フォールトトレランスとそのシステム信頼性への影響

フォールトトレランスを考慮せずに設計された機器やシステムは、信頼性が低いことがよくあります。

これが、フォールトトレラントシステム設計がほとんどの信頼性および設計エンジニアにとって明白な選択である理由です。特に、システム全体の信頼性、可用性、保守性、および安全性（RAMS）を損なう可能性のある重要な機器に関しては、の一部。

フォールトトレラントシステムの特性を調査し、冗長設計を通じてフォールトトレランスを改善する方法について話し合うときに、ぜひご参加ください。

フォールトトレランスとは何ですか？

フォールトトレランスは、障害が発生している間もその動作を維持するシステムまたは機器の機能を表します。

採用されているフォールトトレランスメカニズムに応じて、フォールトトレランスの高いシステムおよび機器は、フォールトの発生時に完全にまたは部分的に動作を維持できます。これが実際に機能するためには、そのようなシステムに単一障害点（SPOF）を設定することはできません。

フォールトトレラント設計の本質

フォールトトレラント設計を開発するには、機器のライフサイクル全体で発生する可能性のある障害と、その考えられる原因および結果を慎重に検討する必要があります。

ただし、設計エンジニアは、機器の必要なレベルの許容範囲、信頼性、および信頼性を達成するために必要なコストとリソースの要因も考慮する必要があります。

フォールトトレラント設計は、すべてのタイプのフォールトに対して完全なトレランスを提供する必要があると誤解されることがよくあります。本当じゃない。優れた設計は、コストとリソースの効率の全体的な最適化を達成できるように、障害の重大度に対する許容度を一致させる必要があります。

たとえば、発生する可能性が非常に低い障害に対処するためだけに、製品の再設計に費用をかけることは費用効果が高くない場合があります。

フォールトトレラントシステムの特徴

フォールトトレラントシステムを作成するには、機器のライフサイクルのすべての段階で努力が必要です。これには、仕様と設計段階（設計に障害検出制御を組み込む）、妥当性確認と検証（V＆V）、保守と運用（OEM承認の交換部品と定期保守のガイドラインを使用）、さらには廃棄段階が含まれますが、これらに限定されません。 。

各段階では、以下の手法を組み合わせて新しい設計を開発したり、現在の設計を改善してフォールトトレランスのレベルを高めたりすることができます。

1. 障害の検出と表示
2. 障害の診断と封じ込め
3. 障害のマスキングと補償

1）障害の検出と表示

障害検出とは、障害を検知して表示するシステム/機器の機能を指します。 これは、フォールトトレラントシステムの基本的な側面です 。他のすべての側面は、障害検出プロセスの有効性に依存します。システムがその障害を検出するように設計されていない場合、または何らかの理由で誤って障害を検出した場合、残りの側面も無効になります。

たとえば、車のタイヤ空気圧監視システム（TPMS）の単純な空気圧センサーは、空気の過剰充填を検出し、車のダッシュボードを介してドライバーに通知することができます。

TPMSアクティベーションの表現

この場合、検出と表示は、この障害イベントの唯一の許容可能な許容レベルです。お客様は、タイヤを破裂させる前にエアホースを安全に外すことができます。

圧力検出が不正確な場合、ドライバーはホースの接続を早すぎる/遅らせる可能性があり、運転中にタイヤの故障が発生する可能性があります。空気圧の自動補正がないため、この障害の許容範囲は検出と表示のみに制限されます。

2）障害の診断と封じ込め

より洗練されたシステムでは、製品設計段階で追加のレイヤーが追加されることがよくあります。それらの目的は、検出と表示に加えて、封じ込めを診断して実行することです。これらの追加のレイヤーは、システムの重要性またはさまざまな安全上の懸念のために保証されています。

たとえば、プロセスプラントの制御システムである分散制御システム（DCS）は、一連のセンサーを介して重要なプロセスパラメータを監視するだけでなく、障害の場所を検出して必要な封じ込めを実行するための診断も実行します。

DCSシステムの表現

たとえば、船舶内の石油製品の過圧の場合、システムは関連する圧力センサーによってトリガーされます。安全圧力バルブを開き、フレアスタック内の蒸気を排出します。

この例では、封じ込めは、高圧の可燃性蒸気を排気筒に迂回させ、システムを火災や爆発から保護することによって実行されます。

3）障害のマスキングと補正

フォールトトレランスへのもう1つの効果的なアプローチは、フォールトの状態をマスクすることです。モノのインターネット（IoT）テクノロジーを介して監視および制御できる機器に非常に効果的です。

このような機器では、最も重要な課題の1つがサイバーセキュリティの脅威の形で発生します。これらのタイプの脅威は、サーバーに誤った機器データを挿入することで機器の状態を変更することにより、障害を誘発しようとする可能性があります。

機器の状態の記録が正しくない場合、本来保護することを目的とした制御および監視システムが、代わりに資産の障害を引き起こす可能性があります。あるいは、資産が実際には良好な状態ではないのに、資産が良好な状態であると考えるように「だまされ」、アラートをトリガーせずに劣化を失敗に導くことができます。

障害マスキングを組み込むことにより、システムはそれらの誤った値を認識してマスキングできるように設計されています。

たとえば、電力網では、回路ブレーカーは、監視制御およびデータ収集（SCADA）によって制御および監視されることがよくあります。

SCADAシステムの表現

このようなシステムは、電気機器の電圧と周波数のパラメータを綿密に監視し、電力ネットワークの安定性を維持するために電気機器を開閉させます。

入ってくるサイバー攻撃は、機器の電圧と周波数の制限を変更する可能性があります。結果？システムは、停電を防ぐのではなく、停電を引き起こす可能性があります。

障害マスキングは、多くの場合、異常なデータストリームを検出し、機器の障害状態を表すデータをマスキングする目的で誤ったデータを挿入するアルゴリズムを介して実行されます。これにより、悪意のあるデータアクターが障害を広め、グリッドの信頼性をさらに悪化させるのを防ぎます。

冗長設計によるフォールトトレランスの改善

フォールトトレランスを向上させるために実行できる簡単なアクションの1つは、設計に冗長性を組み込むことです。冗長性とは、プライマリシステムに障害が発生した場合に、目的の機能を引き継ぐことができる代替システムまたはソリューションの存在を意味します。

冗長性によりフォールトトレランスが向上しますが、新しいシステムを追加するために必要なコストが達成可能な信頼性のメリットを大幅に上回る可能性があるため、システムを無計画に追加することは目的ではありません。

物理的な機器の観点から、それらはアクティブのいずれかに大まかに分類できます。 または受動的な冗長性 。

アクティブな冗長性

複数の機器を同時に操作すると、アクティブな冗長性を確立できます。この構成では、各機器は、相互の冗長性として機能しながら、目的の機能を達成するためにその役割を果たします。

単純なアクティブ冗長性は、定格容量の半分で2台のポンプを並列運転することです。両方のポンプが一緒に作動して、希望の吐出圧力を達成します。一方のポンプが故障した場合でも、もう一方のポンプを定格容量までブーストして、それ自体で意図した吐出圧力を達成することができます。設計の経済性を実現するために、信頼性エンジニアは、K of Nの冗長性や適切な劣化など、アクティブな冗長性を実現するためのさまざまな複雑な方法を考案しました。

K ofNの冗長性 、機器の特定のサブセットは常に稼働中です。これにより、一部の機器がまだホットスタンバイ状態にあり、一部の機器に障害が発生したときに操作に参加できるため、システムの信頼性が向上します。これにより、2台のポンプを単純に並列運転する場合に比べて、より多くの小型ポンプが稼働するため、信頼性が向上します。

優雅な劣化 コストのかかる同一の並列システムを追加する代わりの方法です。これにより、機器全体の機能が、故障したコンポーネントの数に比例して低下することが保証されます。このようなスケーラブルな劣化を実現するには、すべてのコンポーネント内で発生する可能性のあるすべての障害を調査する必要があります。システム全体のパフォーマンスへの影響を分析して文書化する必要があります。

このような技術は、部分的な障害に対する耐性を提供し、システムが低下した容量でその機能を継続できるようにします。

パッシブ冗長性

パッシブ冗長性は、代替機器が存在するスタンバイ冗長性ですが、プライマリ機器に障害が発生した場合にのみ、目的の機能を引き継ぐことができます。

2種類のパッシブ冗長性を区別できます。

1. パッシブ冗長性の運用
2. 非稼働のパッシブ冗長性

パッシブ冗長性の運用 代替機器がホットスペアとして存在するものです。スタンバイ装置は、無負荷状態で動作している可能性があるため、高温になっています。場合によっては、主要機器の機能の定義外の機能を果たしている可能性があります。

一次装置に障害が発生した場合、稼働中のスタンバイ装置は自動的に一次装置の機能を実行するように移行できます。

パッシブ冗長性の動作例としては、無負荷状態で動作し、同じ端子電圧、周波数、相シーケンスなどの他のすべての並列化条件を満たす二次オルタネーターがあります。一次オルタネーターに障害が発生すると、二次オルタネーターはシステムと自動的に同期され、負荷を引き継ぐことができます。

非稼働のパッシブ冗長性の場合 、スタンバイ装置の電源がオフになっています。一次装置に障害が発生した場合、スタンバイ装置を自動または手動で動作条件に設定し、一次装置の機能を引き継ぐことができます。

非稼働中のパッシブ冗長性の良い例は、プライマリウォーターポンプが故障した場合に住民に水を供給するために手動で起動および操作できるスタンバイ市営ウォーターポンプです。動作の回復は重要ではないため、オペレーターはポンプを起動して起動できます（必要に応じて、後でシステムと同期できます）。

フォールトトレランスを分析するための信頼性手法

フォールトトレランスは信頼性エンジニアリングの取り組みの一部であり、機器内で発生する可能性のあるすべての障害を注意深く調べる必要があります。故障モード影響分析（FMEA）とフォールトツリー分析（FTA）は、それぞれボトムアップとトップダウンのアプローチからシステム設計を分析するための2つのよく知られた手法です。

許容範囲をよりよく理解するには、障害シーケンスと依存関係を分析して調査する必要があります。依存関係とシーケンスを分析するための特に有用な手法は、障害イベントの確率が前のイベントの状態に依存するマルコフモデルです。

同様に、もう1つの強力な手法は、システムパフォーマンスに対する障害イベントの不確実性の影響をモデル化するために使用できるモンテカルロシミュレーションです。

フォールトトレランスとメンテナンス操作

フォールトトレラントシステムのメンテナンスは少なくて済みますか？ええ、はい、いいえ。

前に説明した冗長性やその他の特性のため、このようなシステムは通常、機能が損なわれる前に、より多くの障害を引き受ける可能性があります。ただし、問題が解決されない場合、障害の蓄積は最終的にシステムまたは機器の故障につながります。したがって、保守チームはCMMSシステムを使用して、適切な時期に修正保守アクションが実行されるようにする必要があります。

ある意味で、フォールトトレランスは、メンテナンスチームとサポートチームにより多くの余裕を与えます。彼らはまだ問題に対処する必要がありますが、すぐには対処できないかもしれません。

フォールトトレラント設計には、コストの増加と複雑さの点で課題がありますが、機器の信頼性の向上という形でそれを補います。