フェイルセーフ

エンジニアリングにおいてフェールセーフとは、特定の種類の障害が発生した場合に、他の機器、環境、人への害を最小限またはまったく与えない方法で本質的に対応する設計機能または慣行です。特定の危険に対する本質的な安全とは異なり、システムが「フェールセーフ」であることは、障害が不可能または起こりそうもないことを意味するのではなく、システムの設計がシステムの障害による危険な結果を防止または軽減することを意味します。つまり、「フェールセーフ」システムに障害が発生した場合でも、システムは少なくとも障害発生前と同じ安全性を保ちます。[1] [2]さまざまな種類の故障が考えられるため、故障モードと影響の分析故障状況を調査し、安全設計と手順を推奨するために使用されます。

継続的な可用性が必要なため、一部のシステムはフェールセーフにすることができません。このような状況には、冗長性耐障害性、または緊急時対応計画が使用されます (たとえば、複数の独立して制御され、燃料が供給されるエンジン)。[3]

機械的または物理的

空気圧ダイヤフラムアクチュエータを備えたグローブ コントロール バルブ。このようなバルブは、作動空気が失われた場合に、ばね圧力を使用して安全に失敗するように設計できます。

例としては次のものが挙げられます。

  • 建物の警報システムや地域の煙感知器によって作動するローラーシャッター式防火扉は、電力に関係なく、信号が送られると自動的に閉まらなければなりません。停電の場合、コイル状の防火扉を閉じる必要はありませんが、建物の警報システムまたは煙感知器からの信号が与えられたときに自動的に閉じる機能が必要です。温度に敏感なヒュージブルリンクを使用して、重力または閉鎖バネに抗して防火扉を開いた状態に保持することができます。火災が発生した場合、リンクが溶けてドアが解放され、ドアが閉まります。
  • 一部の空港手荷物 カートでは、特定のカートのハンドブレーキ スイッチを常に押し続ける必要があります。ハンドブレーキ スイッチを放すとブレーキが作動し、ブレーキ システムの他のすべての部分が適切に機能していると仮定すると、カートは停止します。したがって、ハンドブレーキ保持要件は、「フェール セーフティ」の原則に従って動作し、システムのフェール セキュリティに貢献します (ただし、必ずしも保証するわけではありません)。これはデッドマンズスイッチの例です
  • 芝刈り機除雪機には手で閉じるレバーがあり、常に押し続ける必要があります。手を放すと、ブレードまたはローターの回転が停止します。これはデッドマンズスイッチとしても機能します
  • 鉄道車両のエアブレーキトラックエアブレーキブレーキは、ブレーキ システム内で生成される空気圧によって「オフ」位置に保持されます。ブレーキラインが裂けたり、車両が切り離されたりすると、空気圧が失われ、トラックの場合はバネによって、電車の場合は局所的な空気タンクによってブレーキがかかります。エアブレーキシステムに重大な漏れがあるトラックを運転することは不可能です。(トラックでは、空気圧の低下を示すためにかつらを振りかざす場合もあります。)
  • 電動ゲート – 停電の場合、クランクやキーを必要とせずにゲートを手で押して開けることができます。ただし、これにより事実上誰でもゲートを通過できるようになるため、フェールセキュア設計が採用されています。停電時には、通常は安全な場所または施錠された鍵の下に保管されている手回しクランクによってのみゲートを開くことができます。 。このようなゲートで車両が住宅にアクセスできるようにする場合、ドアが開いて消防署へのアクセスが可能になるフェールセーフ設計が使用されます。
  • 安全弁 –流体を扱うさまざまな装置は、フェールセーフ機構としてヒューズまたは安全弁を使用します。
鉄道の手木信号機。「停止」または「注意」は水平アームで、「通行可能」は上向き 45 度であるため、作動ケーブルに障害が発生すると信号アームが重力下で安全に解放されます。
  • 鉄道の手木信号機は信号を制御するケーブルが断線した場合にアームが「危険」位置に戻り、列車が作動しない信号機を通過するのを防ぐように特別に設計されています。
  • 危険物質を含むシステムなどで使用される隔離バルブおよび制御バルブは、電力が失われると、たとえばバネ力によって閉じるように設計できます。これは、電源喪失時のフェールクローズとして知られています。
  • エレベータにブレーキがあり、エレベータ ケーブルの張力によってブレーキ パッドから外れます。ケーブルが切れると張力が失われ、ブレーキがシャフト内のレールに掛かり、エレベータキャビンが落下することはありません。
  • 車両のエアコン – デフロスト制御では、デフロストを除くすべての機能でダイバータ ダンパーを動作させるために真空が必要です。真空引きが失敗した場合でも、霜取りは可能です。

電気または電子

例としては次のものが挙げられます。

  • 多くのデバイスは、ヒューズ回路ブレーカー、または電流制限回路によって短絡から保護されています。過負荷状態での電気遮断により、過熱による配線や回路デバイスの損傷や破壊を防ぎます。
  • アビオニクス[4]は、冗長システムを使用して、3 つの異なるシステムを使用して同じ計算を実行します結果が異なる場合は、システムに障害があることを示します。[5]
  • アクセル ポジション センサーなどのドライブ バイ ワイヤおよびフライ バイ ワイヤコントロールには、通常、反対方向に読み取る 2 つのポテンショメータがあり、コントロールを動かすと一方の読み取り値が高くなり、もう一方の読み取り値は一般に同様に低くなります。2 つの測定値間の不一致はシステムの障害を示しており、多くの場合、 ECU は2 つの測定値のどちらに欠陥があるかを推定できます。[6]
  • 交通信号制御装置は、衝突監視ユニットを使用して障害や衝突信号を検出し、危険な可能性のある衝突信号(全方向青表示など)を表示するのではなく、交差点を全点滅のエラー信号に切り替えます。[7]
  • コンピュータ システムコンピュータ ハードウェアまたはソフトウェアの障害が検出された場合の、プログラムおよび/または処理システムの自動保護典型的な例はウォッチドッグ タイマーです。「 フェールセーフ (コンピュータ) 」を参照してください
  • 回路の誤動作やオペレーターのミスが発生した場合に、システムの不適切な機能や致命的な劣化を防ぐ制御操作または機能たとえば、鉄道ブロックの信号を制御するために使用されるフェールセーフ軌道回路などです多くの鉄道路線でオレンジ色の点滅が点灯よりも許容範囲が広いという事実は、リレーが機能しない場合はより制限的な設定に戻るため、フェールセーフの兆候です。
  • 潜水艦が上昇できるようにバチスカーフの鉄ペレットバラストが投下されます。バラストは電磁石によって所定の位置に保持されます。電力が失われると、バラストが解放され、潜水艦は安全な場所まで上昇します。
  • 多くの原子炉設計では、中性子吸収制御棒が電磁石によって吊り下げられています。電源が失われると、それらは重力に従って炉心に落下し、核分裂の継続に必要な中性子を吸収することで連鎖反応を数秒で停止させます。
  • 産業オートメーションでは、警報回路は通常「ノーマルクローズ」になっています。これにより、断線が発生した場合にアラームが確実に作動します。回路が通常開いている場合、実際のアラーム信号はブロックされ、ワイヤ障害は検出されません。
  • アナログ センサーと変調アクチュエーターは、通常、回路障害により境界外の読み取り値が得られるように設置および配線されます。「電流ループ」を参照してください。たとえば、ペダルの位置を示すポテンショメータは、その全範囲の 20% ~ 80% しか移動しない可能性があり、ケーブルの断線またはショートにより読み取り値が 0% または 100% になる場合があります。
  • 制御システムでは、非常に重要な信号を相補的なワイヤのペア (<signal> と <not_signal>) によって伝送できます。2 つの信号が反対の状態 (一方が High、他方が Low) のみが有効です。両方とも高い、または両方とも低い場合、制御システムはセンサーまたは接続配線に問題があることを認識します。これにより、単純な故障モード (センサーの故障、ワイヤーの切断またはプラグの抜け) が検出されます。例としては、SPDTセレクター スイッチのノーマル オープン(NO) 極とノーマルクローズ (NC) 極の両方をコモンに対して読み取り、入力に反応する前にそれらの一貫性をチェックする制御システムが挙げられます。
  • HVAC 制御システムでは、ダンパーやバルブを制御するアクチュエーターは、たとえばコイルの凍結や部屋の過熱を防ぐためにフェールセーフになっている場合があります。古い空気圧アクチュエータは本質的にフェールセーフでした。内部ダイアフラムに対する空気圧が失われると、内蔵のスプリングがアクチュエータをホーム ポジションに押します。もちろん、ホーム ポジションは「安全な」位置である必要があります。新しい電気および電子アクチュエータには、電力喪失時にアクチュエータを自動的にホームポジションに駆動するための追加コンポーネント (スプリングまたはコンデンサ) が必要です。[8]
  • プログラマブル ロジック コントローラー(PLC)。PLC をフェイルセーフにするために、システムは関連するドライブを停止するために通電する必要がありません。たとえば、通常、非常停止は常閉接点です。停電が発生した場合、これによりコイルおよび PLC 入力から直接電力が遮断されます。したがって、フェイルセーフシステムです。
  • 電圧レギュレータが故障すると、接続されている機器が破壊される可能性があります。バール(回路)は過電圧を検出するとすぐに電源を短絡して損傷を防ぎます。

手順の安全性

航空機は、空母への着陸停止中にフルパワーを維持するためにアフターバーナーに点火します。停止した着陸が失敗した場合でも、航空機は安全に再び離陸できます。

物理的なデバイスやシステムと同様に、手順が実行されない場合、または間違って実行された場合でも危険な行為が発生しないように、フェールセーフ手順を作成できます。例えば:

  • 宇宙船の軌道 -アポロ計画の初期の月へのミッション中、宇宙船は自由帰還軌道に置かれました。月周回軌道投入 時にエンジンが故障していれば、宇宙船は惰性で地球に安全に帰還したでしょう。
  • 空母に着陸する航空機のパイロットは、接地時にスロットルをフルパワーまで上げます。アレスティングワイヤーが航空機を捕捉できなかった場合でも、航空機は再び離陸することができます。これはフェイルセーフの実践の一例です[9]
  • 鉄道信号では、列車で実際に使用されていない信号機は「危険」位置に維持する必要があります。したがって、制御されたすべての絶対信号のデフォルト位置は「危険」であるため、列車が通過する前に、信号を「クリア」に設定するという積極的なアクションが必要です。この慣例により、信号システムの故障、信号員の無力化、または列車の予期せぬ進入が発生した場合でも、列車に誤った「クリア」信号が表示されることはありません。
  • 鉄道技術者は、紛らわしい、矛盾した、または馴染みのない側面を示す鉄道信号機 (たとえば、電気的故障が発生し、まったく光を示さない色信号機) は「危険」を示すものとして扱わなければならないと指導されています。このようにして、ドライバーはシステムのフェールセーフに貢献します。

その他の用語

フェールセーフ (フールプルーフ) デバイスは、ポカヨケデバイスとも呼ばれます。「ポカヨケ」という日本語の用語は、品質の専門家である新郷茂雄氏によって作られました[10] [11] 「安全な失敗」とは、オランダの「ルーム・フォー・ザ・リバー」プロジェクトやテムズ川河口 2100 年計画[12] [13]など、柔軟な適応戦略や気候変動への適応を組み込んだ土木設計を指します。500年に一度の洪水などの深刻な事態が発生した場合の被害を制限します。[14]

フェールセーフとフェールセキュア

フェールセーフフェールセキュアは別の概念です。フェールセーフとは、デバイスが故障しても生命や財産を危険にさらさないことを意味します。フェールセキュアはフェールクローズドとも呼ばれ、セキュリティ障害が発生してもアクセスやデータが悪者の手に渡らないことを意味します。場合によっては、アプローチが反対の解決策を提案することもあります。たとえば、建物が火災になった場合、フェールセーフ システムはドアのロックを解除して素早い避難を確保し、消防士が中に入ることができるようにします。一方、フェールセーフ システムは建物への不正アクセスを防ぐためにドアをロックします。

フェールクローズドの反対はフェールオープンと呼ばれます

アクティブな運用に失敗する

フェイル アクティブ オペレーショナルは、高度な冗長性を備えたシステムにインストールできます。これにより、システムのどの部分の単一の障害も許容され (フェイル アクティブ オペレーショナル)、2 番目の障害が検出され、その時点でシステムが自動的に切り替わります。オフ (結合解除、パッシブ失敗)。これを実現する 1 つの方法は、3 つの同一のシステムをインストールし、不一致を検出する制御ロジックを導入することです。この例としては、慣性航法システムピトー管など、多くの航空機システムが挙げられます。

フェールセーフポイント

冷戦時代、「フェイルセーフポイント」は、ソ連領空のすぐ外側にあるアメリカ戦略航空軍の核爆撃機の帰還不能点を指す言葉であった。攻撃命令を受けた場合、爆撃機はフェイルセーフポイントに留まり、2度目の確認命令を待つ必要があった。爆弾を受け取るまで、彼らは爆弾を装備したり、さらに先に進んだりしませんでした。[15]この設計は、核戦争を引き起こすアメリカの指揮系統のいかなる単一の失敗も防ぐことであった。この用語の意味は、1962 年の小説『フェイルセーフ』の出版により、アメリカの一般的な辞書に入りました

(他の核戦争指揮制御システムは、反対のスキームであるフェイルデッドリーを使用しており、核攻撃の開始を 防ぐために敵の先制攻撃が発生していないことを継続的または定期的に証明する必要があります。)

こちらも参照

参考文献

  1. ^ 「フェイルセーフ」。オーディオ英語.net。2009.12.31アクセス
  2. ^ 、David B. Rutherford Jr.、What Do You Mean It\'s Fail Safe? 1990 年高速交通カンファレンス
  3. ^ ボルンシュレーグル、スザンヌ (2012)。SIL 4 の準備: セーフティ クリティカルなモバイル アプリケーション用のモジュラー コンピューター(pdf)メンマイクロエレクトロニク2015 年 9 月 21 日に取得
  4. ^ デイヴィッド・W・ラッグ (1973). 航空辞典(初版)。ミサゴ。p. 127.ISBN _ 9780850451634
  5. ^ ボルンシュレーグル、スザンヌ (2012)。SIL 4 の準備: セーフティ クリティカルなモバイル アプリケーション用のモジュラー コンピューター(pdf)メンマイクロエレクトロニク2015 年 9 月 21 日に取得
  6. ^ "P2138 DTC スロットル/ペダル位置センサー/スイッチ D/E 電圧相関". www.obd-codes.com
  7. ^ 統一交通管制装置に関するマニュアル、連邦道路局、2003 年
  8. ^ 「故障が許されないとき: フェールセーフ アクチュエータの進化」. KMCコントロール。2015 年 10 月 29 日2021 年4 月 12 日に取得
  9. ^ トム、ハリス (2002 年 8 月 29 日)。「航空母艦の仕組み」。ハウスタッフワークス株式会社 2007 年 10 月 20 日に取得
  10. ^ 慎吾、茂雄; アンドリュー P. ディロン (1989)。トヨタ生産方式を生産工学の観点から考察。オレゴン州ポートランド: Productivity Press。p. 22. ISBN 0-915299-17-8OCLC  19740349 
  11. ^ ジョン・R・グラウト、ブライアン・T・ダウンズ。「ミス防止、ポカヨケ、ZQC に関する簡単なチュートリアル」、MistakeProofing.com
  12. ^ 「テムズ河口 2100 計画」(PDF) . 英国環境庁。2012 年 11 月。2012年 12 月 10 日にオリジナル(PDF)からアーカイブされました2013 年3 月 20 日に取得
  13. ^ “テムズ河口 2100 (TE2100)”. 英国環境庁2013 年3 月 20 日に取得
  14. ^ ジェニファー・ウィークス (2013 年 3 月 20 日)。「適応の専門家であるポール・カーシェンは、土木技術者に新しいパラダイムを提案しています。それは、『フェールセーフ』ではなく、『安全に失敗できる』というものです。」毎日の気候2013 年 5 月 13 日のオリジナルからアーカイブ2013 年3 月 20 日に取得
  15. ^ 「フェイルセーフ」。辞書.com 2021 年11 月 7 日に取得