層層節制設計 保障軌道交通安全
軌道交通是城市運輸的大動脈,相較於其他基礎建設,其智慧化程度相當高,這兩年台灣與大陸紛紛傳出軌道交通的重大意外,台灣高鐵更是連連停擺,這些事件讓產官學界紛紛開始注意軌道通的安全問題。
軌道交通負載大量人數,因此安全設計相當重要,不過台灣與中國大陸這兩年都發生重大事件,中國是溫州動車翻覆,台灣高鐵則是連連發生系統錯誤,其中2013年的高鐵號誌異常全線停駛,更是高鐵通車6年來,首次非天災造成的大規模停駛,後來台灣高鐵證實,異常是因台中段號誌的電子連鎖系統故障,最後靠重新開機解決。
導致高鐵當日停擺的禍首,是台中站區鐵軌旁的號誌電子聯鎖系統(EI)的裝置「終端轉換器(ET2)」,出現無法排除異常訊號,且主系統、備援系統同時掛點,導致營運停擺。
事件發生,由於因只要號誌顯示該區間內有列車,其他要經過站區的列車就無法進行路徑設定,更無法駛入該區間,等於是台中站區前後60公里內的列車均無法自動行駛,連在場的日本技師打電話回日本也找不出原因,台灣高鐵才會在6時30分緊急宣布停駛。
軌道交通的安全設計
EI是高鐵運轉最重要的一環,高鐵全線345公里,設有10處號誌聯鎖區間,每處各有一套EI主系統與備援系統;EI的功能,是在區間內的不同轉轍器與號誌機間,設立一套聯鎖運行的規則,以確保列車安全、順暢的運行。軌道系統系統透過「連鎖」來控制行車路線,「自動閉塞(停車)」來保證車距,並以「軌道電路」來EI控制列車行車速度;這次故障的ET2,功能是將光纖訊號轉換,並建立號誌與號誌間聯鎖關係規則的設備。
這類軌道控制系統有兩個部分設計,一方面針對軌道,令一方面則針對車輛。軌道上採用失效偏向安全原則設計,當任何環節發生故障時,系統設計成自動會趨向安全條件進行動作,以確保行車安全,台灣高鐵所規劃採用之號誌系統,設計規劃滿足每3分鐘發車之要求,所有列車運行之控管及號誌系統主要設備工作狀態之監測,皆由位於桃園之行控中心進行監控,前面提到的 EI 即扮演了重要角色。
高鐵沿線都有感應器,隨時將偵測到的訊息傳回行控中心,正常來說,每一個EI區間均屬於閉塞環境,區間中正常只能有一輛列車,如果前車尚未走出這個封閉區間,後車是無法進入的。這樣的設計是為了確保行車安全,避免列車「追尾」的事件發生。
當然EI失靈,列車仍可設定為「手動」進入,但由於手動控制的時速上限只有40公里,台灣高鐵認為如以此模式通行,仍會造成大規模的誤點,因此才決定停駛檢修。
除了系統自動設定之外,桃園控制中心內的列車調度員亦可以在號誌系統容許範圍內,調整預設的列車時刻表,以便彈性調度或恢復未準時的行車時刻。正常營運時,所有高速鐵路全線的列車運轉,由桃園行控中心所控制,緊急狀況時亦可就近改由車站控制室接管,透過此監控並依照行車計畫控制列車運轉,以達到高運輸效率及路線容量。
至於在運轉正線上的列車,則透過車輛自動控制系統(Automatic Train Control;ATC)自動控制列車速度,ATC 是列車的速度監督系統,它提供駕駛員一個連續允許運行的速度曲線,當駕駛員未能遵照允許速度行車時,車載號誌系統為確保行車安全,將自動進行必要的減速或將列車停止於適當位置的決策。
非戰之罪還是管理失靈?
當軌道系統與列車系統整併後,聯鎖系統可將站區之號誌設備相互聯動與牽制,以確保開通進路及衝突進路之安全,加上沿線的道旁設備如轉轍器、號誌機及列車偵測設備等裝置,均透過多重資料傳輸迴路與聯鎖系統連接,以提高系統之可靠度。
這樣的設計當然是「安全」為最主要要求。除了列車與軌道號誌系統外,為了確保行車時之安全,高鐵沿線亦設置了災害警報系統來監測異常的運轉環境,其中包括地震、強風、豪雨、洪水即邊坡滑動等天然環境災害,以及像是行車路線的車輛掉落偵測等人為危害,災害警報系統在可能發生立即危害行車安全的狀況,讓列車自動緊急煞車或降低列車的行車速度已避開緊急危險;其餘的狀況,則在經由中央控制中心或車站之相關營運人員評估後,再加以限制運轉條件。就這樣看來,基本上應可因應大部分狀況。
但這一次的狀況,高鐵的應變卻讓人大出意外,正常來說,ET2的故障並非不可能,據了解之前同一個區間中已有五次更換的前例,但在這第六次卻踢到鐵板,鬧到要重新開機才恢復正常。由於交通與軌道系統「穩定」第一,基本上在 SOP 上主要應該仍以線上排除模式進行,重新開機雖然簡單,但並不是維持軌道系統的最佳做法,高鐵公司當日顯然也是以如此思維進行處理,在線上排除無效後才重新開機的做法,基本上沒有太多爭議。
尷尬的是,前面提過正常來說軌道系統在規劃時均有備援設計,EI應該也是如此,在事件發生的同時,基本上不該造成影響營運的狀況,但千金難買早知道,事件發生前兩日,維修人員就發現主系統已發生故障,行控中心轉以備援因應並排定兩日後更換設備,就在這樣被台灣高鐵所稱「巧合」下,備援系統在更換前也發生故障。
雖然台灣高鐵認為是非戰之罪,但他們口中的巧合,卻讓學者認為這是台灣高鐵的「管理失靈」,專家認為,以EI為例,ET2在故障前已有徵兆, 維修人員在23日發現主系統故障,台灣高鐵卻似乎沒有提前避險規劃,等於是拖到整整兩天後才要進行設備更換;此外,當日的異常訊號導致EI主系統和備援系統同時失靈,這樣的事情並不是第一次發生,卻仍然手忙腳亂,似乎在這些錯手錯腳中仍無法看到高鐵的標準作業程序。看來未來要避免類似狀況發生,尤其是標準作業程序,恐怕是現況上最應優先處理的課題。
這次的狀況發生,也讓人聯想到過去溫州動車(大陸稱高鐵為動車)追撞的案子,同樣是號誌系統故障,但結果卻有極大不同,至少證明當天停駛檢修的決策並沒有錯,也不是一般媒體大肆撻伐的「為什麼不第一時間重開機?」或「為什麼不手動操作?」這種簡單化約的質疑,重點似乎仍在於是否有「標準作業流程」,或是標準作業流程是否有確實執行?甚至兩天前ET2故障仍讓備援設備「撐下去」的做法,到底是標準作業流程還是便宜行事?
高鐵停駛的事件,如果只說成是設備故障的巧合,可能會掩蓋了背後更大的人為因素,這絕對不是「重開機」就能解決的,也是一般系統建置者更應該關心的問題。