庫(kù)可

2021年4月2日，臺(tái)灣鐵路“太魯閣號(hào)”408次列車行駛至花蓮縣境內(nèi)的大清水隧道時(shí)，與侵入鐵路限界的工程車輛碰撞后發(fā)生脫軌事故，并造成嚴(yán)重傷亡。

這起事故讓我想起了曾經(jīng)在網(wǎng)上看到的一個(gè)問(wèn)題：“在錯(cuò)誤零容忍的行業(yè)工作是什么樣的體驗(yàn)？”我第一反應(yīng)就是自己所在的鐵路行業(yè)。作為受眾最廣、運(yùn)輸能力最強(qiáng)的交通方式之一，公眾對(duì)鐵路交通的重大傷亡事故幾乎是“零容忍”的。但自行車會(huì)“關(guān)鍵時(shí)刻掉鏈子”，汽車偶爾也會(huì)打不著火、半路拋錨，作為一個(gè)極為復(fù)雜的系統(tǒng)，鐵路的“故障”也是無(wú)法避免的。那么在鐵路的設(shè)計(jì)中，如何盡可能地避免故障演變?yōu)槭鹿誓兀?h3>鐵路安全衛(wèi)士：“Fail-Safe”

鐵路由線路、供電、通信、信號(hào)、機(jī)車車輛、動(dòng)車組等部分組成，鐵路工作者的一項(xiàng)重要工作就是處理各個(gè)系統(tǒng)出現(xiàn)的大大小小的故障。

“Fail-Safe”，中文一般稱為“故障- 安全”或“故障導(dǎo)向安全”，就是當(dāng)設(shè)備發(fā)生故障失效時(shí)，整個(gè)系統(tǒng)會(huì)自發(fā)地導(dǎo)向趨于安全的模式。

舉個(gè)簡(jiǎn)單的例子，我們開車時(shí)，如果一個(gè)十字路口的信號(hào)燈壞了，各個(gè)方向的汽車失去指引自由行駛，很容易發(fā)生剮蹭甚至碰撞事故。而對(duì)于高速鐵路上的動(dòng)車組列車，如果行駛過(guò)程中信號(hào)系統(tǒng)發(fā)生故障，無(wú)法正常指揮列車運(yùn)行，動(dòng)車上的車載系統(tǒng)會(huì)自動(dòng)輸出制動(dòng)指令，讓列車制動(dòng)停車。

這就是一個(gè)“導(dǎo)向安全”的設(shè)計(jì)理念——相對(duì)于高速運(yùn)行，列車在停止?fàn)顟B(tài)下是更安全的狀態(tài)。所以當(dāng)發(fā)生影響行車安全或者不可預(yù)知的故障時(shí)，系統(tǒng)會(huì)自動(dòng)讓列車停下來(lái)等待進(jìn)一步指令。

來(lái)看個(gè)簡(jiǎn)單的軌道電路模型

信號(hào)系統(tǒng)指揮著列車運(yùn)行，是鐵路線路上保證列車安全有序運(yùn)行的最關(guān)鍵系統(tǒng)之一，我國(guó)高速鐵路的信號(hào)系統(tǒng)可以保證350 km/h 時(shí)速下最短3 分鐘的行車間隔。信號(hào)系統(tǒng)的方方面面都遵循著“Fail-Safe”的理念。

現(xiàn)代化的信號(hào)系統(tǒng)以計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)為核心。其實(shí)早在電子計(jì)算機(jī)誕生之前，以繼電器（一種電控制器件）電路為基礎(chǔ)的軌道電路信號(hào)系統(tǒng)就已經(jīng)廣泛應(yīng)用。在繼電器時(shí)代，信號(hào)系統(tǒng)就已經(jīng)遵循“Fail-Safe”來(lái)設(shè)計(jì)了。

模型概述

這是一個(gè)最簡(jiǎn)單的軌道電路模型，一個(gè)區(qū)間入口只有一個(gè)能顯示紅燈和綠燈的信號(hào)機(jī)。紅燈?！熊嚥辉试S進(jìn)入該區(qū)間運(yùn)行;綠燈行——列車可以進(jìn)入該區(qū)間。

在這個(gè)區(qū)間的鐵軌上裝有電源裝置，依靠?jī)筛F軌作為導(dǎo)線傳輸電流，與信號(hào)機(jī)構(gòu)成回路，即軌道電路。信號(hào)機(jī)究竟顯示紅燈還是綠燈，由軌道電路中的繼電器控制：繼電器通電吸合時(shí)顯示綠燈，失電時(shí)顯示紅燈（信號(hào)機(jī)有單獨(dú)的供電，所以繼電器失電不影響其工作，只影響顯示的顏色）。在區(qū)間無(wú)車的情況下，軌道電路貫通形成回路，繼電器通電，信號(hào)機(jī)顯示綠燈。

行車顯示

當(dāng)一列火車依照綠燈行車，進(jìn)入該區(qū)間后，由于火車的車輪及車軸是導(dǎo)體，軌道電路會(huì)沿著鐵軌→車輪→車軸→另一側(cè)車輪→另一側(cè)鐵軌流過(guò)，重新構(gòu)成回路。這個(gè)時(shí)候控制信號(hào)機(jī)的繼電器就被“短路”了——沒(méi)有電流流過(guò)，顯示紅燈。

后面的火車司機(jī)看到這個(gè)區(qū)間信號(hào)燈是紅燈，就會(huì)在區(qū)間入口處停車，避免兩列車同時(shí)進(jìn)入一個(gè)區(qū)間引發(fā)追尾事故。軌道電路使用非常簡(jiǎn)單的電路邏輯，就實(shí)現(xiàn)了列車區(qū)間占用的自動(dòng)顯示。

如何導(dǎo)向安全？

如果發(fā)生特殊情況，比如鐵路橋塌了，橋上的鐵軌斷了，怎么辦呢？

如果鐵軌斷了，相當(dāng)于我們軌道電路的導(dǎo)線斷開，電路處于“開路”（也稱“斷路”）狀態(tài)，控制區(qū)間入口信號(hào)燈繼電器失電——回憶我們剛才強(qiáng)調(diào)的，繼電器失電時(shí)顯示紅燈。

這就是一個(gè)非常簡(jiǎn)單的“Fail-Safe”機(jī)制，當(dāng)鋼軌折斷時(shí)（即故障/ 失效），信號(hào)機(jī)自動(dòng)變成紅燈，禁止列車進(jìn)入，導(dǎo)向了趨于安全的情景。 如果反過(guò)來(lái)，信號(hào)機(jī)的繼電器通電時(shí)顯示紅燈，斷電時(shí)顯示綠燈，這樣一旦發(fā)生諸如鋼軌折斷的意外，后果不堪設(shè)想。

如果兩根鐵軌被能夠?qū)щ姷恼系K物阻擋，會(huì)產(chǎn)生類似區(qū)間有列車通過(guò)的效果，鐵軌被“短路”后，入口信號(hào)機(jī)同樣會(huì)顯示紅燈，這樣的情景下也導(dǎo)向了安全。

真實(shí)的“Fail-Safe”設(shè)計(jì)

真實(shí)的軌道電路邏輯比我們的模型要復(fù)雜得多，軌道電路采用交流電而非直流電，有“三顯示”和“四顯示”信號(hào)機(jī)，可以通過(guò)不同數(shù)量、顏色的燈光組合傳遞復(fù)雜的信息，不同區(qū)間、線路的軌道電路也具備復(fù)雜的邏輯關(guān)系，能夠相互“聯(lián)鎖”。但其最基本的占用、顯示原理都與我們的模型一致。即使是時(shí)速350 km/h 的高鐵線路，軌道電路依然是信號(hào)系統(tǒng)中的重要組成部分。

事實(shí)上，前面提到的電路模型，只是借助軌道電路向大家介紹“Fail-Safe”的基本理念，現(xiàn)實(shí)中的“Fail-Safe”更加復(fù)雜、成熟、可靠，并且成體系地滲透于鐵路設(shè)備和管理的方方面面，保障著行車安全。

“Fail-Safe”并不是“Always-Safe”。傳統(tǒng)的軌道電路并不能防止這次臺(tái)灣鐵路的慘烈事故，因?yàn)闄M在鐵路中間的工程車并沒(méi)有導(dǎo)通兩根鐵軌讓區(qū)間達(dá)到“占用”的效果。這樣的罕見事故只能依靠更為先進(jìn)的手段避免——比如使用智能監(jiān)控?cái)z像頭進(jìn)行異物入侵識(shí)別。