3章 フェール・セーフの技術的側面

(2)チェック系

システムの作動状況を監視し、継続動作が可能か否かを判断し、停止を含む動作是正の発動を行う。ここで基本条件として誤動作しないことであるが、誤動作しても安全側になる指示をする。チェックは現今、その時間をいう実時間のものがこれまでは多い。

これらの条件に合う実例を挙げると、まず列車線路の横切りを遮断する遮断機ポールがある。これは、自重で危険なときは横断を遮る。

また列車走行にストップ指示をするATS(オートマティック・トレインストップ)がある。ATSは列車の走行速度を計測し、所定内速度内にあるときのみ、“1” 信号を出力し、これを多数決論理回路に入力し、多数決が成立したときのみ、出力が正常信号とな る。

すなわちチェック系が正常で、計測値も正常である、2現象でチェックしている。この実時間チェックは、自動制御機器等ですでに多くの実績、実例がある。

またチェックは常時継続のものと適時サンプルで行うものがある。また最近は事前に集められた多くのデータから予測チェックを行うものも多くなっている。すなわち予測による先制判断である。

(3)セーフ系

チェック系により、異常が検出されたら、システムのセーフ系が作動し、安全な運転になるよう是正作動をし、場合によってはシステムを停止してでも安全を優先する。

基本的には、系内装置の複数、冗長配置と冗長なシステムは互いに独立して動作できる独立作動環境の整備が原則となる。一般的なものとしては、同一のハードディスクや電源を並列配置する、並列多重型の冗長系がある。

特に安全かつ高信頼性を必要とするものに電子交換機関電源、金融システム用電源、原発用冷却機用電源がある。構成は作動原理の異なる3種の電力源を直列配置した多層冗長系である。

通常は電力会社から供給される電力を受電使用する。それが十分機能しない場合はタービン発電機で自家発電供給する。さらに緊急用のバッテリーを用意し即動に備える。

しかし福島原発用冷却電源の場合、第一に頼りとする外部よりの電源を供給する鉄塔が巨大地震ですべて倒れ、バッテリーは原子炉を冷却して止めるには容量不足で消耗し、タービン発電機は設置高不足で全機とも水没して使用不能になった。

このようにすべての冷却電源を失い、原子炉のメルトダウンという大事故を起こし、今後多年にわたる災害を招いている。外部よりの給電を地中に配線はできなかったか、タービン発電機の設置高をあと1m高くできなかったか、バッテリー容量をあと1桁大きくできなかったか、課題は多い。

すなわち冗長構成を生かす環境、余裕度の整備が大切であった。