フェイルセーフ
フェイルセーフ(フェールセーフ、フェイルセイフ、英語: fail safe)とは、なんらかの装置・システムにおいて、構成部品の破損や誤操作・誤動作による障害が発生した場合、常に安全側に動作するようにすること[1]、またはそう仕向けるような設計手法[2]で信頼性設計のひとつ[3]。これは装置やシステムが『必ず故障する』ということを前提にしたものである[2][4]。
概論
編集「フェイルセーフ」は「故障は安全な側に」というのが原意である[5]。機械は壊れたときに、自然にあるいは必然的に安全側となることが望ましいが、そうならない場合は意識的な設計が必要である。たとえば自動車は、エンジンが故障した場合、エンジンの回転を制御できないような故障ではなく、回転が停止するような故障であれば、自動車自体が止まることになり安全である。このため、回転を止めるような故障モードへ自動的に落とし込むような、安全性を優先する設計思想がフェイルセーフとなる[6]。
飛行機の場合は、エンジン故障で全推力を失っても滑空して無事着陸できる設計であればフェイルセーフである。ヘリコプターのエンジン停止においては、オートローテーションという飛行方法により飛行機同様滑空して着陸することができる。推力を失った場合に滑空出来ない機体設計の場合は、エンジンの搭載機数を増やし、その内一機が故障しても推力を失わない「フォールトトレラント」という、別の設計思想とETOPSなどの運用方法で対応する。フォールトトレラント設計で系統を冗長化する場合、それぞれの系統はフェイルセーフで設計され故障しても他の系統の動作を妨げない設計になっている。
宇宙船の場合は、宇宙船の損傷または制御の喪失を示す可能性のある場合、宇宙船の保存が最優先事項であり、重要でない科学機器などがシャットダウンされ、重要な機能のみがアクティブになるセーフモードがあり、これもフェイルセーフのひとつである。
ヒューズは、過電流が流れた場合にヒューズ自身が溶けて壊れることにより、それ以上の過電流を止めて基板等の焼損や出火を防止する。この点で、電気回路にヒューズを挿入することやヒューズそのものも一種のフェイルセーフであるといえる。
コンピュータシステムや操作している人間の不具合を検知するために、定められた周期で決められた信号を送り続け、相手側で信号の受信が無い場合に不具合とみなす仕組みをウォッチドッグタイマーやデッドマン装置と呼ぶ。
空気ブレーキ
編集鉄道車両は、(圧縮空気で動作する)ブレーキに故障があった場合、非常ブレーキがかかるように設計することがフェイルセーフとなる[7]。
たとえば、自動空気ブレーキにおいては、何らかの衝撃で車両間の連結が外れた場合は必ず非常ブレーキが作動するようになっている[7]。列車貫通ブレーキ管に空気圧をかけたとき、ブレーキが緩解するように設計されている。これによって、連結が外れて配管が切れた場合でも、各車両にある補助空気だめの圧力によって非常ブレーキがかかる。また一部の電車では、「非常ブレーキ指令線」と呼ばれる信号線を編成内に引き通し、断線等で信号が途切れると非常ブレーキが作動するよう設計されている[7]。
踏切
編集踏切の遮断機においては、「遮断棹が上がっている状態」を維持するために力をかけなければならないよう設計され[2]、これがフェイルセーフとなる。
この場合は、停電などが起きて遮断機が作動しなくなっても、重力によって自然と遮断棹は下りたままになり、踏切内への立ち入りを防止するようになっている[2]。なお、節電のため列車を運転しない時間帯に故意に送電を停止させている路線では、停電状態でも遮断棹が下がらないように調整することができる[要出典]。
信号機
編集道路
編集この節の加筆が望まれています。 |
鉄道
編集鉄道信号機では連動装置や軌道回路、線路に何らかの異常が発生した場合や停電となった場合、停止信号(赤信号)を表示する設計となっているため、冒進が防がれている[2]。
例えば自動閉塞方式を採用している路線では、軌道を介して閉塞の終端側にある送信用電源から、信号機などが設置されている受信側の軌道継電器まで常に電流が流れており、この電流を受信することにより信号は列車の進入を許可している。この一連の回路を軌道回路といい、回路となる閉塞区間内に列車が在線すると輪軸が左右のレールを短絡し、軌道継電器に電流が流れなくなるため信号は停止信号を表示する。一方でレールの破断など軌道回路を構成する部分の故障によって回路の電流が遮断されたりすると同様に軌道継電器に電流が流れなくなるため、信号は常に停止信号を表示するようになるのでフェイルセーフとなる。
ただし、倒木、土砂崩れ、路盤流出など、実際に列車の運行に危害を及ぼす被害が出ても、レールが破断せず、短絡もされない場合には無力であり、運転士の目視確認のみに頼ることにも限界があるため、危険が想定される箇所には土石流センサーや監視カメラを設置して補う場合もある。
また、信号機の無灯火状態は停止信号と同じ効力を持つと定められており[要出典]、これはソフトウェア面でのフェイルセーフである。
MIDI
編集MIDIでの音楽演奏中には音楽信号とは関係のない「アクティブセンシング」という信号を定期的(約300ミリ秒ごと)に出力している。出力側が「ノートオン」(音を出す命令)を出すと受信側は「ノートオフ」の信号を受信するまで音を出し続ける。しかし、ノートオン後に不具合が発生して「アクティブセンシング」の信号が受信できない場合は、強制的に音を止める。故障した場合は音が止まる方向で動作を停止するので、故障した機器を使わずにコンサートなどが続行できる(逆に故障時に音が出る方向で設計されていた場合、演奏に支障がある)。
脚注
編集- ^ “フールプルーフ[foolproofとフェイルセーフ[fail-safe]: i-Learning 株式会社アイ・ラーニング]”. www.i-learning.jp. 2024年1月7日閲覧。
- ^ a b c d e “Q6.フェールセーフとはどんな考え方ですか? – 日本信号株式会社”. www.signal.co.jp. 2024年1月7日閲覧。
- ^ 日経クロステック(xTECH) (2010年3月15日). “フールプルーフの考え方として、適切なものはどれか”. 日経クロステック(xTECH). 2024年1月7日閲覧。
- ^ Wragg, David W. (1973). A Dictionary of Aviation (first ed.). Osprey. p. 127. ISBN 9780850451634
- ^ 株式会社南山堂発行 「TEXT 麻酔・蘇生学」(1995年2月10日 第1版発行、ISBN 4-525-30841-9、p.301 「【臨床実習メモ】 フールプールとフェイルセーフ」より。2020年6月11日閲覧
- ^ “フェールセーフ(1) - 製品設計知識”. seihin-sekkei.com. 2024年1月7日閲覧。
- ^ a b c “「列車分離事故」で即ブレーキ作動! 大惨事を防いだフェイルセーフシステムを解説”. 鉄道コム (2023年12月2日). 2024年1月7日閲覧。