【自動車部品と制御を学ぶ】制御系の故障(制御暴走・制御エラー)への対応技術と安全設計の考え方
ブレーキとアクセルの踏み間違いによる事故は、運転者の操作ミスによるものですが、電子制御における制御暴走(制御エラー)による意図しない挙動への対応技術の話をしてみたいと思います。
技術分野としては、フェイルセーフ(fail safe、装置あるいはシステムが故障した場合に、安全サイドに作動を移行させる)、あるいはフォールトトレランス(fault tolerance、故障時に、多重化などにより機能維持を行う)に関するものです。
目次
発生現象の分解
故障発生時の挙動を、時間順に分解し、その時の危険度の変化パターンを表すと以下のようになります。
(A)~(F)は、以下のようなケースを表しています。
- (A)システムあるいは装置の故障時に、故障検出も故障対応もできずに危険状態へと移行する
- (B)故障検出と故障対応が遅く、危険状態へと移行する
- (C)危険状態へ移行するが、(B)のケースに比べ、危険状態へ入るまでの時間が長い
- (D)危険度は増加するが、危険状態へは入らない
- (E)危険度はわずかに増加するが、見かけ上、元々と同様の安全作動を行う
- (F)故障検出と故障対応が安全状態中に行われ、元々の安全状態レベルに復帰する
目標である(F)を達成するためには?
目標とするのは、(F)のパターンですが、上図①~④に示すような時間軸ベースの変化に関して、以下項目についての考慮、検討及び評価が必要となります。
1)‘故障の発生’に関してFMEAも用いて抽出した故障モード(多重故障、相乗効果を含む)
2)‘故障の発生から、故障の検出までの時間に何が起こり得るか
- 故障により、アクチェータが誤作動する場合のアクチェータの作動速度に応じた挙動
(アクチェータの使用過程、作動時の環境条件などにおいて、最悪のケースを考える) - センサなどで故障検出する場合に必要な時間
(センサの検出応答性+コントローラのセンサ信号処理時間及び判定時間) - 操作者(運転者)の対応操作
(操作を期待する場合には、反応&操作の最も遅い場合を想定する)
3)故障対応において、良い効果と悪い効果(はね返り、副作用)
- 効果の応答性(時間遅れ)と有効性
- 故障時に継続している他の制御とのバッティング(制御干渉による悪影響)
4)最終状態の安全性
- システム故障時にバックアップ制御により機能維持した結果、別の大きいリスクを招かないか
- ユーザが長期間、故障状態のまま継続使用せずに修理&完全復旧のための行動をとるような、表示、音声ガイド、および制御による意図的な機能ダウン
- コントローラへの故障履歴の残し方
運転者に期待できること
制御暴走時に、システムの運転者または操作者に期待できることは何でしょうか?
車の例で説明すると、意図しない挙動の代表的なものに意図しない加速(UA、unintended acceleration)というものがあります。
制御暴走が起こり、意図しない急な加速が発生した時を想定して色々な制御上の対応策が導入されますが、制御暴走時に「システムでの対応」以外に、「運転者による対応」としてまず期待することは、ブレーキペダルを踏んでもらうことだと思います。
一方、そのような期待をする場合には、ブレーキペダルを踏む反応速度が最も遅く、踏み方が最も甘い場合を想定しなければなりません。
自動車等に用いるシステムの安全設計においては、最悪のケースを想定しなければなりませんので、結局は、運転者によるブレーキ操作は期待できない(あてにしてはいけない)ことになります。
実際に起きている事故においても、プロのドライバーであるバスの運転手が体の具合が悪くなってブレーキを踏めなくなったり、高齢者のドライバーが、ブレーキを踏めずに誤ってアクセルを踏んだりしています。
(これらの事例では、制御エラーが起きた時の対応ではなく人災ですが)
自動運転システムにおいても、非常ボタンを付けておくことは、情報展開の面でも良いことかもしれませんが、その操作をあてにしての安全設計はしてはいけないと考えましょう。
システムと制御の「シンプル化」の重要性
多くのセンサを備え、多くの複雑なフィードバック制御を行い、更には複数の制御を連動させる協調制御と呼ばれる制御を行う複雑なシステムがあります。
システムの制御に対しては常時故障診断をしなければなりませんが、重要なセンサに対しては、さらにセンサの故障に対する診断も必要です。
かつてドイツで、安かろう悪かろうの品質の悪いクルマを調査するため、アウトバーン(ドイツの高速道路)で止まってしまっているのはどんな車かが調査されていました。
ところがある時期に、最新鋭の高級車の事例が多く見られるようになったことがあります。
その原因は、搭載され始めた複雑な電子制御の車両で、故障診断自体のエラーにより、安全サイドへの対応、すなわち車両の停止が頻繁に行われたことによるものでした。(安全設計においては、機能維持性よりも安全性が優先されます)
システムが複雑になるということは、故障モードも複雑になり、さらに故障診断も複雑になります。
それでは同じような高度の機能を達成しながら、システムをシンプル化する方法はあるのでしょうか?
その一つとして挙げられるのが、センサの数を減らすことができる、モデルベース制御の活用です。
安全性と機能維持性を両立するには、フィードバック制御、フィードフォワード制御、そしてモデルベース制御をうまく組み合わせることが重要です。
(日本アイアール株式会社 特許調査部 H・N)
《併せて読みたい関連コラム》