フェイル セーフ と は。 フェイルデッドリー

航空機の安全はフェイルセーフじゃなくフォールトトレランスという考え方

フェイル セーフ と は

フェールセーフ フェールセーフ 「フェールセーフ」という基本設計思想があります。 しかし、多くの人々はフェールセーフに大きな誤解をもっておられます。 安全性確保のために二重三重・・・多重の機能を持たせることを「フェールセーフ」というのではありません。 フェールセーフとは、機械やシステムその他人間が作り出すものには必ず事故や誤りが生じる。 外部要因、例えば地震などの天災やテロなどの人災によって事故が発生することもあります。 これは防ぎようがありません。 万一、事故や誤りが生じた際、機械やシステムなどを必ず安全な方向に導く、という基本設計思想がフェールセーフなのです。 多重の安全装置を持たせることは「フォールトトレラント」と言い、これは事故を発生させないための設計思想であって、フェールセーフは必ず事故や誤りは起きる、という前提からの設計思想であり、この二者は根本的に異なります。 例えば、新幹線です。 万一、新幹線の車両に事故が生じた際、フェールセーフの考え方では車両を安全な方向に導くことが必要です。 それは取りも直さず、車両を停止させることです。 また、地震などの外部要因の際でも、1秒でも早く車両を停止することが重要で、事実、新幹線は車両の設計思想だけでなく、制御システム等もフェールセーフの設計思想が最重要課題として取り入れられています。 しかし、完璧であるかと言えばそうではなく、より完璧なフェールセーフを目指して日々努力されている、というのが事実でありましょう。 では、航空機はどうでしょう? もし、飛んでいる航空機に故障が生じたときに安全側に導く方法があるのでしょうか? 残念ながら、現在までのところそれは見出されていません。 つまり、飛んでいる航空機に事故が起こった際に、航空機を即時停止するということはできないのです。 だから、航空機の場合には何重もの安全装置を設置して、絶対に事故が起きないようにする対策、つまり、より完全なフォールトトレラントを目指しているのです。 ゆえに現在の航空機は、その事故発生率は極めて少なく、自動車よりも安全であると一般的に言われていることはご承知のとおりです。 そしてそのフォールトトレラント対策は、現在も尚、より完全を目指して努力されています。 言うなれば、航空機は過去の事故を教訓にフォールトトレラントをより一層充実させてきました。 それら努力の積み重ねが現在に至っているのです。 だからこそ、殆どの方々は、航空機に対して絶対の信頼感を持っておられ、安全を疑うことなく搭乗されているのでしょう。 私共もその一人であることは言うまでもありません。 このように、フェールセーフとフォールトトレラントは「似て非なるもの」なのです。 それぞれ、前者は確定論、後者は確率論に基づく安全性の立場です。 フェールセーフは基本設計思想と書きました。 この「基本」とは何でしょうか? 基本とは部分ではない、ということです。 必ず事故・誤りは生じます。 外部要因による事故もあります。 上記の新幹線の場合、事故が発生した時には必ず「停める」というのが基本であります。 新幹線には数限りないシステムや部品があり、それぞれのシステムや部品にも設計思想がありますが、それらの設計思想を基本設計とは言えません。 まず新幹線の基本設計思想であるフェールセーフがあり、その基本設計思想を受け継いで各システムや部品の設計思想が成り立つわけです。 これはコンピュータシステムにも言えることです。 コンピュータシステムにおいても、まずシステム全体の基本設計思想があり、この基本設計思想を部分システムや個々のプログラムが受け継いで全体の設計思想構築が成り立ちます。 コンピュータシステムでは瑕疵(誤り・・・バグとも言う)は必ずある、ということを基本設計思想とするのが常識であり、瑕疵がないことを前提としたシステム設計はその時点で失格であります。 物事には「一長一短」というものがあります。 新幹線はフェールセーフを目指すことができますが、フェールセーフは事故は必ず起きるという前提での対策であって、事故が絶対に起きないという考え方であってはフェールセーフは成り立ちません。 また、新幹線でアメリカへ行くことはできません。 航空機を用いれば世界中に行くことができますが、フェールセーフを求めることができず、ならばこそ航空機は完璧近くまでフォールトトレラントを充実させています。 新幹線や航空機のいずれにしても、事故は必ず起きる、という思想に基づいて様々な対策を講じているのであって、もし仮に、新幹線や航空機の関係者の方が「事故は絶対に起きない」ということを前提にしたり口に出したりすれば、その時点で信用が失墜することになるでしょう。 「事故が絶対に起きないよう対策と努力を重ねている」これが正解でありましょう。 「事故は必ず起きる」ゆえに「絶対安全はあり得ない」という前提こそ、安全の第一歩であると思えます。 Copyright C Shintoku Ikeda. All Rights Reserved.

次の

フェイルセーフとかフールプルーフとかに詳しいかたにお聞きしたい

フェイル セーフ と は

(1)背景 第1世代ジェット輸送機といわれる707やDC-8が運航開始後10年を超えた1976年,英国航空局(CAA:Civil Aviation Authority)は自国の耐空性基準を見直す調査研究を開始し,一方,1977年3月に米国で開催された「構造疲労の規定に係わる会議」で,連邦航空局(FAA)は民間輸送機の構造疲労に対する強度の証明に関する規定に,損傷許容設計の考え方を導入する改定案を提出した。 このような動向の中で,1977年5月14日,ザンビアのルサカに着陸進入中の英国ダン・エア所属の707-321C型機の右側水平安定板と昇降舵が脱落し,同機は機首を下げたまま地上に激突炎上する事故が発生した。 この機体の総飛行時間は47,621時間,離着陸回数が16,723回で,事故原因は右水平安定板の後桁の上部桁型材(spar cap)の金属疲労と不適切なフェイルセーフ設計にあることが判明したのである。 すなわち同機は事故以前にすでに上部桁型材にクラックが存在しており,検知されぬまま約7,200回飛行し,その間にクラックが成長するに伴って後桁のウエブと下部桁型材にオーバーロードが働き,フェイルセーフ構造部材であるはずの中央桁型材とともに致命的な二次的破壊を生じたのであった。 (2)補足構造検査要目(SID:supplemental inspection document) 上記事故のあった翌月,一斉に実施された検査により,707-300系列の521機のうち,38機の水平安定板後桁にクラックが発見され,直ちに必要な処置がとられた。 また既発行のボーイング社による整備計画指示書も改定され,内部から行う後桁の検査間隔が短縮された。 これらの経験をふまえてボーイング社は707/720の構造・強度を「損傷許容」の考え方から再評価し,特に高稼働機を対象とした必要な追加検査項目を加えた補足構造検査要目を1979年3月に完成して運航会社に指示している。 一方,ダグラス社は1976年4月に高稼働のDC-8を対象とした構造検査プログラム(SIDと等価のもの)を運航会社に指示しており,ユナイテッド航空や日本航空ではこのプログラムに自社の経験を加味した独自のDC-8長期対策を設定した。 他社においても同様な処置がとられ,運航騒音対策により低ノイズ・エンジンに交換された約100機を含む計240機のDC-8フリート(この中に設計寿命の2倍に達した機体もある)には重大な構造疲労の問題は生じていないことが確認された。 なおDC-10に対するSIDは1989年初頭に発行された。 747の経年機(1万飛行回数を超えるもの)を対象としたSIDには計87の追加検査項目が設定され,ボーイング社より1983年8月に発行され1984年11月にFAAはこれを耐空性改善通報として取り上げ,1年以内に運航各社が整備プログラムとして設定し実施するように指示した。 (3)損傷許容設計(damage tolerance design) 前記の構造疲労に対する強度の証明に損傷許容の考え方を導入するFAAの提案は,1978年12月1日付で連邦航空規則の改定により実現し,同年月日以降に型式審査される飛行機(767,757,MD-11,777)に適用されることになった。 わが国でも昭和58年4月以降適用となり,英国やカナダなどの諸外国でも同様な考え方がすでに採用されている。 主な改定内容は以下のとおりである。 〈1〉 証明に際して,従来はセーフライフとフェイルセーフが同等に取り扱われていたが,基本構造はフェイルセーフとし,フェイルセーフが非現実的な場合のみセーフライフを適用してよい。 ただし容易に点検ができないような部位にフェイルセーフ設計を適用するのは適当でない。 〈2〉 損傷許容設計の考え方を導入し,疲労クラックの進行速度,発生箇所および点検方法を検討する。 具体的には,多重荷重伝達の場合はもちろん,単一荷重伝達の場合に対してもクラック進行を遅くするか,もしくはクラック進行をとどめ,点検により発見されるまではクラックがあっても残存強度が十分あるように設計する。 〈3〉 通常の構造疲労破壊によらない損傷(例:鳥衝突,プロペラまたはファンブレードの切断)が生じた場合でも,その飛行を続行できる残存強度を有すること。 〈4〉 損傷許容を評価するための検討には,疲労,腐食または突発事象により起こり得る損傷箇所とモードの特定を含んでいなければならない。 さらに,この特定は実験結果に基づく解析,および可能ならば運航経験に基づいて行われなければならない。 損傷許容設計の概念をわかりやすくするため,この設計による構造強度の経年変化をに示す。 すなわち,通常の運航荷重が下位にあり,その上方にフェイルセーフ荷重に耐える能力を常に持っていることが要求される。 ただし終極荷重に耐える能力は,もし検知されない損傷があるとの曲線のように経年劣化するが,損傷をある期間内に検知し修復すれば鋸歯状カーブのパターンで維持される。

次の

フェイルセーフオーブン(安心器具乾燥器)(DGS800)|ヤマト科学株式会社

フェイル セーフ と は

フェールセーフ 産業の場に限らず、さまざまな場所で使用される設備、装置、機器類は、それを構成する部品の損傷や機能の低下を避けることはできません。 このためにこれらの設備等に対する点検、整備が重要なことですが、一方、こうした事態が発生したときに、設備等に要求していた機能が不全になり、例えば不良品が発生する、危険な状態が現出するといったことが予想される場合には、これを防止する機能をあらかじめ備えておくことは大切なことで、こうした考え方をフェールセーフといいます。 フェールセーフは 労働災害防止の分野においても重要で、例えば、多くの産業機械に設けられる安全装置において、これを構成する部品の損傷や機能の低下によって安全機能が損なわれる場合には、機械を緊急停止させる、代替の機能により安全装置の機能を継続させる、作業点等危険な箇所への身体の侵入を不能にする等の措置が行われます。 工作機械等の制御機構のフェールセーフ化に関するガイドラインにおいては、システム又はこれを構成する要素が故障しても、これに起因して労働災害が発生することがないように、あらかじめ定められた安全側の状態に固定し、故障の影響を限定することにより、作業者の安全を確保する仕組みをいうとしています。 また、同ガイドラインでは、フェールセーフ化の対象とする制御機構は、原則として次の表に示す制御機構とするとしています。 制御機構の区分 内容 1 再起動防止回路 急停止機構等の作動によって機械が停止したときや、停電後に機械への通電が復帰したときに、作業者が再起動操作をしなければ、機械を再び起動できないようにする回路 2 ガード用インターロックの回路 機械の運転中に作業者が危険領域内へ侵入するのを防止する回路。 機械が停止した後にガードのロックを解除し、作業者が危険領域内へ侵入するのを許可する方式と、ガードを開いたときに機械が急停止する方式の2種類がある。 3 急停止用の回路 機械側で何らかの異常を感知したときに、直ちに機械の運転を停止させる回路。 作業者がカードを開いたとき、安全装置が作動したとき、機械が何らかの故障や異常を起こしたときなどに作動する。 4 非常停止用の回路 作業者が何らかの異常を感知したときに、直ちに機械の運転を停止させる回路。 機械の運転中に労働災害が発生しかねない不測の事態が起きたときや、機械に異常が生じたとき、作業中にトラブルが発生したときなどに作動させる。 5 行き過ぎ防止用の回路 機械があらかじめ設定した位置・角度等を超えて行き過ぎないように監視を行い、行き過ぎが生じたときは直ちに機械を停止させる回路 6 操作監視用の回路 作業者が正しい操作をしたときに限り、起動信号を発生させる回路 7 ホールド停止監視用の回路 ホールド停止状態にある機械が故障や電磁ノイズ等に影響によって暴走しないように監視を行い、暴走が起きたときに直ちに機械を停止させる回路 8 速度監視用の回路 機械を低速状態で運転するときに、故障や電磁ノイズ等の影響によって機械があらかじめ定めた速度を超えて暴走しないように監視を行い、暴走が起きたときは直ちに機械を停止させる回路 9 ホールド・ツー・ランの回路 作業者が操作装置を押しているときに限って機械が運転を継続し、操作装置から手指等を離したときは直ちに機械を停止させる回路 関連資料(通達).

次の