从技术层面反思“7.23”温州动车事故

王达水 原创 | 2014-06-22 08:40 | 收藏 | 投票
(题记:笔者通过反复学习研究7.23”温州动车事故调查报告,2年多后,一是独立并创新性地探索研究出“铁路交通事故调查分析图解法”理论成果;二是针对事故调查报告,在技术层面深刻反思,发现一些问题,深感一些遗憾。今将反思体会整理如下,并于网络发表,希望能够与国内外同行进行更加广泛深入的学术交流。 友好提示:本论文约19K字,未通读完者,请勿评论。
 
 
技术层面反思“7.23”温州动车事故
王达水
 
摘要:铁路信号系统有一个基本技术原理:同一设备在同样故障条件下,必然导致同样的结果。“7.23”温州动车追尾事故的信号故障前提两个:一是保险管F2及相关系统故障,二是5829AG轨道电路故障红光带。前行的D3115次遇红灯停车,而后续的D301次却遇一路绿灯而发生追尾。因此,其信号升级显示,极大的一种可能情况是故障前提发生了变化,事故调查报告虽未直接得出此结论,但却提及到相关要素的存在。
关键词:7.23”、动车追尾、事故调查报告、信号、联锁、轨道电路、故障、图解法
 
1、引言
温州动车事故是一个意外,事故发生后又接连出现了一些意外。在事故即将三周年之际,笔者(铁路运输工程师)通过官方公布的事故调查报告(“7•23”甬温线特别重大铁路交通事故调查报告http://www.gov.cn/gzdt/2011-12/29/content_2032986.htm 安全监管总局网站),结合专业知识与35年业内工作经验,以学科交叉的思路,以安全系统工程的原理,以铁路运行图为基础,以列车运行各相关部门及作业岗位的设备运行情况、人员作业情况为依据,自主创新研发出“铁路交通事故调查分析图解法”理论成果(论文详见:http://www.caogen.com/blog/Infor_detail/60669.html)。其中,用一张简洁明了的示意图,将“7.23”事故发生的详细过程,进行了清晰并定格式的揭示(如图1),从而能够帮助我们进一步清晰并深刻地反思那次事故:
 
 
图1:“7•23”甬温线特别重大铁路交通事故动态过程示意图
Fig.1:Dynamic schematic diagram of “7.23” Yong-wen line particularly significant railway accident
 
2、与德国884次动车事故进行比较
2.1 D301次司机的应急处置果断有效
7.23”事故调查报告关于D301次司机的值乘情况和应急处置的明确表述是:
D301次列车司机潘一恒,南昌铁路局福州机务段职工,承担D301次宁波东站至福州站的值乘任务,已在事故中殉职。2009623日经铁道部培训考试合格取得动车驾驶证。上车前按规定进行了待乘休息,出勤手续办理合格,酒精检测合格。经调查认定,司机在永嘉站至温州南站间的作业符合相关作业标准。”
“20时29分32秒,D301次列车运行到582公里497米处,温州南站技教员幺晓强呼叫D301次列车司机并通话:“动车301你注意运行,区间有车啊,区间有3115啊,你现在注意运行啊,好不好啊?现在设备(通话未完即中断)。此时,D301次列车进入轨道电路发生故障的5829AG轨道区段(经调查确认,司机采取了紧急制动措施)。20时30分05秒,D301次列车在583公里831米处以99公里/小时的速度与以16公里/小时速度前行的D3115次列车发生追尾。”
D301次编组16辆,定员810人,事故发生时乘坐旅客558人;前行列车D3115次,编组16辆,定员1299人,事故发生时乘坐旅客1072人;事故造成172人受伤、40人死亡(注:约占1630名乘客的四十分之一)。
可是,德国高铁1998631059分,动车884次在运行中因第一节车厢(机车后第一辆)的一个轮对踏面钢圈脱落并立即插入车底板,进而引起列车剧烈摇晃的严重故障后,继续以200公里/小时持续运行约3分钟,走行约6公里,其间,列车运行自动监控系统和值乘司机,都没有任何应急反应,致使该次列车依然保持200公里时速运行并于前方道岔处脱线,随及撞击公路立交桥,进而造成世界上最严重的高铁运行灾难,导致105人受伤、101人死亡(注:约占400名乘客的四分之一)
该次列车编组12辆、定员800人,实际乘客400人。事故经过与调查分析资料,详见视频:德国高铁惊魂(http://v.pps.tv/play_38WFKI.html)。
今天,当我们通过图解法所揭示的“7.23”事故经过,并将D301次列车司机潘一恒发现列车运行前方出现险情并立即采取紧急制动措施的应急事实和直接效果,与德国高铁884次出现险情却没有采取(出现)任何应急措施的实际情况和事故损失,进行直接的比较,我们不难发现:D301次司机潘一恒,在仅有33秒时间并1334米距离内,发现险情并立即采取了紧急制动措施,让列车从约200公里/小时降至99公里/小时,对减少事故损失及其更加惨烈的灾难后果,竭尽了全力,起到了显著作用。尤其是“7.23”事故即将三周年之际,D301次和D3115次列车上所有的幸存者及其家人,乃至整个社会,大家都很有必要对以身殉职的动车司机潘一恒,心存一分敬意;对温州站技教员幺晓强,心存一分肯定。
723温州动车追尾事故现场示意图,如图2所示。
德国动车884次脱线撞桥事故现场图片,如图3所示。
2723温州动车追尾事故现场示意图
 
3:德国动车884次脱线撞桥事故现场图片
 
 
2.2 德国动车脱线撞桥事故的启示
德国199863884次动车脱线撞桥事故后,德国秉承技术严谨的精神,开展了几乎惊人的搜援和调查,不仅更换了所有车轮,更进行了长达5年的技术调查和法律审判。该事故的主要原因是检修人员对车轮的检查不够彻底。但是,德国铁路公司仍然坚持认为车轮和检测程序均符合当时的检测标准,只是工程师们无法预测车轮出现裂缝。
尽管人们一度对高铁失去信心,但是德国及时透明的调查研究,与媒体和公众的积极沟通,最终让人们逐步重拾信心。(详见视频:德国高铁惊魂 http://v.pps.tv/play_38WFKI.html)。
启示一:只要是当时技术条件下作业程序(标准)规定的内容,有关工作人员作业中一项不漏地执行了,那么,则没有责任。国家、社会、企业要理所当然地为之担当。
启示二:全方位维护自己国家的前沿技术及其产业和品牌效应,是社会共识。
启示三:尤其是在前沿技术领域,发现问题,解决问题,绝不因噎废食,是必须坚持的科学精神。
 
2.3 德国动车脱线撞桥事故的国际影响
德国199863日动车脱线撞桥事故之前,美国当时正准备购买德国的高铁技术。事故之后,美国放弃了购买计划。这一历史性的放弃,让美国至今也没一寸高铁,这让美国在高铁技术并产业和应用领域,几乎一片空白,追悔莫及。
中国在本世纪初考虑多方位引进高铁技术时,并没有因为德国199863日发生动车脱线撞桥事故而将其拒之门外,反而是充分利用了当时的价格有利条件与多家竞争的有利条件而抓住了良机。
今天,中国开通并运营的高铁已过万公里,其经济优势、国防优势,充分彰显。尤其是国产化并大批量的产业后劲和创新潜力,正在井喷式迸发。
 
3、从技术层面反思温州动车事故
通过图解法,特别是在技术层面,笔者结合“7.23”事故调查报告,反思如下:
事故调查报告在介绍事故原因时,以521字内容这样描述:“经调查认定,导致事故发生的原因是:通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱,通号集团作为甬温线通信信号集成总承包商履行职责不力,致使为甬温线温州南站提供的LKD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。铁道部在LKD2-T1型列控中心设备招投标、技术审查、上道使用等方面违规操作、把关不严,致使其在温州南站上道使用。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后,采集数据不再更新,错误地控制轨道电路发码及信号显示,使行车处于不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障。使从永嘉站出发驶向温州南站的D3115次列车超速防护系统自动制动,在5829AG区段内停车。由于轨道电路发码异常,导致其三次转目视行车模式起车受阻,740秒后才转为目视行车模式以低于20公里/小时的速度向温州南站缓慢行驶,未能及时驶出5829闭塞分区。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息,使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯,向D301次列车发送无车占用码,导致D301次列车驶向D3115次列车并发生追尾。上海铁路局有关作业人员安全意识不强,在设备故障发生后,未认真正确地履行职责,故障处置工作不得力,未能起到可能避免事故发生或减轻事故损失的作用。”
 
3.1 反思一:列车控制系统的模块功能
“当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后,采集数据不再更新,错误地控制轨道电路发码及信号显示,使行车处于不安全状态。”
然而,对事故原因之一的如此描述,却没有具体地讲清楚是如何“错误地控制轨道电路发码及信号显示,使行车处于不安全状态”的。也就是说,既然“采集数据不再更新”,那么,“温州南站列控中心采集驱动单元”与“轨道电路并机车上的列车超速防护系统(ATP)”,究竟是怎样的联锁关系及实况工作状态,没有进行具体描述,进而显得不够完备。
尽管事故报告在介绍事故经过部分提到:“雷击还造成轨道电路与列控中心信号传输的CAN总线阻抗下降,使5829AG轨道电路与列控中心的通信出现故障,造成5829AG轨道电路发码异常,在无码、检测码、绿黄码间无规律变化,在温州南站计算机联锁终端显示永嘉站至温州南站下行线三接近(以下简称下行三接近,即5829AG区段)‘红光带’”。但是,也没有准确地告知具体是在什么时间至什么时间,发码异常的5829AG轨道电路究竟发的是什么码?对信号及联锁产生的直接影响是什么?这对事故鉴定与结论无比重要。因此,其表述显得不够完备。
(笔者注:联锁,铁路信号术语。是指信号系统相关设备彼此间的相互联系及其逻辑上的制约关系。)
难道由于“5829AG轨道电路发送器与列控中心通信故障”让前行的D3115次停车的事实,竟然就“使行车处于不安全状态”?难道遇轨道电路红光带故障情况时,信号设备不该让列车停车?
更有意思的是,信号升级显示必然与信号的联锁关系密切相关,这是铁路信号工作原理的常识。可是,这起铁路交通特别重大事故,其事故报告中涉及“联锁”二字的地方,却仅仅只有两处,而且还不是涉及有关信号机及其联锁关系工作实况的信息。事故报告如此描述方式,能够具备完备性基本原则吗?
不仅如此,事故调查报告在介绍事故相关设备情况时,附有列车运行控制系统的逻辑原理示意图。难道应用已久且技术相当成熟的ZPW-2000A无绝缘轨道电路及其对应的通过信号机和后续追踪而来的D301次列车上的ATP装置,恰好又不具有那张列车运行控制系统逻辑原理示意图(如图4)已经明确揭示的直接的双向作用并联锁的功能?难道这恰好就不是“故障趋于安全”的ZPW-2000A无绝缘轨道电路之铁路信号系统与列车超速防护系统(ATP)”的基本功能?
可是,ZPW-2000系列无绝缘轨道电路技术条件(标准)》中有这样的技术规定:“5 一般规定 5.7 ZPW-2000系列无绝缘轨道电路必须工作可靠并符合“故障—安全”原则。出现故障后,不能造成地面信号和机车信号显示升级。”然而,事故调查报告中已明确表述,轨道电路故障(5829AG红光带)是D3115次遇红灯停车的原因,因为:“201701秒,调度所列车调度员张华通知D3115次列车司机:在区间遇红灯即转为目视行车模式后以低于20公里/小时速度前进。”因此,ZPW-2000A无绝缘轨道电路在“723”事故过程中,实现了故障趋于安全基本原则要求的功能,同时完备地实现了列车运行控制系统逻辑原理示意图中表明的,轨道电路与ATP之间信息互通并逻辑作用的信号联锁功能。
 “7.23”事故调查报告中的列车运行控制系统示意图,如图4所示:
 
图4:“7.23”事故调查报告中的列车运行控制系统示意图
另据有关技术资料介绍:CTCS2级系统由地面设备和ATP车载设备组成。ATP车载设备包括: 应答器信息接收模块(BTM)、连续信息接收模块(STM)、司机操作界面 (DMI)、DRU(ATP车载设备的记录器)、速度传感器等。地面设备包括: 车站控制中心,ZPW-2000A无绝缘轨道电路,LEU和应答器等。
ATP车载设备系统结构示意图,如图5所示;
ATP车载设备组成示意图,如图6所示。
图5:ATP车载设备系统结构示意图
 
 
 
图6:ATP车载设备组成示意图
 
有关技术资料提供的ATP车载设备主要技术要求是:
 (1)CTCS级别:满足CTCS2级,预留CTCS3级。
 (2)速度目标值,满足250km/h,预留300km/h及以上扩展条件。
 (3)控制模式:目标—距离模式。
 (4)驾驶模式:司机制动优先和设备制动优先两种模式。
 (5)信息传输媒介:控车信息由轨道电路及应答器设备提供
 (6)兼容性:针对不同速度等级线路,满足动车组跨线运行要求。
 (7)列车运行监控记录装置接口:记录信息,切换控车。
 (8)机车信号功能:主体化机车信号功能,通用式机车信号功能。
有关技术资料提供的ATP完全监控模式的前提条件是:
如果ATP车载装置具有“列车控制所需的基本数据、本列车位置、来自轨道电路显示信息、车上列车参数等” ,ATP车载装置就可生成目标制动速度曲线;通过DMI显示列车实际速度、限速、目标速度和目标距离等信息;同时连续监控列车速度,与速度模式比较,自动输出紧急制动或常用制动。
(1)ATP车载装置经常识别自我位置,根据轨道电路的显示信息,判断本车应在某点前停车。轨道电路传来的显示,表示第几个前方闭塞为停车闭塞。
(2)当给出应该停车闭塞时产生紧急制动用速度模式曲线和常用自动制动用速度模式曲线。
关于ATP完全监控模式下的目标速度曲线图,比如,有关技术资料提供的参考信息如图7所示:    
7ATP完全监控模式下的目标速度曲线图
 
现在的问题是,事故调查报告中,没有关于D3115次和D301次实际运行中目标速度曲线的表述,这对相关信号机及轨道电路的工作实况,以及事故调查分析与事故调查报告,显得都不那么完备。
可是,事故报告介绍事故相关设备情况的第4项内容是:“4.列车超速防护系统(ATP)。D3115次、D301次列车均安装有ATP。ATP根据地面设备提供的信号信息控制列车运行。当因轨道电路故障等原因,ATP接收不到信号或接收到非正常的检测信号时,ATP将采取自动制动措施控制列车停车。列车停车后如需继续前行,需要等待2分钟后将ATP从完全监控模式转为目视行车模式,以低于20公里/小时的速度前进。目视行车模式期间,如接收到正常信号,ATP将自动转为完全监控模式。同时,事故报告又在介绍事故经过时有表述:“20时21分46秒至20时28分49秒,因轨道电路发码异常,D3115次列车司机三次转目视行车模式起车没有成功;20时29分26秒,在停留7分40秒后,D3115次列车成功转为目视行车模式启动运行。”然而,事故报告给出的事故原因,却没有提及是究竟是什么具体原因引起的“轨道电路发码异常”这一重要原因事件,因为在此关键时刻,如果没有出现这个致命的“轨道电路发码异常”事件,那么,前行的D3115次就能够顺利转目视模式行车,进而在充足的5分钟时间内(7-2=5),运行离开5829AG轨道电路鼓掌区段,随之绝对避免那次悲惨事故的发生。
因此,没有关于“轨道电路发码异常”这一重要原因事件产生原因的相关描述,这样的事故调查报告,显然是不完备的。
同时,D3115次机车ATP控车模式转目视控车模式的行车过程中,几次都不成功,且耗时5分钟,这个过程及现象意味着:D3115次机车动车上的ATP与“温州南站列控中心采集驱动单元”究竟有没有关系,有什么样的关系,事故报告中没有相关信息,因此显得不完备。
 
3.2 反思二:同样故障前提为何出现不同结果?
铁路信号设备有一个基本的逻辑法则:同一个设备,在同样的故障前提条件下,必然输出同样的结果。反之,不同的输出结果,必是不同的故障原因导致。
关于D3115次遇红灯停车的原因,在“7.23”事故调查报告中这样描述:“当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后,采集数据不再更新,错误地控制轨道电路发码及信号显示,使行车处于不安全状态”。同时,“雷击也造成5829AG轨道电路发送器与列控中心通信故障。使从永嘉站出发驶向温州南站的D3115次列车超速防护系统(ATP)自动制动,在5829AG区段内停车”。
而且,2009分,上海铁路局调度所助理调度员杨向明通知D3115次列车司机何枥:“温州南站下行三接近有‘红光带’,通过信号没办法开放,有可能机车信号接收白灯,停车后转目视行车模式继续行车。”司机又向张华进行了确认。(笔者注:除信号机灯丝故障外,调度员所说的“通过信号没办法开放”,是指该信号机不能开放准许越过的“绿、黄”进行信号的意思,进而必是红灯的意思,是铁路信号的基本联锁功能,此时此情况,是轨道电路故障红光带导致的必然结果。)
再有,201701秒,调度所列车调度员张华通知D3115次列车司机:“在区间遇红灯即转为目视行车模式后以低于20公里/小时速度前进。”
可见:“D3115次在区间遇红灯停车并转目视行车模式”的设备故障前提条件是:第一,F2及系统故障;第二,5829AG轨道电路故障显示红光带。客观条件是:D3115次前方自动闭塞分区无车占用。
那么,由于“因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息”,也就是说,即使是前行的D3115次列车停在5829AG轨道电路区段时的“列车占用信息”在信号设备上“丢失”,但也正好与让D3115次“遇红灯停车”时的三个前提条件一样:F2及系统故障、5829AG轨道电路故障显示红光带、前方无列车占用。因此,如事故调查报告所说的同样的故障现象(原因),为什么恰好就没有让后续追踪而来的D301次也遇红灯停车,反而是一路绿灯呢?
进一步具体分析:事故调查报告明确表明,让D3115次运行中停车的基本原因事件两个,客观情况一个。既:基本原因事件的一个是F2遭雷击熔断后所涉系统无法采集传输数据,另一个是轨道电路故障并相关通过信号机红灯(因调度下达命令D3115次区间遇红灯停车后转目视模式行车);客观条件是:前方自动闭塞分区均无车。
因此,同样地两个基本条件(设备故障:F2及系统并5829AG轨道电路红光带故障)和一个客观条件(无列车占用),则应该导致同样的一个结果:相关通过信号机显示红灯。
可见,通过事故调查报告,问题的焦点在于,同样的故障现象并前提条件,前面让D3115次“遇红灯停车转目视行车”,后面却让D301次面对前方有车占用时反而还一路绿灯地高速运行,进而发生意外。这其间,一定是新出现了一个什么别的重要因素。其极大的一种可能,是信号设备及联锁系统在其间突然出现了另外的什么情况或原因,进而让信号升级显示,随之使D301次绿灯畅行而追尾D3115次的悲剧发生。
 
两个相同的故障条件下,究竟是什么原因,竟然导致对前面的D3115次是红灯,对后续的D301次却是绿灯这种截然不同的信号输出结果呢?
事故调查报告在介绍“事故暴露出各有关方面的主要问题”时,对电务系统问题的描述是:“杭州电务段温州车间和瓯海工区安全基础管理薄弱,组织开展职工安全教育培训不力。电务值班人员虽然不知道信号升级的情况,但没有认真履行岗位职责和严格执行作业标准,得知出现轨道电路故障后,未对永嘉站至温州南站下行三接近、温州南站至瓯海站上行一离去轨道电路故障登记停用即进行检查确认,未经登记联系就对除5829AG之外的轨道电路设备进行插拔更换,违反了《铁路信号维护规则》的有关规定;现场值班负责人对应急值守人员的违规行为未及时制止。”
因此,人们不仅要问:电务维修人员为什么要“未经登记联系就对除5829AG之外的轨道电路设备进行插拔更换”,其维修作业对信号并联锁系统直接的效果是什么?与“由于轨道电路发码异常,导致D3115次三次转目视行车模式起车受阻”是否有关?难道这种“插拔更换”的维修方式竟然对正在工作中的信号及联锁系统没有一丝半点影响?
毫无疑问,事故调查报告中521字的关于事故原因的描述,或有疏漏,进而存在显然的既不充分也不完备的方面。
不仅如此,事故调查报告在对有关通过信号机的描述上,竟然含糊其词:“5829闭塞分区及后续两个闭塞分区防护信,却号错误地显示绿灯”。可是,5829闭塞分区前面的信号机是如何显示的呢?没有相关表述;再有,这个“后续两个闭塞分区防护信号”是指“一、二”接近,还是“四、五”接近之信号机呢?也没有相关表述(笔者注:铁路信号机灯光显示的那方为前方。反之为后方,也就是防护的那方),可是,5829防护信号机前方的连续五架通过信号机当时的显示状态才是问题的关键,因为D301次是从那里开过来的,恰恰与其后方信号机的显示无关。因此,事故调查报告如此技术特征的描述,能够具备完备性吗?
进一步地,自动闭塞分区的轨道电路,都有确定并单一的编号,其对应的通过(防护)信号机,也有自己的编号。然而,“7.23”这件如此重大且被世人强烈关注的事故,在针对有确定编号的轨道电路(5829AG)故障情况进行的调查分析,其事故调查报告,却对区间相关通过信号机不进行明确地号码表述,从技术角度上讲,真乃历史性地罕见。
再进一步地,自动闭塞分区的通过(防护)信号机,不是“非红即绿或无”的简单关系,而是当本通过信号机显示“绿灯”时,前面次一通过信号机是一个绿灯并黄灯的信号显示(技术上称为绿黄显示),前面再次一通过信号机是一个黄灯显示,前面再再次一个通过信号机则是红灯。这是铁路信号系统自动闭塞区段(四显示制)的一系列的联锁逻辑关系。事故调查报告中,没有相关表述,因此,怎能完备地揭示相关通过信号机的动态显示过程并帮助确证相关信号升级显示的根本原因呢?这又怎不让人深感遗憾呢?
永嘉温州南间5829AG轨道电路故障示意图,如图8所示。
8:永嘉—温州南间5829AG轨道电路故障示意图
 
进一步地,事故调查报告没有给出前行的D3115次列车的ATP目标速度曲线实况信息,进而不能让人们清晰地了解其运行过程中,以及区间各通过信号机的显示实况。可是,这项技术调查与表述无比重要,因为通过这些技术信息能够进一步地直接给出“F2及系统、5829AG轨道电路”故障前提条件下的信号联锁关系和信号显示的动态情况,进而能够为后续的D301次运行中恰好遇见与前行的D3115次不同的信号显示实况,提供技术鉴定的方向与思路。因为同一信号设备的同样故障前提,必然输出同样的信号结果,这是常识。既然信号系统实际上已经出现异样的输出结果,那么,其故障前提必然不同,或者说是信号设备的技术前提必然不同,或者说是必然发生了变化。进一步地,查找这项不同或者说突然变化了的故障前提,是发现事故根本原因的方向与关键。
然而,“7.23”事故调查报告提供的信号机不同的故障条件和结果是:“因温州南站列控中心未能采集到前行的D3115次列车在5829AG区段的占用状态信息,使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯,向D301次列车发送无车占用码,导致D301次列车驶向D3115次列车并发生追尾”。
D3115次进入故障的5829AG轨道电路红光带区段示意图,如图9所示。
9D3115次进入故障的5829AG轨道电路红光带区段示意图
 
既然“信息系统采集数据不再更新”,那么,信号为什么要向前行的D3115次显示红灯,而且还使得转换目视行车方式时极其困难(因耗耗费了宝贵的5分钟),却向后续的D301次显示绿灯畅行?难道故障情况是在不断变化的,既然如此,事故调查报告为何不给出这个动态的变化的相关情况呢?
7.23”事故调查报告在其附件2中对红光带给出了名词(术语)解释:“【红光带】对于轨道电路区段,显示设备以红光带表示该轨道区段处于有车占用状态故障状态(如钢轨折断、电缆断线、电源故障等)。”
进一步地,人们不仅要问:在轨道电路故障前提下,其信号联锁系统难道还真能“既要揭示轨道电路故障红光带(5829AG),同时还能揭示并区分出停在其中的列车占用信息(D3115次)的红光带?事故调查报告竟然是如此思路与表述,又怎不让人深感遗憾?
既然5829AG轨道电路已故障并红光带显示,进而不可能让后续进入其中的列车占用红光带信息在设备中体现,那么,又怎能向已经故障的保险管F2所在系统提供列车占用信息呢?进一步地,又怎能导致信号升级显示呢?事故调查报告竟然得出了如此逻辑不严并令人匪夷所思的事故原因之结论,怎不让人深感遗憾?
因此,既然追踪运行的D301次面对的是绿灯通行之实况,那么,其信号设备的联锁逻辑前提条件,必然只能是:第一,前方相关闭塞分区内的轨道电路并信号系统出现无故障状态(恢复正常);第二,前方相关闭塞分区此时此刻即使有车占用,但在信号设备上恰好却表现为无车占用的状态。否则,后续的D301次的ATP系统必然按照前行的D3115次的目标速度曲线模式控制行车,进而停在D3115次的后面,而不是追尾。
显然,问题的焦点在于:F2及相关系统和5829AG轨道电路这两项故障前提,是在什么时候突然消失的?是如何从设备上消失的?同时,信号联锁系统恰好此时此刻是如何实现“不能揭示有车占用”之实际情况的?这是“7.23”追尾事故最终发生的真正核心问题
 
3.3 反思三:信号维修是否直接影响联锁关系?
事故调查报告在介绍事故经过时有这样一段描述:“2015分左右,陈旭军通过询问在行车室内的滕安赐,得知“红光带”已消除,即叫滕安赐准备销记。滕安赐正准备销记,此时5829AG“红光带”再次出现,王晓立即通知滕安赐不要销记。陈旭军将5829AG发送器取下重新安装,工作灯点绿灯。随后,杭州电务段调度沈华庚来电话让陈旭军检查一下其他设备。陈旭军来到微机房,发现列控中心轨道电路接口单元右侧最后两块通信板工作指示灯亮红灯,便取下这两块板,同时取下右侧第三块的备用板插在第二块板位置,此时其工作指示灯仍亮红灯。陈旭军立即(2034分左右)向DMIS(调度指挥管理信息系统)工区询问了可能的原因后,便回到机械室取下三个工作灯亮红灯的接收器。此时列控中心轨道电路接口单元右侧第二块通信板工作指示灯亮绿灯,陈旭军随即将拆下来的两块通信板恢复到两个空位置上,然后通信板工作指示灯亮绿灯。陈旭军在微机室继续观察。”
事故调查报告在对电务系统问题的描述时说:“未经登记联系就对除5829AG之外的轨道电路设备进行插拔更换”。
同时,事故调查报告在第五部分,对事故有关责任人员和责任单位的处理建议中这样表述:“52. 陈旭军,杭州电务段温州车间助理工程师、车间值班人员。履行职责不力。未严格执行作业标准,应急处置不力,未确认下行三接近轨道电路故障设备是否停用即进行维修。对事故发生负有责任,建议给予撤职处分。
也即,事故调查报告在电务人员在信号设备维修上的关键表述分别是:“陈旭军将5829AG发送器取下重新安装,工作灯点绿灯”、“未经登记联系就对除5829AG之外的轨道电路设备进行插拔更换”、“未确认下行三接近轨道电路故障设备是否停用即进行维修”。
因此,问题的焦点与关键在于:在D3115D301的运行过程中,电务人员对信号的维修作业与过程,究竟对相关信号及联锁系统产生了哪些影响?每一维修项目的具体时间是多少?其间,相关通过信号机究竟是如何显示的202757轨道电路信号异常跳变D3115次转目视行车模式不成功是否有关?在前行D3115次同样故障条件下,与D301次却遇绿灯通行是否有关?事故调查报告没有这些技术鉴定方面的表述,哪怕是排除性方面的描述也没有,这又怎不让人深感遗憾?
进一步地,人们不难推测,难道是在“202757秒的轨道电路信号异常跳变”之后,同时出现了“5829AG轨道电路故障红光带”突然消失、且D3115次恰好停于“5829AG轨道电路”故障区段并出现“占用丢失”的巧合情况?从而才有可能让相关信号机升级为绿灯显示,进而让追踪开来的D301次不可能触发列车运行超速控制系统(ATP)功能而保持原来速度运行,直到司机发现险情紧急制动,但因距离较近而追尾冲突的悲惨结果。可是,事故调查报告中没有对此可能情况进行排除的表述,这又怎不让人深感遗憾?
 
3.4 反思四:1997429日,京广线湖南境内的荣家湾车站,曾发生一起列车冲突的特别重大事故。原因是电务信号维修人员违规使用“封连线”,使信号联锁关系失效,导致II道通过的进站信号机显示绿灯时,其相关道岔开通位置与信号显示不一致,且实际开通的是有红光带显示的有车线,从而让准备从II通过的324客车错进4股道,随即与停留在4道的818次客车发生冲突。
事故调查过程中,199753903分至1026分,技术调查组根据“4·29”事故调查领导小组批准的4.29特大事故调查组模拟试验提纲,对429324次旅客列车与818次旅客列车尾部冲突原因进行了现场模拟试验。模拟试验的结果验证了事故发生的原因。
同理,面对“7.23”温州动车追尾事故,人们从事故调查报告中却看不到是否进行模拟试验之调查验证方式的相关信息,哪怕是理论模拟,或者是关于调度指挥、列车运行、相关信号机并轨道电路工作动态过程的逻辑模拟验证的信息,也都没有。难道不进行模拟试验的事故调查分析鉴定,会更完备与科学?难道在“4·29”事故14年后,就没有必要对“7.23”这一特别重大事故(中国高铁的第一次)进行模拟试验,从而对事故调查分析鉴定获得的事故原因进行完全充分的验证?
没有进行模拟实验验证的“7.23”事故调查报告,在技术层面,特别是在信号联锁技术方面,的确进一步让人深感遗憾。
 
4、专家是否都具备专项能力
正如事故调查报告所说,“事故调查组下设技术组、管理组、综合组。同时,聘请了12名铁路运输、电力、电气、自动化、通信、信号、安全管理、建筑等专业领域的专家组成专家组(其中有全国人大代表2名、全国政协委员1名、“两院”院士2名)。邀请最高人民检察院派员参加了事故调查工作。”显然,这是国家对“7.23”事故高度负责的态度。因此,专家们理应在自己的专业领域充分发挥自己独到的技术作用,而不仅仅是权威作用,更何况国际同行始终在强烈地关注着。
术有专攻,众所周知。可是,由专家们参与调查并签名后提出的“7.23”事故调查报告,却或多或少地存在如上述技术反思所涉及到的种种不圆满情况,或者说是不完备的方面,这就给我们提出了另一个值得思考的课题:可以相信专家,可以依靠专家,但是绝对不能依赖专家。因为在“完全且充分”的完备性基本原则前提下,专家一旦离开所属行业与领域,当面对其种种技术难题,专家或许真的还不如业界中的行家。
因此,人们不要对“专家”给予过高的期望,特别是不要给予超能力的期望。“专家”自己,也不要过高地估计自己,尤其是面对跨行业课题研究时,一旦遇到不了解的情况,请务必要谦虚谨慎,多问几个为什么,多查几份资料,或者不妨通过网络多百度几次。技术上与精神上接地气,是专家们需要补充养份并增强内力的一个方面,这是“7.23”事故给我们的另一个启示。
 
5、中国高铁运营与图解法成果
7.23”温州动车事故后,国际社会一直都在高度关注我们的高铁发展与运营实况和未来前景。尤其是运营方面,中国高铁总长已超过一万公里,而且还在不断增加,显然,总要面对这样或那样的情况。因此,如何进一步用好高铁、管好高铁,是中国铁路正在面对的新课题。其中,中国钟表行业的一个历史故事(教训),或将值得引以为戒:
据报载:“1973年中日恢复邦交后,日本曾派出一个具有政府官员和各产业领军人物的庞大访华团。访华过程中,有一项参观北京某手表厂的行程,因为该厂当时从瑞士引进了最先进的精密机床,由于瑞士拒绝该设备出口日本,日本因此特别在意。参观过程中,一日本友人从已加工好的手表齿轮中随意选出一个,仔细一看,上面有一点油污,他友好地请求厂方将之擦试干净。十分钟后,厂方将擦试干净的那个齿轮零件交给那位日本友人,他看后,面带微笑连连称赞。可是,他的内心却一阵窃喜:因为工人把那个齿轮上有油污的地方擦干净了,把没有油污的地方擦脏了。这个现象隐含的效果,意味着尽管中国当时拥有最先进的精密机床,但却没有最先进的管理方式,甚至是先进的管理理念。进一步地,他立即得出初步判断:中国手表产业将不是他们的对手。”
中国钟表产业后来的发展,几乎应证了那位日本友人当时的判断。即:大约到2000年之际,中国的国有钟表产业及品牌,几乎全军覆没。取而代之的是石英钟表技术导致的产业转型,尽管中国的整个钟表行业如雨后春笋(民营、合资),其产量世界第一(占70%),但世界利润占比,却仅有15%。日本产量15%,世界利润占比15%。瑞士产量15%,但是,利润占比却为70%
显然,中国钟表产业的这个故事,或许可以提示人们反思,“7.23”事故过程中的信号维修作业,是否就是“把脏的地方擦干净了,把干净的地方擦脏了”的现代版的另一种形式,只是代价昂贵并付出了40个生命。
显然,中国钟表产业的这个故事或者说是这段历史,对中国高铁的启示不外乎是:我们已经有世界上最先进的,运营里程最长、南北跨度最大、运送旅客最多、运行密度最大的现代高铁运输网络,我们如何将之进一步管理好、使用好、维护好,让国家与社会绝对放心,这既是一个现实的课题,也是对中国铁路现实的考验。
中国高铁刻骨凝心的“7.23”还有一个月就已整整三周年。今天,前沿并创新的图解法应用成果已经公开发表。随之而来,通过图解法,业界真正的行家里手,乃至国际同行中的,大家无疑都更加明晰地看清了“7.23”事故应该进一步深刻反思总结的方方面面。因此,对于这个全新的理论结合实践的研究成果,中国铁路需要一颗敏感并平常的心理来冷静面对,视而不见或可不必;当然,也不要因为成果研发人在企业内不那么名见经传,而忽视其成果现实并重要的学术意义和历史意义;同时,更不要因为作者在网络公开发表了深度研究“7.23”事故的本学术论文,且对事故调查报告进行了几项技术层面的深刻反思与质疑并深表遗憾,进而责怪作者,甚或为难作者,因为那一切都不是作者的错,何况本研究成果在第一时间已向有关部门反应,遗憾的是至今也无半点反馈信息。更何况国内外进一步研究、分析“7.23”该事故的学者或仁人智仕大有人在,笔者仅是拓展了思路,一不小心就走到了前沿,找到了新的方法,随之发现一些问题,进而表达了一点遗憾,仅此而已。
图解法及相关配套方案,或将是中国高铁安全管理走在世界前沿的一项及时的技术支持。
 
6、结语
本论文通过图解法,进一步反复学习与研究了“7.23”事故调查报告,并与德国884次动车脱线撞桥事故进行了对比。
一是分析并得出“‘7.23’温州动车事故发生过程中,D301次司机潘一恒与温州站技教员幺晓强,发现危机时应急措施得当,效果明显,应充分肯定”的技术结论;
二是分析了德国884次动车事故在调查分析方面值得学习的方向与思路,反思了该事故的国际影响以及对我们的启示,随之帮助我们进一步拓展了高铁事故调查分析的视野;
三是明确肯定了“7.23”动车追尾事故过程中,前行D3115次遇设备故障停车并转目视模式行车,足以证明中国高铁“故障趋于安全”的基本法则在技术设备上完备地存在并发挥了正常的作用。同时,对后续追踪而来的D301次动车,在信号设备故障前提下恰好没有遇见红灯的实况,提出了技术分析方面的质疑与可能性分析:一定是还有一个别的什么原因介入到了其中,尤其是信号的维修作业方面,值得进一步深刻反思总结。其中,如果将事故发生过程中每一通过(防护)信号机及其对应的轨道电路的工作运行情况(或者是故障情况)、调度指挥情况、D3115D301次的运行速度曲线,都一并标注于揭示“7.23”事故过程的图解法示意图中,并查明与回答每一项非正常情况(故障)的原因,随之而来,其调查分析与技术鉴定和结论,自然就会完全充分;
四是面对了专家的行业优势与跨行业的不足之现实课题,提示人们:可以依靠专家,但是绝不能在跨行业的技术领域依赖专家。
显然,通过图解法,结合“7.23”事故调查报告并深刻反思,真正的行家里手,特别是国际同行,大家实际上对“7.23”事故的发生过程,已经看得更加清晰了。
面对脚下的道路,作为中国铁路业内的一名运输工程师(车务),能够为中国铁路,特别是为中国高铁的安全管理与发展进步,作一件实实在在的事情,甚或是研究“铁路交通事故调查分析图解法”这样的行业中的前沿课题,是责任使然、能力使然、激情使然、使命使然。因此,无论人们如何评价,也无论业界如何看待,笔者问心无愧,因为独立探索并创新的图解法理论成果,以及结合“7.23”事故调查报告而进行深度分析的本学术论文,对得起国家与社会,对得起企业与公众,对得起天地良心。
我心依然!
 
 
 
二〇一四年六月二十二日于中国衡阳
 
参考资料:
1“7•23”甬温线特别重大铁路交通事故调查报告:http://www.gov.cn/gzdt/2011-12/29/content_2032986.htm安全监管总局网站
2、学术论文:铁路交通事故调查分析图解法 王达水 
http://www.caogen.com/blog/Infor_detail/60669.html
3德国高铁884次动车脱线撞桥事故的视频调查分析资料: http://v.pps.tv/play_38WFKI.html
4ZPW-2000系列无绝缘轨道电路技术条件(标准)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
附:王达水近年关于铁路改革发展的三篇论文
1、中国铁路对中国意味着什么?2012-06-06
http://www.caogen.com/blog/Infor_detail/37067.html
24万亿国铁资产或已被严重低估2012-06-12
http://www.caogen.com/blog/Infor_detail/37533.html
3、关于“383方案”所涉铁路改革的几点质疑(2013-11-14)
http://www.caogen.com/blog/Infor_detail/54833.html
 
 
 
每日关注 更多
王达水 的日志归档
[查看更多]
赞助商广告