【要闻】新世纪周刊：723动车追尾事故怎样祸起信号

本篇文章5989字，读完约15分钟

“723”事故是如何发出信号的？ 高速铁路信号系统的寡头供应者为什么疲于奔命？ 决策者现在为什么处于困境？

财新《新世纪》记者于宁谷永强曹海丽

马突然死了。

中国铁路通信信号集团企业(以下简称集团)社长，业内被认为是中国高速铁路信号技术的领袖，于“723”甬台温汽车追尾事故1月节前一天——8月22日死亡。

上午，马骏在深圳与前来检查广深港客运专线的国务院高速铁路安全大检查组成员举行了会议。 据很多知情人士透露，刚说完话，他就倒在桌子上了。

马没有心脏病史，但突然死于心脏病。 熟悉的同行说:“压力太大，责任也太大了。 ”。 在他死之前，看守集团面临着前所未有的信任危机。 管辖的北京全路通信信号研究设计院(以下简称通号院)是甬台温信号系统的设计师，通号组是积分器。

7月23日晚，由于致命的简单软件设计错误，甬台温的列车控制中心(以下称列控制中心)无法实时收集外部数据，向调度集中系统(以下称ctc )传送了错误消息。 d301次车辆的车载自动控制设备即使收到该错误信号也以通常的速度行驶，与前车d3115次车辆相撞，最终造成40人死亡的特大事故。

事故发生一个月后，看守集团成了众矢之的。 看守集团的领袖马跃不堪重负，病死了。 以前的信号精英这么结束，真高兴。 但是致命的设计错误为什么会发生呢？ 有多少危险没有暴露？ 没有人断言。 谁应该对高铁的大跃进负责？

仅7年，看守集团和中国高铁就一起向更高速的努力冲刺，表面上相继突破了技术难关，但在光荣的背后，技术人员疲于奔命，力量未被逮捕，终于造成了惨剧。 “723”事故暴露的不仅仅是医院软件设计的缺陷，也是高铁整体的迅速发展无视科学规律和常识，盲目追求速度的危险环境。

这种封闭运行的迅速发展模式，使决策人现在进退两难。 “现在全国高铁的信号整合大半是他们的，用棍子打死，高铁的运营和技术支持怎么办？ 全部停下来不能重做吧！ 绑架了铁路！ 」接近事故调查组的人说。

从9月1日开始，铁路调整运行图、高速铁路普遍降速、武广、郑西等高速铁路路线也不再以每小时300公里的速度运行，对高速铁路安全的担心笼罩了一切。 国务院主导的高速铁路安全大检查继续。 但是，通信信号领域乃至整个铁路领域的垄断问题和招标灰幕没有陷阱那么简单。 对整个铁路系统来说，已经暴露的各种问题不仅是跃进之祸，也是垄断之祸，积弊丛生，制定了新的规则。

致命的错误

由于没有受到破坏性的试验而忽略的低级软件设计错误

这本来是不用的灾难。

“723”事故调查组预定在9月内正式公布详细的调查结果，财新“新世纪”记者从接近调查组的人那里了解了事故发生的过程。

软件设计的逻辑错误严重偏离了故障指南的安全，使信号完全故障。

7月23日19点44分，上海甬台温调度台调度接温州南站报告:车站联锁显示下行3接近红带，车站调度集中系统( ctc )接口未显示。

在铁路控制系统中，以铁路轨道为导体，构成轨道电路，当两条轨道被一对列车短路时，在控制系统中用红色表示，指示车辆的位置。 但是，在绝缘破坏、雷电等情况下，可能会出现无车路段的导轨短路、信号设备系统本身发生故障，显示异常红色带和“红灯闪烁”的情况。 出现红带的原因很多，前方的道路上有车，由于故障，日程的评价经常很困难。 在这种情况下，调度应该采取保守的方法，将其作为先行车来解决。

“三接近”是指还有接近三个闭塞分区的距离。 在列车的运行日程上，车站和车站之间分为几个阶段，称为闭塞分区。 每个分区的开头末尾都有信号装置，用信号表示。 一个区间一次只能通行一趟列车。 据温州南站通信工厂的员工介绍，从永嘉站到温州南站的道路上，各闭塞分区的长度为1.4公里。 因为有列车运行的闭塞分区，其他列车被禁止进入，所以后面的灯是红色的。 下一个闭塞分区是黄灯，下一个是黄绿灯，下一个是绿灯。

车站联锁设备反映了温州南站的车站内新闻，车站值班人员可以看到，但看不到上海的日程。 上海调度中心只能看到ctc。 那个消息来自各车站的ctc。 车站ctc分别从车站联锁和列控制中心(反映车站和车站之间的区间新闻，包括列车占用新闻)获取消息。

当时两者收集的新闻明显不一致---联锁显示红色带，列控制中心反映正常，从轨道电路取得新闻，但从同一继电器的不同节点取得新闻。

联锁显示的消息一直是正确的(显示异常红色带)，但ctc最初从列控制中心取得闭塞区间的消息，从上述日程新闻来看，“车站ctc无显示”意味着联锁和列控制中心有问题。

这是非常罕见的案例。 上海和温州的值班人员看到了这个，于19点53分转移到了紧急车站控制状态。 也就是说，在异常情况下车站手动进行出发列车和进站列车的作业。

从事故发生到再生，列控制中心设置在温州南站的新闻采集板保险丝被雷电触电破坏，确认了新闻采集存在问题。

问题不仅仅是这些。 采集板的采集电源坏了，但逻辑电源还在传达消息。

根据上述消息情节，有一个特殊的标志位，表示数据包被发送来，数据正常、异常、能否使用。 但是温州南站的排队控制中心在收集这些数据包时没能认识到。

“识别后，根据故障指南安全大致清除数据，清除旧数据，显示红带，后车d301必须以时速20公里目视运行。 问题是没有认识到这一点，旧数据没有被清除，表明是正常的，结果，后续车以atp (车载)模式运行，高速行驶，最终追尾了。

如果这个解释成立的话雷击只是外部诱因，真正的原因是软件设计出了大问题。 按安全设计，后车距前车有三个闭塞分区时，前方显示红色。 由于软件的逻辑错误，主软件得到并传输到ctc的不是实时的外部数据。

根据一位信号专家的分析，如果日程有点负责，天气展望条件有点好的话，这次事故可能不会发生。 但是软件的缺陷是必然的，迟早会出事故。

值得注意的是，ctc表示异常是在列车停在永嘉站时发现的。 “列控制中心发送给ctc的消息是错误的，ctc不知道，但是放下车进入区间的调度员怎么不知道呢？ 他进了车，但在ctc上没有看到。 不应该引起观察吗？ 与上述调查组相近的情报情节。 他说，转移到紧急车站控制后，调度员、车站值班人员、司机的新闻交流错误是事故中未能幸免的关键。

通常，调车台必须是调车员和助理调车员，前者负责列车的运行计划、调整和指挥。 后者监视列车的运行和操作设备，如紧急站控制。 转移到紧急车站控制后，车站值班人员有责任通知司机，但在此期间车站和调度员必须按规定加强联系。

但是，7月23日19点27分开始发生事故，温州南站和永嘉站连续3次过渡到紧急站控制，主要行驶指挥转换3次，调车员、站值班人员、司机三者互相信息表达错误，违反重大规定，前一辆车出现区间故障点

8月11日，国务院“723”甬温线特别重大事故调查组在温州召开了第三次全体会议。 调查组组长、国家安监总局局长骆琳在会议上说，事故的原因既有软件设计问题，也有管理问题。 8月22日，国家安全监察总局情报发言人黄毅说:“这个事故确实不能发生，可以在防止的同时发生责任事故。”“暴露了信号系统的设计缺陷，引起雷击引起的故障问题，故障发生后应急处理的不完备和安全管理。” 他说，下一步将进入事故责任的认定阶段，包括直接责任、间接责任和指导责任。

据报道人士透露，8月10日事故调查组人员调整后，铁路人员全部离开，随着协助调查的路外专家、领导人的大量介入，调查接近真相。

在很多业内人士看来，事故中暴露的软件设计缺陷是比较低级的错误。 “每个制造商对安全性的要求不同，但故障安全是最基本的，设计中绝对不能发生这样的问题。 》据一位铁科院专家介绍。 他很难理解为什么犯这么大的错误。 “设计师没有经验，没有想到这种可能性。 我把重点放在硬件上了。 硬件很难。 为了保证硬件采取的新闻是正确的，软件被陷阱，重视不足”。

关于这个设计问题为什么在测试时没有被发现，一位信号专家说制造商应该在产品开发阶段进行故障测试，但现在不进行雷击这种破坏性测试，只进行系统功能测试。 这个软件设计问题是产品中的模块设计问题，从研究开发报告中不太清楚是否安全。

另一位专家分析说测试时间太短也是原因。 "通常测试组只测试一两天，然后召开审查会，聚焦于系统和产品的功能，不进入产品设计的详细问题. "

国内现在在故障测试方面没有统一的标准，制造商自己需要进行那些测试，会承担相应的风险。 连号集团在甬台温线提供的该列控制中心产品lkd2-t1不是在多年开发的联锁平台上开发的，而是在新的硬件平台上开发的。 铁道部表示，58个车站、18个中转站采用与温州南站相同的采集驱动板软件，涉及甬温、温福、海南、广珠4条客运专线。

接近调查组的相关人员说，lkd2-t1确实有缺陷，“因为只进行了功能性测试，没有破坏性测试，所以现在的紧急情况下没有人能保证是否有其他问题。” 根据铁道部的规定，制造商对内部设计问题承担终身责任。

据说7月27日去医院完成了硬件调整。 加强采集板的防护保障，下一步是软件升级测试，但目前这四个客户采用的整改措施是暂时的，车站之间的闭塞行驶，即车站之间不是以前的自动闭塞行驶，而是以往的自动闭塞行驶。 这是故障状态下使用的备份模式或降级模式。 安全在为速度付出了巨大的代价之后，为了安全，终于开始牺牲速度。

c2很难清除

甬台温线使用，由连号集团开发的lkd2-t1型列控制中心获得了2008年中国铁路学会科学技术奖一等奖

c2，c3负责高铁的神经中枢。 如果不是“723”事故，c2、c3这两个专业名称对很多人来说非常陌生。

即ctcs是中国列车控制系统的缩写，包括地面设备和车载设备两部分。 2004年初，铁道部发行了《ctcs技术规范-总则(暂定)》，决定在铁路有线第六次高速化中使用c2级列控制系统，提出了c0到c4的技术等级，计划了各等级的基本功能。 第六次提速前的列车控制系统被定义为ctcs0级(以下称为c0 )，车载设备主要是运行监视记录装置( lkj )，地面设备包括轨道电路、信号灯和车站联锁系统，适用于时速120公里以下的线路。 另外，适用于时速120-160公里和时速200公里以上的列车控制系统分别定义为ctcs1 (以下称为c1 )和ctcs2(以下称为c2 )。

在第六次大幅度高速化之前，国内铁路依靠轨道电路向铁路沿线的信号机传播行驶命令，列车司机参照信号机所示的信号灯颜色操作列车的运行。 高速化到160公里和200公里后，列车司机很难识别地面信号灯的颜色，因此铁道部从2004年开始决定开发新一代列车运行控制系统。

趋势是必然的，但中国太快了。

当时，铁道部运输局的官员、编号院、和利时、铁科院、北方交大等专家组成了c2难关小组。 一位业界专家告诉财新“新世纪”记者:“地上部分(包括列控制中心、联锁、ctc等)都是我们自己干的，没有合资。” 小组首先明确基本框架，然后各部门分头设计。 当时有5个机构参与设计--- -编号组、和利时、卡斯科、北京交大微联、铁科院编号所。

据介绍，上述ctcs技术规范是参照欧洲标准etcs (即欧洲列车控制系统)制定的。 etcs分为e0、e1、e2、e3四个级别。 c3的功能与e2基本一致，但c2是自主构建的系统，比e1高。

一位信号系统的老手说c2技术的挑战不太大，第一是经验不足。 “中国当时铺设了统一方式的轨道电路，行驶许可是连续的，所以条件比e1好。 我们加个应答器，列控制中心，车载设备就行了。 构建比较简单，技术难点少。 ”。

但是，实际操作后，问题依然很多。 因为以前没有建立过控制中心，没有经验，甚至不清楚需要制定那些技术规范。

与地面列车控制系统自主开发不同，在当时紧急推进的情况下，列车控制车载设备( atp，列车超速保护)是用合资的方法引进的。

2005年6月，通过国际招标，铁道部分别与和利时/日立、铁科院/株洲所/csee (法国电信号设备企业)两个共同体签订了atp采购和技术转让合同，从海外引进了列控车载设备和技术，合作期限为15年，为最长 同年10月，铁道部还通过国际招标的形式，分别与通号院/阿尔斯通、和利时/csee、西安西门子3个共同体签订了应答器设备的购买和技术转让合同。

两次国际招标采购实行设备采购和技术转让相结合的方法，外方技术转让的知识产权归铁道部。 铁道部需要投标人有海外合作伙伴，本身具有消化、吸收受让人技术和设备制造的能力，而且投标人外部合作伙伴具有系统集成、设备研究开发和制造能力，提供技术支持和服务，对系统设备安全

2005年11月，铁道部确立了c2的技术标准体系。 但是，2006年初，铁道部在试验时发现列控系统的软件设计不合理，车载设备异常输出紧急制动，车载通信设备发生了故障。 当年7月在胶济线进行的列控中心综合试验表明，列控车载设备atp软件存在漏洞，轨道电路的新闻传播不稳定。 纠正上述问题后，铁道部同年8月进行了补充实验，组织专家成立了试验报告审查会，认定了c2排控制系统“基本满意”规定的技术规格要求。 那年9月29日，铁道部召开了“第六届大面积高速胶济线现场会议”，开始全面部署第六届大高速化。

铁道部最初引进的列车控制车的最高速度是时速200公里。 但是，在第六次高速现场会议后，2006年11月，我们决定进一步改造现有高铁的部分区间，将车辆的最高运行速度提高到时速250公里，并完成一个飞跃。

之后，铁道部组织了与外方的第二次技术谈判，处理列控车载设备对高速铁路的进一步限制问题，终于在2006年12月末签订了补充合同，升级了列控车载设备和高速铁路，经过模拟运行试验，atp设备的250 kg

c2的开发必须赶上加快进程。 实验中发生的所有问题，铁道部都要求专家们必须在极短的时间内处理。 2006年末，铁道部进行的车辆拉伸检查和牵引试验中，应答器信息的劣化引起了列车的紧急制动26次，通常制动25次。 2007年4月18日，铁路第六次大幅高速化开始后，列控车载设备暴露了设备软件和应答器的新闻接收单元变得不稳定等很多问题。

c2攻势的核心力量是番号组下属的番号院。 其研究开发的列控制中心、ctc和车站联锁等c2子系统通过了铁道部组织的可行性审查和技术鉴定。 根据公开资料，2008年1月21日，经过测试组的模拟测试和铁道部审查委员会的审查，通号组研究设计院开发的lkd2-t1型列控制中心可以“基本满足铁道部规定的技术规范要求”，铁

2008年7月末，新的客专c2系统首次在合宁线应用，之后在其他高铁线路中广泛使用。 铁道部的一名退休人员说，c2系统“当时技术不成熟，但是为了赶上工期，没有进行充分的审查，匆匆走上了地面。 问题一直没有暴露，没想到雷爆炸了”。

甬台温线采用的是c2系统。