专家谈安全设计：温州动车事故6个关键环节的可靠性设计教训

　　以下是温州动车事故的几个关键环节：

　　环节1：2011年7月23日19时30分，雷击温州南站沿线铁路牵引供电接触网“或”附近大地，通过大地的阻性耦合“或”空间感性耦合在信号电缆上产生浪涌电压，在多次雷击浪涌电压和直流电流共同作用下，LKD2-T1型列控中心设备采集驱动单元采集电路电源回路中的保险管F2（以下简称列控中心保险管F2，额定值250伏、5安培）熔断。

　　教训：在本段用了两个“或”字，意即调查组本身也并不清楚。这样一点作为结论性评语，有着致命的问题，因为对后续的问题解决没有任何确信的有价值帮助。航天科研中，在推行“归零管理”，分为技术归零和管理归零。分别从技术方案和管理流程上彻底杜绝同一类问题的发生。技术归零分五点“定位准确、机理清楚、故障再现、措施有效、举一反三”，就是完成一个技术归零报告，报告的内容共分为五章，标题和内容分别为这五部分。大家想想看，如果对这个断语，“定位准确”是信号电缆的浪涌电压没问题，耦合路径的机理呢没确定，当然故障再现及其后的部分内容，本报告重在追查责任，并未涉及整改措施。归零管理企业可以参考使用。

　　环节2：熔断前温州南站列控中心管辖区间的轨道“无车占用”，因温州南站列控中心设备的严重缺陷，导致后续时段实际有车占用时，列控中心设备“仍按照熔断前无车占用状态进行控制南站列控中心输出”，致使温州设备控制的区间信号机错误升级保持绿灯状态。

　　教训：按照安规的设计准则，“单一故障状态下，系统输出应该是安全的”，这里的单一故障是熔断，系统输出的安全在这里是：信号应该是禁行的红灯信号，最起码也应该是无信号或红绿都亮的紊乱信号，前者提示禁行，后两者起码能对驾驶员造成疑问。

　　也就是说，在这个故障发生后，保险丝断掉所引起的信号不能及时更新的问题，应能被及时的监测到，并提示报警，具体的设计方法在软件和硬件上都有措施，私下来探讨。

　　关于“单一故障下，系统输出应该是安全的”这个问题，安全性包括了三部分：系统对人的安全性影响、对周边关联设备和环境的安全性影响、对整机设备自身的安全性影响。一旦出现问题，保证这三部分的安全是第一位重要的。在本例中，系统输出的安全就是给出危险提示。为说明此问题，举例说明：

　　以继电器的控制为例，假设继电器通过控制给电机的供电来保证执行机构的运行，那么继电器选择常开触点还是常闭触点？一般的考虑出发点是控制电路的功耗，即看继电器是工作导通的时间长还是断开的时间长，如果导通的时间长，则选择常闭触点的继电器，这样继电器线圈控制电功率消耗会降低。但从安全性设计的角度考虑，选型结果未必还是这样。在发生单一故障时（这里的单一故障假设为控制电路对继电器的控制信号因线缆断开而失灵），电机所带动的执行机构不可以有危险输出，即继电器在没有控制信号的情况下，处于断开状态为佳（即为常开触点），如此则电机会停止输出，减少危害的可能性。

　　但实际上，在设计的时候，基于安全性设计的考虑，并不是所有的继电器都要选择常开触点的，这要服从于对单一故障类型的状态、以及危险输出的定义。如果继电器控制的是一个保护装置，防止危险输出的方法就是保护装置确保处于有效状态，即继电器控制信号断开的时候，继电器须能保证保护装置处于被供电状态（即选择常闭触点继电器）。

　　环节3：雷击还造成轨道电路与列控中心信号传输的CAN总线阻抗下降，使5829AG轨道电路与列控中心的通信出现故障，造成5829AG轨道电路发码异常，在**、检测码、绿黄码间无规律变化。

　　教训：关键链路单节点的可靠性串联结构隐患较大。轨道电路和列控中心之间既然如此重要，数据传输就需要并联结构互补一下。

　　环节4：19时54分，张华发现调度所调度集中终端（CTC）显示与现场实际状态不一致（温州南站下行三接近在温州南站计算机连锁终端显示“红光带”，但调度所CTC没有显示“红光带”），即按规定布置永嘉站、温州南站、瓯海站将分散自律控制模式转为非常站控模式。

　　教训：CTC显示与现场实际状态不一致能被发现，很好。这种信息属于安全关键信息，安全性设计里面需要关注三个方面：安全关键功能、安全关键信息、安全关键报警。此三部分的内容必须进行备份互查也好，加强设计也好，总之都是需要关注的重点。

　　环节5：20时21分46秒至20时28分49秒，因轨道电路发码异常，D3115次列车司机三次转目视行车模式起车没有成功。

　　教训：如此重要的功能，应属于单一故障下的安全关键功能，三次转目视行车居然未成功。测试时是否未进行此种单一故障下的测试？

　　环节6：20时22分22秒至20时27分57秒，D3115次列车司机6次呼叫列车调度员、温州南站值班员3次呼叫D3115次列车司机，均未成功。

　　20时28分43秒至28分51秒、28分54秒至29分02秒，D3115次列车司机两次呼叫列车调度员不成功。

　　教训：列车调度与列车司机之间的呼叫属于安全关键功能，难道仅有一种联络方式？又是可靠性串联模型的问题。

　　由以上6个环节的问题可以看出，安全性设计的两大核心问题，单一故障的分析略显欠缺，单一故障下的测试不足，单一故障下的安全关键功能、安全关键信息、安全关键报警的设计强化不足。系统架构的可靠性并联结构未采用，如此重要的关键环节，成本不应属于主要矛盾，安全性才是。