第2回は、鉄道の安全性を実現する「フェールセーフ」について解説します。装置はいつか必ず壊れます。フェールセーフとは、故障時や異常発生時でも安全側に動作させて、絶対に人命を危険にさらさないようにする設計思想です。これは信号保安装置を安全に設計する基本的な考え方です。他業界の文献には、安全性と信頼性を混同しているものが散見されます。しかし、鉄道信号の設計では両者を明確に区別します。
第1回において、自動列車制御装置(ATC) は、線路を閉塞区間で区切り、そこに列車がいるかどうかを把握して衝突を防止する仕組みであると紹介しました。もし、列車の前方区間に他の列車がいると、ATC は後続列車に速度制限をかけます。今回は、この制御方式を例にフェールセーフの考え方を解説します。分かりやすくするため、列車センサー、電球、電池の3要素でモデル化して考えてみましょう。
1. フェールセーフ設計になっていない場合
フェールセーフを意識しないで設計した例を、図1に示します。前方区間に電車がいるとき、列車センサーがONになり電球の「赤信号」が点灯します。後続列車は、これを認識して減速し衝突を防止できます。
さて皆さん、このシステムは安全といえるでしょうか? このように質問するということは、「安全ではない」ということです。なぜでしょうか? もし、列車センサーが故障していたら、どうなりますか? 電球が切れていたら? 電池が無くなっていたら? さらに、野ネズミが信号ケーブル を食いちぎっていたら? いずれの場合も赤信号は点灯しません。その結果、後続列車は先行列車を認識できず、追突してしまうでしょう。
図1 のシステムは、全ての機器が正常の場合にのみ、赤信号を点灯する仕組みです。このように、どこかに故障があると安全が保てない仕組みを、「フェールアウト」といいます。私はこのような「危険を検知して知らせる仕組み」を「危ない赤信号」と呼んでいます。
ここで、部品の信頼性を上げれば良い、部品を二重化すれば良い、と考える人もいるでしょう。しかし、偶発故障や同時故障が発生すれば、結果は同じことになります。表1に、想定される状況をまとめました。これを見ると、前方に列車がいて、システムが故障している場合、事故が発生してしまうことが分かります。
列車の状況 | システムの状況 | 赤信号 | 後続列車の認識 | 後続列車の制御 |
前方に列車がいる | 正常 | 点灯 | 危険を察知 | 停止 |
故障 | 消灯 | 安全 | 走行→事故発生 | |
前方に列車がいない | 正常 | 消灯 | 安全 | 走行 |
故障 | 消灯 | 安全 | 走行 |
2. フェールセーフ設計になっている場合
3. 安全な状態を定義する
4. まとめ
保管用PDFに掲載しています。ぜひ、下記よりダウンロードして、ご覧ください。