“不可能”的事故│科长│东洋镜

首页 >> 论坛 >> 转贴

	字体∶大中小
“不可能”的事故
科长 (发表日期:2011-07-28 17:53:57 阅读人次:1531 回复数:3)
【高铁之乱】“不可能”的事故　　作者: 南方周末记者柴会群南方周末特约撰稿赵一海实习生刘星刘文苑马晓旭 2011-07-28 11:35:07 　　来源:南方周末　　铁道系统内部核心人士介绍，“7·23”动车追尾事故原因初步查明，只待有关方面权威发布。　　　　信号系统地面设备本身的设计问题使雷击造成的故障升级，红码发成绿码，错误发出绿灯信号，引导D301前行追尾。　　　　从23日20：25开始，一系列似乎合理的复杂调度实际上把两辆动车放到了危险的悬崖边，而信号设备的故障最终把两车推下了悬崖。　　　　“必须出现”的红灯　　事发5天了，寿达山仍然对他看见的那一幕困惑不已：前面的那辆火车为什么突然停下来？　　寿达山是“7·23”动车追尾事故当地若干目击者之一。事故发生地位于温州双屿镇下岙村，这里是温州城郊的一个“城中村”，村民们与数倍于村民的外来务工者聚集此处。来自安徽宿州的寿达山在一个鞋厂上班，他的厂子离出事地点不到一百米。　　“前面的那辆车” 就是D3115，7月23日20：23，列车停在了高架桥上。在其后12公里的永嘉站，是另一辆动车D301。距离两车追尾的惨剧发生，还有最后的8分钟。　　一份网上流传的火车 “调度记录”详细描述了事故发生前这一段复杂惊险且令专业人士费解的调度作业过程。南方周末分别向多位有关专家、温州南站相关负责人求证，基本认可这份记录的真实性。　　根据这份调度记录，可以还原两车的行驶状态。在此之前，温州南站发现永嘉方向下行来车三接近（临近车站的三个闭塞分区，约5-6公里）电路出现红光带（无理由全部显示为红灯的故障）。因此调度布置温州南站与永嘉站均转入非常站控。　　据了解，事故线路使用CTCS-2列控设备，正常情况下列控设备会将铁路隔成若干区间，一个区间理论上只能放入一辆列车，列车进入后，区间尾部信号灯将显示红光。同时，铁道信号设计采取的是 “故障导向安全原则”，即假如出现故障问题，则自动导向安全一方的技术原则。假如地面信号系统损坏，无法发现列车信息，则该区间永远显示红灯。　　D3115与D301此时都已被调度呼叫转入非常站控模式运行——非常站控意味着区间信号故障，但出于效率需要，要维持一部分行车。通俗地说，两车都将以调度授权，人工结合信号的方式行驶。　　事后分析，极有可能是由于调度与信号结合过程中出现的双重错误，导致追尾。　　当晚为雷雨天气，来自铁道方面较早的说法，D3115 停车是因为遭受雷击。“动车遭到雷击后失去动力停车，造成追尾。” 　　“雷击说” 甫一出笼，即引起广泛质疑——即使因雷击导致前面动车失去动力停车，由于动车有自动防护系统（ATP），后面的车也不应该撞上，而是在距其一定距离时自动刹车。西南交通大学信息科学与技术学院副院长郭进告诉记者，“正常情况下，由于动车的速度很快，所以不能靠人来进行车速的控制，而是ATP设备自动控制车速保障安全。” 　　事实上，在京沪高铁刚开通的三起事故中，虽然有一起事故因雷雨天气导致。但据专家分析影响的其实是风而并非雷电。一位有着20年驾龄的火车司机对南方周末记者称，他的开车生涯中从未碰过到因雷击导致的停车事故。　　而对D3115的行驶状态进行分析，在停车之前，D3115从永嘉站出发，8分钟内行驶12公里，平均时速近100公里，最高时速接近200公里。雷击丧失动力一说显然不能成立。　　按照寿达山的描述，前面的动车（D3115）缓缓驶上高架桥而后停止。尽管每天有数十辆动车从头上飞驰，但停车的情况此前却从未发生。寿达山心里升起不祥预感：别出什么事吧？　　20：25，D3115再度缓缓开行。按照调度授权，司机以目视模式闯红灯行驶，按规定时速20公里。在6分钟之内，列车向前行驶了2公里。　　几乎在D3115重新启动的同时，后方停靠永嘉站的D301也接到调度指令重新开车。但和给D3115的指令不同，调度并未授权D301目视闯红灯，而是接触红光带后按信号行驶，也就是说，当信号显示红灯，D301必须停车等待。　　调度的设想是，让D3115先目视闯红灯驶过红光带，D301则在红光带前停车，待确认D3115已经进站，再授权D301目视驶过红光带。　　这里的关键在于，D3115车后区间的信号，必须是红灯，这样D301才会按信号停车。　　在调度的计划中，那盏红灯理所当然地会出现——整个信号系统正在检修之中，修复之前一定显示红灯。那盏红灯也必须出现，它实际已经成为D3115和D301两个庞然大物之间最后的屏障。　　2011年7月24日，浙江苍南县壹加壹应急救援中心空中搜救队航拍温州动车脱轨事故的救援工作。（陈斌/图）　　调度 “潜规则” 　　D301上的乘客傅丽娟原本打算乘坐Z60，一趟北京直达福州的火车。但是她发现，高铁开通后就买不到这趟车的车票了。她只能多花超过一半的钱买D301的二等座票。　　D301先后经过几段不同线路，在京沪之前走京沪高铁。不过，在傅丽娟看来，在京沪高铁线上，D301似乎是 “二等公民”：“从济南之后就开始晚点，到南京时晚了有半小时”。有长期乘车经验的乘客告诉傅丽娟，这是因为京沪高铁线路上首先要保证高铁的速度和正点率，动车必须为高铁让路。　　南方周末记者在这趟车的运行图上发现，其在京沪线上最长停站时间达25分钟。这对动车组而言极为罕见。在 “7·23” 追尾事故之前，京沪高铁正饱受非议，开通后四天内发生三起故障，导致高铁一度大面积停运。　　在乘客们的抱怨声中，D301一路驶过京沪线，过了上海、杭州，便驶入繁忙的甬温铁路线。　　2008年建成的甬温铁路于2009年10月开通动车组。短短一年半里，其开通的动车车次由7对增加到30对。不少动车相互间隔时间在10分钟以内。业内人士清楚，车次越多，间隔时间越短，铁路调度的难度和压力也就越大。　　D301的乘客们还对在永嘉站停车不解，实际上它在永嘉并不需要停靠。　　同样感到奇怪的还有D3115车16号车厢乘客宋建新。他乘坐的火车在永嘉进站后不久，旁边车道很快驶来另一辆动车D301。宋建新之所以注意这辆车，是因为他发现这辆车的车厢都是卧铺，但乘客却都坐着。　　D3115在D301之前开走，这一事实在后来曾引起广泛质疑——按照列车时刻表，它本应在D301后面。　　前文所提火车司机对南方周末记者解释，此行车安排应由位于上海铁路局的列车调度员决定，它也符合铁路系统的 “潜规则”：D301晚点起自济南局而非上海局，而统计列车晚点的指标是按趟数而非晚点程度来计算，由于D301已经晚点，调度员索性让它再晚一点，给D3115让路，以尽力保证后者不晚点。这样虽然D301会晚点更多时间，但在统计上，晚点趟数却只有一趟。　　此外，铁道论坛上一位参与讨论的资深版主徐先生称，2006年京九线发生追尾事故后，铁道部曾作出规定，如发生信号故障，一律按站间闭塞办理，就是说两站之间仅容一辆车通过。具体到事发情况，也就是在让D3115从永嘉站开出后，D301在其抵达温州南站前绝不发车。然而，事实相反，后车在前车未到站前即出发。　　徐先生认为，调度员之所以违规将D301放行，目的可能除了让整个过程省时间外，同时过于迷信ATP，以为有了这个系统，两车就不可能追尾。　　灾难的因素似乎正是从此次行车顺序调整萌发，这导致其后两车都必须以复杂的非常规的方式通过温州南站前的区间。D3115于当晚20：15从永嘉站开出。9分钟后，20：24，D301从永嘉站沿同样线路开出。从现在起，两车的每一次停止与启动，都将关系到一场灾难是否发生。　　最关键的环节都出事了　　对于任何铁路专业人士而言，动车组相撞都是不可思议的事情。因为动车组装有自动防护系统（ATP），如果后车迫近前车，系统将会自动导致后车停车，司机 “就是想撞也撞不上”。据《东方早报》报道，中国工程院院士、国家铁路建设高级顾问王梦恕表示，中国高铁在控制系统、信号系统方面很成功，能保证后面不追尾、前面不撞车。　　那么，这起不可思议的事故究竟如何发生的？南方周末记者由铁道系统内部核心人士了解到，事故原因已经基本查明，其中调度方面有着难以推卸的责任，而信号系统也在最为关键的时刻出现了最致命的错误。　　回到灾难前的20：25，D3115开始目视缓慢通过红光带。　　据西南交通大学信息科学与技术学院副院长、信号系统专家郭进分析，非常站控后，授权列车遇到红灯改为目视模式是正常情况，虽然地面信号系统出现问题也属信号故障，但这种情况也在铁路列控系统的设计框架内，所以D3115与调度员联系后以限速20公里行驶没有问题。　　但D301却为何从D3115车后驶来？那盏 “必须出现的红灯” 为什么在最为关键的时刻消失了？　　根据铁道系统内部核心人士所透露的事故初步原因，在两车同时前进时，雷电把甬温线一处铁路信号系统地面设备保险打断，按照要求，地面设备出现故障后应 “导向安全”，即“发出红灯信号”；但由于地面设备电路设计本身存在问题，结果造成故障升级，迂回电路错误发码，红码发成绿码，即 “发出绿灯信号”，原本出现故障后应自动亮出的停车红灯变成了行车绿灯。　　据铁道系统内部消息，负责该事故路段地面设备电路设计的公司是中国铁路通信信号集团，“通号” 是铁路信号领域的大鳄。　　目前全路都在紧急更改电路设计，铁道部估计一两天内全线电路能够修改完毕。但该人士担心，由于是设计不成熟导致的问题，所以不确定除了该故障外是否还存在其他设计纰漏。　　另外，除此技术原因外，铁道系统内部认为应还有其他人为因素叠加造成 “7·23” 动车悲剧，尤其是已经遭到广泛质疑的调度问题。　　7月25日，新任上海铁路局局长安路生在该局电视电话会议上的讲话在某种程度上印证了南方周末得到的消息。安在 “重点强调” 的一点中如此提到：“……设备故障时， ……必要时要采取停车措施。”“……出现红光带，第一暂定按站间办理行车；第二由调度集中区段转为非常站控时，必须经调度所值班主任准许、确认车站盯控人员到岗后，方可转换。”“……要把设备故障当成发生严重事故来对待……行车部门不要盲目指挥行车。” 　　此外，事故发生后，上海铁路局除原局长龙京外，副局长何胜利亦被免职——何分管的领域正是工务电务。　　D301得到的调度指令是按照信号行驶，此时前方一路绿灯，司机应该据此认为前方D3115已经进入温州南站，前方区间畅通，因此正常高速行驶。从永嘉站到出事地点约14公里，D301只跑了约7分钟，平均时速120公里，最高时速接近200公里。　　在D301这个飞速的庞然大物之前，最后一道技术屏障消失了。挽救两车乘客性命的，此时只剩下最后一个可能：调度控制室内本应可以看到逐渐靠拢的两车，还可以通过无线电呼叫停车。　　但无线电呼叫为何没有发生？目前对于调度室内所发生的问题仍在调查之中，一种分析认为，为了让D3115目视通过红光带，调度命令司机关闭信号系统前进，而关闭后不再报告列车位置，D3115在调度控制室内就此消失。　　再没有任何可以阻挡悲剧发生的可能了。从23号20：25开始，一系列似乎合理的复杂调度实际上把两辆动车放到了致命的悬崖边上，而信号设备的故障则把两车最终推下了悬崖。　　D301开了过来，它显然没有遇到那个 “必须出现的红灯”。20： 31，D301驶上桥面，司机似乎已经刹车。但显然为时已晚——D3115正在以更慢的20公里时速爬行。　　目击者寿达山眼睁睁看着D30撞上了前面的D3115，“后面的火车像骑马一样，撞完后 ‘骑’ 到前面车的上面，然后几节车厢翻下桥去”。　　根据事故后现场勘查，两车相撞后，后车D301车头爬上前车的尾车16号车厢，16号车瞬间被压垮塌陷，遇难乘客多来自这一节车厢。接着D301的前四节车厢跟着爬上D3115，再从桥左侧护栏掉下高架桥。对于被压垮的16号车以及掉下高架桥的4节车厢里的很多人来说，这短短的几秒钟，即是他们人生的最后一瞬。（黄金萍、舒眉亦有贡献）　　【南方周末】本文网址：http://www.infzm.com/content/61694

回复[1]: 夏雨 (2011-07-28 18:30:29)

　　追尾事件的综合假说

　　作者：芦笛

　　

　　先声明，本人是道地外行，以下所说，是这两天杂七杂八从网上看来的 “民铁”（仿“民科”制作）们提出来的各种事故原因推测，经本人这完全彻底的老外综合提炼加工，得出的修正假说。本人不是方舟子，有严格的学术道德观念，深知理应给出各假说来源，无奈我看到的多为转帖，原作者是谁根本就不知道。好在这既不是向有偿杂志也不是向学术期刊投稿，不那么严格还是说得过去的吧。

　　一、疑点

　　1）为何所有的自动控制系统统统失灵？

　　为防止追尾事故发生，铁路系统有一系列的冗余（估计英文是redundant）的自动控制系统。所谓“冗余”，就是多于一个的系统具有同一功能。例如人有两个肾脏，仅用一个就能满足排除代谢废物的要求。上帝之所以多造一个，就是给您装个备胎，坏了一只还能靠另外那只顶住。此所以有的父/母可以放弃一个肾脏，把它献给自己的肾衰竭的孩子。这种事出于父爱母爱无足奇，但英国有位女子，竟然为一个素不相识的陌生人献出了一只肾。这种无缘无故的爱，国人包括我在内绝对无法理解。

　　安全系统也同样实行冗余原则，以便东方不亮西方亮。为防止同向运行的火车追尾，铁路以4公里为一“闭塞区间”。那意思是，在一列火车之后4公里内的这段距离，都不许车辆进入，是close的。为了确保这一点，有三四套系统执行警告功能。第一套就是信号机。信号机的转换靠测量两根铁轨之间的电阻改变触发。平时无车辆时为绿灯，车开进来了，钢轮与轮轴就把两根铁轨短接了，于是两轨间电阻剧降，触发继电器，绿灯就换成了红灯。要等该列车开出4公里之后，那红灯才会转换为黄灯，以后才是绿灯。这就是说，那列车之后一律红灯，到了4公里才变成黄灯，再往后一定距离（记不得是多远了）才会变成绿灯（有的作者说黄灯与绿灯之间还有黄绿灯）。

　　过去使用这预警系统的只有司机那活人，跟咱们开车无区别：看见黄灯就减速，看见红灯就刹车。现在的车上则多装了两套系统，一套lki监测系统，将前方的信号色灯显示在屏幕上。若是司机睡着了，它就会代替司机发出指令，减速或是刹车。这就是活人之外的第一套冗余系统。

　　第二套冗余系统则是ATP，亦即三磷酸腺苷——瞎扯哦，全文是Automatic Train Protection（列车自动保护系统）。它通过铁轨接收前一列车自动发过来信号，用电脑算出与前车的距离。若是发现进入了闭塞空间（也就是与前车之距小于等于4公里），则立即发出指令，减速或刹车。

　　第三套冗余系统则是车站的调度控制。线路上有多少列车，距离如何，在调度室的屏幕上都该显示出来。调度一眼就能看出列车之间的距离。若是两车相距太近，就会及时提醒后车司机减速和/或前车司机加速。

　　追尾事故要发生，必须是以上所有系统全部失灵。这概率小到不可思议，应该说是不可能——若是系统统统失灵，那调度就会命令司机停下来，司机的本能反应也只会是停下来。

　　2） D301是快车，D3115是慢车，按时刻表，应该是D301先到站，而实际运行却反了过来，是快车D3115先开出永嘉，开得很慢，最后要停下来之时，却被从后面赶上来的D301以100多公里的速度撞了上去。D301本不该在永嘉站停车，却在那儿停了十多分钟，让理应后走的D3115先开走。歪？

　　3）高铁为何对雷电超敏感，简直可以用来作雷电指示器了？京沪高铁因雷击，在不到一个月的时间内就出了4次故障，而供电单位却声称从未发生过断电现象。这是为什么？电力机车的驱动无非是电动机。若是电闪雷鸣能影响马达运转，那工厂都得在雨季停工了。而若是雷电动辄击毁输电线，那凡是城市在雨季都要大面积停电了。若是直接击中列车，那又怎么可能如此频繁？老天为何要一而再再而三地雷击高铁？那又不是什么高入云天的烟囱。

　　4）事发后5小时，铁道部就命令活埋车辆，恢复通车，这处理完全违背常识——事故原因都没查清，恢复通车很可能再次发生类似事故，领导为何敢于冒这风险？他们就不怕一再出事？

　　二、答案

　　1）动车上根本没有ATP，或起码不工作，只有lki系统，它只能接收色灯信号，提醒司机或代替他采取减速制动措施。

　　2）雷电使得信号机出了故障，统统成了红灯，发出假警报。

　　3）因京沪高铁频频出事，上海铁路局将各地的干员抽去充实京沪高铁技术管理队伍，该地段留下来的管理人员乃是国企中最常见的废物，吃皇粮不干活的七大姑八大姨小舅子马舅子之类。

　　4） D3115准点到达永嘉，本来只该停靠一两分钟，但前方的信号灯却是红的。调度人员派出电务去查明前方究竟是怎么回事，致使D3115停了半小时左右。因为同一原因，本不该停车的D301在10多分钟后到站，也被迫停了下来。估计电务马舅子不懂技术，无法修好，调度不得已只好实行“非常站控”，也就是以人力调度代替电脑，令司机关掉lki系统，大胆闯红灯，以每小时20公里的速度行进，靠目测确定前方有无障碍物。不幸的是，调度也是个不懂业务的马舅子，因此犯了个致命错误，把两个车的先后顺序弄倒了，因此让D3115先开走。此时不知何故绿灯亮了，调度估计电务已将故障排除，于是又令D301开出。D301丝毫不知道信号灯出过故障，于是按常规逐渐加速，很快就追上了前面开得很慢的D3115。调度在屏幕上看见两车距离越来越近，吓出了一身汗，他以为前面那车是D301，立即命令它停车，于是D3115就停了下来，被后面的D301撞了上来。调度在屏幕上眼睁睁地看着两车相撞，总算悟出了他犯了什么错误，当场崩溃。

　　必须说明，以上头三段是假说，但第四段含有真实部份，请参看央视记者报导（http://news.sohu.com/20110728/n314735900.shtml）。该报导披露了D301与D3115颠倒了的发车顺序，也披露了那晚实行的是非常站控，还披露：“当晚整个温州市区因为雷击都出现了短暂的停电。这个基地也是一样，电脑都无法使用。它不是一个点，而是一大片地区，电务都忙不过来。”但若动车真有ATP，即使调度的电脑失灵也不至于发生追尾。所以，“没有有效的ATP”这一点似乎能肯定。不满足这一必要条件，则碰撞就绝不会发生。

　　以上假说，可以完满解释上列四个疑点：

　　1）并不是所有的安全系统全都失灵：真正失灵的只是信号机系统。但因为信号灯失灵，lki系统就只能关掉。若是车上真有ATP，则这事故就不会发生了。可惜它其实只存在于宣传中，因此只能实行非常站控。而车站调度虽然看到两车在迅速接近，却不幸下了相反的命令，因而非但没有起到保护作用，还促成了两车相撞。

　　2） D3115在D301前开出，是调度犯的致命错误。

　　3）高铁之所以对雷电超敏感，是因为它没有ATP，关键的安全保障系统是易受雷电影响的信号机系统，一旦信号灯失灵，则lki系统就只能关掉，唯一的办法便是非常站控，以人事指挥取代自动系统。在多数情况下，车站都只能决定暂不发车，于是造成晚点。换言之，信号机系统便是高铁脆弱的瓶颈。

　　4）事故发生后，领导要审的第一个对象，便是那调度马舅子，他自然只能如实招供。因此，早在领导前往现场查看前，他（们）就已经知道出事与路况无关，即使通车也不会再出什么事。这就是他（们）何以敢决定活埋车辆后就恢复通车。

　　作者：芦笛

　　

　　

回复[2]: 夏雨 (2011-07-28 18:37:51)

　　作者：芦笛

　　我那综合假说也采用了此文一部分线索，我的理解是

　　司机说：“当时我说能过去的，应该走的，但他非要让我停。”

　　这说明：

　　1）D3115完全能开动，雷击使车丧失动力是屁话，是调度下令让他停的。

　　2）调度之所以下此命令，是误以为该车是理应走在后面的D301。

　　3）调度让司机停车的命令估计是说：快停车，前面有车！而司机原来开出时，就被警告过前面可能有车，只能慢速靠目测前进，但他开了半天觉得很安全，于是就跟调度说，没关系，我能走，前面什么也没有啊，估计又是那信号灯捣鬼。调度仍未意识到他找错通话对象了，坚持要他停下来，事故就发生了。直到事故发生后，司机都不知道被追尾了，是乘客告诉他的。

　　所以，调度确实该负主要责任，但不是唯一责任。若D301上装了有效的ATP，即使调度错误也绝不会发生碰撞——距离还不到4公里，ATP就下指令减速停车了。

　　作者：芦笛

　　

回复[3]: 谁说中国人做事不认真？！ 科长 (2011-07-29 18:25:19)



	Copyright ◎ 2006-2010 东洋镜工作室 All Rights Reserved