マイコン機器のフェールセーフ:鉄道に学ぶ!安全性と信頼性の基礎知識4
投稿日:- 2016年02月29日
- |
カテゴリ: - 基礎知識
- |
tags:
第3回では、鉄道信号における「フェールセーフ」の実現方法を解説しました。鉄道の信号用リレーは、重力やバネの復元力による非対称誤り特性を利用することで、フェールセーフを実現していました。第4回は、マイコンを使った信号保安装置について解説します。ここでいうマイコンとは、マイクロ・コンピューターの略で、具体的にはマイクロプロセッサ(MPU : Micro Processing Unit)のことです。マイコンのような電子スイッチの巨大な集合体では、どのような仕組みでフェールセーフを実現しているのでしょうか。
1. マイコンはフェールセーフにできない?
私たちが目にするほとんどすべての機器には、マイクロプロセッサ(MPU)が搭載され、複雑な機能をソフトウェアにより実現しています。そのことは、信号保安装置も例外ではありません。
マイコンは、トランジスタを利用した電子スイッチの巨大な集合体です。一般的な電子スイッチは、故障した場合の出力がON側になるかOFF側になるか、その確率に大きな偏りはありません。すなわち、非対称誤り特性がないのです。このような電子スイッチの組み合わせだけで、フェールセーフな論理を持たせることは困難です。つまり、マイコン単体でフェールセーフ性を持たせることは困難です。
2. マイコンは誤った出力をするかもしれない!
鉄道信号の技術者は単一のマイコンの出力を信用していません。例を挙げて解説しましょう。通信回線を介して3時間前にメモリーに書き込まれたデータDXを読み出し、何らかの制御に使うことを想定します(図1)。さて、このデータDXを信用し、使用してもよいでしょうか?
これを「信用できない」といったら、一般の民生機器は成り立たないでしょう。「3時間前に届いたメールの文面が信用できない」ことと同じですからね。
しかしながら、鉄道の信号保安装置の設計では、安全性上このデータDXは信用できません。なぜでしょうか? 理由は主に2つあります。
- データDXをメモリーに書き込んだとき、または読み出すときに、故障により、MPUが計算を誤るかもしれない。
- データDXがメモリーに保存されていた3時間の間に、故障により値が違う値に化けていたかもしれない。
鉄道信号の安全性設計では、そこまで疑うのです。
3. マイコンの安全性を確保:二重系照合方式
マイコンの安全性をどのようにして確保するかは、業界によりいろいろな方法があります。鉄道業界においても、マイコン導入時からさまざまな方法が研究されてきました。現在では「二重系照合方式」が主流になっています(図2)。
保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。
4. 安全性を一定周期で確認:健全性常時診断
保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。
5. まとめ
保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。