空飛ぶ車とフェイルセーフ
現在、‘空飛ぶ車’の開発が盛んになっています。ドローンをいくつも使うタイプや、空を飛ぶ時と、地上を走る時とで、車体を分離・結合するものなど様々です。これらについて、安全に関することを考えると、いろいろな思いや発想が浮かんできます。
フェイルセーフ、フォールトトレランスそしてリンプフォーム
フェイルセーフ(fail safe)の基本的な考え方は、システムが故障の場合には安全サイドに制御を切り替ることです。
例えば車両において状態の危険度が高い、あるいはバックアップ制御に大きいリスクが伴う場合には運転停止へと切り替えます。
一方、多重化などにより、故障時にも、できる限り機能維持を行うことを、フォールトトレランス(fault tolerance、故障を受け入れ、バックアップ制御を行う)と呼びます。
その一番典型的な例が飛行機だと言われています。
その理由は、飛行機では作動停止は安全ではく、墜落という最大の危険を意味するからです。
故障対応には別の方法もあります。
車両においては、緊急停止を必要とする前の段階において、リンプホーム(limp home、足をひきずって、よたよた家までもどる)と呼ばれ、最低限の機能維持を行います。
例えば、路肩の安全な位置まで移動する、あるいは修理工場まで移動することを可能とします。
空飛ぶ車では?
空飛ぶ車は、車両でもあり、飛行機でもあるので、その両方の機能に対応する故障対応設計が必要となります。
故障対応の設計コンセプト目標は、多様な手段により多重化、すなわち冗長化(redundancy)設計を行い、リンプホームができ、そして安全に停止ができることとなります。
そのための設計課題を考えてみましょう。
設計課題1
同じタイプのドローンを複数使って車両を浮上させるという考えにおいては、例えば、電磁ノイズなどが有った場合には、複数動力源が同時誤作動又は全作動停止、即時墜落というリスクがあります。
浮上動力源にも多様性を持たせ、故障時にもリンプホームができるようにすることが必要です。
設計課題2
車両の構成を変える、すなわち飛ぶ部分と走る部分すなわち車台が分離し、飛ぶ部分は車台へ着地し結合するという考えは画期的だと思います。
水陸両用車のように‘機能を足すなら、装置も足し算’的な発想ではありません。浮上時の軽量化で省エネにもなります。
同様な考え方で、ロボットのAIにスーパーコンピューターを搭載する必要はなく、クラウドを用いたり、高負荷計算をできる施設との通信により情報や解を得るという方法が有ります。すなわち機能を分離するのと同時に構成も分離するという考えです。これらの構成の弱点は、分離できることの裏返しで、結合(交信)が不可能になった場合に、大幅機能ダウンとなることです。すなわち空飛ぶ機能を失なった場合には車台への着地もできなくなり、車両走行機能も失われます。(空飛ぶ車の普及のあかつきにはリンプホーム機能により、なんとか飛び続けて最寄りの車台に着地するという可能性も有るでしょうか)
設計課題3
ヘリコプタは、プロペラ停止で墜落ですが、一方飛行機には、動力源停止時にもグライダー飛行という機能があり、海上着水や地上胴体着陸という可能性を保持しています。
空飛ぶ車においても、‘グライダー機能‘がある方がサバイバル能力が高くなります。
設計課題4
車両においては、踏切内や高速道路などのように停止自体が自身にも他者にも危険な場合、リンプホーム機能により安全な場所への移動ができます。
すなわち、列車乗客や他の高速道路利用者への故障波及影響を回避することができます。
空飛ぶ車でも、墜落による二次災害を防げるように墜落位置に対する自由度を上げなければなリません。
現在のヘリコプタや飛行機には航路制限がありますが、空飛ぶ車の目的からすれば、渋滞路や住宅密集地の上を飛ぶことを想定しているはずです。
コストの制約から空飛ぶ車はオスプレイに比べて、はるかに冗長化レベルが低いとすると、現在のオスプレイよりもはるかに故障墜落危険度の高いものが街の上を飛び回ることとなります。
安全なシステムの完成のキーになるのは、評価方法です。現在、シミュレーションやバーチャルリアリティなどを駆使して、製品の作動や環境をモデル化して評価する方法も進化しています。
重要なことは、開発チームメンバーの個々人が柔軟な発想を行い、想定の多様化を図り、想定外を限りなく小さくしていくことです。
(アイアール技術者教育研究所 H・N)
関連コラム
- アリとフェイルセーフはこちら
- 進化論とフェイルセーフはこちら