[282]

BBS
BBS
mail to: adrs
旧
 新
 Diary INDEX
Geo日記 		戻る
 LIST
主目次

中国高速鉄道事故、直接の問題点
「在線検知で即停止」ではない
絶対優先安全確保と運行支援制御が渾然一体か?
フェイルセーフ原則無視!信号&ATC設計

 7月23日に発生した中国高速鉄道和諧号追突転覆事故は、「落雷による信号故障で先行列車が停止し在線しているのに進行信号が出て全速力で追突した」という、鉄道関係者や鉄ヲタからみて極めて不可解な事故でした。「指令が故障を運転士に伝えていたら防げた事故」というのは根拠のないマスコミの作文で全く無意味ですが、発生12日を経てなお全体構造は概略すら報道されておらず、逆に構造を良く分かっている人達にはあまりに基礎的、常識的な内容で敢えて解説整理する方が見あたらないようなので、ヲタの身分で僭越ながら構造の整理をしたいと思います。内容が法規制・行政指導なのか、内部規則なのか、設計慣行なのかは部外からは分かりかねますし、言葉遣いも違うかも知れませんがその点は本質ではなさそうなのでご勘弁を。

信号、保安装置概説    <1>

 列車を衝突させないで安全に運行させる方法としては様々に工夫されて運用条件次第で千差万別ということはありますが、今回の事故に関連する大量輸送での自動信号方式の場合を説明します。
 まず運行システムを大枠で分けますと、管理区間に分ける閉塞区間分割、在線検出と信号保安装置(≡安全装置)、運行支援・案内装置といった形に層別でき、列車の不在線を絶対条件として、様々の制御を許容し、装置が故障しても必ず安全側の在線を示す形にシステム構成されています。すなわち、自動、手動を問わず外からの制御により在線を消すことはできない構造で、列車が在線しているのにその区間への進行信号が出ることは有り得ないというのが基本構造です。今般の中国高速鉄道事故はその点(列車が在線するのに、そこへの進行信号が出たこと)が、本来なら絶対に有り得ない決定的な異常事態で、在線を検知しながらその閉塞区間入口に進行信号が出る条件がある構造が基本的な重大欠陥です。指令がたまたま故障に気付いて止められるというレベルではありません。
 更に、フェイルセーフを強化する規約として、信号消灯、信号電流ゼロ、未規定コードは停止、非常停止と定め、リレー(継電器)も駆動コイル無電圧・停電で落ちた遮断接点側(ブレーク接点側)が停止側・低速側と定めています。
 上図の信号結線では、閉塞の絶縁毎に基準極性を反転させて、閉塞毎の線路の絶縁が破壊された場合に停止信号になるようにしています。 See→ATS用語memo


新幹線の大地震停止システム    <2C>


 新幹線はその高速運行ゆえに、地震によるわずかな損傷でもトラブル発生の懸念があり、大きな運動エネルギーで被害を大きくしかねません。新幹線では地震検知と共に運転電源を変電所で即座に停電させることで非常制動を掛けるシステムが東海道新幹線開業(1964/10/01)以来働いています。

 東海道新幹線開業直前の新潟地震(1964/06)で、ビル倒壊、橋梁落下、地盤の液状化といった激しい被害を受けたことで、震災対策としてまずは変電所に強震計を設置して、それにより直ちに電力供給を遮断してATC非常制動で停止させ、被害の拡大を抑える方式を先ず開業時から採用しました。

 さらに、東海地震発生切迫の可能性が指摘されたことで、予想震源方向など線路から大きく離れた場所にも地震センサーを設置して地震早期検知システムを構成し、大地震の揺れの大きなS波(横揺れ)が線路に到達する前に影響する路線の変電所を停電させて全列車を止めるシステムに改良。遠方の地震センサーで止めることによりS波の伝播速度3.5km/s〜4.0km/s分の減速時間が稼げます。

 ところが直下型地震だった中越沖地震では震源の真上を走っていた上越新幹線ときが減速の間もなく強い揺れに見舞われて脱線。
 しかし台車と車輪がレールを抱え込んで減速中にも線路から大きく外れずに停止できて、変電所遮断で対向列車は止められて幸運にも乗員乗客の犠牲は出さずに済んだものの、線路逸脱防止ガイドを設けるとともに、大地震検知の改良も求められました。

 特別法まで制定して準備した「地震予知」は求める精度での予知成功の見込みはほとんどないことが分かってきましたが、一瞬の避難の時間を作って被災を抑止する強震警報の方法として、約8km/sと伝播速度の早く、振動は小さいP波(粗密波)の立ち上がりを解析して到達震度と震源を予測し、無用停車も抑制する鉄道向けの「5Hz・PGA方式」を1985年に定義・UrEDAS/FREQLとして採用し一刻も早く停止出来る様にしました。
 この技術を元に気象庁が一般向けの「緊急地震速報」として実用化したことで、2007年以前に新幹線も地震対策にこれを利用することになりましたが、気象庁方式で定めたフィルター特性は日本の家屋被害中心ですから、鉄道への適合性のズレは予想され、東日本大震災では元の方式の方が速かったという指摘も有ります。

 地震波には伝播速度の速い「初期微動」と呼ぶ粗密波:P波(=1次波、約8km/s)と、破壊力の強い横波:S波(=2次波、3.5km/s〜4.0km/s)があり、P波の立ち上がり波形で大地震が検知できると伝播速度の遅いS波到達前に減速開始できる訳です。また3箇所以上で地震を検出するとその時刻差から震源位置が算出され、遮断変電所を指定します。初期微動から大きな揺れまでの秒数に8〜6.2を掛けた値が震源までの距離です。
  震源距離L=時間差t/(1/vs−1/vp)≒8t〜6.2t

 さらに最近では走行電流の停電をATC車上装置より早く非常制動信号と判断する装置を付け加えて従前より約1秒余速く非常制動を掛ける改良をして大震災の被害抑制を図っています。
 阪神大震災1995/01/17での橋梁・橋脚崩壊を承けた走行路の全国的な震災対応補強などを含めたそれらの措置の結果、2011/03/11東日本大震災では車両被害としては幸運も重なって新幹線では回送列車1編成の脱線被害に留まりました。

 仮に線路と地震計との距離が40km、そこから震源までの距離が40kmあれば、地震計には約5秒早くP波(粗密波:縦波、≒8km/s)が到達して停電させると、線路には更に10秒かかってS波(横波、≒4km/s弱)が到達する訳で、非常停止判断時間分を差し引いて13秒前後早く非常ブレーキが掛かり、約40km/h余は減速できていることになります。300km/h走行として速度のエネルギーが約75%=((300−40)/300)^2に減って地震S波襲来後の減速距離も75%前後となり被災と被害の確率を小さくしています。(JR東日本発表で1200箇所被災し540箇所の架線柱が折れて走行領域にも倒れ長期の運行不能に陥ったのに、たまたまその区間には高速走行中の列車が居ませんでした)。

 但し、北伊豆地震のように掘進中の丹那トンネルの断層が2.5mも横に動いて進路に立ちはだかったところに270km/h(=75m/s)の新幹線が突っ込む最悪のタイミングは救いようが無く、トンネルの活断層部を蛇腹接続で繋いで被害軽減を図ることは考えられても、万一は覚悟の上での不運の確率を減らす努力ではあります。

 台湾新幹線の震災対策で、地震のない欧州勢提案の「信号現示を使って安全な場所に止める」方式が採用されましたが、本来は大きな揺れで通信回線が壊れる前に非常停止コマンドを伝え、一刻も早く列車自身の莫大な速度エネルギーを放出して地震による脱線などの支障に備えなければいけないわけで、約1.5km間隔の信号区間をシステムが選択して止めるのではシステム自体が震災で故障して働かないリスクもあり、それより、強力地震波到達前に25km〜50km間隔の変電所を停電させた方が単純で障害発生の機会も少なくなり早いというのに、対応が本末転倒というほかありません。より安全な場所への避難は徐行速度まで減速した後の個々の現場対応で、強い揺れで通信線が破壊されても非常制動コマンドは伝達済みなので支障ありません。台湾新幹線ではその脆弱性が危惧される地震停止システムは営業運転開始には間に合わなかったそうです。

 そのATC自体は日本製のデジタルATCが動作中なのでP波推定型の早期地震検知システムで変電所を停電させれば、非常停止が掛かりますし、現在では台湾新幹線にも設置されている可能性はあるのですが、欧州勢は地震の怖さをかなり舐めています。台湾新幹線建設中の台湾中部地震の被害で主導権が大きく日本に戻って来ましたが、大地震対応は途中駅の160km/hでの分岐=#38番超高速分岐採用などを含めて戻りきらなかった基本仕様部分です。


 さらに日本の新幹線では、信号電流無し2が即時停止信号であることに加え、運転電流の停電も自動的に非常制動と定めていて、東海道新幹線開業当初から地震計に連動して変電所を停電させて一刻も早く強制的に減速させて運動エネルギーを殺ぎ停止させるシステムを採用しています。(右枠参照→)
 加えてATCシステムを2信号電流組合せ方式に改良し、在線絶対停止信号には2という有電圧信号を割り付けて合流点分岐など要所で供給し雑音を信号と誤判断することを排除。念には念のシステムにしています。
 現在はデジタルATC化が進んで、アナログATCではコード割当てが既に限界に達していた高速度領域を増やし、列車間隔を安全に詰めて輸送力を増やし、一段制動で乗り心地の改良を図っています。

 信号コードを2重系にするきっかけの一つは、新幹線品川信号事故'74/09/12で、信号電源停電による2信号発生時(=信号電流断:ゼロ)に、信号室に混入した床下の電力トランスの磁気雑音(商用電源高調波)が70km/h信号源に接近した周波数だったことで正規の信号と捉えて変換して線路に送出したため、70km/h現示として受信して車庫から本線に合流する回送車に向け発車し、合流分岐直近である次閉塞区間に入る頃、信号停電が復旧して先行列車による軌道短絡で2となりATC非常制動が掛かって衝突寸前で停止しました。その目の前を次の回送列車が車庫から合流し走り去っていきました。停電の直接の原因は信号室で整備中の誤操作、ノイズ見逃しの原因は、地上設備廻りのノイズ試験の後に階下の電力側に力率改善(原文では「効率改善」。力率の誤り。)進相コンデンサーを設置して共振点ができ11次&13次高調波が強調されたもの(柳田邦男著「新幹線事故」'77/03刊中公新書461p120〜ほか)

 続いて新大阪駅で同年'74/11/12に起きた添線軌道回路からの絶対停止3信号に逆方向から入線した場合に一瞬210km/h現示になった経験をも承けてのもの。210km/h誤信号の原因は、AVR:自動電圧調整装置のダンパーの不具合で応答が振動的になり、その振動周波数約10Hzが210km/h信号だったことで逆方向向けの絶対停止3添線軌道回路50mから拾われ現示異常が発生。
 その負帰還制御の狂いによる振動的応答発生は事前に予想されていて、国鉄本社として負帰還制御方式AVRの使用を禁じていたのに、それは大阪支社には伝わっておらず、大阪での設計時に禁止の方式が採用され懸念通りの故障が発生、一瞬とはいえ思わぬ210km/h誤信号発生となったもの。

 対策として諸規定のマニュアル文書化による徹底が決定されましたが、国鉄分割民営化を経てなお文書登録・アクセスの一元化は実現できておらず、JR西日本領域で独自制定のATS-P車種別制限速度加算コード規定を全く知らずに0設定したことで、曲線制限設定の約73%弱を全JR共通コードのみの設定となり、2005年夏の尼崎事故調の指摘まで約15年間に渉り気付けないという失態を演じました。幸い主に安全側エラーだったことに救われましたが、それでは逆の危険側エラーを規定を知らずに冒している可能性も残りますし、独立の誤設定もありました。規定文書を定め登録するだけではなく、JOB毎に、必ず基本規定を参照して改訂履歴を調べてから作業に掛かるという規定の一元登録・管理は民間量産会社ではマネージメント側の強い指導で貫徹されてどこでも常識なのですが、国鉄JRでの大幅な改善遅れはどうしたことでしょう。こうした基本的なシステム整備の遅れを「重箱の隅をつつく些事」と誤認しているのかも知れませんが、トヨタを真似たカンバン方式合理化を追い掛ける以前の基礎的な管理体制整備です。
   See→新幹線ATC周波数割当一覧:国鉄型ATC-1Aアナログ式)
     →日記#90:曲線速照72.9%も設定ミス

 以上で信号的には衝突は起こらなくなります。この信号現示を元に、運転士の信号見落としや、速度制限無視を許さず停止・減速を強制する安全装置として日本では保安装置、ATS/ATCと呼ぶ装置を設置して、衝突や転覆を抑制・回避しますが、ATCやATS-Pの場合は、停止地上子を設けたり、停止区間を2連続で設けることで先行列車が在線する閉塞の手前で停止するようになっており、衝突安全性には優れています。JR東海がATCをデジタル式のATS-NSに換装した際に、予期せぬ非常停止が頻発しましたが、その原因は時折処理に時間が掛かって設定時間内に終了できず、動作異常とみなして非常制動が掛かっていたもので、当初の想定は外れていましたが無用停止を生じただけで、危険な誤動作ではありませんでした。(See→日記#109:BUG出し不足のATC-NS'06/04/11)
 階層構造としては、信号現示を確実に車上に届けて、限界を超えていれば減速・停止させて衝突や過速度進入を防止する安全装置で、ベースになる信号現示が、先行列車があるのに進行現示では全く意味が無くなります。国鉄JRのATS-Sxには停止信号に最高速度で突入できるという大穴があり、土佐黒潮鉄道宿毛駅突入事故2005/03/02になりました。

 こうしてみますと日本でも結構エラーを繰り返しており、その点では中国の致命的欠陥放置の指弾・糾弾も鈍りかねませんが、日本の場合、古くから蓄積された自動信号技術の優先順位原則は基本的に守っていて、幸運も重なって、先行列車の居る閉塞にフルスピードの進行現示を出す様な信号事故は出さずに済んでいます。(近鉄生駒トンネル正面衝突事故の様な、「故障時の操作ミス」というのはありますが。)

 日本での大規模なシステム不具合経験としては、1985年の埼京線開業時にCTCの情報処理容量が足らず、ポイント切換が間に合わなくなってまともに走れないため、システム改修までの1ヶ月以上の間、人海戦術で埼京線全線に60名余も貼り付けて手動でポイント切替をしてダイヤを守った経験がありますが、中国事故との決定的違いは、在線検知すると直結で閉塞入口の信号が停止現示になる基本中の基本は終始一貫守られていたことです。その上での運行制御を、パソコンCTCで行うのか、人力で行うのかの選択だった訳ですから、処理容量不足で列車が詰まって止まって乗客には甚だ迷惑で、梃子(スイッチレバー)操作に全国から駆り出された職員は堪らない思いだったのはその通りですが、それでも危険な事態には陥らないで済みました。この不具合は開業前の試験運行で掴んでいたのに漫然と放置して営業運転本番に至り動けなくなったことで厳しく非難されました。

 以上のような、衝突防止策が優先的に働く状況で、ポイントを切り替えたり、出発信号、場内信号を進行現示許容にしたり、排他的論理を構成したり、操作時素を設定したりして、インターロックを掛けることにより誤操作を排し、複数の駅を集中制御するCTCを構成。
 そこに様々な情報を列車と直接遣り取りする通信設備を付加して運行システムを構成しているので、指令と運転士間の電話通信というのは故障や支障など例外的事象発生時に臨時的に行われるもので、日常的にはそこが軸になって制御するものではありません。

中国高速鉄道では如何に?    <3>

 中国高速鉄道事故記事に強調される「指令が運転士に信号故障を連絡して止めれば良かった」という主張は、表示板に故障表示が無く、数ある在線表示の一つが突然消えたからといって、即把握されることはなく、ダイヤとの突き合わせが必要とされるなど、なかなか故障とは判断できないので、自動照合警報機能でもセットされてない限り、事故前の対応は極めて困難≒不可能でしょう。

 「先行列車がいるのに進行信号が出る致命的不具合発生条件がある」ことをかなり前に把握していながら放置して重大事故にしたことが決定的な誤りで、即座に全面改修に掛かることが必要で、通知運転など、手動でも安全が確保できる範囲の超間引きダイヤでしか運転してはいけない性格の致命的不具合です。改良完工までの安全な応急措置が取れなければ運行停止にするのがまっとうな考え方です。
 それなのに、致命的な重大欠陥に気づいていながら放置というのは中国高速鉄道の運行があまりにルーズということです。

 前出の東海道新幹線品川信号事故では現実の衝突事故にはならなかったのに、原因調査を優先させ、現場を手動運行に切り替えて毎時1〜2本が通るだけとなり、翌日は再現実験で全面運行停止にして原因究明してから夕刻に運行を再開、装置に対策をしています。また、埼京線開業時の判断の逡巡で対策が遅れたことは中国高速鉄道と紙一重ですが、在線検知と入口の停止信号現示が直結していて誤って進行信号現示の余地のない原則的方式だったことが無線ソフトウエア方式中国高速鉄道との決定的な違いになっています。
 自前の開発だと被害が発生する前でもそのトラブルの重大性に気付いて原因究明に掛かれるのでしょうが、輸入技術コピーではそれが難しい!それは福島第1原発原子炉事故で命懸けの対応を取りながら最適対応とはズレてしまうことがあるのと同根の齟齬でしょう。

 さらに「(閉塞の)軌道回路は在線検知にのみ使用していた」との報道は、在線検知で直にその閉塞入口の信号を停止現示にするのではなく、運行管理のソフトウエアーに拠る様々の処理を経て信号現示をしていたとの意味に取れ、それではフェイルセーフを含む絶対的正確性を求められる信号現示に誤動作の入り込む余地が大変大きくなり、動作層毎に分離した動作点検を大変困難にして、システム欠陥による誤動作事故発生の確率を非常に高めます。

 シンドラーエレベータ事故に際して、安全性が特に求められる機器の制御に、並列的にI/Oポートを並べた家電型制御は避けるべきだと書きましたが、鉄道の場合にはもっと厳密・原則的に、ベースとなる安全システムから階層的に構成して、優先内容・優先順位の錯誤エラーを無くすべきでしょう。
  See→日記#121:エレベータまで家電型設計か!
 私の手許にCPU制御方式で異常動作するミニコンポと地デジHDRがありますが、操作性設計では定評のあって、たとえばFM放送を聞きたい場合、いきなりFMボタンを押すと電源が入ってFM受信部が即動作するというAIWA製コンポが経年で誤動作を起こしていて、操作キー割付がほとんど狂ってしまいPLLチューナーの周波数設定やラジカセの制御ができず、時折勝手にスイッチが入ったり切れたり、CDトレーが勝手に出入りする様になりました。受信局設定ボタンを押すとCDトレーが飛び出してくるとか、笑えてしまいますが、それでも今はまだ動作するAFアンプ部+HiFiスピーカを使って、音の悪い地デジTVの音声専用に流用しています。古い地デジHDRは電源オフなのに時折DVDトレーが勝手に飛び出し、また勝手に引っ込んで、HDRからDVDへのコピー不能とか、実に訳の分からない誤動作をするわけで、誰もいない夜中に電源オフの機器が勝手にガラガラ動くのはかなり不気味なものがありますが、制御CPUのI/Oに並列的に制御対象を並べたら、故障すればどんなに突拍子もなく脈絡のない動作をするかは予想も付きません。使い捨ての家電器具だからこそためらいなく採れる方式であり、信頼性を要求される用途では是非是非回避したい方法です。

 こういう故障を避けるには制御を階層毎に完結させて、自己点検で動作に矛盾が起これば故障表示して停止させ、保守・点検を容易にしておくことですが、1個のCPUで全階層を処理するI/O並列配置方式では、絶対優先条項、優先順位を守れる保障はなく、超重要部はハードロジックに拠るなど独立させ間違えようのない慎重な構造を従前の日本では取ってきました。

 今、無線通信による閉塞・信号システムの開発実験が津波被害の仙石線で引き続き行われていて、全ソフト制御方式として同種の不安を持たれながら開発している訳ですが、いくらコストダウンが期待されるからといって、採用にはためらいがあって当然だと思います。ソフトとしてはきちんと動作階層を分けていたとしても、他者からは確認点検が難しいわけで、ソフトレベルで点検できる人が少ないでしょう。VVVFコントローラならその制御ソフトに不具合があっても故障で走らないだけで済みますが、信号では中国高速鉄道和諧号惨事の前例ができてしまった訳で、開発者・開発部門は是非とも実用化したく思うのは当然ですが、乗客としては閑散線区での実用実験に留めて、自分の住む大量輸送の大都市近郊には採用して欲しくない構造ではあります。(線路1本を1編成しかない列車が往復するだけなら衝突防止の信号・保安装置は無用です。閑散線区程その状態に近付きます。)

 中国方式が在線検知以降は総てソフトによるというのは、ハードは単純化できても、点検とフェイルセーフ性確保に不安や問題があり、故障とバグが怖ろしくてなかなか採用しがたい構成だと思います。

続報:ダイヤ混乱続く中国高速鉄道
「手動で信号を動かしている」    <4>

 8/3の新聞に事故のあった中国高速鉄道で連日ダイヤが混乱して3時間以上の遅れが出ているとあり、「温州南駅の関係者は「信号設備の交換が必要と聞いており、今は手動で信号を動かしている」と証言した。」と報じています(2011/08/03読売13S第2面)。
 問題のある駅間で連絡を取り合い、列車がいないことを確認してから出発信号を手動で進行許容にして発車させているということのようで、本来ならば、在線なのに進行信号が出る現象を把握した時点から実施されているべき応急的運転方法で、直ちに信号改修に取りかかるべき重大欠陥でした。そうしていれば「故障」「不具合」に留まり、「事故」「大惨事」にはなっていませんでした。急遽拡大した事業で、緊急報告事項、緊急対処事項と認識できる職員が居なかったと云うことでしょうか?この点、オール国鉄選抜で出発できた東海道新幹線は、経験深い職員たちの努力で数々の幸運(See→日記#184囲み)まで招き寄せたのでしょうか?(11/8/6追記)

2011/08/04 23:55
[Page Top↑] 旧
 新
 雑談
Geo雑談 		戻る