陈治良演过饭店的电影:温州动车追尾事故原因：CTCS整体设计存在致命缺陷

温州动车追尾事故原因：CTCS整体设计存在致命缺陷  

最近我找到几篇铁路技术资料来看，没想到每篇资料都有令人惊异之处，CTCS2和CTCS3整体设计是错误的，缺陷是致命的。目前事故调查组只发现/铁道部只承认“列控中心采集板软件”有缺陷，并没发现/承认CTCS整个系统有致命缺陷。问题比调查组/铁道部说的要严重得多，致命缺陷并没有排除，高铁和动车是带着致命隐患运行。CTCS的设计思路，一出发就是错的，从根子上错了。必须立即停止使用CTCS2和CTCS3系统。不要开发CTCS4了。权宜之计是先把CTCS2和CTCS3改回到CTCS1（固定闭塞，由硬件构成），将高铁和动车降速到160km/h，然后开发出别的安全系统取代CTCS，界时才重新提速到300km/h和250km/h。用于普铁的老旧的CTCS1虽然安全系数不高，但绝不象CTCS2和CTCS3那样夺命。目前CTCS2用于200—250km/h线路（如甬温），CTCS3用于300km/h以上线路（如京沪，武广）。按照200km/h以上就是高铁的说法，甬温线也是高铁。

我先看了“CTCS2列车控制系统简介”，这是一篇铁路职工培训教材，我一看就大为惊讶，CTCS2整体设计思想不是为了更安全，而是为了更不安全。这太奇怪了。下图就是CTCS2系统设备构成图。

错误一：闭塞系统（也就是防追尾系统）必须绝对牢靠，起码应该做到10年出一次差错（发生概率），1000年发生一次追尾。但是对行车调度系统的要求就低多了，每天出一次差错也不要紧，全崩溃了也只不过是列车全停在轨道上等命令，影响的只是效率。两个系统可容许的差错率相差十万八千里，怎么被融合到一套系统里了呢？把闭塞系统融合到行车调度系统里，结果造成了闭塞系统的差错率和行车调度系统一样。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html

错误二：红箭头标示的是闭塞系统的信息流动路径，可见其它信息流在干扰闭塞系统信息流，闭塞功能和别的功能共用设备。闭塞系统没有专门设备。

错误三：调度高高在上，象个中央领导，指挥一切，值班员和司机也可以对闭塞系统横加干涉，闭塞系统受制于人工，完全没有强制性和执行力，在整个系统中没有法律地位。

错误四：闭塞区间是虚拟的，并不存在物理上的闭塞区间。靠虚拟的闭塞区间拦住列车，不牢靠。

错误五：虚拟出来的闭塞系统，也只有一个。没有第二套第三套闭塞系统。一旦出错，就没有第二道第三道防线。

错误六：闭塞系统中使用了电脑和单板机，这是绝对忌讳的。当我知道铁道部居然用电脑构建闭塞系统的时候，我当即愣住了，我彻底错愕。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html再昂贵的电脑也有机会出现死机或蓝屏，再完美的软件也有机会出现乱码或进入死循环。你说它没坏，它明明故障了。你说它坏了，可是重启又好了。美国造价昂贵的智能导弹，射出去5颗，结果有1颗打偏了。电脑运算能力超凡，但是不可靠。闭塞系统必须全部使用硬件。铁道部很清楚电脑不可靠，因此铁道部喜欢使用二乘二取二所谓安全计算机，以为4个CPU互相校验就没事了，殊不知这只能避免部分错误，并不能避免全部错误。四个CPU是一样的，输入也是一样的，如果输入信号乱跳，引致软件开开停停，用不了多久软件就会乱套。给输入信号设置延时，提高准入门槛行不行？不行，这会漏掉有用的信号，导致软件该动作而未动作。电脑不是人脑，电脑分不清乱跳的信号是真是假，该不该采信。就算输入稳定，电脑自己也会跑错，CPU，内存，硬盘，每个部件都有跑错的时候。电脑器件频率高，空间小，电流弱，出错不可难免。

铁道部说D301追尾D3115的原因是列控中心采集板的软件编写有缺陷，我认为这种说法值得商榷。输入乱跳导致软件乱套，在所难免。做总体设计的人应该事先就料到软件会出这种错，根本就不该把构建闭塞区间这么重大的任务交给软件去实现。这次把责任归到采集板软件，下次电脑再跑错，责任归到哪？如果是硬件，随便输入信号怎么乱跳，硬件绝不会乱套。硬件唯一要注意的就是响应时间问题，如果超过了硬件的频率范围，输出也会是错的，不超频率范围就包你没事。不过既使先前输入信号超过了硬件的频率范围，导致输出不正确，但只要现在不超频率范围了，马上输出就正确了。轨道电路来的信号频率并不高，再怎么乱跳也不会超过逻辑电路的频率范围。

电脑器件是国外设计制造，铁道部根本不可能改良其可靠性。既然电脑可靠性差是天生的不可改变的，那铁道部为什么还要将其用于闭塞系统？真是一件奇怪的事。电脑设备出故障的时候，很难查到故障出在哪里。如果关机重启，故障现象却不肯重复出现，让人伤透脑筋。这是铁路，每辆列车上有一千多名乘员，车速这么快，车距这么近，稍有差池就会导致追尾。铁道部把乘员的生命交给电脑和单板机掌控，这是冒险。铁道部很疯癫很荒唐，我很意外。

闭塞系统不是手机，不是电游，不是动漫，不是影视编辑，不是图像处理，也不同于调度系统。调度系统使用电脑完全没问题，使用四个CPU互相校验可以使生产效率更有保障。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html但是闭塞系统绝对不能用电脑实现，也不需要用电脑实现，因为闭塞系统并不需要复杂运算，用硬件实现并无问题。某些院士/总工程师/教授不懂什么叫工程(Engineering)，不懂什么叫安全什么叫可靠性。做一万次实验，出现了一次期望中的结果就会欣喜若狂，这个人是在搞科学。做一万次实验，出现8千次期望中的结果，这个人已经在搞技术。做一万个产品，为偶尔出现的几个废品懊恼不已，想尽办法降低出错机率，这个人是在做工程（Engineering）。

对CTCS2系统提出如下更改意见（参见CTCS2系统设备构成图）：

对调度软件我只提一个修改意见，就是不要弄丢了列车。在任何情况下，永远要记着所有的列车，永远要跳出提示框和发出声音报警追问调度：XXX次列车哪里去了？列车在哪个位置失踪的，软件自动禁止任何列车进入该位置后方10公里处。

闭塞系统要设置三套。第一套继续由ZPW-2000A轨道电路领刚，除了向后车发送红绿黄码，在轨道旁安装信号灯以外，还要向后车报告前车位置，方法是：ZPW-2000A轨道电路的编号使用起始端里程公里数加百米数，通过轨道电路向后车发送前车占用的轨道电路的编号，后车用逻辑电路运算减去自己的里程数，和接收到的红绿黄码校验，自动判断是否触发制动（有些技术不便进一步深说了）。第二套由应答器领刚，利用轨旁无线电向机车发送红绿黄码和前车刚越过的应答器的编号（用里程编号）。第三套，前车把自己的里程数直接用无线电发送给后车，后车接收后减去自己的里程数，自动判断是否制动。三种途径报来的前车位置都显示在司机的屏幕上，除了机车自动制动以外，司机也自会权衡风险。

以往的设计，想尽办法向机车发送控制信息，却唯独不肯告诉司机：前车在哪里。也不让机车上的自动装置做判断。地面装置把判断全做了，只把红绿黄码发给机车，这是不对的。司机处于最危险位置，却得不到前车信息，地面上的人和设备没有危险却要判断一切，风险和判断权力完全倒置。我看现在司机只有勤给前车打电话这一个办法了，问：你现在的里程数是多少？必须一分钟打一次电话。

三套系统都使用硬件，自成系统，互相独立。车载接收和运算装置（车载ATP）也全部使用硬件。三套系统都随时向调度监测软件报告运行状态。调度监测软件发现错误要报警，但调度监测软件无权指挥闭塞系统。每天机车入库出库要体检一次，每天检测车要在轨道上来回走一趟。

闭塞系统和道叉的联锁关系只在车站内和机外使用。接近车站时，使用应答器使第三套（前车直接向后车报告位置）闭塞系统关闭，出站再开。不允许使用电脑控制道叉和联锁关系。道叉和联锁状态随时向调度监测软件报告，发现错误及时报警，但软件无权扳道叉和改信号。

决定用软件做闭塞而且只设置一套闭塞系统的人，自己是不是敢365天天天坐在高铁车头？王梦恕和交大的那位教授对高铁安全那么有信心，那应该让他们天天坐在车头体验。王勇平是铁道部的人，从温州回北京也是坐飞机，可见对高铁的信任度如何。有的软件从业人员明知软件经常出错，但还是强烈主张用软件做闭塞，这是什么用意？为了让主张软件者说话负起责任，我建议主张软件者好好设想一下，如果他自己天天坐在车头的话，他是不是还主张用软件做闭塞。为了让设计者负起责任，我认为应该制订法律，拍板敲定高铁总体设计方案的人，具体设计的人，应该在完工运营后天天坐在车头，坐一年时间，以增强其设计时的责任心。看谁还会轻易就说：用软件做闭塞。但是设计用硬件做闭塞的人就不怕坐车头，因为心里有底。

思考到这里，本该结束了，可是有个问题仍然没有答案，一直很纳闷：铁道部为什么放着可靠的方法不用？为什么明知电脑不可靠却偏要用电脑实现闭塞功能？于是我继续寻找资料，我就找到了“CTCS简介”。看到移动闭塞概念的时候，我恍然大悟了，哦，铁道部为了最大限度挖掘生产潜力，为了使行车密度达到最大化，把固定闭塞取消了，把闭塞区间变成可调整的了，当车速慢的时候使闭塞区间自动变小，车速快的时候间距自动拉大，称之为“移动闭塞”或“准移动闭塞”。

问题是，固定闭塞完全可以满足运输需要，根本就没必要搞移动闭塞。在250公里时速的线路上安装固定闭塞设备，每5公里设置一个闭塞区间，列车后方第一个闭塞区间禁入，后方第二个闭塞区间允许后车进入但必须减速，也就是说后车距离前车占用闭塞区间始端10公里时强制减速，距离前车占用闭塞区间始端5公里时强制刹车，这已经是很恰当的设计。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html时速250公里的列车，跑10公里只需2。5分钟，前车刚过去，过2。5分钟后车就赶到了。这样的行车密度已经相当高，一小时最多可通行24列（双向48列），每天满荷通行20个小时的话就是480列，完全够用了。当然了，480列是理想状态，实际运行不可能这么紧凑，也没有这么多客源，客源有高峰有低谷。减一半，也有240列。窍门在于，距前车所占区间10公里时减速，减多少？如果从时速250公里减到200，那么前车后车还是会经常相距5-10公里的，效率蛮高。

高峰期5分钟一班车是可以轻松做到的，3分钟一班车也可以做到，不过前提是设备质量一定要好，一辆车坏在路上就会导致全线停车，一个信号设备故障就会导致全线堵车。运行图要改变编制方法，列车不要分档次，高峰期没有快车慢车之分，所有动车排队而行。象地铁那样运行，效率最高。现在列车分档次太多了，慢车避让快车浪费了运能增加了调度难度。

再看看上述固定闭塞能不能满足制动距离的要求，是否留足了安全空间。《铁路200～250km/h既有线技术管理暂行办法》第39条规定：制动初速度为200km/h时，列车紧急制动距离限值为2000m。200～250km/h速度等级CRH型动车组，制动初速度为250km/h时，紧急制动距离限值为3200m。

可见上述固定闭塞系统10公里减速，5公里刹车，安全空间是恰当的，不宜再缩短。如果距前车10公里触发自动减速的时候发现刹车全部失灵，无奈之下无动力滑行10公里，速度也差不多耗尽了吧（要看是上坡还是下坡）。后车司机发现刹车失灵马上呼叫前车逃跑，还来得及，有2分钟时间做出反应，后车无动力滑行到前车处起码需要3分钟。如果前车的前方有阻，前车无处可逃的话，那也有办法，前车可以先快退3公里然后停住，把握好火候，当后车距前车1公里时前车启动快跑，前车在后车指挥下改变速度值，二车便可平稳相接，然后前车刹车，追尾就避免了。应该作为救难教程，让司机们多练习。如果D3115提早一分钟启动，时速提到50公里以上，D301就追不上D3115，追上了也能接上。

固定闭塞方式每天240列的通行能力，高峰期3分钟一班车，完全够用了，目前甬温线每天只有41班车而已。虽然固定闭塞系统每天可通行240列，但是现在铁道部就肯定做不到240列，因为铁道部根本就组织不好。甬温线每天只有41班车，可是那天D301和D3115都晚点了，可见设备质量和人员素质有多差。机车经常坏，轨道经常修，信号经常故障，旅客上下车太拥挤，慢车给快车让路也浪费运能。有什么问题就应该解决什么问题，可是铁道部不是这样，铁道部解决不了那些问题，铁道部在闭塞区间上打主意，使用所谓准移动闭塞方式（CTCS2和CTCS3），今后还要发展为移动闭塞方式（CTCS4），最大限度地缩短闭塞区间，以降低乘员安全系数为代价换取行车最大自由度。

目前铁道部已经把闭塞区间缩短到什么程度了？根椐报道，追尾地点是在温州南站向北5公里处，那里是温州南站的“下行三接近”，即温州南站向北第三个闭塞区间，由此可以算出CTCS2系统每隔1。5公里至2公里设置一个闭塞区间。事故调查专家组副组长中国工程院院士王梦恕说，每2公里一个闭塞区间，当后车距前车6公里以上时信号灯为绿，当距离只有4公里时信号灯为黄，距离2公里时信号灯为红。王梦恕的本行是挖隧道，2公里一个闭塞区间肯定是别人告诉他的，他的话可能不太准确。他还说，CTCS系统是一种利用雷达原理的自动闭塞系统，很雷人，不知是他听错了记错了，还是别人就是这么告诉他的。不用问铁道部是不是用了雷达做闭塞，自己稍微想想就知道雷达实现不了闭塞。地面物体这么多，雷达哪里分得清哪个是列车啊。列车在几公里以外时，只是一个小点。空中发现一个小点肯定是飞行物，地面不行。那可能有人就要说了，不知道几公里外是不是列车，那发个无线电信号问问，如果对方有回答，不就知道是列车了。你说到点子上了，但这个就不是雷达了，这个就已经接近于世界上最先进的ATP了。其实不用后车向前车发信号问“你是谁”，只要前车发信号“我是谁，我在哪”由后车接收就行了，至于后车发信号那应该向后后车发“我是谁，我在哪”由后后车接收，因为车是排着队一辆接一辆的。铁道部缺的就是这个装置，我相信院士/总工程师是嫌这玩意太简单，不够模登，在他们的体系里这种玩意领不到科研成果大奖，没兴趣！虽然CTCS的规模远不及银河几几，但银河几几就是榜样，是标杆。至于银河会不会跑错数据，那是没人提的。科研计算嘛，可以反复算很多次。列车因为电脑算错而追尾了，你还能把列车再倒回来，让电脑重新算一次吗？

CTCS2闭塞系统的4公里减速，2公里刹车，制动距离够用，但已经很紧，风险偏大。前述固定闭塞是10公里减速，5公里刹车。在CTCS2闭塞系统路段，后车距前车4公里触发自动减速时如果发现刹车全失灵，呼叫前车逃跑有点来不及，展开救难模式就更没有机会，距离太近了没法做。

按照CTCS2闭塞系统的美好设想，前后车可以相距6公里跑250km/h，前车刚过去1分半钟后车就赶到了，这也太密了吧，根本就不需要这么密。难道铁道部想每小时40班车，每天800班？减半也有400班，铁道部真是发达了。铁道部不仅缩短了闭塞区间，而且还把构建闭塞区间的任务交给电脑去虚拟，使风险又增加一层。D301和D3115就是被电脑虚拟的准移动闭塞区间给害了。铁道部疯癫荒唐到了极致，我无语了。

甬温线闭塞区间被设计成2公里，短得不能再短，已经给了行车最大的自由度，可是并没有挽救该铁路的低效率，每天只有41班车还会经常晚点，真不知道铁道部在搞什么鬼。如果固定闭塞区间是5公里但是设备故障少，准移动闭塞区间2公里但是故障多，那当然应该选择固定闭塞。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html

铁道部的CTCS标准分5个等级，从0级到4级。分级的依椐，是功能的繁简，而非可靠性的高低。很明显，在参与制订CTCS标准的专家眼里，功能繁琐就代表高级，代表高级也就代表可靠性高，也就代表安全系数高。可能是科幻大片看多了，对超凡的机器人非常向往。超级机器人因为电脑运算能力超群所以永不失败，受伤了只要一检测一通电就又OK了，可能某些院士总工程师教授就在梦想着哪天把火车变成超级机器人呢。他们现在已经给动车只设一名司机了，他们说没有司机也行的，靠CTCS2可以实现自动驾驶。

“CTCS简介”一文将日本的数字列车运行控制系统I-ATC归类到0级或1级。0级是CTCS标准中最低的一个级别，甚至有专家说0级尚未成为安全系统，是等级外。他们不如直说0级就是垃圾级得了。把日本I-ATC归类到0级或1级的依据是什么呢？文中赫然写道：I-ATC车载设备贮存大量线路数据，通过每一轨道区段的地址编码靠逻辑推断调取所需的线路数据。哦，我明白了！日本人才是真正知道什么叫工程什么叫安全的人！日本人没使用车载电脑，日本人使用的是逻辑电路。日本人果然厉害。“CTCS简介”一文意在贬低日本的方式，可我一看，这明明是在夸日本人高明呢。

文中进一步介绍说，日本人的做法是，在需要列车改变速度的起点，安装地面点式信息设备（可能是应答器），机车上的点式信息设备扫描地面上的点式信息设备（应答器）就知道这是什么区段，用逻辑电路把贮存器里的本区段线路数据调出来，用于改变列车速度。我认为日本人的这种做法是恰当的啊，很工程，很安全，也很省钱，为什么归到0级或1级了呢。这种方法的好处在于，如果地面应答器坏了，机车未能自动更换区段数据，司机还可以手动更换区段数据。

再看CTCS 2级的工作方式：轨道电路（目前铁道部用的是ZPW-2000A，即法国UM71，经“技术革新”后变得故障率奇高）完成列车占用检测及完整性检查，连续向列车传送控制信息；点式信息设备（目前铁道部用的是应答器）传输定位信息、进路参数、线路参数、限速或停车信息。也就是说，机车上事先没贮存线路数据，全靠到时候从地面应答器获取，机车走到哪里就从哪里的应答器获取数据，如果应答器坏了或者传输失败，机车便没有线路数据。如果是在120公里时速的限速路段，未获得线路数据，机车错按200公里时速运行，就会脱轨。

线路数据至关重要，不能使用电脑贮存和运算，最好不要采取临时从地面获取的方式。而CTCS恰恰犯了这两个忌。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html日本人不使用电脑，使用逻辑电路，日本人先把数据贮存在机车上，只从应答器获知这是哪个区段，这样的方式是恰当的。把所有线路数据贮存在机车上，和从地面应答器获取线路数据的方式相比，肯定是贮存在机车上更可靠。地面应答器是露天的，万一被雷轰了呢，再说机车获取地面应答器数据是通过电磁耦合，无线电传输当然不如有线电传输可靠。怎么把较为可靠的方式归入0级和1级，把更不可靠的方式归入2级3级4级了呢？（3级4级也是这种方式）。我一边看这个CTCS标准我就一边惊讶，这是什么破标准啊，简直是人妖颠倒是非不分嘛。日本人的方式固然不完美，但CTCS推崇的方式就更差。我认为最牢靠的做法是：机车上先贮存一份线路数据，临时从地面应答器再获取一份线路数据，两者比较，数据相同才执行，数据不同马上报警。

“CTCS简介”还介绍说：0级适用于列车最高运行速度为160km/h及以下区段，1级面向160km/h及以下区段。然后我就查了日本I-ATC是用于什么区段，结果I-ATC是用于新干线，300km/h。I-ATC的工作方式这么可靠，当然可以用于时速300公里区段。CTCS2和CTCS3装置没有安全性，使用在时速60公里区段都太危险。

铁道部抄袭了日本的车载ATC，但就用电脑取代了逻辑电路，名称也改为车载ATP，用电脑轻易就实现了较为完美的“目标距离控制曲线”，使制动更平滑，乘客感觉更舒适，这成为铁道部的骄傲之一，是领先于世界的标志之一。铁道部另一大骄傲和领先世界之处就是用电脑轻易就实现了准移动闭塞。铁道部就不想想，日本人为什么放着电脑不用，偏要用运算能力极其低下的逻辑电路？日本人真的那么弱智？一定是人家认为电脑太不安全，死活不肯用，人家宁可忍受刹车的不平滑。铁道部也知道电脑不牢靠，所以铁道部才会使用多达四个CPU嘛，指望着4个U互相校验，以为这样就安全了，铁道部敢冒险。日本人不肯冒险，日本人在乎人命。铁道部在刹车装置之前加了一道CPU运算环节，以实现“目标距离控制曲线”，这就象加了一段盲肠，可靠性立即下降到最低点。日本人宁愿用逻辑电路实现“目标距离控制曲线”，刹车平滑度确实不好。铁道部用电脑计算“目标距离控制曲线”，确实使刹车更平滑，乘客感觉更舒适，但却牺牲了安全。能不能用逻辑电路实现完美的“目标距离控制曲线”，实现移动闭塞？所需逻辑电路规模太大，花费太大，高铁是亏损部门，没必要投资于这些不重要的功能。

ZPW-2000A轨道电路是闭塞系统关键器件，所以我又查阅了“ZPW-2000A论文”，文中赫然出现几个字：全程断轨检查！第一次看到时，我还以为说的是全程检查列车占用。再次看到时发现不对，人家说的是如果钢轨断裂了，要用ZPW-2000A检查出来，防止脱轨。什么，钢轨断裂？这事非同小可！铁道部也太荒唐了吧，居然用这种方法检测钢轨断裂。如果钢轨扭曲了但是还没断，如果断裂了一大半还有一小半连着，轨道电路是检测不到的。等到轨道电路检测到了，那就是全断了。全断了才发现，这也未免发现得太晚了吧。铁道部把断轨检查任务交给轨道电路，而且要求做到全程断轨检查，这说明断轨问题十分严重。不可思议。难以想象。

按说钢轨在断裂之前有个发展过程，从细小裂纹到中裂纹再到大裂纹，发展到致命裂纹然后断裂。钢轨内部有伤难道检测不出来？查了一下，铁路配备专人背着超声波探伤仪沿线检测，还有探伤车。是不是嫌探伤车只有50公里时速，不想让它影响运输啊。难道钢轨，特别是焊缝，会从完全无伤瞬间变成断裂？以致于必须要用ZPW-2000A轨道电路第一时间发现？

是不是该用重载钢轨的地方却用了轻载钢轨，是不是发现了内伤却迟迟不肯换钢轨，是不是买了小厂的钢轨，是不是钢轨杂质多材质不均匀，是不是焊接质量不好，是不是道钉没拧紧？

用ZPW-2000A全程检查断轨，这个思路是错的，得不偿失。为了实现全程检查，ZPW-2000A已布置于几乎全程轨道，为此需要每隔一百米给钢轨加一个电容，所以大大提高了故障率。查阅“ZPW-2000A技术标准”得知，ZPW-2000A单套设备平均无故障间隔时间（MTBF）大于或等于4.38×104h/区段，即平均19天故障一次，标准低得惊人。按这个标准估算，全国每天至少有几十处红光带是由轨道电路故障导致的，运输因此受到的损失是多少？电视机MTBF早已超过5万小时。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html根本就不该在钢轨上安装这么多电容，应该恢复法国UM71原来的样子，把故障率降下来。钢轨安全问题要另想办法。

为了实现断轨检查，加长线圈，加多电容，导致检测电路过于灵敏，有时会把雨水当成列车而出现红光带。D3115司机反复喃喃自语这么一句话：“我这一生都不会再开车了，我没有责任的。当时我说能过去的，应该走的，但他非要让我停。”很明显，这个司机不知道“断轨也是导致红光带的原因之一”。调度估计是雨水导致红光带，所以放了两辆车进去。但工务还没消记，断轨可能性不能排除，让D3115在该路段以20公里时速前进已属冒险。

ZPW-2000A几乎全程布置于轨道，于是信号部门又有新主意了，用它往机车上传送控制列车的信息。问题是ZPW-2000A已被改得故障率奇高，如何顺利完成传送信息功能？他们总是想方设法向列车传送更多的控制信息，以实现地面控制列车，所以我说他们是想把列车变成超级机器人，我没说错。列车安全，关键在于管住4件事：1，防追尾。2，防超速导致脱轨。3，避免列车进错道叉。4，避免机车冲红灯。只要这四件事用硬件设备管住了，调度把列车放进区间，就任由司机操作就是了，为什么还要向机车发送那么多控车信息？调度要想干涉司机，打电话就行了。

防止脱轨的正确做法是在钢轨内侧加装护轨。研究在轮子两侧加装护罩，轮子掉下去以后，护罩卡住钢轨，限制列车横向移动。加了护轨以后，也就不能使用ZPW-2000A做断轨检查了，这就对了。

目前ZPW-2000A单套设备平均无故障间隔时间（MTBF）大于或等于4.38×104h/区段，即19天。假定ZPW-2000A所有故障中有1/10是“有车占用却未检测到”，假定前车向后车直接发射方式的闭塞装置平均无故障时间是10年，假定应答器闭塞装置平均无故障时间是1年，假定全国有2万个闭塞区间，每天检查一遍这些装置，在三种防追尾装置全部使用的情况下，三种装置在某个闭塞区间的某一天同时失效的概率是30年发生一次（在全国2万个闭塞区间中，30年只发生一例三种装置在某个闭塞区间同时失效）。三种装置都失效不等于后车就能追上前车，多数情况下后车追不上前车，再加上人工盯车，假定只有10分之1造成了事故，也即300年发生一次追尾事故。这是最保守的算法。事实上车-车闭塞装置在最初10年里故障率很低，10年后才故障率急增，等到10年期限到了就把它们退役了。应该设法把ZPW-2000A平均无故障时间提高到5万小时，使应答器闭塞系统平均无故障时间也达到5万小时，这样三种闭塞装置在某个闭塞区间同时失效的概率为2千年一次，2万年才发生一次追尾事故。

由于CTCS2和CTCS3不可信赖，所以现在铁道部只能加强人工盯车。人工也会有疏忽松懈的时候，因此发生追尾的可能性太高。需要尽快用硬件闭塞设备代替。在新的安全系统开发出来之前，应该先退回到CTCS1。CTCS1闭塞系统由硬件构成，是固定闭塞，一直用于普铁，虽然不太好但也比CTCS2和CTCS3可靠得多。一定有人以为我夸大了风险，说现在高铁和动车天天在跑，也没天天追尾啊。第一，是的，电脑也不是天天死机，乱码的时候少，不乱码的时候还是多。标准不一样。1年追尾一次的话，他认为可以坐，可以赌。我认为10年发生一次追尾事故都概率太高，应该2万年发生一次。第二，现在高铁和动车车次还少，所以相撞的机会还不多。第三，温州事故之后，铁道部加强了人工盯车，已经在一定程度上改回到了原始的人工方式。但是，过了这阵风，铁路职工就会松懈。车速太快，盯车是很劳累的，时间长了就麻木了，如果哪天刚好两个职工全走神，就出事故了。温州事故说穿了就是因为那天设备恰巧坏了，调度恰巧大意了，值班员恰巧也大意了。平时设备坏的情况并不少，职工疏忽的情况也不少，但是设备坏了而几名职工碰巧全都大意了就很少遇到，遇上了就是事故。本次事故可能确如铁道部所说是由于列控中心采集板软件故障导致绿码，但这并不等于说CTCS就只有这一个隐患，改了软件并不能保证以后就安全。那天采集板软件隐患爆发的时候，恰巧两个职工全走神，所以是事故。别的隐患爆发的时候，至少有一个职工没走神，没酿成事故也就没被外界知道。还有更多的隐患今后不定什么时候爆发，爆发时只要有一个职工盯车没走神就不是事故，如果几个职工全走神就是事故。就是说这个系统靠不住，没有用处，应该废弃。作为院士/总工程师/教授，在引进技术的时候，在确定总体方案的时候，应该有最起码的常识和悟性，可是他们根本就不懂工程，引进和设计了一套不好的系统，虽然他们写过书写过论文混上了职称。

另外，我发现很多铁路设计者不恰当地使用了“故障导向安全”法则。导向安全了，也就是停下来了，等解释，等排除，也就耽误了。铁路效率低下肯定和滥用“故障导向安全”有关。什么事稍有不对，就导向安全了。原文地址：http://blog.sina.com.cn/s/blog_05123b600102dsrx.html应该权衡，哪些装置应该导向安全，哪些装置不必。应该多设置第二套第三套替代方案，不需批准立即就换用第二套第三套方案，以免影响运输，而不是动不动就导向安全。要想办法。

巴菲特说，如果走进厨房发现一只蟑螂，蟑螂就肯定不止一只。只看了四篇铁路技术资料就发现了这么多严重问题，如果继续找资料看下去，就会发现更多问题。中国铁路太落后了。以前家电行业也很落后，后来变好了。铁路也到了该变的时候了