フォールトトレランスとは？ わかりやすく解説

デジタル大辞泉

フォールト‐トレランス【fault-tolerance】

読み方：ふぉーるととれらんす

製品・システムに誤動作や故障が起こっても、自動的に修復して正しい動作をする機能。また、その技術。耐障害性。故障許容力。→フォールトアボイダンス

IT用語辞典バイナリ

フォールトトレランス

【英】fault tolerance

フォールトトレランスとは、システムに障害が発生した場合にも正常に機能し続けることである。耐障害性などと和訳されることが多い。

通常のコンピュータは、システムの一部に支障を来たすと機能が停止してしまう。大規模なシステムやミッションクリティカルな業務のシステムには障害の発生は許されない。そのため、システムにある程度の冗長性を持たせることによって異常を回避する仕組みがとられる場合がある。例えば電源を多重化したり、ハードディスクを多重化したり（RAID）、無停電電源装置（UPS）を用いたりすることで、フォールトトレランスなシステムを実現することができる。

フォールトトレランスなシステムを構築する技術は、フォールトトレラント技術と呼ばれる。フォールトトレラント技術を用いたコンピュータはフォールトトレラントコンピュータと呼ばれる。フォールトトレラントコンピュータは耐障害コンピュータ、無停止コンピュータ、ノンストップコンピュータなどとも呼ばれる。サーバーの場合は特にフォールトトレラントサーバー（無停止型サーバー）などと呼ばれる場合もある。

フォールトトレラントと同様の概念には、フェイルセーフやフェイルソフトなどがある。フォールトトレランスは異常が生じても正常に機能することを意味するもので、フェイルセーフは人為的ミスによって他人に被害が及ばないようにする防止線のようなニュアンスがある。

OR事典

フォールトトレランス

読み方：ふぉーるととれらんす
【英】：fault tolerance

概要

システムの一部に故障が発生しても, 全体としてはそれに耐える様な特性のこと, あるいは, その様な特性を実現するための設計・運用のアプローチのことをいう. フォールトトレランスの特性は, 故障が起こることは不可避であるという立場にたち, 冗長構成, 誤り検出, 誤りマスク, 再構成, 一貫性回復などの技術をあらかじめシステムに導入することで実現される. フォールトトレランスと対峙する概念にフォールトアボイダンスがある.

詳説

　高信頼化システムを実現するための伝統的な手法のひとつは, システムを構成する個々の要素の信頼性を向上させることであり, これはフォールトアボイダンス (fault avoidance) とよばれる. 一方, いかに構成要素の信頼性が高くとも, 故障は本質的に避けられないものであるという前提に立ち, それらの要素またはシステムに, 故障に耐え得るような特性を持たせようとする手法が研究されてきた. この高信頼化手法がフォールトトレランス (fault tolerance) である. 本項では, フォールトトレランスの概念とその実現手法について述べる.

　故障が発生しても, システムの機能に全く支障をきたさないことが, 理想的なフォールトトレランスの特性であるが, 機能の低下をシステムのある範囲だけに留める{フェイルソフト} (fail soft) や, 安全な状態で機能を停止するフェイルセーフ (fail safe) などの特性まで含めてフォールトトレランスという. この様な広い意味でのフォールトトレランスは, コンピュータシステムの普及とともに重要視されるようになり, 現在, フォールトトレランスは, 主としてコンピュータシステムの耐故障技術として認識されている.

　ラプリエ (J. C. Laprie) は, フォールトアボイダンスとフォールトトトレランスを包括するディペンダビリティ (dependability) という統一的な概念を提案した [1, 2, 3]. それは, 「コンピュータシステムのディペンダビリティとは, 実行された仕事 (service) がどの程度正しく行われているかを明らかにするための品質 (quality) を示すものである」として定義された. 図1 に, ラプリエの提案した概念と用語の枠組を示す.

図１：ディペンダビリティの概念と用語の枠組

　ディペンダビリティを阻害する要因として, フォールト (fault) , 誤り(errors), 障害 (failures) の3つが示されている. フォールト (または故障) とは, システムの機能損失や不具合などの原因をいい, 従来の故障の概念に, ソフトウェアのバグやオペレータの操作ミスまで含めた広い意味の用語として定義される. そして, フォールトが表面化してシステム内部に不具合が生じることを誤りという. また, その誤りが, システム外部のユーザ等に認識されたとき障害となるのである [1]. 階層的なシステムでは, これらの用語の関係は再帰的であることに注意したい. 例えば, あるサブシステムに発生した誤りは, そのサブシステムと外部との接点において障害として認識されるが, 同時にその障害は, サブシステムを含むシステム全体にとっての誤りをもたらすフォールトでもある. なお, これらの用語の定義は, フォールトトレランスの研究分野では広く認知されているが, 日本工業規格 JIS X 0014 (信頼性, 保守性及び可用性) 等の定義とは異なることを付け加えておく.

　さて, フォールトトレランス技術とは, 誤りが障害として認識されるまえに, それを検出してマスク (または隠蔽) する技術 (masking), あるいは, マスクできない場合でもその影響をできるだけ狭い範囲に限定し, 速やかに正常状態へ回復させる技術であるといえる. この様な特性は, 基本的に何らかの冗長性 (redundancy) を導入することで得られる. 冗長化の対象となる計算機資源は, ハードウェア, ソフトウェア, 時間の 3 つに分類できる [2]. ハードウェアとソフトウェアの冗長化の多くは, 同一の構成要素を複数個用いることで実現され, 時間についての冗長化は, ひとつの要素を使って同じ処理を繰り返すことで実現される.

　誤りを検出するためには, 例えば, 対象となるハードウェアを二重化冗長構成して結果を照合したり, 誤り検出のための冗長符号を用いたりする. そして, その誤りをマスクするために, TMR (triple modular redundancy) や バージョンプログラミングなどの多数決冗長方式が用いられる. これらの冗長性は, 静的冗長 (static redundancy) と呼ばれる.

　誤りのマスクに失敗して障害が発生すれば, システムの回復技術 (recovery techniques) が適用される. まず, 例えば待機冗長方式によって, 障害の認められたハードウェアを交換するなどの再構成が実行され, 続いてシステムの論理的一貫性を回復するために, ロールバック等のソフトウェア冗長が用いられる. これら障害回復のための冗長性は, 動的冗長 (dynamic redundancy) とよばれる.

---

参考文献

[1] J. C. Laprie, "Dependable Computing and Fault Tolerance: Concepts and Terminology," Digest of Papers FTCS-15, (1985), 2-11.

[2] 当麻喜弘監修, 向殿政男編集, 『コンピュータシステムの高信頼化技術入門』, 日本規格協会, 1988.

[3] 向殿政男編集, 『フォールト・トレラント・コンピューティング』, 丸善, 1989.

[4] 南谷崇, 『フォールトトレラントコンピュータ』, オーム社, 1991.

ウィキペディア

フォールトトレラント設計

(フォールトトレランス から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/11/03 05:51 UTC 版)

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。 出典検索?: "フォールトトレラント設計" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2015年3月）

この項目では、理論的なフォールトトレラント設計について説明しています。特定の実装については「フォールトトレラントシステム」をご覧ください。

フォールトトレラント設計あるいは障害許容設計（フォールト・トレラントせっけい、英: fault tolerant design）は、システム設計の手法であり、システムの一部に問題が生じても全体が機能停止するということなく（たとえ機能を縮小しても）動作し続けるようなシステムを設計するものである。

この用語はハードウェアあるいはソフトウェアの障害があってもほとんど途切れることなく動作し続けるコンピュータシステムの設計を指して使われることが多い。

他の領域の例としては、自動車の設計でタイヤが一本パンクしても走行できるような設計を指す。

手法

フォールトトレラントな部品

部品それぞれが内部に異常を発生しても部品として機能し続けることができれば、システム全体としても機能し続ける。自動車の例で言うと、自動車にはランフラットタイヤを装備しているものがある。これは、内部に硬いゴムの層を持っているもので、表面がパンクしても走行が可能となっている。走行できる時間は限られているしスピードも落とす必要があるが、パンクによる操作不能が招く事故を防いだり、タイヤ交換と比べてダウンタイムを短縮できたりする。

冗長性

これはバックアップの部品があって、障害が発生したときに自動的に代替して動作するものである。例えば、ダブルタイヤや二軸の後輪や前二軸の車両ではタイヤをひとつ失っても走行には問題無い。多くのタイヤを持っているため、タイヤひとつでは危険ではない。ただし、部品点数が増えるため故障率は上がり、外れたタイヤが被害を及ぼす等の問題は増える。

どのようなときフォールトトレラント設計をするのか

あるシステムにおけるすべての部品に対してフォールトトレラント設計を施すのは得策ではない。冗長性を上げると反面コストなどが増大し、費用対効果の面で見合わなくなってしまう。

どの部品をフォールトトレラントにすべきかを決定するには以下のような判断基準が考えられる。

その部品はどれだけ重要か？

輸送のみを目的とする自動車では、ラジオやオーディオは重要（必須）な機能ではない。したがって、ラジオやオーディオをフォールトトレラント設計にする必要性は低い。

その部品はどのくらい障害を起こすか？

自動車のドライブシャフトのように、いくつかの部品は故障することはほとんど考えられないので、フォールトトレラント設計の必要性は低い。

その部品をフォールトトレラントにするのにかかるコストは？

例えば、自動車のエンジンに冗長性を持たせるとすると、経済的にも重量やサイズもコストが高くなることが予想される。

全ての条件に適合した部品の例として自動車の搭乗者拘束システム（シートベルトやエアバッグ）がある。我々が意識しない第一の搭乗者拘束システムは重力である。自動車が転覆などした場合、重力による拘束はなくなってしまう。このような事故の際に搭乗者を拘束するのは安全上非常に重要なので、第一の条件に合っている。シートベルトがない時代には事故によって搭乗者が外に放り出されることがよくあった。したがって第二の条件にも合っている。シートベルトなどは価格的にも重量的にもコストは高くない。したがって第三の条件にも合っている。以上のことから、シートベルトを全ての自動車に装備するのはよい考えと言える。その他のエアバッグなどの補助部品はやや高価なので、第三の条件に適合しないかもしれない。このため、安価な自動車にエアバッグを搭載していないものが（高価な自動車よりも）多いのである。逆に、センチュリーおよびセンチュリーロイヤルは、乗っている要人の保護が最優先事項であるため第三の条件は無視され、通常の使い方では満たされない第二の条件も銃撃等による故障という特殊条件を考慮し、同様に絶対に故障してはならないため第一の条件を満たす、としてエンジン及び補機類の冗長化が行われている。

実例

航空機

通常は操縦桿と各動翼を複数の系統で繋ぎ、1系統が切断しても操縦不能とならない設計となっている。またケーブル、油圧、フライ・バイ・ワイヤなど、別種の方法で繋ぐことも多い。

コンピュータ

ミッションクリティカルなシステムにおいて、コンピュータのフォールトトレラント性は重要である。そういった用途に用いるため、製品自体に広範なフォールトトレラント設計を盛り込んだコンピュータも作られており、タンデムコンピューターズやストラタステクノロジー、NECなどの製品がある。これらはCPUを含む全てのハードウェアを二重化し、ハードウェア障害（部品障害）に対してはフォールトトレラント性を確保し、記述された通りソフトウェアを動作させる。（コンピュータに限った問題では無いが、飛行機のパイロットに墜落させる意図がある場合と同様にオペレーティングシステムやアプリケーションソフトウェアのバグなどの障害やユーザー操作上の問題は対応できない）。

タンデムコンピューターズは、その名前のとおり同社のビジネスをフォールトトレラントなシステムを開発/製造/販売するものとしていた。同社のNonStopシステムは「シングルポイント・トレラント」なシステムであり、十年間の動作時間の計測をして公表していた^[1]。

ハードウェアのフォールトトレラント性は、故障した部品をシステム動作中に交換することを要求する場合がある。 このようなバックアップがひとつだけ存在するシステムを「シングルポイント・トレラント」と言う。フォールトトレラントシステムと呼ばれているものはほとんどこのタイプである。このようなシステムでは平均故障間隔(MTBF)が十分に長くないと、部品交換中に使用中のバックアップも故障してしまうことがある。MTBFが長ければ長いほど良いが、フォールトトレラントシステムに特にそれが求められているわけではない。

バッテリーで稼働可能な組み込み系システムのコンピュータと異なり、汎用コンピュータは動作中に（通常のシャットダウン手順を経ることなく）突然の電源断が発生した場合、予期せぬ状態に陥ってしまうことがある。揮発性メモリに記録された一時情報が失われるだけでなく、読み書き中のユーザードキュメントファイルが破損してしまったり、システムファイルの破損によりOSが起動しなくなったり、さらにはハードウェアが故障してしまうこともある。産業系システムでは通例、コンピュータの動作中に停電が発生した場合も、予備電源を使ってある程度の動作を続け、安全に自動シャットダウンすることができるようにするため、無停電電源装置 (UPS) を備えている。

医療機器

医療機器など生命にかかわる分野では、停電に備えることは必須であり、発電機や大容量バッテリーなどを用意することで電源が二重化されている。

人工呼吸器

マイクロコンピュータを搭載した人工呼吸器において、メインのマイクロコンピュータだけではなく、サブのマイクロコンピュータも搭載し、メインコンピュータが仮に故障しても自動的にサブのマイクロコンピュータ作動する^[2]。

麻酔器

こと超急性期医療現場や手術室で使用される麻酔器の場合、酸素の供給が断たれた際に、自動的に亜酸化窒素ガス（笑気ガス）の供給も断たれる^[2]（酸素の供給が全くなくなり笑気ガスのみの供給となると、生体に極めて危険な影響をおよぼす）。

自動車

エンジン

自動車のエンジン制御を二重化した例としてトヨタ・センチュリーはよく知られている。コスト高よりも信頼性を高めることを優先した実装例でもある。また日本国内での市販車で唯一^[3]の実装であることが、官公庁の選択時において他社（他車）と差別化する大変大きな訴求ポイントともなっている。搭載されているV型12気筒エンジン制御システムが二重化されており、いずれか片方の6気筒が故障しても走行できる。また燃料ポンプも二重化されている。

電装品

例えば近年^[いつ?]では、一般的な乗用車においてもサブマイコンの採用やフェイルオペレーション (fail-safe operation) の実装によりフォールトトレラントな設計がされていることが多い。例えば、純正もしくはディーラーオプションのようなカーナビの場合、実際に不具合が発生すると最寄の整備工場を案内しつつ最低限のエンジン制御を行なうなど最低限のサービスを提供可能とするような仕組が実装されつつある。

また、リモコンキー搭載車でリモコンの故障やバッテリー切れなど不具合に備えメカニカルキーを使用可能にし、またキーそのものも用意されることがある。これは「リモコンの不具合は珍しいこととは言えず、特に水没は日常のあらゆるシーンで発生しうる（故障率）」「キーが使えなければ乗車もエンジン始動もできない（重要度）」「コストも高くない」の3つの条件に合致するフォールトトレラントの一つと言える。

オートバイ、特に小排気量車においては2019年現在においてもキックスターターを装備する車両が存在する。これはセルモーターの不調やバッテリーあがりなどセルスタートが使用できない事態においてもエンジン始動が可能になるためフォールトトレラント設計としての側面があるといえる。

備考

フォールトトレラントシステム（故障しても動作するシステム）と滅多に故障しないシステムは違う。例えば、ウェスタン・エレクトリック社のクロスバー交換機システムは40年間に2時間という故障発生確率であり、非常に故障しにくい（フォールト・レジスタント）と言える。しかし、ひとたび故障するとシステムは完全に停止するので、フォールトトレラントとは言えない。

脚注

1. ^ 障害などの発生確率から、動作不能となる時間の割合を算出。例えば10年間で1日だけ動作できないなどといった形である。
2. ^ ^{a b} 株式会社南山堂発行 「TEXT 麻酔・蘇生学」（1995年2月10日 第1版発行、ISBN 4-525-30841-9、p.301 「【臨床実習メモ】 フールプールとフェイルセーフ」より。2020年6月11日閲覧
3. ^ 市販されていない車種も含めると御料車専用車種の日産・プリンスロイヤルもブレーキ・燃料系統のフォールトトレラント設計を行なっている。

関連項目

• 安全工学
• 信頼性設計
• 冗長化
• 単一障害点
• フェイルセーフ
• フォールバック
• バックアップ
• ディペンダブル
• フォールトトレラントシステム
• フォールトトレラント量子計算
• ビザンチン将軍問題