湘南モノレール衝突事故〜制御ソフトウエア設計の重要性〜

「安全と健康」誌、2010年8月1日発行

プロフィール

  • 教授 平尾 裕司 (ひらお ゆうじ)

1973年函館工業高等専門学校電気工学科卒業。財団法人鉄道総合技術研究所信号通信技術研究部部長を経て、2007年長岡技術科学大学システム安全系教授。機能安全に関する研究に従事。博士(工学)東京大学。

湘南モノレール衝突事故〜制御ソフトウエア設計の重要性〜

  • ブレーキ力不足で駅所定位置に停止せず分岐器に衝突

2008年2月24日の朝9時54分ごろ、湘南モノレール江の島線西鎌倉駅に進入した下り列車がブレーキ力不足となり、所定の駅停止位置に停止できずにその先の分岐器に衝突した。西鎌倉駅ですれ違う予定であった上りの列車は、下り列車が同駅に停止できずに走行してくるのを発見したため、非常ブレーキをかけて下り列車の19m手前で停止した。双方の列車の乗客および乗務員(計42人)には死傷者はなかったが、下り列車の車両および分岐器等の施設が損傷した。
この事故が発生したのは、列車のモーターを駆動制御するVVVF(可変電圧可変周波数)インバータが、高周波電磁雑音(ノイズ)の影響で加速継続状態となったためであり、その直接の原因はノイズである。しかし、VVVFインバータ制御用のマイクロコンピュータのソフトウエアの構造が適切ではなかったことが、ノイズによって減速制御不能な状態に至った根本理由であり、ソフトウエアの安全設計の重要性を再確認する必要がある。
VVVFインバータ制御用のマイクロコンピュータには、正常な動作をしているかを診断するウオッチドッグタイマ(決められたタイミングでマイクロコンピュータから出力があるかをチェックし、異常な場所には主回路電流遮断指令を出力)も設けられていた。しかし、2つあるVVVFインバータのうち1つにおいて、ノイズによってマイクロコンピュータが割込禁止状態になり、その結果、ウオッチドッグタイマには信号を出力するものの、加速減速制御処理をスキップし続けることになった。これより、ブレーキ操作という運転士の新たな運転操作を認識せず直前の加速継続状態を維持し、衝突事故に至った。

  • 制御用ソフトウエアの安全設計の重要性

安全に関する装置・システムのソフトウエアには、装置・システムの機能を実現することだけでなく、ハードウエアは故障することや人間はミスをすることを前提とし、そのようなことが生じた場合においても安全を確保するための考慮が必要とされる。コンピュータ制御システムにおいては、制御回路上の故障やその他異常をどこまで対象とし対策を実現するかの検討が重要である。今回の湘南モノレールの衝突事故は、割込処理というタイミングを含む複雑な条件下での故障・異常によって生じたものであり、安全に関係する装置・システムのソフトウエアの適切さの重要性を再確認する機会となったといえよう。
このようなコンピユータ制御の安全確保のための要件(機能安全)については、ソフトウエアの開発時のドキュメント管理を含め、国際規格として定められている。
工場現場にもコンピュータ制御の装置・システムが多く導入されるようになっており、機械安全や労働安全の分野においても、今後、ソフトウエアの安全設計の重要性が増すことになろう。

事故現場の見取り図