追記2月2日10:50:
技術的なニュースのupdateはなにも出てないようです.その代わり外野の発言がちらほらとありまして、自動車のテスラ社が「安全性の根本的な問題を抱えている」と述べ、SpaceX社が「当社の宇宙船用リチウムのノウハウを教えてあげるよ」と述べています.外野が知りうるのはあのリチウム電池モジュールの写真ぐらいしかないとすると、リチウムを知るものならあの写真を見てピンと来るような「構造上の問題」があるんだろうなぁ.
追記1月31日22:20:
バッテリモジュールに強制空冷がないのが諸悪の根源だ、と指摘する人の記事.ギチギチに実装されすぎているというのはわたしも激しく同意です.ただ、放熱設計がおろそかだったとはやや信じがたいとは思います.
http://www.nikkei.com/article/DGXNASFK2902F_Z20C13A1000000/
追記1月31日8:40:
今朝のニュースは、ANAが17機保有する787においてバッテリー交換を10回もやってたというのがたくさん流れています.そのうち5個は電圧が想定外に低かったのが交換理由だそうです.発火との因果関係は不明だが、航空当局としては調査対象にするとのこと.
http://jp.reuters.com/article/topNews/idJPTYE90T02420130130
この他にもboeingの重役が、原因究明は進展しつつある、という見解を述べていますが、具体的な情報開示はまだないみたいです.
追記1月30日8:20:
USAがJALの787で燃えたバッテリーの破片を検査しているというニュース.まぁ仕事としちゃそりゃそうだろうとしか言えない... それにしても、787のニュースはロイターのような外資メディアに読むべき記事が多く、日系メディアにはロクな記事がないみたいです.
http://www.bloomberg.co.jp/news/123-MHEQHI6S973101.html
ところで、リチウムがオカルト的に発火したんじゃないかと疑っているわたしですが、この写真をみると、バッテリー同士のクリアランスがほとんどなく、外装からバッテリーのクリアランスもほとんどなく、その結果取り付け時に与えたショックで一部が凹んでしまい、航空機の振動が打撃となって一部のバッテリーに加わり続け、バッテリー内部の一部で絶縁破壊が生じ、出火したという仮説を考えてみましたがいかがなものか? この外装はアルミですかね? シリコンで防振するとかは一切してないっぽくないですか? もしもこの仮説が正しければ下記の故障モデル5ということです.決してオカルト出火ではないので設計変更は容易かと.
バッテリーパック内部で金属片が踊ったとか、ネジが緩んでショートしたとか、上位階層からの過充電要求を拒否できなかった、という故障想定が容易なトラブルはなんかピンと来ないんだよなぁ.あくまでも直感ですが...
追記1月29日22:50:
バッテリーパック内の保護回路を製造した関東航空計器の監査では有意味な知見は得られなかった、というニュース.
別のニュースによると海外の関連会社にも監査が入ったようで、そこからの知見もないらしい.まぁ、たかが監査ですからね.それで不正が見つかるくらいなら誰も苦労しないわ.
燃えたプリント基板から充放電データが抽出できる期待は薄いとうかがえるニュースもありますので、こうなったら、再現実験に期待するしかないでしょうねぇ.温度も気圧も振動も自在に変えて、100台並べて再現実験をすれば1台ぐらいは発火するのではと思います.なにせ2台も発火した実績があるのですから.関係者の徹夜の努力がいまこそ求められる時ってことかと.ガンバレ!
http://www.aviationwire.jp/archives/14940
追記1月29日22:30:
エアバスがかつてリチウムのリスクを指摘していたというニュース.エアバスがこの時とばかり為にする議論を繰り広げているのではなかろうかと思わないでもないっちゃ.
http://jp.reuters.com/article/jp_boeing/idJPTYE90S01B20130129
追記1月29日22:20:
いろいろなことが書かれているニュースで読み応えアリ.
「タレス社は軍需産業を担うだけに機密が多い」
「ボーイングが直接取引するサプライヤー数を絞り込んでおり、孫請け会社が多い」
諸般の事情ですね~.ブロック図すらニュースに出ない理由はこういうことか!
「BMUが物理的なダメージを受けてショートし、セルに「大電流が流れたのでは?」
という説はおもしろい.わたしの下図の4番ということですね.
「ボーイングは原因究明作業と同時進行で、想定されるあらゆるリスクを回避するための安全システム全体をソフトとハードの両面から設計し直すことが大事だ」
まぁそれは確かにそうですね.
http://jp.reuters.com/article/topNews/idJPTYE90S05G20130129?pageNumber=1&virtualBrandChannel=0
追記1月29日22:00:
この事故ののっぴきならなさについて私見を書きます.
のっけからハナシは逸れますが、通信ネットワークにOSI参照モデルという、互換性や信頼性を確保するために定められた階層構造システムがあります(下図).左のアプリとかAPIとかいうのはわたしのイメージです.この図で言いたいことはまず、アプリケーション層はやってることは極めて複雑で、それゆえ低信頼性でありしばしばupdateも出回ります.それに比較して物理層は単純な仕様で信頼性が最上級だということです.
全部をベッタリと低信頼性で設計したらシステムが故障しがちで困るだろうし、全部をベッタリと高信頼性で設計したらロケットや人工衛星みたく設計費用が大変なことになりますので、階層区切りでモジュール化することにより、いま触りたくない場所と、いま改変したい場所を区分けできるので、設計が楽で信頼性もそこそこなものができると期待して階層化してるんでしょう.
たとえば、PCのユーザーにとってはアプリなんかバグっているのがフツーと思われているわけです.一方、物理層とデータリンク層とネットワーク層はハブに実装されていて、ユーザーの認識としましては、まさかハブがバグっていることなんか想像もしてないし、ハブのfirmware updateなんかやるとはフツー思ってないぜっていうくらい、鉄板な信頼性が通念化してます.
で、より下のバッテリモジュール保護回路や充電保護回路になると、OSI参照モデルのハブの例のように、ここら辺でバグってたらとりあえず航空当局へすっ飛んでいってご説明しなくちゃいかんわーぐらい根性の入った高信頼がアテにされているブロックではなかろうか?
そして、バッテリパック内保護回路となるともう墜落しないための最後の砦、異常電圧には絶対にさせないようなシンプルでバグりようのない回路になっていると推測します.CPUなんか使っちゃイカンのではないかと思います.
で、最後のリチウム電池ですが、発火しないために要求される最重要事項は「4.1V以下であれば出火しないことを100%保証しろ」なはずです.なぜなら、保護回路が発火させなくするための拠り所は電圧だろうからです.温度とか気圧はサブファクターにすぎず、低温だったら4.12Vまで許すなんていう操作はリチウム電池の性質からするとやってるとは考えづらいかと思います.
ところで、OSI参照モデルの信頼性要求は下位階層ほど高くなるわけですが、信頼性を担保するための技術的バックボーンはなんでしょうか? 1つ目は仕様を単純化することでバグりにくくすることです.そして2つ目は、
アプリソフト(低信頼性)→firmware(中信頼性)→digital回路(高信頼性)
→analog回路(鉄板)
という具合に、論理的仮想体→物理的実体に推移するにつれバグが減少するという性質を利用しています.物理層なんて、etherケーブルと、パルストランスと、送受信のphyという物理的(回路的)実体なのでケーブルが切れたとか静電気でphyがお陀仏とかいうわかりやすーい事態でも起きない限りバグる要素はさすがにないといってよいでしょう.そのおかげで鉄板を達成!
で、ここからが本題です.
↓今回の事故で解析できたのは、たぶんこの図までだと思います.中間階層がまだ判ってないのだろうと思っています.全体像はまだちんぷんかんぷんかと.フライトレコーダは、出火直前までバッテリ電圧が正常だったことを示しているそうです.ただし、フライトレコーダは全電圧が32Vだったと言っているので、セル単体の観測を観測していたわけではなさそうです.セルばらつきまでは監視していなかったということのようです.
フライトレコーダが正常だと信ずるならば、保護回路従属的な故障モードは以下の5通りのどれかとなります.
↓1) シスコンのバグで異常が生じ、3つの保護回路をすり抜けてリチウムを発火させた.よってリチウムは悪くない、というモデル.しかし、フライトレコーダが正常なままで3つの保護回路をすり抜けるなにかが起きたという説は考えづらいよなぁ.
↓2) バッテリモジュールで異常が生じ、2つの保護回路をすり抜けてリチウムを発火させた.よってリチウムは悪くない、というモデル.しかし、フライトレコーダが正常なままで2つの保護回路をすり抜けるなにかが起きたという説は考えづらいよなぁ.
↓3) 充電回路で異常が生じ、最後の保護回路をすり抜けてリチウムを発火させた.よってリチウムは悪くない、というモデル.しかし、フライトレコーダが正常なままで最後の保護回路をすり抜けるなにかが起きたという説は考えづらいよなぁ.
↓4) 最後の砦のはずのバッテリパック内の回路で異常が生じ、リチウムを発火させた.よってリチウムは悪くない、というモデル.こんな故障がボストンや日本でポコポコ生じる気はしないし、しかもフライトレコーダは電圧が正常だったと示している.だけども、故障箇所がピンポイントであるし、保護回路もろとも故障したらノーガードなわけで、1~3よりも信憑性が高かろうと思わなくもない.しかし、プリント基板が燃えちゃったので真相究明の期待は不明瞭かと.
↓5) 4.1V以下で使っている限り発火しないと100%保証されているはずのリチウムが自発的に発火した、というオカルトモデル.このモデルが正解だったとしたら、保護回路なんかついてたってムダじゃん.リチウムを廃止するしかなくなります.
今回のリチウム発火事故で、USAの航空当局が本気でビビッて運行停止を命じ、しかも解析の進捗に自信がなさげな理由は、5の可能性が意外にも筆頭なのではないかと彼らが推測したからではないでしょうか? ちなみにわたしも同意見でして、787について当ブログで書き始めて以来一貫してリチウム自身がオカルト的に発火したのではないか?という説を唱えています.
もちろんそれは推測にすぎませんが、5が筆頭かもしれないという説には以下のような根拠があります.
上で、信頼性を高める技術的バックボーンの2つ目は、
アプリソフト(低信頼性)→firmware(中信頼性)→digital回路(高信頼性)
→analog回路(鉄板)
であると書きました.このチャートは、左端が論理的仮想体、右端が物理的実体へと推移しています.
いま話題にしているリチウムバッテリーシステムでは、この右端にリチウムバッテリーが接続されるわけで、こういうチャートになります.
アプリソフト(低信頼性)→firmware(中信頼性)→digital回路(高信頼性)
→analog回路(鉄板)
→リチウム(4.1V以下なら絶対に発火しない神領域の信頼性)
わたしはまさにこのチャートに錯誤を感じるんです.リチウムをそんなに信頼してよいのだろうかと.analog回路を構成するICとプリント基板の信頼性は数10年に及ぶ実績があります.けれど、高いエネルギーを内在し、それ自体がほぼほぼ第5種危険物(火薬)に匹敵する燃焼能力と酸素供給能力をもつリチウム電池に、ICとプリント基板を凌駕する自己発火しない性質を期待するのは果たして筋の通った理屈といえるのだろうか?
USAの航空当局が本気でビビッているのはまさしくこの自問自答であるとわたしは想像しています.
なお、お主はソフト技術をバカにしておる、などという反論が来ないことを希望します.ソフトが得意なことと、ハードウエアが得意なことはそれぞれ別なので、その特質を信頼性に反映させるテクニックについてわたしは述べたいだけなのです.ご理解のほどを賜りたく.
追記1月29日8:15:
いわゆる熱暴走が起きた原因は放熱対策がプアだったからだという専門家の指摘.放熱検証すらしない実装なんかアリエナイので、彼の個人的見解程度に受け止めておくのがよろしかろうと思いますが、もしも本当だったとしたら787の品質保証体制はグダグダだったことになり、身から出た錆ということになります.「Sadoway氏はForbesに対し、787機のリチウムイオン電池を試験した際、バッテリの冷却機構が見当たらず驚いたと語った」
http://headlines.yahoo.co.jp/hl?a=20130128-35027444-cnetj-sci
追記1月29日7:50:
FAAがリチウムを認可したのは正しかったのか?という疑問が関係者から出ているというニュース.FAAは、過充電保護回路は4重であり、発火の恐れが非常に小さいと判断している.さらに、排煙装置と延焼防止対策がなされていると発言.
http://headlines.yahoo.co.jp/hl?a=20130123-00000090-reut-bus_all
追記1月28日22:00:
バッテリー内部の様子がよくわかる写真.ただしこれは高松空港の787じゃなくて、ボストンの787のバッテリーの写真.記事によると、焼けたプリント基板から得られる情報は少ないらしいです.充放電ログを抽出できないのかと落胆しているわたしです.
「NTSBではBMUの回路基板は損傷を受けており、得られる情報は限られるとの見方を示している」
http://www.aviationwire.jp/archives/14821
追記1月28日20:00:
監査の結果、ユアサの品質管理体制に問題は見当たらなかったとのこと.まぁそんなもんでしょう.
気になるのは、バッテリ近傍で焼け焦げたプリント基板の機能は、電圧監視だけでなく、保護も行うと受け取れる下記の文章です.上位階層がどんな無茶な充電や負荷を要求しても、この保護回路がそれを許さない「フェイルセーフの最後の砦」だと推測できそうに思います.なので、ボーイング社の配線ミスだとか言う説を安易に信ずるべきではなく、やはり最初の疑問である「なんでフェイルセーフが破れたのか?」に調査の主眼が舞い戻ってゆくのではないかとわたしは予想します.
そして最も嫌な成りゆきは、この基板に異常が見つからず、抽出できた充放電ログも正常で、その結果リチウムがオカルト的に自然発火したとしか考えられない、という推定有罪モードになだれ込んでゆくことです.そうなったら、VAIOのリチウム発火事故の時と同じく、燃えたのは事実だが原因は不明だという航空機の信頼性要求に重大な支障を来す事態になってしまいます.ボーイングはリチウムを廃止するかどうかの選択を余儀なくされるでしょう.そうならないことを期待しますが、そうなる可能性が高いのではないかと危惧しているわたしです.
「関東航空計器(神奈川県藤沢市)に立ち入り検査する。同社はバッテリー内の電流や電圧の異常を検知して保護する基板を製造しており、米連邦航空局(FAA)と合同で調べる」
http://news.nicovideo.jp/watch/nw500750
追記1月28日:
●内部告発者である元セキュラプレーン・テクノロジーズ社のマイケル・レオン氏の写真がありました.彼曰く充電回路がボロかったので開発中にリチウムが燃えたことがあるそうですが、今回の事故との因果関係は不明です.
http://goldbook.ashita-sanuki.jp/e624390.html
●電池=ユアサ、充電回路=セキュラプレーン・テクノロジーズ社、保護回路=タレス社、システム納入業者=タレス社、という生産分担になっているみたいです.ただし、セルの温度や電圧を監視するユアサ独自の回路(BMU)が電池に追加されていて、その調査結果を早く知りたいところです.
追記1月27日:
日本人のヘリコプターパイロットによる感想.ヘリのタービンエンジンを始動するときのすごい電気喰いの模様が書かれています.旅客機でもタービンエンジンであるから同じようにハードなんだろうなぁ. あぁでも波動エンジンよりかは軽いですね.
「始動電力は、トラックの大きな鉛バッテリーから太い番線でヘリに直結してエンジンをスタートさせたとき、番線が電流の抵抗で真っ赤に焼けるほどの電気が流れます. さてそれほどの電力をバッテリーから取り出してエンジンをスタートし、今度はエンジン駆動の発電機からバッテリーを再充電するために、初めはスタートに使用したほどに近い大電流がバッテリーに流れ込み、充電が進むに従って流れる電流は少なくなって、5分もすればほぼ95%近い充電状態となり、正常状態となります」
http://blogs.yahoo.co.jp/bell214b1989/67481964.html
1月27日
●バッテリーはGSユアサだが、充電器はフランスのタレス社による.ボーイングへのシステム納入社もタレス社. で、ホントかどうか知らないが、タレス社はLGに設計を下請けしてその回路がバグったという説があります.しかし、ネットならではのデマくさい話なのでガセ認定しておきます.
●充電器はタレスだとしても、過充電や過負荷に対する最終的保護回路はGSユアサの責任範囲であるような雰囲気が匂うニュース.バッテリ付属のプリント基板BMUは藤沢の会社が作っているようです.充放電ログはこの中に.....
「メーンバッテリーのボックスから基盤を取り外し、神奈川県藤沢市の基盤メーカーに送り、同委員会立ち会いの下で調査する方針を明らかにした。基盤はバッテリー・モニタリング・ユニット(BMU)と呼ばれ、バッテリーの中のセルの温度や電圧などを計測しているもの。米運輸安全委員会(NTSB)の公表資料によると、関東航空計器(藤沢市)がBMUをGSユアサに納めている」
http://jp.reuters.com/article/jp_boeing/idJPTYE90O04920130125
●なんだかよくわからないが、充電器のメーカーの内部告発者が注目されているというニュース.充電装置を製造しているセキュラプレーン・テクノロジーズ社の元社員のマイケル・レオン氏曰く、
「セキュラプレーン・テクノロジーズ社が充電装置の出荷を急いでいたと主張。同氏はこの充電装置について、仕様と一致せず、正常に作動しなくなる可能性を指摘していた」
え~っタレス社じゃないの? ガセっぽい記事です.
http://jp.reuters.com/article/jp_boeing/idJPTYE90O00G20130125
●冷泉彰彦というUSA在住の作家が、ボーイング社の配線ミスだという「私見」を唱えていて、ネットではいろんな人に引用されています. ですが、たとえ上位階層に配線ミスがあろうとも、最下層のバッテリーパックが燃えてはいけません.そこのところ、技術的要件というか、設計思想というか、フェイルセーフ技術の深みをよくご存じない文系の方の賢さを感じられない文章だと思われ、こういうことを著名人が書くと「USAによる日本叩きである」などという説を流布したい人にあらぬ論拠を与えてしまうんじゃないでしょうか?
http://www.newsweekjapan.jp/reizei/2013/01/post-519.php
人気ブログランキングへ
資料纏めありがとうございます。
返信削除原因追究は、まだ長期間を要するでしょう。
技術的に正しい、深い観察、解析、が必要の様ですね。
途中までは、正常に働いていたが小さい原因(ERRORは検出出来ず)で、発火に進んでいったと思いました。
茨城県東海村のウラン燃料の濃縮工程での爆発事故を思い出す。
ヒュ-マンエラ-だが、濃縮率で予期せぬ反応が起こる事を
知らなかった、OR 知っていたが大丈夫だろうが、重大事故に
繋がったと思います。
はじめまして、初めてコメントします。
返信削除設計思想として安全は下の階層が全て受け持つべきで、上の階層が
何を行おうと下の階層は絶対安全でなければならないという思想は
問題があるように感じます。
どのような保護回路も絶対最大定格という限界が必ず存在し
上の階層がこれを守らなければどのような保護回路も破壊し
ます。
この状態をシステム階層が検知せずに、さらに好き勝手に
充放電を行えば発火する可能性も生ずると思います。
安全はシステム全体で担保すべきで根本的な安全設計思想、
システムレベルで問題があると思わずにはいられない。
とまぁ、単なる私見を書いてみました。
はじめまして.
削除これについて、あとで上に追記しようと思います.のっぴきならなさを整理したいと思いますので.
というわけで書きました.
削除boeingやUSAの航空当局がシステム問題を見過ごした可能性よりも、リチウムを採用した根拠の錯誤性にビビッているのではないか? わたしはそちらに信憑性を感じるんです.
説明、ありがとうございました。
削除「32.2ボルトを超す過充電になっていた形跡は見られなかったという。しかしバッテリー内の8基のセルのうち、個々のセルで設計限界を超えていなかったどうかは不明だとしている。」
http://www.cnn.co.jp/business/35027373-2.html
という記述がありました。
4.025[V/セル]で十分マージンをとった設計にはなっていますが、個々のセル電圧については、監視していないように受け取れます。
モジュール全体では過充電でなくても、どれか1つのセルでも過充電になれば、熱暴走は起こりうるので、監視してないハズはないのですが...
↓に正常なバッテリの写真がありました。
http://www.aviationwire.jp/archives/14821
各電池を結ぶバスバーから白い配線が出ていますので、
各セル電圧の監視も間違いなくBMUで行っているようです。
ただ、その情報は下位が保有し、上位システムへの通知(フライトレコーダへの記録)は行わないというシステム構成だと解釈できるのですが。
「個々のセル電圧については、監視していないように受け取れます」
削除フライトレコーダーはそのようですね.全体電圧しか記録してないみたいです.
「どれか1つのセルでも過充電になれば、熱暴走は起こりうるので、監視してないハズはないのですが」
そう思います.なので、フライトレコーダーよりも下位階層のログがどうだったのかに興味がありますけど、なぜかその報道はないです.タレス社が軍事技術会社だから情報が出てこないのかしら? ちなみに、関東航空計器も自衛隊向けの機器を納入するお堅い会社だそうです.さっき知りました.
「各電池を結ぶバスバーから白い配線が出ていますので、各セル電圧の監視も間違いなくBMUで行っているようです」
わたしもそう思います.
「その情報は下位が保有し、上位システムへの通知(フライトレコーダへの記録)は行わないというシステム構成だと解釈できるのですが」
状況からするとそのようですね.
その一方で下位階層にローカルストレージが全くないとも考えづらいので、そこの解析結果を早く知りたいです.ローカルストレージのログは、故障解析の目的で各社が独自に搭載したがるのが人情かと思いますので.
それにしても、解析結果の発表がパタリととまってるような...
設計思想の考え方ありがとうございます。
返信削除安全の担保は誰が行うべきかの類似例題に学校内の体罰問題が有ります。
学校内の責任は、管理職である校長にも有ります。体罰を行った部活顧問教師?にも有る事
は当然です。学校の運営には、教育委員会も携わり、校長を管理していると言う人もおります
そしてその上層階級には、文部科学省が有るわけです。
この問題は、決して顧問の教師一人の問題では無いと思います。
飛行機製造、この様な国際的な分業体制では、原因追究と責任の有り方の議論がヒ-トアップして来ると思います。
B社は、発注者である点と総合的取りまとめ者で有る事から考えると、一定の責任が有ると
言えるのではと思います。
この様に、原因追究困難なCaseでは、責任が分散化され易い事と責任がシステムに有るか、個別に有る事を見分ける事とは、次元が違う様に思います。
Hardに有るのか、管理に有るのかの違いの様にも思えます。
追加記事読ませて頂きました。また想像ですが管理Softの事をもっと調べる必要が有ると
返信削除思いました。
問い合わせ
管理Soft------->充電装置-------->電圧監視装置-------->バッテリ(安全機構含む) <------ <------ <------
状態報告 状態報告 状態報告
Soft監視管理を考えてみました。
各機器間は、通信、情報交換で結ばれていると思います。下部階層からの応答が無ければ、
上層部階層は、単純に待ち状態に成り、爆発的な進行を制御出来ない可能性が有るのでは
と言うSoft素人の考えを述べました。
電池の重量は何Kgなのでしょうか?
返信削除50KG(エレベ-タの人間体重は50Kgが標準か?)リチュ-ムイオン電池搭載の是非は
少し棚上げしておいて、バックアップを考えてみた。
JRの座席予約装置の当初は、装置を2台用意しておきdataの異常が検知された時は、
NG装置を遮断する事が出来るように成っていたらしい。
dataが重要なシステムでは、HardDiskを複数設置し信頼性を上げる方法が有る事は
既にご存じと思います。私のPCは、その様な構成には成っていない。今までに、何回
システムの再構築(OSの再インスト-ル)をしただろうか。好きで(勉強)のためにやっていた。飛行機の様に、OnLineで動いている物に対して一番適切なシステムは何かと言うと
地上の列車とは、違う信頼を求められ様。信頼性の上下は無いのだが。
あの大きさからすると50kgぐらいありそうですね
削除