フェールセーフは信頼性を下げる

-
<はじめに>
フェールセーフ(fail safe)とは、万が一機器が壊れた時に安全側に動作させる設計の事です。
これを採用する事で、安全性は上がりますが信頼性は下がります。
フェールセーフは故障に対しての方策なので信頼性が上がると錯覚しがちですが、その逆ですので気をつけたいところです。 


<信頼性と安全性の関係>
信頼性とは故障しない事ですので、安全性とは少し違います。安全性は故障の有無にかかわらず安全であるか否かを意味します。ですので信頼性が下がるとは故障率が上がる事なのです。故障率が低ければ安全性も上がるので、信頼性を上げれば安全性が高くなると言えますが、信頼性が低くてもフェールセーフ等の安全策を付加すれば安全性は確保されます。
ですので必ずしも「信頼性=安全性」とはならないのです。

・信頼性↑➡︎安全性↑(正)
・信頼性↓➡︎安全性↓(誤)


<信頼性が下がる理由>
フェールセーフという機能を追加する事により、余分な機能や部品が追加されるわけですので、その分の故障率が上がります。
機能や部品点数が多いほど故障の機会が増えますので、故障率が上がるわけです。


<信頼性と安全性は切り分けて考える>
故障率を下げることで安全性を上げるのは当然の事ですが、それでも機器の故障は免れないので、それに備えて安全機構をつけておくわけです。

しかし、その機構が信頼性(故障率)の足を引っ張るという事を忘れてはいけません。
これはフェールセーフだけでなく故障検知機能も同じです。

異常検知機能の信頼性が高ければいいですが(ストーブ等の機械式の転倒検知など)、センサーのような誤作動が多いもの(或いは設定条件が難しいもの)は、環境や使われ方によって誤検知が頻発する可能性があります。


<フェールセーフや検知機能の必要性の検証方法>
故障という意味では、本来機能も付帯機能であるフェールセーフや異常検知機能も重みは同じです。ですのでそれらの機能の設定は慎重にすべきです。

H3ロケットの第二段エンジンが着火に失敗したケースは、過電流検知が作動して電源を停止させた為とあります。既に上空にいるロケットに対して異常対策として電源停止する事に何の意味があるのでしょう。 誤検知であった可能性を考えれば、過電流検知しても電源を停止させる必要はなかったのです。 本当に過電流だったとしても、もうどうしようもないので司令破壊させるわけですから。

ロケットは信頼性を極限まで上げたい一心で数々の検知機能をつけていますが、逆にそれが本来機能を邪魔するリスクを考慮しなければなりません。(H3ロケット失敗


<まとめ>
フェールセーフや異常検知を付加する事は、安全性確保と引き換えに故障率を上げてしまうという事を認識しなければなりません。トレードオフを考慮して必要性を検証しなければなりません。


コメント

コメントを投稿

このブログの人気の投稿

サージとインラッシュ電流(突入電流)の違い

-
<はじめに>   そもそもこの二つは全然違うと言われると身も蓋もありませんが、両者は同じだと感じる方に向けて書きます。「サージ」も「突入電流」も急激な電気的変化の現象で、装置の故障に繋がる恐れがあるものです。サージ電圧が発生すればそれに伴い急激に電流が流れる事がありますが、それを突入電流とは呼びません。この言葉が何を表しているかを知れば故障の事前防止になるかもしれません。 <サージと突入電流の違い>  定義は無いと思いますが、一般的にはこんな感じだと思います。 ・サージ:電圧の急激な変化によって発生する高電圧の事。これによって発生する電流をサー      ジ電流と呼ぶかもしれません(突入電流とは呼びません)。コイルの逆起電力や静      電気放電などがあります。 ・突入電流:主に始動時(ON時)の瞬間に流れる電流を指す事が多いです。始動時の負荷抵抗       が低い為に発生します。高電圧が原因ではなく、低負荷が原因で発生するイメー       ジです。 <発生原因> ・サージ:コイル(リレー、ソレノイド)のオフサージ(コイルの逆逆起電力)。      静電気、雷(帯電した絶縁物からの放電)なども。 ・突入電流:コンデンサ、モーター、フィラメント等      コンデンサは充電されるまでの電流。モーターは起動時に回転する前の磁束変化      がなく電流阻止されない状態の電流。(なお、モーターはコイルで構成されている      のにも関わらず起動時に大電流が流れる理由は こちら を参照してください) <留意すべき故障> ・サージ:コイル(インダクタ)負荷を駆動するトランジスタの故障(D-S間の過電圧破壊)      或いはリレーやスイッチの接点劣化(アーク(接点火花)によるもの)。      MOS FETのゲートやCMOSの入力端子の静電気故障       ・突入電流:容量(コンデンサ)或いはモーターの電流経路上にあるトランジスタや電源ICの       故障(過電流)、或いはリレーやスイッチの接点劣化(溶着) イメージとしては、サージはコイルが関係する部品、突入電流は容量(コンデンサ)が関係する部品が原因となる可能性が高いと言えます。(詳細は コイルはOFF時コンデンサはON時に注意 を見てください) <発生防止に必要なこと>  これらの影響を確認するには、 電
続きを読む

オペアンプの基本原理

-
イメージ
 <はじめに>  オペアンプの基本原理は非常に単純です。しかしオペアンプについて記述されているものの中には誤解を招く内容があり、それが理解を妨げている場合があるように思います。 その一つが、増幅がオペアンプICの内部で行われているようなイメージのものです。 増幅はオペアンプICの外で行われています。それを意識しながら増幅の原理を少しでも分かりやすく、簡単に説明したいと思います。 なお、以下、オペアンプIC単体を「オペアンプIC」、外付け抵抗を含めた回路全体を「オペアンプ回路」と記述します。 <理解するために必要な考え方>  無意識に考えてしまう思い込みが誤解の原因となりますので、まずありがちな思い込みを払拭する事が必要です。 個人的な推測ですが、ありがちな思い込みとして下記があます。 ①オペアンプICに入れた2つの入力信号の差を、外付け抵抗で決めた増幅率で増幅する。(×) ②オペアンプICの増幅率は無限大だが、外付け抵抗を付ける事により、その増幅率を調整する  ことができる。(×) これらは間違いです。 外付け抵抗で増幅率を調整している(決めている)の所だけを切り取ると間違ってはいませんが、その前に書かれている内容と組み合わせると間違いになります。 ①②はいずれも、オペアンプICの中で増幅している、という考え方です。 しかし、 オペアンプIC内で増幅を調整する事はしていません 。また重複しますが、外付け抵抗はオペアンプ ICの増幅率 を調整しているわけではありません。 ではオペアンプICの増幅率(Av)とは何なのでしょうか? これは後述します。 ここで必要な考えは、 「オペアンプIC」と「オペアンプ回路(システム)」の 動作を切り分けて考える という事です。 下図は、今説明した内容を図で表現したものです。 一番上の図:オペアンプIC単体の特性を表しています。増幅率は無限大ですので出力は振り切       れています。(オペアンプ回路構成にすると振り切らす中間値を出力する) 中間の図: オペアンプ単体が設定された増幅率で増幅を行っている。(×)        これは間違いです 一番下の図:外付け抵抗を構成する事で、分圧回路が増幅を行っている。オペアンプの役目は       あくまで仮想短絡のみ。(◯)        正しい考え方 <説明の流れ> オペアンプ回路が増幅機
続きを読む

トランジスタのハーフオン(半オン)故障

-
<はじめに>   ハーフオン故障(半オン故障)とは、トランジスタを中途半端にON(あるいはOFF)させた状態が原因で発生する事象です。この故障モードは一般的に知られてはいますが、見落としがちな原因でもあります。 故障したICチップの焼損状態から、外部サージによる故障であると誤って報告されるケースが多いからです。  ハーフオン故障はサージ故障ではありません ので、いつまでたっても正しい原因に辿り着けない事になります。 <ハーフオン故障のメカニズム>  トランジスタ(MOS FET、バイポーラいずれも)は、ゲート(ベース)に中途半端な電圧をかけてONさせた場合、 消費電力が大きくなり破壊する 可能性があります。 フルON状態であればトランジスタのON抵抗が0に近く電圧降下が約0になる為、電力消費は僅かで済みます。またフルOFF状態であればON抵抗は大になり電流は約0なのでこれも電力消費は僅かで済みます。いずれもハーフオン故障は発生しません。しかし中途半端なON(OFF)は、電圧・電流両方ともかかるので電力消費が発生し故障を誘発する可能性があります。   こうなっていない事を確認する為にSOA(Safe Operating Area: 安全動作領域)内で動作させていることを検証して回路設計をします。 <発生してしまう原因>  トランジスタをスイッチとして使う場合(ほぼこの使い方だと思いますが)、SOAを意識する事は無いと思います。スイッチですのでON時、OFF時の2状態しかなく、前述の通り電力消費は殆ど無く故障しません。  しかし、ON/OFF状態しか設定していないつもりでも、下記のように 意図せずハーフONに なっている場合があります。 ・ OFF状態のゲート電位が0Vになっていない 。(ハイインピーダンス状態になっている)  →システムOFFの状態において、ロジック(ゲートに信号送る回路)の電源はOFFしているが   トランジスタ電源が切れていない場合、トランジスタのゲート電圧は不定になります。   不定(ハイインピーダンス)は0Vではなく電位が定まっていない状態なので、トランジス   タがハーフオンする可能性があります。 対策としてはゲートにプルダウン抵抗をつけ   て、ハイインピーダンス時にゲート信号がLo固定になる様にします。 ・ スイッチングの過渡時間が遅い
続きを読む