论文部分内容阅读
2011年8月31日,阵雨。距离温州市区40分钟车程的温州南站人潮涌动:准备过安检的乘客队伍已排至大厅外,雨水打在等车者的行李包上。车站的广播不时播报晚点信息。此时,距离“7·23”动车追尾事故已一月有余,秩序恢复如常,只有角落里竖立的事故列车行李认领纸牌,提示此事尚未收尾。
8月26日晚,杭州电务段温州电务车间的一封公开信,使对事故原因的追问再次浮出水面。
继国家安监总局局长、事故调查组组长骆琳在公开场合将事故定义为“可以避免的人为责任事故”后,8月25日晚,国家安监总局总工程师黄毅在接受媒体采访时将责任引向温州南站电务值班人员。黄毅表示,信号系统当时有问题,没有显示,但“温州南站电务值班人员未按有关规定及时汇报,未进行故障处理,没能有效防止事故的发生”。
据此,在信号设备软件生产厂家中国铁路通信信号集团公司(下称通号集团)为软件设计缺陷担责之后,电务部门或可成为第二个责任部门。
但是,杭州电务段温州车间内部人士并不同意这一定性。随后,一封署名为杭州电务段温州电务车间全体职工的公开信,反驳了黄毅对温州南站电务值班人员的指控,强调当晚电务进行了“正常的处理故障”。
8月31日,上海铁路局分管电务的副局长来到温州车站,在进行安全检查工作之余,安抚职工情绪。
铁路运输系统是一个复杂的人机联动系统,由列车控制系统和人工操作结合。在以机器为主导的列车控制系统(包括路轨信号、车载控制系统等)全部或部分出现问题后,该功能便会立即由人工调度取代,故而人工调度成为铁路运行安全的最后一道防线。
无论是人机交互环节出现纰漏,或是人与人口令传达、任务交接中出现错误,均可能导致整个系统出现故障。这考验的是整个铁路运行管理制度的周密和管理方式的科学,追责也随之进入一个以职务权力和责任划分的系统。
值班员的疏忽
8月31日午后,距离温州南站10分钟车程的杭州电务段温州综合维修车间,一派静谧。
该车间电务人员有60人左右,负责永嘉和温州南等八个车站列控系统车载设备的检修和管理,在整个上海铁路局管辖范围内,它的规模并不算大。
如稍加留意,车间里到处可见“7·23”事故的痕迹。工人宿舍楼上贴有“反思7·23事故、安全第一”的标语,海报栏贴有“深入开展安全大检查”的材料。这些痕迹反复显示,一个多月前的那个不平静的夜晚。
2011年7月23日傍晚,温州车间电务值班人员像往常一样值班。车间电务总值班人员有两位,每个车站各派驻一名电务值班人员。他们并未想到,这一天的晚上8点半左右,在他们负责的区间内将发生一场“不可能发生的列车追尾事故”。
从19时34分起,因红光带故障,上海铁路局调度所甬温台调度员通知温州南站前后两次进入非常站控模式,即脱离车站调度集中系统(Centralized Traffic Control,下称 CTC)控制转为车站传统人工控制的模式。
在时针划向19时44分时,上海站路局调度所接到温州南站报告:车站联锁显示下行距离温州南站第三个信号灯位置处(三接近)出现红光带,CTC界面却无显示。CTC包括调度中心子系统、车站子系统和网络子系统三部分。前两个系统各自独立,但两者又都通过网络子系统来获取轨道电路系统发出的同样信息。
温州南站再次进入非常站控模式。在上海铁路局调度所内,CTC界面显示区间故障及列车运行情况;在温州南站车站值班室,起同样作用的是车站联锁系统。车站值班室其实也有CTC界面,但界面较小,只能显示车站三接近的区间情况,因此被称为调监屏。
在温州南站的车站值班室内,车站联锁系统和CTC界面两个系统显示的状态并不一致——前者显示异常红光带。
这意味着,此时已经有两个故障产生——轨道电路故障(异常红光带)和列控系统故障(联锁系统和CTC界面显示不一致)。
按照《上海铁路局行车规章文件汇编》(下称《行规》)规定,当计算机联锁显示器显示红光带时,车站值班员派助理值班员到现场确认红光带区间是否有障碍物或未出清列车,如没有,则确认此红光带为异常红光带,车站值班员应立即向列车调度员报告,并在《行车设备检查登记簿》(运统-46)内登记,同时迅速通知工务、电务前来查明原因,排除故障。
一位铁道系统电务工作人员解释:“通知两者的时间几乎是同时的,电务和工务肯定第一时间赶往现场,但因为故障的难度有所不同,修理的时间不一样。”
在5月份温州车间一张《信号行车设备故障分析簿》上,故障发生时间为12时08分,车站值班员第一时间通知了电务值班人员,两分钟后电务值班人员即到达现场。
据7月23日当天运统-46登销记情况显示,温州南站于19时39分登记永嘉-温州南下行线三接近轨道电路出现红光带,并通知工务、电务,工务于20时30分销记,电务未销记。
19时52分左右,从杭州发车的D3115次开进永嘉站。几分钟后从北京发车的D301次到达,分别在这里停留了20多分钟和半个小时左右。
根据当天运统-46登记传递的信息是,负责在调度人员和电务之间进行协调的车站值班员只向电务通知了轨道电路(异常红光带)故障,却并未通知列控系统故障。
此情况也在温州电务车间员工公开信中得到证实。公开信中说道:“事实上当天车站值班员已经发现了CTC设备故障,并向行车调度作了汇报,只是未在运统-46上登记并通知电务值班人员。”
相关车站值班员已被控制,至今还在接受调查,其为何未把CTC故障通知电务尚不得而知。此处失误,直接导致了上海铁路局调度所并未意识到故障仍然存在——调度所认为,故障已经清除,事实上危险正悄然接近。
软件设计缺陷
时至20时26分,上海铁路局调度联系温州南站,车站值班人员向其反映D3115次已三接近,但设备显示区间红光带已消失,甚至连D3115次所在的区间红光带也一并消失,这意味着很可能是丢车了,这是一个非常严重的情况。但是,此时车站值班员依旧没有通知电务。
按照常理,车站值班员应意识到发生了危险的情况,因为D3115次列车在屏幕上消失,而且没有进站。
实际上,20时27分左右,D3115次行至红光带区间前并停车——这意味着故障尚未排除或产生了新的故障。按规定,司机请示车站值班员确定前方区间未有列车,将车载列车超速防护系统(Automatic Train Protection,简称ATP)进行隔离,以目视模式行车,即以每小时不超过20公里的速度缓慢前行。
停约三分钟后,D3115次重新启动。
20時24分,D301次也从永嘉站发车,并以时速200公里左右的高速前进。按常理,即便前车D3115次在故障区间内,按照故障导向安全原理,D301次也会在进入红光带前减速,或停车。
但20时31分左右,D301次却以120公里左右的时速撞上了D3115次列车。
《财经》记者了解到,撞车前约四分钟,D3115次遇到故障停车,接受的还是正确的信息,但随后,瞬间的雷击,破坏了列控中心产品LKD2-T1的信息采集板。
7月末国务院事故调查组模拟事故现场,在模拟雷击状态下发现了这一隐情。雷击导致通号集团生产的型号为LKD2-T1的列控中心产品的信息采集板故障,不仅没有按照故障导向安全原则致使D301次减速或停车,却向其发送了错误的“绿色通行证”说。
一位铁路系统电务人员比喻说:“故障后的采集板传输的信息已不是实时更新,雷击像一个闷棍,把列控系统打傻了,就像本来它眼前站着一个人,打昏了后看不见这个人了。”
软件设计缺陷因此难逃其咎,业内专家认为:“这说明安全冗余不够,铁路一般来说都使用两套系统备份,这种采集板打坏了就导致其他的逻辑电路都不正常,这本身就是一个问题。”
软件设备提供商为通号集团北京全路通信信号研究设计院有限公司(下称全路通号),CTC系统为自主研发,为赶工期,设备并未经过相应试验,“出厂的前两批产品都未有‘上线证’。”一位业内人士介绍,“对于信号这种对高铁运行安全至关重要的产品,审核程序应极其严格。”
2009年开始运行的甬温线,硬件的安装故障亦是频频发生。上述业内人士介绍,甬温线当时被铁道部作为试验线,全线高柱信号机未安装卡盘,矮型信号机安装高度超标等情况时有发生。曾有一天,信号机显示不良克服情况就有23起。相关电务段曾多次向全路通号下达整改通知。
轨道电路引接线、跳线未固定情况也时有发生,在此故障备注一栏中,电务写道,“已联系通号公司多次但都未来处理”。
混乱的管理
据一位接近调查组的知情人士表示,当晚亦存在车站值班人员、调度人员和电务沟通失误的情况。据其所述,因区间道路故障,两车在永嘉站停留20余分钟,是因前方区间进行轨道故障维修。
但电务维修完毕后,只是口头通知车站值班员,“可以了”。车站值班员并未按照行规规定,在《信号行车设备故障分析簿》上销记,就通知调度已维修完毕,助理调度员因此于20时15分和20时24分左右分别发行两辆列车。
“在实际维修操作中,故障申报和维修中,登销记手续很多情况都是后补的,只口头通知,这种情况非常常见。”上述人士说。
7月23日当晚,按时刻表显示,D3115次动车发车时间应晚于D301次动车,但因两者都晚点,D3115次晚点近半小时,D301次晚点45分钟,按调度指令,晚点更多的D301次“待避”于时刻表上不该停的永嘉站,便于D3115次先发车。
“在调度实际操作中组织列车恢复正点或少增晚点的前提下,不排除当天调度让晚点较多的D301次司机在区间尽可能赶点的可能。”上述人士说。
在D3115次列车遭遇红光带停车转目视行车模式后,按照《CTC-2级列控系统故障处置工作程序》的相关规定:列控中心、LEU故障时,在CTC/TDCS车务终端报警,车站值班员应立即通知信号维修人员。若确认设备不能很快恢复时,应立即报告列车调度员,由列车调度员下达“列控地面设备故障”调度命令,在进站信号机前从CTCS-2级转向CTCS-0级,待列车运行进入下一設备正常的车站后,再按调度命令转回CTCS-2运行。
其中,CTCS-2是分散自律模式,即自动控车,转向CTCS-0是隔离列车自动防护系统。
一旦CTCS-2故障,车站要进入非常站控模式,列车运行到这个区间就要转为列车运行监控纪录装置(LKJ),即为人工控制模式,然后等过了故障区段再转回CTCS-2。这种转换会在车辆运行速度上进行限制。
据此,“7·23”事故中,首先,CTC虽未设有丢车报警功能,但异常红光带故障是有显示的。而从调度方面看,转入非常站控模式后,车站值班员并未加强车机联控,没有提醒后车注意。
铁路系统对行车组织有其《铁路技术管理规程》,每个路局也有详细的行车组织办法。《铁路技术管理规程》的地位与宪法差不多,其下又有多种地方文件等行业规范。具体到每个铁路局有详细的行车组织办法。但是,行规总是落后于铁路实践生产。
两趟列车停在永嘉站近30分钟,不是营业性停留而是非正常扣停,不放入故障区间,可见此时调度的决定是专业的。但随后,在下一个故障未解除后,将这两辆车放入同一区间则是危险的,必须基于强大、可靠的信号、控制等系统。
甬温线的行车组织办法按照2007年《行规》。《行规》里关于CTC系统故障应急处理的规定,并没有强行规定采用区间闭塞行车——即一个故障区间,只能有一列列车通过,到站后再放行下一列列车。
“7·23”事故发生后,根据铁道部电务调度第1141号调度命令,上海铁路局行车组织方法有所修改:其辖内的甬台温、温福线、沪杭桥列控中心等需进行改造和更换。改造和更换区间时,发现列控中心设备异常时,同一站间区间只能放行一辆列车,禁止列车追踪运行,按站间区间掌握行车。
车站接到电务人员关于列控中心设备异常通知后,应立即报告列车调度员,列车调度员应立即通知故障区间内的所有列车司机停车,禁止再向故障区间发出列车,根据电务部门登记内容办理行车。
据以国家安监总局局长骆琳为组长的国务院事故调查组介绍,导致“7·23”动车追尾事故的技术原因已查明,下一步将是追究相关部门的责任问题。
但责任认定需要落实到相关责任人和部门,若以技术设备、调度管理为界,前者事关铁道部原部长刘志军及关联利益企业,而后者责归铁道部现任高层及相关路局领导,最终如何取舍衡量,不能排除定责过程有微妙的政治考量。
8月26日晚,杭州电务段温州电务车间的一封公开信,使对事故原因的追问再次浮出水面。
继国家安监总局局长、事故调查组组长骆琳在公开场合将事故定义为“可以避免的人为责任事故”后,8月25日晚,国家安监总局总工程师黄毅在接受媒体采访时将责任引向温州南站电务值班人员。黄毅表示,信号系统当时有问题,没有显示,但“温州南站电务值班人员未按有关规定及时汇报,未进行故障处理,没能有效防止事故的发生”。
据此,在信号设备软件生产厂家中国铁路通信信号集团公司(下称通号集团)为软件设计缺陷担责之后,电务部门或可成为第二个责任部门。
但是,杭州电务段温州车间内部人士并不同意这一定性。随后,一封署名为杭州电务段温州电务车间全体职工的公开信,反驳了黄毅对温州南站电务值班人员的指控,强调当晚电务进行了“正常的处理故障”。
8月31日,上海铁路局分管电务的副局长来到温州车站,在进行安全检查工作之余,安抚职工情绪。
铁路运输系统是一个复杂的人机联动系统,由列车控制系统和人工操作结合。在以机器为主导的列车控制系统(包括路轨信号、车载控制系统等)全部或部分出现问题后,该功能便会立即由人工调度取代,故而人工调度成为铁路运行安全的最后一道防线。
无论是人机交互环节出现纰漏,或是人与人口令传达、任务交接中出现错误,均可能导致整个系统出现故障。这考验的是整个铁路运行管理制度的周密和管理方式的科学,追责也随之进入一个以职务权力和责任划分的系统。
值班员的疏忽
8月31日午后,距离温州南站10分钟车程的杭州电务段温州综合维修车间,一派静谧。
该车间电务人员有60人左右,负责永嘉和温州南等八个车站列控系统车载设备的检修和管理,在整个上海铁路局管辖范围内,它的规模并不算大。
如稍加留意,车间里到处可见“7·23”事故的痕迹。工人宿舍楼上贴有“反思7·23事故、安全第一”的标语,海报栏贴有“深入开展安全大检查”的材料。这些痕迹反复显示,一个多月前的那个不平静的夜晚。
2011年7月23日傍晚,温州车间电务值班人员像往常一样值班。车间电务总值班人员有两位,每个车站各派驻一名电务值班人员。他们并未想到,这一天的晚上8点半左右,在他们负责的区间内将发生一场“不可能发生的列车追尾事故”。
从19时34分起,因红光带故障,上海铁路局调度所甬温台调度员通知温州南站前后两次进入非常站控模式,即脱离车站调度集中系统(Centralized Traffic Control,下称 CTC)控制转为车站传统人工控制的模式。
在时针划向19时44分时,上海站路局调度所接到温州南站报告:车站联锁显示下行距离温州南站第三个信号灯位置处(三接近)出现红光带,CTC界面却无显示。CTC包括调度中心子系统、车站子系统和网络子系统三部分。前两个系统各自独立,但两者又都通过网络子系统来获取轨道电路系统发出的同样信息。
温州南站再次进入非常站控模式。在上海铁路局调度所内,CTC界面显示区间故障及列车运行情况;在温州南站车站值班室,起同样作用的是车站联锁系统。车站值班室其实也有CTC界面,但界面较小,只能显示车站三接近的区间情况,因此被称为调监屏。
在温州南站的车站值班室内,车站联锁系统和CTC界面两个系统显示的状态并不一致——前者显示异常红光带。
这意味着,此时已经有两个故障产生——轨道电路故障(异常红光带)和列控系统故障(联锁系统和CTC界面显示不一致)。
按照《上海铁路局行车规章文件汇编》(下称《行规》)规定,当计算机联锁显示器显示红光带时,车站值班员派助理值班员到现场确认红光带区间是否有障碍物或未出清列车,如没有,则确认此红光带为异常红光带,车站值班员应立即向列车调度员报告,并在《行车设备检查登记簿》(运统-46)内登记,同时迅速通知工务、电务前来查明原因,排除故障。
一位铁道系统电务工作人员解释:“通知两者的时间几乎是同时的,电务和工务肯定第一时间赶往现场,但因为故障的难度有所不同,修理的时间不一样。”
在5月份温州车间一张《信号行车设备故障分析簿》上,故障发生时间为12时08分,车站值班员第一时间通知了电务值班人员,两分钟后电务值班人员即到达现场。
据7月23日当天运统-46登销记情况显示,温州南站于19时39分登记永嘉-温州南下行线三接近轨道电路出现红光带,并通知工务、电务,工务于20时30分销记,电务未销记。
19时52分左右,从杭州发车的D3115次开进永嘉站。几分钟后从北京发车的D301次到达,分别在这里停留了20多分钟和半个小时左右。
根据当天运统-46登记传递的信息是,负责在调度人员和电务之间进行协调的车站值班员只向电务通知了轨道电路(异常红光带)故障,却并未通知列控系统故障。
此情况也在温州电务车间员工公开信中得到证实。公开信中说道:“事实上当天车站值班员已经发现了CTC设备故障,并向行车调度作了汇报,只是未在运统-46上登记并通知电务值班人员。”
相关车站值班员已被控制,至今还在接受调查,其为何未把CTC故障通知电务尚不得而知。此处失误,直接导致了上海铁路局调度所并未意识到故障仍然存在——调度所认为,故障已经清除,事实上危险正悄然接近。
软件设计缺陷
时至20时26分,上海铁路局调度联系温州南站,车站值班人员向其反映D3115次已三接近,但设备显示区间红光带已消失,甚至连D3115次所在的区间红光带也一并消失,这意味着很可能是丢车了,这是一个非常严重的情况。但是,此时车站值班员依旧没有通知电务。
按照常理,车站值班员应意识到发生了危险的情况,因为D3115次列车在屏幕上消失,而且没有进站。
实际上,20时27分左右,D3115次行至红光带区间前并停车——这意味着故障尚未排除或产生了新的故障。按规定,司机请示车站值班员确定前方区间未有列车,将车载列车超速防护系统(Automatic Train Protection,简称ATP)进行隔离,以目视模式行车,即以每小时不超过20公里的速度缓慢前行。
停约三分钟后,D3115次重新启动。
20時24分,D301次也从永嘉站发车,并以时速200公里左右的高速前进。按常理,即便前车D3115次在故障区间内,按照故障导向安全原理,D301次也会在进入红光带前减速,或停车。
但20时31分左右,D301次却以120公里左右的时速撞上了D3115次列车。
《财经》记者了解到,撞车前约四分钟,D3115次遇到故障停车,接受的还是正确的信息,但随后,瞬间的雷击,破坏了列控中心产品LKD2-T1的信息采集板。
7月末国务院事故调查组模拟事故现场,在模拟雷击状态下发现了这一隐情。雷击导致通号集团生产的型号为LKD2-T1的列控中心产品的信息采集板故障,不仅没有按照故障导向安全原则致使D301次减速或停车,却向其发送了错误的“绿色通行证”说。
一位铁路系统电务人员比喻说:“故障后的采集板传输的信息已不是实时更新,雷击像一个闷棍,把列控系统打傻了,就像本来它眼前站着一个人,打昏了后看不见这个人了。”
软件设计缺陷因此难逃其咎,业内专家认为:“这说明安全冗余不够,铁路一般来说都使用两套系统备份,这种采集板打坏了就导致其他的逻辑电路都不正常,这本身就是一个问题。”
软件设备提供商为通号集团北京全路通信信号研究设计院有限公司(下称全路通号),CTC系统为自主研发,为赶工期,设备并未经过相应试验,“出厂的前两批产品都未有‘上线证’。”一位业内人士介绍,“对于信号这种对高铁运行安全至关重要的产品,审核程序应极其严格。”
2009年开始运行的甬温线,硬件的安装故障亦是频频发生。上述业内人士介绍,甬温线当时被铁道部作为试验线,全线高柱信号机未安装卡盘,矮型信号机安装高度超标等情况时有发生。曾有一天,信号机显示不良克服情况就有23起。相关电务段曾多次向全路通号下达整改通知。
轨道电路引接线、跳线未固定情况也时有发生,在此故障备注一栏中,电务写道,“已联系通号公司多次但都未来处理”。
混乱的管理
据一位接近调查组的知情人士表示,当晚亦存在车站值班人员、调度人员和电务沟通失误的情况。据其所述,因区间道路故障,两车在永嘉站停留20余分钟,是因前方区间进行轨道故障维修。
但电务维修完毕后,只是口头通知车站值班员,“可以了”。车站值班员并未按照行规规定,在《信号行车设备故障分析簿》上销记,就通知调度已维修完毕,助理调度员因此于20时15分和20时24分左右分别发行两辆列车。
“在实际维修操作中,故障申报和维修中,登销记手续很多情况都是后补的,只口头通知,这种情况非常常见。”上述人士说。
7月23日当晚,按时刻表显示,D3115次动车发车时间应晚于D301次动车,但因两者都晚点,D3115次晚点近半小时,D301次晚点45分钟,按调度指令,晚点更多的D301次“待避”于时刻表上不该停的永嘉站,便于D3115次先发车。
“在调度实际操作中组织列车恢复正点或少增晚点的前提下,不排除当天调度让晚点较多的D301次司机在区间尽可能赶点的可能。”上述人士说。
在D3115次列车遭遇红光带停车转目视行车模式后,按照《CTC-2级列控系统故障处置工作程序》的相关规定:列控中心、LEU故障时,在CTC/TDCS车务终端报警,车站值班员应立即通知信号维修人员。若确认设备不能很快恢复时,应立即报告列车调度员,由列车调度员下达“列控地面设备故障”调度命令,在进站信号机前从CTCS-2级转向CTCS-0级,待列车运行进入下一設备正常的车站后,再按调度命令转回CTCS-2运行。
其中,CTCS-2是分散自律模式,即自动控车,转向CTCS-0是隔离列车自动防护系统。
一旦CTCS-2故障,车站要进入非常站控模式,列车运行到这个区间就要转为列车运行监控纪录装置(LKJ),即为人工控制模式,然后等过了故障区段再转回CTCS-2。这种转换会在车辆运行速度上进行限制。
据此,“7·23”事故中,首先,CTC虽未设有丢车报警功能,但异常红光带故障是有显示的。而从调度方面看,转入非常站控模式后,车站值班员并未加强车机联控,没有提醒后车注意。
铁路系统对行车组织有其《铁路技术管理规程》,每个路局也有详细的行车组织办法。《铁路技术管理规程》的地位与宪法差不多,其下又有多种地方文件等行业规范。具体到每个铁路局有详细的行车组织办法。但是,行规总是落后于铁路实践生产。
两趟列车停在永嘉站近30分钟,不是营业性停留而是非正常扣停,不放入故障区间,可见此时调度的决定是专业的。但随后,在下一个故障未解除后,将这两辆车放入同一区间则是危险的,必须基于强大、可靠的信号、控制等系统。
甬温线的行车组织办法按照2007年《行规》。《行规》里关于CTC系统故障应急处理的规定,并没有强行规定采用区间闭塞行车——即一个故障区间,只能有一列列车通过,到站后再放行下一列列车。
“7·23”事故发生后,根据铁道部电务调度第1141号调度命令,上海铁路局行车组织方法有所修改:其辖内的甬台温、温福线、沪杭桥列控中心等需进行改造和更换。改造和更换区间时,发现列控中心设备异常时,同一站间区间只能放行一辆列车,禁止列车追踪运行,按站间区间掌握行车。
车站接到电务人员关于列控中心设备异常通知后,应立即报告列车调度员,列车调度员应立即通知故障区间内的所有列车司机停车,禁止再向故障区间发出列车,根据电务部门登记内容办理行车。
据以国家安监总局局长骆琳为组长的国务院事故调查组介绍,导致“7·23”动车追尾事故的技术原因已查明,下一步将是追究相关部门的责任问题。
但责任认定需要落实到相关责任人和部门,若以技术设备、调度管理为界,前者事关铁道部原部长刘志军及关联利益企业,而后者责归铁道部现任高层及相关路局领导,最终如何取舍衡量,不能排除定责过程有微妙的政治考量。