“7·23”事故怎樣禍起信號?高鐵信號系統(tǒng)寡頭供貨者為何疲于奔命?決策者現(xiàn)在何以進(jìn)退兩難?
財新《新世紀(jì)》 記者 于寧 谷永強(qiáng) 曹海麗
馬騁死得很突然。
中國鐵路通信信號集團(tuán)公司(下稱通號集團(tuán))的總經(jīng)理、業(yè)內(nèi)視為中國高鐵信號技術(shù)的帶頭人,死在了“7·23”甬臺溫動車追尾事故一月祭的前一天——8月22日。
當(dāng)天上午,馬騁正在深圳,與前來檢查廣深港客運(yùn)專線的國務(wù)院高速鐵路安全大檢查組成員一起開會。據(jù)多位知情人士稱,剛講完話,他就倒在桌上。
馬騁沒有心臟病史,卻突發(fā)心臟病去世。熟悉的同業(yè)為之唏噓:“壓力過大,責(zé)任也過大!痹谒乐,通號集團(tuán)正面臨前所未有的信任危機(jī)。下轄的北京全路通信信號研究設(shè)計院(下稱通號院)正是甬臺溫信號系統(tǒng)的設(shè)計者,通號集團(tuán)則是集成商。
在7月23日晚,一個致命的簡單軟件設(shè)計錯誤,導(dǎo)致甬臺溫的列車控制中心(下稱列控中心)不能實(shí)時采集外部數(shù)據(jù),并向調(diào)度集中系統(tǒng)(下稱CTC)傳輸了錯誤信息。D301次動車的車載自動控制設(shè)備因此接到錯誤信號,仍按正常速度行駛,與前車D3115次動車追尾,終釀成一場40人死亡的特大事故。
事故發(fā)生以來一個月,通號集團(tuán)成為眾矢之的。作為通號集團(tuán)領(lǐng)導(dǎo)的馬騁不堪重負(fù),病發(fā)身故。昔日的信號精英如此收場,令人感喟。但致命的設(shè)計錯誤究竟為何發(fā)生?還有多少隱患沒有暴露?無人敢下斷言。誰又該為高鐵大躍進(jìn)承擔(dān)責(zé)任?
短短七年,通號集團(tuán)與中國高鐵為不斷攀向更高速度的努力同步?jīng)_刺,表面上不斷攻克一個又一個技術(shù)難關(guān),但光榮背后,技術(shù)人員疲于奔命,力有未逮,終致慘劇。“7·23”事故暴露的不僅是通號院的軟件設(shè)計缺陷,也是整個高鐵發(fā)展不顧科學(xué)規(guī)律和常識、盲目追求速度下的險象環(huán)生。
這種封閉運(yùn)行的發(fā)展模式,也使決策者現(xiàn)在進(jìn)退兩難!艾F(xiàn)在全國的高鐵信號集成多半是他們的,一棍子打死,高鐵的運(yùn)營和技術(shù)支持怎么辦?總不能全停了重新搞吧!(這種模式)已經(jīng)綁架了鐵路!”一位接近事故調(diào)查組的人士表示。
從9月1日起,鐵路調(diào)整運(yùn)行圖,高鐵普遍降速,武廣、鄭西等高鐵線路也不再以時速300公里運(yùn)行,對高鐵安全的擔(dān)憂籠罩了一切。國務(wù)院牽頭的高鐵安全大檢查在繼續(xù)。但通信信號行業(yè)乃至整個鐵路行業(yè)的壟斷問題及招投標(biāo)灰幕,則非補(bǔ)漏這般簡單。對整個鐵路系統(tǒng)而言,已經(jīng)暴露的各種問題不僅是躍進(jìn)之禍,也是壟斷之禍,積弊叢生,新規(guī)待立。
致命錯誤
一個低級的軟件設(shè)計錯誤,因為沒有經(jīng)過破壞性試驗而被忽略
這原本是一場可以避免的災(zāi)難。
“7·23”事故調(diào)查組預(yù)計在9月間正式披露詳細(xì)調(diào)查結(jié)果,但財新《新世紀(jì)》記者從接近調(diào)查組的人士處獲悉了事故發(fā)生的過程。
軟件設(shè)計的邏輯錯誤,偏離了故障導(dǎo)向安全原則,使信號徹底失靈。
7月23日19時44分,上海甬臺溫調(diào)度臺的調(diào)度接溫州南站報告:車站聯(lián)鎖顯示下行三接近紅光帶,車站調(diào)度集中系統(tǒng)(CTC)界面無顯示。
在鐵路控制系統(tǒng)中,以線路鋼軌為導(dǎo)體,構(gòu)成軌道電路,兩條軌道被列車的輪對短接,在控制系統(tǒng)中就會顯示為紅色,從而指示車輛的位置。但在絕緣損壞、雷電等情況下,可能造成無車路段的路軌短接,或者信號設(shè)備系統(tǒng)本身有故障,顯示異常紅光帶或“閃紅”。出現(xiàn)紅光帶的原因很多,或為前方路段有車,或為故障所致,調(diào)度往往難以判斷。在這種情況下,調(diào)度應(yīng)該采取保守做法,將其當(dāng)做前面有車來處理。
所謂“三接近”,則是指還有接近三個閉塞分區(qū)的距離。在列車的行車調(diào)度上,站與站之間被分成若干段,叫閉塞分區(qū)。每個分區(qū)的開頭結(jié)尾都有信號裝置,以紅綠燈顯示。每段分區(qū)一次只允許一趟列車通行。溫州南站通信車間工作人員稱,在永嘉站至溫州南站這個路段上,每個閉塞分區(qū)的長度為1.4公里。有列車運(yùn)行的閉塞分區(qū),禁止其他列車進(jìn)入,所以它后面的燈是一個紅燈。緊接著的一個閉塞分區(qū)是黃燈,其次是黃綠燈,再后面才能是綠燈。
車站聯(lián)鎖設(shè)備反映的是溫州南站站內(nèi)信息,車站值班員可以看到,而上海的調(diào)度看不到。上海調(diào)度中心只能看到CTC,它的信息來自各個站的車站CTC,而車站CTC分別從車站聯(lián)鎖和列控中心(反映站與站之間的區(qū)間信息,包括列車占用信息)獲取信息。
當(dāng)時兩者搜集的信息顯然不一致——聯(lián)鎖顯示的是紅光帶,而列控中心反映的是正常,雖然它們都從軌道電路獲取信息,但從同一個繼電器的不同節(jié)點(diǎn)獲取信息。
聯(lián)鎖顯示的信息一直是正確的(顯示異常紅光帶),但CTC主要從列控中心獲取閉塞區(qū)間的信息,從前述調(diào)度信息看,“車站CTC無顯示”即意味著聯(lián)鎖和列控中心有一個已經(jīng)出了問題,但調(diào)度當(dāng)時或許還沒有意識到問題在于列控中心的信息采集已經(jīng)不是實(shí)時更新。
這是非常少見的情況。上海與溫州的值班員看到這點(diǎn)后,19時53分轉(zhuǎn)入非常站控狀態(tài),即在非正常情況下改由車站人工辦理出發(fā)列車和進(jìn)站列車作業(yè)。
直到事故發(fā)生之后復(fù)盤,才確認(rèn)列控中心設(shè)在溫州南站的信息采集板保險絲被雷電擊壞,導(dǎo)致信息采集出問題。
問題不止于此。采集板的采集電源壞了,但邏輯電源還在傳輸信息。
據(jù)前述消息人士介紹,數(shù)據(jù)包傳上來,通常有特殊的標(biāo)志位來顯示數(shù)據(jù)正常、非正常,能否采用。但是,溫州南站的列控中心在采集這些數(shù)據(jù)包時未能識別出來。
“如果識別出來,按照故障導(dǎo)向安全原則,就要把數(shù)據(jù)清零,即老數(shù)據(jù)清除, 顯示紅光帶,后車D301應(yīng)以20公里時速目視運(yùn)行。問題是它沒有識別出來,老數(shù)據(jù)沒有清零,還顯示正常,結(jié)果后車以ATP(車載)模式運(yùn)行,高速行駛,最終追尾!
如果這個解釋成立,雷擊只是外部誘因,真正的原因是軟件設(shè)計出了大問題。按安全設(shè)計,后車距離前車還有三個閉塞分區(qū)時,前方會顯示為紅燈。由于軟件的邏輯錯誤,導(dǎo)致了主控軟件得到并傳給CTC的不是實(shí)時外部數(shù)據(jù)。
一位信號專業(yè)人士分析指出,如果調(diào)度負(fù)責(zé)一點(diǎn),天氣瞭望條件好一些,這次事故也許不會發(fā)生。但軟件的缺陷卻是必然,早晚要出事。
值得注意的是,CTC顯示異常在列車停在永嘉站時已經(jīng)發(fā)現(xiàn)了。“列控中心傳輸給CTC的信息是錯的,CTC不知道,但是放車進(jìn)入?yún)^(qū)間的調(diào)度員怎么會不知道?他放車進(jìn)去了,但在CTC上沒看到,難道不該引起注意嗎?”前述接近調(diào)查組的消息人士稱。在他看來,轉(zhuǎn)為非常站控后,調(diào)度員、車站值班員、司機(jī)信息交流失誤是事故最終未能幸免的關(guān)鍵。
一般情況下,調(diào)度臺應(yīng)有調(diào)度員和助理調(diào)度員,前者負(fù)責(zé)列車運(yùn)行計劃、調(diào)整及指揮;后者負(fù)責(zé)監(jiān)控列車運(yùn)行和操作設(shè)備,比如轉(zhuǎn)非常站控。轉(zhuǎn)入非常站控后,車站值班員負(fù)責(zé)通知司機(jī),但其間車站和調(diào)度員按規(guī)定應(yīng)加強(qiáng)聯(lián)絡(luò)。
然而,7月23日從19時27分至事故發(fā)生,溫州南站和永嘉站先后三次轉(zhuǎn)為非常站控,主要的行車指揮隨之三次轉(zhuǎn)換,造成調(diào)度員、車站值班員、司機(jī)三方對車所處位置互相溝通錯誤,并嚴(yán)重違反規(guī)定,在前車還未越過區(qū)間故障點(diǎn)時,后車就進(jìn)入了故障區(qū)間。
8月11日,國務(wù)院“7·23”甬溫線特別重大事故調(diào)查組在溫州召開第三次全體會議。調(diào)查組組長、國家安監(jiān)總局局長駱琳在會上表示,造成事故的原因既有軟件設(shè)計問題,也有管理問題。8月22日國家安監(jiān)總局新聞發(fā)言人黃毅稱,“這起事故確實(shí)是一起不該發(fā)生的、可以避免和防范的一起責(zé)任事故”,“既暴露出信號系統(tǒng)設(shè)計上的缺陷,從而導(dǎo)致雷擊造成的故障問題,同時也反映出故障發(fā)生之后,應(yīng)急處置不力以及安全管理上存在的漏洞。”他稱,下一步將進(jìn)入事故責(zé)任的認(rèn)定階段,包括直接責(zé)任、間接責(zé)任、領(lǐng)導(dǎo)責(zé)任。
據(jù)消息人士介紹,8月10日事故調(diào)查組人員調(diào)整后,鐵路人員全部離開,只配合調(diào)查;隨著路外專家、領(lǐng)導(dǎo)的大量介入,調(diào)查接近了真相。
在多位業(yè)內(nèi)人士看來,事故中暴露的軟件設(shè)計缺陷是一個比較低級的錯誤!案鲝S家對安全性要求不同,但故障導(dǎo)向安全是最基本的原則,設(shè)計絕對不應(yīng)出現(xiàn)這樣的問題!币晃昏F科院的專家稱。他很難理解人才濟(jì)濟(jì)的通號院為何鑄下如此大錯,他猜,“設(shè)計人員缺乏經(jīng)驗,沒有想到這種可能性,大家把重點(diǎn)放在了硬件上,硬件比較難,要保證硬件采取的信息準(zhǔn)確,而軟件是補(bǔ)漏的,重視不夠”。
至于這一設(shè)計問題為何沒有在測試時被發(fā)現(xiàn),一位信號專業(yè)人士稱,廠家在產(chǎn)品開發(fā)階段就應(yīng)該進(jìn)行故障測試,但現(xiàn)在一般不會做雷擊這種破壞性試驗,而只做系統(tǒng)功能測試。這個軟件設(shè)計問題屬于產(chǎn)品中模塊設(shè)計的問題,從研制報告中很難看出是否安全合規(guī)。
另一位專業(yè)人士分析認(rèn)為,測試時間太短也是一個原因!耙话銣y試組只測試一兩天,之后就開評審會,主要關(guān)注系統(tǒng)和產(chǎn)品功能,不會深入產(chǎn)品設(shè)計的細(xì)節(jié)問題。”
據(jù)了解,國內(nèi)目前在故障測試方面并沒有統(tǒng)一標(biāo)準(zhǔn),廠家自己判斷需要做哪些測試,同時承擔(dān)相應(yīng)風(fēng)險。通號集團(tuán)在甬臺溫線上提供的這款列控中心產(chǎn)品LKD2-T1,并不是在其已研制多年的聯(lián)鎖平臺上開發(fā),而是在新的硬件平臺上開發(fā)出來的。鐵道部披露,58個車站、18個中繼站使用了與溫州南站相同的采集驅(qū)動板軟件,涉及甬溫、溫福、海南、廣珠四條客運(yùn)專線。
接近調(diào)查組的知情人士稱,LKD2-T1確實(shí)存在缺陷,“由于僅僅做了功能性試驗,沒做破壞性試驗,所以是否還存在其他的問題,在當(dāng)前這種非常時期,誰也不敢打保票。”按照鐵道部的規(guī)定,廠家對內(nèi)部設(shè)計問題要終身負(fù)責(zé)。
據(jù)悉,7月27日通號院就完成了硬件調(diào)整——對采集板加強(qiáng)了防護(hù)保障,下一步是對軟件進(jìn)行升級測試,但目前這四條客專采取的整改措施是臨時性的,按照站間閉塞行車,即站間只準(zhǔn)走一列車,而非以前的自動閉塞行車,這是在故障狀態(tài)下采用的后備模式或降級模式。在安全為速度付出慘重代價后,為了安全,終于開始犧牲速度。
C2過關(guān)不易
用于甬臺溫線、由通號集團(tuán)研制的LKD2-T1型列控中心,獲得過2008年度中國鐵道學(xué)會科學(xué)技術(shù)獎一等獎
C2、C3掌管著高鐵的神經(jīng)中樞。如果不是“7·23”事故,C2、C3這兩個專業(yè)名稱,對很多人來講都非常陌生。
C即CTCS,是中國列車控制系統(tǒng)的英文縮寫,包括地面設(shè)備和車載設(shè)備兩部分。2004年初,鐵道部頒發(fā)了《CTCS技術(shù)規(guī)范—總則(暫行)》,決定在鐵路既有線第六次提速中采用C2級列控系統(tǒng),同時提出了從C0到C4的技術(shù)等級,并規(guī)劃了每個等級的基本功能。第六次大提速之前的列車控制系統(tǒng)被定義為CTCS0級(下稱C0),車載設(shè)備主要為運(yùn)行監(jiān)控記錄裝置(LKJ),地面設(shè)備包括軌道電路、信號機(jī)和車站聯(lián)鎖系統(tǒng),適用于時速120公里以下線路;而適用于時速120-160公里和時速200公里以上的列車控制系統(tǒng)分別被定義為CTCS1(下稱C1)和CTCS2(下稱C2)。
在第六次大提速之前,國內(nèi)鐵路主要依靠軌道電路向鐵路沿線的信號機(jī)傳遞行車命令,列車司機(jī)參照信號機(jī)顯示的信號顏色操作列車運(yùn)行。提速到160公里和200公里之后,列車司機(jī)對地面信號機(jī)的顏色已難以辨認(rèn),為此鐵道部從2004年開始決定研制新一代列車運(yùn)行控制系統(tǒng)。
趨勢屬必然,只是中國走得太快了。
當(dāng)時,鐵道部運(yùn)輸局官員、通號院、和利時、鐵科院、北方交大等專家組成C2攻關(guān)組。一位業(yè)內(nèi)專家告訴財新《新世紀(jì)》記者,“地面部分(包括列控中心、聯(lián)鎖、CTC等)全部是我們自己搞的,沒有合資”。攻關(guān)組先確定了基本框架,然后各家分頭設(shè)計。當(dāng)時有五家機(jī)構(gòu)參與設(shè)計——通號集團(tuán)、和利時、卡斯柯、北京交大微聯(lián)、鐵科院通號所。
據(jù)介紹,上述CTCS技術(shù)規(guī)范是參照歐洲標(biāo)準(zhǔn)ETCS(即歐洲列車控制系統(tǒng))制訂的。 ETCS分為E0、E1、E2、E3四個級別。C3的功能與E2基本一致,而C2則是自主搭建起來的體系,比E1的等級要高。
一位信號系統(tǒng)資深人士說,C2技術(shù)挑戰(zhàn)不算太大,主要是缺乏經(jīng)驗!爸袊(dāng)時已經(jīng)鋪完了統(tǒng)一制式軌道電路,傳輸行車許可是連續(xù)的,所以條件比E1要好,我們加上應(yīng)答器、列控中心、車載設(shè)備就可以了,搭建比較簡單,技術(shù)難點(diǎn)不多!
但實(shí)際操作起來,問題仍然很多,因為以前沒有做過列控中心,并無經(jīng)驗,連需要出臺哪些技術(shù)規(guī)范都不清楚。
與地面列控系統(tǒng)自主研發(fā)不同,在當(dāng)時緊急推進(jìn)的狀況下,列控車載設(shè)備(ATP,列車超速保護(hù))是通過合資的方式引進(jìn)。
2005年6月,通過國際招標(biāo),鐵道部分別與和利時/日立、鐵科院/株洲所/CSEE(法國電氣與信號設(shè)備公司)兩個聯(lián)合體簽署了ATP采購和技術(shù)轉(zhuǎn)讓合同,從國外引進(jìn)列控車載設(shè)備和技術(shù),合作期限15年,最終全部在中國生產(chǎn)。同年10月,鐵道部又通過國際招標(biāo)的形式,分別與通號院/阿爾斯通、和利時/CSEE、西安西門子三家聯(lián)合體簽訂應(yīng)答器設(shè)備采購和技術(shù)轉(zhuǎn)讓合同。
兩次國際招標(biāo)采購,實(shí)行設(shè)備采購與技術(shù)轉(zhuǎn)讓相結(jié)合的方式,外方技術(shù)轉(zhuǎn)讓的知識產(chǎn)權(quán)歸鐵道部所有;鐵道部要求競標(biāo)人必須有國外合作伙伴,其自身應(yīng)具備消化、吸收受讓技術(shù)和設(shè)備制造的能力,同時競標(biāo)人的外方合作伙伴應(yīng)具備系統(tǒng)集成、設(shè)備研發(fā)和制造能力,提供技術(shù)支持和服務(wù),對系統(tǒng)設(shè)備負(fù)安全責(zé)任。
2005年11月,鐵道部建立了C2的技術(shù)標(biāo)準(zhǔn)體系。但2006年初,鐵道部在試驗時即發(fā)現(xiàn)列控系統(tǒng)軟件設(shè)計不合理,車載設(shè)備異常輸出緊急制動,車載通信設(shè)備出現(xiàn)故障。當(dāng)年7月在膠濟(jì)線進(jìn)行的列控中心綜合試驗中,又發(fā)現(xiàn)列控車載設(shè)備ATP軟件存在漏洞,軌道電路信息傳遞不穩(wěn)定。對上述問題整改后,鐵道部在當(dāng)年8月進(jìn)行了補(bǔ)充實(shí)驗,并組織專家成立試驗報告評審會,認(rèn)定C2列控系統(tǒng)“基本滿足”規(guī)定的技術(shù)規(guī)格要求。當(dāng)年9月29日鐵道部召開“第六次大面積提速膠濟(jì)線現(xiàn)場會”,開始全面部署第六次大提速。
鐵道部最初引進(jìn)的列控車載設(shè)備控車的最高速度,為時速200公里。但在第六次大提速現(xiàn)場會后,2006年11月又決定對既有提速線路的部分區(qū)段進(jìn)行進(jìn)一步改造,將動車組的最高運(yùn)行速度提高到時速250公里,又完成了一個跨越!
隨后,鐵道部組織了和外方的第二次技術(shù)談判,以解決列控車載設(shè)備對動車進(jìn)一步提速的限制問題,最終于2006年12月底簽訂補(bǔ)充合同,對列控車載設(shè)備和動車組進(jìn)行升級,經(jīng)過模擬運(yùn)行試驗,完成了ATP設(shè)備應(yīng)對250公里時速的升級改造。
C2的研發(fā)必須跟上提速的進(jìn)程。試驗中出現(xiàn)的所有問題,鐵道部都要求專家們必須在極短的時間內(nèi)解決。2006年底,在鐵道部進(jìn)行的動車組拉通檢查和牽引試驗中,應(yīng)答器報文變差引起了列車緊急制動26次,常規(guī)制動25次。2007年4月18日鐵路第六次大提速開始后,列控車載設(shè)備又暴露出設(shè)備軟件和應(yīng)答器信息接收單元不穩(wěn)定等多種問題。
C2攻關(guān)的核心力量,正是通號集團(tuán)下屬的通號院。其研制的列控中心、CTC和車站聯(lián)鎖等C2子系統(tǒng),均通過了鐵道部組織的可行性審查和技術(shù)鑒定。公開資料顯示,2008年1月21日,經(jīng)測試組仿真測試及鐵道部評審委員會審查,通號集團(tuán)研究設(shè)計院研制開發(fā)的LKD2-T1型列控中心“基本滿足”鐵道部規(guī)定的技術(shù)規(guī)范要求,順利通過鐵道部審查,并獲得2008年度中國鐵道學(xué)會科學(xué)技術(shù)獎一等獎。
2008年7月底,全新的客專C2系統(tǒng)在合寧線上第一次應(yīng)用,此后在其他高鐵線路上被廣泛采用。鐵道部一位退休官員認(rèn)為,C2系統(tǒng)“當(dāng)時技術(shù)并不成熟,但為了趕工期,沒有充分考核就急急忙忙地上了,問題一直沒有暴露,沒想到一個雷給爆了出來”。
在甬臺溫線上使用的,正是C2系統(tǒng)。
上一頁
1