“高铁事故 。控制系统 。调度算法”有82个回复

1. matrix 于 2011-07-24 5:43 上午

   我看到这个新闻，第一反应也是容错系统太差。

   不过，首席，做通信系统，第一反应是要有心跳，要keep alive。但是其他行业是不是有这种本能反应？我不知道。

2. matrix 于 2011-07-24 5:47 上午

   4。 总控应该立刻启动Exception处理，对相关的D[G]xxx火车发出指令。

   ===
   还得考虑一种情况：如果其他相关不相关的火车，如果无法收到总控的keep alive，应该怎样调度？

   是不是立即停车？如果立即停车，有没有其他负面的连锁反应？

3. 静行 于 2011-07-24 6:02 上午

   技术先进是肯定的，可我们的铁路系统人员好像驾驭不了！！这次事故显得铁道部太低级，太儿戏了！！国内做铁路调度系统的除了浙大网新还有谁？

4. 大米 于 2011-07-24 6:06 上午

   日本新干线运行四五十年了，从未发生人为因素导致的伤亡事故，真的差距在这里。

5. coder 于 2011-07-24 6:26 上午

   就算调度系统完全时空，Dxx 上没有 local sensor 来判断追尾，然后自动刹车的系统？

6. 一条虫 于 2011-07-24 6:32 上午

   就算无法通信，无法通信本身就是一个明确的信号。前方情况未知，应该立刻启动刹车。并且传递告警。

7. 筷子 于 2011-07-24 6:36 上午

   这个也技术论？唉

8. 理客 于 2011-07-24 7:16 上午

   可能更多的是管理问题。高铁发展太快了，需要一个成熟期，此期间，建议大家还是做飞机更安全一点

9. reply-to-54 于 2011-07-24 7:19 上午

   老的铁道信号系统还是挺简单的. 主要防撞的办法就是人工闭塞或者半自动闭塞. 主要思想就是在某一路段(学名叫闭塞分区)内, 只允许有一列列车存在, 前车离开后后车才能进入.

10. reply-to-54 于 2011-07-24 7:21 上午

    至于各种自动刹车什么的就太扯了….您当这是汽车呢?在高速公路上跑都不敢随便停车的, 别说这是铁道了. 是, 你能停, 你停了后边怎么办? 后车也停了大后车怎么办? 除非系统能保证所有车都能停车, 否则自动停下那个车不是在等死么.

11. reply-to-54 于 2011-07-24 7:22 上午

    国内做铁路调度系统的有铁科院, 北交大, 兰交大.

12. to 8 楼 于 2011-07-24 7:37 上午

    为何在这次闭塞分区没有起到应有的效果？

13. 过客 于 2011-07-24 8:13 上午

    按照CCTV的报道，后面追尾的车辆在时刻表上应该在前面，前面被追的应该在后面出发，乱套了

14. ruoshui 于 2011-07-24 8:37 上午

    唉，又一个铁路专家，你都能想到的问题，铁道部那么多人想不到，真以为铁道部的工程师都是吃干饭的。高铁引进的都算是成熟技术，而且武广、京津、郑西都在跑，中国的累积高铁里程已经超过了日本新干线，如果那么silly的问题，为什么直到现在才出现。去下面那个链接看看吧，铁路在线论坛里对此次事故的分析，比我们专业多了，隔行如隔山，何必用自己不专业的能力去找寻专业的结果呢，误人误己。网站需要注册，但绝对有价值。结论基本上是设备出了问题(这个在冗余范围内），但根本原因是人祸，可以对比日本新干线今年1月份的全线停运
    http://bbs.ourail.com/thread-124680-1-1.html

15. 一条虫 于 2011-07-24 8:56 上午

    不自动就这样顶上去。是吧。够专业。自叹不如

16. ruoshui 于 2011-07-24 9:00 上午

    楼上，全世界的高铁都没有你那样自动的，你找个自动的高铁出来。飞机是降落比铁路要跟自动化，但塔台的失误造成飞机坠毁的事故也很多，并不是说自动化了就不可能发生人祸

17. ruoshui 于 2011-07-24 9:05 上午

    2011年7月23日20:31分，杭深线永嘉至温州南区间下行线K583+00处发生D301次与前行D3115次追尾事故，造成D3115次第15、16位脱轨，D301次第1至4位脱轨（其中1至2位坠落桥下）。
    一、调度作业过程$ X) W0 B( [7 K* ~
    2011年7月23日19:34分，温州南反映D3212次4道开车时跳出站信号，调度询问司机有没有动车，在确定司机没有动车后取消进路重新开放信号。, v+ u8 y+ P: |8 C2 M* f” w# X! m
    19:36分，因温州南站4道出站信号无法开放，调度布置温州南站转为非常站控。
    19:44分，调度接温州南站报告：车站联锁显示下行三接近红光带，车站CTC界面无显示。D3212次4道开车后，调度布置车站转回分散自律。
    19:45分，温州南站报告与永嘉、瓯海站接近、离去区段显示红光带。# g1 w) z. f# h0 j
    19:53分，调度布置温州南站转入非常站控，19:55分布置瓯海转入非常站控。( y+ o’ G8 U3 n* U
    20:01分、20:07分调度联系温州南站工务到位没有，车站汇报未到位。
    20:14分，调度布置D3115次永嘉站开车，通知司机区间遇红灯后转目视模式20km/h运行。: R- ~- E4 J2 K
    20:20分，温州南站反映下行四接近红光带闪烁，与瓯海区间无红光带。
    20:24分，D301次永嘉站开车。: v: j8 \9 [) U” Z’ \$ v( @2 U’ [& O
    20:26分，调度联系温州南站，车站反映D3115次已三接近，CTC系统区间红光带已消失。
    20:31分，D3115次司机反映：车厢内旅客按紧急制动停车，接触网停电。
    20:37分，调度布置温州南站联系D301次司机降弓。: E$ V) E b: c’ i% H
    20:39分，调度接温州南站报告：D3115次司机反映尾部车辆脱轨，有半截车厢吊在桥上。
    二、车站作业过程
    （一）列车运行情况：* }# ~7 O) h: B
    1. 永嘉站：D3115次3道19：51到（办客），20：15开；
    D301次Ⅰ道20：12停，20：24开。
    2. 温州南：D3212次19：36开。
    （二）运统－46登销记情况：
    1. 永嘉站：无登记。8 c! f2 S8 C4 V2 j/ H
    2. 温州南站：19：39分登记永嘉－温州南下行线三接近轨道电路出现红光带并通知工、电务，工务于20：30分销记，电务未销记。
    （三）车站转入非常站控有关情况
    19：54分左右永嘉站接调度通知模式需转为非常站控，永嘉站于19：55分转入非常站控。
    20：12分调度员通知永嘉站D3115次开车，永嘉站20：13分与温州南站办理D3115次预告，D3115次20：15开。0 {& A, J1 y. O9 e4 l
    20：22分调度员通知永嘉站D301次开车，永嘉站20：24分与温州南站办理D301次预告，D301次20：24开。% W3 c+ v# o; X* S’ ?’ b/ B/ {
    因D3115次区间运行时间长，温州南站联系D3115次司机，司机回答区间信号不稳定；
    据永嘉车站值班员、温州南站车站值班员反映：20:06分，永嘉车站值班员车机联控呼叫D301次司机，“车站已转非常站控”；在D301次距D3115次6—7个闭塞分区时，温州南站车站值班员车机联控呼叫D301次司机，“ D3115次在区间，注意运行。” D301次司机应答知道。
    0 G% Z9 f# P! ~. Z* [
    【简】7月23日19：39上海局杭深线永嘉-温州南间下行线温州南3接近因雷击造成红光带，通知工务、电务人员，19：54永嘉站转为非常站控，19：55温州南站转为非常站控，工务20：30销记，D3115次（杭州－福州南）在永嘉站19：51停，20：15开，D301次（北京南－福州）永嘉20：12停，20：24开，D3115次在温州南3接近信号处20：23/25停车，以目视模式开车，20时39分D301次与D3115次在永嘉（K570+680）-温州南（K588+863）间K585+700附近发生追尾，造成D3115次13、14、15、16位脱线，D301次1－4位脱线（其中1、2位高架桥上掉下，桥深约15米）。

18. 理客 于 2011-07-24 9:43 上午

    铁路系统设计和管理一定要能保证能减速/停车以避免事故，极端情况包括所有车都停了，但不能死人，因为系统死了，可以重启，人死了，没法重启。
    实际铁路系统运行中，如果一个严重减速/停车事件，确实会导致大面积的火车晚点以避免事故，这种晚点，即使在德国铁路这样好的调度和管理系统下，仍然时常delay，超过1个小时的的delay也不罕见，超过一定delay时间，DB对于旅客，有详细的补偿规定，从饮食、住宿到money
    而像意大利这样民风浪漫，或者叫散漫的国家，则晚点成为司空常见的事，可见好的系统不只是好的技术，还必须包括好的管理，因为再好的系统也是要人来运作的。

19. asr1k 于 2011-07-24 9:46 上午

    今天大致看了一下CTCS的信令系统. 似乎主要原因还是冗余做的有问题… 有些信令走的地面信号系统, 有的走的GSM…

    闭塞区间内信号管制应该为申请/释放机制, 如果出现临时的信号故障, 雷击后导致信号中断, 那么前车应该不会释放该区间, 并通过GSM告警(似乎现场有人发微薄来看, GSM信号应该是好的, 列车运行控制系统也应该有备用电源).

    而后车的ATP应该没有获得下一路段的授权而自行停车.

    至少逻辑是这样的, 到底出了什么问题, 谁也不知道, 但是看了一些文档, 感觉是逻辑上有缺陷…

    http://wenku.baidu.com/album/view/455f15661ed9ad51f01df26c?pn=0#albumDocs

20. zhutou 于 2011-07-24 10:44 上午

    第三段内容好虚伪。我的看法倒觉得这个应该是测试问题，测试不够。

21. 尼尔斯飞 于 2011-07-24 5:24 下午

    转一个朋友的分析。

    ●温福铁路设计时速200公里，已安全运行1年零9个月，本次事故应非技术不过关
    温福铁路北起浙江省温州市，南至福建福州市，全长二百九十八公里。温福铁路2008年9月28日开行货运列车，客运列车于十月开行。温福铁路是中国“四纵四横”铁路网骨架之一、中国沿海客运快速通道的重要组成部分，属国家Ⅰ级双线电气化铁路；速度目标值每小时二百公里，并预留每小时二百五十公里提速条件。从2009年温福铁路10月正式开通动车组到目前已安全运行1年零9个月，纯技术问题应已解决。
    ●自动闭塞系统似未产生作用， 本次事故可能与信号及调度系统故障有关
    据互联网各内容查询，我们查出本次甬温线动车追尾为高铁建成后首次特大事故，后面追尾的D301次车系南车青岛四方生产的CRH2，前面因雷雨失去动力停车的D3115次车是南车青岛BST生产的CRH1。有相关信息显示，事发时 D301列车的ATP（列车自动保护系统）和LKJ（列车运行监控记录装置）在前方有车的情况下仍显示绿灯，（高速行驶的列车只能依仗电脑来指示操控），结果造成列车以180KM/H以上的高速追尾。在我国铁道部早在第六次大提速时即由CCTV新闻报道了《我国自主研发的自动闭塞系统可防止动车追尾》，并指出可以做到时速从200公里降至完全停止仅需55秒，两车间的自动闭塞时间在5分钟。（http://video.sina.com.cn/v/b/57254352-1444341250.html）目前我国高铁全部采用自动闭塞系统，理论上在前车未通过某一区段时，在该区段入口出显示红灯禁止后车进入同一区段，信息可以通过钢轨传送至动车组的车载计算机，以防止动车组的追尾事故。温福铁路D301次和D3115次之间时间间隔了约15分钟，远远大于我国自主研发的自动闭塞系统所能达到的5分钟间隔，但仍然发生了动车组特大追尾事故。因此我们认为本次追尾事故原因可能与信号及调度系统故障有关。

22. yimiqi 于 2011-07-24 5:36 下午

    1、对于心跳检测应该是有的（值班室人员不是离岗就是麻痹大意未对被追尾动车状态进行正确判断）2、追尾的动车自动控制系统是可以检测到前方的障碍，除非其控控系统完全依赖路边的传感器（雷击后停止工作），列车除了依赖在线系统的自动控制外，自身应该具备离线的自动控制。
    3、控制系统对于感应雷的防护能力，应该具备对直击雷的防护。

23. hehe 于 2011-07-24 6:13 下午

    跨跃.刘出事几个月后，铁路问题不断，这也是值得思考的问题；也许他是一个干员。

24. evilforce 于 2011-07-24 7:18 下午

    我们设计心跳的时候，都是默认异常的。只有收到心跳才是正常，一旦一段时间没有收到，就默认出异常，进行保护。
    就这个例子来说，火车之间如果有10分钟的安全距离。设个心跳超时5分钟，5分钟没收到就制动。应该就能解决这种问题吧？

25. Mine 于 2011-07-24 7:23 下午

    我相信这不仅仅是技术问题，更多的在于运营管理。
    刘跨跃在台上，动车／高铁也跑了好多年了，没出什么大事，换成反对刘的现任盛光祖管，小事故不断，如今又出这么大的事情。

26. evilforce 于 2011-07-24 7:25 下午

    上面那个铁路在线注册不了啊
    不能把精华内容贴出来么？

27. 狐说 于 2011-07-24 7:45 下午

    楼上的某位，要邀请码啊！

28. henry 于 2011-07-24 7:53 下午

    监控方式越简单越可靠,heartbeat就是最简单最可靠的方式,只需要两路channel冗余即可,另外应该有自动强制干预,当一车的heartbeat没收到时,相关区间内其它车辆应该被自动强制介入停车或限速.宁可错杀一千,也不能错了一次. 另外刘被抓后反而事故不断,不是刘厉害,是铁路其它官员都惶惶不安,害怕被带出来,没心思认真工作所致.

29. kernelchina 于 2011-07-24 8:04 下午

    想起了那句台词“不反腐，亡党；反腐，亡国”，真是悲剧，历史的循环。

30. 合伙 于 2011-07-24 8:42 下午

    想起了那句台词“不反腐，亡党；反腐，亡国”，真是悲剧，历史的循环。

    错了：“不反腐，亡国；反腐，亡党”！

31. 陈怀临 于 2011-07-24 8:42 下午

    铁路的调度控制系统在形式语言（Formal Method）和形式语言（Formal Language）方面的研究是很成熟的了。但这些基本上都是调度时刻表方面。

    对工程系统的高可靠性，容错方面的设计基本上与控制系统没有什么关系。

    我也确实想象不出来，如果有两个redundent的control message channel的情况下， 不能处理这次事故。

32. 麦克 于 2011-07-24 9:06 下午

    心跳设计缺省肯定要设计为缺省为故障状态，只有当收到OK的信号时，才认为是OK的。这样一旦通讯故障，则心跳失败，进入异常流程。停车。

    在启用独立的两个通讯链路系统， 就算是2路通讯系统都故障的情况下，都可以停止。

    理论上这样的设计，对于通讯系统异常的情况，是应该能处理的。

33. 麦克 于 2011-07-24 9:13 下午

    看了一下上面的专业描述，有目视模式行车，这种情况下，本身就需要依靠人的行为来开车了。

    理论上，高速列车这种东西，应该是自动控制系统，人的主要作用应该是例外刹车、到站停止、启动等少数例外情况。常规情况下，真依靠人来控制高铁行车，300公里时速的情况，对人的要求太高了。

34. 陈怀临 于 2011-07-24 9:20 下午

    铁路调度在形式理论方面是经典的“时序逻辑”系统。这方面的完备是无疑的。问题就是出在：对有时序关系的两个变量之间的异常处理上。

35. 缓存一致性非常非常难 于 2011-07-24 9:48 下午

    原因简单的一塌糊涂：贪污，伪劣产品。

    50年前的技术就可以防追尾。只要铁轨上有东西，哪怕一根导电的线，后面的红灯就会亮，除非停电。如果停电，车也别动了。

    信号系统虚警不断，调度员不得不把信号系统屏蔽。

    闭塞系统是不可能出错的。绿灯的唯一解释就是被手工屏蔽了。

36. xiaozei 于 2011-07-24 10:02 下午

    to32,目视模式，速度肯定，应该不会很高（比如上面有人说的20km/h）。

    to29，反腐，不会亡国。只会亡政府。
    政府跟国家应该不是一个概念。

    求问17楼，20：31分发生的事，这是推断推断么？

37. t22 于 2011-07-24 10:15 下午

    刚刚看了http://fans.railcn.net/铁路迷网的一些帖子，铁路上有数种措施可以防止这种情况的发生，我阴谋论一下，这是否是日本等国家的恶意破坏，不惜一切手段和代价阻止中国占领高铁国际商业市场？

38. 铁道概论 于 2011-07-24 11:09 下午

    不少人在谈论什么心跳、两条链路的冗余……，但凡在交大里呆过的工科生，都知道铁路的行车调度是基于闭塞区间来控制的，“信号”机的控制信号是依靠轨道电路传导的。这不同于这里大多数人熟悉的数据通信设备和系统，而是一套工业信号控制系统，需要传递的控制信息相比数据通信系统里要少得多，其可靠性也与什么心跳、冗余备份没什么关系。我倒是赞同34楼的观点，有可能是因为设备不过关引发过多的“伪告警”，造成人为的屏蔽了告警。这种情况我在调度现场曾经见到过。

39. tek-life 于 2011-07-24 11:58 下午

    铁路在线，浏览帐号：
    帐号：包神铁路
    密码：cd4027

40. 一条虫 于 2011-07-25 12:34 上午

    to ruoshui：
    嘿，你别说，这次是人为绕过安全协议强行行车。前车使用目视行驶，甚至为了防止系统安全阻值强行关闭对后车的告警。

    最安全的就是都停下。虽然有经济损失但绝对不会有人死。当然了，灵倒门不这么想。不是么，现在恢复通车了。也就是隐患系统错误依旧，存在不修改。死活有什么关系。

41. yeasy 于 2011-07-25 12:55 上午

    首席好，前两天给您发了email（huailin@gmail and @tektalk.org），不知道收到否，谢谢！

42. 事实 于 2011-07-25 5:39 上午

    (原封不动转自天涯。作为一个时常乘坐动车的小老百姓，还是想知道真相的) 一个火车司机的分析，看完后结论是出现这次事故只可能有两个原因：一是人祸，严重失职或者故意破坏；二是动车的制动系统有问题，说白了就是刹车不过关。我想最终的官方结论很可能是人祸，把屎盆子扣在几个人身上，总之，打死也不能承认动车有问题，那样要负责的人太多了。?
    7.23事故将是一个迷.惋惜，悲伤的同时我困惑了。?
    7月23日晚上8点37分?
    　　温州双屿下岙路段?
    　　北京到福州的D301与杭州到福州的D3115追尾，造成6节车厢脱轨。?
    　　知道这个消息的时候，本人正在当班，开着火车过黄河大桥。得知是追尾事故后完全没有想法了，困惑了。因为这完全没可能发生。下面开始是我的个人分析。?
    　　我的第一点困惑，也是最没技术含量的一点困惑将我困扰了。首先官方消息称，因为雷击导致D3115次列车失去动力停于高架桥上后方驶来的D301撞了上去。失去动力?电力机车，电力动车组，其动力来源是接触网，而这两列车均为下行列车，即同一方向同一股道（如不同一股道当然不会追尾），那么动力来源均来自同一接触网，没有理由前车失去动力而后车正常运行的。?
    　　第二点，如果是雷击击毁了D3115列车本身的受电设备或低压设备或牵引高压设备导致其不能运行的话，首先atp，现在世界比较先进的ctc的车载设备，该设备向轨道发射信号，追踪列车接收信号后计算与前车距离并结合本身速度采取限速等措施，并且在调度台上也可看到各列车的运行状态位置等。也就是说如果单纯区间非正常停车的话是不会发生这样的惨剧。?
    　　第三点，如果是雷击击毁了D3115列车的动力设备，并且atp也在雷击中毁坏不能发射信号的话，是不是这场事故就无法避免的发生了呢？当然不会。动车组不但安装有ctc的atp，而且还有我国所有列车都安装的lkj列车运行监控系统，也就是说atp只是更高要求更高标准的高科技设备，它故障了也应该还是有安全保证的。atp是通过前车发射的信号判断当前列车速度的智能设备，而lkj则是通过接收轨道电路的地面色灯信号机的信号来实现对列车的安全控制。也就是说，在没有D3115次发射的信号的情况下，只要这列车的轮对在钢轨上，两根铁轨就会被轮对短接，接. 通电路，就会使D3115次后方的色灯信号机显示为红色，然后黄色，然后绿黄，然后绿色。后车D301次的lkj监控装置会接收色灯信号机的色灯信号显示在屏幕上，看到黄灯司机会减速，红灯会停车。即便D301次司机睡觉，lkj装置也会自动采取减速停车等措施，怎么会冒出呢？?
    　　第四点，你会说，那lkj也故障了。如果这样的话就是说D3115次动力系统atp系统故障，同时D301次lkj监控装置故障，小概率事件。你会说事故的发生都是巧合。错，lkj系统如果在运行中失电，列车会直接实施紧急制动。如果lkj插件板故障，会自动倒到备用插件板（lkj监控装置分a组和b组，在一组出现故障时自动转换另外一组）。你会说，ab组插件板同时故障呢？如果ab组同时故障，lkj会进入30秒倒计时，30秒后列车实施紧急制动。你会说30秒足够装上了。错，如果在列车减速前，就是收到黄灯前故障，那么在故障时距离停留车应该在两个闭塞分区以上，距离在三公里以上，况且客运列车应为四显示闭塞，并有一个空闲分区，应该在四个闭塞分区外进入倒计时，即在5公里甚至更远的地方进入倒计时。?
    　　第五点，轨道电路故障，色灯信号机故障，并且还不能太故障。什么意思？就是D3115次短接轨道电路后后方应显示为红灯，轨道电路和色灯信号机故障，导致D301次lkj装置无法收到信号的话，D301次lkj装置将掉白灯，限速为0km每小时，紧急停车。现在追尾了，那么信号机显示只能是绿灯。那轨道电路和色等信号的故障程度就是，不能正确显示，并且还必须显示，不但要现实还必须显示为绿灯。故障的轨道电路和色灯信号机表示压力很大。?
    　　第六点，调度问题，D3115次的位置应该在调度台上显示，tap故障的话，轨道电路也会在调度台上显示红光，轨道电路故障导致无法显示的话，D3115次有无限列车调度电话和更先进的通信设备gmsr。?
    　　?惨剧发生了，希望有关方面查明原因给于答复，给死难者，死难者家属，全国人民，全路职工一个交代。?
    　　?另外7.23事故中D301次列车司机潘一恒同志已经殉职，胸口被闸把穿透。果断采取了紧急制动措施，为后面的旅客多赢得了一份生机。希望有关方面不要把所有屎盆子尿罐子都往司机头上扣。?

43. 事实 于 2011-07-25 5:50 上午

    版主 这段现在好像和谐了，如果影响弯曲就算了吧。下面是天涯的链接。唉
    http://www.tianya.cn/publicforum/content/free/1/2223106.shtml

44. BEN 于 2011-07-25 6:47 下午

    20:31分，D3115次司机反映：车厢内旅客按紧急制动停车，接触网停电。
    20:37分，调度布置温州南站联系D301次司机降弓。: E$ V) E b: c’ i% H
    20:39分，调度接温州南站报告：D3115次司机反映尾部车辆脱轨，有半截车厢吊在桥上。

    旅客紧急制动?司机反映?不是雷击?

45. BEN 于 2011-07-25 7:11 下午

    [转贴]
    另外据ourrail上的分析，是由于最近雷击导致延误过多，在此次雷击导致计算机系统故障放出停车信号后，调度指示D3115次进入隔离模式，关闭了ATP和LKJ两个监控系统，相当于进入了超级管理员+隐身模式，以20km的时速前进准备进站，不过在进站前不到5km的桥上被乘客拉了紧急制动，导致D3115次停在桥上。而后面的D301也是在调度指示下手工屏蔽了监控系统，并在调度命令下前进，不过可能调度以为D3115次早已进站，所以未指示D301也使用20km/h的速度低速前进。在司机制动前，D301的速度是180km/h，相撞时，速度是80km/h。

46. rick 于 2011-07-25 9:52 下午

    LZ是来show他的中英结合语言的

47. 态度问题 于 2011-07-25 10:35 下午

    原因简单的一塌糊涂：贪污，伪劣产品。
    是因为{设备伪劣不过关}引发过多的“伪告警”，造成人为的屏蔽了告警。

    信号系统虚警不断，调度员不得不把信号系统屏蔽。
    闭塞系统是不可能出错的。绿灯的唯一解释就是被手工屏蔽了。
    “今天的C国本身就是一列在雷雨中行驶的动车，你我不是看客，by time都会是乘客—打个雷就能让火车追尾、过个车就能让大桥垮塌、喝几包奶粉就能肾结石的地步，我们每一个人都无法再置身事外。”

    问题就是出在:For和谐,每一个人都会自动屏蔽…haha

48. 理客 于 2011-07-26 12:02 上午

    有一个宝马多次碾同一个人的事件，本质原因是一个新手，把司机安全带告警给手工屏蔽了，结果发生自动档车在司机下车后仍然怠速前进。
    紧急制动是多大的事，司机和调度怎么能不立即知道？后车怎能不会被自动通知？系统管理，包括人，在处理突发事件都不成熟，出问题是迟早的事

49. liang 于 2011-07-26 12:20 上午

    怎么不搞一个当两车达到一定距离之后，相互报警的功能，通过GPS等相当xx系统等应该很容易吧。（外行人）

50. 很少发言 于 2011-07-26 1:05 上午

    今天看某电视台新闻，说动车司机在最后时刻没有跳车逃生，而是拉起了紧急制动，balba，我有一个疑问：列车司机可以跳车逃生吗？

51. liang 于 2011-07-26 2:02 上午

    乖乖，”印度发明列车防撞系统”
    http://www.mittrchinese.com/single.php?p=128124
    不知道商用性如何。

52. 理客 于 2011-07-26 12:20 下午

    如果司机和调度看到了告警，不处理的可能性几乎没有，除非有人故意搞事。系统没有告警的可能性也很难。这么奇怪的事，解决过系统bug的，会常遇到奇怪的bug经常是一个very very stupid的原因，所以这个撞车最大的可能是一些告警被人为关闭，而被关闭的原因，一般就是告警太乱，国内系统设计中，把功能放在太高的位置，而对告警/日志等的设计是最不重视，没有良好设计的告警，要么很少，要么很乱，这部分基本不是技术难题，商业系统的设计，除了需要几个顶级聪明的人，对普通工程师，更多的是需要扎扎实实按流程一丝不苟的做好自己的模块的工程师，大部分德国人真的是不聪明，但大部分德国人真的是严格遵守规程，所以德国人设计的系统可靠性非常高。

53. 我是陈蜀黍 于 2011-07-26 12:33 下午

    to 52楼：你就别接着舔德国人的菊花了。ICE事故上死的人还少吗？双B的车小毛病比日本车多也是不争的事实。

54. kevin 于 2011-07-26 4:28 下午

    转内部人士分析，基本与21楼吻合

    7点半雷击导致地面信号机损坏，调度显示红光带。电务上去修理，未修好，为避免大面积晚点又要上报纸头条，电务采用人工封连，地面信号绿灯。D3115通过后由于电力故障等原因停车，同时调度失职，未及时通知到后D301车。导致地面一路绿灯，高速追尾。
    CTCS2/3仅仅从防追尾的角度讲还是很可靠的系统，但是信号系统完全被人为override。造成最终惨剧。这也是为什么管电务的副局长被最先撤职的原因。
    类似97年荣家湾事故，一个信号工失职，就可以杀100多个人。

    我觉得大家也不用YY什么心跳算法。做铁路信号研发的也不都是SB。不会犯这种低级错误。

55. ann liu 于 2011-07-26 6:56 下午

    原因简单的一塌糊涂：贪污，伪劣产品。
    50年前的技术就可以防追尾。只要铁轨上有东西，哪怕一根导电的线，后面的红灯就会亮，除非停电。如果停电，车也别动了。
    信号系统虚警不断，调度员不得不把信号系统屏蔽。
    闭塞系统是不可能出错的。绿灯的唯一解释就是被手工屏蔽了。
    ++++++++++
    顶这个

56. ann liu 于 2011-07-26 7:00 下午

    现在计算机比人可靠
    系统有些规则就该强制不可人干预,除非拿大锤子砸

57. 缓存一致性非常非常难 于 2011-07-26 8:39 下午

    信号系统和基建是铁路贪污最容易的两个地方。看那些高铁概念股就知道了。因为这两部分的技术含量很低。相比之下，机车的每一个螺钉都很复杂需要长期实验。

    自动闭塞的信号系统有几十年历史了，是非常简单可靠的，只要铁轨有电就可以了。为了贪钱，高铁的信号系统搞得非常昂贵，什么多媒体都来了。后果就是虚警不断。

    事故后，铁道部的通知中第四条讲，要加强非正常情况下的调度管理。

    铁道部对事故的原因一清二楚，而且也知道，信号系统故障是大面积的常态。就是更换也不是一时半会搞得好的。

58. 理客 于 2011-07-26 10:44 下午

    是的，去年比利时火车事故，也是信号系统问题

59. tiger 于 2011-07-27 12:22 上午

    我觉得跟当年巴黎火车站撞车事故有一定程度的类似和相同。

60. BEN 于 2011-07-27 1:06 上午

    修正一下54楼的两个小出入，D3115第二次停车是有乘客紧急制动了，另外从现在的信息看是调度员失职，在人工干预过程中没有监控异常情况的发生（没有信号工啥事，前面也说了信号机损坏短期无法修复）。

    在弯曲这样崇尚真理和细节的地方怎么还有那么多人在不明真相的情况下就轻易断定是背后的‘贪污’‘设计偷工减料’‘国产软件不可靠’，我们是中国这列高铁上的乘客同时也是某一部分的司机或设计师。

61. ADIDDAS 于 2011-07-27 1:12 上午

    47楼的观点很有意思，顶！
    我们确实都坐在一趟到处告警的破车上，但问题不在于告警太多，而是在于告警要不被屏蔽，要不就没人理会！

62. 缓存一致性非常非常难 于 2011-07-27 2:19 上午

    呵呵， 现在中国的调度和驾驶员就是在屏蔽告警信号。

    也许他们认为那些告警信号是伪告警。

    四代核心的一个基本观点就是，靠发展来解决问题。翻译过来就是，将来有钱了再说。

    我看到很多经营困难时期到处借钱不还的企业老板也都是这个哲学。

63. to 60 于 2011-07-27 6:18 上午

    to 60
    信号机故障，系统会自动停车。
    为了避免大面积晚点，信号工违规（或经授权）采用封连线强行绿灯

64. dddddd 于 2011-07-27 6:55 下午

    伊朗的核电站被植入了蠕虫。据说，这回是美国特工将蠕虫植入了高铁，破坏高铁后，模拟正常信号发送给调度室和后面的高铁。后面的高铁以为是正常的。

65. dddddd 于 2011-07-27 6:56 下午

    http://junshi.xilu.com/2011/0726/news_44_177187.html

66. kskk 于 2011-07-27 10:04 下午

    A:3001 ，请紧急停车。
    B：01 01，刹车装置系统失控，请指示。
    A: ………

67. balance 于 2011-07-28 3:04 上午

    其实估计就是
    信号系统出现过几次虚警，调度员迫于压力不得不把信号系统屏蔽。
    按照中国国情推断：
    之前发生过很多起停车的事故了吧，官方解释是雷雨问题。
    估计就是某些情况下，传感器报警，就自动停车（这个应该是最安全的措施）
    但是这样的话，领导表示上级领导压力挺大，不能再有这么多停车了，有虚警的传感器就关掉，就导致这样最低级的错误。

    一个系统的设计准则，不是以最安全为基准，而是以够不够快，能不能赚取更多的政绩为基准，必然会导致这样的状况。

68. 铁道概论 于 2011-07-28 6:49 上午

    非常赞同54楼的看法。随着时间的推移，事情的真相也逐渐清晰了，现在明白人都知道信号设备的问题不是真正的问题，出于政治因素考虑人为屏蔽信号才是关键。就算要深究技术细节，也与什么心跳、调度算法毫无关系，有些人就不要不懂还在那儿自我感觉良好似地YY了。

69. 理客 于 2011-07-28 7:25 上午

    to 陈蜀黍，说脏话是很容易的事，虽然几乎所有父母都教育小孩不要说脏话，在IT时代，可在网络上萍水相逢，但却素不相识，在芸芸不可计数的众生中也算一种缘分，本应珍惜，而不是籍此说话就可以口无遮拦，无所顾忌，希望您不要以用脏话做个人攻击为快感，于人于己，都未必是好事http://news.163.com/11/0728/07/7A1JF9UP00014AED.html
    http://news.163.com/11/0728/02/7A1364MD00014AED.html#from=relevant
    http://world.people.com.cn/GB/15263492.html
    http://www.xici.net/d150093229.htm

70. 麦克 于 2011-07-28 6:38 下午

    一些事件列表：
    1） 由于某种原因，导致信号灯故障，显示为红色 （目前看到两种说法，雷击、漏雨短路）

    2）调度通知D3115 关闭ATP系统 （这步很关键，如果不关闭，信号灯指示红色，列车会被自动停止。 同时，ATP系统关闭，导致D301的 ATP系统也无法工作，防撞系统失效）

    3）D3115 人工目视模式，20公里时速开动

    4）因某种原因，D3115 停车在 30米高的桥上 （据说是旅客手工拉强制停止，如果没有这步， 不停在桥上，人员损失不会这么大，或者20公里低速前行追尾的损失也会小很多）

    5） D3115停车后，通知调度，调度过大概6-7分钟才通知后车。（原因不明）

    6）电务人员检查和维修信号灯

    7）D301被调度要求按照信号灯指示行车

    8）由于某种原因，信号灯变成绿色（目前有：雷击、维修人员维护测试灯说法）

    9）D301 以180公里时速进入

    10） 由于前面D3115 ATP系统被关闭，导致D301 ATP 未检测到 D3115列车，不能正常工作

    11）事故前1分钟，调度通知D301紧急停车

    12） 追尾发生

    13）事故后，铁道部要求第一时间，掩埋车头

    14）A股暴跌，高铁概念损失约300亿市值。

    15） 这步是猜测，非事实。某个做空A股的账户平仓，盈利XXXX万转出。

71. jkdo 于 2011-07-28 6:58 下午

    再NB的算法也挡不住SB的人

72. 麦克 于 2011-07-28 8:00 下午

    to 铁道概论
    请教一下，假设D301列车的ATP 系统，在检测不到D3115列车的ATP信号时，进行强制停车或者将速度限制在20公里时速一下，这次的追尾事故能避免吗？

    心跳系统本身是一种非常成熟的可靠性机制，不明白号称高可靠性的铁路系统为啥不用，好的东西，应该是不分行业的吧。

    这次事故的主要原因可能是调度，但技术方案上难道没有一点改进空间吗？ 关闭了atp系统，整个系统的安全仅仅依靠 lke系统，这是一个典型的单点故障啊，这次事故也恰恰说明了这点。

73. 态度问题 于 2011-07-28 11:30 下午

    To: 61楼的ADIDDAS
    是荒唐的制度….History has the solutions,
    during 1980 there’re the 民航总局(CAAC)来操作民航 business..(all over the world called it China Airlines Always Cancelled – CAAC was a player & a referee(裁判)资金一直很不透明，有多大金额、怎么运行，几乎没有人清楚。经历了几次空难之后，大宋的ZF把民航总局在民航中的 裁判,球员& 保险员 分…发生事故的时候，就是保险公司在工作，航空公司则只是配合保险公司。
    铁道部… a 大宋的monster– 裁判,球员& 保险员.has a deep pocket everything belong to 铁道部 怎么运行，几乎没有人清楚。

    请教一下，不用分 裁判,球员& 保险员How many 事故 still need to ？

74. ADDIDAS 于 2011-07-29 6:53 上午

    在中国,但凡跟公权力沾边的全都是既当球员又当裁判,所以已经不需要什么例子了!
    我一直跟别人讲，贪婪或者愚蠢只占其一问题还不算太大，但贪婪加上愚蠢那就是彻底的死棋了！
    权贵阶层一方面贪婪，一方面甚至愚蠢到只顾眼前利益、看不到哪怕只是自己的长远利益，(我说的愚蠢不一定指的是智商，而是他甚至连自身的控制不了，就像一个控制不了自己欲望的人)。内部的权力制衡甚至在封建王朝时期，只要不是特别腐朽，都懂得将其作为维护自身长远利益的制度工具，可惜现在……..

75. ADDIDAS 于 2011-07-29 7:01 上午

    另外，兄弟能不能别让我们吃夹生饭，胃口不好

76. YiSH 于 2011-07-29 8:45 上午

    这是我很外行的思考：我一直觉得这个火车应该是有GPS定位或者基站定位的啊。。。这也算一个反馈channel

77. 理客 于 2011-07-29 9:24 上午

    按照70楼麦克的分析，是人作孽。典型的中式小聪明，屏蔽告警，把自动调度改为手动调度，玩人脑和电脑PK游戏，这对高速交通，简直是在作死，但操作员如果没有领导授意的形成潜规则，估计没有一个小职员敢完全自己擅作主张。
    德国ICE 98惨祸，虽然直接是技术原因，但根本也是人的问题，为解决火车高速下摇晃带来的不舒适，更换新型双层车轮，而此种车轮的金属疲劳度远高于单体车轮，并且金属疲劳度的超声波检查的准确度一直是难以解决的问题，经常误报，而肉眼检查对金属疲劳根本没有效果，出事车轮虽然有3次自动检测告警。使用同种车轮电车公司也对DB提出告警，但都没有引起足够的重视。
    在具体悲剧发生前10分钟，车轮碎片飞入车厢，但旅客和列车员不敢擅自拉紧急系统，去找车长，当返回到现场查看时，悲剧发生了。在德国，如果误报警，要罚款60欧，这个制度肯定是基于之前有误报的经验而设定的，很难说利弊。但是，可以有更好的方法，就是每个车厢增加一个告警电话，发现告警者直接在电话中汇报给车长和应急中心，由应急中心决定动作，如果有这个机制，德国ICE 98惨剧是很可能避免的，否则，就只能依赖当时的乘客是否敢冒风险，拉下告警手柄了，如果他当时真的做了，他就是英雄。同样，如果温州惨祸的调度刚打破潜规则，严格敢规程办，也是一样的

78. 我是陈蜀黍 于 2011-07-29 11:41 上午

    To 69 楼，
    装淡定 有意思吗？
    你贴那么多link，也无法否认德国ICE事故是至今最严重高铁事故。
    出了最严重高铁事故的德国货，还能被你称为是德国人设计的系统可靠性非常高。
    今天见了你，我总算能理解为啥德国下水道3米之内有备件小仓库这种joke能在网上流传起来。。。

79. kevint 于 2011-12-28 11:54 上午

    27.叶峰，通号设计院列控所高级工程师，LKD2-T1型列控中心设备研发项目实际负责人。工作失职。在LKD2-T1型列控中心设备研发中，软件硬件设计均存在缺陷，采集轨道信息的PIO板故障后仍发送故障前最后采集的信息，主机单元对PIO板故障时发出的报警信息不作处理，系统没有实现“故障导向安全”，导致信号升级；未对PIO板进行单板全面故障测试，未能查出PIO板在故障情况下不能实现导向安全的严重缺陷。对事故发生负有责任，建议给予降级处分。

80. 麦克 于 2011-12-30 10:49 下午

    调查结论出来了：大概的情况和70楼的推测一致。 d3115被转成目视操作模式， 同时发生故障时，联系不上调度。
    d301 还是按照自动模式运行，但没有交代，为啥D301没有检测到 区间的被占用这个异常？

    关键的几点：
    20时09分

    　　调度通知D3115异常

    　　20时09分，上海铁路局调度所助理调度员杨向明通知D3115次列车司机何枥：“温州南站下行三接近有‘红光带’，通过信号没办法开放，有可能机车信号接收白灯，停车后转目视行车模式继续行车。”司机又向张华进行了确认。

    ———–

    20时21分

    　　D3115故障 三次启动车未果

    　　20时17分01秒，张华通知D3115次列车司机：“在区间遇红灯即转为目视行车模式后以低于20公里/小时速度前进。”

    　　20时21分22秒，D3115次列车运行到583公里834米处（车头所在位置，下同）。因5829AG轨道电路故障，触发列车超速防护系统自动制动功能，列车制动滑行，于20时21分46秒停于584公里115米处。

    ———-

    　调度员放行D301 D3115失联

    　　20时22分22秒至20时27分57秒，D3115次列车司机6次呼叫列车调度员张华、温州南站值班员臧凯3次呼叫D3115次列车司机，均未成功（经调查，20时17分至20时24分，张华在D3115次列车发出之后至D301次列车发出之前，确认了沿线其他车站设备情况，再次确认了温州南站设备情况，了解了上行D3212次列车运行情况，接发了8趟列车）。

    　　20时24分25秒，在永嘉站到温州南站间自动闭塞行车方式未改变、永嘉站信号正常、符合自动闭塞区间列车追踪放行条件的情况下，张华按规定命令D301次列车从永嘉站出发，驶向温州南站。

81. 麦克 于 2011-12-30 10:55 下午

    to 79 kevint
    这个系统不知道是怎么通过验收测试的？
    ——————————
    27.叶峰，通号设计院列控所高级工程师，LKD2-T1型列控中心设备研发项目实际负责人。工作失职。在LKD2-T1型列控中心设备研发中，软件硬件设计均存在缺陷，采集轨道信息的PIO板故障后仍发送故障前最后采集的信息，主机单元对PIO板故障时发出的报警信息不作处理，系统没有实现“故障导向安全”，导致信号升级；未对PIO板进行单板全面故障测试，未能查出PIO板在故障情况下不能实现导向安全的严重缺陷。对事故发生负有责任，建议给予降级处分。

82. 理客 于 2011-12-31 10:16 上午

    这部分是人祸，互相失去联系和系统失去心跳是一样的严重事件，没有恢复之前，不应该再让任何列车运行
    —————————————-
    20时22分22秒至20时27分57秒，D3115次列车司机6次呼叫列车调度员张华、温州南站值班员臧凯3次呼叫D3115次列车司机，均未成功