新交通システムの逆走事故(フェールセーフ設計・断線検知)

-
 はじめに
横浜市の新交通システム(金沢シーサイドライン)で2020年に発生した事故にて、車両設計者が書類送検されました。 原因はフェールセーフ設計のミスでした。この内容について書きます。なお、この車両システムは無人運転(自動運転)システムです。


事故内容
「前進−後進」切り替え信号の配線が摩耗により断線。それにより逆走。始発駅の車止めに約25km/hで衝突した。17人が負傷、うち12人が重症。
前進、後進信号をラッチ(記憶)するシステム。即ち、新しい信号が来ないと更新されない。
終点で、前進から後進に切り替えるが、断線していて、後進信号が伝わらず前進信号のままになっていた。 断線検知は設定していなかった。


問題点
重要な信号に対して断線ケースを想定するのは、機器設計者としては当然の事です。
有人運転であれば、逆走を始めた瞬間に車両を止めて事故には至らなかったでしょう。
しかし無人運転では、それができないわけですから、いかにフェールセーフの採用が重要かと言う事です。


断線検知の方法
断線すると、信号レベルは不定になるので、何Vをもって断線と判断すればいいか分かりません。 断線時はテスターやオシロは0Vを指す事が多い為、0Vなのか断線しているのかの区別は難しいです。0Vとハイインピーダンスの違い

ですので、断線を検知するにはそれなりの工夫が必要です。
確実なのは信号の二重系です。両方のロジックが一致していなければ、どちらかが断線していると判断します。

通信線を増やさずに検出したければ、断線時にHとLの中間の電圧が出力されるよう、プルアップ、プルダウン抵抗で設定します。 その電圧を検知する事で断線が判明します。


余談
金沢シーサイドラインは、当初有人運転をしていました。ある時期から無人運転に切り替えたのです。ですので、もしかしたらフェールセーフ設計が甘かったのかもしれません。
最初から無人運転が前提で設計していたら、今回のようなミスは発生していなかったのではと思います。 また、本来なら断線検知だけでなく、車に普及している自動ブレーキ(前方障害物を認識してブレーキをかける)も採用すべきです。








コメント

コメントを投稿

このブログの人気の投稿

サージとインラッシュ電流(突入電流)の違い

-
<はじめに>   そもそもこの二つは全然違うと言われると身も蓋もありませんが、両者は同じだと感じる方に向けて書きます。「サージ」も「突入電流」も急激な電気的変化の現象で、装置の故障に繋がる恐れがあるものです。サージ電圧が発生すればそれに伴い急激に電流が流れる事がありますが、それを突入電流とは呼びません。この言葉が何を表しているかを知れば故障の事前防止になるかもしれません。 <サージと突入電流の違い>  定義は無いと思いますが、一般的にはこんな感じだと思います。 ・サージ:電圧の急激な変化によって発生する高電圧の事。これによって発生する電流をサー      ジ電流と呼ぶかもしれません(突入電流とは呼びません)。コイルの逆起電力や静      電気放電などがあります。 ・突入電流:主に始動時(ON時)の瞬間に流れる電流を指す事が多いです。始動時の負荷抵抗       が低い為に発生します。高電圧が原因ではなく、低負荷が原因で発生するイメー       ジです。 <発生原因> ・サージ:コイル(リレー、ソレノイド)のオフサージ(コイルの逆逆起電力)。      静電気、雷(帯電した絶縁物からの放電)なども。 ・突入電流:コンデンサ、モーター、フィラメント等      コンデンサは充電されるまでの電流。モーターは起動時に回転する前の磁束変化      がなく電流阻止されない状態の電流。(なお、モーターはコイルで構成されている      のにも関わらず起動時に大電流が流れる理由は こちら を参照してください) <留意すべき故障> ・サージ:コイル(インダクタ)負荷を駆動するトランジスタの故障(D-S間の過電圧破壊)      或いはリレーやスイッチの接点劣化(アーク(接点火花)によるもの)。      MOS FETのゲートやCMOSの入力端子の静電気故障       ・突入電流:容量(コンデンサ)或いはモーターの電流経路上にあるトランジスタや電源ICの       故障(過電流)、或いはリレーやスイッチの接点劣化(溶着) イメージとしては、サージはコイルが関係する部品、突入電流は容量(コンデンサ)が関係する部品が原因となる可能性が高いと言えます。(詳細は コイルはOFF時コンデンサはON時に注意 を見てください) <発生防止に必要なこと>  これらの影響を確認するには、 電
続きを読む

オペアンプの基本原理

-
イメージ
 <はじめに>  オペアンプの基本原理は非常に単純です。しかしオペアンプについて記述されているものの中には誤解を招く内容があり、それが理解を妨げている場合があるように思います。 その一つが、増幅がオペアンプICの内部で行われているようなイメージのものです。 増幅はオペアンプICの外で行われています。それを意識しながら増幅の原理を少しでも分かりやすく、簡単に説明したいと思います。 なお、以下、オペアンプIC単体を「オペアンプIC」、外付け抵抗を含めた回路全体を「オペアンプ回路」と記述します。 <理解するために必要な考え方>  無意識に考えてしまう思い込みが誤解の原因となりますので、まずありがちな思い込みを払拭する事が必要です。 個人的な推測ですが、ありがちな思い込みとして下記があます。 ①オペアンプICに入れた2つの入力信号の差を、外付け抵抗で決めた増幅率で増幅する。(×) ②オペアンプICの増幅率は無限大だが、外付け抵抗を付ける事により、その増幅率を調整する  ことができる。(×) これらは間違いです。 外付け抵抗で増幅率を調整している(決めている)の所だけを切り取ると間違ってはいませんが、その前に書かれている内容と組み合わせると間違いになります。 ①②はいずれも、オペアンプICの中で増幅している、という考え方です。 しかし、 オペアンプIC内で増幅を調整する事はしていません 。また重複しますが、外付け抵抗はオペアンプ ICの増幅率 を調整しているわけではありません。 ではオペアンプICの増幅率(Av)とは何なのでしょうか? これは後述します。 ここで必要な考えは、 「オペアンプIC」と「オペアンプ回路(システム)」の 動作を切り分けて考える という事です。 下図は、今説明した内容を図で表現したものです。 一番上の図:オペアンプIC単体の特性を表しています。増幅率は無限大ですので出力は振り切       れています。(オペアンプ回路構成にすると振り切らす中間値を出力する) 中間の図: オペアンプ単体が設定された増幅率で増幅を行っている。(×)        これは間違いです 一番下の図:外付け抵抗を構成する事で、分圧回路が増幅を行っている。オペアンプの役目は       あくまで仮想短絡のみ。(◯)        正しい考え方 <説明の流れ> オペアンプ回路が増幅機
続きを読む

トランジスタのハーフオン(半オン)故障

-
<はじめに>   ハーフオン故障(半オン故障)とは、トランジスタを中途半端にON(あるいはOFF)させた状態が原因で発生する事象です。この故障モードは一般的に知られてはいますが、見落としがちな原因でもあります。 故障したICチップの焼損状態から、外部サージによる故障であると誤って報告されるケースが多いからです。  ハーフオン故障はサージ故障ではありません ので、いつまでたっても正しい原因に辿り着けない事になります。 <ハーフオン故障のメカニズム>  トランジスタ(MOS FET、バイポーラいずれも)は、ゲート(ベース)に中途半端な電圧をかけてONさせた場合、 消費電力が大きくなり破壊する 可能性があります。 フルON状態であればトランジスタのON抵抗が0に近く電圧降下が約0になる為、電力消費は僅かで済みます。またフルOFF状態であればON抵抗は大になり電流は約0なのでこれも電力消費は僅かで済みます。いずれもハーフオン故障は発生しません。しかし中途半端なON(OFF)は、電圧・電流両方ともかかるので電力消費が発生し故障を誘発する可能性があります。   こうなっていない事を確認する為にSOA(Safe Operating Area: 安全動作領域)内で動作させていることを検証して回路設計をします。 <発生してしまう原因>  トランジスタをスイッチとして使う場合(ほぼこの使い方だと思いますが)、SOAを意識する事は無いと思います。スイッチですのでON時、OFF時の2状態しかなく、前述の通り電力消費は殆ど無く故障しません。  しかし、ON/OFF状態しか設定していないつもりでも、下記のように 意図せずハーフONに なっている場合があります。 ・ OFF状態のゲート電位が0Vになっていない 。(ハイインピーダンス状態になっている)  →システムOFFの状態において、ロジック(ゲートに信号送る回路)の電源はOFFしているが   トランジスタ電源が切れていない場合、トランジスタのゲート電圧は不定になります。   不定(ハイインピーダンス)は0Vではなく電位が定まっていない状態なので、トランジス   タがハーフオンする可能性があります。 対策としてはゲートにプルダウン抵抗をつけ   て、ハイインピーダンス時にゲート信号がLo固定になる様にします。 ・ スイッチングの過渡時間が遅い
続きを読む