发信人: frozensea (冰冻之海), 信区: Military
标  题: Re: 铁道部说到天，时间顺序也骗不了人

调度还是有较大责任的，让后车以故障维修中的信号灯作为唯一参照...

信号灯系统雷击故障某区间全红导致无法通车，解除系统模式后改人工调度。派出工电
抢修。
通知前车遇红灯目视低速运行，后车遇红灯需停车等待调度。
前车遇红灯后变低速，但致命的是：信号灯突然都变绿。后车一直未遇红灯按正常运行
，直至高速撞上前车

还是可以看出一些问题：
1. 以前的工程师披露，列车安全不只有一套安全系统。但发生问题时，可能被全部关
闭，改为纯手工

2. 调度的初衷貌似无误，但致命问题是，以维修中的信号灯作为唯一的安全参照，导
致了惨剧的发生。虽说理论上认为出故障的信号灯应一概显示红灯，但是，这可是出了
故障维修中的信号灯...

体现的问题是系统的层次性和安全等级设计不足。一旦系统中某模块故障即可造成整套
系统锁死，而不得不转入人工调度。

较为合理的方案应该是关闭该模块，同时启动其他调度方案，如GPS/北斗+减速运行，
或启动前后车通讯机制。而且最重要的是，列车定位和预警模块无论如何不应关闭，这
是系统的核心模块，必需有充分的理由才能关闭。当年切尔诺贝利就是因为例行维护关
闭了警报系统才导致了事故的发生...

具有丰富编程调试经验的程序员都知道，bug往往就是在意想不到的地方发生。因素越
多，越不可控。一个大型系统涵盖软件、硬件的方方面面，想要完全无bug是极为困难
的，飞机和汽车都曾因软件故障而发生血的教训，高铁也难以例外。尽管如此，精心的
系统设计依然可以在一定程度上增强稳定性，而不是一有问题就关闭整个系统。

高铁作为一个复杂的系统，司机和调度的操作难度和专业技术其实比铁道部预想的要高
很多。估计这次事件之后，铁道部才会真正意识到这个问题。

最后说一句，司机和调度都应至少两个人，一方面减少失误的可能性，另一方面也可以
一定程度降低恐怖分子的威胁