【センサのお話】センサエラーの検出(故障診断、エラー時の制御対応など)
センサにより得られた状態検出値を用いて、より高度な制御が可能になりますが、一方、センサにも故障や誤検出の可能性がありますので、システムはこれに対応しなければなりません。
ボーイング737MAX8では、仰角(機体の傾き角)センサを二個使い、このセンサで検出した仰角に応じて水平安定板を動かし機体を安定させる”MCAS”と呼ばれる制御を行っていますが、発生した墜落事故ではこの制御が絡んでいるという報道もありました。
センサ故障・エラーの検出
センサに処理回路が付いている「スマートセンサ」では、センサ故障を検出する方法として、センサ側の自己チェックと、センサ信号を処理し制御を行うコントロールユニット側でのチェックという二つのアプローチがあります。
これら故障診断の例を挙げると以下のようになります。
- 断線、短絡検出:所定箇所の電流値を基準と比較する
- センサの作動を確認する(例えばセンサに通電して、加熱してからセンサ機能を発揮するような場合には、設定どおり昇温するかをチェックする)
- シグナルレンジチェック:出力が通常の出力範囲を越えていないかをチェックする
- センサを多重化し、検出値を比較する
- 整合性チェック
整合性チェック
コントロールユニットにおいて矛盾を確認する方法です。例えば以下のような状態をチェックします。
- 所定の状態においては、出るはずの無い出力値が出ている
- 制御に対して想定している反応と逆方向の反応を示すセンサ出力が出ている
センサ出力ドリフトの検出
センサ出力の大幅な変化は先の検出方法で見つかりますが、小さい変化(ドリフト)は検出できない場合があります。
制御の適合においては、出力の劣化も含めた精度バラツキを前提にしていますので、この前提範囲を越えるドリフトが生じると、適合結果と異なる制御挙動を示すこととなります。
ドリフト検出は、最も困難です。特にジワジワとドリフトしていき、ドリフトが許容値を越える場合はやっかいです。
以下は検出方法の一例です。
- 所定の条件で、前回の出力値を学習・記憶しておき、今回の出力値と比較する(可能ならば補正を行う)
センサエラー時の制御としての対応
フェイルセーフ設計(システムが故障した場合に、安全サイドに作動を移行させる)の典型的なパターンは以下です。
- より良くする制御の場合、制御を止める(例.制御精度を向上するような制御)
- フィードバック制御を止め、マップ値や単純式によるオープン制御とする
- 補正制御の場合、補正値を固定値とする
- ある制御段階を経てシステムを停止する(停止による危険が無い場合)
- 故障を知らせる(例.故障表示ランプ、警報、振動などの挙動により)
B737MAX8では、詳細のバックアップ制御は不明ですが、二つの仰角センサの出力信号のアンマッチで、警報を出すようになっているようです。(二つのセンサが、同一タイプか別タイプかは分かりません)
デジタル制御が導入され、使用するセンサも増え、そのソフトウェアのフェイルセーフロジックも複雑になりました。
複雑ということは、複合効果も含め、故障モードも、複雑化することを意味します。
原理も含めて、故障モード自体が少ない素質の良いロバスト(頑健)なセンサができれば、システムの複雑化を低減できてロバストなシステムとすることができるのです。
(日本アイアール株式会社 特許調査部 H・N)
☆各種センサ技術に関する特許調査・技術情報調査は日本アイアールまでお気軽にお問い合わせください。
