事故調査報告書

Last updated on 12/22/2019, 4:51:48 PM, originally posted on 12/22/2019, 4:41:56 PM by nikorisoft

このエントリは、圧倒的令和ッ!!ぴょこりんクラスタ Advent Calendar 2019のために書かれたものです。

航空事故、鉄道事故などなど公共交通にかかわる事故は、その被害の大きさ、社会的影響の大きさ、そしてその再発防止の必要性から、民事・刑事の司法とは別に、公的機関による調査の対象となります。執筆時の日本においては、国土交通省の外局の運輸安全委員会 (JTSB)、アメリカにおいては、連邦政府の独立機関であるNational Transportation Safety Boardがその任を担っています。

今回の記事は、これらの機関により発行された鉄道事故の調査報告書を紹介してみるというものです。事故調査報告書は、当然ながらその交通機関の(特に安全にかかわる)内部の情報が公開されるということもあり、(不謹慎といわれるかもしれませんが)多少なり好奇心を誘うものではあります。しかし、より重要なのは、それが機械であるにせよ人力であるにせよ、安全を保つためのシステムに対して、どのような問題が発生してその目的に反する結果となってしまったのか、というところです。これは、どんなシステムであってもそれに関わる立場であれば、分野にかかわらず見るべきところがあり、発見があるものと思います。失敗学という学問があるように、そういう点でも興味深いものであると信じます。

ですので、下記の二つの例では、人的ミスに因るところが多いのですが、それを防ぐはずのシステムの穴をいかに実際につかれてしまったかというところが興味深いところであると思います。

JR九州・肥前竜王駅の重大インシデント (2015/05/22)

事故調査報告書によると、この鉄道重大インシデントは、「『列車が停止信号を冒進し、当該列車が本線における他の列車または車両の進路を支障した事態』に準ずる事態」とされています。幸いにして人的被害はありませんでしたが、正面衝突事故につながりかねない事故であったと思われます。

下記は、報告書の認定した内容によるものです。

経過

2015/05/22に、2019M列車(特急かもめ19号, 博多発長崎行)は、長崎本線(単線区間)の肥前白石~肥前竜王間を走行中に、異音を感知したため緊急停車した。運転士は輸送指令員に状況を報告した。

指令員は、2020M列車(特急かもめ20号, 長崎発博多行)と2019M列車の行き違い駅を、一つ長崎よりの肥前鹿島駅から肥前竜王駅に変更することにし、両列車に通告した。これにより、2020Mが1番線に入る進路が構成され、2019M列車は場内信号の位置で停止するはずであった。(2020M列車が1番線に入ったのち、2番線に入って行き違いをする計画であった)

2019M列車は、車両点検などのあと、指令員の指示により運転再開したところ、肥前竜王駅の本来の進路とは異なる1番線に進入したため、列車を停止させた。

2020M列車は、指令員の指示に従って、肥前鹿島から肥前竜王駅まで運転し、肥前竜王駅の1番線の所定位置に停車したところ、進行方向である前方に2019M列車が停車していることに気づいた。

問題

報告書 p.16 図2より
報告書 p.16 図2より

引用したように、調査報告書のp.16の図2を参照するとわかりますが、2019M列車と2020M列車が同じ線路に進入しており、厳密にはまだ同じ閉塞には入っていないのですが、いずれにしても鉄道の制御としてはあってはならない状態になっていることがわかります。

原因

人間側では2019Mの運転士と指令員、機械側では軌道回路とATS(自動列車停止装置)の認識している(あるいは動作する範囲)列車の位置がずれていたことが、最も大きな原因です。すなわち、2019M列車が最初に停車した位置が微妙すぎたということにあります。つまり、境界条件のやっかいな問題だったということにあります。

報告書 p.54 付図6より
報告書 p.54 付図6より

最初に異音感知により停車した位置は、引用した報告書p.54 付図6で詳細に説明されています。問題は、この列車が、この時点ですでに肥前竜王駅構内に入っていたか(場内信号の内方(信号が保護している区間)にあったかどうか)ということになります。

運転士は、車両の先頭が場内信号より先にいることから、すでに駅構内に入っていた、と認識していました(3.6.1)。

他方、指令員は、運転士による受けた報告が運転モニタのキロ程によるものだけだった(そこまで正確な値ではなかった)こと、指令所の軌道回路の表示に従って判断していたことから、まだ構内に入っていないと認識していました(3.6.2)。

軌道回路からは、付図6で推定されている車輪の位置からわかるように、構内の軌道回路(11イT)には届いていませんでしたので、構内に入っていない状態と認識されていました。従って、信号としては、2019Mは最初の停止の時点では場内信号の外方にあると認識されていました。そのため、指令員による行き違い駅の変更に伴う進路変更が可能な状態だったことになります(3.1.1)。

肝心のATSですが、進路変更によって、2019M側の場内信号が停止現示となったため、本来は2019Mが駅構内に入った時点で、停止信号を冒進したことになり、ATSが作動し列車を強制的に停止させなければなりませんでした。しかし、やはり付図6にある通り、ATSの車上子(列車側装置)が地上子(線路側装置)をすでに通り過ぎていたので、駅構内に入っていると認識されている、といいますか、まだ構内に入っていない場合に期待される動作はできない状態になっていました (3.5.3)。

この状況の認識の違いによって、2019Mに対する指示である「信号に従って運転再開」が、

  • 指令員の意図は、次の信号である場内信号(停止現示)で停止させる (3.6.2)
  • 運転士の受け取りとしては、すでに場内信号は過ぎているので、その次の信号(2番線の出発信号)まで進む (3.6.1)

という食い違いにつながったということになります。ATSは、地上子の位置により、本来停止しなければならなかった2019Mを自動的に停止させることができませんでした。

幸いにして、運転再開直後であったため、目視で異常を発見し、手動でのブレーキで2019Mがすぐに停止できたことで事故に発展することはありませんでした。

いろいろ

正常性バイアスというのでしょうか、自分の認識と異なることがあったとしても、それを無視してしまうということがあります。運転士も指令員も、詳細な位置を伝えあるいは尋ねて確認することを怠ってしまったのも、そこに起因するところがあるでしょう。報告書では特に書かれていませんし、実際に聞こえていなかったのかもしれませんが、指令員の場内信号を復位する(停止現示とする)というのに対して復唱しなかったのも、これに起因する可能性はありそうに思えます。

また、次の事故の報告書にもありますが、人がシステムを信頼している場合、システムの異常動作を見逃してしまいがちであるということがあります。この例では、2020M列車のほうも、自列車の進路上に2019Mが入ってきてしまっているのに、駅の停止位置に止まるまで気づかなかったのか、という疑問が当然あると思います。報告書では、「1番線走行中は、車両前方よりも駅ホーム上に集中し、1番線の所定停止位置に停止するまで20M列車と同一線路上の停止位置2に停止している本件列車を認めることはできなかった可能性があると考えられる」(3.3)というように、信号システムを当然ながら信頼していたことが、前方でなく停車位置のほうに集中してしまった背景の一つにあると考えられると思います。

対策

報告書での述べられている再発防止策は、まずは当然ながら、停止位置の報告および指示について両社の齟齬がないように確認すること(5.1 (1)-(4))ですが、もともとそのいった手順があり遵守されていなかったという背景からも、その「背景や理由を十分に教育する」(5.1 (5))が掲げられています。

他方、実際の対策を含めてみても、ハード側での対策は特になさそうです。そんなものなんでしょうかね。

ワシントンメトロにおける追突事故 (2009/06)

アメリカのワシントン首都圏交通局(WMATA, Washington Metropolitan Area Transit Authority)のMetrorail Red Lineで発生した列車追突事故です。RAR-10-02が報告書です。

事故の概要 (pp.1-4より)

2009年6月22日、WMATA Metrorail Red Lineの214列車は、手動運転でTakoma駅を発車しFort Totten駅へ向かっていた。当時、Red Lineは、別の車両の機器故障の影響で、列車間隔が狭くなっており、214列車はその前を走る110列車に近づいて徐行することがたびたび起きていた。

Takoma - Fort Totten駅間で、214列車は速度信号を失ったため(=停止信号)停止した。214列車の運転士は、そのときFort Totten駅に停車していた110列車に近づいたためだと思い、110列車が発車すればまた速度信号が回復すると思っていた。

他方、214列車の後ろを走る112列車は、自動運転で運行していた。乗客の証言によると、Takoma駅を発車したあと一度停止し、先の列車に近づいているため徐行しているというアナウンスがあった。同じ証言によると、短時間の停車ののち列車は加速し、ほぼ"top speed"となった。

その直後、16:58に、112列車は214列車に追突し、112列車の先頭車両は214列車の最後尾車両に乗り上げる形となった。事故後の調査によれば、112列車の非常ブレーキのスイッチは押された状態であった。

この事故により、112列車の運転士と乗客8人の合計9人が死亡した。また、52人が病院に搬送され、2人がcritical injuries、12人がmoderate injuries、38人がminor injuriesとなった。

列車制御 (pp.20-)

Metrorailには、ATC(Automatic Train Control)が装備されており、ATP(Automatic Train Protection), ATS(Automatic Train Supervision), ATO(Automatic Train Operation)の3つのサブシステムからなっています。日本でいえば、ATPはATCなどの信号・保安装置、ATSはCTCなどの運行管理、ATOはそのままATO(自動運転)に相当するものといえそうです。各列車は、ATPからの速度信号、ATSからの速度信号、あらかじめ決められた速度パターンのうち最も低い速度で運行を行うとあります。また、当然、fail-safeですので、信号を受信できないときは、0 mph(停止信号)とみなされます。

原因 (pp.77-)

214列車の停車した位置に該当する軌道回路(B2-304, 738 feet=225 m)を事故後に調査した結果、軌道回路の端のごく一部以外では車両を検出できていなかったことが判明しました。実際に、事故当日にその前を走った列車のほとんどで、当該区間で速度信号がなくなる(停止信号になる)という事象が発生していたことがわかりました。

事故の経過としては、以下のようであったと考えられます。

214列車は、前の110列車に近かったことと手動運転をしていたことにより、あまり速度を出していない状態で、B2-304の区間に入りました。

B2-304は、故障により214列車の在線を検出できなかったため、ATPは速度信号を発生させていませんでした。そのため、214列車は、速度信号なし(=停止)ということで、停止しました。このとき、214列車の全体が、B2-304に入ってしまい、列車の存在が検知されていない状態になってしまったと考えられます。そのため、直後の112列車に対して、フルスピード(50 mph)の速度信号が出てしまい、112列車はそれに従って加速をしてしまいました。

事故発生個所がカーブしていたことと、隣のCSXの線路との間に仕切りがあったため、112列車から前方の214列車を目視することができず、112列車の運転士が手動で非常ブレーキをかけたときにはすでに遅く追突してしまったと考えられます。

そのほかの要因

結局のところは、軌道回路の故障によって、自動閉塞の要である在線検出がうまくいかず、しかもfail-safeではない動き(列車がいても在線なし)をしてしまったことにあります。

報告書では、このほかにも、指令側(OCC)のコンピュータで軌道回路の異常が疑われる際にAlarmを発する機能があったそうですが、人の確認なしに自動的にAlarmが消える仕様になっていたことと、それがあまりにも恒常的に発生していたため(WMATA全体で5000件/週など(p.82))、WMATA側でのアラートに対する優先度が低かったことから、実際には何の役にも立っていなかったとあります。

また、運行者やメーカーの責任についても言及されており、メーカーのAlstomが軌道回路の異常を検出できるようなメンテナンス計画を作成していなかったこと、さらには、それ以前のインシデントで発見された問題に対しても適切に対策をとらなかった、運行者であるWMATAの安全文化に対しても言及されています。

報告書について

死亡事故でもあり、報告書としてはかなり長いものになっています。そしてまた、いろいろな面からの調査と解析が書かれていて、よくある脱線事故とは明らかに異なる本気度がうかがえます。

興味深いのは、鉄道の技術的な内容以外にも外部の文献を引用していることがあることで、例えば、運転士の勤務体制について(p.77)、

Examination of the work/rest histories based on time sheets provided by WMATA showed that both operators worked split shifts. Although research has indicated that split shifts, and shift work in general, can result in fatigue and related physiological problems, no evidence was found to suggest that either operator was suffering the effects of fatigue before or at the time of the accident.

分割シフト制(一日の中で、分割された複数のシフトがある勤務形態)そのものの問題についても、軽く触れています。ただし、今回の事故の原因とは直接関係がないということで分析からは排除されています。

また、112列車の運転士の心理として、

Trust is a fundamental element in human-automation interaction. When an automated system has proven to be accurate and reliable, operators are inclined to trust the automated system even over their own diagnosis. Research has also shown that operators are likely to fail to detect automation failures in highly dependable (“trusted”) systems. [102]

[102] R. Parasuraman, R. Molloy, and I. Singh, “Performance Consequences of Automation-Induced Complacency,” The International Journal of Aviation Psychology, vol. 3, no. 1 (1993), pp. 1–23. (以下省略)

自動化されたシステムが正しく動いていることが続くと、自分の判断よりもシステムのほうを信頼してしまい、システムの故障を見逃しやすいという論文をわざわざ引用しています。

まとめ

単に事故の紹介になってしまい、自分が読んで気づいたところをぱらぱらと書いてみたので、エントリとしてはまとまりがなくなってしまいました。

こういった報告書を読むと、人によっていろいろな異なる発見があるかと思います。

自分は、鉄道事故や航空事故、あるいは事故だけには限らないのですが、失敗は失敗でしっかりと冷静に振り替えることが、やはり技術の進歩に肝要であると、改めて思うことができました。

これ、最近読んだ本という読書枠でいかがでしょうか。