フェールセーフ|異常時でも安全確保を最優先

フェールセーフ

フェールセーフとは、装置やシステムが故障・誤操作・外乱に直面しても、人命・環境・資産の損害を最小化する「安全な状態」に自動的または確実に遷移させる設計思想である。機械・電気・ソフトウェアが連成する現代のシステムでは、単一の部品故障が連鎖事故へ発展しやすく、初期段階のリスクアセスメントと体系的な設計統制が不可欠である。重要なのは、停止させること自体ではなく、状況に応じた安全状態(停止・減速・冗長継続)を定義し、検証可能な形で実装することである。

Table Of Contents

定義と目的

フェールセーフの目的は、想定内外の故障を安全に受け止め、被害を最小化する点にある。典型的には「エネルギを解放しない」「危険源から人を隔離する」「停止または制限動作に落とす」といった原則で具体化される。リスクは頻度と影響度の組合せで評価し、許容不可であれば設計対策(保護方策、制御方策、情報方策)を優先順位づけして適用する。

フールプルーフとの違い

フールプルーフ(誤使用防止)は人の誤操作を起きにくくする設計配慮であり、フェールセーフは故障や誤使用が起きても安全に収束させる設計である。両者は補完関係にあり、誤挿入できないコネクタ形状(フールプルーフ)と、断線時に出力が安全側へ落ちる回路(フェールセーフ)を併用するのが定石である。

フォールトトレランスとの関係

フォールトトレランスは機能継続を目的に冗長化・再構成で耐故障性を高める概念である。安全を最優先する場合は安全停止を選ぶが、航空・自動運転・医療などでは安全性を満たしつつ限定的に機能継続(フェイルオペレーショナル)を求めることがある。フェールセーフは「どう落とすか」、フォールトトレランスは「どう保つか」に重心がある。

代表的な設計原則

  • 単一故障基準(Single Fault Criterion):単一点故障で危険に至らない。
  • エネルギ解放の最小化:バネ力・重力・圧力などは安全側に働く向きに設計する。
  • 安全側への故障(Fail to Safe):断線・電源断で危険動作が成立しない論理にする。
  • 自己診断と既知の安全状態:異常検知時は定義済みの安全状態へ即時遷移。
  • ラッチ・二重化:危険側復帰を機械的に阻止し、電気的にも二重化で裏付ける。

機械分野の具体例

機械系では、バネで閉じるブレーキや、空圧喪失時に作動する安全弁などが典型である。供給エネルギが途絶しても安全側に移るよう、初期張力・質量・摩擦などの受動要素を活かす。締結の脱落リスクには二重ナットやピン止めを用い、単一点のゆるみが機能喪失に直結しないルートを確保する。可動域にはストッパやフェンスを設置し、万一の暴走時にも人体侵入を防ぐ。

電気・制御分野の具体例

電気回路では、非常停止(E-STOP)はb接点(常閉)を介して監視し、断線や電源断で必ず遮断が成立するように配線する。出力は「通電で動く」ではなく「通電で許可」とし、許可条件が崩れれば自動的に停止する。センサは二重化または妥当性監視(レンジ・相関)を行い、PLCや安全CPUはフォースドガイドリレーや自己診断で短絡・溶着を検出する。安全カテゴリ(ISO 13849)やSIL(IEC 61508)に適合するアーキテクチャを選定することが重要である。

ソフトウェアにおける実装

  1. 安全状態の明確化:出力マスク、トルク制限、速度0、フェンス閉の確認などを状態機械で定義。
  2. 故障検知:ウォッチドッグ、ハートビート、異常値フィルタ、タイムアウトを実装。
  3. 優先度制御:安全関連割り込みは最優先で処理し、競合時は常に安全側に裁定。
  4. フェイルセーフ既定:初期化失敗・設定欠落・通信断はすべて安全状態に落とす。
  5. ログと証跡:異常時の判断根拠を時系列で保存し、再現性と説明責任を確保。

設計プロセスと文書化

フェールセーフは後付けできないため、上流からの統合が重要である。手順は概ね、①使用条件・危険源の特定、②故障モード分析(FMEA)と上位事象解析(FTA)、③安全状態と遷移条件の定義、④ハード・ソフトの分担設計、⑤単一点故障試験・故障注入試験、⑥安全ケース(論証文書)作成、という流れで進める。安全ケースでは主張(Claim)、根拠(Evidence)、論証(Argument)を体系化し、規格適合と試験結果を結び付けて示す。

検証・妥当性確認(V&V)

検証では、断線・短絡・電源低下・センサ固着・演算暴走などを仮想・実機で注入し、安全状態への遷移時間、検出カバレッジ、誤トリップ率を測定する。妥当性確認では、想定した運用シナリオ下で本当にリスクが十分低減されているかをユーザレビューで確認する。さらに保全観点では自己診断のカバレッジと点検周期を整合させ、経時劣化や環境影響(温度、振動、EMC)を含む長期信頼性を評価する。

アンチパターンと注意点

  • フェールデンジャラス:断線で出力が「入」になるなど、故障が危険側に働く設計。
  • 機能依存過多:ソフトのみで安全を成立させ、機械的阻止がない。
  • 共通原因故障:冗長系が同じ電源・同じ配線ダクトに束ねられ、同時喪失する。
  • 誤トリップ多発:過敏すぎる検知で稼働率が著しく低下し、現場が黙殺する。
  • 未定義の安全状態:異常検知後の出力が曖昧で、現象が漂流する。

事例で学ぶ設計の勘所

昇降機は非常時にブレーキを解放せず、重力で落下しない方向にフェイルする。プロセス設備では加圧系が過圧時に安全弁で開放し、電源断でも弁が閉方向に戻るようアクチュエータを選ぶ。モータ駆動は非常停止時にパワーステージを遮断し、同時に機械ストッパで物理的停止を担保する。これらに共通するのは、故障モードを具体的な物理作用へ写像し、安全側に働く自然力と構造で裏づけるという態度である。

導入と運用

フェールセーフは導入後の教育・点検が成否を分ける。日常点検で非常停止の動作確認、定期的な故障注入テスト、設定変更時のダブルチェックを運用規程に組み込む。変更管理では、制御ロジックや配線の小改修でも安全ケースを更新し、影響分析を残す。サプライチェーンに跨る場合は責任分界を明確化し、規格適合の証跡を相互に参照できるようにしておくことが望ましい。

用語補足

  • Fail-safe:故障時に安全側へ落ちる特性。
  • Fail-operational:故障後も安全を満たしながら限定継続する特性。
  • Fail-silent:異常時に沈黙(出力しない)する特性。
  • Proof test:潜在故障を顕在化させる定期試験。