库可
2021年4月2日,台湾铁路“太鲁阁号”408次列车行驶至花莲县境内的大清水隧道时,与侵入铁路限界的工程车辆碰撞后发生脱轨事故,并造成严重伤亡。
这起事故让我想起了曾经在网上看到的一个问题:“在错误零容忍的行业工作是什么樣的体验?”我第一反应就是自己所在的铁路行业。作为受众最广、运输能力最强的交通方式之一,公众对铁路交通的重大伤亡事故几乎是“零容忍”的。但自行车会“关键时刻掉链子”,汽车偶尔也会打不着火、半路抛锚,作为一个极为复杂的系统,铁路的“故障”也是无法避免的。那么在铁路的设计中,如何尽可能地避免故障演变为事故呢?
铁路由线路、供电、通信、信号、机车车辆、动车组等部分组成,铁路工作者的一项重要工作就是处理各个系统出现的大大小小的故障。
“Fail-Safe”,中文一般称为“故障- 安全”或“故障导向安全”,就是当设备发生故障失效时,整个系统会自发地导向趋于安全的模式。
举个简单的例子,我们开车时,如果一个十字路口的信号灯坏了,各个方向的汽车失去指引自由行驶,很容易发生剐蹭甚至碰撞事故。而对于高速铁路上的动车组列车,如果行驶过程中信号系统发生故障,无法正常指挥列车运行,动车上的车载系统会自动输出制动指令,让列车制动停车。
这就是一个“导向安全”的设计理念——相对于高速运行,列车在停止状态下是更安全的状态。所以当发生影响行车安全或者不可预知的故障时,系统会自动让列车停下来等待进一步指令。
信号系统指挥着列车运行,是铁路线路上保证列车安全有序运行的最关键系统之一,我国高速铁路的信号系统可以保证350 km/h 时速下最短3 分钟的行车间隔。信号系统的方方面面都遵循着“Fail-Safe”的理念。
现代化的信号系统以计算机、网络技术为核心。其实早在电子计算机诞生之前,以继电器(一种电控制器件)电路为基础的轨道电路信号系统就已经广泛应用。在继电器时代,信号系统就已经遵循“Fail-Safe”来设计了。
模型概述
这是一个最简单的轨道电路模型,一个区间入口只有一个能显示红灯和绿灯的信号机。红灯停——列车不允许进入该区间运行;绿灯行——列车可以进入该区间。
在这个区间的铁轨上装有电源装置,依靠两根铁轨作为导线传输电流,与信号机构成回路,即轨道电路。信号机究竟显示红灯还是绿灯,由轨道电路中的继电器控制:继电器通电吸合时显示绿灯,失电时显示红灯(信号机有单独的供电,所以继电器失电不影响其工作,只影响显示的颜色)。在区间无车的情况下,轨道电路贯通形成回路,继电器通电,信号机显示绿灯。
行车显示
当一列火车依照绿灯行车,进入该区间后,由于火车的车轮及车轴是导体,轨道电路会沿着铁轨→车轮→车轴→另一侧车轮→另一侧铁轨流过,重新构成回路。这个时候控制信号机的继电器就被“短路”了——没有电流流过,显示红灯。
后面的火车司机看到这个区间信号灯是红灯,就会在区间入口处停车,避免两列车同时进入一个区间引发追尾事故。轨道电路使用非常简单的电路逻辑,就实现了列车区间占用的自动显示。
如何导向安全?
如果发生特殊情况,比如铁路桥塌了,桥上的铁轨断了,怎么办呢?
如果铁轨断了,相当于我们轨道电路的导线断开,电路处于“开路”(也称“断路”)状态,控制区间入口信号灯继电器失电——回忆我们刚才强调的,继电器失电时显示红灯。
这就是一个非常简单的“Fail-Safe”机制,当钢轨折断时(即故障/ 失效),信号机自动变成红灯,禁止列车进入,导向了趋于安全的情景。 如果反过来,信号机的继电器通电时显示红灯,断电时显示绿灯,这样一旦发生诸如钢轨折断的意外,后果不堪设想。
如果两根铁轨被能够导电的障碍物阻挡,会产生类似区间有列车通过的效果,铁轨被“短路”后,入口信号机同样会显示红灯,这样的情景下也导向了安全。
真实的轨道电路逻辑比我们的模型要复杂得多,轨道电路采用交流电而非直流电,有“三显示”和“四显示”信号机,可以通过不同数量、颜色的灯光组合传递复杂的信息,不同区间、线路的轨道电路也具备复杂的逻辑关系,能够相互“联锁”。但其最基本的占用、显示原理都与我们的模型一致。即使是时速350 km/h 的高铁线路,轨道电路依然是信号系统中的重要组成部分。
事实上,前面提到的电路模型,只是借助轨道电路向大家介绍“Fail-Safe”的基本理念,现实中的“Fail-Safe”更加复杂、成熟、可靠,并且成体系地渗透于铁路设备和管理的方方面面,保障着行车安全。
“Fail-Safe”并不是“Always-Safe”。传统的轨道电路并不能防止这次台湾铁路的惨烈事故,因为横在铁路中间的工程车并没有导通两根铁轨让区间达到“占用”的效果。这样的罕见事故只能依靠更为先进的手段避免——比如使用智能监控摄像头进行异物入侵识别。