メニュー

マイコン機器のフェールセーフ:鉄道に学ぶ!安全性と信頼性の基礎知識4

railway-safety1_key_visual-2

更新日:2016年2月29日(初回投稿)
著者:日本信号株式会社 交通運輸インフラ統括技術部 要素設計部 専任部長 森 昌也

第3回では、鉄道信号における「フェールセーフ」の実現方法を解説しました。鉄道の信号用リレーは、重力やバネの復元力による非対称誤り特性を利用することで、フェールセーフを実現していました。第4回は、マイコンを使った信号保安装置について解説します。ここでいうマイコンとは、マイクロ・コンピューターの略で、具体的にはマイクロプロセッサ(MPU : Micro Processing Unit)のことです。マイコンのような電子スイッチの巨大な集合体では、どのような仕組みでフェールセーフを実現しているのでしょうか。

1. マイコンはフェールセーフにできない?

私たちが目にするほとんどすべての機器には、マイクロプロセッサ(MPU)が搭載され、複雑な機能をソフトウェアにより実現しています。そのことは、信号保安装置も例外ではありません。

マイコンは、トランジスタを利用した電子スイッチの巨大な集合体です。一般的な電子スイッチは、故障した場合の出力がON側になるかOFF側になるか、その確率に大きな偏りはありません。すなわち、非対称誤り特性がないのです。このような電子スイッチの組み合わせだけで、フェールセーフな論理を持たせることは困難です。つまり、マイコン単体でフェールセーフ性を持たせることは困難です。

工具交換装置をチェック!(イプロス製造業)

2. マイコンは誤った出力をするかもしれない!

鉄道信号の技術者は単一のマイコンの出力を信用していません。例を挙げて解説しましょう。通信回線を介して3時間前にメモリーに書き込まれたデータDXを読み出し、何らかの制御に使うことを想定します(図1)。さて、このデータDXを信用し、使用してもよいでしょうか?

図1:一般的なマイコンの構成。「データDX」が書き込まれたのは3時間前…

図1:一般的なマイコンの構成。「データDX」が書き込まれたのは3時間前…

これを「信用できない」といったら、一般の民生機器は成り立たないでしょう。「3時間前に届いたメールの文面が信用できない」ことと同じですからね。

しかしながら、鉄道の信号保安装置の設計では、安全性上このデータDXは信用できません。なぜでしょうか? 理由は主に2つあります。

  • データDXをメモリーに書き込んだとき、または読み出すときに、故障により、MPUが計算を誤るかもしれない。
  • データDXがメモリーに保存されていた3時間の間に、故障により値が違う値に化けていたかもしれない。

鉄道信号の安全性設計では、そこまで疑うのです。

工具交換装置をチェック!(イプロス製造業)

3. マイコンの安全性を確保:二重系照合方式

マイコンの安全性をどのようにして確保するかは、業界によりいろいろな方法があります。鉄道業界においても、マイコン導入時からさまざまな方法が研究されてきました。現在では「二重系照合方式」が主流になっています(図2)。

図2:2セットのマイコンと照合回路による二重系照合方式

図2:2セットのマイコンと照合回路による二重系照合方式

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

工具交換装置をチェック!(イプロス製造業)

4. 安全性を一定周期で確認:健全性常時診断

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

5. まとめ

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

  • セミナー11月
  • 特集バナー1020_01
  • 特集バナー1020_02
  • 特集バナー1020_03
  • 販促サイト_新規顧客開拓

ピックアップ記事

tags

  • 特集バナー1002_01
  • 特集バナー1002_02
  • 特集バナー1002_03