このシリーズの最初の 2 部では、仕様重視の製品が実際の車両運用で失敗する理由と、経験豊富なオペレーターが車両を大規模に評価するためにどのデータ ポイントを使用するのかを調査しました。 この最後の部分では、焦点を指標から構造に移します。
ここでは、システム アーキテクチャが、障害動作、予測可能性、コンプライアンス、および長期的な運用安定性を制御するリスク管理の一形態としてどのように機能するかを検証します。艦隊が拡大してもリスクがなくなるわけではないからです。それは複合化します。アーキテクチャは、そのリスクを抑制するか、または拡散を許容するかを決定します。
商用艦隊の運用では、リスクが失敗として表れることはほとんどありません。
それは、配達の遅れ、車両のアイドル状態、コストの超過、運用上の不確実性などとして、静かに現れます。
フリート管理者が何かが間違っていると気づく頃には、通常、問題は技術的なものではなくなります。それは経済的なものです。
これが、経験豊富なオペレーターがシステム アーキテクチャをエンジニアリング上の懸念事項として見なくなった理由です。彼らはこれを リスク管理フレームワーク、つまり圧力下でフリートが予測可能な状態を維持するか、それとも徐々に管理不能になるかを決定するフレームワークと見なしています。
車両のリスクのほとんどは、壊滅的な故障によって引き起こされるものではありません。これらは
によって発生します。 コンポーネント間の相互作用 、一貫したシステムとして動作するように設計されていない
よくある例は次のとおりです。
ソフトウェアの更新により、安全性が重要な機能が中断される
新しいセンサーが共有通信バスに過負荷をかける
ユーザーインターフェースの障害により車両が不必要にシャットダウンされる
各コンポーネントはその仕様を満たしている場合があります。
システムはそうではありません。
スペック重視の製品はパーツを最適化します。
システム アーキテクチャは 相互依存性を管理します.
運用リスクを軽減する最も効果的な方法の 1 つは、 アーキテクチャ レベルでの機能分離です。.
成熟したフリート プラットフォームでは、安全性が重要な機能が重要でない機能から分離されています。電力供給、ブレーキ、ステアリングは、ディスプレイ、テレマティクス、またはインフォテインメントと帯域幅を競合しません。
デュアル CAN ネットワーキングなどのアーキテクチャは、この原則を例示しています。
Power CAN セーフティクリティカルな制御専用の
インテリジェント な CAN データ、インターフェイス、接続を処理する
この分離により、障害が 封じ込められたままになります。車両全体に波及するのではなく、確実に艦隊運営者にとっては、封じ込めがすべてです。局所的な障害はサービス タスクです。カスケード障害はダウンタイムです。
フリートのリスクは事故だけではなく、予測不可能性にも関係します。
オペレーターは次のようなシステムを重視します。
突然失敗するのではなく、適切に機能を低下させる
あいまいな動作ではなく明確な障害状態を提供する
緊急シャットダウンの代わりに制御された停止を許可する
機能安全原則に基づいて構築されたアーキテクチャ (ASIL に準拠した設計など) では、障害が排除されません。ます 障害がどのように動作するかを定義し.
予測可能な障害動作により、フリートは次のことが可能になります。
介入を計画する
サービスの継続性を維持する
資産とオペレーターの両方を保護する
商業運用では、予測可能性が安全性を高めます。
クローズドシステムは運用上の死角を生み出します。
死角はリスクを生み出します。
診断、ログ、およびフォールト ツリーにアクセスできない場合、すべての問題は推測ゲームになります。車が放置されるのは、修復不可能だからではなく、何が問題なのか誰も分からないからです。
標準化されたフレームワーク (AUTOSAR や UDS 診断など) に基づいて構築されたシステム レベルのアーキテクチャは、この動きを逆転させます。これらにより、次のような障害が発生する可能性があります。
すぐに検出
遠隔診断
正確に優先順位付け
フリート管理者にとって、これにより次の 3 つの方法で危険が軽減されます。
ダウンタイムの短縮
サービスコストの削減
資産活用の向上
診断パスを所有するということは、資産をメーカーからレンタルするのではなく、所有することを意味します。
商用モビリティは、静的な規制環境では動作しません。
データ保護、安全基準、運用要件は、特にヨーロッパで継続的に進化しています。
システム アーキテクチャは、フリートが中断なく適応できるかどうかを決定します。
以下をサポートするアーキテクチャ:
OTAアップデート
モジュール式ソフトウェア層
地域固有のデータ展開
フリートが準拠を維持できるようにする 物理的なリコールやハードウェアの交換を行わずに.
リスクの観点から見ると、これはパフォーマンスよりも重要です。規制の変更に適応できない車両は将来性がないわけではなく、責任を負います。
小規模であれば、回避策は管理可能です。
規模が大きい場合、それらは致命的です。
10 台の車両で診断が 1 時間遅れるのは不便です。
500台の車両が危機に瀕しています。
システム アーキテクチャは、フリートのサイズに応じて拡張できる唯一のレイヤーです。
それは、人間が介入するずっと前に、障害がどのように伝播するか、データがどのように流れ、どのように意思決定が行われるかを支配します。
これが、洗練された車両購入者が仕様表だけでなくアーキテクチャ図を評価することが増えている理由です。
艦隊運営者は、エレガントだからという理由で建築を購入するわけではありません。
彼らがそれを買うのは、 退屈で、安定していて、予測可能なからです.
優れたシステム アーキテクチャ:
運用上の予期せぬ事態を軽減
失敗を含む
時間の経過とともにコストを安定させる
利幅が薄く、信頼性が評判を左右する業界では、アーキテクチャはもはや技術的な詳細ではありません。保険証書です。
そして、保険とは異なり、艦隊が事故なく運行する毎日に配当金が支払われます。
