09:15 〜 09:30
[STT35-02] 信頼性を向上させたフェールセーフ地震計の構想
キーワード:早期地震防災システム、地震計、フェールセーフ、フォールトトレランス、新幹線
鉄道総研が1992年に開発した新幹線早期地震防災システム(以下、本システム)は、これまで様々な地震を経験しており、地震発生時の新幹線の安全性確保に一定の役割を果たしている。特に沿線に配備している電気式地震計(以下、地震計)は、地震観測に加え他の地震計から送信される震源情報(震央位置、マグニチュード等)をもとに列車制御の判断を行う機能を有している。現在はより安全性を向上させるため、部外情報である緊急地震速報、海底地震計の情報も列車制御判断に利用している。一方で本システムの堅牢性をより高めるため、鉄道事業者が管理する地震計の信頼性向上は重要な課題である。信頼性向上策を誤動作防止と稼働率を伸ばすことと捉えた場合、フェールセーフの採用が適切であるとの判断に至った。
フェールセーフとは、何らかの装置において、誤動作・誤操作による障害が発生した場合、常に安全側に制御が移行する信頼性設計の一つである。これは装置が必ず故障することを前提としている設計方法である。鉄道においては主に信号、車両の分野で採用されている。フェールセーフの具体的な仕組みは、2つのCPUの演算結果をバス照合し、一致したことを確認した後に結果を出力する。仮に内部の演算結果の照合において不一致が判断された場合、直ちに処理を停止する。この「直ちに停止する」処理を安全側と定める。安全側とは誤動作発生に伴い不用意な処理を実行させないため直ちに停止する状態を指す。フェールセーフの利点は、以下の2点と考える。
・故障判断が明確
フェールセーフはCPU、メモリからのデータの照合によりデータ不一致の場合、直ちに動作を停止するものである。この方式は故障判断が明確で信頼性も高い。CPU基板誤動作の原因を同期信号の乱れと考えた場合、照合回路は有効であると考える。
・高い信頼性
鉄道での実績として、1装置にフェールセーフ基板を2枚実装した場合、同時に故障する事例は殆どない。1地震計にフェールセーフ基板を2枚実装した場合、仮にフェールセーフ基板1枚が停止した場合でも、地震計が停止することは無い。この場合、直ちに修理手配を行うことで高い稼働率を維持することが期待できる。
フェールセーフは故障判断の根拠が明確であることから、故障部位を能動的に切り離す処理が可能となる。能動的に故障部位を切り離すことによって、地震計全体の機能喪失を防ぐ仕組みがフォールトトレランスである。フォールトトレランスは航空機、鉄道車両、医療機器などミッションクリティカルな分野に採用されているハードウェア設計方法である。本システムの地震計においてフォールトトレランスを導入する場合、内部構造を計測・演算・通信・制御系の4ブロックに機能分割することを考える。さらに演算、通信ブロックにフェールセーフで構成された基板を採用する。あるブロックに故障が発生した場合、安全側に処理を移行することにより、他のブロックの動作に影響がない構造とすることが可能となる。
フェールセーフ地震計は、現在の新幹線用地震計のもつP波およびS波検知による列車制御判定機能と同じ機能を有した上で、フェールセーフ機能を具備させることが可能である。そうすることで、演算結果をサンプリング間隔レベルで照合するため、フェールセーフ地震計から出力される情報は信頼性が高いと言える。つまりハードウェアそのものの信頼性向上だけでなく、出力される情報も信頼性が高くなると言える。現在新幹線において変電所のき電を停止することによる列車停止方法が行われている。今後は鉄道信号や無線列車制御システムに接続することで、現在より広範囲の列車制御方法に対応できると考える。
今後は仕様の詳細を決定し、フェールセーフおよびフォールトトレランスが設計通りに動作するか検証を行う。その後、実際の鉄道の現場において試験観測を行い、現行地震計の性能を上回る信頼性を確保できるか確認することを予定している。さらに部品点数が増えることから地震計単体のコスト上昇に対する対策も重要な課題である。高い信頼性を如何に低コストで実現するか、メーカおよび専門家を交え詳細に詰める予定である。
フェールセーフとは、何らかの装置において、誤動作・誤操作による障害が発生した場合、常に安全側に制御が移行する信頼性設計の一つである。これは装置が必ず故障することを前提としている設計方法である。鉄道においては主に信号、車両の分野で採用されている。フェールセーフの具体的な仕組みは、2つのCPUの演算結果をバス照合し、一致したことを確認した後に結果を出力する。仮に内部の演算結果の照合において不一致が判断された場合、直ちに処理を停止する。この「直ちに停止する」処理を安全側と定める。安全側とは誤動作発生に伴い不用意な処理を実行させないため直ちに停止する状態を指す。フェールセーフの利点は、以下の2点と考える。
・故障判断が明確
フェールセーフはCPU、メモリからのデータの照合によりデータ不一致の場合、直ちに動作を停止するものである。この方式は故障判断が明確で信頼性も高い。CPU基板誤動作の原因を同期信号の乱れと考えた場合、照合回路は有効であると考える。
・高い信頼性
鉄道での実績として、1装置にフェールセーフ基板を2枚実装した場合、同時に故障する事例は殆どない。1地震計にフェールセーフ基板を2枚実装した場合、仮にフェールセーフ基板1枚が停止した場合でも、地震計が停止することは無い。この場合、直ちに修理手配を行うことで高い稼働率を維持することが期待できる。
フェールセーフは故障判断の根拠が明確であることから、故障部位を能動的に切り離す処理が可能となる。能動的に故障部位を切り離すことによって、地震計全体の機能喪失を防ぐ仕組みがフォールトトレランスである。フォールトトレランスは航空機、鉄道車両、医療機器などミッションクリティカルな分野に採用されているハードウェア設計方法である。本システムの地震計においてフォールトトレランスを導入する場合、内部構造を計測・演算・通信・制御系の4ブロックに機能分割することを考える。さらに演算、通信ブロックにフェールセーフで構成された基板を採用する。あるブロックに故障が発生した場合、安全側に処理を移行することにより、他のブロックの動作に影響がない構造とすることが可能となる。
フェールセーフ地震計は、現在の新幹線用地震計のもつP波およびS波検知による列車制御判定機能と同じ機能を有した上で、フェールセーフ機能を具備させることが可能である。そうすることで、演算結果をサンプリング間隔レベルで照合するため、フェールセーフ地震計から出力される情報は信頼性が高いと言える。つまりハードウェアそのものの信頼性向上だけでなく、出力される情報も信頼性が高くなると言える。現在新幹線において変電所のき電を停止することによる列車停止方法が行われている。今後は鉄道信号や無線列車制御システムに接続することで、現在より広範囲の列車制御方法に対応できると考える。
今後は仕様の詳細を決定し、フェールセーフおよびフォールトトレランスが設計通りに動作するか検証を行う。その後、実際の鉄道の現場において試験観測を行い、現行地震計の性能を上回る信頼性を確保できるか確認することを予定している。さらに部品点数が増えることから地震計単体のコスト上昇に対する対策も重要な課題である。高い信頼性を如何に低コストで実現するか、メーカおよび専門家を交え詳細に詰める予定である。