発生頻度、検出の順に値の高いものからランクを下げることが要求されます。
　2）ランク表が見直しされています。
　設計、工程FMEAの厳しさ、発生頻度、検出の内容や数値全てが大幅に変更されています。

　下に紹介する久次昌彦氏のコメントの要旨は、故障モードを漏れなく探すことの困難を説いており、故障モードが潜在的であるとの誤解が前提なっている。

　また、デザインレヴュー（DR）で設計を知らない素人が故障モードを探すという、トヨタ式未然防止GD3と同様のあり得ない発想にとりつかれている。

　設計工程における品質の作り込みを実現するためにFMEAを効果的に運用するには、故障モードをきちんと抜け漏れなく洗い出せるかが鍵となるため、FMEAを運用している企業では故障モードを抽出するためにさまざまな工夫を行っています。多くの企業では故障モードを抽出する作業までは時間をかけて実施していますが、その後のRPN（リスク優先度：Risk Priority Number）を改善する作業の実施や改善結果の反映までを一連の作業ルーチンとしてうまく運用できていない例をよく見掛けます。
　故障モードを効率的に抽出するためにDR（Design Review）を開いてさまざまな意見を取り込んだり、有識者や過去の経験値をデータベース化してそこから見つけるようにしたり、あるいは、故障が発生する事象を体系化して分析するなどの方法を用いるなど、故障モードに対する検討内容を網羅的に行えるような工夫を行っています。

　大石直暢氏は、技術セミナー協会のHPで次のような不可解な記述をしている。

FMEAは、潜在する故障モード影響解析である。¹

故障とその影響を認識し、客観的に評価する。²

製品設計にあたり、起こり得る故障モードとその原因／メカニズムを解析して評価する。³

　(1)まず、「潜在する故障モード影響解析」という点は、潜在するのは故障モードなのか、影響なのか、解析なのか、意味不明である。
　(2)「故障」とその影響を認識して評価するとあり、「故障モード」を忘れている。
　(3)「起こりうる故障モードとその原因を解析して評価する」とあり、影響を忘れている。

　weblio というサイトでは、FMEAについて、
　「製品などの故障防止を目的とし、設計や工程における潜在的な欠点（故障モード）を見出し、使用時に発生する問題を事前に明確にすることを目的とした手法である。」としている。
　故障モードの意味を「設計や工程における潜在的な欠点」としているが、完全な間違いである。以下、詳細に説明すると、
　(1)「設計や工程」ではなく「製品や工程」である。
　(2)欠点には機能上の欠点と信頼性の欠点があり、後者のみが故障モードである。
　(3)故障モードは決して潜在的ではない。潜在的でないから、そこから潜在的な故障をたどることができ、これがFMEAの原理である。

　それでは、「新製品の設計、製造工程、使用中、どこに、どんな潜在的故障要因があるかを設計段階で摘出し、改善する手法である」という日科技連の説明はどうか？２つの点で問題がある。
■第１の問題 ─ ４点法FMEAを前提にそのように言うなら、あながち間違いではない。なぜなら４点法では、システムについても、その運行についても、
要因　←　故障モード　→　故障（機能障害）
という具合に、漏れなく列挙した故障モードから要因を推定し、対策の要否を判定するからである。
　しかし日科技連が指導する10点法は「故障」と「故障モード」を区別しないから、故障モードは上にも下にも漏れる。

前掲、真壁肇（編）「信頼性工学入門」の表で、「原因」と称して列挙した故障モードは、たまたま気づいたものをトップ・ダウンに列挙しているから「漏れが避けられない」やり方だ。
また、システムの上位にある「運行システム」の故障モードが全て漏れてしまう。

　その漏れた故障モードの要因を顕在化することは所詮不可能であり、上の説明は全く成り立たない。
■第２の問題 ─ 潜在的障要因を抽出して、その中のどれを改善するのか？
　危険優先指数（RPN）で優先順位を得ても、それだけでは改善の要否が決まらないから、上の説明は全く成り立たない。

　わが国の自動車のリコール件数は、Ｔ社、Ｎ社、Ｈ社など各社とも年間約２０件のリコールがある。これ程多いのは「クレーム隠しをしていない」という意味では悪いイメージはないが、クレーム隠しをしていないからと言って、この数字はひどい事態である。

　相対評価法の危険優先指数（RPN）に基づく10点法FMEAでは、全く実用性がないから、現状を超える進展は永久に望めそうもないない。
　早急に、絶対評価法の危険指数（RI）に基づく４点法FMEAに切り替える必要がある。

　3. 故障モードの評価
　列挙した故障モードを評価して設計の是非を決断しなければならないが、評価項目の主なものが、

ａ：影響の大きさ（程度、影響度、厳しさ）

ｂ：起こりやすさ（頻度）

ｃ：欠陥の存在の見えにくさ（潜在性、検出難度）

ｄ：場合により、厳しさを重視する（FMECA）。

以上を総合した危険優先指数：RPN（Risk Priority Number）、または危険指数：RI（Risk Index）
～であることに異論はない。だが、どうやって評価するか、その方法論に大変な違いがある。例えば、「頻度」の例を挙げよう。
　参考書（久米均、前掲 P.143）は次のように説く。故障モードの発生の可能性の評価に当たっては以下を考慮する。

前の設計のものと同じか。

前の設計のものと、どの程度異なるか。

前の設計のものから、使い方、負荷、使用環境がどう変ったか。
　例えば、「従来のホイールは肉厚が４ミリでトラブルがなかったが、コスト低減の目的で３ミリに設計変更をした」というような事実を考慮して故障モードの発生頻度を評価せよというのだ。
　だが、そのようなことを考慮で評価できるはずもなく、今の設計で大丈夫か危ないか、カンで評価するしかない。
　結論をいうと、「そのようなことを考慮してはならない。」とするのが正しい。根拠のない評価では、時間を食うし判断は誤るし余計な対策をして金はかかるし、結局は導入に失敗する。

　IT自分戦略研究所というサイトでは、FMEAを次のように説明している。この記述のうち、下線の２か所が間違いである。

　システムにおける重大な事故・危険の未然防止策を検討するため、設計段階でシステムを構成する部分（サブシステム）の故障モードを一覧表に列記し、それらが生起した場合に上位システムが受ける影響⁽¹⁾をランク付けする手法⁽²⁾のこと。

　(1)　ある部品Ｋが「組立品Ａの中のスイッチの取り付け」に使用され、その組立品ＡがデバイスＢの一部を構成し、デバイスＢがサブアセンブリーＣを構成し、それがいくつか集まって完成品Ｄとなる場合に、部品Ｋの故障モードの影響というのは、上位システムＢではなく最上位システムＤにおける影響である。さもないと、評価することができないからである。
　(2)「影響をランク付けする」ことの間違いは、歩留研究所のところを参照のこと。

　（財）機械振興協会技術研究所が指導している「相対的４点評価」ともいうべきやり方を紹介する。一見して４点法のように見えるが、あくまで優先順位を決める相対法であり、10点法を簡略化しただけのものである。
　次の表は、そこで採用されている頻度の評価法である。この表で、「まれに」とか「頻繁に」とかの表現では、何を基準にしての判断か不明だから判断のしようがない。そこで、「年１回＝まれに」、「日に何回も＝頻繁に」という基準を設けた趣旨と思われる。

　しかし、「航空機の墜落を招くような故障モード」でも、年１回程度なら「まれに」であり、１日に何回も起きるのでなければ「頻繁に」に該当しないというのでは全く使えない基準だし、さりとて他に適当な基準を設定することもできず、相対法は、どうあがいても実用性を認め得ない。

　中央大学教授、中條武志氏の講義でも相対的４点法が説かれ（右図：出典＝Medsafe.net）、欠陥がそのまま現れ、故障モードや原因の概念が曖昧で実用性に乏しい。
　１．信頼性設計で行った対策を根拠にしなければ評価できないはずなのに、全てカンで評価している。また影響」が不明なままで致命度をカンで評価している。
　２．RPNの同順位が多く、順位化の目的を達しない。
　３．RPNがいくらなら合格か、全く判定がつかない。
　４．下から３行目の「患者を間違える」の原因を「似た名前の患者がいる」とするが、「似た名前の患者がいる」のは昔から当たり前だから「手順設計者が当然の対策を怠ったこと」が原因である。もし「似た名前」が原因だというなら、戸籍法を改正して「似た名前」を一掃しなければならなくなり、到底是認できない。

　本来あるべき当然の管理状態にないことが原因である。すなわち、手順の機能設計と同時に信頼性設計をする（手順を遵守せざるを得ない仕組みを作る）のが本来だから、手順設計者がそれを怠ると原因になる。
　以上の原則を踏まえると、「似た名前の患者」があり得ることは周知の事実で、手順設計者はそれを回避する手段を講じるのが当然である。

　すなわち、当然のことを怠ったこと＝「似た名前の患者がいても間違わないような対策」（信頼性設計）を怠ったことが原因だと分かる。
　結局、中条氏のこの表は、「機能設計と同時に信頼性設計をしなければならない」という意識を欠いた反面教師ともいうべきものである。

　4. 購入する装置のFMEAはどうするのか？

　外部から購入するモーター、センサー、バルブなどの品目を多数組み込んだ製品の場合、購入品の設計の詳細が不明だから故障モードが分らない。
　一つの考え方は、故障モードは分らないが故障は分るから、「故障を故障モードとして扱おう」という機能障害説である。これは、勿論誤りだ。

　なぜなら、その先がどうにもならない。
　設計を技術的に理解していない者に、設計の弱点を判断できないし設計をいじることもできない。
　どう考えればよいか？
　２つのやり方があると思われるが、各自、お考え下さい。

　5. 信頼性ブロック図は不可欠か？
　FMEAで信頼性ブロック図を描くのは、簡単な製品ならともかく、ちょっと複雑な製品だと大変に手間がかかる。それでいて、作っても大した使い道がない。
　要らない。直列機能と並列機能（冗長）が混在するようなシステムを検討するときは、信頼性ブロック図は有益である。しかし、直列機能しかない通常の場合は、信頼性ブロック図は不要である。
　そのようなことより、「RIの並列計算」というもっと重要な問題がある。
　いまAという故障モードがあり、次の表のような関係にあったとする（ここでは、RI＝積の３乗根）。

対策	程度a	頻度b	潜在度c	積	RI
A₁	3	2	2	12	2.3
A₂	3	3	3	27	3.0

　対策A₁だけではRIが十分に小さくならないため、対策A₂を追加する。さて、 A₁とA₂の両方の対策を講じたらRIはいくらになるか？
　客観説TQMではこの計算が極めて重要である。なぜなら、小改善（出費の少ない対策）を次々に講じて信頼性を向上することをFMEAの中心的な活動と位置付けるからだ。こういう問題は実務で頻繁に起こる。故に、講師や著者がこの計算を扱わないときは、実務経験を疑ってよい。

　6. 評価の目盛り
　QS 9000（相対的10点法）では、程度・頻度・潜在性などを評価する場合に、10点満点で評価する。
　だが、「目盛りが細かければ精密な評価」とはならない。
　目盛りが細かいと決断に時間がかかり、再評価すると評価が変る。他人が評価すると、また変る。根拠が薄いと、その傾向は一層強くなる。
　10点法では　10×10×10＝1000　段階のRPNとなるが、対策は1000通りあるか？

　普通は精々数個しかない。数個の対策から選ぶ他ないとすれば、こんな多数のランクで評価することが不合理で無駄な努力であることは言うまでもない。
　同順位の発生を防ぐために10段階で評価する訳だが、その順位付け自体が無意味だから、10点法は結局何の根拠もない。
　結局、対策の必要性の観点から、全くダメ＝４、放置できない＝３、まぁまぁ＝２、ほぼ完全＝１、と採点をする４点法が最も強い根拠に支えられ、かつ使いやすい。だが､４点法の長所はさらに別の点にある。

　7. QS 9000の特徴と４点法の関係
　FMEA手法を｢通常のFMEA」、「QS 9000のFMEA」、「4点法」と3つに分けてみると、QS 9000が要求するFMEAは通常よりも少し厳しい。
　だが非常に手間がかかって、一般の企業では実用性がほとんどない。
　特に、各部署の設計の素人が集まったチームが機能ブロック図を作り、何日も時間をつぶして10点法で評価して設計陣と議論していると、ほとんどの場合に設計期限に間に合わない。
　だから「FMEAをやった素振り」をするハメに陥る。現に「FMEAをやっている」と自称する企業で、本当にやっている企業は何％あるか疑わしい。

　４点法は絶対評価法であるため、QS 9000を超える性能と高速化によってコンカレント・エンジニアリング（C.E.同時並行進行管理）を可能にする最も洗練されたFMEA手法といえる。これに対して、相対法は全部の評価が終わらなければ対策を追加できないから、設計業務が停滞し、C.E.どころの話ではない。
　この点を誤ったのが、日本ユニシスの山科隆伸氏で、そのページの下端に、「FMEAはリスクの高い順から優先度を付けてチェックをすることが可能なため、大規模開発のような多数のチェックを要する分野に有効です」とある。だがこの見解は実は反対で、大規模開発ほど優先順位の確定に時間を食って絶対法でなければ全く実行不能である。

　それを理解するためにも、QS 9000 の方法も十分に理解する必要がある（悪い見本として）。10点法がいかに非実用的か、右に、10点法で故障モードを評価する場合によく引用される「厳しさ」と「頻度」の評価基準を掲げた。
　エアコンの騒音の「厳しさ」を評価してみると、「異音・振動」に該当するから2～3だが、その上の「顧客の不満」にも該当するから4～5になり、さらに「顧客の苦情が必至」にも該当するから 6～7 にもなり、まず不可能な評価である。
　頻度も、「ときどき」には4の場合と5の場合があり、これを間違って評価してはならない（間違うとRPNが違ってくる）のだから、まず不可能である。

〔10点法の評価基準〕

〔演習問題〕上の厳しさ（a）の評価基準において、「機能喪失、又は、人命にかかわる」が10点の評価となっている。このように、「機能」の状況と「災害の深刻さ」の２つを考慮する基準を二元基準という。この二元基準の矛盾を指摘して下さい。これは極めて容易な問題であるが、理解できない人が稀にいる。「自分で考える」という思考力に欠けて、矛盾が見えないのである。

　8. 評価の基準

　そうやって求めたRPN評価値がいくらであればよいのか、その判断基準が一般に極めて不明確である。
　危険優先指数の文字が示すように、元々は「RPNが高い程、優先的に対策を打て。」という相対性な基準だった（相対基準説）。それだと、RPNが最大のものに対策を打てば次のものが繰り上がり、どれも同じような値に揃うまで対策が続くことになる。
　また、「跳び抜けた値」でなければ安心か？　「跳び抜けた値」なら対策を要するのか？～という点に根拠が薄い。
　だから、合否の決断がつかず、時間的な遅れ、余分な出費、判断ミスによるトラブルの発生など、ここにもFMEA導入の失敗要因が存在する。
　優先順位を決めるなら、同順位が多数あるのは都合が悪いから何とか差をつけようとして細かく評価する傾向となり、これが10点法になって行く。

　優先順位を決めることの無意味さを列挙してみよう。
　１．全ての故障モードについてRPNを決めないと、一部のRPNを決めただけでは優先順位が決まらない。従って、それまで対策も打てない。
　２．優先順位の高低は対策の要・不要を意味しないから、不必要に対策を検討し実施するムダがあるし、必要な対策を逃す危険もある。
　３．無数の対策があるわけでなく打てる対策は所詮限られるから、細かい目盛りで優先順位をつけても無意味で、対策の要否が分かれば十分である。
　４．優先順位を決めること自体に時間がかかる。

　そんなことよりも「対策の要否」を即刻知ることが重要で、それには絶対基準説が有益だ。客観説TQMでは最適信頼性の概念を用いる（下の図表）。

　そして、危険優先指数RPNではなく、危険指数（Risk Index： RI）と呼ぶ。
　これをあまり厳格に区別する必要はないが、外国人に英語で説明するときは明確に区別しないと通じないから要注意だ。

　〔RI法が解決した4つの問題点〕
　〔RI法が解決した第1の問題点〕
　一般に、信頼性を高めると製品原価が急騰し、逆に信頼性が低いと保全・補修の費用が高騰する。その位置は対象のシステムによって一定しないが、「対策十分にしてコスト上昇の直前」に最適信頼性がある。
　このような最適信頼性を簡単、かつ素早くつかんで判定基準にする絶対基準説をとるのが客観説TQMの特徴の一つである。この図をみると、最適信頼性を与える危険指数が４点法の２となっている。
　＊影響の程度（厳しさ、影響度）：a
　＊影響発生の頻度：b
　＊脆弱性の検知難度：c
を4段階に評価し、その相乗積abcの3乗根に置き換え、 危険指数（Risk Index）：RI＝2 をもって最適とする判定基準であるが、「RI＝2」がなぜ最適か、詳細はセミナーの中で説明する。

　〔RI法が解決した第2の問題点〕
　相対評価法では、航空機が墜落することに繋がる故障モードは「影響度＝10」と評価するだろうし、紙コップが使用中にクラックを発生して中の液体が漏れるような故障モードは「影響度＝3」ぐらいに評価することになる。紙コップにとっては深刻な問題ではあっても、航空機の墜落と比較すれば問題外の些細なトラブルだからである。
　頻度についても、航空機が墜落しかねない故障モードは年に１回でも「頻度＝10」と評価するだろうし、紙コップが年に１回なら「頻度＝2」になってしまう。
　潜在度（検知難度）についても、航空機では「非常に厳しいテスト」でなければ低い値にならないし、紙コップなら手で握るテストで簡単に低い点数になる。

　つまり、相対評価の評価基準は、製品によって千差万別にならざるを得ず、統一された評価基準はあり得ない。
　絶対評価４点法は、この問題を見事に解決して、統一された評価基準を提供する（セミナーで詳説）。
　このことは、工程FMEA（医療を含む）で特に問題である。なぜなら、「大きく影響する」ことと「影響が深刻な結果である」こととは、別だからである。「後工程に大きな影響を及ぼすが損害は少ない場合」もあり、このような基準は実務で使えないからである。
　例えば、血液検査のために採血した「血液の入った容器」を床に落として割れたとする。検査が出来ないから、「後工程に大きく影響する」が、採血をやり直せば済むから大した損害ではない。

　〔RI法が解決した第3の問題点〕
　＊RI評価不能＝対策漏れ（信頼性設計なし）
　＊RIが3以上＝対策必要
　＊RIが2.3まで＝保留可能要
　＊RIが2の場合＝最適
　＊RIが2よりも低い場合＝対策過剰
～という判別が可能なことである。相対評価10点法は、かような判断が全く不可能である。言うなれば医師不在の病院である。患者１人ひとりにつき、「頭痛の程度は8」、「腹痛は5」、「吐き気は6」、「総合では240」、「貴方の優先順位は15番目である。」と順番をつけて並ばせる。
　これでおしまい。FMEAチームは診察も治療もしない。診察しないから、治療が必要かどうか、対策漏れも、不足も、やり過ぎも分らない。

　「エイヤーッ」で対策の要否を決めるなら、絶対に最適信頼性は得られない。しかし、絶対評価４点法は違う。
　・「頭痛は2で治療不要」
　・「腹痛は3で治療が必要」
　・「吐き気も3で治療が必要」
　・「総合点は2.6で、この薬を飲みましょう。」
　・「その結果、貴方の総合点は2.1に下がりましたから、まぁまぁでしょう。」
と、診察も治療も行なうのである。
　FMEA は、全ての故障モードを挙げて、対策の要否を判断するための手法である。ところが相対評価10点法では、その要否が分からない。
　この欠陥は決定的なものであって、相対評価法を採用する限りFMEAの進展は望めない。

　〔RI法が解決した第4の問題点〕
　Aという対策が講じられている故障モードが、「RI＝2.3」であるとき、これに、単独で「RI＝2.6」となるような対策Bを追加したら総合的なRIの値はどうなるか、という計算法を用意した点である。

　〔相対評価10点法のハイライト〕
　相対評価10点法は故障モードごとに危険優先指数：RPNを求めて、この数値の大きさをもって対策の必要性の順位とするため、個々の故障モードについて対策すべきかどうか判別がつかない。
　「NRPが100を越えれば対策する」（西村三郎氏）、「エレクトロニクスで70～80 以上、機械・設備で120～130以上」（松本俊次氏）、他にも125以上とする説もある。しかし、いずれも根拠がなく説得力を欠く。

　この点に窮した結果、ハイライトと称する「ごまかし方」を工夫している。つまり、対策の要否判断を容易にするため、 ”危険なもの＝9～10、無視できるもの＝1～2” と評価せよというのである。
　だがこの操作は10点法の欠陥を隠そうとするもので、潔く10点法を放棄すべきである。「ごまかし」である証拠に、その点を質問しても返答は得られない。
　「ハイライトさせるのであれば、そもそも10点法を廃止すべきではないか？」との質問に対し、小野寺勝重氏の回答は、「致命度、RPNによる評価手法は、相対的定量評価手法です」というだけで、返答になっていない。日科技連は、こういう講師でFMEA講習会を開催してきたことに良心の呵責を感じないのだろうか？

　米国のFMEA研究者・指導者の多くは、右（当サイトの翻訳）のように、カットオフ・ポイント（Cutoff point: 遮断点）という概念を好んで使う。考え方はこうだ。全ての故障モードについて RPN を計算し、適当な区分で分けてパレーと図を作る。そして、NRP の総合計の半分を占める点をもってカットオフ・ポイントとする。なぜ、それが合理的かというと、「NRP の総合計の半分について改善するから合理的だ」という具合で、全く、答えになっていない。
　これだと、優秀な信頼性設計をした設計ほど、全 RPN の半分を占める上位故障モードの数は多くなり、要改善個所が増えるという逆の結果となる。順位を示す数値を、対策の必要性を示す数値に転用することは全く不可能である。

　実際に手を打つ必要のある故障モードと必要のない故障モード区別をしやすくするために、故障モードのパレート図を作成した。その結果、チームは200以上のRPNを持つすべての故障モードに取り組むことを決めた。
　トップからの NRPの累積値が総 NRP の半分となるRPNは200であり、これをカットオフ・ポインとする。RPN　の半分以上を改善することは、正しい方向への大きな一歩になるので、合理的である。こうして、改善すべき故障モードは8個と決まった。

　Robin E. McDermott.The Basic of FMEA
（2nd Edition.P.47）

　上の「カットオフ・ポイントを根拠もなしに恣意的に決めてよい」とする考え方は、一体、どこから来るのか？　日本でもその翻訳本が販売されている米国の著名な研究者、ロビン・E・マックダーモットは、右のように述べている。翻訳すると、「FMEAには、RPNがこの値ならよいという目標は存在しない。RPNのどこまでを要改善とするかは、FMEAチームと会社が決めることである。」
　FMEAチームと会社が決めることだから、FMEA理論からは決められない～という訳である。これは驚くべき見解といわねばならない。

There is no target RPN for FMEAs. It is up to the FMEA team and the company to decide on how far the team should go with improvements.

　Robin E. McDermott.The Basic of FMEA
（2nd Edition.P.39）

　それは「FMEAは、各故障モードについて、改善を要するかどうかを決めることのできない欠陥手法である」ことを白状したようなものである。

　FMEAの基本的な思想は、（厳しさ(ａ)×頻度(ｂ)×検知難度(ｃ) という積の値をもって危険性を総合評価することにある。
　ところが、もっぱら実務的な要請から、(ａ)を特別に重視するやり方（FMECA：Failure Mode, Effect, and Criticality Analysis）がある。
　程度(a)が深刻な故障モードは、頻度(b)と検知難度(c)がこうで総合評価がこうだから心配ないという場合でも、あえて対策を講ずるという思想である。
　その必要性を顕著に示すのが、2007-05-06、吹田市のエキスポランドで起きたコースター事故である。

　コースターの車軸が金属疲労で折れて、車体がもろに転覆して死者、および重軽傷者が出た。
　報道によれば、昨年までは年１回の超音波探傷試験をしたが、今回は事情があって先延ばしにし、過去15年間に一度も車軸の交換はなかった。
　市への届出にも、定期試験は実施していないのに、合格で異常はゼロとされている。
　営業者（その管理委託先業者）の管理・検査が当てにならないのは、監督官庁が検査に立ち会うわけでもなく、単に書類を受け取って体裁をととのえるだけの仕事だらだ。安全管理の理論と運用が、官民ともに定着していない。

　国土交通省は、遊戯施設などの定期法定点検について建築基準法施行規則に検査項目や判定基準を明記する一方、さらにフェイル・セーフ安全設計を義務付ける方針を出した。これまで放置されてきたこと自体が、あまりにも遅すぎる対応だ。
　また、国土交通省が出す方針が万全でないことは、福知山線の事故、山陽新幹線のトンネルの落石、原子力発電所の安全管理など、国土交通省それ自身の事例を見れば分かる。
　大切なことは、起きないための面倒な点検よりも、起きても大事故にならない安価な対策を義務付けることだ。福知山線の脱線事故で言えばガイド・レールの設置である。

　エキスポランドの場合にも、仮に車軸が折損しても転覆しないように、最初の設計段階で受け（レール）を設けておくことである。
　安全が無管理であるとしてエキスポランドは営業停止処分となったが、2007-08-10に３ヶ月ぶりに本件ジェットコースターを除いて営業再開の見通しである。
　吹田市は、「施設の安全は確認できたので、安全宣言の内容が満足できるものなら再開を了承する」としている。
　だが、吹田市にそのような判断が出来る専門家はいないはずだ。だからこそ、被害が起きたのである。
　学者や役人の考えることが常に後手を引くのは、実務経験に乏しいことによるであろう。

　国土交通省の対応の甘さを示す事例をもう１つ右に示そう。エレベータの安全化を図る、平成21年9月28日施行の建築基準法施行令の改正である。
　つまり、出入り口の戸が開いたままカゴが昇降するする危険について、また、地震の際の対応について十分なフェール・セーフをせずに放置して来たということであり、FMEAに先立つ信頼性設計そのものが不十分なのである。

（１）エレベータの駆動装置や制御器などの故障によって、出入口の戸が閉じる前にかごが昇降したときに自動的にかごを制止する安全装置の設置を義務付ける。
（２）地震を感知して自動的に出入口の戸の位置に停止させ、かつ戸を開くことができるように安全装置の設置を義務付ける。

　相対的10点法の重大な欠陥をもう一つ指摘しよう。
　右に示すのは、技術者向けサイト「NIKKEI BP net」に掲載された松本俊次氏の見解である（三菱総研主催セミナー）。
　だが、そのような見解が成り立つ余地は皆無である。なぜなら、例えば、厳しさ（a）＝6、頻度（b）＝7、検知度（c）＝5 のように判断した場合、検知度を4とするか6とするかで、RPNの値は±42だけ違ってしまう。
　同様の判断誤差はａ、ｂにも伴うから、全体として 42×3＝±126 程の誤差がある。故に、「対策の要否の境界が、松本氏の経験上、RPNで10の範囲内にある」ということは全くありえない話である。

　技術コンサルタントの松本俊次氏は、2007年5月14日施行の改正消費生活用製品安全法（消安法）に関して「小手先の対応」と指摘し、改正消安法が求めるレベルよりも高い基準・意識で製品設計やクレーム対応に取り組むことが重要だと語った。重要部品とそうでない部品ではあるべきRPNは異なり、松本氏の経験上、日本の大手メーカーではRPNが、

エレクトロニクス：70～80

機械・設備：120～130
になった場合にトラブルに至っているケースが多い。このRPNに基づいて製品設計や部品調達，保全サービスを行なうのが望ましいと、同氏は言う。

　9. FMEAの担当者と目的は？
　FMEAの担当者について神谷泰久氏は、次のように上司が部下の設計を点検するツールだとしている。

　FMEAとは「失敗予測」と意訳できます。したがって管理職の技としてのＦＭＥＡは「部下が犯すであろう失敗を、いかに精度よく予測できるか？」になります。有能な管理者ほど、失敗の経験を積んでいることも、また事実。その経験に基づいて予測し、伝えることで部下の失敗を未然に防止するのです。

　すると１名の設計者しかいない場合は、上司も部下もないからFMEAは行わないことになり、全くの勘違いだと分かる。

　設計者が自身の設計の信頼性を評価するのが本来のFMEAである。部下が行った設計について上司がFMEAをやってみせることは「指導」としてあり得るが、そのような指導はFMEAに限らない。
　設計者が担当すると判断が甘くなって解析の結果が信用できないから、他部署が解析すべしとする立場もある。それは「製造部の作業者が自分が担当した加工の結果を検査させるのは信用できないから、いちいち検査員に検査させる」という反QC思想に接近する。
　一般に、このような問題について明快な答を用意していない。単に「関係者全員で～」といような曖昧な結論では、FMEAの推進を頓挫させてしまう。

　10. 全ての設計にFMEAが必要なのか？
　FMEAの限界が問題となるケースを挙げると、

トラブルのない製品の一部を設計変更した場合
試験が確立している場合のモデルチェンジ設計
設計不明の購入装置を製品に含む場合
正常機能で（故障がないのに）トラブルが起きる場合

　11. FMEAに時間がかかって間に合わない。
　現今のように設計・立上げ期間の短縮が強く要求される時代に、QS 9000のFMEAのような時間のかかるFMEAは時代遅れである。

　正確なFMEAをいかに素早く終えるか、コンカレント・エンジニアリングを進める上での重要課題である。QS 9000（相対的10点法）のFMEAは速度という現代的要請に到底対応できないが、４点法はその10倍の早さを確保している。

設計者が設計とFMEAを同時に行う。

機能ブロック図や信頼性ブロック図を作成せず、既存の部品表を利用する。

４点法で迅速評価

データに基づく評価（手戻りがない）

小改善の並列実施(評価値の加算法）

合否判定の絶対基準の採用（優先順位は決めない）

マトリックスFMEA

　一方、客観説TQMの４点法は、さらに一段と高速のマトリックスFMEAという手法を用意している。
　何か難しそうに聞こえるが、実は簡便法である。ピンにせよ軸にせよねじにせよ、何せ機械部品には共通の故障モードが多い。電子部品は電子部品で、ほとんど共通の故障モードを持っている。

　インターフェースも、極めて共通したものが多い。
　それなら部品ごとインターフェースごとに、いちいち故障モードを列挙して別々FMEAをする必要もない。ある範囲の組立品を一括してFMEAをやってしまおうというもので、４点法ならではの手法である。
　４点法マトリックスFMEAは、QS 9000（相対的10点法）などに比べ、20倍以上の速度である。

工程FMEA（PFMEA）

　12. 工程FMEAの「故障モード」とは何か？
　設計FMEAの故障モードですら人によって異なるくらいだから、工程FMEAの故障モードも一定しない。大きく分ければ、次の２つの立場がある。

　１．不良モード説
　工程の各ステップの発生する可能性のある不良項目（不良モード）を列挙し、要因と重要度を判断し、評価し、対策を講じる（電気通信大学：田中健次氏）。

　２．工程要件違反説（システム破壊説）
　各ステップで要求されている事項（機械・材料・作業法・測定・人などに関する規定）の違反（システム要素の破壊）を故障モードとする。
　さて、どちらが正当か？　まず、工程内不良に２種類あることに着目しよう。
　(1) 工程設計どおりに規定を守って起きる不良----工程の機能設計（工程設計における品質・納期・コスト・安全・環境の対策）が不十分という問題であり、信頼性に関するFMEAとは無関係である。

　(2) 工程設計に違反した故に起きる不良-----工程の信頼性の問題で、FMEAで扱う対象である。
　つまり不良予防策は工程の機能設計と信頼性設計で成り立ち、工程FMEAで信頼性を確認する。QC工程表を作成する時点で不良モードの列挙、要因の列挙、予防策が全て完了し、その時点又はその後に工程FMEAが始まる（機能設計と信頼性設計が存在しなければ、FMEAは行えない）。

　工程設計（QC工程表）や設備保全計画を雑に作成し、そこで行うべき不良予防活動を手抜きして工程FMEAに譲ってしまうのが不良モード説でああって、到底、是認されない。
　信頼性とは、正常システム(不良などのトラブルのない工程)が長持ちする（変化しない）性質のことで（JIS Z 8115）、不良が発生しない性質ではない。
　以上を表に整理する。

工程(設備保全を含む)の状態	アウトプット	とるべき処置
工程の機能設計（不良予防策）が不完全	→不良	管理用特性要因図を通じて機能設計を完成する。これを工程FMEAで解決するものと勘違いするのが不良モード説
工程の機能設計（不良予防策）は一応終わっており、これを守れば問題ないが、守られない危険がある（信頼性が低い）。	→不良	工程FMEAによって工程の信頼性を確保

　異常が起きないように「しくむ」ことを英語で何というか？　それは、 "Design" という。製品設計や工程設計のようなシステム設計は、要するに、「対策の束」である。異常なく意図した機能を果たすように仕組んだ、対策の束である。
　このように、FMEAは「工程設計で設けた対策」の信頼性を評価し向上を図る役目だから、前提として、工程設計で不良対策が先行していなければならない。FMEAで不良対策をするのではない。

　後から信頼性を改善をするよりも、最初から信頼性の高い工程を設計するようになれば、次第に工程設計のスキルが育って行く。
　ところが、不良モード説は、工程設計の段階でそのようなトラブル対策を全く講じないで、「工程設計終了後にトラブル対策をする」ことが工程FMEAであると誤解し、工程ごとに不良モードを列挙しようとする。その結果、信頼性を確保するという工程FMEAの本来の役目を忘れることになる。

　電気通信大学の田中健次氏は、ホームペジで次のように唱えている（小野寺勝重氏も同様）。
「故障モード」とは、

製品設計では、折損、磨耗、短絡などの不具合、工程設計では、寸法不良、加工キズなど。

医療活動であれば、薬剤の選択誤り、カルテ記入忘れなどのエラーが相当するので、ここではエラーモードと呼ぶことにする（トラブルモードと呼んでもよいかも知れない）。
　田中氏等の考え方の誤りは、以下の通りである。

田中説の問題点＝機能と信頼性を混同している

FMEAの対象	田中氏の故障モード	要　旨	客観説からの批判
製品設計	折損、磨耗、短絡	＝システムの破壊	故障モードである。
工程設計	寸法不良、加工キズ	＝結果の不都合	×（当初から発生）設計未完、 ×（後日に発生）　故障
医療活動手順	カルテ記入忘れ	＝システムの破壊	○（指示違反）故障モードである。
医療活動手順	薬剤の選択誤り	＝結果の不都合	×（被害発生）故障である。

　以下、田中氏の考え方の誤りを指摘する。
　[1] 田中氏は、製品設計FMEAの場合の故障モードは、システム自体の破壊（折損、磨耗、短絡など）であるとしている。これは正しい。
　にもかかわらず工程FMEAになると、今度は、工程システムの破壊ではなく、結果であるアウトプットの不具合（寸法不良、加工キズなど）が故障モードになるといい、理論が一貫しない。
　「不良モード」、「エラーモード」、「トラブルモード」などの呼び方は、プロセス違反と結果の違反を混同しているから使用してはならない。あくまでプロセス違反のみを「故障モード」と呼ぶべきだ。
　理論構成も出来ていないのに漫然と新語を作るのは、ますます実務を混乱に陥れるものである。

　[2] 工程FMEAの段階で不良モード（不良項目）を列挙する──ということは、換言すれば、工程の機能設計の段階では不良項目を列挙しないことになる。つまりは、FMEAに移行する前に、不良の予防は行わないということを意味する。こういう理論は実務に適用できるはずのない、実務経験を欠く人に特有のものと思われる。
　[3] 工程のアウトプットには、品質・納期（時間）・コスト・安全・環境保護～などがあり、工程管理はこれら全てを一体に管理しなければならない（QDC一体管理の原則）。工程FMEAで不良だけを考慮し、他を考慮から外すことは実務ではあり得ず、工程FMEAで列挙すべき故障モードは田中氏がいうような「不良モード」や「トラブルモード」ではあり得ない。

　[4] 田中氏は医療FMEAで「エラーモード」という概念を用い、それが患者さん、または後の工程に与える影響を評価するという。
　しかし、最初の活動はFMEAではなく、工程（プロセス）設計のはずである。医療関係者が何も工程を設計せずに、各自が勝手に仕事をするはずがないからである。従って、その工程設計の際に「エラーモード」を列挙し、発生要因を列挙し、必要な対策を講ずるはずである。
　FMEAの段階になって「エラーモード」を列挙するという田中氏の考え方は、「後手に回った失策」である。

　その根底にある問題点は、「何がシステム設計であり、何が信頼性なのか」という認識である。手順がシステムであり、信頼性は「その手順が破壊しないこと」であるという理解に立てば、以上の指摘は当然のことである。

　なお、国際的標準になっている故障モードの定義は、"Manners in which failures may occur." である。すなわち、不良などの「結果」の起き方が故障モードであって、「結果」そのものを故障モードとする取り扱いは不適合である。

　[5] 田中氏は、医療FMEAで5点法を採用しているが、評価基準に欠陥がある（右図）。これを見て誰しも疑問に思うことは、「患者さんへの影響」と「後工程への影響」の等価関係である。
　例えば、
・点数が「3」になる「患者さんへの影響」と「後工程への大きな影響」は、どのような場合か不明である。
・「小さな影響、大きな影響」の判定が困難であり、「後工程への影響は大きいが、損害は小さい」という場合も存在し、実務で使える基準にはならない。

〔田中健次氏：影響度の評価基準〕

〔田中健次氏：医療FMEAの模範事例〕

　田中氏が提示する上の模範事例を検討してみよう。
　工程番号〔2〕をみよう。
「輸血の説明が不十分」という結果を「エラーモード」にしている。しかし、その説明は、
　＊規則（手順書）の具体的な規定に違反している（信頼性の欠陥）
　＊規則（手順書）に具体的な規定がない（機能設計の欠陥）～という区別を全く考慮していない。

　＊「影響」の欄に「輸血ができない」とあるが、生命の危険を招くか軽微な影響か判断できないはずなのに「影響度＝2（軽微）」となる理由が不明である。
　＊「頻度＝3」と判断できる根拠がない。
　＊「説明不十分」で「同意が得られない」なら必ず検知できるのに「検知度＝2（ほぼ検知可）」となる理由が不明
　いずれも理解不能で、専門家の議論にはならない。

　工程〔8〕をみよう。
　輸血伝票の必要事項の記入漏れは「不注意」が原因であり、輸血の遅れを防ぐ「対策」は「記入項目数の確認徹底」だというが、
　＊何をすれば「徹底」に該当するのか分からない。
　＊「二重確認」が対策だというが、人の注意力のみに頼る対策が不可であること、実務経験者には周知である。「ポカ」に対する対策が不可欠なら「チェック・シート、ポカよけ、フェール・セーフ、冗長設計」など、人の注意力に依存しない要素を含む手段しかない。

　対策の要否は、どうやって決めるのだろうか？
　工程〔8〕は「重要度」が12だから、これをカットオフ・ポイントとする意向らしい。結局、工程〔8〕にのみ「対策」を講じ、他は「点検も何もない全くの対策なし」とするのだろうか？　これは奇妙だ。どんな業務でも、業務の中で、また業務の結果について点検をするはずである。
　以上は、全く実用性のない医療手順、およびFMEAである。大学教授陣がこのような無益な研究と指導をしているなら、大学あるいは学部の閉鎖を検討する方が国民の利益にかなうというものである。

　実務で生じている混乱事例として、次のオムロン綾部工場のサイトが挙げられる。

〔Q〕工程FMEAとは何ですか？
〔A〕 工程FMEA（工程故障モード影響解析：PFMEA）とは、工程内での欠陥により発生する不良やバラツキなどの現象が､製品に対してどう影響するかを解析し､事前に問題点を予測・摘出する手法で、製造工程における問題点、故障発生要因やメカニズムを追求し工程の改善を行うために使用されます。

　つまり、「不良やバラツキ」が故障モードで、これらが完成品に及ぼす影響（のみ）を問題にする。
　これだと、次の３つの重大欠陥がある。
　(1)品質以外の、原価、納期、労働安全、環境への影響を無視することになる。

　(2) 工程設計の際に予防目的で不良項目を挙げることをせず、工程設計が終わってからFMEAの際に不良項目を挙げるという手順違いである。
　(3) 部品製造業では、部品の不良が完成品に与える影響は計り知れず、工程FMEAは難しくなるという実務上の問題を抱え込む。

（注）共用部品を製造し、あるいは外製下請けでの工程では、不良の完成品に対する影響に差がない。つまり、どの不良も返品を受け、出張選別を要求され、解体交換を要求される。それが単なる「外観上のキズ」であろうが主機能に影響する「寸法不良や材質不良」であろうが変わりない。むしろ、それにかかる損失が影響の大半を占めることになる。

　そのような間違いに陥る原因は、
　第１に、不良と故障の区別がないからである。

不良＝使用開始の当初から構造や機能に欠陥やトラブルがある場合。

故障＝使用開始の当初は機能に異常はなかったが、使用しているうちに何かが変化して（＝故障モードが発生して）、機能に異常を生じること。
　第２に、管理用-特性要因図を知らないからである。
　工程設計では、管理用-特性要因図を使って、ありとあらゆる特性のトラブル（不良、納期遅延、コスト高、危険、環境側面）を予防しなければならない。
　管理用-特性要因図は、特性と、その特性のために管理すべき全要因を示したものを言う。

　要因は、５Ｍ（機械・人・材料・方法・測定）の管理事項である。すると工程設計（QC工程表）は、各工程で作りこむべき特性と、そのための管理事項（要因と対策）で構成されることが分る。
　第３に、FMEA理論構築者に工程設計の実務経験がないことが原因である。
　工程設計は、上述のように、あらゆるトラブルを予防するために行なう（対策の束）。予防策のない工程設計ではトラブルが多くて、到底、実務では使えない。
　さらに、それらの防止策が変化しない（壊れない）ための信頼性設計が必要になる。
　工程FMEAは、そのQC工程の信頼性（壊れないこと）を評価し確保するために行う手法である。

工程FMEAのワークシート

　これまで主に製品設計のFMEAワークシートを扱ったが、ここに工程FMEAについて触れておく。実務経験がなく、自分では設計もFMEAの実務も一人前の技術者としての経験がない者が、単に他人が書いた書物を参考にして記述した指導は、その指導に従って実務をしようとしても頓挫するから、すぐに分かる。

　下に示す指導例は、上に示すのは、techdmba というサイトが模範例として掲載している相対的10点法の工程FMEAのワークシートである。　どこが妥当でどこが誤りか。これまの製品設計FMEAの説明で明らかと思うが、念のために〔#1〕について左から順に吟味しよう。

〔ウエブサイト： techdmba の模範例〕

＃	プロセス	潜在的欠陥モードプロセスの欠陥	潜在的欠陥の影響 (KPOV)	深刻度	潜在的欠陥の原因 (KPOV)	発生度	現状のプロセスコントロール	検知度	ＲＰＮ	薦める対策案と活動
1	液体混合工程	○○rpm ではない	濃度不均一	5	設定忘れ	1	混合毎に設定	2	10	攪拌速度の固定
2		○○秒ではない		5	設定忘れ	1	混合毎に設定	2	10	時間固定：タイマー
3		○○℃ではない		5	電源入れ忘れ	1	混合前に電源入れ	2	10	温度センサー設置
4		○剤抜け		5	入れ忘れ	3	混合ごとに投入	3	45	Ｃ剤用センサー設置

「＃」は行を表し、問題はない。
「プロセス」はステップを表し、特に問題はない。
「潜在的欠陥モード、プロセスの欠陥」は、無意味かつ誤り。ここは規定違反、すなわち、故障モードでなければならない。
「潜在的欠陥の影響」は、「故障モードの影響」とするのが正しい。
「深刻度：5」という評価は不適切である。影響がいかに深刻かではなく、影響を抑えるための対策（＝現行信頼性管理）がいかに不十分を評価しなければならない。
「潜在的欠陥の原因」は、「故障モードのメカニズム」とするのが正しい。

「発生度＝1」という評価は不適切である。ここも「発生対策がいかに不十分か」を評価しなければならない。
「現状のプロセスコントロール」は、「現行の信頼性管理（＝対策）」という表現が最適である。
「検知度＝2」という評価は不適切。「検知対策がいかに不十分か」を評価しなければならない。
「RPN」は危険優先指数、すなわち、優先順位を決める数値であって合否を示さないから不適切。合否を示す危険指数：RI でなければならない。
「薦める対策案と活動」は、設計者による信頼性評価と対策を設計審査（DR）で見直して対策の追加を決める場合の記載欄としてならば、妥当である。

「深刻度。発生度、検知度」等の言葉使いは、これでも支障ないが、その意味する内容に注意しなければならない。FMEAは、各故障モードに対する対策が既に十分に行なわれたかどうかを判断する活動であるから、評価も「対策は十分か、不足か」という評価でなければならない。単に、「深刻だ、頻発する、見つけにくい」と評価しても、「だから、どうなのか？　対策は要るのか要らないのか？」と、一向に答えが出ないやり方で終わってしまう。

「欠陥」という概念は非常に広い。設計上の欠陥、工程設計の欠陥、現場ミスによる不良品、機能の欠陥、信頼性の欠陥などがある。従って、それだけ記載項目として抽象的になり、何を書いたらよいか分からなくなる。
「現行管理」とは、設計者が既に予定している信頼性対策（違反防止策）を指す。従って、「混合毎に設定する」という行為は単なる「工程作業」であって対策ではない。その設定作業を間違わないようにする対策を設計者が記載しなければならない。

　右は、当研究所が推薦する４点法工程FMEAのモデルである。
　概説すると、従来のQC工程表では左に「作り込み条件」（条件管理）を記述し右に「特性条件」を記述していたのを、レイアウトを変更し、上に条件管理、下に特性条件を記載する。
　同じ用紙の右側がFMEA欄である。工程条件の不遵守が故障モード（ＦＭ）で、対策、影響とその評価、頻度評価、検知度評価、RIの計算を右側に記載する。こうして機能設計・信頼性設計・FMEAの同時性が確保され、「FMEAは後日行なう」という悪習間から脱することができる。

医療FMEA

　日本の医療事故が、いかに幼稚なマネジメントの下で起きているかを示す好例が発生した。医療関係者は、看護師の不足などを口実にするが、それは全く成立しない弁解である。人工呼吸器に二酸化炭素を接続する機会はないのだから、酸素しか繋がらないように専用化しておけば済んだ話である。
　こういう医療事故が一向に収まらない背景には、我が国の信頼性学会の学者達の「誤ったFMEA理論と指導」がある。
　そして、こういう事故を起こした病院は、決まって「今後、再発しないように対策を講じる」と発表し、何をするかといえば、単に、マニュアルに「間違わないように注意すること」と追記するだけである。

　 2011-07-20　神戸市立医療センター中央市民病院で手術を受けた80代の男性患者が、手術後、酸素でなく二酸化炭素のボンベを誤って人工呼吸器に取り付けられて危篤状態になった。
北徹院長らによると、男性が腹部大動脈瘤（りゅう）切迫破裂で13日に緊急手術を受けた後、集中治療室（ICU）に移動する際、麻酔医と看護師が二酸化炭素ボンベを酸素ボンベと取り違え、男性の人工呼吸器に数分間接続。男性は一時、心停止した。蘇生措置で自力呼吸が戻ったが、20日に再び心停止となり、同病院は心肺補助装置で治療を続けている。　

　最近は医療事故の多発を受けて、工程FMEAを導入する医療機関が多くなっている。しかし、教育が誤っているため、実効性は極めて疑問である。
　その間違っている点を列挙すると、次のようになる。　(1)　工程設計が不在
　第一に、手順（Procedure）と工程（Process）を取り違えている。手順は単に作業の順序でしかないが、工程は予防策の束である。手順を決めるだけでなく、5M（機械、人、方法、材料、測定）の全てに対して予防策を講じなければならない。
　第二に、現に行っている作業手順を書面化したもの（＝習慣的な手順）を工程とみなしてFMEAを適用する誤りを犯している。習慣的な手順は予防策や信頼性設計に欠け、FMEAの対象にはならない。
　(2)　故障モードの誤解

　決められた管理が遵守されないこと（システムの破壊）が故障モードである。従って、決められていないことでミスがあっても、故障モードではない。
　(3)　影響、頻度などの評価基準の誤り
　第一に、死亡事故が年に１回なら頻繁だし、軽い損害が年に１回なら頻繁とは言えないが、こういう」考慮が全く欠けている。
　第二に、危険優先度をもって優先順位とする評価であるため、対策の要否が不明で実用性がない。
　以下、これらを中心に、医療FMEAの現状の危機的状況を説明する。

　練馬総合病院院長飯田修平編著「FMEAの基礎知識と活用事例」（日本規格協会）P.24は、故障モードを次のように誤って解説している。

　故障モードとは何か
　故障モードとは、JIS Z 8115 では「故障状態の形式による分類、例えば、断線、短絡、折損、磨耗、特性の劣化など」と定義されている。IEC 60812 では、「アイテムの故障の起こり方」と定義されている。
　モノでは、変形、亀裂、破損、腐食、焼損、緩み、がたなどの「欠陥」が実態として把握でき、対象とする故障モードが実態として確認できる。しかし工程は動きや流れがあるので、ＶＴＲ等による映像で記録しない限り実態を確認できない。そこで機能の達成を阻げる態様を記述する工夫が必要になる。
　機能は "名詞＋動詞" の形で記述できる。モノの場合には、機能はモノの物理的動きや状態として表されるが、設計や工程、医療の場合には、人が果たすべき機能を阻害する実態が故障モードである。モノの場合は対象物の機能を明確にする必要になるが、対象が人の業務の場合は業務機能を明確にする必要がある。
　前述のとおり、筆者らは医療においては、「故障モード」と言う表現は誤解を招きやすく、適切ではないので、「不具合様式」に統一して用いている。

【コメント】
(1) 故障モードの意味をJISの定義文に委ね、自身の理解を説明し切れていない。「故障状態の形式による分類」という定義では、「動かない、止まらない」などの機能障害の形式のように見える。他方、具体例とされる「断線、短絡、折損、磨耗」などは構造破壊の形式であり、定義と具体例が一致しない。

(2) 説明にも誤りがある。
a)「工程は動きや流れがあるので、VTR等による映像で記録しない限り実態を確認できない」とする点。モノの故障モードも映像で確認できると限らず「圧力の変化」や「材料の劣化」も故障モードである。

b)「動きや流れ」の変化・異状（＝故障モード）も把握可能であり、モノと工程で扱いを変える根拠はない。

(3) さらに、「人が果たすべき機能を阻害する実態が故障モード」という記述について、
　a)理由が不明である。
　b)その記述が具体的に何を意味するか不明なため、何も議論できず、無意味な記述である。
　c)医療関係者が「不具合様式」の用語を使おうにも、具体的に何を指すのか不明である。

(4) 「故障モード」と言う表現は誤解を招きやすい～とあるが、どう誤解されるのか意味不明である。

　以上のように故障モードの解説は不可解だが、この書物が演習のところで示す具体例を拾えば、「記入すべき場合に、未記入・記入過不足・誤記入」など、「規定した手順の違反」に帰し、これはシステムの破壊形式であり、故障モードとして正しい理解である。
　少なくも、前述の田中健次氏の定義からは脱却しており、この点に関する限り正当であるだけに、なまじ上のような説明は理解を困難にするだけで全くの無駄な記述である。

　さらに、重大な欠陥が２つあって、実用性がない点に変わりないと思われる。

解析の対象となる業務プロセスの「機能設計」と「信頼性設計」を行なわない。
危険優先指数：RPNを使って優先順位法で評価している。

　これらの決定的な欠陥の故に、飯田氏の説くFMEAは、妥当な医療FMEAとしての展開は不可能である。

　〔飯田氏の解説の続き〕
　業務工程の洗い出し
　（中略）事故を未然に防止するには、現場で、いつ、誰が、どんな風に業務を行なっているかを正確に把握する。すなわち、日常業務のプロセス（工程）を明らかにした上でなければできない。自院の業務を把握しないで他院での改善策や安全システムをそのまま導入しても、それが自院に有効であるのか、費用対効果が適切であるのかは不明である。

【コメント】
　上田氏は、まず、工程設計がどんなものをいうか、理解しなければならない。設計は、機能設計と信頼性設計から成り立つ「予防策の束」である。

機能設計とは、プロセス本来の目的（サービスの提供）を果たすこと、および、その質Ｑ、コストＣ、速度Ｄ、安全Ｓ、環境性Ｅのトラブルを予防することである。そのため、管理用特性要因図を作成して全てのトラブル要因に対策を講ずる。
信頼性設計とは、上に述べた機能設計が変化しないように対策することである。

　飯田氏の記述は、以上のような設計をするのではなく、自然発生的な習慣的工程をFMEAの対象とする考え方である（⇒それがまずいことを示す事例）。
　すると当然に、信頼性設計（容易に違反しない仕組みの設計）もないことになる。強度計算もしないで何となく出来上がったビルを対象にFMEAを行なうようなもので、これでは FMEA 以前の問題といわねばならない。
　「粗末な工程設計」を承認とすると、「FMEAの役目」を、そのお粗末な設計を補うことにあると誤解する考え方になって行く。これは前工程の欠陥を後工程で補う（前工程で不良品を流して、それを後工程で修理する）考え方であり、後工程お客様違反である。

　例えば、処方箋にポカによる誤記がないように対策を打たなければ、信頼性設計がないことになる。また、医療機器の段取りについても同様である。さらに、設備保全について予知保全・定期交換等の保全計画が整っていなければ、信頼性設計がないことになる。
　【信頼性設計の欠如がもたらす弊害】
　多くの指導講師は、「FMEA で評価して問題箇所が見つかったら対策を講ずる」と誤解する。FMEA が先で、信頼性設計はその後だと思っている。
　ところが信頼性設計がなければ FMEA 評価はできないのである。例えば「医師が処方箋に誤記をする」という故障モードについて評価しよう。
　信頼性設計がされていない　→　無管理状態　→

　・慎重な医師はめったにポカをしない、
　・普通の医師はある程度ポカをする、
　・慌てものの医師は頻繁にポカをする。

という評価しかできず、FMEAが行き詰まる。先に信頼性設計が済んでいなければ評価ができないことを多くの FMEA 講師が知らないのである。
　そして悪いことに、信頼性設計をしない工程は「無数の欠陥を持つ工程」であり、それらの全部に対策を講ずるのは大変だから、優先順位をつけて重大な故障モードの順に対策を打つ～という危険優先指数：RPNの考え方に傾いて行く。
　それが、飯田氏の次の記述になって現れる。

　〔飯田氏の解説の続き〕
　対策を実施すべきＦＭの選定
　危険度RPNを参考にするが、どこからどこまでを対策優先範囲とするかは、多角的に検討する。最高得点のものだけを選択する場合、選定した点数以上とする場合もあるし、上位３つまでとする場合もある。
　重要なことは、どのような線引きをするにせよ、実際の業務に照らし合わせて、FMEAワークシート全体を俯瞰したうえで吟味することである。

【コメント】
　つまり、故障モードを危険優先指数 RPN の大きい順に並べて、トップから順に対策を打つという相対法の考え方であるが、ナンセンスである。

RPNのどこまでを対策必要な範囲とするか判断できない。

　判断できないからこそ、「どこからどこまでを対策優先範囲とするかは、多角的に検討する」、「実際の業務に照らし合わせて、FMEAワークシート全体を俯瞰したうえで吟味する」と、曖昧な記述をしている。

　これは判断基準の欠如に他ならず、カンとハッタリが幅を利かすやり方にならざるを得ない。さらに、この方法は、次のような欠陥があって、実務上、進めることは難しい。

病院の全ての解析が終わらないと、個々の故障モードの優先順は分らない。
費用の少ない優れた改善案があっても、優先順が不明だと実施できない。
全ての解析が終わっても、相対法の評価が困難なため、優先順は極めて不正確である。

　下の表は、同著 P.38に示されている不具合様式（故障モード）の抽出例である。
　(1) 左半分が「工程表」と呼ばれる部分であるが、工程設計とは言えないことは明らかである。すなわち、「対策の束」になっていない。「抗癌剤を取り揃える」という手順（Procedure）を規程するだけで、設備、段取り、用具、方法、測定、記録など、工程（Process）としての規定がほとんどなく、大幅に「決まり」が不足する。これは、故障モードや信頼性設計が大幅に抜けていることを意味する。

　(2) 右半分が「不具合様式（故障モード）の抽出」の部分である。ここに「処方箋の未読」と「処方箋の未読」を抽出しているが、不思議なことに、それを防止する対策が打たれていない（信頼性設計がない）。
　すると、その未読や誤読の頻度や検知難度の評価ができない。なぜなら、打った対策を根拠にして判断しなければならないからである。「そういう対策を打っているなら、頻度はこうで、検知難度はこうだ」と評価するのでなければならない。

〔飯田修平氏：不具合様式（FM）の抽出例〕

　また、工程設計を行えば、為すべき事項は他にも多数出てくるはずであり、それだけ故障モードが抜けていることが分かる。結局、気が付いたことだけ挙げて、ミスを大量に見逃す手法になっている。
　(3) 工程設計がほとんどないから、トラブル予防も全くと言ってよいほどに抜けてしまう。
　「予防対策」は本来は工程設計行うべきものだが、上の状況では、「予防対策」は FMEA で行なうものとカン違いされている。

　「未読と誤読」は結局、不注意が原因で起きるとされ、対策は厳重点検など、本来は工程設計で規定すべき対策で終わり、FMEA の役目は「怠慢設計の穴埋め」作業になってしまう。そして「穴埋め」をしても、元もと駄目な工程は、「良い工程」にはならない。
　工程FMEAの誤った理論が、そのまま導入されて、医療 FMEA は危機的状況にあると言える。その結果、自動化、ポカよけ、フェール・セーフ、冗長設計などの対策は、ほとんど採用されない。

〔飯田修平氏：発生頻度の評価基準例〕

　上の表は、同著、P.41に示されている発生頻度の評価基準例である。
　そこに「1回/5年以上程度」であれば「ほとんど発生しない」として「1点」と評価するものとしている。しかし、
　＊「1/5年以上程度」であるかどうか、判断する方法がない。
　＊仮に判断できたとしても、死亡事故が「1/5年以上程度」起きるなら、「ほとんど発生しない」と考える人は少ないと思われる。

　他方で、「1回/週程度」であれば「極めて高い頻度で発生する」として「5点」と評価するものとしている。しかし、医師による「薬の過剰投与」などは「1回/週程度」なら、「時々発生」と評価する人が多いと思われる。
　このように「影響度（厳しさ）」、「頻度」、「検知難度」などの評価は、上のような基準では賄えず、絶対評価4点法FMEAによってのみ解決される（セミナーで詳説）。

〔飯田修平氏：前掲P.88の事例〕

　医療FMEAの危機を示す具体例を示そう。
　上の事例は、同著、P.88に「手術時のガーゼ払出・回収」の業務に関する評価例として掲載されたものである。すなわち、手術の際にガーゼを使って回収漏れをすると患者の身体の中に残るから、これをいかにして予防しようか、というアプローチである。
　しかしながら、そもそも「手順設計」があるだけで「工程設計」がないから、信頼性を作り込むことは全く出来ていないことが分かる。

　(1) 「次工程お客様」の違反
　品質管理の基礎知識として、「ミスを次の工程に送ってはならない」という原則がある。製造業ではこれがほぼ常識と思われるが、上の事例では「斜線の箇所」がその違反になっている。
　「ミスをしても、後工程で発見して処置をすればよい」という思想が、堂々と正面から承認されており、是非とも是正しなければならない。
　(2) 上の事例は全く無駄なFMEAである⇒正しい事例

　以上は、考え方を根本的に改めないと救えない事例である。人は、
・「記録」をとすれば、未記録・誤記録を、
・「カウント」をすれば、未カウント・誤カウントを、
・「照合」をすれば、未照合・誤照合を起こす。

　事故防止のためにあれこれ義務付けると、その未実施・誤実施がつきまとい、ますます故障モードが増えていくのである。従って、習慣的工程をそのままFMEAの対象としてはならない。
　また、ミスを防ぐために「１名での点を2名で行う」という対策も効果が薄い。

〔事故の事例〕

　2011-02-09、さいたま市民医療センターで開腹手術があり、腹部にガーゼを1枚置き忘れて縫合した。執刀歴15年の外科医、ガーゼの枚数を確認していた看護師２名、合計３人が同時にミスをしたわけである。
　手術後にレントゲン撮影で腹部影を見つけたが、そのままにしてしまうというミスを重ね、その翌日に再度撮影した際にようやく気がついたという。結局、再手術をすることになった。
　この病院の基本方針は「目配り、気配り、心配り」という精神主義で「患者が安心できる医療を提供する」ことになっている。

　そのような精神主義で医療の安全は確保できないことを学ばねばならない。この３名は普通の注意力の人間であって、特別なボンヤリとした人間でないであろう。人間は完全な「目配り、気配り、心配り」をすることはできないのであって、これに頼ることは危険である。
　ミスを発生しかねない手順の下、「犯したミスを検知することによって事故を防ぐ」というアプローチは成功しない。それは製造業で言えば「不良品を作って検査で跳ねる」ことを基本とする工程計であり、トラブルは防ぎようがないのである。

〔正しい工程設計〕
　工程設計は、例えば次のように作りこむのが正しい。
　業者からプラスチック製の仕切箱に密封した「10枚入りセット」のガーゼを購入し、そこから払い出す。　使用後の回収ガーゼも元の仕切箱に戻せば、カウントや記帳がなくてもリアルタイムに異常が分かるから、仕切箱の最終状態だけ確認して報告すればよい。確認が済めば、未使用ガーゼを含む全体を廃棄する。
　作業が多ければそれだけミスも増えるから、作業を無くすことがコツである。最も重要なことは、このような工夫をFMEAの前の工程設計で行うことである。さらに、その遵守を確保するための信頼性設計を行う。FMEAは、その後である。

〔正しい工程設計の事例〕

　以下、医療FMEAから工程FMEAに話を戻そう。

〔相対評価法の根拠〕
　成松隆美氏が運営するサイト「歩留研究所」のFMEAの弱点というページでは、次のように述べている。この考え方が、恐らくFMEAを根本から誤る原因の１つである。

　FMEAは対策すべき対象を絞るために用います。すべて対策を行うのなら採点は不要です。その場合、ＣＥ図（本サイト註：特性要因図）であげられた要因すべて対策を取れば良いわけでFMEAの登場場面はありません。限られたリソース（時間、お金など）の中で問題解決する最大の効果を得るには、優先付けすることが必要です。FMEAはそのための実験ツールです。

　正しくは、「製品や工程の設計の信頼性について全て対策をしたはずだが、どこか対策漏れや不足がないか」を調べるのがFMEAである。欠陥だらけの「対策のない設計？」なるものを行って、後から無数の欠陥を探して「優先付けすること」は全くのお門違いだ。

　機械設計でも建築設計でも、ネジ１本、リベット１本に至るまで、「これで強度は十分か？」を強度計算や試験を含めては検討しながら行うのがプロの設計である。設計時に手抜きして、後から「優先順位の高いところだけ対策を講ずる」ことは、少なくもプロは行わない。
　歩留研究所の主張に「対策すべき対象を絞る」という記述があるのは、「対策すべき欠陥が多数ある」という、設計時に信頼性を検討しない素人設計 が前提になっていることを意味する。
　例えばビルの設計で耐震強度の計算をせずに、FMEAで優先事項とされて初めて対策を講ずる考え方なのである。それだと耐震強度が不合格となれば、ビルの設計は金と時間をかけてゼロからやり直しである。「限られたリソース（時間、お金など）の中で問題解決する最大の効果」という話には全くならない。
　プロが設計すると、FMEAで出てくる欠陥はゼロ～数個であって優先順位は全く問題にならない。

　次に、成松隆美氏が模範例とする相対的５点法の工程FMEAの一部を下に紹介し、問題点を指摘する。
　(1) 第１工程の故障モードが「ケース本体カケ」となっているが。これは不良項目であって故障モードではないから、第一歩から誤りである。
　(2) その右の欄は「故障モードの影響」ではなく「故障の影響」となっており、FMEAではないことが分かる。
　(3)「ゲート残り」がケース本体カケの発生要因になるというが、なぜなのか、理解できない。

　(4) 次の「現行の管理方法」は「ロット毎の目視」とあるから、抜取で目視検査をしている。つまり、これは FMEA ではなく、どの不良項目はどの分類（外観不良、機能不良、信頼性不良）に属し、どのような検査をしているか、を表にした QA表 である。
　(5) 「抜取での目視検査」の検知難度は「2」で、5 点法で「ほとんど検出する」に属するという。しかし目視抜取検査は「ほとんど検出できない」と評価すべきで、以下、この事例は模倣してはならない。　

事例集

　話を戻して、設計FMEAでも、その完成品の使い方・保全の仕方（運行システム）を設計し、その違反を故障モードとして解析する。そして、運行システムは一種の工程プロセスである。
★　松下電器の食器洗機の火災事故（2002）で言えば「指定の洗剤を使用すること」という運行システムを設計しており、ここまでは正しい。
　しかし、「指定外の洗剤を使用すれば、発泡が多すぎてモーターファンの巻き線にまで到達しかねない」という影響を評価して対策を講じるというアプローチをしていないのは、「指定外の洗剤」を故障モードとする正しい理解がないからである。

★　シュレッダーで言えば、その使い方、すなわち、「どのように設置し、誰がいつ何をどうするのか」という使用システムを設計する必要がある。
　そして、「大人が紙を挿入する」という使用システムであるなら、その違反（故障モード）として何が考えられるか？「幼児が指を挿入する」、「ナイフを挿入する」などの故障モードは必然的に出てくる。
　ところが不良モード説では、かような具体的な違反を故障モードとしないから役に立たない。高速船が鯨や流木と衝突する事故、回転ドア死亡事故、シンドラー社エレベータ事故、病院の医療事故などの多くは、このシステム違反を故障モードとする事件である。

★　2007年7月27日、北九州市小倉北区の中井保育園の車で２歳の園児が約三時間半置き去りにされ死亡した。園児らが降車する際に点呼を怠り、着替えのときにも人数確認をせず、「二重の確認ミス」があった。
　保育園の代表は会見で「子どもたちが次々に車から降りて、点呼はしなかった」と認め、指導不足が事故につながったとして陳謝した。
　小倉北署はずさんな管理体制が事故につながった疑いがあるとみて、業務上過失致死容疑で関係者から事情を聴いている。司法解剖で暖人ちゃんの死因は「熱射病の疑い」とされた。
　一方、北九州市は保育園の立ち入り調査を行い、園に対し事故報告書の提出を求め、行政指導や改善勧告を検討することを明らかにした。

　ところで、保育園の代表、小倉北署、および北九州市は、「どのように管理すべきだった」と考えているのだろうか？これが問題なのである。管理の仕方を知らない人々が、まるで鬼の首を取ったように云々されても困る。
　(1)保育園の仕事のやり方を設計し（システムの機能設計）、
　(2)「どこを怠れば、何が起きるか」をあげ、重大事故になりかねない箇所に対策を講じ（信頼性・安全性設計）、
　(3)全ての違反について、「起きた場合の影響」「起きる頻度」「起きる前に危険が分かるか」を評価し、不足な対策を補充する。
～これが工程FMEAである。

　この事故を契機に、多くの保育園では、「車から全員が降りたか、必ず点検すること」という訓示を行ったり、ビラを貼ったり、規則を決めたりなどの手当てを行うかも知れない。しかし、それだけではダメ。
　「点検を忘れたらどうなる？」と問われて答えられないからである。つまり、点検不実施という故障モードについて、影響・頻度・潜在度を評価すると、「仮に点検を忘れても、残った園児が見つかる方法」を考えねばならないことになる。

　仮に点検を忘れても、残った園児が見つかる方法。たとえば、どのような手段があるか？
　バスから降りたら、すぐ、事前に人数だけ用意したオヤツを配るのも１つの方法だ。全員が降りなければ、オヤツが余るからだ。
　危機管理システムの導入～などと言いつつ実態は単に規則を決めただけというものが多いが、そんなことを考える必要はない。「なるだけ安価で人間の注意力に頼らない方法」の工夫が重要になる。

★　2005年４月29日夜、福知山線脱線事故の驚愕がさめやらぬ頃、羽田空港のＡ滑走路が工事のために閉鎖したことを１８名の管制官全員が忘れ、誤った指示を出し、大惨事になりかねない事態が起きた。
　始業時にはちゃんと航空情報の打合せをしたが、Ａ滑走路の工事閉鎖の件は話題に出なかった。Ａ滑走路が工事のために閉鎖されることは知っていたが、それが「今日、この日」だとは思わなかった。
　誰か１名の管制官に航空情報を任せきりにし、「その担当者が忘れればそれっきり」という具合で、福知山線脱線事故と共通した面がある。
　国土交通省がとった対策は「18名のチーム全員を業務から外して１週間の研修を行う」とあるが、JR西日本の日勤教育と似た発想でピント外れである。
　工程FMEAの考え方では、航空情報ごとに始業時の打合せ確認ボタンを押さないと始業ができない仕組み（ポカよけ）を作る必要がある。

　これだけ情報技術が進歩した環境下で、管制業務に工程FMEAが導入されていないとは、これまた大変な驚きとしか言いようがない。工程FMEAは、決められた実施事項を確実に実行するシステムを作ることが目的ですが、その「決められた事項」がザルでは無意味である。
　最近、国土交通省の管轄で、姉歯元一級建築士による耐震強度の虚偽計算と検査機関の虚偽検査の事件があった。システムを構築する過程で、計算ミスや検査ミスの発生を防ぐ対策がなかった。
　東京証券取引所の発注システムでは、「誤発注を取り消す」ことが出来ずに400億円の損失を生じた。
　決めごとに漏れがあればトラブルは防げないから、第１段階で、決めごとを漏れなく行うしかない（プロセスアプローチ）。しかし守らなければトラブルは防げない。そこで第２段階として、決めごとを確実に実行するための工程FMEAが必要になる。

★　2008年11月05日、中部国際空港が大騒ぎになった。何と、保安検査装置に電源を入れ忘れたまま検査していたことに気がついて、急遽、未出発の航空機の乗客を全員降ろして再検査の運びとなった。
　保安検査は、乗客が危険物を機内に持ち込むのを防止するためのプロセスであるが、その機能を果たすための機能設計はほぼ完全にされている。
　検査員は、保安検査装置の電源を入れて金属検知テストをしてから使用するように、規則で定められている。

　しかし、機能設計はされても信頼性設計はされていないのである。つまり、規則で規定しても、いつ破られるか（故障モードが発生するか）分からない不安定な状況にある。しかも、規則が破られていることが分からない（検知難度が高い）。
　「電源を入れて金属探知試験をしなければ入口が開かない」というポカ除けの手段すら講じられていないことが暴露されたワケで、緊急に絶対評価４点法FMEAの導入を願いたいものである。

★　トヨタ米国での大規模なリコールが続いている。
　１つは、運転席の下の取り外し可能なフロアマットがアクセルの操作を妨害して深刻な事故につながる恐れがあるとして 2009-9-29 に発表された380万台の最大規模のリコールで、対象はカムリやハイブリッド車プリウス、高級車部門レクサスなど人気車種である。顧客が使い方に違反して「フロアマットを床に固定していない」というインターフェース故障モードの影響である。つまり、製品設計段階で、運行システムのFMEAを怠ったという初歩の問題である。
　トヨタは「ユーザーが正しい使い方をしなかった結果であり、自動車自体は欠陥品ではない」と主張しつつ、2009-11-14 になって無償ペダル交換に追い込まれた（トヨタは自主回収と主張）。設計の怠慢を棚上げした、奢りきった恥ずべき言訳である。

　　正しい使い方をしないために乗り心地が悪い、燃費が高くつく、といった問題なら、そのような言分も通ろう。しかし、「使用者のミスで床のマットを固定せずにペダルに干渉して死亡事故になっても、欠陥車ではない」との理屈は世界中が認めないだろう。無償で「回収・修理」が技術的に可能だということは、FMEAを正規に行えば防げたことの証拠である。〔マットがペダルの突起に干渉して下げている状態〕

　もう１つは高級車「レクサス」２万台のリコール（自主回収、燃料パイプの交換）で、燃料をエンジンに送るパイプの腐食で液漏れを起こすという。これは単に「燃料パイプの腐食」を故障モードとする影響を解析しなかったというFMEAの初歩の問題である。
　2009-11-25 朝日新聞は、次のように報じている。
　ＨTSＡ（米運輸省高速道路交通安全局）からの強いリコール要請に対し、トヨタ社内では依然、「ユーザーによる誤った使用方法が原因と主張すべし」との意見も強かった。しかし、メーカーが想定しない使い方をしても事故が起こらないようにするには、別の対策が必要であることは明らかだった。
　しかし、この朝日新聞の認識にも問題がある。「メーカーが想定しない使い方をしても事故が起こらない」ことを要求するのは無理である。

　想定しないなら、対策を講じようがないからである。つまり、それは「メーカーが想定しなければならない使い方」なのであって、FMEAはそのための手法である。「マットの外れ」という故障モードが起きたら、その影響として何が起きるか？　それはFMEA簡単な練習問題に過ぎない。
　そうこうしている間に、2010-01-22、RAV4 やカローラのペダル戻らずで、さらに230万台のリコールが起き、01-26 についに米国での生産と販売の一時中止に追い込まれた。また、欧州でも200万台規模のリコールが予測されつつある。
　FMEAの初歩的な怠慢を棚に上げて「車の欠陥ではない」とする「驕り」が、いかに企業にとってマイナスであるか、トヨタもようやく理解し始めたように見える。

　この件につき、2010-02-02　トヨタの品質保証担当副社長（佐々木真一氏）が「車全体としてのテストなどの品質管理に問題があった」と発表した。
　この見解は正しい。もっとも、彼がその「正しい意味」を認識して発表したかどうかは分からない。
　トヨタは元来、品質管理で日本をリードしてきた。しかし、その中心は「カイゼン」であって「予防」ではない。品質管理は実は「予防」の意味であって、トヨタ及びそのやり方を支持する学者達が長年にわたってカン違いをしてきた点である。

　佐々木氏が「車全体としてのテストなどの品質管理に問題があった」とする正しい解釈は、４点法FMEAで故障モードを全て列挙すれば、必要なテストが全て分かったはず」ということである。なぜなら、それしか方法がないからである。
　ただ心配なのは、佐々木氏を始めとする品質保証陣営がそれを正しく認識しているかどうかである。
　「失敗してはカイゼン」を繰り返す「後追い活動」から脱却して予防を中心とする「先取り活動」に転換することが、トヨタの課題である。

　13. FMEAの目的はシステムの評価か構築か？
　「危険優先指数を計算し、高い値のものは対策を勧告する」と指導されるため、多くの人はFMEAの目的を評価と思い込む。他人の設計を見てやって、問題点が見つかれば「改善した方がいいよ。」と勧告するという評価説は古い考え方である。
　他人の設計を詳しく理解し点検すること自体が容易でない。まして、カンで「これは危ない。」などと言われては設計部署として迷惑な話だ。
　そんなことでは、設計期限に間に合わなくなる。

　14. FMEAを実施した後は何をするか？
　　FMEAは完全な信頼性を求めるのではなく、経済的な最適信頼性を求める。すなわち、「小さなトラブルは起きるかも知れないが、大事には至らない。」という状態を狙う。
　だが、人間のすることだから大事に至らないことを完全に保証することは容易でない。
　そこで、FMEAのフォローアップとして、生産現場、輸送過程、市場トラブルの前兆を捉えて補充して行く必要があり、その情報システムの構築が重要である。

　　15. FMEAの間違い探し

【第1問】　柱にボックスがついた米国風郵便受けの設計FMEAで、現在講習会で使っている模範例である(日本規格協会講習会テキスト、石山敬幸、演習問題〔１〕）。

　郵便受け完成品に「宛名等表示板の付け忘れ」という故障モードを設定する。原因は「表板への取付位置の記入忘れ」にあり、現在目視検査を予定しているが記入忘れの頻度が高いので「表板に取付位置を朱記する」対策を打つ、という。

【問題点】しかし、
(1)「宛名等表示板の付け忘れ」という作業ミスが、なぜ設計の故障モードか？
(2)「目視検査」という工程作業が、なぜ設計対策か？
～などの基本的な知識の欠如をみると、設計 FMEA と工程 FMEA の区別を知らないようである。
　「付け忘れ」は、工程 FMEA の故障モードである。設計 FMEA では設計通りの製品を対象にするから、「不良」は故障モードにならない（不良品は設計していない）。

郵便受けの設計FMEA（日本規格協会講習会）

　またリスク優先数 RPN＝60 で対策を勧告しているが、いくらなら対策が必要なのか根拠がなく、全くのデタラメである。その他にも、故障モードの意味、「機能入り口説」、設計 FMEA と工程 FMEA の区別などの基本的な疑問が多数ある。

【第2問】　右の表は、設計 FMEA の模範例の一部抜粋である（日本規格協会、今井義男訳、Robin E. McDermott等著、FMEAの基礎 P.54)。
　消火器のホースが出荷途上で高温にさらされてクラックが入る心配に備えたものである。

【問題点】　ところが実務経験者ならこういう FMEA は考えにくい。不安だと言ってはデータ・アプローチを無視して改良すると、どんどん原価が上がってしまう。要するに、経済性の考慮がない。
　だから､　実務経験者なら、「これこれの試験をパスすること」という対策をとる。試験をして大丈夫なら、何も高い耐熱ホースにしなくても済むからだ。

　ちなみに、Robin E. McDermott　は米国の著名な解説者であるが、設計やFMEAの実務経験に疑いがある。

ホースのFMEA

　上にみたように、書物、講習会、ウェブ上の講座には疑わしいものが相当数ある。このような問題を解消せずに、単に「FMEA表の作成実技」というのではお話にならない。
　まず正しい理解を確保した上で実務を積み上げなければ、──たまたま教わったFMEAしか知らないのでは──結局は「最初からやり直し」のハメになる。
　また、原価を上げ、時間のかかるFMEAは役に立たない。当研究所のセミナーは、

金も時間もかけないという制約の下、
すっきりと簡単で高速、
初めて学ぶ方や経験のない方にも理解でき、
しかも正しいFMEA

との考慮で必ず企業に定着するように白紙から始まります。従って、初心者の方、また経験者でも疑問を抱いている方が参加されることを念頭に解説を進めます。

　下の東京、または京都セミナーのパンフレットをお読み頂き、お誘い合せの上ご参加下さい。また、出張講習会の場合は受講者の人数を問いませんが別途メール等でご照会下さい。
　なお、申込みをされた方はパンフレットの下のご案内も続けてお読み下さい。
（注）　お申込みを頂いたときは、所属機関（勤務先等）を「申込み状況」のページに掲載して皆様の参考に供しております。この掲載を避けたい方は、事前にその旨をお断り下さい。

セミナー会場風景

[客観説TQM－TOP]
English
Quick Reference

グルメ

FMEA/FTA/特性要因図/なぜなぜ分析