主题：【原创】这个动车调查报告开了一个极其恶劣的先河 -- TrueSam

凭什么认为眼前的绿灯，可以跑300公里。

你站在司机的角度，再来理解理解吧。

为嘛要自己上去做炮灰呢。从最后一句，明显看出你还是偏JY的知识分子的底子。如果是为了上位，愿意提着脑袋干这事儿的不会少。

del

你在什么是＇故障导向安全＇？中，对“故障导向安全”的解释很精辟。“故障导向安全”的基本含义，不是“一旦出故障了，我已经给出故障信号，这时一定要人工干预，否则就会发生事故”，而是说“一旦发生故障，即使没有人工干预，我也一定能保障不出事故”，代价是运行效率低或者发生浪费等较小的损失。

“故障导向安全”是工业和调度系统的基本功能。拿化工的反应塔做例子。生产过程需要一定的压力（比如5），控制系统靠反应塔内的压力传感器知道塔内的压力，压力过大（比如到10）会引起反应塔的爆炸，是大事故。好，有一天加压时你的传感器坏了（故障出现了），控制系统不知道塔里的压力，但是判断出传感器故障，你也要能保证：即使值班人员睡着了（没有人工干预），不能再给塔里加压，避免压力过高引起爆炸。这可能会打断正常的生产过程，造成这锅料的浪费，但是以较小的代价避免了大的损失。这才是 “故障导向安全”。这个只是原理，事实上，一个装置会有多个传感器互相参照，根据不同的工艺和设备，判断故障的方法也有很多种，这方面晨枫是老大。

那么，是不是控制系统出问题，就一定会导致事故呢？还是以反应塔为例。为了避免控制系统失控，还要加个不受控制系统控制的泄放阀门，设定在8。一旦压力到了8，不管控制器是不是在正常工作，都把阀门打开，避免压力过高。再保险一点，设置一个防爆片，就是一块金属片，额定的压力是9。一旦所有的有源装置都失效了，压力到了9，不管你控制系统或者泄放阀门是怎么回事不动作，这个金属片自动破碎，把反应塔内的压力卸掉，从而保护反应塔的安全。反应炉有三层安全保障：第一控制系统（必须具有故障导向安全的功能），第二泄放阀门，第三防爆片。这就是俺理解的忘情说的，系统安全不是单独依赖于某个子系统的，这句话的真实含义。

从控制设备来说，如果仅仅做到：虽然给出报警信号，但还是依赖于人工干预才能停止加压过程，那就没有做到“故障导向安全”。这种系统是不合格的，而甬温线的设备恰恰如此。

俺之所以认为调度站的工作人员责任较小，就是因为“故障导致安全”是铁路调度系统的基本功能。无论是司机还是调度人员，本能地认为设备一定具备这项功能。否则的话，每次司机或调度看到绿灯，都要琢磨：这是正常的绿灯呢，还是设备坏了随机给出的绿灯呢？这火车就没法开了。

还有一个，一般来说，能接触设备的人员也是分档的，用户方面设备操作人员是最底层的，上面是工程师，至少有这么两层。再上面才是设备制造商。各层权限是不同的。而操作人员只能做最外层，最基本的东西，好多东西是动不了的。换句话说，一个低权限的操作或维修人员，他有心把设备信号弄乱，把红灯改成绿灯，人为制造故障，他都做不到。他最多能做到的，是扛把大锤把控制系统的主机砸了。这个时候，应当是什么效果呢？“故障导致安全”被触发，主机控制的路段全线红灯，所有列车停驶。操作层面的例子还有，一个火车司机，在限速200公里的线路上，他都不可能把速度提高到220公里（当然可以降到0）。

“故障导向安全”，操作权限分级，还有一个，操作有记录（log file），都是控制系统的最最基本的要求。

＇故障导向安全＇

你想破坏都破坏不了，说的好！

什么叫故障啊？你总是把事情想象成设备没有故障时候的样子，那不符合事实啊。

设备故障了，一帮人去修设备，这边同时还开着车，这本身就是很冒险的事情。

其实当时的情况，如果没人干预，设备显示的就是红灯，不会出事故。如果只有调度司机这些人干预，而没人去修理设备，也不会出事故。如果只有人去修设备，而没人在设备故障的时候人工调度开车，也不会出事故。

恰恰就是调度和维修两个方面都有人工干预，结果才出事故了。

即使没有人工干预，我也一定能保障不出事故。这个不错，其实这次，如果没有人工干预，还真是不会出事故。

这次的事故，就是因为有两拨人同时在人工干预，一拨是调度和司机，另一拨是维修设备的人员。这两批人同时干预，还能保证“故障导向安全”吗？

甬温线的设备恰恰不是如此。如果没有人工干预，就是红灯啊。那些绿灯是因为设备维修人员重新启动系统才弄出来的。

重现当时的故障状态，模拟过程中没人接触故障设备。

然后由一列动车模拟D3115次，一台机车模拟D301次，最后的结果与事故情况一样。

故障后信号机先显示红灯，当＇D3115＇次压上该轨道电路后，反而跳出绿灯了。

这不是缺陷是什么？

你说的只是你的假设，真正的事实是，普通的维修根本不可能让红灯变绿灯，除非是主观故意，我有意要让红灯变成绿灯。就是说电务部门哪怕把设备全拆了都只可能造成灭灯而不是绿灯。

这个设备就太不安全了，说明普通的维修工就可以有意或者无意的制造重大事故。

这里可是一堆人说什么出了事故，盛要下台，刘张要隆恩起复…………其实一个人倒了，要看是怎么倒的，如果是上面要让他倒，那倒了就是倒了，就算是倒错了，上边也绝不会认——一是丢不起这个人，二是也影响上边在老百姓心中的权威性。如果一个朝廷到了要不惜抽自己嘴巴把自己亲自打倒的人再从臭水沟里捞出来重用的地步，那他们也就离亡国不远了，比如大清之于袁世凯，嗯。

是"5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯",

而是不是D3115次压过引起的。

这个闭塞分区本来因为故障信号机显示红灯，D3115次压上轨道电路后，它多了个红灯条件，红灯条件相当于true+true，应该还是等于true。

事实上反了，红灯条件等于false了。

　　雷击发生故障后，采集信号中断，计算机还一直拿最后的一个数据当做当前有效数据，所以线路上一直显示是绿灯。

　　但这个故障反映到调度室，调度室内显示的是红灯。就是说调度室内已经知道有故障，但显示与现场不一样，调度认为线路上显示的也是红灯。

　　所以调度放行后车时，没有特别提醒，以为后车见到红灯会停下来等命令。

　　如果线路上显示的也是红灯，前车驶入红灯带，后车不过红灯，调度的做法是安全的也是合理的。但他没想到线路上显示的与调度室不一样，否则的话，他应该命令后车开到调度室显示的红灯处（按铁路行话是到XX公里处）后改目视慢速运行，这样不管线路上是显示什么也是安全的。

　　如果我的理解是对的，那么还是信号设备要负最主要的责任，包括制定标准、设计、验收等，调度的责任要轻得多。这样的话追领导责任的板子还是要打在跨越身上，因为这些都是他在任时的事，高阻半年多时间不可能把以前的这些东西全部复查一遍。

　　但不好理解的是，为什么这个故障信号传到了前车上造成停车，而后车没收到这个信号，如果后车也收到这个信号也会停车，这可能是前车压上去以后造成某种改变。

　　不知道前车开到那里时是什么灯。