温州动车追尾事故原因:CTCS整体设计存在致命缺陷

来源:百度文库 编辑:超级军网 时间:2024/03/29 22:03:44


http://blog.sina.com.cn/s/blog_05123b600102dsrx.html

温州动车追尾事故原因:CTCS整体设计存在致命缺陷


惠邦

(2011-08-12 11:01:17)转载▼标签:



ctcszpw-2000aatp动车追尾温州高铁事故轨道电路财经  
一,CTCS总体设计存在致命缺陷

二,更改CTCS2系统总体设计的建议

三,荒唐的CTCS标准,不必要的准移动闭塞和移动闭塞

四,荒唐的ZPW-2000A全程断轨检查(检查轨道断裂!)

五,铁路安全管理存在工作流程/规章漏洞,是本次事故的根本原因

一,CTCS总体设计存在致命缺陷

最近我找到几篇铁路技术资料来看,没想到每篇资料都有令人惊异之处,CTCS2和CTCS3整体设计是错误的,缺陷是致命的。目前事故调查组只发现/铁道部只承认“列控中心采集板软件”有缺陷,并没发现/承认CTCS整个系统有致命缺陷。问题比调查组/铁道部说的要严重得多,致命缺陷并没有排除,高铁和动车是带着致命隐患运行。CTCS的设计思路,一出发就是错的,从根子上错了。必须立即停止使用CTCS2和CTCS3系统。不要开发CTCS4了。权宜之计是先把CTCS2和CTCS3改回到CTCS1(固定闭塞,由硬件构成),将高铁和动车降速到160km/h,然后开发出别的安全系统取代CTCS,界时才重新提速到300km/h和250km/h。用于普铁的老旧的CTCS1虽然安全系数不高,但绝不象CTCS2和CTCS3那样夺命。目前CTCS2用于200—250km/h线路(如甬温),CTCS3用于300km/h以上线路(如京沪,武广)。按照200km/h以上就是高铁的说法,甬温线也是高铁。

我先看了“CTCS2列车控制系统简介”,这是一篇铁路职工培训教材,我一看就大为惊讶,CTCS2整体设计思想不是为了更安全,而是为了更不安全。这太奇怪了。下图就是CTCS2系统设备构成图。



为了让非专业人士看得明白,我先简单说一说到底问题出在哪:后车D301通过什么渠道知道前车D3115位置呢?事实上后车不能直接知道前车位置,铁道部没采用“前车直接向后车发送信息的装置”。铁道部使用的曲折复杂的路径就是(如上图),前车占用了该段轨道,轨道上的线圈就感应到了,通过几公里十几公里电缆传到温州南站的轨道电路板,轨道电路板再传给K5B计算机联锁,K5B再传给列控中心TCC采集板(采集板使用软件),采集板传给列控中心电脑,电脑运算之后把判断结果发给K5B,K5B转发给轨道电路板,轨道电路板把或红或绿或黄的电码通过电缆发送到几公里十几公里之外的后车所在轨道的线圈,后车接收线圈信号就收到了红绿黄电码,司机最终看到的是或红或绿或黄的灯,而不是看到前车位置。司机通过红绿黄灯反向推断,才能知道前车在哪个区间。软件偶尔会出错,就好比网上银行转账偶尔会出错,就好比火星探测器软件也会崩溃,铁路这套电脑网络出错是一定的,所以这套系统是荒唐的。



接下来详细说。该套系统错误一:闭塞系统(也就是防追尾系统)必须绝对牢靠,起码应该做到10年出一次差错(发生概率),1000年发生一次追尾。但是对行车调度系统的要求就低多了,每天出一次差错也不要紧,全崩溃了也只不过是列车全停在轨道上等命令,影响的只是效率。两个系统可容许的差错率相差十万八千里,怎么被融合到一套系统里了呢?把闭塞系统融合到行车调度系统里,结果造成了闭塞系统的差错率和行车调度系统一样。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html



错误二:红箭头标示的是闭塞系统的信息流动路径,可见其它信息流在干扰闭塞系统信息流,闭塞功能和别的功能共用设备。闭塞系统没有专门设备。



错误三:调度高高在上,象个中央领导,指挥一切,值班员和司机也可以对闭塞系统横加干涉,闭塞系统受制于人工,完全没有强制性和执行力,在整个系统中没有法律地位。

  

错误四:闭塞区间是虚拟的,并不存在物理上的闭塞区间。靠虚拟的闭塞区间拦住列车,不牢靠。(C2有轨道电路没错,但电脑把区间变成虚拟的了。同样的,C3的应答器也是实实在在的物理器件,可闭塞中心把区间变成虚拟的了)



错误五:虚拟出来的闭塞系统,也只有一个。没有第二套第三套闭塞系统。一旦出错,就没有第二道第三道防线。



错误六:闭塞系统中使用了电脑和单板机,这是绝对忌讳的。当我知道铁道部居然用电脑构建闭塞系统的时候,我当即愣住了,我彻底错愕。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html再昂贵的电脑也有机会出现死机或蓝屏,再完美的软件也有机会出现乱码或进入死循环。你说它没坏,它明明故障了。你说它坏了,可是重启又好了。美国造价昂贵的智能导弹,射出去5颗,结果有1颗打偏了。电脑运算能力超凡,但是不可靠。闭塞系统必须全部使用硬件(指不载有软件的电子装置,和电脑主板使用的零件一样但是程序已固定,一种输入只对应唯一的输出结果没有第二个结果,不是指CPU,内存,硬盘这些“载有软件的硬件”,下同)。铁道部很清楚电脑不可靠,因此铁道部喜欢使用二乘二取二所谓安全计算机,以为4个CPU互相校验就没事了,殊不知这只能避免部分错误,并不能避免全部错误。四个CPU是一样的,输入也是一样的,如果输入信号乱跳,引致软件开开停停,用不了多久软件就会乱套。给输入信号设置延时,提高准入门槛行不行?不行,这会漏掉有用的信号,导致软件该动作而未动作。电脑不是人脑,电脑分不清乱跳的信号是真是假,该不该采信。就算输入稳定,电脑自己也会跑错,CPU,内存,硬盘,每个部件都有跑错的时候。电脑器件频率高,空间小,电流弱,出错不可难免。



有数学系软件专业毕业生/铁路软件编写人员将CPU经常发生莫名其妙错误的原因归罪于外围电路,说继电器不好,说有强电干扰,说电路板上的零件不好,总之不说CPU不好,总之他的CPU是好的。CPU好不好,全凭口说无用,要实际验证。把CPU拿掉,换成同样功能的硬件IC,软件专业毕业生认为的肇事的外围电路一点也不变,给予同样的电磁环境,结果就是那些莫名其妙的故障全部消失!也不需要复位键,不需要重启。请数学系软件专业的毕业生解释这是为什么?不信你就实验。



铁道部说D301追尾D3115的原因是列控中心采集板的软件编写有缺陷,我认为这种说法值得商榷。输入乱跳导致软件乱套,在所难免。做总体设计的人应该事先就料到软件会出这种错,根本就不该把构建闭塞区间这么重大的任务交给软件去实现。这次把责任归到采集板软件,下次电脑再跑错,责任归到哪?如果是硬件,随便输入信号怎么乱跳,硬件绝不会乱套。硬件唯一要注意的就是响应时间问题,如果超过了硬件的频率范围,输出也会是错的,不超频率范围就包你没事。不过既使先前输入信号超过了硬件的频率范围,导致输出不正确,但只要现在不超频率范围了,输出就是正确的了,硬件是没有记忆的。轨道电路来的信号频率并不高,再怎么乱跳也不会超过硬件IC的频率范围。软件是有记忆的,一旦错了就会沿着错误的道路继续运算下去。



电脑器件是国外设计制造,铁道部根本不可能改良其可靠性。既然电脑可靠性差是天生的不可改变的,那铁道部为什么还要将其用于闭塞系统?真是一件奇怪的事。电脑设备出故障的时候,很难查到故障出在哪里。如果关机重启,故障现象却不肯重复出现,让人伤透脑筋。这是铁路,每辆列车上有一千多名乘员,车速这么快,车距这么近,稍有差池就会导致追尾。铁道部把乘员的生命交给电脑和单板机掌控,这是冒险。铁道部很疯癫很荒唐,我很意外。



软件从业人员在职业生涯中一定发现过电脑不牢靠,只不过有的人愿意向公众挑明,有的人不愿向公众挑明。还有的软件从业人员是不服输,心想我正在用的这个操作系统不行,我换个更昂贵的操作系统说不定就行,那些经过这认证那认证的操作系统可能就行,说不定军品CPU就行。他们试过之后一定还会发现:仍然不行。这条路永远也没有尽头。虽然错误概率减少了,但仍然存在很多莫名其妙的错误,解决不了。CPU的问题是解决不了的。不仅仅是操作系统好不好,软件编得好不好的问题。就算软件没有BUG,电脑也照样出错,是CPU本身有问题,是CPU器件存在不可解决的问题。软件编写人员如何能解决CPU器件本身的问题?软件编写人员是在沙堆上建大厦,软件人员再努力也是白搭。你编写再用功也只能消除部分错误。前些天我看电脑网,上面讲硬盘的传输正确率是99。99%(好低的正确率啊)。CPU经常会出错,这件事并不是秘密,CPU会出错这一点首先必须得承认对吧。问题是,CPU器件本身到底有什么问题,导致了出错?



一小块地方,集成了多少个单元?每个单元获分配的电流是多少?太微弱了是吧。频率又高,现在主频已经做到3G以上了对吧。收音机短波不超过30M,手机用800M,还没有CPU主频高。CPU内部到底是有线传输还是无线传输?已经说不清了。正确的信号当然是应该来自有线传输,是按有线传输设计的嘛。但实际上呢,单元间隔这么近,各单元不断在0和1之间跳变,事实上每个单元都处于噪杂的无线电环境中。每个单元受别的单元无线电干扰,本单元的跳变也干扰别的单元,到处都在发生“串音”啊。一小块地方,功率几十瓦,发热几十度,每个单元的无线电环境已经不能用噪杂二字形容,应该说已经震耳欲聋了。单元受无线电传输的干扰,这个没办法测量,出现在哪个单元也很随机。如果有人另做个CPU,把CPU每个单元的电流都提高到毫安级,单元间距10厘米,我相信跑错的现象就没有了。这才是解决CPU问题的方向。但是谁会要这么大功率的CPU呢,谁会要这么大体积的CPU呢。所以CPU问题实际上是无解的。无线电环境震耳欲聋是CPU错误率高的原因所在,这一点是我十几年前突然想到的。



既使搞不明白CPU出错的原因,但是CPU会出错这是一种现象,这是常识,从业人员总该是知道的吧。可是铁道部居然不知道这个常识。前几天我一看铁道部的CTCS2,居然用CPU做闭塞,我就吃惊得说不出话来,铁道部怎么用这个做闭塞啊,能不出事吗?CPU错误率高是因为无线电串音,设计CPU的人肯定是知道的,但是这些美国人有没有向世人挑明这一点呢。不管他们设计者售卖者承认不承认,说了没说,反正实际上CPU就是不可靠嘛。推销人员会不会向客户说:我这个CPU会跑错,我采用了CPU所以有时候闭塞系统软件会出错。会有销售人员这么和客户说话吗?设计软件闭塞系统的商家是很无良的。销售人员可能不知道缺陷,但是设计人员和老板肯定知道缺陷,调试的时候会有出错现象的啊,他们有没有把实情告诉世人呢。如果他们把实情告诉世人,还有人买他们的软件闭塞系统吗?应该让闭塞系统设计人员和老板天天坐到高铁车头去体验他们自己的产品,这样的话他们马上不敢设计软件闭塞了,设计好的也不敢卖了。所以需要买家有悟性,一听是用CPU做闭塞就不买了,这是人命关天的地方,不能用CPU。谁决定使用软件闭塞系统的,就让谁天天坐到高铁车头去。只要是怀疑这种技术路线,就不该买了,买家不需要刻意去确认。难道大家买东西的时候不是这样吗,谁愿意买下可疑的东西,把生命托付给这个可疑的东西呢。



闭塞系统不是手机,不是电游,不是动漫,不是影视编辑,不是图像处理,也不同于调度系统。我们打开网页有时出现404 NOT FOUND,可我们还是用电脑上网,不以为意。可是在闭塞系统中如果出现404 NOT FOUND就是没命了。有的电视台正在播放突然画面卡住了,出现马赛克了,那是电脑故障。闭塞系统出马赛克了,所以追尾了。调度系统使用电脑完全没问题,使用四个CPU互相校验可以使生产效率更有保障。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html但是闭塞系统绝对不能用电脑实现,也不需要用电脑实现,因为闭塞系统并不需要复杂运算,用硬件实现并无问题。某些院士/总工程师/教授不懂什么叫工程(Engineering),不懂什么叫安全什么叫可靠性。做一万次实验,出现了一次期望中的结果就会欣喜若狂,这个人是在搞科学。做一万次实验,出现8千次期望中的结果,这个人已经在搞技术。做一万个产品,为偶尔出现的几个废品懊恼不已,想尽办法降低出错机率,这个人是在做工程(Engineering)。



二,更改CTCS2系统总体设计的建议(参见CTCS2系统设备构成图):




对调度软件我只提一个修改意见,就是不要弄丢了列车。在任何情况下,永远要记着所有的列车,永远要跳出提示框和发出声音报警追问调度:XXX次列车哪里去了?列车在哪个位置失踪的,软件自动禁止任何列车进入该位置后方10公里处。(该软件的闭塞功能是“闭塞杂牌军”,杂牌军也是军)



闭塞系统要设置三套。第一套继续由ZPW-2000A轨道电路领刚,除了向后车发送红绿黄码,在轨道旁安装信号灯以外,还要向后车报告前车位置,方法是:ZPW-2000A轨道电路的编号使用起始端里程公里数加百米数,通过轨道电路向后车发送前车占用的轨道电路的编号,后车用逻辑电路运算减去自己的里程数,和接收到的红绿黄码校验,自动判断是否触发制动。第二套由应答器领刚,利用轨旁无线电向机车发送前车刚越过的应答器的编号(用里程编号)。第三套,前车把自己的里程数直接用无线电发送给后车,后车接收后减去自己的里程数,自动判断是否制动。三种途径报来的前车位置都显示在司机的屏幕上,除了机车自动制动以外,司机也自会权衡风险。



以往的设计,想尽办法向机车发送控制信息,却唯独不肯告诉司机:前车在哪里。也不让机车上的自动装置做判断。地面装置把判断全做了,只把红绿黄码发给机车,这是不对的。司机处于最危险位置,却得不到前车信息,地面上的人和设备没有危险却要判断一切,风险和判断权力完全倒置。我看现在司机只有勤给前车打电话这一个办法了,问:你现在的里程数是多少?必须一分钟打一次电话。



三套系统都使用硬件,自成系统,互相独立。车载接收和运算装置(车载ATP)也全部使用硬件。三套系统都随时向调度监测软件报告运行状态。调度监测软件发现错误要报警,但调度监测软件无权指挥闭塞系统。每天机车入库出库要体检一次,每天检测车要在轨道上来回走一趟。



闭塞系统和道叉的联锁关系只在车站内和机外使用。接近车站时,使用应答器使第三套(前车直接向后车报告位置)闭塞系统关闭,出站再开。不允许使用电脑控制道叉和联锁关系。道叉和联锁状态随时向调度监测软件报告,发现错误及时报警,但软件无权扳道叉和改信号。





http://blog.sina.com.cn/s/blog_05123b600102dsrx.html

温州动车追尾事故原因:CTCS整体设计存在致命缺陷


惠邦

(2011-08-12 11:01:17)转载▼标签:



ctcszpw-2000aatp动车追尾温州高铁事故轨道电路财经  
一,CTCS总体设计存在致命缺陷

二,更改CTCS2系统总体设计的建议

三,荒唐的CTCS标准,不必要的准移动闭塞和移动闭塞

四,荒唐的ZPW-2000A全程断轨检查(检查轨道断裂!)

五,铁路安全管理存在工作流程/规章漏洞,是本次事故的根本原因

一,CTCS总体设计存在致命缺陷

最近我找到几篇铁路技术资料来看,没想到每篇资料都有令人惊异之处,CTCS2和CTCS3整体设计是错误的,缺陷是致命的。目前事故调查组只发现/铁道部只承认“列控中心采集板软件”有缺陷,并没发现/承认CTCS整个系统有致命缺陷。问题比调查组/铁道部说的要严重得多,致命缺陷并没有排除,高铁和动车是带着致命隐患运行。CTCS的设计思路,一出发就是错的,从根子上错了。必须立即停止使用CTCS2和CTCS3系统。不要开发CTCS4了。权宜之计是先把CTCS2和CTCS3改回到CTCS1(固定闭塞,由硬件构成),将高铁和动车降速到160km/h,然后开发出别的安全系统取代CTCS,界时才重新提速到300km/h和250km/h。用于普铁的老旧的CTCS1虽然安全系数不高,但绝不象CTCS2和CTCS3那样夺命。目前CTCS2用于200—250km/h线路(如甬温),CTCS3用于300km/h以上线路(如京沪,武广)。按照200km/h以上就是高铁的说法,甬温线也是高铁。

我先看了“CTCS2列车控制系统简介”,这是一篇铁路职工培训教材,我一看就大为惊讶,CTCS2整体设计思想不是为了更安全,而是为了更不安全。这太奇怪了。下图就是CTCS2系统设备构成图。



为了让非专业人士看得明白,我先简单说一说到底问题出在哪:后车D301通过什么渠道知道前车D3115位置呢?事实上后车不能直接知道前车位置,铁道部没采用“前车直接向后车发送信息的装置”。铁道部使用的曲折复杂的路径就是(如上图),前车占用了该段轨道,轨道上的线圈就感应到了,通过几公里十几公里电缆传到温州南站的轨道电路板,轨道电路板再传给K5B计算机联锁,K5B再传给列控中心TCC采集板(采集板使用软件),采集板传给列控中心电脑,电脑运算之后把判断结果发给K5B,K5B转发给轨道电路板,轨道电路板把或红或绿或黄的电码通过电缆发送到几公里十几公里之外的后车所在轨道的线圈,后车接收线圈信号就收到了红绿黄电码,司机最终看到的是或红或绿或黄的灯,而不是看到前车位置。司机通过红绿黄灯反向推断,才能知道前车在哪个区间。软件偶尔会出错,就好比网上银行转账偶尔会出错,就好比火星探测器软件也会崩溃,铁路这套电脑网络出错是一定的,所以这套系统是荒唐的。



接下来详细说。该套系统错误一:闭塞系统(也就是防追尾系统)必须绝对牢靠,起码应该做到10年出一次差错(发生概率),1000年发生一次追尾。但是对行车调度系统的要求就低多了,每天出一次差错也不要紧,全崩溃了也只不过是列车全停在轨道上等命令,影响的只是效率。两个系统可容许的差错率相差十万八千里,怎么被融合到一套系统里了呢?把闭塞系统融合到行车调度系统里,结果造成了闭塞系统的差错率和行车调度系统一样。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html



错误二:红箭头标示的是闭塞系统的信息流动路径,可见其它信息流在干扰闭塞系统信息流,闭塞功能和别的功能共用设备。闭塞系统没有专门设备。



错误三:调度高高在上,象个中央领导,指挥一切,值班员和司机也可以对闭塞系统横加干涉,闭塞系统受制于人工,完全没有强制性和执行力,在整个系统中没有法律地位。

  

错误四:闭塞区间是虚拟的,并不存在物理上的闭塞区间。靠虚拟的闭塞区间拦住列车,不牢靠。(C2有轨道电路没错,但电脑把区间变成虚拟的了。同样的,C3的应答器也是实实在在的物理器件,可闭塞中心把区间变成虚拟的了)



错误五:虚拟出来的闭塞系统,也只有一个。没有第二套第三套闭塞系统。一旦出错,就没有第二道第三道防线。



错误六:闭塞系统中使用了电脑和单板机,这是绝对忌讳的。当我知道铁道部居然用电脑构建闭塞系统的时候,我当即愣住了,我彻底错愕。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html再昂贵的电脑也有机会出现死机或蓝屏,再完美的软件也有机会出现乱码或进入死循环。你说它没坏,它明明故障了。你说它坏了,可是重启又好了。美国造价昂贵的智能导弹,射出去5颗,结果有1颗打偏了。电脑运算能力超凡,但是不可靠。闭塞系统必须全部使用硬件(指不载有软件的电子装置,和电脑主板使用的零件一样但是程序已固定,一种输入只对应唯一的输出结果没有第二个结果,不是指CPU,内存,硬盘这些“载有软件的硬件”,下同)。铁道部很清楚电脑不可靠,因此铁道部喜欢使用二乘二取二所谓安全计算机,以为4个CPU互相校验就没事了,殊不知这只能避免部分错误,并不能避免全部错误。四个CPU是一样的,输入也是一样的,如果输入信号乱跳,引致软件开开停停,用不了多久软件就会乱套。给输入信号设置延时,提高准入门槛行不行?不行,这会漏掉有用的信号,导致软件该动作而未动作。电脑不是人脑,电脑分不清乱跳的信号是真是假,该不该采信。就算输入稳定,电脑自己也会跑错,CPU,内存,硬盘,每个部件都有跑错的时候。电脑器件频率高,空间小,电流弱,出错不可难免。



有数学系软件专业毕业生/铁路软件编写人员将CPU经常发生莫名其妙错误的原因归罪于外围电路,说继电器不好,说有强电干扰,说电路板上的零件不好,总之不说CPU不好,总之他的CPU是好的。CPU好不好,全凭口说无用,要实际验证。把CPU拿掉,换成同样功能的硬件IC,软件专业毕业生认为的肇事的外围电路一点也不变,给予同样的电磁环境,结果就是那些莫名其妙的故障全部消失!也不需要复位键,不需要重启。请数学系软件专业的毕业生解释这是为什么?不信你就实验。



铁道部说D301追尾D3115的原因是列控中心采集板的软件编写有缺陷,我认为这种说法值得商榷。输入乱跳导致软件乱套,在所难免。做总体设计的人应该事先就料到软件会出这种错,根本就不该把构建闭塞区间这么重大的任务交给软件去实现。这次把责任归到采集板软件,下次电脑再跑错,责任归到哪?如果是硬件,随便输入信号怎么乱跳,硬件绝不会乱套。硬件唯一要注意的就是响应时间问题,如果超过了硬件的频率范围,输出也会是错的,不超频率范围就包你没事。不过既使先前输入信号超过了硬件的频率范围,导致输出不正确,但只要现在不超频率范围了,输出就是正确的了,硬件是没有记忆的。轨道电路来的信号频率并不高,再怎么乱跳也不会超过硬件IC的频率范围。软件是有记忆的,一旦错了就会沿着错误的道路继续运算下去。



电脑器件是国外设计制造,铁道部根本不可能改良其可靠性。既然电脑可靠性差是天生的不可改变的,那铁道部为什么还要将其用于闭塞系统?真是一件奇怪的事。电脑设备出故障的时候,很难查到故障出在哪里。如果关机重启,故障现象却不肯重复出现,让人伤透脑筋。这是铁路,每辆列车上有一千多名乘员,车速这么快,车距这么近,稍有差池就会导致追尾。铁道部把乘员的生命交给电脑和单板机掌控,这是冒险。铁道部很疯癫很荒唐,我很意外。



软件从业人员在职业生涯中一定发现过电脑不牢靠,只不过有的人愿意向公众挑明,有的人不愿向公众挑明。还有的软件从业人员是不服输,心想我正在用的这个操作系统不行,我换个更昂贵的操作系统说不定就行,那些经过这认证那认证的操作系统可能就行,说不定军品CPU就行。他们试过之后一定还会发现:仍然不行。这条路永远也没有尽头。虽然错误概率减少了,但仍然存在很多莫名其妙的错误,解决不了。CPU的问题是解决不了的。不仅仅是操作系统好不好,软件编得好不好的问题。就算软件没有BUG,电脑也照样出错,是CPU本身有问题,是CPU器件存在不可解决的问题。软件编写人员如何能解决CPU器件本身的问题?软件编写人员是在沙堆上建大厦,软件人员再努力也是白搭。你编写再用功也只能消除部分错误。前些天我看电脑网,上面讲硬盘的传输正确率是99。99%(好低的正确率啊)。CPU经常会出错,这件事并不是秘密,CPU会出错这一点首先必须得承认对吧。问题是,CPU器件本身到底有什么问题,导致了出错?



一小块地方,集成了多少个单元?每个单元获分配的电流是多少?太微弱了是吧。频率又高,现在主频已经做到3G以上了对吧。收音机短波不超过30M,手机用800M,还没有CPU主频高。CPU内部到底是有线传输还是无线传输?已经说不清了。正确的信号当然是应该来自有线传输,是按有线传输设计的嘛。但实际上呢,单元间隔这么近,各单元不断在0和1之间跳变,事实上每个单元都处于噪杂的无线电环境中。每个单元受别的单元无线电干扰,本单元的跳变也干扰别的单元,到处都在发生“串音”啊。一小块地方,功率几十瓦,发热几十度,每个单元的无线电环境已经不能用噪杂二字形容,应该说已经震耳欲聋了。单元受无线电传输的干扰,这个没办法测量,出现在哪个单元也很随机。如果有人另做个CPU,把CPU每个单元的电流都提高到毫安级,单元间距10厘米,我相信跑错的现象就没有了。这才是解决CPU问题的方向。但是谁会要这么大功率的CPU呢,谁会要这么大体积的CPU呢。所以CPU问题实际上是无解的。无线电环境震耳欲聋是CPU错误率高的原因所在,这一点是我十几年前突然想到的。



既使搞不明白CPU出错的原因,但是CPU会出错这是一种现象,这是常识,从业人员总该是知道的吧。可是铁道部居然不知道这个常识。前几天我一看铁道部的CTCS2,居然用CPU做闭塞,我就吃惊得说不出话来,铁道部怎么用这个做闭塞啊,能不出事吗?CPU错误率高是因为无线电串音,设计CPU的人肯定是知道的,但是这些美国人有没有向世人挑明这一点呢。不管他们设计者售卖者承认不承认,说了没说,反正实际上CPU就是不可靠嘛。推销人员会不会向客户说:我这个CPU会跑错,我采用了CPU所以有时候闭塞系统软件会出错。会有销售人员这么和客户说话吗?设计软件闭塞系统的商家是很无良的。销售人员可能不知道缺陷,但是设计人员和老板肯定知道缺陷,调试的时候会有出错现象的啊,他们有没有把实情告诉世人呢。如果他们把实情告诉世人,还有人买他们的软件闭塞系统吗?应该让闭塞系统设计人员和老板天天坐到高铁车头去体验他们自己的产品,这样的话他们马上不敢设计软件闭塞了,设计好的也不敢卖了。所以需要买家有悟性,一听是用CPU做闭塞就不买了,这是人命关天的地方,不能用CPU。谁决定使用软件闭塞系统的,就让谁天天坐到高铁车头去。只要是怀疑这种技术路线,就不该买了,买家不需要刻意去确认。难道大家买东西的时候不是这样吗,谁愿意买下可疑的东西,把生命托付给这个可疑的东西呢。



闭塞系统不是手机,不是电游,不是动漫,不是影视编辑,不是图像处理,也不同于调度系统。我们打开网页有时出现404 NOT FOUND,可我们还是用电脑上网,不以为意。可是在闭塞系统中如果出现404 NOT FOUND就是没命了。有的电视台正在播放突然画面卡住了,出现马赛克了,那是电脑故障。闭塞系统出马赛克了,所以追尾了。调度系统使用电脑完全没问题,使用四个CPU互相校验可以使生产效率更有保障。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html但是闭塞系统绝对不能用电脑实现,也不需要用电脑实现,因为闭塞系统并不需要复杂运算,用硬件实现并无问题。某些院士/总工程师/教授不懂什么叫工程(Engineering),不懂什么叫安全什么叫可靠性。做一万次实验,出现了一次期望中的结果就会欣喜若狂,这个人是在搞科学。做一万次实验,出现8千次期望中的结果,这个人已经在搞技术。做一万个产品,为偶尔出现的几个废品懊恼不已,想尽办法降低出错机率,这个人是在做工程(Engineering)。



二,更改CTCS2系统总体设计的建议(参见CTCS2系统设备构成图):




对调度软件我只提一个修改意见,就是不要弄丢了列车。在任何情况下,永远要记着所有的列车,永远要跳出提示框和发出声音报警追问调度:XXX次列车哪里去了?列车在哪个位置失踪的,软件自动禁止任何列车进入该位置后方10公里处。(该软件的闭塞功能是“闭塞杂牌军”,杂牌军也是军)



闭塞系统要设置三套。第一套继续由ZPW-2000A轨道电路领刚,除了向后车发送红绿黄码,在轨道旁安装信号灯以外,还要向后车报告前车位置,方法是:ZPW-2000A轨道电路的编号使用起始端里程公里数加百米数,通过轨道电路向后车发送前车占用的轨道电路的编号,后车用逻辑电路运算减去自己的里程数,和接收到的红绿黄码校验,自动判断是否触发制动。第二套由应答器领刚,利用轨旁无线电向机车发送前车刚越过的应答器的编号(用里程编号)。第三套,前车把自己的里程数直接用无线电发送给后车,后车接收后减去自己的里程数,自动判断是否制动。三种途径报来的前车位置都显示在司机的屏幕上,除了机车自动制动以外,司机也自会权衡风险。



以往的设计,想尽办法向机车发送控制信息,却唯独不肯告诉司机:前车在哪里。也不让机车上的自动装置做判断。地面装置把判断全做了,只把红绿黄码发给机车,这是不对的。司机处于最危险位置,却得不到前车信息,地面上的人和设备没有危险却要判断一切,风险和判断权力完全倒置。我看现在司机只有勤给前车打电话这一个办法了,问:你现在的里程数是多少?必须一分钟打一次电话。



三套系统都使用硬件,自成系统,互相独立。车载接收和运算装置(车载ATP)也全部使用硬件。三套系统都随时向调度监测软件报告运行状态。调度监测软件发现错误要报警,但调度监测软件无权指挥闭塞系统。每天机车入库出库要体检一次,每天检测车要在轨道上来回走一趟。



闭塞系统和道叉的联锁关系只在车站内和机外使用。接近车站时,使用应答器使第三套(前车直接向后车报告位置)闭塞系统关闭,出站再开。不允许使用电脑控制道叉和联锁关系。道叉和联锁状态随时向调度监测软件报告,发现错误及时报警,但软件无权扳道叉和改信号。



我最推崇的是轨旁无线电发射机方案,省钱,可靠,司机和车站同时收到信号都做判断,大大降低了错判误判,安全优势明显。轨旁无线电发射机电路简单,接收方也不复杂,我猜测铁科院铁道学院或设计院早已开发出这个装置,只因为听起来不够“高级”,是固定闭塞不合铁道部的意,所以一直未采用。铁道部衷情于ZPW-2000A轨道电路。我不反对ZPW-2000A轨道电路通过几公里电缆传到车站做判断这种方式,这种方式是闭塞杂牌军,杂牌军也是军,可以继续使用,但应该增加轨旁无线电发射机方式(正规军)。最佳办法是在每个闭塞区间的始端放置三台无线电发射机,列车占用时应答器或轨道电路触发发射机发射,调制内容是该闭塞区间起始端的里程,上行用偶数,下行用奇数,具唯一性。列车离开则发射停止。如果后车司机和车站接收到三个发射信号,并且等到三个发射机停止发射时,即判定为“前车已跨入前一个区间”,后车前进,不必寻问。如果只收到两个发射机信号,后车前进,但是后车司机要马上向前车核实“你确实过去了么”,问车站“你那里显示几个信号”以判断是轨旁无线电发射机坏了(电务去修,但不影响列车运行,这个方法的优势),还是车载接收器坏了。如果只收到一个信号,后车停车等待故障排除。同一个闭塞区间的三台发射机几乎同时开始误发射,然后几乎同时停止发射的概率微乎其微,3万年也发生不了一次。车载接收器的三个独立接收机同时把没信号错判为有信号,然后又同时把有信号变为没信号,发生概率渺茫。所以轨旁无线电发射机方案可以杜绝追尾。(和无委会协商一个铁路专用频段,每5公里设置三台发射机,发射机相隔100米,一个主频二个副频但三台调制内容都是同样的里程数,司机的接收器和车站的接收器是一样的,同时接收几十个频率,前后几十公里所有车的动向一目了然,司机获得最直接最可靠和值班员调度同等的信息)



三套闭塞系统会不会很贵?恰恰相反,因为硬件装置没有技术秘密可言,产品一上市就等于电路图公开,厂家之间必然展开竞争而失去利润空间,所以硬件必然是便宜的。而软件因为有技术秘密,源代码不公开,换言之有技术壁垒,换厂家比较难,所以软件必然是贵的。这也是厂家愿意开发软件产品而不愿开发硬件产品的原因。买家鉴别硬件产品质量容易,鉴别软件产品则困难得多,软件质量只能靠长期使用验证,这很被动,存在安全隐患。铁路是公众交通工具,采用软件闭塞产品是对公众不负责任。



提示:国务院调查组只负责在既有的一套系统之内找原因。而我谈论的是在既有的一套系统之外寻找解决之道,是在技术上寻求突破,使铁路安全走出困局。国务院调查组界时公布的结果,不会是我说的那些内容。本文并不是为了“猜中”国务院调查组的结论。



决定用软件做闭塞而且只设置一套闭塞系统的人,自己是不是敢365天天天坐在高铁车头?王梦恕和交大的那位教授对高铁安全那么有信心,那应该让他们天天坐在车头体验。王勇平是铁道部的人,从温州回北京也是坐飞机,可见对高铁的信任度如何。有的软件从业人员明知软件经常出错,但还是强烈主张用软件做闭塞,这是什么用意?为了让主张软件者说话负起责任,我建议主张软件者好好设想一下,如果他自己天天坐在车头的话,他是不是还主张用软件做闭塞。为了让设计者负起责任,我认为应该制订法律,拍板敲定高铁总体设计方案的人,具体设计的人,应该在完工运营后天天坐在车头,坐一年时间,以增强其设计时的责任心。看谁还会轻易就说:用软件做闭塞。但是设计用硬件做闭塞的人就不怕坐车头,因为心里有底。有人说,任何设计都不存在100%可靠,包括软件硬件。这种说法不对。电子电路传输是100%正确。不象硬盘,还会有99。99%正确一说。无线电电台方式的话,会偶尔受干扰导致接收失败,但发射方是在重复发射简单的串行码,接收方的显示是实时更新的,没有记忆,不会记住错误。但电脑软件就会记住错误并且运算下去。



注意我的说法,我说的是C2C3整体设计有致命缺陷。我没评判具体的哪个装置有没有设计错误,对具体的某个装置的设计的评判是另外一个话题,需要解剖那个装置,试验那个装置。好的整体设计,既使某个装置有设计错误,错误发作了也不是事故。既使所有装置都有设计隐患,但只要不同时发作就不是事故(同时发作的概率是那么地小)。差的整体设计如C2C3,一个具体装置的软件缺陷发作,就酿成了追尾。



思考到这里,本该结束了,可是有个问题仍然没有答案,一直很纳闷:铁道部为什么放着可靠的方法不用?为什么明知电脑不可靠却偏要用电脑实现闭塞功能?于是我继续寻找资料,我就找到了“CTCS简介”。看到移动闭塞概念的时候,我恍然大悟了,哦,铁道部为了最大限度挖掘生产潜力,为了使行车密度达到最大化,把固定闭塞取消了,把闭塞区间变成可调整的了,当车速慢的时候使闭塞区间自动变小,车速快的时候间距自动拉大,称之为“移动闭塞”或“准移动闭塞”。





三,荒唐的CTCS标准,不必要的准移动闭塞和移动闭塞

问题是,固定闭塞完全可以满足运输需要,根本就没必要搞移动闭塞。在250公里时速的线路上安装固定闭塞设备,每5公里设置一个闭塞区间,列车后方第一个闭塞区间禁入,后方第二个闭塞区间允许后车进入但必须减速,也就是说后车距离前车占用闭塞区间始端10公里时强制减速,距离前车占用闭塞区间始端5公里时强制刹车,这已经是很恰当的设计。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html时速250公里的列车,跑10公里只需2。5分钟,前车刚过去,过2。5分钟后车就赶到了。这样的行车密度已经相当高,一小时最多可通行24列(双向48列),每天满荷通行20个小时的话就是480列,完全够用了。当然了,480列是理想状态,实际运行不可能这么紧凑,也没有这么多客源,客源有高峰有低谷。减一半,也有240列。窍门在于,距前车所占区间10公里时减速,减多少?如果从时速250公里减到200,那么前车后车还是会经常相距5-10公里的,效率蛮高。



高峰期5分钟一班车是可以轻松做到的,3分钟一班车也可以做到,不过前提是设备质量一定要好,一辆车坏在路上就会导致全线停车,一个信号设备故障就会导致全线堵车。运行图要改变编制方法,列车不要分档次,高峰期没有快车慢车之分,所有动车排队而行。象地铁那样运行,效率最高。现在列车分档次太多了,慢车避让快车浪费了运能增加了调度难度。而且想过没有,小站避让时列车快速通过,万一扳错道叉怎么办?不要说这不可能,有一年湖南一个小站(叫荣家湾?)一个电务工人把接线箱电路改了一下,造成两列车在站内相撞,死伤惨重。小站就不要扳道叉了,把道叉封了算了。大站有权扳道叉,但是进站一律30km/h,扳错道叉导致相撞这个问题不就彻底解决了?车进福州杭州南京还能允许120km/h吗?中国人就喜欢灵活,这里设个开关,那里设个开关,以便随时可以不按规矩行事,好象占了便宜,其实最终吃了亏。我知道铁道部的小九九,不肯封闭小站道叉的原因,就是万一轨道被山体滑坡埋了下行线或上行线,或者工务修路经常需要封闭下行线或上行线,这时可实现单线铁路的距离最短化。如果封了小站道叉,单线铁路就变得很长,铁道部认为这太不划算。那可以折中嘛,温州南,台州,宁波东的道叉保留,但是一律30km/h进站。有道叉的站,一律30km/h进站。无道叉的站不设限。这应该成为一个规矩。现在铁道部弄的是:有道叉的小站,可以高速通过,以免影响效率。这样的做法不对吧。



再看看上述固定闭塞能不能满足制动距离的要求,是否留足了安全空间。《铁路200~250km/h既有线技术管理暂行办法》第39条规定:制动初速度为200km/h时,列车紧急制动距离限值为2000m。200~250km/h速度等级CRH型动车组,制动初速度为250km/h时,紧急制动距离限值为3200m。



可见上述固定闭塞系统10公里减速,5公里刹车,安全空间是恰当的,不宜再缩短。如果距前车10公里触发自动减速的时候发现刹车全部失灵,无奈之下无动力滑行10公里,速度就减慢了很多,撞上去也没那么狠了对吧。后车司机发现刹车失灵马上呼叫前车逃跑,还来得及,有2分钟时间做出反应,后车无动力滑行到前车处起码需要3分钟。如果前车的前方有阻,前车无处可逃的话,那也有办法,前车可以先快退3公里然后停住,把握好火候,当后车距前车1公里时前车启动快跑,前车在后车指挥下改变速度值,二车便可平稳相接,然后前车刹车,追尾就避免了。应该作为救难教程,让司机们多练习。如果D3115提早一分钟启动,时速提到50公里以上,D301就追不上D3115,追上了也能接上。



固定闭塞方式每天240列的通行能力,高峰期3分钟一班车,完全够用了,目前甬温线每天只有41班车而已。虽然固定闭塞系统每天可通行240列,但是现在铁道部就肯定做不到240列,因为铁道部根本就组织不好。甬温线每天只有41班车,可是那天D301和D3115都晚点了,可见设备质量和人员素质有多差。机车经常坏,轨道经常修,信号经常故障,旅客上下车太拥挤,慢车给快车让路也浪费运能。有什么问题就应该解决什么问题,可是铁道部不是这样,铁道部解决不了那些问题,铁道部在闭塞区间上打主意,使用所谓准移动闭塞方式(CTCS2和CTCS3),今后还要发展为移动闭塞方式(CTCS4),最大限度地缩短闭塞区间,以降低乘员安全系数为代价换取行车最大自由度。



目前铁道部已经把闭塞区间缩短到什么程度了?根椐报道,追尾地点是在温州南站向北5公里处,那里是温州南站的“下行三接近”,即温州南站向北第三个闭塞区间,由此可以算出CTCS2系统每隔1。5公里至2公里设置一个闭塞区间。事故调查专家组副组长中国工程院院士王梦恕说,每2公里一个闭塞区间,当后车距前车6公里以上时信号灯为绿,当距离只有4公里时信号灯为黄,距离2公里时信号灯为红。王梦恕的本行是挖隧道,2公里一个闭塞区间肯定是别人告诉他的,他的话可能不太准确。他还说,CTCS系统是一种利用雷达原理的自动闭塞系统,很雷人,不知是他听错了记错了,还是别人就是这么告诉他的。不用问铁道部是不是用了雷达做闭塞,自己稍微想想就知道雷达实现不了闭塞。地面物体这么多,雷达哪里分得清哪个是列车啊。列车在几公里以外时,只是一个小点。空中发现一个小点肯定是飞行物,地面不行。那可能有人就要说了,不知道几公里外是不是列车,那发个无线电信号问问,如果对方有回答,不就知道是列车了。你说到点子上了,但这个就不是雷达了,这个就已经接近于世界上最先进的ATP了。其实不用后车向前车发信号问“你是谁”,只要前车发信号“我是谁,我在哪”由后车接收就行了,至于后车发信号那应该向后后车发“我是谁,我在哪”由后后车接收,因为车是排着队一辆接一辆的。铁道部缺的就是这个装置,我相信院士/总工程师是嫌这玩意太简单,不够模登,在他们的体系里这种玩意领不到科研成果大奖,没兴趣!虽然CTCS的规模远不及银河几几,但银河几几就是榜样,是标杆。至于银河会不会跑错数据,那是没人提的。科研计算嘛,可以反复算很多次。列车因为电脑算错而追尾了,你还能把列车再倒回来,让电脑重新算一次吗?



CTCS2闭塞系统的4公里减速,2公里刹车,制动距离够用,但已经很紧,风险偏大。前述固定闭塞是10公里减速,5公里刹车。在CTCS2闭塞系统路段,后车距前车4公里触发自动减速时如果发现刹车全失灵,呼叫前车逃跑有点来不及,展开救难模式就更没有机会,距离太近了没法做。



按照CTCS2闭塞系统的美好设想,前后车可以相距6公里跑250km/h,前车刚过去1分半钟后车就赶到了,这也太密了吧,根本就不需要这么密。难道铁道部想每小时40班车,每天800班?减半也有400班,铁道部真是发达了。铁道部不仅缩短了闭塞区间,而且还把构建闭塞区间的任务交给电脑去虚拟,使风险又增加一层。D301和D3115就是被电脑虚拟的准移动闭塞区间给害了。铁道部疯癫荒唐到了极致,我无语了。



甬温线闭塞区间被设计成2公里,短得不能再短,已经给了行车最大的自由度,可是并没有挽救该铁路的低效率,每天只有41班车还会经常晚点,真不知道铁道部在搞什么鬼。如果固定闭塞区间是5公里但是设备故障少,准移动闭塞区间2公里但是故障多,那当然应该选择固定闭塞。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html



铁道部的CTCS标准分5个等级,从0级到4级。分级的依椐,是功能的繁简,而非可靠性的高低。很明显,在参与制订CTCS标准的专家眼里,功能繁琐就代表高级,代表高级也就代表可靠性高,也就代表安全系数高。可能是科幻大片看多了,对超凡的机器人非常向往。超级机器人因为电脑运算能力超群所以永不失败,受伤了只要一检测一通电就又OK了,可能某些院士总工程师教授就在梦想着哪天把火车变成超级机器人呢。他们现在已经给动车只设一名司机了,他们说没有司机也行的,靠CTCS2可以实现自动驾驶。

  

“CTCS简介”一文将日本的数字列车运行控制系统I-ATC归类到0级或1级。0级是CTCS标准中最低的一个级别,甚至有专家说0级尚未成为安全系统,是等级外。他们不如直说0级就是垃圾级得了。把日本I-ATC归类到0级或1级的依据是什么呢?文中赫然写道:I-ATC车载设备贮存大量线路数据,通过每一轨道区段的地址编码靠逻辑推断调取所需的线路数据。哦,我明白了!日本人才是真正知道什么叫工程什么叫安全的人!日本人没使用车载电脑,日本人使用的是逻辑电路。日本人果然厉害。“CTCS简介”一文意在贬低日本的方式,可我一看,这明明是在夸日本人高明呢。



文中进一步介绍说,日本人的做法是,在需要列车改变速度的起点,安装地面点式信息设备(可能是应答器),机车上的点式信息设备扫描地面上的点式信息设备(应答器)就知道这是什么区段,用逻辑电路把贮存器里的本区段线路数据调出来,用于改变列车速度。我认为日本人的这种做法是恰当的啊,很工程,很安全,也很省钱,为什么归到0级或1级了呢。这种方法的好处在于,如果地面应答器坏了,机车未能自动更换区段数据,司机还可以手动更换区段数据。



再看CTCS 2级的工作方式:轨道电路(目前铁道部用的是ZPW-2000A,即法国UM71,经“技术革新”后变得故障率很高)完成列车占用检测及完整性检查,连续向列车传送控制信息;点式信息设备(目前铁道部用的是应答器)传输定位信息、进路参数、线路参数、限速或停车信息。也就是说,机车上事先没贮存线路数据,全靠到时候从地面应答器获取,机车走到哪里就从哪里的应答器获取数据,如果应答器坏了或者传输失败,机车便没有线路数据。如果是在120公里时速的限速路段,未获得线路数据,机车错按200公里时速运行,就会脱轨。



线路数据至关重要,不能使用电脑贮存和运算,最好不要采取临时从地面获取的方式。而CTCS恰恰犯了这两个忌。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html日本人不使用电脑,使用逻辑电路,日本人先把数据贮存在机车上,只从应答器获知这是哪个区段,这样的方式是恰当的。把所有线路数据贮存在机车上,和从地面应答器获取线路数据的方式相比,肯定是贮存在机车上更可靠。地面应答器是露天的,万一被雷轰了呢,再说机车获取地面应答器数据是通过电磁耦合,无线电传输当然不如有线电传输可靠。怎么把较为可靠的方式归入0级和1级,把更不可靠的方式归入2级3级4级了呢?(3级4级也是这种方式)。我一边看这个CTCS标准我就一边惊讶,这是什么破标准啊,简直是人妖颠倒是非不分嘛。日本人的方式固然不完美,但CTCS推崇的方式就更差。我认为最牢靠的做法是:机车上先贮存一份线路数据,临时从地面应答器再获取一份线路数据,两者比较,数据相同才执行,数据不同马上报警。



“CTCS简介”还介绍说:0级适用于列车最高运行速度为160km/h及以下区段,1级面向160km/h及以下区段。然后我就查了日本I-ATC是用于什么区段,结果I-ATC是用于新干线,300km/h。I-ATC的工作方式这么可靠,当然可以用于时速300公里区段。CTCS2和CTCS3装置没有安全性,使用在时速60公里区段都太危险。



铁道部抄袭了日本的车载ATC,但就用电脑取代了逻辑电路,名称也改为车载ATP,用电脑轻易就实现了较为完美的“目标距离控制曲线”,使制动更平滑,乘客感觉更舒适,这成为铁道部的骄傲之一,是领先于世界的标志之一。铁道部另一大骄傲和领先世界之处就是用电脑轻易就实现了准移动闭塞。铁道部就不想想,日本人为什么放着电脑不用,偏要用运算能力极其低下的逻辑电路?日本人真的那么弱智?一定是人家认为电脑太不安全,死活不肯用,人家宁可忍受刹车的不平滑。铁道部也知道电脑不牢靠,所以铁道部才会使用多达四个CPU嘛,指望着4个U互相校验,以为这样就安全了,铁道部敢冒险。日本人不肯冒险,日本人在乎人命。铁道部在刹车装置之前加了一道CPU运算环节,以实现“目标距离控制曲线”,这就象加了一段盲肠,可靠性立即下降到最低点。日本人宁愿用逻辑电路实现“目标距离控制曲线”,刹车平滑度确实不好。铁道部用电脑计算“目标距离控制曲线”,确实使刹车更平滑,乘客感觉更舒适,但却牺牲了安全。能不能用逻辑电路实现完美的“目标距离控制曲线”,实现移动闭塞?所需逻辑电路规模太大,花费太大,高铁是亏损部门,没必要投资于这些不重要的功能。





四,荒唐的ZPW-2000A全程断轨检查

ZPW-2000A轨道电路是闭塞系统关键器件,所以我又查阅了“ZPW-2000A论文”,文中赫然出现几个字:全程断轨检查!第一次看到时,我还以为说的是全程检查列车占用。再次看到时发现不对,人家说的是如果钢轨断裂了,要用ZPW-2000A检查出来,防止脱轨。什么,钢轨断裂?这事非同小可!铁道部也太荒唐了吧,居然用这种方法检测钢轨断裂。如果钢轨扭曲了但是还没断,如果断裂了一大半还有一小半连着,轨道电路是检测不到的。等到轨道电路检测到了,那就是全断了。全断了才发现,这也未免发现得太晚了吧。铁道部把断轨检查任务交给轨道电路,而且要求做到全程断轨检查,这说明断轨问题十分严重。不可思议。难以想象。



按说钢轨在断裂之前有个发展过程,从细小裂纹到中裂纹再到大裂纹,发展到致命裂纹然后断裂。钢轨内部有伤难道检测不出来?查了一下,铁路配备专人背着超声波探伤仪沿线检测,还有探伤车。是不是嫌探伤车只有50公里时速,不想让它影响运输啊。难道钢轨,特别是焊缝,会从完全无伤瞬间变成断裂?以致于必须要用ZPW-2000A轨道电路第一时间发现?是不是该用重载钢轨的地方却用了轻载钢轨,是不是发现了内伤却迟迟不肯换钢轨,是不是买了小厂的钢轨,是不是钢轨杂质多材质不均匀,是不是焊接质量不好,是不是道钉没拧紧?



用ZPW-2000A全程检查断轨,这个思路是错的,得不偿失。为了实现全程检查,ZPW-2000A已布置于几乎全程轨道,为此需要每隔一百米给钢轨加一个电容,所以大大提高了故障率。查阅“ZPW-2000A技术标准”得知,ZPW-2000A单套设备平均无故障间隔时间(MTBF)大于或等于4.38×10000h/区段,即4万多小时,标准不高啊。按这个标准估算,全国每天有十几处红光带是由轨道电路故障导致的,运输因此受到的损失是多少?实际故障率可能超过此数,一遇雷雨天,成片的ZPW2000A故障,幸好普铁ZPW2000A闭塞系统故障了绝大多数情况下会发出红灯,影响的是效率而不是安全。CTCS2和CTCS3用电脑做判断,故障了可能发出绿码,所以还不如普铁安全!电视机MTBF早已超过5万小时。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html根本就不该在钢轨上安装这么多电容,应该恢复法国UM71原来的样子,把故障率降下来。钢轨安全问题要另想办法。



为了实现断轨检查,加长线圈,加多电容,导致检测电路过于灵敏,有时会把雨水当成列车而出现红光带。D3115司机反复喃喃自语这么一句话:“我这一生都不会再开车了,我没有责任的。当时我说能过去的,应该走的,但他非要让我停。”很明显,这个司机不知道“断轨也是导致红光带的原因之一”。调度估计是雨水导致红光带,所以放了两辆车进去。但工务还没消记,断轨可能性不能排除,让D3115在该路段以20公里时速前进已属冒险。



ZPW-2000A几乎全程布置于轨道,于是信号部门又有新主意了,用它往机车上传送控制列车的信息。问题是ZPW-2000A已被改得故障率很高,如何顺利完成传送信息功能?他们总是想方设法向列车传送更多的控制信息,以实现地面控制列车,所以我说他们是想把列车变成超级机器人,我没说错。列车安全,关键在于管住4件事:1,防追尾。2,防超速导致脱轨。3,避免列车进错道叉。4,避免机车冲红灯。只要这四件事用硬件设备管住了,调度把列车放进区间,就任由司机操作就是了,为什么还要向机车发送那么多控车信息?调度要想干涉司机,打电话就行了。前述四件事管住了,调度或司机想撞车脱轨都办不到。



防止脱轨的正确做法是在钢轨内侧加装护轨。研究在轮子两侧加装护罩,轮子掉下去以后,护罩卡住钢轨,限制列车横向移动。加了护轨以后,也就不能使用ZPW-2000A做断轨检查了,这就对了。300km/h的列车脱轨就会飞出去,护轨可能也无济于事,要在轨道两边建钢筋水泥“站台”,使列车在槽中运行。

 

如果铁道部今后增添前车向后车直接发射方式的硬件闭塞装置,增添应答器硬件闭塞装置(目前CTCS3用应答器做列车占用检查,但却把占用信息传到软件构成的闭塞中心去判断,这是重大隐患,应改用纯硬件方式,自成系统),在三种防追尾装置全部使用的情况下,如果每天检查一次这三种装置,三种装置在某个闭塞区间的某一天同时失效的概率是3000年发生一次。三种装置都失效不等于后车就能追上前车,多数情况下后车追不上前车,再加上人工盯车,假定只有10分之1造成了事故,也即30000年发生一次追尾事故。就是说,普铁中使用的固定闭塞装置继续使用,应该另外再增添两种固定闭塞装置,如果全国铁路每天检查一遍这三种装置的话(铁路也可能一星期检查一次,也可能一月检查一次,于是发生事故的概率就不同了),如果人工盯车不松懈的话,就可以做到3万年发生一次追尾事故的概率。



媒体报道,有人在网上银行转账,银行确认已转出,可是对方账户没收到,钱没了。这如果是在铁路,列车就被电脑弄丢了,追尾了。银行的电脑系统不比铁路的差。通过银行转账弄丢了钱,过后还可以找银行柜台,通过人工找回来,列车追尾了怎么找回来?有人说,航天飞机也用电脑,火星探测器也用电脑,为什么闭塞系统就用不得?宇航员登上航天飞机的时候,他是知道风险有多大的。能要求旅客上火车的时候感觉自己是在上航天飞机吗?航天飞机有几十上百人盯着,电脑一旦不妥马上重启,能安排这么多人盯着一辆列车吗?航天飞机非常少,而每天成千上万辆火车在跑,如果航天飞机一万架,事故率一定很高。航天飞机用电脑那是没办法,不用不行。列车闭塞系统不用电脑是可行的。有人说飞机也用电脑。飞机不同的,飞机在三维空间运动,如果电脑搞错了前方情况,驾驶员可以马上避开障碍物。飞机可以躲,列车没地方躲,列车是一维空间运动。有人说汽车也用CPU。汽车撞车而气囊没弹出的事例发生过不少。汽车快速前进遇障碍自动刹车,谁也不想平时就试试这个功能对吧,真正用到的时候是不是百分百可靠发挥作用,很难说。如果事例多了,自然就有失败的案例。有人说,CTCS是取自欧洲,大部分来自西门子,西门子还不信?我认为不要迷信欧洲人,欧洲人/西门子如果用软件做闭塞的话,追尾是迟早的事。这是概率问题。用软件闭塞可能几年几十年发生一次追尾。前述三种硬件闭塞装置全用的话,3万年发生一次。



由于CTCS2和CTCS3不可信赖,所以现在铁道部只能加强人工盯车。人工也会有疏忽松懈的时候,因此发生追尾的可能性太高。需要尽快用硬件闭塞设备代替。在新的安全系统开发出来之前,应该先退回到CTCS1。CTCS1闭塞系统由硬件构成,是固定闭塞,一直用于普铁,虽然不太好但也比CTCS2和CTCS3可靠得多。一定有人以为我夸大了风险,说现在高铁和动车天天在跑,也没天天追尾啊。第一,是的,电脑也不是天天死机,乱码的时候少,不乱码的时候还是多。标准不一样。1年追尾一次的话,他认为可以坐,可以赌。我认为10年发生一次追尾事故都概率太高,应该2万年发生一次。第二,现在高铁和动车车次还少,所以相撞的机会还不多。第三,温州事故之后,铁道部加强了人工盯车,已经在一定程度上改回到了原始的人工方式。但是,过了这阵风,铁路职工就会松懈。车速太快,盯车是很劳累的,时间长了就麻木了,如果哪天刚好两个职工全走神,就出事故了。温州事故说穿了就是因为那天设备恰巧坏了,调度恰巧大意了,值班员恰巧也大意了。平时设备坏的情况并不少,职工疏忽的情况也不少,但是设备坏了而几名职工碰巧全都大意了就很少遇到,遇上了就是事故。本次事故可能确如铁道部所说是由于列控中心采集板软件故障导致绿码,但这并不等于说CTCS就只有这一个隐患,改了软件并不能保证以后就安全。那天采集板软件隐患爆发的时候,恰巧两个职工全走神,所以是事故。别的隐患爆发的时候,至少有一个职工没走神,没酿成事故也就没被外界知道。还有更多的隐患今后不定什么时候爆发,爆发时只要有一个职工盯车没走神就不是事故,如果几个职工全走神就是事故。就是说这个系统靠不住,没有用处,应该废弃。


作为院士/总工程师/教授,在引进技术的时候,在确定总体方案的时候,应该有最起码的常识和悟性,可是他们根本就不懂工程,引进和设计了一套不好的系统,虽然他们写过书写过论文混上了职称。C2C3闭塞系统的缺陷如此明显,铁道部有研究院,有大学,怎么就没人看出来呢?连CPU会出错这个常识都不知道?硬件比软件可靠都不懂?控制环节越少越好的道理不懂?他们不但没指出C2C3有缺陷,反而还一再向公众表态:这套系统很安全。以致于动车司机也被误导,一直以为动车“最先进、最安全”。很多司机在获知追尾时的第一反应,都是一连极用力的几个“绝对不可能”。“我可以这么说,最亲的亲人你可以不相信,这个信号也是值得信任的。”动车司机全被蒙蔽了。为什么C2C3设计缺陷如此明显,铁道信号专业的学者都没指出来,这肯定是中国的大学教育出了问题,教材有问题。写教材的就是教授嘛,教授不懂行。媒体报道:在国内多位从事轨道信号研究的学者眼中,这起事故简直不可思议——出事线路及车辆沿用了欧洲等现有成熟技术,即便是动车司机睡着了也不会发生追尾。这些学者不可思议这场事故,我不可思议这些学者。他们到现在还没看出C2C3缺陷在哪里么?




巴菲特说,如果走进厨房发现一只蟑螂,蟑螂就肯定不止一只。只看了四篇铁路技术资料就发现了这么多严重问题,如果继续找资料看下去,就会发现更多问题。中国铁路太落后了。以前家电行业也很落后,后来变好了。铁路也到了该变的时候了。



五,铁路安全管理存在工作流程/规章漏洞,是本次事故的根本原因



以上内容在网上帖出之后,和铁路职工发生了一些争论,通过铁路职工的发言我发现了一个比前述CTCS设计问题更致命的问题:铁道部一直坚决要求设计部门(以及电务工人)百分百消灭故障绿灯(电子工程师都知道这不可能,天下不存在这样的电路,故障绿灯是小概率事件,不可能完全消除),铁道部一转身告诉司机的是:绿灯必须往前开。于是,小概率事件的故障绿灯,必然导致小概率的事故。如此安全漏洞,铁道部竟然毫无补救之策,铁道部一直就在蒙混,糊弄,靠撞大运保安全过一天算一天。这个问题有必要让电子工程师都来参与讨论,有必要向事故调查组反映,应该洗清电子工程师的不白之冤。



设备故障后出绿灯导致了事故,这是土八路管理铁路造成的。一方面土八路要求电子工程师百分百做到故障后不出绿灯,而这根本不可能,违背科学。另一方面土八路对司机说:放心,设备故障百分百不会出绿灯。所以实际上就存在一个大的安全漏洞,由土八路管理者的不正当愿望和现实的落差造成的漏洞。司机听信了土八路的话,误以为故障百分百不会出绿灯,可是电路不允许,科学不允许,不管是谁设计的电路总会有一些故障会导致出绿灯。于是这种错误的管理方式反而造成了更多的事故。故障导向安全,并不等于故障后百分百不出绿灯,这二者并不相等!铁路管理者和设计者的思想观念要转变!铁道学院信号系的教材要改。故障导向安全,归根到底的目的是保证安全,而不该只强调一点:故障后不出绿灯。铁道部不该只靠一个手段:故障后不出绿灯!铁道部只靠这一个手段保安全的结果就是:事故多发,无法减少。应该改变保证安全的方法,思路要改变,应该允许少部分故障情况下设备出绿灯,要承认这是事实,要尊重事实,应该将真相告诉司机,应该采取措施补救这个漏洞。铁路上的人听着我的这话就别扭,他们极力反驳我的“允许少部分故障后绿灯,承认少部分故障会出绿灯”,因为和他们的惯常思维习惯不同,他们被规章和领导教育成了“必须消灭故障绿灯”,“没有故障绿灯的存在”,“故障后百分百不许出绿灯”,在我看来这明明是在做梦,可他们还打算继续把这个梦做下去。一定是规章和工作流程就是这么规定的,不然职工不可能这么执着地认定一个歪理。铁路职工全在依赖“故障不出绿灯”保安全呢。规章有重大漏洞。



但是铁道部仍然没有认识到规章漏洞在哪里。本次温州事故,设备出故障是有表现的,先出了红光带,然后红光带消失出了绿灯。还有另一种可能(虽然这次发生的不是这种),就是设备故障了,但是人员不知设备已故障,没有征兆,设备只是悄悄地给司机一个错误的绿灯,其他人根本不知道司机那里得到了绿灯,这个漏洞还没有被提出来加以补救!不要说这不可能,设备出什么故障都是可能的,特别是软件系统可以生出奇奇怪怪很多意想不到的故障!



铁路不恰当地使用了“故障导向安全”法则。导向安全了,也就是停下来了,等解释,等排除,也就耽误了。铁路效率低下肯定和滥用“故障导向安全”有关。什么事稍有不对,就导向安全了。原文地址:http://blog.sina.com.cn/s/blog_05123b600102dsrx.html应该权衡,哪些装置故障应该导向安全,哪些装置不必。应该多设置第二套第三套替代方案,不需批准立即就换用第二套第三套方案,以免影响运输,而不是动不动就导向安全。要想办法。不管是软件还是硬件,都不可能实现“所有故障都出红灯”,总会有些故障是出不来红灯的,总会有些故障是会出绿灯的(铁路职工坚决反对这句话)。如果故障不出红灯,出了绿灯,导致了事故,就说是设备设计者的责任,那设备设计者今后没法做。设备设计者根本不可能保证故障百分百不出绿灯。如果坏的不是地方,如果恰巧是那几个地方坏了,就会出绿灯。要不然,让要求工程师“故障必须出红灯”的土八路自己,设计一个故障后绝对不出绿灯的装置来让大家看看?某几个零件断路或短路,就会出绿灯,这是躲不掉的,除非这个电路永远都不出绿灯。如果不信,就让电子工程师验证给大家看。



土八路在每次故障后都没找到切中要害的解决办法,每次故障之后都兴师动众教育全体职工保安全,结果造成了全员紧张,都怕担上责任,哪里一个装置出了毛病,不管多大的毛病,就要求必须要出现红灯,列车要停下来等电务去修那个毛病,还要求电务零分钟修好。土八路纯属胡说八道,你零分钟修好一个给别人看看。铁路很蛮干哦。“故障必须出红灯,绝不许出绿灯”只不过是自欺欺人的鬼话罢了,可这个错误的说法就在铁道部一直沿续着执行着。十分惊讶。铁道部那么多的电子工程师,他们应该明知电路上无法实现故障百分百不出绿灯,可为什么他们就一直这么逆来顺受?我感觉这个无理要求是历史上土八路强加给技术人员的。工程师要理直气壮提出来啊,教授不要再胡乱写了,不仅是为工程师自己脱责任,也是为了那些铁路职工。铁路职工还以为那些设备很完美,只要是故障了就会百分百不出绿灯。动车司机说:“我可以这么说,最亲的亲人你可以不相信,这个信号也是值得信任的。”司机的话多给电子工程师压力啊,可是工程师做不到“故障一定不出绿灯”啊。司机这么信任绿灯,一定是规章和领导的教育造成的。应该在规章和安全教育当中明确告诉司机,故障后百分百不出绿灯这是不可能的,天下不存在这样的电路。要看电路坏在哪里,有几个地方坏了是会出绿灯的。安全问题要另想办法补救,不能全指望设备故障不出绿灯。向司机这样说,会造成司机见了绿灯也不敢开,是的,我知道这一点,长期以来铁道部就把司机当成士兵,让你冲你就得冲。铁道部没用别的办法,全靠“故障后不出绿灯”这么一个向工程师提出的不正当要求,所以事故率居高不下嘛。真正能解决问题的办法是,增加二套独立的闭塞装置,司机见到三个绿灯就走,不用问。见到二个绿灯也走,但是要马上核实。见到一个绿灯不走。采用这个办法之后,故障率可以成千上万倍地下降。根本没必要次次在事故后“运动职工”啊,和大部分职工无关的。解决问题要找要害,要解决在点子上,不要瞎弄,铁道部就知道瞎弄,现在居然搞出一个莫名其妙的“年底之前零事故,党员要承诺”。



故障不出绿灯这只是一个要求,要求归要求,实现归实现,要求了不等于就能实现。奇怪的是信号工程师根本就做不到但工程师居然就应承了下来,应承下来就是自寻绝路嘛。机率好时,没出现“故障后出绿灯导致事故”的时候,信号工程师们用“新技术”,一套套的新名词新概念,满腹经纶的样子,信心满满信誓旦旦地使铁道部相信了他们设计的设备可保万无一失,然后铁道部和学者一起骗司机。机率不好时,出了“故障后出绿灯导致事故”比如这次温州动车追尾,工程师就要被处罚。工程师应该早就向世人宣布:故障后绝对不出绿灯,这事做不到!故障后百分百不出绿灯这理论太荒唐,这要求不正当,漏洞不能自圆其说,但铁道部却振振有词一直在路内推行,铁道学院信号系的教材也这么写(网上自称信号系毕业的人说的,如果有误别怪我),这种荒诞无稽的事到了该结束的时候了!土八路管理铁路就是整人,要求大家做根本做不到的事,把人往死里逼:要求工程师必须设计出故障后百分百不出绿灯的设备,工程师做不到但不许工程师争辩,谁争辩就换人,让有信心的(也就是能吹牛的)信号毕业生去做,如果恰好那几个零件坏了出了绿灯导致了事故,这个信号毕业生就受处罚。要求电务工人必须零分钟修好,耽搁了要处罚。要求司机见绿灯必须走,在少数个别的设备故障下,绿灯是错的,要害人的啊,但是土八路不承认有这种可能性的存在,土八路睁着眼睛说瞎话。现在土八路又在鼓捣理想化口号了,实为推卸责任:年底之前不允许出事故,党员要做出承诺。措施呢?措施在哪?没有措施,只有口号,等于废话。



铁道部允许出绿灯,个别故障下会出绿灯。铁道部不允许出绿灯,个别故障下依然会出绿灯。铁道部是向“个别故障下出绿灯”投降了,对这种小概率事件拒不采取预防/补救措施,铁道部用一句“不允许故障出绿灯,不会故障出绿灯”骗自己骗别人,所以这类事故就不可避免。铁道部应该做的是:承认“个别故障下出绿灯”不可避免,采取增添设备和修改规章这两方面措施把安全漏洞补上。长期以来铁道部采取鸵鸟政策,以为只要不承认不允许,个别故障下出绿灯的现象就不会发生了。他们应该也知道会发生,但他们束手无策。个别故障下,个别到什么程度,我不是铁路人我没有资料进行统计计算,凭直觉估计,设计单位开发出一套硬件系统,10次故障1次以下出绿灯是较为容易做到的,100次故障出1次绿灯是要经过严苛努力的,未必做得到。1000次故障出一次绿灯就太难设计了,基本上做不到。铁道部要求设计单位消灭这个10分之1,100分之1,1000分之1,可是设计单位根本就消灭不了。铁道部并不管设计单位消灭得了消灭不了,铁道部对职工说:已经消灭。世上怎么会有铁道部这种人。软件系统故障出绿灯的概率不好算。本次温州事故不知是属于10分之1,还是千分之1当中的,铁道部未必有C2C3的营运统计数字。换言之,实际上设计单位对本次追尾事件没有责任,只存在良心上的自责。铁道官员和学者不承认有故障出绿灯这种小概率事件的存在,不肯设置第二套第三套系统作为防备,还对公众说“这套系统很安全”,对铁路职工说“故障不会出绿灯”,以致于铁路职工包括司机产生麻痹思想,对“故障后可能出绿灯”规章和工作流程当中没有做好防备,这才是温州动车追尾事故的主要原因。铁路安全一直处于主观上“要坚决消灭故障后绿灯”而客观上“永远也不可能消灭故障后绿灯”这个困局当中,铁道部是在和科学规律作对,失败是必然的。



本次温州事故,官方发言人的说法首先就把原因归到“故障后出了绿灯”,媒体和社会公众也马上就把目光聚焦到那个讨厌的绿灯上,又是老套路,这很成问题。错不在“故障后出了绿灯”,错在只有一套闭塞系统。应该设置三套闭塞系统。硬件都不能保证故障后百分百不出绿灯,软件就更不能保证了,这个道理难道铁道学院铁科院的学者不懂?是真不懂还是假装不懂,是不是被宗教式的教义给灌迷糊了。做不到的事,还非要让工程师做,而那些工程师竟然长期不出声,真是怪事。信号学者应该明知做不到“故障后百分百不出绿灯”的啊,为什么还表态说“这套系统很安全”呢,这是和土八路一起骗司机呢。他们应该实事求是地说:大部分故障不会出绿灯,个别故障还是会出绿灯的。学者只应该说:我们会尽力设计,使故障时少出绿灯多出红灯,但是个别故障情况下还是会出绿灯的,这是不可避免的,没办法。铁道部居然还想所有电路故障都一律不出绿灯,想得到是美。铁科院和铁道学院信号系还是好好想想,你蹦一下高,是不是能蹦到月亮上去吧。愿望是一回事,能不能实现是另一回事,不要把愿望当成“已实现”向司机宣传。



铁道学院信号系毕业生的思路不合常理。常人一听到温州追尾事故,马上想到的解决之道就是“再加一套防追尾装置以防不测”,“实在想安全,那安装三套防追尾装置嘛,三套够安全了吧”。铁道部的思路是:在现有的一套系统之内,坚决消灭故障后出绿灯现象(继续做梦)。追查是谁设计的,拿他是问(制造冤案)。铁道部肯定知道个别故障下出绿灯不可避免,但采取的是拒不承认的态度,拒不采取切实有效措施防范,只知一味地逼迫设计工程师/电务工人/司机做他们根本做不到的事。铁道部按既有思路蛮干下去,今后发生大事故的概率仍然降不下来。



正常人的想法:野外旅游,担心鞋坏,于是多带一双鞋。(铁道部要求设计单位设计出绝对不会坏的鞋,铁道部只带一双他自称永远也不会坏的鞋,而那些信号系毕业的人居然就答应了铁道部的要求,信号系毕业的人绞尽脑汁设计一种绝对不会坏的鞋,别人说你这样不行,你得带两双鞋,他说你是外行!信号系的毕业生很逞能很自负,还真的以为他能设计出绝对不坏的鞋!)担心车坏在罗布泊出不来,所以开两辆车进去,坏一辆还有一辆。如果还不放心,认为这关系到生命,大意不得,那就开三辆进去,既使坏了两辆还有一辆。(铁道部只带一辆车,铁道部已经要求设计单位设计出绝对不会坏的车了。整个铁路系统都达成了共识都相信了,就是他们用的这辆车绝对不会坏。设计单位的信号毕业生做出了保证,说既使出了故障,也能导向安全,结果掉链子了)记者得到一个消息来源,不敢报,因为怕误报,直到从另外的独立的消息来源证实了该消息,才报道。常识啊,这是常识啊。可是铁路,几十年来就只有一个观念,就是只使用一套系统,一旦故障出绿灯就会导致司机冒进(绿灯如果司机不走,过后会被分析)。铁路没有第二套设备作为验证,人员也对设备故障后出绿灯毫无防备(司机还以为故障绝对不会出绿灯)。铁道学院信号系毕业的人整天就在一套系统之内绞尽脑汁,铁道部就非要让工程师不要出绿灯。为什么就不增加一套系统?增加二套系统?人家铁路就是不肯增加,你能拿铁路怎么办?人家铁路人还说你是外行,说他们是信号系毕业的是内行。他一辩不过你了,就会抬外国的东西出来,好象外国的东西就一定是好的。他若原封不动搬日本的东西进来也行,可他不是,他只是抄袭了人家的一个局部,他在抄袭的时候根本就没明白人家的设计思想!这些信号系的毕业生太自以为是了。



再买一套二套CTCS2?不是,不是再买一套二套CTCS2!那套系统很贵,而且你无法安装(ZPW-2000A轨道电路只能安装一套,占了轨道就不能安装第二套)。是闭塞系统要安装三套,闭塞系统很便宜的。注意,是从头到尾的完整独立的三套,这三套之间互不干涉互不影响。现在铁道部也有冗余设计,但都是非常非常局部的,是装置内部的冗余。司机那里看不到二个三个独立来源的信号就是不算数的!如果你设计的设备把三个独立来源的信号综合判断之后,只把最终结果传给司机看,那这个就是不算数的,这个仍然只能算是一套系统!如果没人把关,没人叮嘱强调这一点,信号系毕业生就会给你设计成:三个独立来源是有了,但设备把判断全部做完了,只把结果告诉司机,司机看不到三个独立来源分别做出的结果。他们还会把别的功能别的设备掺和进来,他们的思路是设计一整套大而全的设备,把所有装置全部联网,很多功能共用一个装置,做成一锅粥(看看CTCS2和CTCS3)。他们还喜欢让装置和装置之间展开“对话”,简直是胡闹!闭塞系统不和别的装置展开“对话”的!闭塞系统只向外发话,控制别的系统,闭塞系统不受别的系统控制的!线路数据控车也一样。到目前为止的闭塞系统设计就只有一套,而且还和别的装置“对话”,这是大错特错。闭塞系统的事就这么简单,再笨的人也听明白了,可为什么铁道学院信号系的人(也许是网上冒充的或学业不精的),铁路职工就不明白呢,还一个劲地反对我的方案,真是奇怪得很。



已经让司机看几千个故障代码了,司机已经不是开车的了,简直变成修车的了,到底有没有必要让司机看这么多故障代码?几千个故障代码,大部分是芝麻小事吧?有必要设置这么多吗?机车厂家被故障导向安全,出事就严肃处理,给吓成这样了,居然设置几千个故障代码给司机查看。几千个代码都能让司机记,到时候还要查看,修理,为什么让司机多看几个灯,及时知道前车状态,就这么难?这可是关系到追尾的,是生命大事。大事小事要分清啊。此外还有线路数据也很关键,错了可能导致超速脱轨,也是关系到人命的,也应该设置二种方式,车上存一套,从地面应答器临时取一套,要在工作流程上安排不同的人员输入这两套数据,防止两套数据被同一个人给输入成同样的错误。再加上禁止闯红灯,防止车站扳错道叉,信号方面还能出什么大错啊。看报道说,信号设计人员是风险职业。那当然,如果你只指望一套设备,想保证它绝对不出绿灯,那当然你风险大,你焦虑。可如果在追尾/超速脱轨/闯红灯/扳道叉这几方面你设计二套三套独立系统,你还会焦虑和提心吊胆吗?





百分百不出事故的信号系统是不存在的,问题在于出事故的概率有多大,是几年一次,几十年一次,还是三万年一次(铁道部从来不说这话,铁道部是鸵鸟,铁道部用“要求零事故”搪塞)。以往中国铁道信号部门总是在一套系统之内想尽办法增加“故障后不出绿灯”的概率,但已经做到尽头了,已经不能再进一步减小出绿灯概率了,因为受电路限制。C2C3选用了软件闭塞方式,使出绿灯概率大增,而且还无法估算,软件故障神出鬼没。硬件故障出绿灯概率可以按零件数目估算。一套系统出故障的时候,出绿灯的概率压到10%以下就已经很可以了,压到1%是相当不容易的。如果该系统的平均无故障时间是5万小时(我这是往好了说),全国有2万个闭塞区间,那么每天就会有十几处故障,一年之内总有几例故障出的是绿灯,好危险啊,如果人工盯得不紧就出事故了。如果故障时出绿灯导致了事故,设计工程师会不会被判刑或者有别的处罚?不知铁道部的惯例是怎样的。其实这个工程师很冤,他纯粹是在撞运气。故障不许出绿灯,这是给设计工程师安排的圈套。如果再增加两套闭塞装置的话,工程师风险就极大地下降了,三套闭塞装置(轨道电路,应答器,前车直接向后车发送方式)同时使用可以做到3千年失效1次的概率(在某个闭塞区间的某一天之内三个装置同时失效),3万年发生一次追尾,这是最保守的算法,此方向还有极大的努力空间,可以在一种方式之中设置三个装置(三个轨旁发射机),又可以使事故概率成千上万倍下降。在一套系统之内你再努力也只能下降1%,2%,弄不好还会上升20%(这些数字是凭直觉估计的,并没统计过),这个技术方向已经榨不出空间了。



另外我发现,很多所谓学者,信号毕业生说话不负责任。是你负责信号系统设计不?故障出了绿灯出了事故是设计的那个人有坐牢危险,你并不会担责对吧。那你平时总是鼓噪别人做“冒险设计”,怂恿别人逞能,你是什么用意?从数学上运算,从逻辑上推断,是的,是该那个结果,可是万一中间哪个环节掉链子了呢。我说应该关闭小站道叉,应该30KM/H通过道叉,他就说他有一堆方法可以防止之,他这就是典型的逞能,耍小聪明。从网上这些信号系毕业生的自负狂傲,可以看出温州动车事故的必然性。如果国家不让他们设计CTCS,他们肯定抱怨说:聪明才智无处发挥,国家不重用人才,天生我才无处用。国家相信他们了,让他们设计,结果就弄出这么一套荒唐的CTCS系统。现在温州动车事故了,仍然不能说服他们采取现实的态度对待安全问题,那在温州事故之前就更无法说服他们了。他们在事故之前已经不顾安全到了多么令人吃惊的地步。
挺危言耸听的。
硬件也有不稳定的时候,不见得比软件更可靠,对事关安全的,多几套备用才是最可靠的。
LZ要是看到全球的地铁系统还不吓死啊,新建地铁都是移动闭塞,追踪间隔90秒左右,而且地铁也有不少的存车线,有的还有分叉,可比国铁吓人多了。
这个文章太吓人了
一知半解的LZ!
虽然你码字很辛苦,但是我还是要对你说,其实你真的是一知半解的LJ!
这个家伙是绝对的外行,基本上就没对的。
不值一提。

仅就一个小常识啰嗦一下:
四,荒唐的ZPW-2000A全程断轨检查

ZPW-2000A轨道电路是闭塞系统关键器件,所以我又查阅了“ZPW-2000A论文”,文中赫然出现几个字:全程断轨检查!第一次看到时,我还以为说的是全程检查列车占用。再次看到时发现不对,人家说的是如果钢轨断裂了,要用ZPW-2000A检查出来,防止脱轨。什么,钢轨断裂?这事非同小可!铁道部也太荒唐了吧,居然用这种方法检测钢轨断裂。如果钢轨扭曲了但是还没断,如果断裂了一大半还有一小半连着,轨道电路是检测不到的。等到轨道电路检测到了,那就是全断了。全断了才发现,这也未免发现得太晚了吧。铁道部把断轨检查任务交给轨道电路,而且要求做到全程断轨检查,这说明断轨问题十分严重。不可思议。难以想象。



按说钢轨在断裂之前有个发展过程,从细小裂纹到中裂纹再到大裂纹,发展到致命裂纹然后断裂。钢轨内部有伤难道检测不出来?查了一下,铁路配备专人背着超声波探伤仪沿线检测,还有探伤车。是不是嫌探伤车只有50公里时速,不想让它影响运输啊。难道钢轨,特别是焊缝,会从完全无伤瞬间变成断裂?以致于必须要用ZPW-2000A轨道电路第一时间发现?是不是该用重载钢轨的地方却用了轻载钢轨,是不是发现了内伤却迟迟不肯换钢轨,是不是买了小厂的钢轨,是不是钢轨杂质多材质不均匀,是不是焊接质量不好,是不是道钉没拧紧?

从这点就知道此人啥都不知道。
本人亲身经历过断轨不下数次,几乎要到2位数了,
现在的长轨是由短轨焊接的,
接头处在冬季急剧降温的情况下,
是会出现突然断裂的,
2000A代替以往的国产移频,是能很大限度上及时发现断轨的。
这也是此次报告中为何要第一时间通知工务的原因。
我点了下发文的博主看了一眼一个搞证券的发这篇文章后后面的就不看啊
我点了下发文的博主看了一眼一个搞证券的发这篇文章后后面的就不看啊
据说现在搞证券的博主点击率挺高呢,这种人发文容易造成恶劣影响,还偏偏喜欢对非本行业的事情发表评论,一帮只挖经济字眼的家伙,有时候真想把那帮人给人道了
没有不包含bug的软件,有些东西的成熟就是要付出一定的代价的。
真要弄得话,不如北斗+手机基站定位吧。就是过隧道时比较麻烦
likelist 发表于 2012-1-4 12:35
没有不包含bug的软件,有些东西的成熟就是要付出一定的代价的。
应当说,没有不包含bug的逻辑实现,不管用逻辑电路还是用软件。
jiandingzhe 发表于 2012-1-5 16:37
应当说,没有不包含bug的逻辑实现,不管用逻辑电路还是用软件。
  谢谢指正,不过如果使用软件的扩展含义也可以把
likelist 发表于 2012-1-5 17:05
谢谢指正,不过如果使用软件的扩展含义也可以把
其实直接光说软件也差不多,因为硬件直接实现的逻辑一般比较简单,有错误的可能比较小。
致命缺陷就是人工可以关闭,可以干预操作。
即便再换个id,俺还是要说,主要责任在调度,调度责任在领导。
故弄玄虚、哗众取宠的文章
现在的公知么。。。呵呵呵。。。