从上海地铁事故想到的(100124)
闵应骅
据媒体报道,2009年12月22日清晨上海轨道交通一号线发生两列列车侧面冲撞事故。调查结果显示,事故缘于九年前的一个设计疏漏。在2001年一号线上海火车站改造项目的配线图修改时,因设计技术人员工作疏漏,N11-1438区段编码电路配线出错,使信号系统在N11-1438轨道区段向发生事故的150号列车错误地发送65km/h的速度码,造成制动距离不足,从而发生两列列车侧面冲撞事故。
当150号司机发现前方信号灯为红灯时,便在系统信号还未发出制动命令时,紧急采取了制动措施。根据专家调阅的当时录像资料,司机的制动措施,比系统命令早了1秒钟。设计疏漏的“个案”,居然“潜伏”多年没有被发现,暴露了目前国内地铁安全认证体系的不完善。事实上,12月22日当天一连发生了四起事故:早5:50分,突发供电触网跳闸故障,造成该区列车停驶;7:00左右,两车发生侧面碰撞;20时55分,列车故障致晚点;20点40分,1号线陕西南路站一变电箱冒出浓烟,几处站点短暂限流进出站口被封闭。
这个消息说明:安全多么重要,安全并不止于信息安全。安全的概念很广泛,安全可靠是人类永恒的主题。从上海地铁事故调查结果看,它不是一个安全认证体系的问题,不必都往信息安全上扯。我想至少以下三点教训值得记取:
1。设计验证很重要。火车站改造项目的配线图错了,这首先是设计中有错误。不要埋怨设计人员,设计人员在设计中出错很正常,每人都难免。人在多次重复同一劳动时,必然出错。而且,后面由人去做的检查、审核也不可能发现所有的错。这就是为什么要搞设计自动化?其中最关键的环节是设计验证。
2。测试很重要。配线出错,150号列车错误地发送65km/h的速度码。这显然是列车自动驾驶系统出错了。为什么在对列车驾驶系统进行测试的时候没有测出来呢?测试不彻底呀!列车控制系统有一个“故障安全原则”,即任何一个故障发生,系统必须导向安全一侧。这一条要经过测试验证。不能光测在什么情况下系统正常,还要测在故障情况下,能否导向安全。
3。系统的响应速度很关键。司机看见了红灯所采取的制动措施,比系统命令早了1秒钟。系统的响应速度应该在毫秒级,而现在,它比人采取措施还慢了一秒。这样的响应速度当然是不能容忍的。所以,系统的时间延迟测试也很重要。
https://blog.sciencenet.cn/blog-290937-289932.html
上一篇:
D-Wave系统是量子计算吗?(100123)下一篇:
微处理器性能评估(100201)