温州动车重大事故(专家谈安全设计：温州动车事故6个关键环节的可靠性设计教训)

下面是好好范文网小编收集整理的温州动车重大事故(专家谈安全设计：温州动车事故6个关键环节的可靠性设计教训)，仅供参考，欢迎大家阅读！

环节1：2011年7月23日19时30分，雷击温州南站沿线铁路牵引供电接触网“或”附近大地，通过大地的阻性耦合“或”空间感性耦合在信号电缆上产生浪涌电压，在多次雷击浪涌电压和直流电流共同作用下，LKD2-T1型列控中心设备采集驱动单元采集电路电源回路中的保险管F2（以下简称列控中心保险管F2，额定值250伏、5安培）熔断。

教训：在本段用了两个“或”字，意即调查组本身也并不清楚。这样一点作为结论性评语，有着致命的问题，因为对后续的问题解决没有任何确信的有价值帮助。航天科研中，在推行“归零管理”，分为技术归零和管理归零。分别从技术方案和管理流程上彻底杜绝同一类问题的发生。技术归零分五点“定位准确、机理清楚、故障再现、措施有效、举一反三”，就是完成一个技术归零报告，报告的内容共分为五章，标题和内容分别为这五部分。大家想想看，如果对这个断语，“定位准确”是信号电缆的浪涌电压没问题，耦合路径的机理呢没确定，当然故障再现及其后的部分内容，本报告重在追查责任，并未涉及整改措施。归零管理企业可以参考使用。

环节2：熔断前温州南站列控中心管辖区间的轨道“无车占用”，因温州南站列控中心设备的严重缺陷，导致后续时段实际有车占用时，列控中心设备“仍按照熔断前无车占用状态进行控制南站列控中心输出”，致使温州设备控制的区间信号机错误升级保持绿灯状态。

教训：按照安规的设计准则，“单一故障状态下，系统输出应该是安全的”，这里的单一故障是熔断，系统输出的安全在这里是：信号应该是禁行的红灯信号，最起码也应该是无信号或红绿都亮的紊乱信号，前者提示禁行，后两者起码能对驾驶员造成疑问。

也就是说，在这个故障发生后，保险丝断掉所引起的信号不能及时更新的问题，应能被及时的监测到，并提示报警，具体的设计方法在软件和硬件上都有措施，私下来探讨。

关于“单一故障下，系统输出应该是安全的”这个问题，安全性包括了三部分：系统对人的安全性影响、对周边关联设备和环境的安全性影响、对整机设备自身的安全性影响。一旦出现问题，保证这三部分的安全是第一位重要的。在本例中，系统输出的安全就是给出危险提示。为说明此问题，举例说明：

以继电器的控制为例，假设继电器通过控制给电机的供电来保证执行机构的运行，那么继电器选择常开触点还是常闭触点？一般的考虑出发点是控制电路的功耗，即看继电器是工作导通的时间长还是断开的时间长，如果导通的时间长，则选择常闭触点的继电器，这样继电器线圈控制电功率消耗会降低。但从安全性设计的角度考虑，选型结果未必还是这样。在发生单一故障时（这里的单一故障假设为控制电路对继电器的控制信号因线缆断开而失灵），电机所带动的执行机构不可以有危险输出，即继电器在没有控制信号的情况下，处于断开状态为佳（即为常开触点），如此则电机会停止输出，减少危害的可能性。

但实际上，在设计的时候，基于安全性设计的考虑，并不是所有的继电器都要选择常开触点的，这要服从于对单一故障类型的状态、以及危险输出的定义。如果继电器控制的是一个保护装置，防止危险输出的方法就是保护装置确保处于有效状态，即继电器控制信号断开的时候，继电器须能保证保护装置处于被供电状态（即选择常闭触点继电器）。

环节3：雷击还造成轨道电路与列控中心信号传输的CAN总线阻抗下降，使5829AG轨道电路与列控中心的通信出现故障，造成5829AG轨道电路发码异常，在**、检测码、绿黄码间无规律变化。

教训：关键链路单节点的可靠性串联结构隐患较大。轨道电路和列控中心之间既然如此重要，数据传输就需要并联结构互补一下。

环节4：19时54分，张华发现调度所调度集中终端（CTC）显示与现场实际状态不一致（温州南站下行三接近在温州南站计算机连锁终端显示“红光带”，但调度所CTC没有显示“红光带”），即按规定布置永嘉站、温州南站、瓯海站将分散自律控制模式转为非常站控模式。