信頼性」カテゴリーアーカイブ

列車逆走事故

 メールマガジン829号「失敗から学ぶ:列車の制御、新時代へ」で鉄道の自動運転システムをご紹介した。
「列車の制御、新時代へ」

その後間もなく自動運転の列車事故が発生した。
「逆走列車側に不具合か 「駅の合図は正常」 横浜の事故」(朝日新聞ディジタル)

記事によると「シーサイドライン」の車両が終着駅・新杉田駅で進行方向とは逆向きに走り出し、車止めに激突。乗客14人が重軽傷を負った。

その後の調査が以下のように報道されている。
運行制御装置側には問題が見つかっていない。
列車の電気系統の断線により方向転換の指示が伝わらず、逆走した。

新聞記事から判断すると、
駅側の制御装置と列車の制御装置間の通信には問題はなかった。
列車の制御装置と駆動機器間に断線があり、方向転換がなされず逆向きに走行。

「逆走、電気系統に断線 指示、伝わらず シーサイドライン」(朝日新聞ディジタル)

このようなシステムを設計する場合、中央制御装置と列車制御装置間の通信は司令/確認のプロトコルを入れるはずだ。例えて言うと、中央指令室の運行管理官と運転手の間で司令と確認が交わされるのと同様のやりとりが、中央と列車の制御装置間で行われているはずだ。
このプロトコルが成立しない場合(中央から走行方向切り替えの指示に対して確認の応答がない)安全側に動作するように設計する。

同様に制御装置と運行機器間でも双方向のやり取りがあるはずだ。
例えば加速の指示を出すとスピードメーターからのフィードバックが得られる。
今回の事故原因が「断線」によるものだとすると、モータの反転装置からのフィードバックがなくても正常と判断する「設計欠陥」があったはずだ。

自動機がある生産現場でも同様の問題がないか点検してみる必要があるだろう。
例えば非常停止ボタンを押した場合、安全に停止するかどうか。
→主電源を落としてしまうと危険な場合もありうる。

コンベアの駆動モータをオンにしたらコンベアが動いているか。
→なんらかの理由でコンベアが動かなければ、駆動モータが過熱し火災発生。

プレス機などのエリアセンサーが機能しているか。
→エリアセンサーの電源が入っていない場合安全側に動作するか。

シーサイドライン事故の記事を見た時に「サイバーテロ」が最初に思い浮かんだ。IOTにより我々の生活の利便性が格段に上がってる。しかしその裏でリスクも大きくなっていることを認識していなければならない。


このコラムは、2019年6月12日に配信したメールマガジン【中国生産現場から品質改善・経営革新】第835号に掲載した記事を修正・加筆しました。

【中国生産現場から品質改善・経営革新】は毎週月曜日に配信している無料メールマガジンです。ご興味がおありの方はこちら↓から配信登録出来ます。
【中国生産現場から品質改善・経営革新】

錫ウィスカー

ウィスカーホイスカという言い方もあるが,本稿ではウィスカーと表記する)というのは,髭状に成長した単結晶のことを言う.錫ウィスカーによる短絡不良現象は,1940年代から知られている.錫めっきの表面から錫ウィスカーが髭状に成長し,回路を短絡するという不良である.この不良現象は,製造工程では発見できず,市場にて稼働中に発生する.いわゆる信頼性不良である.

ウィスカーの発生メカニズムは機械的残留応力によるものといわれている.しかしそのほかの要因も複雑に絡み合っており,加速試験の条件など模索状態といってよいだろう.(一般には,-40℃-90℃の温度サイクル試験が用いられている)

昔観察された錫ウィスカーは,ICの錫めっきリードに発生した.図1に示すようにICリードの肩の部分からウィスカーが発生する.この部分は曲げ加工が入っており,錫めっきへの残留応力により,錫ウィスカーが発生したと考えられている.

Whisker図1 ICリードからの錫ウィスカー

金属端子に半田付け性を良くする為に錫めっきをした製品なども同様な錫ウィスカーが発生する可能性がある.ただしめっき層に機械的な残留報力がなければ,錫ウィスカーは発生しない.従って曲げ加工などをめっき前に施しておけば安全だ.

あらかじめ,めっきされた錫めっき鋼板などを加工すると,同様に錫ウィスカーが発生するが,めっき処理(光沢有り・無しなど)によって変わる.光沢錫めっきの方が錫ウィスカーが発生しやすいといわれている.

また錫に鉛を添加したものをめっきすると,錫ウィスカーは発生しない.従って有鉛半田めっきのリードでは錫ウィスカーの問題は発生しない.

環境問題により,鉛の使用が禁止されて以来,再び錫ウィスカーの問題が発生している.同時に回路の高集積化により,部品の間隔が狭くなっており不良の健在化も上がっている.RoHS施行の直前に,鉛フリー錫めっきの使用を禁止するセットメーカが出てきたり,かなり混乱した.

最近では,積層セラミックチップコンデンサーの端子部分の錫ウィスカー発生が問題となった.図2はNASAのホームページに公開されている積層セラミックチップコンデンサーの電極部分に発生した錫ウィスカーの写真である.

Whisker(MLCC)図2 チップコンデンサーの錫ウィスカー

このチップコンデンサーは,図3のような回路基板に実装されており,回路パターンへの接合は導電性エポキシ接着剤を使用している.このため半田付け作業による,錫めっき部分の残留応力開放が行われなかったものと考えられる.

Whisker図3 チップコンデンサの実装状況

宇宙空間で使用する場合は,ウィスカーが他の電位と接触していなくても,プラズマ放電が発生しショートする場合がある.

このように同様の信頼性問題であっても,時を隔てて再度問題となることがままある.
過去の事例を,過去のモノと片付けておかず,しばしば見直すことも必要だ.

チップセラミックコンデンサのショート故障

チップセラミックコンデンサの信頼性不良としてショートモードの故障があります.
今回はクラックによるショートモード不良について紹介します.生産時の製品検査で発見できずに,エンドユーザで使用中に発生する厄介な故障モードです.

セラミックコンデンサは,非常に薄いセラミック板に銀ペーストで電極を構成し,これを何枚も積層して作ってあります.

チップコンデンサ断面図

非常に薄いセラミック板なのでガラスと同様簡単にクラックが入ってしまいます.
例えば,部品を落とす,プリント基板の角が当たるくらいでクラックが入ります.
意外と気がつかないのは,PWBに実装した状態で,PWBにひずみを加えただけでセラミックコンデンサにクラックが入ります.

チップコンデンサにかかる応力

上の図のようにセラミックコンデンサを実装した状態でPWBに歪をかけた場合,90mmの間隔で0.5mm変位をつけただけでクラックが入ってしまいます.

したがってPWBを分割するときのV溝のそばにチップコンデンサがあると,分割の際の力でクラックが入ります.
またPWB固定用のねじ穴のそばにチップコンデンサがあれば,ねじを締結する力でクラックが発生します.
極端な場合は,実装後のPCBを片手で端を持ったときに,自重でPCBがそりチップコンデンサにクラックが入ったという例もあります.

セラミックコンデンサ内部クラック

セラミックコンデンサにクラックが入った場合,クラックの大きさによりコンデンサが完全にオープンになる,容量値が小さくなる,という不良になります.この状態で検査をして見つけることができればよいのですが,ノイズフィルタとして電源ラインに入れるような用途では,検査では見つけられません

しかも悪いことにこのままの状態で通電するとクラックを通して銀ペースト電極が直流電界でバイアスされて向き合うことになります.この状態で使用し続けると銀がマイグレーションしてショートします.電源バイパスとしてセラミックコンデンサーを使った場合,ショートされるのは電源ラインとグランドなので,インピーダンスが低く発熱,発煙するまで電流が流れ続ける場合があります.

電圧が高ければマイグレーションも加速します.ディジタル回路(3.3V,5V)よりもアナログ回路のバイパスコンデンサとして使用した場合のほうが不良が発生する期間は短くなります.

市場情報と信頼性設計

 金属疲労と溶接不足が原因 名古屋・エスカレーター事故
 名古屋市営地下鉄の久屋大通駅で乗客14人がけがをしたエスカレーター事故は、エスカレーターの制御装置の台座を固定するボルトの金属疲労と固定の仕方の不備が重なって引き起こされていたことがわかった。事故原因はこれで、ほぼ特定された。
                           (asahi.comより)
 2008年5月9日朝のラッシュ時に地下鉄駅で発生したエレベータ事故である.
実はこのエレベータは2007年9月の定期点検時に2本の固定ボルトが折れているのが見つかっている.金属疲労による破断であった.
しかしエレベータメーカはボルトが折れていた場所など計4カ所を,台座の下の基礎部分に溶接した鉄製金具で台座を押さえつける補修をしただけである.
金属疲労でボルトが破断しているということは,
・設計条件が実際の環境と違っていた.
・設計が設計条件を満たしていなかった.
ということが想定されてしかるべきである.この時点で応急修理だけではなく,きちんと設計にさかのぼって検討をする必要があったのではないだろうか.
2007年9月の補修以降2008年4月にも定期点検があったが,この際には固定ボルトの点検・交換は行われていない.
少なくとも想定外の疲労破壊が発生しているのであるから,固定ボルトは新品と交換し,7ヶ月使用した固定ボルトを持ち帰り詳細に検査すべきだ.
報道によると,点検業務は委託会社がやっていた.現場への指示や現場からのフィードバックが不十分だったのではなかろうか.
耐久資材を作っているメーカにとって現場の修理サービスの情報は自社製品の信頼性設計に非常に重要であるはずだ.これを委託会社に任せてしまい,現場の情報が上がってこなくなっていないだろうか.
記事では,これで事故原因が特定できた,と報道しているが,固定ボルトが疲労破壊した原因まではさかのぼっていない.
何事も源流までさかのぼって解析する必要がある.
またもっとも重要な現場の情報が設計部門にきちんとフィードバックする仕組みを持たなければならない.

台湾メーカの電解コンデンサ

生産委託先から、コストダウンのために台湾メーカの電解コンデンサを採用したいと申し出がありました。設計者の部品指定は、全て日本メーカの電解コンデンサでした。従って台湾メーカの中国工場の電解コンデンサに変更すれば、コストダウンになります。
早速協力工場のVQA(ベンダーQA)のメンバーを連れて、電解コンデンサメーカの工場に採用監査に出かけました。広東省東莞市にある協力工場からベンダーの工場までクルマで1時間足らずです。輸送費だけ考えてもコストダウンになります。
立派な工場で、検査設備も一応のものは揃っています。工程間での中間検査も一生懸命やっています。これはうがった見方をすると、工程で品質を作りこむ自信がないから検査で不良を除去しようと言う姿勢とも受け取れます。これだけでは安心できません。
工程内を一通り見て回り、少なくとも不良品が流出してくる可能性はかなり低いように思えました。一応このメーカと付き合い始めて、品質指導をすればよい工場になるかもしれないと言う思いが芽生えていました。
しかし電解コンデンサの性能・信頼性を左右する電解液の調合工程を最後に確認したところ、調合比率に関する作業手順書も品質記録も見当たりません。他の工程では手順書も品質記録もしっかりしているのに、この工程だけがありません。この点について聞いてみると、手順書に落としてしまうと、作業員が調合比率を知って、よその工場に行ったり、独立したりして同じ製品を作ることができるから秘密にしてあるのだと言います。さらに驚くべきことに、調合作業は2人の作業員に教えてあり、2人が調合した電解液を混ぜて始めて使えるのだそうです。従って2人が揃ってスピンアウトしない限りは本当の調合比率は分からないと言うことです。
実はこの会社の創業者は、以前日系の電解コンデンサメーカに勤務をしており、そのときのノウハウで創業したのです。自分自身がそうであった様に、彼は従業員を信用できないわけです。
そのために、中間検査を一生懸命やっていたわけです。電解液の調合比率については、中間検査の結果が品質記録だと言えば、ISO的には文句のつけようがありません。しかし電解液の調合比率をその初期特性だけで評価することはできないと思います。最近話題になった水系の電解コンデンサが磨耗型の市場不良が多発した問題は、初期特性だけでは評価できません。
そのほかの管理については比較的よくやっており、この1点のみで採用不可にするのはあまりにも惜しいので、条件付で採用OKにしました。その条件は生産ロット(出荷ロットでは意味がありません)ごとにサンプルを抜き取り、ORT(On Going Reliability Test)で品質を保証する、と言う条件です。
しかし残念ながら、私の採用監査レポートを読んだ設計のエンジニアは腰が引けてしまい、部品表にこのメーカは追加されませんでした。
品質保証の立場から行くと少しほっとしたのは事実ですが、安い部品を使おうと思ったら何らかの工夫をして使えるようにしなければなりません。

水素脆性破壊

ねじに、めっきなどの処理により水素が残留している状態で残留応力がかかっていると脆化してポロリと破断してしまう不良現象があります。
北欧のある周辺装置メーカから、最近出荷した製品ロットのねじに「水素脆性破壊」不良が混じっている可能性があるので、回収させてほしいと言う連絡を受けたことがあります。このメーカが使っているねじメーカが、めっき処理後のアニール工程を飛ばしてしまったため、完成在庫品でねじの頭がポロリと取れてしまうものが見つかり連絡をしてきたのでした。
めっきをする過程で酸洗い工程などで金属中に水素原子が捕捉されます。通常はアニール工程でこの水素原子をたたき出してしまうので問題はありません。このアニール工程を飛ばしてしまうと、残留応力が残っている部分が脆性破壊してしまいます。ねじを作った時点や、ねじを締め付けた時点では見つからず、製品に組み込んだ後にしばらくしてポロリとねじの頭が取れてしまいます。
 
この周辺装置メーカは、完成在庫の中から不良を見つけた時点で速やかに連絡をしてくれたおかげで、エンドユーザに出荷する前に被害を食い止めることができました。しかしこのメーカ、連絡をくれた直後から夏休みに入り、なんと1ヶ月休みだそうです。そのおかげでお客様には、納品をしばらく待っていただかざるを得ませんでした。1ヶ月も夏休みがあるなんて、さすが北欧のメーカだと感心するやら恨めしいやら、複雑な心境でした。
実は私はこの不良現象をこのとき初めて知ったのですが、この現象は教科書にも載っているような有名な不良現象でした。当時の機械系エンジニアの先輩から、それはこの本に出ているよと教えてもらったものです。
当然ねじのメーカでも常識として知られていた内容です。それでも不良が発生してしまう。QC工程図にもきちんとアニール工程は入っています。
各工程が連続していて、一つ一つの工程が終わらないと次の工程に行かないような連続工程になっていれば、「工程飛ばし」は発生しにくくなります。しかしねじなどのような部品の生産は、往々にしてバッチ生産となり、各工程で処理待ちのバッチができたりします。このときに中間完成品の状態をきちんと表示をしておかないと、「工程飛ばし」の原因になります。特にアニール処理などのように処理前と処理後の見分けが付かないものは識別表示が重要です。
部品ベンダーの採用監査などでは、工程内の識別表示がよくできているか重点的に見る必要があります。
ねじのような共通部品は、きちんとロット管理をするのが結構難しいものです。きちんと先入れ先出しができていても、問題のあるロットの絞り込み対象範囲が拡大してしまったりします。このためにためにも品質のきちんとしたメーカを選定しておくことが最重要です。

プラスチックの油脂クレージング割れ

プラスチックの残留応力がある部分に油脂や溶剤が付くと徐々に亀裂が深くなってゆき割れてしまうことがあります。この不良現象をクレージング割れと言ったりします。徐々にクレージングが成長してゆく様子が貝殻模様のようになって見えます。
最初にこの不具合を体験したのは、金属シャフトに挿入されたプラスチックノブです。プリンタのプラテンノブが稼働中にポロリと落ちてしまいました。シャフトに付いたグリースがノブにも付いてしまい、ノブの成型時に応力のあった場所、またはシャフトにはめ込んだ状態で発生する応力のある場所から徐々にクレージングして最終的にはポロリとシャフトから抜け落ちてしまいました。
この場合はシャフトにはグリースは不可欠なので、グリースの塗布を注意させたところで完全な対策にはなりません。ノブの材料を油脂クレージングに強いものに変更しました。
別の例では、プラスチックケース成型用の金型に塗布した防錆剤の洗浄が不十分なまま生産を開始した為に、防錆剤が製品に付いてしまいました。この状態で使っていると、ケースの成型時の残留応力が大きな部分が割れてきます。
防錆剤、潤滑剤など、工場のそこいらにあるスプレーをケースに振りかけて、ヒートサイクルテストをして見せてやりました。数サイクルやっただけで、ことごとく割れてきます。この実験を工場のメンバーに見せて身をもって理解してもらいました。
いくらマニュアルに書いておいても、意味をきちんと理解してもらわないと、この程度きれいにしておけばよいと言う判断になってしまいます。リーダ、作業者みんなになぜ防錆剤をきれいに洗い流さないといけないのか、きれいに洗い流さないとどうなってしまうのか、きちんと理解させておかないと「未然防止対策」にはなりません。

プラスチック材料の難燃剤

すでに旧聞に属するかもしれませんが、LSIパッケージに添加した難燃剤の赤燐が原因でLSI内部でAgのマイグレーションが発生すると言う不良が世界中で大きな問題となりました。
実は1980年代、私がまだシステム製品の周辺装置のエンジニアだったころ同様な不良を経験しました。CRTディスプレイのフライバックトランス(FBT)でも同じようにエポキシの難燃剤として添加された赤燐が原因でレアショートが発生したことがあります。
お客様にシステムを納入してから1年とか2年でCRTディスプレイから煙が出ると言う不具合がぽつぽつ発生しだしました。ディスプレイの中の高圧を発生するFBTがレアショートして煙が出ると言う不良でした。不良として返却されてきたディスプレイからFBTを取り出しレアショートしている部分が見えるようにカットし、原因を探りました。XMAなどを使ってレアショートするようなものが混ざっていたのではないかとかいろいろな角度で調査しましたが、なかなか答えが見つかりませんでした。
結局、FBTの内部に絶縁の為に充填されているエポキシ樹脂に添加されている赤燐がFBT2次巻き線のウレタンを腐蝕させレアショートを発生させていたのでした。当時TVメーカはこの現象を知っており民生用のFBTでは、すでに難燃剤を赤燐から臭素に切り替え済みでした。民生市場のほうが量がたくさん出るので、不具合現象を先に体験することが結構あります。
LSIパッケージの場合は赤燐の存在によりAgマイグレーションを加速し不良に言った至ったわけで、不良のメカニズムが違うのですが、このニュースを聞いて若い頃の経験がよみがえりました。
多分臭素が最近の環境問題で使用できなくなり、赤燐をそのまま使ったのでは危ないので何らかの処理をした上で使おうとしたのだろうと想像しています。最近のFBTの絶縁材料の難燃剤は何を使っているのかちょっと心配なところです。

半田クリープ

プリント基板に挿入された部品リードの半田付け部分が、きれいに割れてしまう不良現象があります。これは工程内では発見できず、市場に出て時間がたってから発生する厄介な不良モードです。半田結合点に残留応力があると長い時間をかけて半田がクリープして割れてしまう現象です。温度で加速されます。
半田結合点が徐々に割れて行き最終的にはオープンになってしまいます。オープンになるだけなので通常は機能不全となるだけですが、深刻な不良モードになることがありえます。例えばACインレットのリード半田結合点が割れると、AC100Vとか200Vの電圧が切断されたり接続されたりするので、ぱちぱちと火花が出ることになり、徐々にプリント基板を焦がして最終的には発火の危険性もあります。
はじめてこの不良モードを経験したのは、プリンタの制御回路に使われているHICのリード半田付け部分でした。このHICは制御回路のプリント基板に半田付けされた上、HICの放熱の為にプリント基板とHICをプリンタ筐体に共締めする構造になっていました。従って半田付け時にHICが少し浮き上がったりすると、共締めする際にちゃんとプリント基板になじみますがリードの半田結合点に応力がかかったままとなります。この状態でお客様に出荷して1年位すると不良が発生しました。予防保全のためにプリンタを回収してHICを筐体に取り付けた状態で再半田付けし応力を逃がして対策としました。
これは作業方法上で半田結合点に残留応力が残ってしまった例です。最終製品だけを見てここに残留応力が残っているのを見抜くのは生易しいことではありません。しかしこの製品を作っているところをじっくり見ていれば、ここが危ないと容易に分かったはずです。
また重量部品を逆さ吊りにプリント基板に実装する、継続的に力がかかっている部分を半田だけで結合する、などなど設計的な要因もありえます。これはじっくり製品や部品を見れば簡単に見抜けるでしょう。
特に上記で述べたACインレットは不良モードが深刻になるので要注意です。ACケーブルの抜き差しによる力がダイレクトに半田結合点に伝わる構造になっていると、クリープだけではなく疲労破壊も心配しないといけません。じっくりと部品の構造を確かめなければなりません。
このように購入する部品や製品の構造をじっくり見る、OEM工場の工程をじっくり見る。自分たちで設計製造する部分も同じ手順でじっくり見る。ということが不具合を未然に防ぐ「予防保全活動」になると思います。
サンプリングで長期間の連続試験をしてみても、労多くしてこの手の不良モードを発見できないことが結構あります。