九乡新闻网随身碟:温州动车追尾事故原因:CTCS整体设计存在致命缺陷
来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 14:05:48
温州动车追尾事故原因:CTCS整体设计存在致命缺陷 本帖最后由 惠邦 于 2011-8-22 16:21 编辑
温州动车追尾事故原因:CTCS整体设计存在致命缺陷 (2011-08-12 11:01:17)[编辑][删除]
标签: 惠邦ctcszpw-2000aatp动车追尾温州高铁事故轨道电路财经
原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
最近我找到几篇铁路技术资料来看,没想到每篇资料都有令人惊异之处,CTCS2和CTCS3整体设计是错误的,缺陷是致命的。目前事故调查组只发现/铁道部只承认“列控中心采集板软件”有缺陷,并没发现/承认CTCS整个系统有致命缺陷。问题比调查组/铁道部说的要严重得多,致命缺陷并没有排除,高铁和动车是带着致命隐患运行。CTCS的设计思路,一出发就是错的,从根子上错了。必须立即停止使用CTCS2和CTCS3系统。不要开发CTCS4了。权宜之计是先把CTCS2和CTCS3改回到CTCS1(固定闭塞,由硬件构成),将高铁和动车降速到160km/h,然后开发出别的安全系统取代CTCS,界时才重新提速到300km/h和250km/h。用于普铁的老旧的CTCS1虽然安全系数不高,但绝不象CTCS2和CTCS3那样夺命。目前CTCS2用于200—250km/h线路(如甬温),CTCS3用于300km/h以上线路(如京沪,武广)。按照200km/h以上就是高铁的说法,甬温线也是高铁。
我先看了“CTCS2列车控制系统简介”,这是一篇铁路职工培训教材,我一看就大为惊讶,CTCS2整体设计思想不是为了更安全,而是为了更不安全。这太奇怪了。下图就是CTCS2系统设备构成图。
下载 (52.55 KB)
2011-8-22 16:19
为了让非专业人士看得明白,我先简单说一说到底问题出在哪:后车D301通过什么渠道知道前车D3115位置呢?事实上后车不能直接知道前车位置,铁道部没采用“前车直接向后车发送信息的装置”。铁道部使用的曲折复杂的路径就是(如上图),前车占用了该段轨道,轨道上的线圈就感应到了,通过几公里十几公里电缆传到温州南站的轨道电路板,轨道电路板再传给K5B计算机联锁,K5B再传给列控中心TCC采集板(采集板使用软件),采集板传给列控中心电脑,电脑运算之后把判断结果发给K5B,K5B转发给轨道电路板,轨道电路板把或红或绿或黄的电码通过电缆发送到几公里十几公里之外的后车所在轨道的线圈,后车接收线圈信号就收到了红绿黄电码,司机最终看到的是或红或绿或黄的灯,而不是看到前车位置。司机通过红绿黄灯反向推断,才能知道前车在哪个区间。软件偶尔会出错,就好比网上银行转账偶尔会出错,就好比火星探测器软件也会崩溃,铁路这套电脑网络出错是一定的,所以这套系统是荒唐的。
接下来详细说。该套系统错误一:闭塞系统(也就是防追尾系统)必须绝对牢靠,起码应该做到10年出一次差错(发生概率),1000年发生一次追尾。但是对行车调度系统的要求就低多了,每天出一次差错也不要紧,全崩溃了也只不过是列车全停在轨道上等命令,影响的只是效率。两个系统可容许的差错率相差十万八千里,怎么被融合到一套系统里了呢?把闭塞系统融合到行车调度系统里,结果造成了闭塞系统的差错率和行车调度系统一样。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
错误二:红箭头标示的是闭塞系统的信息流动路径,可见其它信息流在干扰闭塞系统信息流,闭塞功能和别的功能共用设备。闭塞系统没有专门设备。
错误三:调度高高在上,象个中央领导,指挥一切,值班员和司机也可以对闭塞系统横加干涉,闭塞系统受制于人工,完全没有强制性和执行力,在整个系统中没有法律地位。
错误四:闭塞区间是虚拟的,并不存在物理上的闭塞区间。靠虚拟的闭塞区间拦住列车,不牢靠。(C2有轨道电路没错,但电脑把区间变成虚拟的了。同样的,C3的应答器也是实实在在的物理器件,可闭塞中心把区间变成虚拟的了)
错误五:虚拟出来的闭塞系统,也只有一个。没有第二套第三套闭塞系统。一旦出错,就没有第二道第三道防线。
错误六:闭塞系统中使用了电脑和单板机,这是绝对忌讳的。当我知道铁道部居然用电脑构建闭塞系统的时候,我当即愣住了,我彻底错愕。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html再昂贵的电脑也有机会出现死机或蓝屏,再完美的软件也有机会出现乱码或进入死循环。你说它没坏,它明明故障了。你说它坏了,可是重启又好了。美国造价昂贵的智能导弹,射出去5颗,结果有1颗打偏了。电脑运算能力超凡,但是不可靠。闭塞系统必须全部使用硬件(指不载有软件的电子装置,不是指CPU,内存,硬盘这些“载有软件的硬件”,下同)。铁道部很清楚电脑不可靠,因此铁道部喜欢使用二乘二取二所谓安全计算机,以为4个CPU互相校验就没事了,殊不知这只能避免部分错误,并不能避免全部错误。四个CPU是一样的,输入也是一样的,如果输入信号乱跳,引致软件开开停停,用不了多久软件就会乱套。给输入信号设置延时,提高准入门槛行不行?不行,这会漏掉有用的信号,导致软件该动作而未动作。电脑不是人脑,电脑分不清乱跳的信号是真是假,该不该采信。就算输入稳定,电脑自己也会跑错,CPU,内存,硬盘,每个部件都有跑错的时候。电脑器件频率高,空间小,电流弱,出错不可难免。
铁道部说D301追尾D3115的原因是列控中心采集板的软件编写有缺陷,我认为这种说法值得商榷。输入乱跳导致软件乱套,在所难免。做总体设计的人应该事先就料到软件会出这种错,根本就不该把构建闭塞区间这么重大的任务交给软件去实现。这次把责任归到采集板软件,下次电脑再跑错,责任归到哪?如果是硬件,随便输入信号怎么乱跳,硬件绝不会乱套。硬件唯一要注意的就是响应时间问题,如果超过了硬件的频率范围,输出也会是错的,不超频率范围就包你没事。不过既使先前输入信号超过了硬件的频率范围,导致输出不正确,但只要现在不超频率范围了,输出就是正确的了,硬件是没有记忆的。轨道电路来的信号频率并不高,再怎么乱跳也不会超过硬件IC的频率范围。软件是有记忆的,一旦错了就会沿着错误的道路继续运算下去。
电脑器件是国外设计制造,铁道部根本不可能改良其可靠性。既然电脑可靠性差是天生的不可改变的,那铁道部为什么还要将其用于闭塞系统?真是一件奇怪的事。电脑设备出故障的时候,很难查到故障出在哪里。如果关机重启,故障现象却不肯重复出现,让人伤透脑筋。这是铁路,每辆列车上有一千多名乘员,车速这么快,车距这么近,稍有差池就会导致追尾。铁道部把乘员的生命交给电脑和单板机掌控,这是冒险。铁道部很疯癫很荒唐,我很意外。
软件从业人员在职业生涯中一定发现过电脑不牢靠,只不过有的人愿意向公众挑明,有的人不愿向公众挑明。还有的软件从业人员是不服输,心想我正在用的这个操作系统不行,我换个更昂贵的操作系统说不定就行,那些经过这认证那认证的操作系统可能就行,说不定军品CPU就行。他们试过之后一定还会发现:仍然不行。这条路永远也没有尽头。虽然错误概率减少了,但仍然存在很多莫名其妙的错误,解决不了。CPU的问题是解决不了的。不仅仅是操作系统好不好,软件编得好不好的问题。就算软件没有BUG,电脑也照样出错,是CPU本身有问题,是CPU器件存在不可解决的问题。软件编写人员如何能解决CPU器件本身的问题?软件编写人员是在沙堆上建大厦,软件人员再努力也是白搭。你编写再用功也只能消除部分错误。前些天我看电脑网,上面讲硬盘的传输正确率是99。99%(好低的正确率啊)。CPU经常会出错,这件事并不是秘密,CPU会出错这一点首先必须得承认对吧。问题是,CPU器件本身到底有什么问题,导致了出错?
一小块地方,集成了多少个单元?每个单元获分配的电流是多少?太微弱了是吧。频率又高,现在主频已经做到3G以上了对吧。收音机短波不超过30M,手机用800M,还没有CPU主频高。CPU内部到底是有线传输还是无线传输?已经说不清了。正确的信号当然是应该来自有线传输,是按有线传输设计的嘛。但实际上呢,单元间隔这么近,各单元不断在0和1之间跳变,事实上每个单元都处于噪杂的无线电环境中。每个单元受别的单元无线电干扰,本单元的跳变也干扰别的单元,到处都在发生“串音”啊。一小块地方,功率几十瓦,发热几十度,每个单元的无线电环境已经不能用噪杂二字形容,应该说已经震耳欲聋了。单元受无线电传输的干扰,这个没办法测量,出现在哪个单元也很随机。如果有人另做个CPU,把CPU每个单元的电流都提高到毫安级,单元间距10厘米,我相信跑错的现象就没有了。这才是解决CPU问题的方向。但是谁会要这么大功率的CPU呢,谁会要这么大体积的CPU呢。所以CPU问题实际上是无解的。无线电环境震耳欲聋是CPU错误率高的原因所在,这一点是我十几年前突然想到的。
既使搞不明白CPU出错的原因,但是CPU会出错这是一种现象,这是常识,从业人员总该是知道的吧。可是铁道部居然不知道这个常识。前几天我一看铁道部的CTCS2,居然用CPU做闭塞,我就吃惊得说不出话来,铁道部怎么用这个做闭塞啊,能不出事吗?CPU错误率高是因为无线电串音,设计CPU的人肯定是知道的,但是这些美国人有没有向世人挑明这一点呢。不管他们设计者售卖者承认不承认,说了没说,反正实际上CPU就是不可靠嘛。推销人员会不会向客户说:我这个CPU会跑错,我采用了CPU所以有时候闭塞系统软件会出错。会有销售人员这么和客户说话吗?设计软件闭塞系统的商家是很无良的。销售人员可能不知道缺陷,但是设计人员和老板肯定知道缺陷,调试的时候会有出错现象的啊,他们有没有把实情告诉世人呢。如果他们把实情告诉世人,还有人买他们的软件闭塞系统吗?应该让闭塞系统设计人员和老板天天坐到高铁车头去体验他们自己的产品,这样的话他们马上不敢设计软件闭塞了,设计好的也不敢卖了。所以需要买家有悟性,一听是用CPU做闭塞就不买了,这是人命关天的地方,不能用CPU。谁决定使用软件闭塞系统的,就让谁天天坐到高铁车头去。只要是怀疑这种技术路线,就不该买了,买家不需要刻意去确认。难道大家买东西的时候不是这样吗,谁愿意买下可疑的东西,把生命托付给这个可疑的东西呢。
闭塞系统不是手机,不是电游,不是动漫,不是影视编辑,不是图像处理,也不同于调度系统。我们打开网页有时出现404 NOT FOUND,可我们还是用电脑上网,不以为意。可是在闭塞系统中如果出现404 NOT FOUND就是没命了。有的电视台正在播放突然画面卡住了,出现马赛克了,那是电脑故障。闭塞系统出马赛克了,所以追尾了。调度系统使用电脑完全没问题,使用四个CPU互相校验可以使生产效率更有保障。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html但是闭塞系统绝对不能用电脑实现,也不需要用电脑实现,因为闭塞系统并不需要复杂运算,用硬件实现并无问题。某些院士/总工程师/教授不懂什么叫工程(Engineering),不懂什么叫安全什么叫可靠性。做一万次实验,出现了一次期望中的结果就会欣喜若狂,这个人是在搞科学。做一万次实验,出现8千次期望中的结果,这个人已经在搞技术。做一万个产品,为偶尔出现的几个废品懊恼不已,想尽办法降低出错机率,这个人是在做工程(Engineering)。
对CTCS2系统提出如下更改意见(参见CTCS2系统设备构成图):
下载 (68.45 KB)
2011-8-22 16:20
对调度软件我只提一个修改意见,就是不要弄丢了列车。在任何情况下,永远要记着所有的列车,永远要跳出提示框和发出声音报警追问调度:XXX次列车哪里去了?列车在哪个位置失踪的,软件自动禁止任何列车进入该位置后方10公里处。
闭塞系统要设置三套。第一套继续由ZPW-2000A轨道电路领刚,除了向后车发送红绿黄码,在轨道旁安装信号灯以外,还要向后车报告前车位置,方法是:ZPW-2000A轨道电路的编号使用起始端里程公里数加百米数,通过轨道电路向后车发送前车占用的轨道电路的编号,后车用逻辑电路运算减去自己的里程数,和接收到的红绿黄码校验,自动判断是否触发制动。第二套由应答器领刚,利用轨旁无线电向机车发送前车刚越过的应答器的编号(用里程编号)。第三套,前车把自己的里程数直接用无线电发送给后车,后车接收后减去自己的里程数,自动判断是否制动。三种途径报来的前车位置都显示在司机的屏幕上,除了机车自动制动以外,司机也自会权衡风险。
以往的设计,想尽办法向机车发送控制信息,却唯独不肯告诉司机:前车在哪里。也不让机车上的自动装置做判断。地面装置把判断全做了,只把红绿黄码发给机车,这是不对的。司机处于最危险位置,却得不到前车信息,地面上的人和设备没有危险却要判断一切,风险和判断权力完全倒置。我看现在司机只有勤给前车打电话这一个办法了,问:你现在的里程数是多少?必须一分钟打一次电话。
三套系统都使用硬件,自成系统,互相独立。车载接收和运算装置(车载ATP)也全部使用硬件。三套系统都随时向调度监测软件报告运行状态。调度监测软件发现错误要报警,但调度监测软件无权指挥闭塞系统。每天机车入库出库要体检一次,每天检测车要在轨道上来回走一趟。
闭塞系统和道叉的联锁关系只在车站内和机外使用。接近车站时,使用应答器使第三套(前车直接向后车报告位置)闭塞系统关闭,出站再开。不允许使用电脑控制道叉和联锁关系。道叉和联锁状态随时向调度监测软件报告,发现错误及时报警,但软件无权扳道叉和改信号。
决定用软件做闭塞而且只设置一套闭塞系统的人,自己是不是敢365天天天坐在高铁车头?王梦恕和交大的那位教授对高铁安全那么有信心,那应该让他们天天坐在车头体验。王勇平是铁道部的人,从温州回北京也是坐飞机,可见对高铁的信任度如何。有的软件从业人员明知软件经常出错,但还是强烈主张用软件做闭塞,这是什么用意?为了让主张软件者说话负起责任,我建议主张软件者好好设想一下,如果他自己天天坐在车头的话,他是不是还主张用软件做闭塞。为了让设计者负起责任,我认为应该制订法律,拍板敲定高铁总体设计方案的人,具体设计的人,应该在完工运营后天天坐在车头,坐一年时间,以增强其设计时的责任心。看谁还会轻易就说:用软件做闭塞。但是设计用硬件做闭塞的人就不怕坐车头,因为心里有底。有人说,任何设计都不存在100%可靠,包括软件硬件。这种说法不对。电子电路传输是100%正确。不象硬盘,还会有99。99%正确一说。无线电电台方式的话,会偶尔受干扰导致接收失败,但发射方是在重复发射简单的串行码,接收方的显示是实时更新的,没有记忆,不会记住错误。但电脑软件就会记住错误并且运算下去。
思考到这里,本该结束了,可是有个问题仍然没有答案,一直很纳闷:铁道部为什么放着可靠的方法不用?为什么明知电脑不可靠却偏要用电脑实现闭塞功能?于是我继续寻找资料,我就找到了“CTCS简介”。看到移动闭塞概念的时候,我恍然大悟了,哦,铁道部为了最大限度挖掘生产潜力,为了使行车密度达到最大化,把固定闭塞取消了,把闭塞区间变成可调整的了,当车速慢的时候使闭塞区间自动变小,车速快的时候间距自动拉大,称之为“移动闭塞”或“准移动闭塞”。
问题是,固定闭塞完全可以满足运输需要,根本就没必要搞移动闭塞。在250公里时速的线路上安装固定闭塞设备,每5公里设置一个闭塞区间,列车后方第一个闭塞区间禁入,后方第二个闭塞区间允许后车进入但必须减速,也就是说后车距离前车占用闭塞区间始端10公里时强制减速,距离前车占用闭塞区间始端5公里时强制刹车,这已经是很恰当的设计。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html时速250公里的列车,跑10公里只需2。5分钟,前车刚过去,过2。5分钟后车就赶到了。这样的行车密度已经相当高,一小时最多可通行24列(双向48列),每天满荷通行20个小时的话就是480列,完全够用了。当然了,480列是理想状态,实际运行不可能这么紧凑,也没有这么多客源,客源有高峰有低谷。减一半,也有240列。窍门在于,距前车所占区间10公里时减速,减多少?如果从时速250公里减到200,那么前车后车还是会经常相距5-10公里的,效率蛮高。
高峰期5分钟一班车是可以轻松做到的,3分钟一班车也可以做到,不过前提是设备质量一定要好,一辆车坏在路上就会导致全线停车,一个信号设备故障就会导致全线堵车。运行图要改变编制方法,列车不要分档次,高峰期没有快车慢车之分,所有动车排队而行。象地铁那样运行,效率最高。现在列车分档次太多了,慢车避让快车浪费了运能增加了调度难度。而且想过没有,小站避让时列车快速通过,万一扳错道叉怎么办?不要说这不可能,有一年湖南一个小站(叫荣家湾?)一个电务工人把接线箱电路改了一下,造成两列车在站内相撞,死伤惨重。小站就不要扳道叉了,把道叉封了算了。大站有权扳道叉,但是进站一律30km/h,扳错道叉导致相撞这个问题不就彻底解决了?车进福州杭州南京还能允许120km/h吗?中国人就喜欢灵活,这里设个开关,那里设个开关,以便随时可以不按规矩行事,好象占了便宜,其实最终吃了亏。我知道铁道部的小九九,不肯封闭小站道叉的原因,就是万一轨道被山体滑坡埋了下行线或上行线,或者工务修路经常需要封闭下行线或上行线,这时可实现单线铁路的距离最短化。如果封了小站道叉,单线铁路就变得很长,铁道部认为这太不划算。那可以折中嘛,温州南,台州,宁波东的道叉保留,但是一律30km/h进站。有道叉的站,一律30km/h进站。无道叉的站不设限。这应该成为一个规矩。现在铁道部弄的是:有道叉的小站,可以高速通过,以免影响效率。这样的做法不对吧。
再看看上述固定闭塞能不能满足制动距离的要求,是否留足了安全空间。《铁路200~250km/h既有线技术管理暂行办法》第39条规定:制动初速度为200km/h时,列车紧急制动距离限值为2000m。200~250km/h速度等级CRH型动车组,制动初速度为250km/h时,紧急制动距离限值为3200m。
可见上述固定闭塞系统10公里减速,5公里刹车,安全空间是恰当的,不宜再缩短。如果距前车10公里触发自动减速的时候发现刹车全部失灵,无奈之下无动力滑行10公里,速度就减慢了很多,撞上去也没那么狠了对吧。后车司机发现刹车失灵马上呼叫前车逃跑,还来得及,有2分钟时间做出反应,后车无动力滑行到前车处起码需要3分钟。如果前车的前方有阻,前车无处可逃的话,那也有办法,前车可以先快退3公里然后停住,把握好火候,当后车距前车1公里时前车启动快跑,前车在后车指挥下改变速度值,二车便可平稳相接,然后前车刹车,追尾就避免了。应该作为救难教程,让司机们多练习。如果D3115提早一分钟启动,时速提到50公里以上,D301就追不上D3115,追上了也能接上。
固定闭塞方式每天240列的通行能力,高峰期3分钟一班车,完全够用了,目前甬温线每天只有41班车而已。虽然固定闭塞系统每天可通行240列,但是现在铁道部就肯定做不到240列,因为铁道部根本就组织不好。甬温线每天只有41班车,可是那天D301和D3115都晚点了,可见设备质量和人员素质有多差。机车经常坏,轨道经常修,信号经常故障,旅客上下车太拥挤,慢车给快车让路也浪费运能。有什么问题就应该解决什么问题,可是铁道部不是这样,铁道部解决不了那些问题,铁道部在闭塞区间上打主意,使用所谓准移动闭塞方式(CTCS2和CTCS3),今后还要发展为移动闭塞方式(CTCS4),最大限度地缩短闭塞区间,以降低乘员安全系数为代价换取行车最大自由度。
目前铁道部已经把闭塞区间缩短到什么程度了?根椐报道,追尾地点是在温州南站向北5公里处,那里是温州南站的“下行三接近”,即温州南站向北第三个闭塞区间,由此可以算出CTCS2系统每隔1。5公里至2公里设置一个闭塞区间。事故调查专家组副组长中国工程院院士王梦恕说,每2公里一个闭塞区间,当后车距前车6公里以上时信号灯为绿,当距离只有4公里时信号灯为黄,距离2公里时信号灯为红。王梦恕的本行是挖隧道,2公里一个闭塞区间肯定是别人告诉他的,他的话可能不太准确。他还说,CTCS系统是一种利用雷达原理的自动闭塞系统,很雷人,不知是他听错了记错了,还是别人就是这么告诉他的。不用问铁道部是不是用了雷达做闭塞,自己稍微想想就知道雷达实现不了闭塞。地面物体这么多,雷达哪里分得清哪个是列车啊。列车在几公里以外时,只是一个小点。空中发现一个小点肯定是飞行物,地面不行。那可能有人就要说了,不知道几公里外是不是列车,那发个无线电信号问问,如果对方有回答,不就知道是列车了。你说到点子上了,但这个就不是雷达了,这个就已经接近于世界上最先进的ATP了。其实不用后车向前车发信号问“你是谁”,只要前车发信号“我是谁,我在哪”由后车接收就行了,至于后车发信号那应该向后后车发“我是谁,我在哪”由后后车接收,因为车是排着队一辆接一辆的。铁道部缺的就是这个装置,我相信院士/总工程师是嫌这玩意太简单,不够模登,在他们的体系里这种玩意领不到科研成果大奖,没兴趣!虽然CTCS的规模远不及银河几几,但银河几几就是榜样,是标杆。至于银河会不会跑错数据,那是没人提的。科研计算嘛,可以反复算很多次。列车因为电脑算错而追尾了,你还能把列车再倒回来,让电脑重新算一次吗?
CTCS2闭塞系统的4公里减速,2公里刹车,制动距离够用,但已经很紧,风险偏大。前述固定闭塞是10公里减速,5公里刹车。在CTCS2闭塞系统路段,后车距前车4公里触发自动减速时如果发现刹车全失灵,呼叫前车逃跑有点来不及,展开救难模式就更没有机会,距离太近了没法做。
按照CTCS2闭塞系统的美好设想,前后车可以相距6公里跑250km/h,前车刚过去1分半钟后车就赶到了,这也太密了吧,根本就不需要这么密。难道铁道部想每小时40班车,每天800班?减半也有400班,铁道部真是发达了。铁道部不仅缩短了闭塞区间,而且还把构建闭塞区间的任务交给电脑去虚拟,使风险又增加一层。D301和D3115就是被电脑虚拟的准移动闭塞区间给害了。铁道部疯癫荒唐到了极致,我无语了。
甬温线闭塞区间被设计成2公里,短得不能再短,已经给了行车最大的自由度,可是并没有挽救该铁路的低效率,每天只有41班车还会经常晚点,真不知道铁道部在搞什么鬼。如果固定闭塞区间是5公里但是设备故障少,准移动闭塞区间2公里但是故障多,那当然应该选择固定闭塞。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
铁道部的CTCS标准分5个等级,从0级到4级。分级的依椐,是功能的繁简,而非可靠性的高低。很明显,在参与制订CTCS标准的专家眼里,功能繁琐就代表高级,代表高级也就代表可靠性高,也就代表安全系数高。可能是科幻大片看多了,对超凡的机器人非常向往。超级机器人因为电脑运算能力超群所以永不失败,受伤了只要一检测一通电就又OK了,可能某些院士总工程师教授就在梦想着哪天把火车变成超级机器人呢。他们现在已经给动车只设一名司机了,他们说没有司机也行的,靠CTCS2可以实现自动驾驶。
“CTCS简介”一文将日本的数字列车运行控制系统I-ATC归类到0级或1级。0级是CTCS标准中最低的一个级别,甚至有专家说0级尚未成为安全系统,是等级外。他们不如直说0级就是垃圾级得了。把日本I-ATC归类到0级或1级的依据是什么呢?文中赫然写道:I-ATC车载设备贮存大量线路数据,通过每一轨道区段的地址编码靠逻辑推断调取所需的线路数据。哦,我明白了!日本人才是真正知道什么叫工程什么叫安全的人!日本人没使用车载电脑,日本人使用的是逻辑电路。日本人果然厉害。“CTCS简介”一文意在贬低日本的方式,可我一看,这明明是在夸日本人高明呢。
文中进一步介绍说,日本人的做法是,在需要列车改变速度的起点,安装地面点式信息设备(可能是应答器),机车上的点式信息设备扫描地面上的点式信息设备(应答器)就知道这是什么区段,用逻辑电路把贮存器里的本区段线路数据调出来,用于改变列车速度。我认为日本人的这种做法是恰当的啊,很工程,很安全,也很省钱,为什么归到0级或1级了呢。这种方法的好处在于,如果地面应答器坏了,机车未能自动更换区段数据,司机还可以手动更换区段数据。
再看CTCS 2级的工作方式:轨道电路(目前铁道部用的是ZPW-2000A,即法国UM71,经“技术革新”后变得故障率很高)完成列车占用检测及完整性检查,连续向列车传送控制信息;点式信息设备(目前铁道部用的是应答器)传输定位信息、进路参数、线路参数、限速或停车信息。也就是说,机车上事先没贮存线路数据,全靠到时候从地面应答器获取,机车走到哪里就从哪里的应答器获取数据,如果应答器坏了或者传输失败,机车便没有线路数据。如果是在120公里时速的限速路段,未获得线路数据,机车错按200公里时速运行,就会脱轨。
线路数据至关重要,不能使用电脑贮存和运算,最好不要采取临时从地面获取的方式。而CTCS恰恰犯了这两个忌。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html日本人不使用电脑,使用逻辑电路,日本人先把数据贮存在机车上,只从应答器获知这是哪个区段,这样的方式是恰当的。把所有线路数据贮存在机车上,和从地面应答器获取线路数据的方式相比,肯定是贮存在机车上更可靠。地面应答器是露天的,万一被雷轰了呢,再说机车获取地面应答器数据是通过电磁耦合,无线电传输当然不如有线电传输可靠。怎么把较为可靠的方式归入0级和1级,把更不可靠的方式归入2级3级4级了呢?(3级4级也是这种方式)。我一边看这个CTCS标准我就一边惊讶,这是什么破标准啊,简直是人妖颠倒是非不分嘛。日本人的方式固然不完美,但CTCS推崇的方式就更差。我认为最牢靠的做法是:机车上先贮存一份线路数据,临时从地面应答器再获取一份线路数据,两者比较,数据相同才执行,数据不同马上报警。
“CTCS简介”还介绍说:0级适用于列车最高运行速度为160km/h及以下区段,1级面向160km/h及以下区段。然后我就查了日本I-ATC是用于什么区段,结果I-ATC是用于新干线,300km/h。I-ATC的工作方式这么可靠,当然可以用于时速300公里区段。CTCS2和CTCS3装置没有安全性,使用在时速60公里区段都太危险。
铁道部抄袭了日本的车载ATC,但就用电脑取代了逻辑电路,名称也改为车载ATP,用电脑轻易就实现了较为完美的“目标距离控制曲线”,使制动更平滑,乘客感觉更舒适,这成为铁道部的骄傲之一,是领先于世界的标志之一。铁道部另一大骄傲和领先世界之处就是用电脑轻易就实现了准移动闭塞。铁道部就不想想,日本人为什么放着电脑不用,偏要用运算能力极其低下的逻辑电路?日本人真的那么弱智?一定是人家认为电脑太不安全,死活不肯用,人家宁可忍受刹车的不平滑。铁道部也知道电脑不牢靠,所以铁道部才会使用多达四个CPU嘛,指望着4个U互相校验,以为这样就安全了,铁道部敢冒险。日本人不肯冒险,日本人在乎人命。铁道部在刹车装置之前加了一道CPU运算环节,以实现“目标距离控制曲线”,这就象加了一段盲肠,可靠性立即下降到最低点。日本人宁愿用逻辑电路实现“目标距离控制曲线”,刹车平滑度确实不好。铁道部用电脑计算“目标距离控制曲线”,确实使刹车更平滑,乘客感觉更舒适,但却牺牲了安全。能不能用逻辑电路实现完美的“目标距离控制曲线”,实现移动闭塞?所需逻辑电路规模太大,花费太大,高铁是亏损部门,没必要投资于这些不重要的功能。
ZPW-2000A轨道电路是闭塞系统关键器件,所以我又查阅了“ZPW-2000A论文”,文中赫然出现几个字:全程断轨检查!第一次看到时,我还以为说的是全程检查列车占用。再次看到时发现不对,人家说的是如果钢轨断裂了,要用ZPW-2000A检查出来,防止脱轨。什么,钢轨断裂?这事非同小可!铁道部也太荒唐了吧,居然用这种方法检测钢轨断裂。如果钢轨扭曲了但是还没断,如果断裂了一大半还有一小半连着,轨道电路是检测不到的。等到轨道电路检测到了,那就是全断了。全断了才发现,这也未免发现得太晚了吧。铁道部把断轨检查任务交给轨道电路,而且要求做到全程断轨检查,这说明断轨问题十分严重。不可思议。难以想象。
按说钢轨在断裂之前有个发展过程,从细小裂纹到中裂纹再到大裂纹,发展到致命裂纹然后断裂。钢轨内部有伤难道检测不出来?查了一下,铁路配备专人背着超声波探伤仪沿线检测,还有探伤车。是不是嫌探伤车只有50公里时速,不想让它影响运输啊。难道钢轨,特别是焊缝,会从完全无伤瞬间变成断裂?以致于必须要用ZPW-2000A轨道电路第一时间发现?是不是该用重载钢轨的地方却用了轻载钢轨,是不是发现了内伤却迟迟不肯换钢轨,是不是买了小厂的钢轨,是不是钢轨杂质多材质不均匀,是不是焊接质量不好,是不是道钉没拧紧?
用ZPW-2000A全程检查断轨,这个思路是错的,得不偿失。为了实现全程检查,ZPW-2000A已布置于几乎全程轨道,为此需要每隔一百米给钢轨加一个电容,所以大大提高了故障率。查阅“ZPW-2000A技术标准”得知,ZPW-2000A单套设备平均无故障间隔时间(MTBF)大于或等于4.38×10000h/区段,即4万多小时,标准不高啊。按这个标准估算,全国每天有十几处红光带是由轨道电路故障导致的,运输因此受到的损失是多少?实际故障率可能超过此数,一遇雷雨天,成片的ZPW2000A故障,幸好普铁ZPW2000A闭塞系统故障了绝大多数情况下会发出红灯,影响的是效率而不是安全。CTCS2和CTCS3用电脑做判断,故障了可能发出绿码,所以还不如普铁安全!电视机MTBF早已超过5万小时。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html根本就不该在钢轨上安装这么多电容,应该恢复法国UM71原来的样子,把故障率降下来。钢轨安全问题要另想办法。
为了实现断轨检查,加长线圈,加多电容,导致检测电路过于灵敏,有时会把雨水当成列车而出现红光带。D3115司机反复喃喃自语这么一句话:“我这一生都不会再开车了,我没有责任的。当时我说能过去的,应该走的,但他非要让我停。”很明显,这个司机不知道“断轨也是导致红光带的原因之一”。调度估计是雨水导致红光带,所以放了两辆车进去。但工务还没消记,断轨可能性不能排除,让D3115在该路段以20公里时速前进已属冒险。
ZPW-2000A几乎全程布置于轨道,于是信号部门又有新主意了,用它往机车上传送控制列车的信息。问题是ZPW-2000A已被改得故障率很高,如何顺利完成传送信息功能?他们总是想方设法向列车传送更多的控制信息,以实现地面控制列车,所以我说他们是想把列车变成超级机器人,我没说错。列车安全,关键在于管住4件事:1,防追尾。2,防超速导致脱轨。3,避免列车进错道叉。4,避免机车冲红灯。只要这四件事用硬件设备管住了,调度把列车放进区间,就任由司机操作就是了,为什么还要向机车发送那么多控车信息?调度要想干涉司机,打电话就行了。
防止脱轨的正确做法是在钢轨内侧加装护轨。研究在轮子两侧加装护罩,轮子掉下去以后,护罩卡住钢轨,限制列车横向移动。加了护轨以后,也就不能使用ZPW-2000A做断轨检查了,这就对了。300km/h的列车脱轨就会飞出去,护轨可能也无济于事,要在轨道两边建钢筋水泥“站台”,使列车在槽中运行。
如果铁道部今后增添前车向后车直接发射方式的硬件闭塞装置,增添应答器硬件闭塞装置(目前CTCS3用应答器做列车占用检查,但却把占用信息传到软件构成的闭塞中心去判断,这是重大隐患,应改用纯硬件方式,自成系统),在三种防追尾装置全部使用的情况下,如果每天检查一次这三种装置,三种装置在某个闭塞区间的某一天同时失效的概率是3000年发生一次。三种装置都失效不等于后车就能追上前车,多数情况下后车追不上前车,再加上人工盯车,假定只有10分之1造成了事故,也即30000年发生一次追尾事故。就是说,普铁中使用的固定闭塞装置继续使用,应该另外再增添两种固定闭塞装置,如果全国铁路每天检查一遍这三种装置的话(铁路也可能一星期检查一次,也可能一月检查一次,于是发生事故的概率就不同了),如果人工盯车不松懈的话,就可以做到3万年发生一次追尾事故的概率。
媒体报道,有人在网上银行转账,银行确认已转出,可是对方账户没收到,钱没了。这如果是在铁路,列车就被电脑弄丢了,追尾了。银行的电脑系统不比铁路的差。通过银行转账弄丢了钱,过后还可以找银行柜台,通过人工找回来,列车追尾了怎么找回来?有人说,航天飞机也用电脑,火星探测器也用电脑,为什么闭塞系统就用不得?宇航员登上航天飞机的时候,他是知道风险有多大的。能要求旅客上火车的时候感觉自己是在上航天飞机吗?航天飞机有几十上百人盯着,电脑一旦不妥马上重启,能安排这么多人盯着一辆列车吗?航天飞机非常少,而每天成千上万辆火车在跑,如果航天飞机一万架,事故率一定很高。航天飞机用电脑那是没办法,不用不行。列车闭塞系统不用电脑是可行的。有人说飞机也用电脑。飞机不同的,飞机在三维空间运动,如果电脑搞错了前方情况,驾驶员可以马上避开障碍物。飞机可以躲,列车没地方躲,列车是一维空间运动。有人说汽车也用CPU。汽车撞车而气囊没弹出的事例发生过不少。汽车快速前进的时候遇障碍自动刹车功能,谁也不想平时就试试这个功能对吧,真正用到的时候是不是百分百可靠发挥作用,很难说。如果事例多了,自然就有失败的案例。有人说,CTCS是取自欧洲,大部分来自西门子,西门子还不信?我认为不要迷信欧洲人,欧洲人/西门子如果用软件做闭塞的话,追尾是迟早的事。这是概率问题。用软件闭塞可能几年几十年发生一次追尾。前述三种硬件闭塞装置全用的话,2万年发生一次。
由于CTCS2和CTCS3不可信赖,所以现在铁道部只能加强人工盯车。人工也会有疏忽松懈的时候,因此发生追尾的可能性太高。需要尽快用硬件闭塞设备代替。在新的安全系统开发出来之前,应该先退回到CTCS1。CTCS1闭塞系统由硬件构成,是固定闭塞,一直用于普铁,虽然不太好但也比CTCS2和CTCS3可靠得多。一定有人以为我夸大了风险,说现在高铁和动车天天在跑,也没天天追尾啊。第一,是的,电脑也不是天天死机,乱码的时候少,不乱码的时候还是多。标准不一样。1年追尾一次的话,他认为可以坐,可以赌。我认为10年发生一次追尾事故都概率太高,应该2万年发生一次。第二,现在高铁和动车车次还少,所以相撞的机会还不多。第三,温州事故之后,铁道部加强了人工盯车,已经在一定程度上改回到了原始的人工方式。但是,过了这阵风,铁路职工就会松懈。车速太快,盯车是很劳累的,时间长了就麻木了,如果哪天刚好两个职工全走神,就出事故了。温州事故说穿了就是因为那天设备恰巧坏了,调度恰巧大意了,值班员恰巧也大意了。平时设备坏的情况并不少,职工疏忽的情况也不少,但是设备坏了而几名职工碰巧全都大意了就很少遇到,遇上了就是事故。本次事故可能确如铁道部所说是由于列控中心采集板软件故障导致绿码,但这并不等于说CTCS就只有这一个隐患,改了软件并不能保证以后就安全。那天采集板软件隐患爆发的时候,恰巧两个职工全走神,所以是事故。别的隐患爆发的时候,至少有一个职工没走神,没酿成事故也就没被外界知道。还有更多的隐患今后不定什么时候爆发,爆发时只要有一个职工盯车没走神就不是事故,如果几个职工全走神就是事故。就是说这个系统靠不住,没有用处,应该废弃。
作为院士/总工程师/教授,在引进技术的时候,在确定总体方案的时候,应该有最起码的常识和悟性,可是他们根本就不懂工程,引进和设计了一套不好的系统,虽然他们写过书写过论文混上了职称。C2C3闭塞系统的缺陷如此明显,铁道部有研究院,有大学,怎么就没人看出来呢?连CPU会出错这个常识都不知道?硬件比软件可靠都不懂?控制环节越少越好的道理不懂?他们不但没指出C2C3有缺陷,反而还一再向公众表态:这套系统很安全。以致于动车司机也被误导,一直以为动车“最先进、最安全”。很多司机在获知追尾时的第一反应,都是一连极用力的几个“绝对不可能”。“我可以这么说,最亲的亲人你可以不相信,这个信号也是值得信任的。”动车司机全被蒙蔽了。为什么C2C3设计缺陷如此明显,铁道信号专业的学者都没指出来,这肯定是中国的大学教育出了问题,教材有问题。写教材的就是教授嘛,教授不懂行。媒体报道:在国内多位从事轨道信号研究的学者眼中,这起事故简直不可思议——出事线路及车辆沿用了欧洲等现有成熟技术,即便是动车司机睡着了也不会发生追尾。这些学者不可思议这场事故,我不可思议这些学者。他们到现在还没看出C2C3缺陷在哪里么?
另外,我发现很多铁路设计者不恰当地使用了“故障导向安全”法则。导向安全了,也就是停下来了,等解释,等排除,也就耽误了。铁路效率低下肯定和滥用“故障导向安全”有关。什么事稍有不对,就导向安全了。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html应该权衡,哪些装置应该导向安全,哪些装置不必。应该多设置第二套第三套替代方案,不需批准立即就换用第二套第三套方案,以免影响运输,而不是动不动就导向安全。要想办法。
巴菲特说,如果走进厨房发现一只蟑螂,蟑螂就肯定不止一只。只看了四篇铁路技术资料就发现了这么多严重问题,如果继续找资料看下去,就会发现更多问题。中国铁路太落后了。以前家电行业也很落后,后来变好了。铁路也到了该变的时候了。
温州动车追尾事故原因:CTCS整体设计存在致命缺陷 (2011-08-12 11:01:17)[编辑][删除]
标签: 惠邦ctcszpw-2000aatp动车追尾温州高铁事故轨道电路财经
原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
最近我找到几篇铁路技术资料来看,没想到每篇资料都有令人惊异之处,CTCS2和CTCS3整体设计是错误的,缺陷是致命的。目前事故调查组只发现/铁道部只承认“列控中心采集板软件”有缺陷,并没发现/承认CTCS整个系统有致命缺陷。问题比调查组/铁道部说的要严重得多,致命缺陷并没有排除,高铁和动车是带着致命隐患运行。CTCS的设计思路,一出发就是错的,从根子上错了。必须立即停止使用CTCS2和CTCS3系统。不要开发CTCS4了。权宜之计是先把CTCS2和CTCS3改回到CTCS1(固定闭塞,由硬件构成),将高铁和动车降速到160km/h,然后开发出别的安全系统取代CTCS,界时才重新提速到300km/h和250km/h。用于普铁的老旧的CTCS1虽然安全系数不高,但绝不象CTCS2和CTCS3那样夺命。目前CTCS2用于200—250km/h线路(如甬温),CTCS3用于300km/h以上线路(如京沪,武广)。按照200km/h以上就是高铁的说法,甬温线也是高铁。
我先看了“CTCS2列车控制系统简介”,这是一篇铁路职工培训教材,我一看就大为惊讶,CTCS2整体设计思想不是为了更安全,而是为了更不安全。这太奇怪了。下图就是CTCS2系统设备构成图。
下载 (52.55 KB)2011-8-22 16:19
为了让非专业人士看得明白,我先简单说一说到底问题出在哪:后车D301通过什么渠道知道前车D3115位置呢?事实上后车不能直接知道前车位置,铁道部没采用“前车直接向后车发送信息的装置”。铁道部使用的曲折复杂的路径就是(如上图),前车占用了该段轨道,轨道上的线圈就感应到了,通过几公里十几公里电缆传到温州南站的轨道电路板,轨道电路板再传给K5B计算机联锁,K5B再传给列控中心TCC采集板(采集板使用软件),采集板传给列控中心电脑,电脑运算之后把判断结果发给K5B,K5B转发给轨道电路板,轨道电路板把或红或绿或黄的电码通过电缆发送到几公里十几公里之外的后车所在轨道的线圈,后车接收线圈信号就收到了红绿黄电码,司机最终看到的是或红或绿或黄的灯,而不是看到前车位置。司机通过红绿黄灯反向推断,才能知道前车在哪个区间。软件偶尔会出错,就好比网上银行转账偶尔会出错,就好比火星探测器软件也会崩溃,铁路这套电脑网络出错是一定的,所以这套系统是荒唐的。
接下来详细说。该套系统错误一:闭塞系统(也就是防追尾系统)必须绝对牢靠,起码应该做到10年出一次差错(发生概率),1000年发生一次追尾。但是对行车调度系统的要求就低多了,每天出一次差错也不要紧,全崩溃了也只不过是列车全停在轨道上等命令,影响的只是效率。两个系统可容许的差错率相差十万八千里,怎么被融合到一套系统里了呢?把闭塞系统融合到行车调度系统里,结果造成了闭塞系统的差错率和行车调度系统一样。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
错误二:红箭头标示的是闭塞系统的信息流动路径,可见其它信息流在干扰闭塞系统信息流,闭塞功能和别的功能共用设备。闭塞系统没有专门设备。
错误三:调度高高在上,象个中央领导,指挥一切,值班员和司机也可以对闭塞系统横加干涉,闭塞系统受制于人工,完全没有强制性和执行力,在整个系统中没有法律地位。
错误四:闭塞区间是虚拟的,并不存在物理上的闭塞区间。靠虚拟的闭塞区间拦住列车,不牢靠。(C2有轨道电路没错,但电脑把区间变成虚拟的了。同样的,C3的应答器也是实实在在的物理器件,可闭塞中心把区间变成虚拟的了)
错误五:虚拟出来的闭塞系统,也只有一个。没有第二套第三套闭塞系统。一旦出错,就没有第二道第三道防线。
错误六:闭塞系统中使用了电脑和单板机,这是绝对忌讳的。当我知道铁道部居然用电脑构建闭塞系统的时候,我当即愣住了,我彻底错愕。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html再昂贵的电脑也有机会出现死机或蓝屏,再完美的软件也有机会出现乱码或进入死循环。你说它没坏,它明明故障了。你说它坏了,可是重启又好了。美国造价昂贵的智能导弹,射出去5颗,结果有1颗打偏了。电脑运算能力超凡,但是不可靠。闭塞系统必须全部使用硬件(指不载有软件的电子装置,不是指CPU,内存,硬盘这些“载有软件的硬件”,下同)。铁道部很清楚电脑不可靠,因此铁道部喜欢使用二乘二取二所谓安全计算机,以为4个CPU互相校验就没事了,殊不知这只能避免部分错误,并不能避免全部错误。四个CPU是一样的,输入也是一样的,如果输入信号乱跳,引致软件开开停停,用不了多久软件就会乱套。给输入信号设置延时,提高准入门槛行不行?不行,这会漏掉有用的信号,导致软件该动作而未动作。电脑不是人脑,电脑分不清乱跳的信号是真是假,该不该采信。就算输入稳定,电脑自己也会跑错,CPU,内存,硬盘,每个部件都有跑错的时候。电脑器件频率高,空间小,电流弱,出错不可难免。
铁道部说D301追尾D3115的原因是列控中心采集板的软件编写有缺陷,我认为这种说法值得商榷。输入乱跳导致软件乱套,在所难免。做总体设计的人应该事先就料到软件会出这种错,根本就不该把构建闭塞区间这么重大的任务交给软件去实现。这次把责任归到采集板软件,下次电脑再跑错,责任归到哪?如果是硬件,随便输入信号怎么乱跳,硬件绝不会乱套。硬件唯一要注意的就是响应时间问题,如果超过了硬件的频率范围,输出也会是错的,不超频率范围就包你没事。不过既使先前输入信号超过了硬件的频率范围,导致输出不正确,但只要现在不超频率范围了,输出就是正确的了,硬件是没有记忆的。轨道电路来的信号频率并不高,再怎么乱跳也不会超过硬件IC的频率范围。软件是有记忆的,一旦错了就会沿着错误的道路继续运算下去。
电脑器件是国外设计制造,铁道部根本不可能改良其可靠性。既然电脑可靠性差是天生的不可改变的,那铁道部为什么还要将其用于闭塞系统?真是一件奇怪的事。电脑设备出故障的时候,很难查到故障出在哪里。如果关机重启,故障现象却不肯重复出现,让人伤透脑筋。这是铁路,每辆列车上有一千多名乘员,车速这么快,车距这么近,稍有差池就会导致追尾。铁道部把乘员的生命交给电脑和单板机掌控,这是冒险。铁道部很疯癫很荒唐,我很意外。
软件从业人员在职业生涯中一定发现过电脑不牢靠,只不过有的人愿意向公众挑明,有的人不愿向公众挑明。还有的软件从业人员是不服输,心想我正在用的这个操作系统不行,我换个更昂贵的操作系统说不定就行,那些经过这认证那认证的操作系统可能就行,说不定军品CPU就行。他们试过之后一定还会发现:仍然不行。这条路永远也没有尽头。虽然错误概率减少了,但仍然存在很多莫名其妙的错误,解决不了。CPU的问题是解决不了的。不仅仅是操作系统好不好,软件编得好不好的问题。就算软件没有BUG,电脑也照样出错,是CPU本身有问题,是CPU器件存在不可解决的问题。软件编写人员如何能解决CPU器件本身的问题?软件编写人员是在沙堆上建大厦,软件人员再努力也是白搭。你编写再用功也只能消除部分错误。前些天我看电脑网,上面讲硬盘的传输正确率是99。99%(好低的正确率啊)。CPU经常会出错,这件事并不是秘密,CPU会出错这一点首先必须得承认对吧。问题是,CPU器件本身到底有什么问题,导致了出错?
一小块地方,集成了多少个单元?每个单元获分配的电流是多少?太微弱了是吧。频率又高,现在主频已经做到3G以上了对吧。收音机短波不超过30M,手机用800M,还没有CPU主频高。CPU内部到底是有线传输还是无线传输?已经说不清了。正确的信号当然是应该来自有线传输,是按有线传输设计的嘛。但实际上呢,单元间隔这么近,各单元不断在0和1之间跳变,事实上每个单元都处于噪杂的无线电环境中。每个单元受别的单元无线电干扰,本单元的跳变也干扰别的单元,到处都在发生“串音”啊。一小块地方,功率几十瓦,发热几十度,每个单元的无线电环境已经不能用噪杂二字形容,应该说已经震耳欲聋了。单元受无线电传输的干扰,这个没办法测量,出现在哪个单元也很随机。如果有人另做个CPU,把CPU每个单元的电流都提高到毫安级,单元间距10厘米,我相信跑错的现象就没有了。这才是解决CPU问题的方向。但是谁会要这么大功率的CPU呢,谁会要这么大体积的CPU呢。所以CPU问题实际上是无解的。无线电环境震耳欲聋是CPU错误率高的原因所在,这一点是我十几年前突然想到的。
既使搞不明白CPU出错的原因,但是CPU会出错这是一种现象,这是常识,从业人员总该是知道的吧。可是铁道部居然不知道这个常识。前几天我一看铁道部的CTCS2,居然用CPU做闭塞,我就吃惊得说不出话来,铁道部怎么用这个做闭塞啊,能不出事吗?CPU错误率高是因为无线电串音,设计CPU的人肯定是知道的,但是这些美国人有没有向世人挑明这一点呢。不管他们设计者售卖者承认不承认,说了没说,反正实际上CPU就是不可靠嘛。推销人员会不会向客户说:我这个CPU会跑错,我采用了CPU所以有时候闭塞系统软件会出错。会有销售人员这么和客户说话吗?设计软件闭塞系统的商家是很无良的。销售人员可能不知道缺陷,但是设计人员和老板肯定知道缺陷,调试的时候会有出错现象的啊,他们有没有把实情告诉世人呢。如果他们把实情告诉世人,还有人买他们的软件闭塞系统吗?应该让闭塞系统设计人员和老板天天坐到高铁车头去体验他们自己的产品,这样的话他们马上不敢设计软件闭塞了,设计好的也不敢卖了。所以需要买家有悟性,一听是用CPU做闭塞就不买了,这是人命关天的地方,不能用CPU。谁决定使用软件闭塞系统的,就让谁天天坐到高铁车头去。只要是怀疑这种技术路线,就不该买了,买家不需要刻意去确认。难道大家买东西的时候不是这样吗,谁愿意买下可疑的东西,把生命托付给这个可疑的东西呢。
闭塞系统不是手机,不是电游,不是动漫,不是影视编辑,不是图像处理,也不同于调度系统。我们打开网页有时出现404 NOT FOUND,可我们还是用电脑上网,不以为意。可是在闭塞系统中如果出现404 NOT FOUND就是没命了。有的电视台正在播放突然画面卡住了,出现马赛克了,那是电脑故障。闭塞系统出马赛克了,所以追尾了。调度系统使用电脑完全没问题,使用四个CPU互相校验可以使生产效率更有保障。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html但是闭塞系统绝对不能用电脑实现,也不需要用电脑实现,因为闭塞系统并不需要复杂运算,用硬件实现并无问题。某些院士/总工程师/教授不懂什么叫工程(Engineering),不懂什么叫安全什么叫可靠性。做一万次实验,出现了一次期望中的结果就会欣喜若狂,这个人是在搞科学。做一万次实验,出现8千次期望中的结果,这个人已经在搞技术。做一万个产品,为偶尔出现的几个废品懊恼不已,想尽办法降低出错机率,这个人是在做工程(Engineering)。
对CTCS2系统提出如下更改意见(参见CTCS2系统设备构成图):
下载 (68.45 KB)2011-8-22 16:20
对调度软件我只提一个修改意见,就是不要弄丢了列车。在任何情况下,永远要记着所有的列车,永远要跳出提示框和发出声音报警追问调度:XXX次列车哪里去了?列车在哪个位置失踪的,软件自动禁止任何列车进入该位置后方10公里处。
闭塞系统要设置三套。第一套继续由ZPW-2000A轨道电路领刚,除了向后车发送红绿黄码,在轨道旁安装信号灯以外,还要向后车报告前车位置,方法是:ZPW-2000A轨道电路的编号使用起始端里程公里数加百米数,通过轨道电路向后车发送前车占用的轨道电路的编号,后车用逻辑电路运算减去自己的里程数,和接收到的红绿黄码校验,自动判断是否触发制动。第二套由应答器领刚,利用轨旁无线电向机车发送前车刚越过的应答器的编号(用里程编号)。第三套,前车把自己的里程数直接用无线电发送给后车,后车接收后减去自己的里程数,自动判断是否制动。三种途径报来的前车位置都显示在司机的屏幕上,除了机车自动制动以外,司机也自会权衡风险。
以往的设计,想尽办法向机车发送控制信息,却唯独不肯告诉司机:前车在哪里。也不让机车上的自动装置做判断。地面装置把判断全做了,只把红绿黄码发给机车,这是不对的。司机处于最危险位置,却得不到前车信息,地面上的人和设备没有危险却要判断一切,风险和判断权力完全倒置。我看现在司机只有勤给前车打电话这一个办法了,问:你现在的里程数是多少?必须一分钟打一次电话。
三套系统都使用硬件,自成系统,互相独立。车载接收和运算装置(车载ATP)也全部使用硬件。三套系统都随时向调度监测软件报告运行状态。调度监测软件发现错误要报警,但调度监测软件无权指挥闭塞系统。每天机车入库出库要体检一次,每天检测车要在轨道上来回走一趟。
闭塞系统和道叉的联锁关系只在车站内和机外使用。接近车站时,使用应答器使第三套(前车直接向后车报告位置)闭塞系统关闭,出站再开。不允许使用电脑控制道叉和联锁关系。道叉和联锁状态随时向调度监测软件报告,发现错误及时报警,但软件无权扳道叉和改信号。
决定用软件做闭塞而且只设置一套闭塞系统的人,自己是不是敢365天天天坐在高铁车头?王梦恕和交大的那位教授对高铁安全那么有信心,那应该让他们天天坐在车头体验。王勇平是铁道部的人,从温州回北京也是坐飞机,可见对高铁的信任度如何。有的软件从业人员明知软件经常出错,但还是强烈主张用软件做闭塞,这是什么用意?为了让主张软件者说话负起责任,我建议主张软件者好好设想一下,如果他自己天天坐在车头的话,他是不是还主张用软件做闭塞。为了让设计者负起责任,我认为应该制订法律,拍板敲定高铁总体设计方案的人,具体设计的人,应该在完工运营后天天坐在车头,坐一年时间,以增强其设计时的责任心。看谁还会轻易就说:用软件做闭塞。但是设计用硬件做闭塞的人就不怕坐车头,因为心里有底。有人说,任何设计都不存在100%可靠,包括软件硬件。这种说法不对。电子电路传输是100%正确。不象硬盘,还会有99。99%正确一说。无线电电台方式的话,会偶尔受干扰导致接收失败,但发射方是在重复发射简单的串行码,接收方的显示是实时更新的,没有记忆,不会记住错误。但电脑软件就会记住错误并且运算下去。
思考到这里,本该结束了,可是有个问题仍然没有答案,一直很纳闷:铁道部为什么放着可靠的方法不用?为什么明知电脑不可靠却偏要用电脑实现闭塞功能?于是我继续寻找资料,我就找到了“CTCS简介”。看到移动闭塞概念的时候,我恍然大悟了,哦,铁道部为了最大限度挖掘生产潜力,为了使行车密度达到最大化,把固定闭塞取消了,把闭塞区间变成可调整的了,当车速慢的时候使闭塞区间自动变小,车速快的时候间距自动拉大,称之为“移动闭塞”或“准移动闭塞”。
问题是,固定闭塞完全可以满足运输需要,根本就没必要搞移动闭塞。在250公里时速的线路上安装固定闭塞设备,每5公里设置一个闭塞区间,列车后方第一个闭塞区间禁入,后方第二个闭塞区间允许后车进入但必须减速,也就是说后车距离前车占用闭塞区间始端10公里时强制减速,距离前车占用闭塞区间始端5公里时强制刹车,这已经是很恰当的设计。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html时速250公里的列车,跑10公里只需2。5分钟,前车刚过去,过2。5分钟后车就赶到了。这样的行车密度已经相当高,一小时最多可通行24列(双向48列),每天满荷通行20个小时的话就是480列,完全够用了。当然了,480列是理想状态,实际运行不可能这么紧凑,也没有这么多客源,客源有高峰有低谷。减一半,也有240列。窍门在于,距前车所占区间10公里时减速,减多少?如果从时速250公里减到200,那么前车后车还是会经常相距5-10公里的,效率蛮高。
高峰期5分钟一班车是可以轻松做到的,3分钟一班车也可以做到,不过前提是设备质量一定要好,一辆车坏在路上就会导致全线停车,一个信号设备故障就会导致全线堵车。运行图要改变编制方法,列车不要分档次,高峰期没有快车慢车之分,所有动车排队而行。象地铁那样运行,效率最高。现在列车分档次太多了,慢车避让快车浪费了运能增加了调度难度。而且想过没有,小站避让时列车快速通过,万一扳错道叉怎么办?不要说这不可能,有一年湖南一个小站(叫荣家湾?)一个电务工人把接线箱电路改了一下,造成两列车在站内相撞,死伤惨重。小站就不要扳道叉了,把道叉封了算了。大站有权扳道叉,但是进站一律30km/h,扳错道叉导致相撞这个问题不就彻底解决了?车进福州杭州南京还能允许120km/h吗?中国人就喜欢灵活,这里设个开关,那里设个开关,以便随时可以不按规矩行事,好象占了便宜,其实最终吃了亏。我知道铁道部的小九九,不肯封闭小站道叉的原因,就是万一轨道被山体滑坡埋了下行线或上行线,或者工务修路经常需要封闭下行线或上行线,这时可实现单线铁路的距离最短化。如果封了小站道叉,单线铁路就变得很长,铁道部认为这太不划算。那可以折中嘛,温州南,台州,宁波东的道叉保留,但是一律30km/h进站。有道叉的站,一律30km/h进站。无道叉的站不设限。这应该成为一个规矩。现在铁道部弄的是:有道叉的小站,可以高速通过,以免影响效率。这样的做法不对吧。
再看看上述固定闭塞能不能满足制动距离的要求,是否留足了安全空间。《铁路200~250km/h既有线技术管理暂行办法》第39条规定:制动初速度为200km/h时,列车紧急制动距离限值为2000m。200~250km/h速度等级CRH型动车组,制动初速度为250km/h时,紧急制动距离限值为3200m。
可见上述固定闭塞系统10公里减速,5公里刹车,安全空间是恰当的,不宜再缩短。如果距前车10公里触发自动减速的时候发现刹车全部失灵,无奈之下无动力滑行10公里,速度就减慢了很多,撞上去也没那么狠了对吧。后车司机发现刹车失灵马上呼叫前车逃跑,还来得及,有2分钟时间做出反应,后车无动力滑行到前车处起码需要3分钟。如果前车的前方有阻,前车无处可逃的话,那也有办法,前车可以先快退3公里然后停住,把握好火候,当后车距前车1公里时前车启动快跑,前车在后车指挥下改变速度值,二车便可平稳相接,然后前车刹车,追尾就避免了。应该作为救难教程,让司机们多练习。如果D3115提早一分钟启动,时速提到50公里以上,D301就追不上D3115,追上了也能接上。
固定闭塞方式每天240列的通行能力,高峰期3分钟一班车,完全够用了,目前甬温线每天只有41班车而已。虽然固定闭塞系统每天可通行240列,但是现在铁道部就肯定做不到240列,因为铁道部根本就组织不好。甬温线每天只有41班车,可是那天D301和D3115都晚点了,可见设备质量和人员素质有多差。机车经常坏,轨道经常修,信号经常故障,旅客上下车太拥挤,慢车给快车让路也浪费运能。有什么问题就应该解决什么问题,可是铁道部不是这样,铁道部解决不了那些问题,铁道部在闭塞区间上打主意,使用所谓准移动闭塞方式(CTCS2和CTCS3),今后还要发展为移动闭塞方式(CTCS4),最大限度地缩短闭塞区间,以降低乘员安全系数为代价换取行车最大自由度。
目前铁道部已经把闭塞区间缩短到什么程度了?根椐报道,追尾地点是在温州南站向北5公里处,那里是温州南站的“下行三接近”,即温州南站向北第三个闭塞区间,由此可以算出CTCS2系统每隔1。5公里至2公里设置一个闭塞区间。事故调查专家组副组长中国工程院院士王梦恕说,每2公里一个闭塞区间,当后车距前车6公里以上时信号灯为绿,当距离只有4公里时信号灯为黄,距离2公里时信号灯为红。王梦恕的本行是挖隧道,2公里一个闭塞区间肯定是别人告诉他的,他的话可能不太准确。他还说,CTCS系统是一种利用雷达原理的自动闭塞系统,很雷人,不知是他听错了记错了,还是别人就是这么告诉他的。不用问铁道部是不是用了雷达做闭塞,自己稍微想想就知道雷达实现不了闭塞。地面物体这么多,雷达哪里分得清哪个是列车啊。列车在几公里以外时,只是一个小点。空中发现一个小点肯定是飞行物,地面不行。那可能有人就要说了,不知道几公里外是不是列车,那发个无线电信号问问,如果对方有回答,不就知道是列车了。你说到点子上了,但这个就不是雷达了,这个就已经接近于世界上最先进的ATP了。其实不用后车向前车发信号问“你是谁”,只要前车发信号“我是谁,我在哪”由后车接收就行了,至于后车发信号那应该向后后车发“我是谁,我在哪”由后后车接收,因为车是排着队一辆接一辆的。铁道部缺的就是这个装置,我相信院士/总工程师是嫌这玩意太简单,不够模登,在他们的体系里这种玩意领不到科研成果大奖,没兴趣!虽然CTCS的规模远不及银河几几,但银河几几就是榜样,是标杆。至于银河会不会跑错数据,那是没人提的。科研计算嘛,可以反复算很多次。列车因为电脑算错而追尾了,你还能把列车再倒回来,让电脑重新算一次吗?
CTCS2闭塞系统的4公里减速,2公里刹车,制动距离够用,但已经很紧,风险偏大。前述固定闭塞是10公里减速,5公里刹车。在CTCS2闭塞系统路段,后车距前车4公里触发自动减速时如果发现刹车全失灵,呼叫前车逃跑有点来不及,展开救难模式就更没有机会,距离太近了没法做。
按照CTCS2闭塞系统的美好设想,前后车可以相距6公里跑250km/h,前车刚过去1分半钟后车就赶到了,这也太密了吧,根本就不需要这么密。难道铁道部想每小时40班车,每天800班?减半也有400班,铁道部真是发达了。铁道部不仅缩短了闭塞区间,而且还把构建闭塞区间的任务交给电脑去虚拟,使风险又增加一层。D301和D3115就是被电脑虚拟的准移动闭塞区间给害了。铁道部疯癫荒唐到了极致,我无语了。
甬温线闭塞区间被设计成2公里,短得不能再短,已经给了行车最大的自由度,可是并没有挽救该铁路的低效率,每天只有41班车还会经常晚点,真不知道铁道部在搞什么鬼。如果固定闭塞区间是5公里但是设备故障少,准移动闭塞区间2公里但是故障多,那当然应该选择固定闭塞。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html
铁道部的CTCS标准分5个等级,从0级到4级。分级的依椐,是功能的繁简,而非可靠性的高低。很明显,在参与制订CTCS标准的专家眼里,功能繁琐就代表高级,代表高级也就代表可靠性高,也就代表安全系数高。可能是科幻大片看多了,对超凡的机器人非常向往。超级机器人因为电脑运算能力超群所以永不失败,受伤了只要一检测一通电就又OK了,可能某些院士总工程师教授就在梦想着哪天把火车变成超级机器人呢。他们现在已经给动车只设一名司机了,他们说没有司机也行的,靠CTCS2可以实现自动驾驶。
“CTCS简介”一文将日本的数字列车运行控制系统I-ATC归类到0级或1级。0级是CTCS标准中最低的一个级别,甚至有专家说0级尚未成为安全系统,是等级外。他们不如直说0级就是垃圾级得了。把日本I-ATC归类到0级或1级的依据是什么呢?文中赫然写道:I-ATC车载设备贮存大量线路数据,通过每一轨道区段的地址编码靠逻辑推断调取所需的线路数据。哦,我明白了!日本人才是真正知道什么叫工程什么叫安全的人!日本人没使用车载电脑,日本人使用的是逻辑电路。日本人果然厉害。“CTCS简介”一文意在贬低日本的方式,可我一看,这明明是在夸日本人高明呢。
文中进一步介绍说,日本人的做法是,在需要列车改变速度的起点,安装地面点式信息设备(可能是应答器),机车上的点式信息设备扫描地面上的点式信息设备(应答器)就知道这是什么区段,用逻辑电路把贮存器里的本区段线路数据调出来,用于改变列车速度。我认为日本人的这种做法是恰当的啊,很工程,很安全,也很省钱,为什么归到0级或1级了呢。这种方法的好处在于,如果地面应答器坏了,机车未能自动更换区段数据,司机还可以手动更换区段数据。
再看CTCS 2级的工作方式:轨道电路(目前铁道部用的是ZPW-2000A,即法国UM71,经“技术革新”后变得故障率很高)完成列车占用检测及完整性检查,连续向列车传送控制信息;点式信息设备(目前铁道部用的是应答器)传输定位信息、进路参数、线路参数、限速或停车信息。也就是说,机车上事先没贮存线路数据,全靠到时候从地面应答器获取,机车走到哪里就从哪里的应答器获取数据,如果应答器坏了或者传输失败,机车便没有线路数据。如果是在120公里时速的限速路段,未获得线路数据,机车错按200公里时速运行,就会脱轨。
线路数据至关重要,不能使用电脑贮存和运算,最好不要采取临时从地面获取的方式。而CTCS恰恰犯了这两个忌。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html日本人不使用电脑,使用逻辑电路,日本人先把数据贮存在机车上,只从应答器获知这是哪个区段,这样的方式是恰当的。把所有线路数据贮存在机车上,和从地面应答器获取线路数据的方式相比,肯定是贮存在机车上更可靠。地面应答器是露天的,万一被雷轰了呢,再说机车获取地面应答器数据是通过电磁耦合,无线电传输当然不如有线电传输可靠。怎么把较为可靠的方式归入0级和1级,把更不可靠的方式归入2级3级4级了呢?(3级4级也是这种方式)。我一边看这个CTCS标准我就一边惊讶,这是什么破标准啊,简直是人妖颠倒是非不分嘛。日本人的方式固然不完美,但CTCS推崇的方式就更差。我认为最牢靠的做法是:机车上先贮存一份线路数据,临时从地面应答器再获取一份线路数据,两者比较,数据相同才执行,数据不同马上报警。
“CTCS简介”还介绍说:0级适用于列车最高运行速度为160km/h及以下区段,1级面向160km/h及以下区段。然后我就查了日本I-ATC是用于什么区段,结果I-ATC是用于新干线,300km/h。I-ATC的工作方式这么可靠,当然可以用于时速300公里区段。CTCS2和CTCS3装置没有安全性,使用在时速60公里区段都太危险。
铁道部抄袭了日本的车载ATC,但就用电脑取代了逻辑电路,名称也改为车载ATP,用电脑轻易就实现了较为完美的“目标距离控制曲线”,使制动更平滑,乘客感觉更舒适,这成为铁道部的骄傲之一,是领先于世界的标志之一。铁道部另一大骄傲和领先世界之处就是用电脑轻易就实现了准移动闭塞。铁道部就不想想,日本人为什么放着电脑不用,偏要用运算能力极其低下的逻辑电路?日本人真的那么弱智?一定是人家认为电脑太不安全,死活不肯用,人家宁可忍受刹车的不平滑。铁道部也知道电脑不牢靠,所以铁道部才会使用多达四个CPU嘛,指望着4个U互相校验,以为这样就安全了,铁道部敢冒险。日本人不肯冒险,日本人在乎人命。铁道部在刹车装置之前加了一道CPU运算环节,以实现“目标距离控制曲线”,这就象加了一段盲肠,可靠性立即下降到最低点。日本人宁愿用逻辑电路实现“目标距离控制曲线”,刹车平滑度确实不好。铁道部用电脑计算“目标距离控制曲线”,确实使刹车更平滑,乘客感觉更舒适,但却牺牲了安全。能不能用逻辑电路实现完美的“目标距离控制曲线”,实现移动闭塞?所需逻辑电路规模太大,花费太大,高铁是亏损部门,没必要投资于这些不重要的功能。
ZPW-2000A轨道电路是闭塞系统关键器件,所以我又查阅了“ZPW-2000A论文”,文中赫然出现几个字:全程断轨检查!第一次看到时,我还以为说的是全程检查列车占用。再次看到时发现不对,人家说的是如果钢轨断裂了,要用ZPW-2000A检查出来,防止脱轨。什么,钢轨断裂?这事非同小可!铁道部也太荒唐了吧,居然用这种方法检测钢轨断裂。如果钢轨扭曲了但是还没断,如果断裂了一大半还有一小半连着,轨道电路是检测不到的。等到轨道电路检测到了,那就是全断了。全断了才发现,这也未免发现得太晚了吧。铁道部把断轨检查任务交给轨道电路,而且要求做到全程断轨检查,这说明断轨问题十分严重。不可思议。难以想象。
按说钢轨在断裂之前有个发展过程,从细小裂纹到中裂纹再到大裂纹,发展到致命裂纹然后断裂。钢轨内部有伤难道检测不出来?查了一下,铁路配备专人背着超声波探伤仪沿线检测,还有探伤车。是不是嫌探伤车只有50公里时速,不想让它影响运输啊。难道钢轨,特别是焊缝,会从完全无伤瞬间变成断裂?以致于必须要用ZPW-2000A轨道电路第一时间发现?是不是该用重载钢轨的地方却用了轻载钢轨,是不是发现了内伤却迟迟不肯换钢轨,是不是买了小厂的钢轨,是不是钢轨杂质多材质不均匀,是不是焊接质量不好,是不是道钉没拧紧?
用ZPW-2000A全程检查断轨,这个思路是错的,得不偿失。为了实现全程检查,ZPW-2000A已布置于几乎全程轨道,为此需要每隔一百米给钢轨加一个电容,所以大大提高了故障率。查阅“ZPW-2000A技术标准”得知,ZPW-2000A单套设备平均无故障间隔时间(MTBF)大于或等于4.38×10000h/区段,即4万多小时,标准不高啊。按这个标准估算,全国每天有十几处红光带是由轨道电路故障导致的,运输因此受到的损失是多少?实际故障率可能超过此数,一遇雷雨天,成片的ZPW2000A故障,幸好普铁ZPW2000A闭塞系统故障了绝大多数情况下会发出红灯,影响的是效率而不是安全。CTCS2和CTCS3用电脑做判断,故障了可能发出绿码,所以还不如普铁安全!电视机MTBF早已超过5万小时。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html根本就不该在钢轨上安装这么多电容,应该恢复法国UM71原来的样子,把故障率降下来。钢轨安全问题要另想办法。
为了实现断轨检查,加长线圈,加多电容,导致检测电路过于灵敏,有时会把雨水当成列车而出现红光带。D3115司机反复喃喃自语这么一句话:“我这一生都不会再开车了,我没有责任的。当时我说能过去的,应该走的,但他非要让我停。”很明显,这个司机不知道“断轨也是导致红光带的原因之一”。调度估计是雨水导致红光带,所以放了两辆车进去。但工务还没消记,断轨可能性不能排除,让D3115在该路段以20公里时速前进已属冒险。
ZPW-2000A几乎全程布置于轨道,于是信号部门又有新主意了,用它往机车上传送控制列车的信息。问题是ZPW-2000A已被改得故障率很高,如何顺利完成传送信息功能?他们总是想方设法向列车传送更多的控制信息,以实现地面控制列车,所以我说他们是想把列车变成超级机器人,我没说错。列车安全,关键在于管住4件事:1,防追尾。2,防超速导致脱轨。3,避免列车进错道叉。4,避免机车冲红灯。只要这四件事用硬件设备管住了,调度把列车放进区间,就任由司机操作就是了,为什么还要向机车发送那么多控车信息?调度要想干涉司机,打电话就行了。
防止脱轨的正确做法是在钢轨内侧加装护轨。研究在轮子两侧加装护罩,轮子掉下去以后,护罩卡住钢轨,限制列车横向移动。加了护轨以后,也就不能使用ZPW-2000A做断轨检查了,这就对了。300km/h的列车脱轨就会飞出去,护轨可能也无济于事,要在轨道两边建钢筋水泥“站台”,使列车在槽中运行。
如果铁道部今后增添前车向后车直接发射方式的硬件闭塞装置,增添应答器硬件闭塞装置(目前CTCS3用应答器做列车占用检查,但却把占用信息传到软件构成的闭塞中心去判断,这是重大隐患,应改用纯硬件方式,自成系统),在三种防追尾装置全部使用的情况下,如果每天检查一次这三种装置,三种装置在某个闭塞区间的某一天同时失效的概率是3000年发生一次。三种装置都失效不等于后车就能追上前车,多数情况下后车追不上前车,再加上人工盯车,假定只有10分之1造成了事故,也即30000年发生一次追尾事故。就是说,普铁中使用的固定闭塞装置继续使用,应该另外再增添两种固定闭塞装置,如果全国铁路每天检查一遍这三种装置的话(铁路也可能一星期检查一次,也可能一月检查一次,于是发生事故的概率就不同了),如果人工盯车不松懈的话,就可以做到3万年发生一次追尾事故的概率。
媒体报道,有人在网上银行转账,银行确认已转出,可是对方账户没收到,钱没了。这如果是在铁路,列车就被电脑弄丢了,追尾了。银行的电脑系统不比铁路的差。通过银行转账弄丢了钱,过后还可以找银行柜台,通过人工找回来,列车追尾了怎么找回来?有人说,航天飞机也用电脑,火星探测器也用电脑,为什么闭塞系统就用不得?宇航员登上航天飞机的时候,他是知道风险有多大的。能要求旅客上火车的时候感觉自己是在上航天飞机吗?航天飞机有几十上百人盯着,电脑一旦不妥马上重启,能安排这么多人盯着一辆列车吗?航天飞机非常少,而每天成千上万辆火车在跑,如果航天飞机一万架,事故率一定很高。航天飞机用电脑那是没办法,不用不行。列车闭塞系统不用电脑是可行的。有人说飞机也用电脑。飞机不同的,飞机在三维空间运动,如果电脑搞错了前方情况,驾驶员可以马上避开障碍物。飞机可以躲,列车没地方躲,列车是一维空间运动。有人说汽车也用CPU。汽车撞车而气囊没弹出的事例发生过不少。汽车快速前进的时候遇障碍自动刹车功能,谁也不想平时就试试这个功能对吧,真正用到的时候是不是百分百可靠发挥作用,很难说。如果事例多了,自然就有失败的案例。有人说,CTCS是取自欧洲,大部分来自西门子,西门子还不信?我认为不要迷信欧洲人,欧洲人/西门子如果用软件做闭塞的话,追尾是迟早的事。这是概率问题。用软件闭塞可能几年几十年发生一次追尾。前述三种硬件闭塞装置全用的话,2万年发生一次。
由于CTCS2和CTCS3不可信赖,所以现在铁道部只能加强人工盯车。人工也会有疏忽松懈的时候,因此发生追尾的可能性太高。需要尽快用硬件闭塞设备代替。在新的安全系统开发出来之前,应该先退回到CTCS1。CTCS1闭塞系统由硬件构成,是固定闭塞,一直用于普铁,虽然不太好但也比CTCS2和CTCS3可靠得多。一定有人以为我夸大了风险,说现在高铁和动车天天在跑,也没天天追尾啊。第一,是的,电脑也不是天天死机,乱码的时候少,不乱码的时候还是多。标准不一样。1年追尾一次的话,他认为可以坐,可以赌。我认为10年发生一次追尾事故都概率太高,应该2万年发生一次。第二,现在高铁和动车车次还少,所以相撞的机会还不多。第三,温州事故之后,铁道部加强了人工盯车,已经在一定程度上改回到了原始的人工方式。但是,过了这阵风,铁路职工就会松懈。车速太快,盯车是很劳累的,时间长了就麻木了,如果哪天刚好两个职工全走神,就出事故了。温州事故说穿了就是因为那天设备恰巧坏了,调度恰巧大意了,值班员恰巧也大意了。平时设备坏的情况并不少,职工疏忽的情况也不少,但是设备坏了而几名职工碰巧全都大意了就很少遇到,遇上了就是事故。本次事故可能确如铁道部所说是由于列控中心采集板软件故障导致绿码,但这并不等于说CTCS就只有这一个隐患,改了软件并不能保证以后就安全。那天采集板软件隐患爆发的时候,恰巧两个职工全走神,所以是事故。别的隐患爆发的时候,至少有一个职工没走神,没酿成事故也就没被外界知道。还有更多的隐患今后不定什么时候爆发,爆发时只要有一个职工盯车没走神就不是事故,如果几个职工全走神就是事故。就是说这个系统靠不住,没有用处,应该废弃。
作为院士/总工程师/教授,在引进技术的时候,在确定总体方案的时候,应该有最起码的常识和悟性,可是他们根本就不懂工程,引进和设计了一套不好的系统,虽然他们写过书写过论文混上了职称。C2C3闭塞系统的缺陷如此明显,铁道部有研究院,有大学,怎么就没人看出来呢?连CPU会出错这个常识都不知道?硬件比软件可靠都不懂?控制环节越少越好的道理不懂?他们不但没指出C2C3有缺陷,反而还一再向公众表态:这套系统很安全。以致于动车司机也被误导,一直以为动车“最先进、最安全”。很多司机在获知追尾时的第一反应,都是一连极用力的几个“绝对不可能”。“我可以这么说,最亲的亲人你可以不相信,这个信号也是值得信任的。”动车司机全被蒙蔽了。为什么C2C3设计缺陷如此明显,铁道信号专业的学者都没指出来,这肯定是中国的大学教育出了问题,教材有问题。写教材的就是教授嘛,教授不懂行。媒体报道:在国内多位从事轨道信号研究的学者眼中,这起事故简直不可思议——出事线路及车辆沿用了欧洲等现有成熟技术,即便是动车司机睡着了也不会发生追尾。这些学者不可思议这场事故,我不可思议这些学者。他们到现在还没看出C2C3缺陷在哪里么?
另外,我发现很多铁路设计者不恰当地使用了“故障导向安全”法则。导向安全了,也就是停下来了,等解释,等排除,也就耽误了。铁路效率低下肯定和滥用“故障导向安全”有关。什么事稍有不对,就导向安全了。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html应该权衡,哪些装置应该导向安全,哪些装置不必。应该多设置第二套第三套替代方案,不需批准立即就换用第二套第三套方案,以免影响运输,而不是动不动就导向安全。要想办法。
巴菲特说,如果走进厨房发现一只蟑螂,蟑螂就肯定不止一只。只看了四篇铁路技术资料就发现了这么多严重问题,如果继续找资料看下去,就会发现更多问题。中国铁路太落后了。以前家电行业也很落后,后来变好了。铁路也到了该变的时候了。
温州动车追尾事故原因:CTCS整体设计存在致命缺陷
温州动车追尾事故原因:CTCS整体设计存在致命缺陷
上海铁路局长谈动车事故:温州南站信号设备设计上存在严重缺陷
“7·23”动车事故是由于温州南站信号设备在设计上存在严重缺陷......
温州动车追尾事故原因遭质疑
铁路信号专业人士揭秘温州动车追尾事故原因
铁路信号专业人士揭秘温州动车追尾事故原因
铁路信号专业人士揭秘温州动车追尾事故原因
铁路信号专业人士揭秘温州动车追尾事故原因
温州动车追尾事故
温州动车追尾事故
追问温州动车追尾脱轨事故
“温州动车追尾事故”三问
温州动车追尾事故图片回顾
温州动车追尾事故:救援现场
温州动车追尾事故“五宗最”
温州动车追尾事故:伤者
温州动车追尾事故:女童生还
组图:温州动车追尾事故全记录
动画演示:温州动车追尾事故
温州动车追尾事故:恢复通车
三问温州动车追尾事故
动车追尾事故中的温州人
温州动车追尾事故八大谣言