层层节制设计 保障轨道交通安全

轨道交通的搭载人数众多，需有完善的安全设计。DIGITIMES摄

轨道交通是城市运输的大动脉，相较于其他基础建设，其智能化程度相当高，这两年台湾与大陆纷纷传出轨道交通的重大意外，台湾高铁更是连连停摆，这些事件让产官学界纷纷开始注意轨道通的安全问题。

轨道交通负载大量人数，因此安全设计相当重要，不过台湾与国内大陆这两年都发生重大事件，国内是温州动车翻覆，台湾高铁则是连连发生系统错误，其中2013年的高铁号志异常全线停驶，更是高铁通车6年来，首次非天灾造成的大规模停驶，后来台湾高铁证实，异常是因台中段号志的电子连锁系统故障，最后靠重新开机解决。

导致高铁当日停摆的祸首，是台中站区铁轨旁的号志电子联锁系统（EI）的装置「终端转换器（ET2）」，出现无法排除异常信号，且主系统、备援系统同时挂点，导致营运停摆。

事件发生，由于因只要号志显示该区间内有列车，其他要经过站区的列车就无法进行路径设定，更无法驶入该区间，等于是台中站区前后60公里内的列车均无法自动行驶，连在场的日本技师打电话回日本也找不出原因，台湾高铁才会在6时30分紧急宣布停驶。

轨道交通的安全设计

EI是高铁运转最重要的一环，高铁全线345公里，设有10处号志联锁区间，每处各有一套EI主系统与备援系统；EI的功能，是在区间内的不同转辙器与号志机间，设立一套联锁运行的规则，以确保列车安全、顺畅的运行。轨道系统系统透过「连锁」来控制行车路线，「自动闭塞(停车)」来保证车距，并以「轨道电路」来EI控制列车行车速度；这次故障的ET2，功能是将光纤信号转换，并建立号志与号志间联锁关系规则的设备。

这类轨道控制系统有两个部分设计，一方面针对轨道，令一方面则针对车辆。轨道上采用失效偏向安全原则设计，当任何环节发生故障时，系统设计成自动会趋向安全条件进移动作，以确保行车安全，台湾高铁所规划采用之号志系统，设计规划满足每3分钟发车之要求，所有列车运行之控管及号志系统主要设备工作状态之监测，皆由位于桃园之行控中心进行监控，前面提到的 EI 即扮演了重要角色。

高铁沿线都有感应器，随时将侦测到的信息传回行控中心，正常来说，每一个EI区间均属于闭塞环境，区间中正常只能有一辆列车，如果前车尚未走出这个封闭区间，后车是无法进入的。这样的设计是为了确保行车安全，避免列车「追尾」的事件发生。

当然EI失灵，列车仍可设定为「手动」进入，但由于手动控制的时速上限只有40公里，台湾高铁认为如以此模式通行，仍会造成大规模的误点，因此才决定停驶检修。

除了系统自动设定之外，桃园控制中心内的列车调度员亦可以在号志系统容许范围内，调整缺省的列车时刻表，以便弹性调度或恢复未准时的行车时刻。正常营运时，所有高速铁路全线的列车运转，由桃园行控中心所控制，紧急状况时亦可就近改由车站控制室接管，透过此监控并依照行车计划控制列车运转，以达到高运输效率及路线容量。

至于在运转正在线的列车，则透过车辆自动控制系统（Automatic Train Control；ATC）自动控制列车速度，ATC 是列车的速度监督系统，它提供驾驶员一个连续允许运行的速度曲线，当驾驶员未能遵照允许速度行车时，车载号志系统为确保行车安全，将自动进行必要的减速或将列车停止于适当位置的决策。

非战之罪还是管理失灵？

当轨道系统与列车系统整并后，联锁系统可将站区之号志设备相互联动与牵制，以确保开通进路及冲突进路之安全，加上沿线的道旁设备如转辙器、号志机及列车侦测设备等装置，均透过多重数据传输回路与联锁系统连接，以提高系统之可靠度。

这样的设计当然是「安全」为最主要要求。除了列车与轨道号志系统外，为了确保行车时之安全，高铁沿线亦设置了灾害警报系统来监测异常的运转环境，其中包括地震、强风、豪雨、洪水即边坡滑动等天然环境灾害，以及像是行车路线的车辆掉落侦测等人为危害，灾害警报系统在可能发生立即危害行车安全的状况，让列车自动紧急煞车或降低列车的行车速度已避开紧急危险；其余的状况，则在经由中央控制中心或车站之相关营运人员评估后，再加以限制运转条件。就这样看来，基本上应可因应大部分状况。

但这一次的状况，高铁的应变却让人大出意外，正常来说，ET2的故障并非不可能，据了解之前同一个区间中已有五次更换的前例，但在这第六次却踢到铁板，闹到要重新开机才恢复正常。由于交通与轨道系统「稳定」第一，基本上在 SOP 上主要应该仍以在线排除模式进行，重新开机虽然简单，但并不是维持轨道系统的最佳做法，高铁公司当日显然也是以如此思维进行处理，在在线排除无效后才重新开机的做法，基本上没有太多争议。

尴尬的是，前面提过正常来说轨道系统在规划时均有备援设计，EI应该也是如此，在事件发生的同时，基本上不该造成影响营运的状况，但千金难买早知道，事件发生前两日，维修人员就发现主系统已发生故障，行控中心转以备援因应并排定两日后更换设备，就在这样被台湾高铁所称「巧合」下，备援系统在更换前也发生故障。

虽然台湾高铁认为是非战之罪，但他们口中的巧合，却让学者认为这是台湾高铁的「管理失灵」，专家认为，以EI为例，ET2在故障前已有徵万亿， 维修人员在23日发现主系统故障，台湾高铁却似乎没有提前避险规划，等于是拖到整整两天后才要进行设备更换；此外，当日的异常信号导致EI主系统和备援系统同时失灵，这样的事情并不是第一次发生，却仍然手忙脚乱，似乎在这些错手错脚中仍无法看到高铁的标准作业程序。看来未来要避免类似状况发生，尤其是标准作业程序，恐怕是现况上最应优先处理的课题。

这次的状况发生，也让人联想到过去温州动车（大陆称高铁为动车）追撞的案子，同样是号志系统故障，但结果却有极大不同，至少证明当天停驶检修的决策并没有错，也不是一般媒体大肆挞伐的「为什麽不第一时间重开机？」或「为什麽不手动操作？」这种简单化约的质疑，重点似乎仍在于是否有「标准作业流程」，或是标准作业流程是否有确实执行？甚至两天前ET2故障仍让备援设备「撑下去」的做法，到底是标准作业流程还是便宜行事？

高铁停驶的事件，如果只说成是设备故障的巧合，可能会掩盖了背后更大的人为因素，这绝对不是「重开机」就能解决的，也是一般系统建置者更应该关心的问题。