横浜シーサイドラインが無人運転を再開 27
ストーリー by headless
再開 部門より
再開 部門より
st1100 曰く、
横浜市内を運行する新交通システム シーサイドラインが6日、無人運転を再開した(PDF)。
シーサイドラインは6月1日に始発駅の新杉田駅で逆走事故を起こし、6月4日から運転士が乗務する手動運転を行っていた(PDF)。その後、国土交通省鉄道局が設置した「無人で自動運転を行う鉄軌道の事故防止に関する検討会」で検討を重ね、7月19日の第3回検討会で対応策の有効性が確認された(PDF)。
これまでは、信号線の異常で進行方向の情報が無い場合に、直前の進行方向を継続するソフトウェア設定となっていた。これを改めるには、ソフトウェアの変更のみならず信号線の設計を変えねばならず、システムを入れ替えなきゃならないのではとタレコミ子は思っていたが、信号線の変更とソフトウェアの修正で対策が済んだ様だ。
シーサイドラインは8月31日始発から保安要員が乗車した状態での自動運転を再開しており(PDF)、列車検査がすべて完了したことから端末駅ホーム監視による無人運転に移行したとのことだ。
安全側に倒れてない (スコア:5, 興味深い)
> 信号線の異常で進行方向の情報が無い場合に、直前の進行方向を継続する
これって絶対にやってはいけないことですね・・・。
情報がないなら何も動かないようにすべき。
勝手な判断をして無理に動かすとろくなことにならない。
実際のところ、他の6社では「情報不一致の場合、走行しない」とされていたわけで、
横浜(金沢)シーサイドラインだけ、そういう仕様にあえてしたというのなら
設計者の根本的な安全思想が間違っているということ。
この他の処理系統についても全て見直したほうが良さげに思います。
Re:安全側に倒れてない (スコア:4, 興味深い)
ガス系などは直前の状態を維持するのが良いとされています。
Re:安全側に倒れてない (スコア:2)
今回のは(命に係わる)動作する物なので、その例は無意味。
動作中であれば減速停止、緊急停止の2択、停止中であればロック(手動で解除可能だが微速限定)しか有り得ない。
Re:安全側に倒れてない (スコア:2)
情報がないなら何も動かないようにすべき。
に対するコメント
Re: (スコア:0)
地下(或いはそれに準じたリニア中央新幹線などのチューブ内)の鉄道車両でないならばね。
# 減圧チューブ内で自動停止したハイパーループも怖いねぇ。
Re: Re:安全側に倒れてない (スコア:1)
// 設計時から
Re:安全側に倒れてない (スコア:2)
報告書がごちゃごちゃ書いてあるので判りにくいですが、問題のポイントは各車両にあるVVVF装置が進行方向を指示するF線・R線の情報を憶えてて、加速指令はそれらの情報とは別系でVVVF装置に加わるということです。今回はF線が断線して、進行方向が切り替わらないまま加速指令を受けたVVVF装置が終着駅で加速して結果として逆走が発生したわけです。VVVF装置が勝手に判断したのではなくて、直前の指示に忠実に従ったから逆走したのです。なお、「VVVF装置が進行方向の情報を憶える」という点について他の新交通システムがどういう実装になってるのかはリンク先の報告書ではわかりません。
それで対策としては、もとの設計思想からすると、VVVF装置が進行方向をどちらと認識しているかと、運転指令を突き合わせて加速指令を出してよいか判断すべきですが、VVVF装置から情報を送る改修が大変なためか、VVVF装置に進行方向を憶えさせるのはやめて常に進行方向を指示するようにして、その進行方向の指示と運転指令を突き合わせるように改めているようです。
もとの設計のミスは、情報伝達の信頼性を考慮せず下位の装置が常に指示通りに動くという前提で考えられていたことです。この点、伝送路がちっともtrustedじゃなくて、パケットロスやデータ化け、順序の入れ替わりなどの発生を普通に受け止めてるネットワーク屋さんのセンスがあれば事故は防げたかもしれませんね。
そしてもしあえて下位装置からのフィードバックなしでシステムを組むならば、「方向」と「加速」の指示を別々にすべきではなく、「上り加速」「下り加速」という指示の仕方に改めるのも手でしょう。この場合断線で情報が伝わらなければ列車は動きませんので。
Re:安全側に倒れてない (スコア:1)
他社のVVVF装置はすべて、力行指令が来た時点でF線・R線のどちらかが加圧されていないと、
力行指令自体を無視する設計だったそうです。
つまりシーサイドラインのものだけ設計ミスです。
最後の情報を覚えておく設計はありえません。
F線・R線は、その時の方向設定を常時加圧しておく設計なので、
どちらの線も加圧されていないのに力行指令が来るのはおかしいのです。
なお断線した時期が具体的に特定されたのは、F線・R線の状態のログが残っていて、
両方の線が無加圧に変化した時間がわかったからです。
最近の新しい電車だと制御伝送といって、ネットワークを列車に張り巡らせて、
運転台の装置から制御器に電文を送って制御する仕組みになっていますが、
シーサイドラインの車両を含め古い車両は、車内放送の音声のような
アナログ波形をそのまま伝送するもの以外は、1ビットの情報に1本の線を割り当てて、
そこに電圧が印加されているかいないかだけで情報伝送しています。
また加速の指示も、加速の程度を与える必要があって、普通は3ビットか4ビット
割り当てています。
「上り加速」「下り加速」という指示にしようとするとその倍になってしまいますから、
やはり順当には方向指示2ビット、加速指示3/4ビットでしょう。
常時方向指示を見る設計にすれば今回の問題は起きません。
なお過去に、指令線に鉄粉が突き刺さって電源線と指令線を短絡してしまい、
フル加速指示とドア開制御が同時に働いて、ドアが開いたまま全力で走ってしまった、
という事故が国鉄でありました。
ブレーキも効かずに結局パンタグラフを下げて無理やり止めたとか。
Re: (スコア:0)
難しい言い回ししてるけど、要するに方向切替指示がエッジトリガ(横浜シーサイドライン)かレベルトリガ(他社)かって話でしょ?
未定義状態での動作がフェイルセーフでは無かったにせよ、ありえない設計とまでは言えないかと。
常時方向指示を見る設計にしたところで、貴方が挙げたような方向支持線の短絡・断線が起これば想定方向と逆走することはありえますからね。
Re: (スコア:0)
今どきのネットワーク屋さんもTCPに慣れ親しみすぎているせいか、「正しく届いて当たり前」な人たちがほとんどなので、
「ネットワークを扱う組み込み屋さんのセンス」か、「ありとあらゆることを疑ってかかるセキュリティソフト屋さんのセンス」でしょうね。
Re: (スコア:0)
通信部分はライブラリ/OSに任せれば、アプリ開発者は余計なこと考えなくていい
ってのが最大の進化でしょう
Re: (スコア:0)
通信がパケットだったら、その仕様はわからなくもない
仮にパケロス50%とかで、その時に止まると、ガクガクしちゃうでしょ
Re: (スコア:0)
飛行機で安全側に倒すなら、飛行中に異常を検知したらエンジンシャットダウンして停止すればいいのかな?
Re:安全側に倒れてない (スコア:1)
報告書を読んだ (スコア:4, 興味深い)
「各社における逆走を防止するシステム等の状況(まとめ)」によれば、
リストにある他社6社は全て、逆走しないようになっていたようだ。
なんで、シーサイドラインだけ設計が異なっていたんだろう。
Re: (スコア:0)
なんかそうバラバラなのも新交通システムって気はするな。
逆走防止くらいは設計要件に入れるべきだろうけど、共通の品質基準みたいなのもないんじゃないかな。
何はともあれ、十分信頼性は高い方だとは思うね。
Re: (スコア:0)
談合組んで持ち回りで受注するように仕組んだからでしょ
Re: (スコア:0)
確かシーサイドラインの原設計が新交通システムで最古なんじゃなかったっけ?
だから長年バグ潰し前の旧仕様踏襲部分があったのかもしれないしだから最後の閉塞の後に常に進入禁止の区間が設定されてなかったりしたのかも
まぎらわしい (スコア:0)
横浜シーサイドラインなのか、金沢シーサイドラインなのかはっきりしていただきたい
Re: (スコア:0)
会社名が横浜シーサイドラインで、路線名が金沢シーサイドラインなんだけど、
この路線がこの会社の唯一の路線だから事実上ひとつの路線を会社名と炉線名が指しちゃうんだよなあ。
横浜シーサイドラインつーくらいだから、横浜の海岸にもっと路線ひいて鶴見シーサイドラインとか
神奈川シーサイドラインとか横浜港シーサイドラインとか本牧シーサイドラインとか
名づけちゃえば、横浜シーサイドラインは路線名じゃなく会社名だって認識になるんだよな。
がんばれ。
Re: (スコア:0)
あぁ金沢って金沢文庫の方の金沢か。
石川県の金沢にもシーサイドラインがあってそっちと紛らわしいからと思ったら違うのね。
自動車の自動運転の困難さ (スコア:0)
走行路が決まっている電車ですらこれなのに、自動車の自動運転って可能なのかね。
技術的にではなく、人間の心情的に。
自動運転車が壁に激突する事故起こしたら、同型機は原因解明までの数か月 自動運転禁止になるのかね。
Re: (スコア:0)
えっ?、日産は自動運転の責任取ってくれるから手放し運転推奨CMをしつこく流してるのかと
Re: (スコア:0)
これは心情とかじゃなくてフレーム問題の一例
Re: (スコア:0)
一方、京急の神奈川新町で発生した踏切事故では、事故を起こしたトラックは警報機が鳴る前に踏切内に侵入していて、障害物検知装置による特殊信号発光機の点灯が確認されているため、運転士の信号見落としか、信号取り付け位置がそもそも間に合わない位置にあったという可能性が示唆されている段階ですが、復旧と同時に運転再開しましたね。
一応、実運用上では45km/hに制限 [youtube.com]しているようですが、オフィシャルではなんのアナウンスもない。
人が運転していれば許されるということでもないだろうに、という考え方は少数派なんでしょうね。
Re: (スコア:0)
人が乗ってると責任を負わせられるからね。
自動運転も事故るたびにメーカーと行政から一人ずつ引責辞任を出せば意外と心情的に受け入れられたりして
#そして辞任するための雇用が発生するっていうSFがあった