木走日記

場末の時事評論

全車両停止という最低限のフェールセーフ(Fail Safe)に失敗した中国高速鉄道

 24日付け朝日新聞記事から。

脱線、運行システムトラブルか 日本技術は車両のみ

 中国の高速鉄道事故。何が起きたのか。

 日本の新幹線の技術に詳しいJR関係者によると、中国の高速鉄道で日本の技術が採用されているのは車両だけで、信号などの運行システムは中国独自のものが使われているという。

 この関係者は「パンタグラフの損傷など車両自体の問題でなければ、運行システムの不具合の可能性がある。衝突であったとすれば、車両ではなく運行システム上のトラブルとしか考えられない」と指摘する。

 日本の新幹線の場合、輸送指令室による制御に加え、車両同士が一定の距離以上に近づかないために幾重もの対策が講じられている。「他に考えられるとすれば、レールなど構造物の問題もありうる。中国の高速鉄道は日本やドイツなど多くの国の技術の寄せ集め。何が原因か解明するのは容易ではないだろう」と話す。

 国内外の鉄道に詳しい専門家によると、中国の高速鉄道では一つの路線に異なる方式の信号システムが使われている場所があるという。

 この専門家は「列車同士が衝突や追突をしないため、一定の区間にほかの列車を入れないというのが世界共通の鉄道の安全の原則。今回の事故は、信号や制御システムに何らかのトラブルが起きた可能性がある」と指摘。複数のシステムの制御が適切だったかどうかもポイントとみる。

http://www.asahi.com/international/update/0724/TKY201107230752.html?ref=reca

 多数の犠牲者を出してしまった中国の高速鉄道事故でありますが、なぜこのような事故が発生してしまったのか、原因の究明が急がれます。

 当局からの詳しい情報が待たれますが、現在報道されている限られた情報から事故原因を推測してみたいと思います。

 緊急停車していた車両はカナダのボンバルディアの技術をベースにした「CRH1」で南昌鉄道局管轄の車輌、追突した車両は川崎重工業東北新幹線「はやて」をベースにした「CRH2」で上海鉄道局の管轄車輌であります。

 ここに事故の誘引因子のひとつが指摘できます、“国産”とうたう中国新幹線の実態は、日本や欧州、カナダから導入した車両や地上設備、運行管理システムの寄せ集めで、系統だった運用の可否がまさに懸念されていたわけです。

 停車していた「CRH1」と衝突した「CRH2」が別の鉄道管理局管轄下であったことに起因する、運行管理上の情報伝達の不備の可能性が指摘できます。

 まず、落雷による停電等で南昌鉄道局管轄の車輌が緊急停止しました、この「CRH1」緊急停止情報がなぜ「CRH2」に伝わらなかったのか、いくつかの原因が想定可能だと思われます。

 1)そもそも停止情報が南昌鉄道局の運行管理システムに伝達されていたか
 2)伝達されていたとして、南昌鉄道局の管轄車輌に緊急停止信号(ATC(自動列車制御装置)の作動を促す)が送られていたか
 3)1)2)が成立していたとして南昌鉄道局の運行管理システムから上海鉄道局など他の管区に情報が伝達していたか
 4)1)2)3)が成立していたとして上海鉄道局の運行管理局から管轄車輌に緊急停止信号(ATC(自動列車制御装置)の作動を促す)が送られていたか

 結果的には衝突事故が起こっていますので、追突した「CRH2」のブレーキなどの車輌故障の可能性は否定できませんがゼロに近いでしょう、おそらくは停止情報そのものが「CRH2」には伝達されていなかったと考えるのが無理がないと思われます。

 だとすれば、各地域鉄道局どうしのシステム連係に重大な問題が発生した可能性があります。 

 もうひとつ、別の鉄道関係者からは列車運行の管理面で特別な問題があったのではないかとの指摘が出ています。

 時刻表によると、停止していた杭州発福州行き列車より、追突した北京発福州行き列車の方が先に現場付近を通過しているはずで、実際の運行時間が変更になったことが事故に関係している可能性もあるという指摘です。

 衝突時に、時刻表上では2つの問題が発生していたということです、衝突前から北京発福州行き列車の運行時間にすでに遅れが生じていたこと、その後で杭州発福州行き列車が落雷で停止したことです。

 今回のような一つの線を複数の管轄で運用していてなおかつ時刻表の乱れが発生した場合、運行管理システムは複数の管轄システム上で安全かつ矛盾のないダイヤ変更をしなければなりませんが、これは実に複雑なアルゴリズムとなります。

 首都圏や関西圏で私鉄や地下鉄との相互乗り入れを通勤時などで利用している読者も多いと思います、よく人身事故等で私鉄のダイヤの乱れが生じるとそれが相互乗り入れしている地下鉄などにすぐに伝播、複数の路線のダイヤが乱れることを経験された読者も多いことでしょう。

 日本の場合運行システムは十分に機能しており、相互乗り入れしている路線でも各社の情報共有はしっかりしていますので、人身事故等の発生時に停止情報は各システムに共有されています。

 今年の一月に新幹線のシステムがダウンして話題となりましたが、1時間15分の全面運休を招いています。

新幹線運休は明らかな人為ミス〜発生トランザクションの増加は十分に予見できた
http://d.hatena.ne.jp/kibashiri/20110120

 日本の誇る新幹線の運行管理システムでも大量のダイヤ変更において運用上の不具合が生じたわけですが、少なくとも日本では、事故が発生する前に全車両停止という安全策は守られています、不具合が最悪人命にも関わる場合も想定される交通システムの運用では、リスクをヘッジするには、フェールセーフ(Fail Safe)つまり失敗しても安全であるということと、フォールトトレランス(Fault Tolerance)つまり欠陥があってもそれを許容するということ、この2点のさじ加減が重要です。

 鉄道の運行では、リスク発生時にフェールセーフ(Fail Safe)つまり失敗しても安全である最善の策は全車両を停止することです、すなわち動かなければ安全である、ということです。

 この全車両停止を実現するには当然ながらリスク発生の情報を速やかにかかわる全システム、全車両が共有できなければなりません。

 中国では各地の鉄道管理当局の管轄地域が複雑に入り組んでいて、今回のように運行ダイヤに乱れが生じたときに、情報が共有されていなかった可能性は否定できません。

 繰り返しになりますが、“国産”とうたう中国新幹線の実態は、日本や欧州、カナダから導入した車両や地上設備、運行管理システムの寄せ集めで、系統だった運用の可否が懸念されていたわけです。

 中国の高速鉄道建設は急ピッチで進められてきましたが、安全面で対策がおろそかであったことが結果的に裏付けられたのだと思います。

 現状では非常時の全車両停止すら覚束ないことが判明したのです。

 全車両停止という最低限のフェールセーフ(Fail Safe)に失敗したわけです。

 まず中国当局には事故原因の解明とその徹底的な開示が求められます。

 そのうえで特に運行管理システムの徹底的な見直しが必要でしょう。



(木走まさみず)