センサの故障診断と故障対応設計のポイント
システム制御においては、[検出→判断→作動]という基本的プロセスがあります。
センサ検出機能に故障がある場合には、次のステップの判断、作動に影響を与えることとなります。
すなわち、センサによる状況・状態の検出はシステム制御のための基礎となります。
このため、センサが正しく検出をおこなっているかを常にモニタリングすること、すなわちセンサの故障診断をシステムの作動前、作動中など常に行うことが必要です。
今回のコラムでは、センサの故障診断とその対応を設計する場合の考え方について説明します。
目次
1.センサの故障診断方法
センサの故障診断の方法には次のようなものがあります。
【図1 センサの故障診断方法の例】
整合性チェックの例としては、以下のようなものがあります。
- A)所定の状態においては、出るはずの無い出力値が出ている
- B)所定条件で記憶した前回の出力値と今回の出力値との差が大きい
- C)制御での想定と逆の反応を示すセンサ出力が出ている
C)に挙げた整合性チェックでは、想定外の検出結果がセンサの故障によるものか、あるいはコントローラーやアクチェータ(作動装置)が故障しており、その状態の異常制御結果をセンサが正しくとらえているものなのかを判別しなければなりません。
このため、センサ以外が正しく作動していることを認識できる情報を同時にチェックすることが必要です。
センサが制御異常を正しく検出しているのをセンサ故障と誤判断してしまったら、制御異常に対する対応ができず、より危険な状況を招きます。
2.センサ故障の最終判定
センサ出力のエラーには、センサが機械的に損傷し、もとの状態に復帰できない場合と、電磁ノイズを受けて誤信号を一次的に出力してしまうように一過性の場合があります。
一過性のエラーを判別し、バックアップ制御に入らずセンサをシステムとして使い続けるケースもあり、このための判別方法の設計も必要となります。
例えば、誤信号の回数をカウントして、ある回数でバックアップ制御に切り替えておく。その一方で、その後のセンサ出力をモニタリングし、正常信号の回数が規定以上続けて出力されたら、センサ状態を正常と判断し、センサを用いた制御に復帰させる、というような考えです。
一方で、故障モードと安全性リスクに応じて、一度だけのの故障検出でもバックアップ制御に切り替えたり、故障判定で一度故障と判定をしたら制御復帰を認めないというような設定する場合もあります。
3.システムにおけるセンサ故障検出の分担
センサのインテリジェント化レベル(スマート化レベル)には、図2のような種類があります。
センサ構成(a)~(c)において、機能をセンサとコントローラのどちらで分担するのかを表しています。
【図2 センサのインテリジェント化レベル】
センサ構成(a)→(b)→(c)の順にインテリジェント化が進んでいます。
センサ構成(c)では、センサの自己診断によりセンサ故障を検出して、コントローラでは、センサからの故障情報を入手して、その対応制御(バックアップ制御など)のみを行うというような分担を示しています。
ただセンサ構成(c)においても、図1に挙げた故障診断方法のうちの、”センサ出力の比較”あるいは”整合性チェック”を用いる場合には、コントローラ側の関与が必要となります。
4.センサ故障へのシステムとしての対応制御
センサエラーが発生した場合の典型的な対応パターンとして、以下のようなものが考えられます。
- バックアップセンサに切り替える
- 故障を知らせる(例.故障表示ランプ、警報、振動などの挙動により)
- より良くする制御の場合、制御を止める(例.制御精度を向上する制御)
- フィードバック制御の場合、マップ値や単純式によるオープン制御に切り替える
- 補正制御の場合、補正値を固定値とする
- 段階的に制御を変え、最終的にシステムを停止する
システム設計としてバックアップセンサを必要とするのは、その検出機能の重要度が高い場合です。
一つのセンサが故障してバックアップセンサでシステムが機能している場合を考えると、その検出機能が二重化されていない時と同等の危険度となりますので、システムとして正常時と同様の制御が可能でも対応が必要です。
ユーザーに故障状態を伝えること、継続的に修理対応がされないことが認識された場合には、故障伝達レベルを上げたり、その状態での継続使用をしにくくして対応を促すために、制御により機能ダウンをさせるというような設計も必要となります。
5.センサの故障対応設計における安全度と有効度
システムの故障対応に関する言葉として、フェイルセーフ(fail safe)とフォールトトレランス(fault tolerance)があります。
「フェイルセーフ」は、装置あるいはシステムが故障した場合に、安全サイドに作動を移行させることを表します。一方、故障の可能性を受け入れ、多重化などにより機能維持を行うことを、「フォールトトレランス」と呼び、機能停止という手段により安全を図る場合のフェイルセーフと分ける場合があります。
機能維持よりも安全保持が優先されますが、完全に機能停止することによって安全が得られる場合もありますが、なるべく機能を維持しないと危険な場合もあります。
例えば、工場の機械を緊急停止したり、車などを路肩まで走行させて機能停止させるような安全制御があります。その一方、航空機などでは、飛ぶ機能の完全停止は墜落を意味します。
センサを二重化する場合の考え方
センサの故障対応設計においても、安全保持性と機能維持性を考え、さらに対応策にかかるコストを同時に考えなければなりません(コストには、センサ自体、コントローラハードウェア、コントローラのソフトウェア開発、そして故障診断しきい値などを適合する開発のコストも含まれます)。
例えば、センサの二重化の場合にも、どこまでを二重化するかを考えなければなりません。
全く同じセンサを二つ持つ場合もありますが、センサの構成のある部分、例えばセンサーエレメントまでの配線を二重化するという場合もあります。
一方、たとえ同一検出機能をもつセンサを二つもつような設定をした場合でも、同じ外乱負荷で同様に故障や誤作動をするとしたらシステム冗長性があるとは言えません。
センサが故障を引き起こす外乱負荷としては、例えば振動、熱、電磁ノイズなどがあります。
センサを二重化する場合に、振動に強い非接触タイプと電磁ノイズに強い接触タイプを組み合わせると、同一外乱負荷で両方が故障あるいはセンサエラー状態となることを避けることができます。
センサの故障対応設計におけるFMEA(Failure Mode and Effect Analysis、故障モード影響解析)で故障の影響度を解析しますが、対応策においては、安全性・機能維持性をどのくらいのコストアップで達成できるかとういう効果度の解析も重要となります。
(日本アイアール株式会社 特許調査部 H・N)
