湘南モノレール事故、制御コンピュータに入り込んだノイズが原因か 57
ストーリー by reo
我々はノイズ (略) 抵抗は無意味だ。 部門より
我々はノイズ (略) 抵抗は無意味だ。 部門より
ある Anonymous Coward 曰く、
2008 年 2 月 24 日、湘南モノレールで約 40 メートルオーバーランして停車する事故があったが、運輸安全委員会がまとめた調査報告書によると、制御コンピュータに入ったノイズが原因だったという (asahi.com の記事より) 。
当初、ブレーキディスク 24 枚すべてに亀裂が入っていたことから、ブレーキ故障が原因とみられていた。しかし、実際には、制御コンピュータにノイズ (VVVF インバータ内のゲート電源装置の高周波ノイズ) が入り込んだことが原因による誤動作、とのこと。これによりコンピュータが誤動作を起こし、「マスコンを力行位置としていないにもかかわらず加速する状態に」なり、加速が止まらなくなった。ブレーキディスクの亀裂は直接的にはブレーキ力低下に影響していないと推定される。
完全デジタル化の落とし穴 (スコア:2, 興味深い)
保険的な回路は用意していなかったって事?
マスコンが停止位置で力行させないのにはリレー一個で足りないのか?
Re:完全デジタル化の落とし穴 (スコア:1)
付いててもおかしくないんだけどね。
# ゆりかもめでもあんな事になってるし「そういう事にした」んじゃない?
こんなの見てると (スコア:2, 興味深い)
ノイズまき散らす装置を持ってそこら辺歩き回るだけでテロができてしまいそうで怖いですね。
# 書いてることが書いてることなのでAC
Re:こんなの見てると (スコア:2)
とのことなので、内部回路に接続してノイズ電流を流し込めば可能かもしれませんが、
そんなことをしたら一発でお縄でしょう。
クリティカルな装置の近くで電磁波を発生させるのは、病院や航空機などで既に御法度ですが、
狙って誤作動を起こさせることは可能なのでしょうか。
Re:こんなの見てると (スコア:2, おもしろおかしい)
それができたら炎のコマの完成です。
Re:こんなの見てると (スコア:3, おもしろおかしい)
でも、昔のゲーム機は電子ライターのパチパチで
クレジットが入ったとかなんとか…
Re: (スコア:0)
おばちゃん金返して
#昔ゲームセンターいがらしというのがあってだな・・・
Re: (スコア:0)
マイク部分をこすると通話可能になるっていうのを
実際に見せてもらったことがあります。
あれも似た原理だったんですかね。
#もちろん電話はかけてません
動脈列島 (スコア:1)
昔の映画だが、新幹線に向かって停止信号を併走する車から発信させて
列車を止めてしまうというシーンがあった。(今は出来ないようになったけどね)
ブレーキという見やすい所ではない箇所まで原因を追及したのがいいですね。
Re:こんなの見てると (スコア:2, 参考になる)
http://www.soumu.go.jp/soutsu/kanto/re/info/huhou/index.html
Re:こんなの見てると (スコア:1, 参考になる)
工場では有った。
機材の配置換えでセンサーなんかの信号線が入っているチャンネルとインバーターやコンプレッサーの動力線が一緒にされた。
それにより運転中にチョクチョク異常動作をする様に。
挙句に部品交換時に油圧が動き、危うく作業者が挟まりそうに。
別に分けたら綺麗サッパリ無くなったが、試しに動力線を入れてインバーター(モーター)を動かすと起きた。
主要因は確かにそれだけど、そもそも普通はシーケンサーでオープンとか非常停止は強力なインターロックを掛けるもんだから、
ソフトの作りも不味かったんだろ。
Re:こんなの見てると (スコア:4, 興味深い)
>そもそも普通はシーケンサーでオープンとか非常停止は強力なインターロックを掛けるもんだから、
生命を危険にさらすような可能性のある動力回路の切断は、異常動作がわりと発生しやすいシーケンサなどには頼らず、比較的単純な回路構成によって行われるべきなんですけどね。
もちろん、シーケンサ内のプログラムでも動力が動かないように処理はしますが、その上段で駆動部の電源をマグネットコンタクタやリレーなどでハード回路によって切断するくらいのことをしていないと、ノイズによる事故は頻繁に発生します。
欧米だと、ちゃんと切断できているかモニターもした上で、もし切れているはずのところが切れなかった(溶着や誤配線、素子の故障による)が発生した場合は、さらに上段にある電源を落とすような仕組みを作るんですけどね。
日本の安全管理はまだまだ幼稚です。
ちなみに、原因不明の問題にぶつかったときに、
「原因はノイズですね」
というのは、技術者のお約束ですので、あまり鵜呑みにしないほうがいいかもしれません。
今回の元記事のトラブルも、ノイズ?によって誤動作が発生したときに、なぜ走行を続ける方向に作用してしまったのか、という点をきっちり調べてもらいたいものです。
Re:こんなの見てると (スコア:2, すばらしい洞察)
>もちろん、シーケンサ内のプログラムでも動力が動かないように処理はしますが、
>その上段で駆動部の電源をマグネットコンタクタやリレーなどでハード回路によって切断するくらいのことをしていないと、
>ノイズによる事故は頻繁に発生します。
言いたいことは分かりますが、そんな頻繁に電源断するような事態になるんだったらその前に対策しないと
使い物にならんでしょう・・・非常停止電源断はあくまで非常時ですよ。頻繁に起きるのは非常ではないです。
で調べるも何もノイズによる誤動作で走る方向に作用したのは偶然でしょうね。偶然をいくら調べても仕方ないですわ。
それよりも、たとえノイズが今回みたいに走る方向に作用した場合でも
安全に車両を止めるシステムになってなかったのが問題。そこらへんのシステムの不出来はご指摘の通りです。
Re: (スコア:0, フレームのもと)
安易な拡大解釈と、通常の安全措置の範囲内のことと作業ミスによるそれの逸脱を一緒くたにするのは頂けない。
それにな、この手の書き込みはトラブルの起きたポイントだけ書いてることが多いってのを理解して無く、
それが一般的に行われてるという解釈をするとどつぼに嵌まるよ。
#なんでこう簡単に「日本の~」とか大言壮語しがるんだろう? 意味無いのに。
Re:こんなの見てると (スコア:1)
>なんでこう簡単に「日本の~」とか大言壮語しがるんだろう? 意味無いのに。
実際に日・欧・米で設計をしたり実働の工場機械を見たりしている1エンジニアとしての意見なのですが、たかだか1人が見て、やってきた仕事なんて狭い分野で物事語るなと言いたいのでしょうか。
作業ミスがそのまま生命の危険につながらないようにするために安全・危機管理があると思うのですが。
こんなのにすば洞がつくと思うと悲しくなる。
Re:こんなの見てると (スコア:1, すばらしい洞察)
教育や標準化で人的に対応しようとする日本と、フェイルセーフ、フールプルーフを追求する欧米。
日本では幸か不幸か教育の程度が高かったから前者で何とかなってたんだけど、
そろそろ後者もやんないとダメって流れになってる。
そういう流れがあるのは知ってると思うけど、そこを端折って
>日本の安全管理はまだまだ幼稚です。
こんなことを書くから言葉が独り歩きしたあげくに
>安易な拡大解釈と、通常の安全措置の範囲内のことと作業ミスによるそれの逸脱を一緒くたにするのは頂けない。
って突っ込まれるわけ。
Re:こんなの見てると (スコア:1, すばらしい洞察)
別業界の人間なんでこの話題の業界は知らないけど、うちの業界でも「このままで日本は大丈夫か」と思うようなところはありますよ。
昨今の傾向からするとたいていの業界でそのような傾向があるのかもしれません。もちろん、ないかもしれませんが。
むしろ自分の属さない業界のことをしたり顔で語れるほうが不思議です。
Re: (スコア:0)
海外では危険なので使っていなかったのを便利だからと使ってたんですね。
Re:こんなの見てると (スコア:2, 参考になる)
>回転ドア事件?
>海外では危険なので使っていなかったのを便利だからと使ってたんですね。
そんな認識だから「日本の安全管理はまだまだ幼稚です。」なんて発言も出るんだろ。
海外では回転ドアでなければならない理由があるから、今でもしっかり使われているよ。
ちなみに日本の回転ドアは当初欧米で使われていた奴を導入したものの、
顧客の要望や見栄えをよくするために設計ノウハウのないまま重い素材のものを使用したこと。
さらに、メーカーが吸収合併した際のドサクサで技術情報をどっかへやっちまったという、
杜撰かつありがちな状況も、、原因の要素としては大きい。
>>「原因」と「背景」参照
http://shippai.jst.go.jp/fkd/Detail?fn=0&id=CZ0200718 [jst.go.jp]
Re: (スコア:0)
日本だけって訳でも無い。
例えばエレベーターなんか何時の間に機械式ロックが無くてブレーキのみで停止する様なのも普通に出す様に。
エレベーターの事故の相当数はドアを開く動作で落下防止の閂にでも差し込めば相当減るはずだが。
Re: (スコア:0)
それがですね、ここ10年位でリレーシーケンスが出来る人が減ってしまったので、工場のシーケンスと言うのは現状ではPLCが幅を利かせるように。
それでもそれはマシな方で、コストダウン名目でPCで制御されているのも沢山。
私が見たこと有る奴では、ダイキンの油圧コントローラーにPCからストレートにD/Aで出していた。
それは未だ良い。工業用のボードだから。
問題は、ぶら下げたセンサーやなんかを読むのにPCの素のRS223Cポートを使っていた事。
コンプレッサーの動作に合わせてく油圧を制御すると、何故かPCにリセットが入る不思議な奴。
ちゃんと絶縁型のボード位入れろよな。
Re: (スコア:0)
ここ、すごく大事な事なので2度引用しました。
以前ある装置の有線コントローラーのうちの1本の線が切れると暴走するというとんでもない設計のがありました。偶然(?)引っかかって切れた時にいきなり暴走したので冷や汗をかいた事があります。すぐにその装置の仕様を作った人に「フェールセーフなってねえ!」と文句を言って直させましたが、意外とこういうタコ仕様というかタコ設計のものってあるんですよねぇ…
Re: (スコア:0)
Re: (スコア:0)
携帯電話は知らないが、デジカメのストロボで計装関係が誤作動した、
という話なら聞いたことがある。
Re: (スコア:0)
> 狙って誤作動を起こさせることは可能なのでしょうか
来週のゴルゴ13をお楽しみに。
Re: (スコア:0)
テロだから本人は捕まっても構わないのでは?
# 装置の近くで、頭を下敷きでこすってノイズ生成・・・
Re:こんなの見てると (スコア:2, おもしろおかしい)
# グルグルのナレーション風に
Re:こんなの見てると (スコア:1)
クルマにノイズ発生装置をつけて、
自分が交差点に差し掛かったら都合良く青信号する!
っていう映画みたいなことを考えたけど
自分の正面の信号だけじゃなく、
ノイズを受けた交差点の信号すべてが青になるだろうから事故るなぁ。
誤動作させたい機械だけを狙い、思い通りに暴走というのは難しい?
# 実際にやろうなんて思っていませんよ
Re: (スコア:0)
ノイズではありませんが,緊急車両と交通制御システムが通信することで,緊急車両の移動を効率化しようという話があります.
これを乗っ取られると,暴走し放題ということにもなりかねませんね.
Re: (スコア:0)
>クルマにノイズ発生装置をつけて、
むかしの長距離トラックにはkwクラスのCB無線が当たり前のように載ってたので
深夜赤信号だと出力上げて信号機誤動作させながら走ってたなんて話しよく聞きますね
あれは電車の信号機に影響なかったんでしょうかね。今考えると怖いはなしです。
Re: (スコア:0)
今でも輸入物の違法無線機を使ってるトラックなんかがありますが、この周波数がちょうど阪急宝塚線の列車無線(音声をやりとりするための無線)とぶつかってて、しょっちゅう混信するようです。
数年おきくらいに逮捕者が出てますね。
Re: (スコア:0)
昔の携帯ほど危なくない?
Re:こんなの見てると (スコア:1)
> 最近は携帯切らずに飛行機乗ってる人も多いみたい。
> 昔の携帯ほど危なくない?
たまたま問題にならなかっただけと思いますよ。
確認していない,聞いただけの知識ですが,携帯電話が航空機に与える影響は確認できていないようです。
しかし,影響を与えないとも言い切れないとのこと。
携帯電話使用OK と明示されている機内ならともかく,そうでないなら電源を切ったほうがよいでしょう。
#異状が発生した時に携帯電話等が使用されていた例はあるようですが,因果関係までは不明のようですし。
力行位置 (スコア:2, おもしろおかしい)
カ、キ、ク、ケ、コ のどれが何だろうと、暫く思案。
#サ行なら、味付けですが。
Re:力行位置 (スコア:1)
そっか、鉄分少ない人だとそういう誤読が起こり得るのか…
ほにゃらら力の類(ファンデルワールス力みたいな)と同種の(笑
凛々しく、あほらしく。
心と体は別物? (スコア:2, 参考になる)
・制御プログラム(というか制御回路?)にはウォッチドッグタイマー
によるリセット機構があるが, これは制御プログラムはリセット
するがその際にはモーターの駆動力は維持される回路構成になっている。
・不正割り込みの処理の際にウォッチドッグリセットのためのタイマも
含めて禁止してそのまま放置してしまうためウォッチドッグリセット
がかからなくなる。
(報告書では不正なWDTリセット出力が継続と書かれているがこれはWDT
タイムアウト出力の間違いでは?)
・というわけでいったん不正割り込みがかかるとWDTタイムアウトが
継続的に発生して加減速シーケンスが妨害されるが駆動回路は制御
プログラムからの指示がない限り駆動力を維持する。
コレ正しいとすると私にはシステム構成バグにしか見えないんですが…
一番きついと思うのはWDTタイムアウトで駆動力が維持される部分。
こんなもんなんですか? それとも私の読み違い?
Re:心と体は別物? (スコア:3, 参考になる)
うぁひでぇ...と思ったらWDTタイムアウトで主動力切るって書いてあるよ?
問題はそこじゃなくて...
あたりだろう。今回の原因は2から始まった1と4、特に1は凶悪で明らかなバグと言える。
3はおそらく4の原因だし、2は1がなければリカバリ可能だが何かが根本的に間違ってる。
3は、ビジーループで回したければ割り込みなんて使わずにタイマの値を直接読んで処理を回すべきだしなぁ...。
...てなところなんじゃなかろうか。
Re:心と体は別物? (スコア:1)
不具合(エラー)を検出した即時に停止すべきかどうかの判断は運転士が行います。
今回の問題は運転手が即時停止させようとしても動力が切れなかったことで
加速中のモーターの駆動を止めても加速が止まるだけで慣性で車両は動きつづけます。
それを止めるのがブレーキですよ。停止してはいけない場所で停止しても
動き続けるよりは安全で、後続列車との衝突は列車監視システムが・・・
なかったら確かに大惨事ですね(T_T
運転士が突然脳卒中とかで運転不能になったら?そのためのATSですが
今回ATSが停止信号出していても列車の制御系がノイズでやられてたので
役に立たなかったようで。ATSのようなシステムが無い場合は、もう一人
人をつけておいてますね。航空機(!=軍用機)のように。
>ノイズが入る時点で負けです。その後の敗戦処理が下手なことは副次的な問題でしかありません。
原因は完全につぶせませんよ。今回たまたまノイズが原因だとわかりましたが、
それ以外の原因で加速側にロックしたときにどう安全を確保するつもりですか?
Re:心と体は別物? (スコア:1)
まー本当の意味で「ノイズで誤動作」ならそうなんだけど、今回はソフトがgdgdだから...
ソフトがちゃんとしてればリセットは期待できたケースだよ。
報告書を見た (スコア:2, 興味深い)
不正割り込みが発生
→すべての割り込みを禁止(含むタイマ割り込み)
→起動カウンタが動かない
→加減速シーケンスが動かない
不正割り込みが発生したときのリカバリ処理で失敗してますね。
私的には、不正割り込みが掛かったら時点で WDT 保護動作を起動するのが正しい処理だと思ふ。
Re:心と体は別物? (スコア:1, 興味深い)
# ていうかタイマ割り込みまでWDリセットしてどうするんだよとorz
タイマ停止によってカウンタが上がらないので加減速シーケンスがスキップされて
WDTリセットがかけられ続けるのでWDTタイムアウトが発生しないけど加減速シーケンスも
実行されなくなるので、駆動力が維持されてしまうという話ですね。
で、結局システムの構成的に変だろうという意見は変わりませんが…
Re:心と体は別物? (スコア:1)
前にやった事のあるシステムで似たようなのがありました。
ソフト側の不具合を隠すために何かあったらWDTでリセットはするが、
ハードの設定は残しておいて欲しいと。
つまり、WDTでリセットがかかればソフトは「再起動」として動きますが、
ハード側からみれば、何事もなかったかのように動き続けるシステム構成ですね。
この場合、ネットワーク機器なので、それでもOKだと思いますが、
(パケットを止めるわけにもいかないので)
こういう駆動系のシステムだと、それはまずいですよねぇ・・・。
下手すればというより、人命に直結しますし。
影響範囲考えたら結構ヤバイよね (スコア:1, 興味深い)
報告書大雑把に読んだ。
制御プログラム側にも問題がありそうだけど、伊電製制御機器全般に爆弾抱えてるんじゃね?
ノイズ除去方法 (スコア:1)
今すぐキバヤシ [google.co.jp]を雇えばいいって事なんだよ!
キャラテック社? (スコア:0)
報酬は何がいい?
Re:キャラテック社? (スコア:1)
Re: (スコア:0)
どっちのBPSも知ってるのでわろた
元がこれ [wikipedia.org]で返信のがこれ [wikipedia.org]ですよね。
#とマジレスしてみる
部門名から (スコア:0)
確かに「抵抗」は無意味かも。
#半可通だからACで。
Resistance is fatal? (スコア:0)
報告書によると、GND への配線が細長く、「抵抗」が高すぎたことが原因と
推定されているようですが。
鉄の車輪だったら良かったのに (スコア:0)
ゴムタイヤを使用したモノレールでは流し切れなかったのでしょうか。