鉄道を斬るNo.37
令和1年7月28日
横浜シーサイドライン暴走事故の背景
― 無人ATO運転で求められるものは何か ―
永瀬 和彦
列車の無人自動運転計画に冷水
令和1年6月1日に横浜シーサイドラインで事故が起きたとき、原因は制御系配線の混触だと思った。このトラブルの原因究明はさほど難しくはないので、早晩、騒ぎは収まると思っていた。ところが、原因究明に時間を要したのに加え、事故が無人自動運転の列車で起きたこともあって、その是非をも問われる事態となり、自動運転を計画し又は研究している鉄道は冷水を浴びたが如き問題に発展してしまった。
伝えられる報道などから類推すると、原因は無人の自動運転という従来とは全く異なるシステムを構築するに際し、「無人の列車自動運転が従前列車の運転と本質的に異なる点はどこか。」という基本的問題について充分な配慮がなされていないに留まらず、鉄道車両の重要な伝送系で本来は備えるべきフェールセーフ性ですらも、充足していないと思わざるを得なかった。以下には限られた情報を基に、誤りがあることもお含みの上で、事故の背景にある本質的な問題を論じて見よう。
編成列車の制御情報授受に関わる問題点
列車に分散して搭載されている主電動機MMの制御装置、機関、変速機、ブレーキ、ATS/ATC及び戸締装置などの主要機器類は、周辺機器との間で制御に関わる重要な情報の授受を繁く行なっており、この情報授受にはフェールセーフ性が確保されることが絶対的な条件である。長い編成の列車が登場して以来、一世紀以上にわたって広く使われてきた自動空気ブレーキ装置は、ブレーキ指令伝達のため列車に引き通されたブレーキ菅が破損した場合には非常ブレーキが作動し、側扉の開閉を司る戸締装置は制御用電線の断線や停電などのトラブルが起きると扉を自動的に閉じる仕組になっている。他方、電車の主制御器やディーゼル車両の機関では、運転台から出力される制御指令が途切れた場合、電車では遮断器が開放されて無動力状態となり、ディーゼル車両は機関が停止する仕組となっている。つまり、重要な機器類へ出力される制御指令が、停電や電線類の断線により途切れた場合には、列車を安全サイドに導く制御が行なわれ、間違っても列車の暴走、ブレーキの失効及びドア開扉などの危険方向への制御は行なわれない仕組とするのが、鉄道車両を設計する際の基本哲学である。ところが、今回の事故では、主電動機を制御するための制御用電線の断線によって列車は暴走し、これを防ぐためのATCが持つ「後退検知」でさえも機能しなかった。この事実は、車両の主要なシステムの設計に重大なミスがあったことを意味する。鉄道事業者、車両製造会社及び重電メーカーは勿論のこと、監督官庁までを含めて事態を深刻に捉える必要があると思う。
主因はフェールセーフ性の欠如
今までの調査で、事故が起きる前のスジで列車が金沢八景(1進)方向に進行中に、ATO車上装置からMMの制御を司る制御装置VVVFに対し逆転制御指令を出力する配線(通常の鉄道車両では4又は5線と呼ぶ)が断線したのにも関わらず、列車は運転を継続したことが明らかとなった(6月15日付各紙報道)。
これが事実とすれば、事故の原因は明快である。V装置への逆転指令が途切れた場合、指令系がフェールセーフ設計となっていれば、列車はその場で立往生する。ところが、そのような事態にはならずに運転を継続した。だから、断線が起きた後も、V装置内部にメモリされていた情報に従って、運転した可能性が極めて高い。事故の引き金は逆転指令線の断線であるが、V装置が指令情報をメモリする異常な仕組を構築していなければ、列車は断線が起きた時点で従前の電車と同様に停車したのだから、事故の主たる原因はフェールセーフ性を欠いた仕組にある。筆者がこのように断じたのは、平成27年4月に青函トンネル内を走行中のJR北の789系編成からなる白鳥号のMMが発煙し、乗客全員がトンネル中央部付近にある竜飛定点から地上に脱出する深刻なトラブル(拙著、鉄道ジャーナル,2015年9月号)を連想したからである。このトラブルの原因も運転台からV装置への逆転指令が一時途切れたのに、V装置は途切れる前にメモリした逆転指令情報を用いてMMの制御を行ったことにあるとされた。つまり、原因は今回の事故と極めて酷似していたのである。
無人ATO運転での本質的な問題は何か
有人運転の特徴の一つは、運転士が長年の経験を基に頭の中に描いた運転曲線に準じたモデルに沿ってノッチを刻み、結果として現われる運転状況を目視及び体感などで捉え、これを運転操縦にフィードバックさせることにある。無人のATO運転でも走行条件に応じ多様に異なる走行パターンを車上に発生させ、これに追従して走るという点について見れば、両者に相違はない。とは言うものの、筆者が無人ATO運転の列車に乗車して受けた諸々の印象の一部を申し述べれば、ATOで使われている運転パターンの中には、省エネ、乗り心地及び機器動作頻度などの観点からみて問題があると思われるものが少なくない。
無人ATOに違和感を持つ原因の一つは、有人運転では運転士は列車周辺の状況に応じ、運転のモデルを臨機応変に変化させ、併せて目視・体感を通じフイードバックされる情報を参考にしながら運転操縦を行なうのに対し、無人運転でかようなにきめ細かい手法をとることが難しいことにあると思う。従って、無人ATO運転を導入するに際しては、運転士が得ている多様なフィードバック情報を細かく分析し、有人運転で運転士が取得している情報となるべく等価の情報をATOに入力させるよう心がける必要がある。
無人ATO運転で特に留意すべき事柄は上述の通りである。ところが、今回の事故はATOとは直接は関係ない逆転制御に関わるものである。従前の直流電車の逆転制御は、逆転器という独立した機器が逆転指令に対し、フィードバックという形で動作する形態となっていた。ところが、V車での逆転制御は、ブラックBox化したV装置内部で処理されようになった。筆者はこれが事故の一因になったと思っている。そこで、従前の電車における逆転器の制御方法を述べて見よう。
電車の逆転制御の特徴
この問題を理解するには、電車の逆転制御の仕組を理解する必要がある。従前の電車は起動するに先立って図1に示す運転台の主幹制御器の逆転ハンドル(レバーサ)を進行方向に転換する。直流MMを装架したELや液体式DLでは、レバーサを転換すれば、各車の逆転器(ディーゼルでは逆転機)はその方向へ直ちに転換し、これが終わらなければ起動できない。ディーゼル動車は全車の転換が完了した旨の表示灯の点灯を確認しなければ、ノッチを投入してはいけない。このようなことを申し上げると、電車だってレバーサを投入しなければ、ノッチは入らないと反論をされる方がおられると思う。確かに、図1に示すMC22形主幹制御器は、構造も取扱も、一見すると他の動力車のそれと同じように見える。ところが、電車の逆転制御の方法は他の車両と全く異なっている。
その事実を具体的に示したものが図2で、図中に示すマスコンは101系が登場するまでの間、戦前から省線電車と国電で長く使われていたMC1A形主幹制御器である。このマスコンにはレバーサがない。電車が後退するときには、図中に示すラッチを手前に倒し、ハンドルを逆回転させる。当時の国鉄電車はこのようなマスコンを使っていた関係もあって、駅でオーバーランしたときの停止位置修正は、「逆ノッチを使って退行する。」という表現を使っていた。つまり、旧型国電時代の関係者に「逆転器の操作」という概念がなかったのである。
このマスコンを使った電車では、ノッチが投入された時点で初めて逆転指令が出力され、逆転器の方向が指令の方向と異なる場合に限って、機械的にロックされている逆転器を空気シリンダで転換させる。つまりは、逆転器の制御は逆転指令情報に対し、フィードバックという形で動作する仕組となっていた。
高性能電車として華々しく登場した101系のマスコンMC22は、図1に示すようにレバーサが付けられた。MC22は逆転ハンドルを操作すると、ノッチを入れなくても逆転指令線は加圧される。しかし、逆転器の転換方向がレバーサの方向と異なっていても、ノッチを入れなければ転換はしない。逆転制御は旧型国電と同じフィードバックの思想が踏襲されたのである。
事故の背景
ところが、V制御の電車が登場すると逆転器は消えうせ、MMの回転方向制御はV装置から出力される主電流の波形に依存するようになった。逆転制御という概念や、4・5線は今までと同様に存続する。しかし、V装置に入力された4・5線の逆転指令が装置内部でどのように処理されて、MMの回転方向を支配する主電流波形がどのように形成されるかは、制御装置のブラックBoxの中に埋没し、従来の逆転制御が持っていたフィードバック機能も喪失してしまった。
このような中で起きたのが、前述の青函トンネル内の白鳥号のMM発煙で、このトラブルではメーカーが逆転制御の仕組をJR側に全く開示していなかったため、原因解明に長い時間を要した。今回の事故でも、折返し駅で逆送するという椿事の解明に長い時間を要した。恐らく、電機メーカーは鉄道側や車両メーカーに対し、北海道と同じように逆転制御の仕組を全く開示していなかったのであろう。誠に遺憾なことである。
以上のことからお分かりのように、この事故はATO固有の事故では決してない。電車の逆転制御と言う中枢について、従来は指令情報はフェールセーフ性が保たれた方法で伝送され、逆転制御はフィードバックによって、信頼性が確保されていた。ところが、より高い安全性が求められるべき無人運転電車の逆転制御については、逢えて厳しい言葉を使って申し上げれば、「フェールセーフ性とフィードバックとを欠く方式に設計変更した。」ということになる。そして、同じような原因で起きた北海道のトラブルは、重大な設計ミスが発覚して驚愕したであろう当事者メーカーの反省材料にはなったが、他のV装置メーカーにその情報は及ばなかったのであろう。となれば、鉄道の安全指導や事故調査を担う公的機関の立場にも影響が及びかねない。
逆転指令情報が途切れる可能性はあるか
事故の主因とされている4・5線情報をV装置内部にメモリした理由の一つは、この情報が一時的に途絶した場合に備えての対策と推定される。それでは、運転中に4・5線加圧が本当に途絶する可能性はあるのだろうか。今や重文的存在になった旧系列電車では、逆転指令情報が出力されるのは力行中に限られていた。しかし、現代の電車でこれが途切れるのは、レバーサが中立位置に置かれた時に限られることは前述した。運転中に運転士がこのような操作を行なう可能性はほとんどないし、ワンハンドルのマスコンは運転中にレバーサを動かすことが出来ない構造になっているものが多い。レバーサを動かすのは、乗継や入庫も含めて運転席を立つ際、待避などで長時間停車する際、停止位置修正などのため退行する際、そして、可能性は少ないがスイッチバック駅で推進状態で退行するときであろう。そして、この操作は全て停車中に行われるから、走行中に逆転指令が途切れることはない。
逆転指令情報をメモリした理由は何か
現代の電車は、運転中に4・5線が途切れる事態は起こり得ないのに、何故、かような事態を想定して逆転指令情報をメモリする危険な設計を行ったのであろうか。事故再発防止のためには、このようなミスを犯した背景までを含めた情報が本来は明らかにされるべきと思う。しかし、V装置自体がブラックBox化した現在、メーカー側からかような情報が開示される可能性はないと思う。そこで、僭越ではあるが、筆者の浅知恵で原因を考えて見よう。
V装置内部で行なわれる制御で最も緻密とされるものの一つである空転・滑走抑止は、車輪の大空転や固着を防ぐために、滑りが起きた車輪の加減速度、対地速度などの情報を短い頻度でサンプリングし、この時のV装置のCPUは高い稼働状態となっている。CPUが多忙を極める最中に、優先順位の高い逆転指令が入力されると、この処理を割り込ませ、実行中の演算を後回しにしなければならない。ところが、このような措置は困難なので、止むを得ず逆転指令を一旦はメモリする方式を採ったのではないか・・・・・。
別の見方として、逆転指令プログラムの実行に際しては、動作情報の取得に比較的長い時間を要するレバーサ位置やリレーなどのメカ類のサンプリングに合わせて、他の情報のサンプリングを長めに設定すると、その間に一部の情報が変化する可能性がある。そのような事態に対応するためにメモリを導入したのではないだろうか・・・・・。このような推論もあり得ると思う。
V装置の制御情報は高度なものか
深いベールに包まれたV装置内部で行なわれる制御は、本当に高度なノウハウを持つのであろうか。V車のMMで空転や滑走が発生した場合、大よその対地速度を把握し、その速度に応じた主電流波形をMMに出力すれば、空転や滑走を抑止して車輪は再粘着する方向に働き、大空転や車輪が固着する事態は起きない。だから、V車の空転・滑走制御は、純空気ブレーキのみが作動するT車車輪の滑走制御やディーデル動車の空転制御に比べ、極めてシンプルである。
筆者は空転・滑走時の粘着係数μの挙動について長く研究に携わってきた関係で、空転・滑走時にこれを抑止するためにV装置から出力される主回路波形の多様な挙動を具に眺めてきた。その感想を申し上げれば、V装置が行っている抑止制御は、DCや昔にSLで行われた空転抑止のための高度な操縦技量には遠く及ばない。
従って、ブラックBox化して鉄道に開示されないV装置内部にある制御に関わる情報は、鉄道の長い歴史を通じ現場に蓄積されている知見に比べ、高度であると筆者は思っていない。むしろ、制御内部の基本的な情報を鉄道側に積極的に開示し、現場を知悉した鉄道の技術者や技能者らが持っている情報を得た方が鉄道技術の進歩のためにも有用と思う。
最後の砦・ATCの落城
事故が起きたとき、鉄道会社首脳は「後退するとは全く予想しなかった。」と述べた。沿線には40‰程度の勾配があり、このような勾配で起動する際に後退防止の役割を担う「後退検知機能」を、ATCが装備していないのを不可思議に思った。だが、後に国が公表した鉄道会社作成の資料には、逆転指令情報を伝送する線の断線により、これが機能しなかったと読める図が掲載されている。ATCは信号冒進や暴走などの不測の事態が起きた時の最後の砦的な役割を担っている。このため、ATCに入力される諸情報は、他の制御情報とは全く別系とした上でフェールセーフを確保するのが原則で、例えば、速度情報をATCへ伝送する電線の断線対策は勿論のこと、速度発電機駆動装置の破損対策も施すのが通例である。最後の砦があっけなく落城した原因は、ATCへ入力される進行方向識別情報ですらも、フェールセーフとなっていなかったことにあると思う。
終りに
これから、その必要性が一層高まるであろう無人ATO運転には、改良すべき問題が少なくないことが、今回の事故で明らかになった。ところが、仄聞する事故対策は対症的療法に留まるものが多い。この事故を契機に、関係する方々は前述したような自動運転列車の制御系があるべき姿などの本質的な問題を深堀して、将来に備えて頂きたいと思う。
以上