新系统未启用已失灵？铁路工程师解说港铁四十年首次撞车事故

列车遭拦腰相撞，前车车头整卡倾斜，被撞击的列车，车门、座椅、扶手、窗框被撞至严重扭曲，一张又一张的现场相片震惊全港。每日服务逾570万人次的香港港铁，发生通车40年来首次行驶中列车相撞事故。意外于上周一（3月18日）凌晨3点港铁测试荃湾线新信号系统期间发生，因软件及信号灯出错，两架列车先同时进入相同的路段于交叉位置相撞，列车自动保护功能亦失效，车长虽人手煞车但因距离太短终致相撞，两名车长受轻伤送院，来往中环与金钟站的服务暂停两天。

列车相撞后，矛头纷纷直指新信号系统存在漏洞，承办商其后模拟测试重组案情发现软件有问题，港铁即时暂停所有相关测试。回到2015年3月，港铁为增加载客量斥资33亿元（港币，下同）提升旗下7条路线的信号系统，合约批予由两间信号系统供应商：阿尔斯通（Alstom）和泰雷兹（Thales）组成的跨国联营公司，新系统计划原定于2018年率先在荃湾线使用，惟延误至今仍在测试阶段。

事故翌日，香港举办一连两天的亚太铁路大会，根据安排，港铁及泰雷兹代表分别会向业界讲解信号系统。面对传媒追访，主办方现场突然决定取消记者证申请，记者无法参与业界讲座。泰雷兹早前递交初步报告予港铁，但港铁暂未公开报告内容，并表示调查需要两至三个月。公众仍然在一片疑云之中，复杂的信号系统到底是什么，旧系统、新系统之间有何差异，其是否事故原因，这宗意外揭露了什么问题，端传媒采访两名工程师，由他们解说事件。

尤如大脑中枢的信号系统

港铁在测试列车新信号系统期间，因软件问题导致意外，到底什么是信号系统？铁路又如何倚赖这个系统运作呢？信号系统（又名：信息系统）可谓铁路的大脑，是指挥运作的中枢，其架构庞大，由不同组件组成，成员包括：中央联锁电脑、各层级控制电脑、车载电脑、后备电脑等，还有安装在路轨及沿线设备房的信号装置等，列车行驶信息会透过不同电脑联系，以更新行车位置。

信号系统要控制列车安全运作，故设有安全防护机制，当防护机制侦察到不规律情况，系统会自动令列车停下，列车与列车之间得以保持安全距离。换言之，信号系统一环扣一环，牵一发动全身，失效或会导致严重意外。

不得不提是去年10月16日的交通大瘫痪，港铁四线（荃湾线、观塘线、港岛线及将军澳线）在早上繁忙时段因信号故障延误，历时六小时才修复。

“请注意，由于信号故障，列车服务受阻⋯⋯”这段广播不时在列车中响起，数字会说话，按机电工程署回复端传媒查询的资料，该署负责监管铁路安全，2016至2018年三年间分别调查：112、121及110宗铁路事故，当中分别有11、18及22宗与信号系统有关；即涉及信号系统故障的百分比由2016年的9.8%增至去年的20%。

端传媒同时综合立法会文件、剪报及MTR UPDATE等资料，发现信号系统引起的故障越趋严重，现时机制下，延误逾31分钟或以上属严重事故，2016年同类个案只有1宗，至去年已增至6宗，个中有4次延误61-120分钟，另有2次延误31至60分钟。

不得不提是去年10月16日的交通大瘫痪，港铁四线（荃湾线、观塘线、港岛线及将军澳线）在早上繁忙时段因信号故障延误，历时六小时才修复，港铁更被罚800万元，全年连同其他个案共遭罚款1000万元。

新就是快，95秒一班车

信号系统故障一再发生，是否源于系统老化呢？这又是否港铁在2015年更新信号系统的原因？铁路信号工程师学会香港分会副会长张年生，同时是新信号系统承办商之一泰雷兹的前香港行政总裁。拥有30年经验的他说，港铁沿用超过廿年的旧系统已出现老化，令近年故障事故增多，认为旧系统是时候更换，又指早于2013、2014年已察觉问题并计划更新系统。

香港工程师学会控制自动化及仪器仪表分部前主席张子惇认为，更换系统是势在必行，他解释，因旧系统的班次不够密集，载客量不够高，加上已运行20年，有些配备件的价格愈来愈贵，经济效益不划算，所以需要找一个新系统替换。

其实面对每日逾570万人次，现有系统早已不胜负荷，据港铁资料，2012年早上繁忙时段的港岛线、荃湾线均为2分钟（120秒）一班车，至2017年同一时段，这两条路线，分别为每1.86分钟（112秒）、2分钟（120秒）一班车。虽然港铁尝试以增加班次消化乘客量，但效果并不理想，车厢挤逼情况仍无法改善。2017年同一时段，港岛线载客率达101%，荃湾线则达到113％。

旧系统满足不到需求，而港铁交予立法会的文件，正正就说明更新信号系统是为了“增加铁路可载客量”及“提升服务的整体可靠度和效率”；而在新信号系统下，列车最密可95秒一班车，较现时快逾15%。

列车与列车之间：6.25米的安全距离

新系统带来高速，将班次压缩，到底与现有的旧系统还有何差别呢？港铁现时采用的SACEM信号系统已运行逾20年，路段会被划分成若干区间（Fixed Block），每一区间在同时段只允许一列列车通过，列车与列车之间得以保持安全距离。

港铁于2015年初决定更换系统，则是由SACEM更换为CBTC（Communications-based Train Control ），这个新信号中文为“通讯为本列车控制”，现时纽约、新加坡及东京等地亦有采用类似技术。

两种系统最大的分别是路段不再以区间划分，列车与列车间采用“移动区间”（Moving Block），以无线通讯系统如：Wi-Fi收发信号，信号系统负责保持列车间有安全距离。即安全距离不再固定于某一个特定路段的范围，而是会随著列车移动而移动。

失效的保护机制

“有机会是信号系统故障，系统发煞车指令，但列车没反应，也有可能是软件侦测不到前方有列车……好多可能性”

张年生曾在过往采访中提及，新系统下列车之间的安全距离则为6.25米，又指新系统利用列车电脑计算，使列车运行时与前车保持一定距离，可避免追撞。他解释，在CBTC的列车保护系统下，列车会将所在位置报告予中央电脑，中央系统负责整合位置资料，使运行中的列车知道与前车距离，每列列车内系统，会自行计算安全距离及“停车点”，从而制定合适停车时间及速度。他举例说明，若路轨有油迹或水迹，导致列车未能于“停车点”停下，另一防护机制：“自动列车保护系统”（ATP），便会发挥功效，以“紧急煞车系统”煞停列车。

今次意外令人哗然，正正是因软件指令两架列车同时进入同一交叉路段，但自动列车保护系统未有在两车相撞前煞车。张年生表示，相信保护系统已通过安全测试，加上不清楚港铁当日实际测试内容，故不能判断保护机制是否失效。
至于为何会出现撞车事故，张年生说，“有机会是信号系统故障，系统发煞车指令，但列车没反应，也有可能是软件侦测不到前方有列车……好多可能性”。张子惇则持相反意见，他强调在不同情况下，自动列车保护系统亦应该能发挥作用，今次事故明显是因为未有发挥功能才会发生。

黄金两小时的测试时间

事故后港铁及系统承办商迅速以模拟测试，已经发现软件有问题。坊间质疑，为何未能在列车实测前发现相关情况。港铁曾言，新信号系统投入服务前，须经过长时间及以循序渐进的方式测试，如：车厂试验段路轨模拟测试、主行车线实地测试等，确保运作顺畅。

今次事故所涉及的荃湾线，原定于2018年完工，惟延误至今仍在测试阶段；而港岛线的完工日期则由2019年延至2021年。

原来港铁这边厢更换系统，那边厢须维持原来服务，变相增添难度系数。因扣除日达约19小时的营运时间后，另加上日常检测维修工作，用以系统更新的时间有限，港铁官方宣传曾以“黄金两小时”来形容。

曾任职港铁总信号工程师（车务）的王惠明在亚太铁路大会向业内人士称，用作做信号系统更新的时间，实际每周约三天，每次两小时。另外四晚则用作日常铁路维修工作及更换、加装闸门等工程。

端传媒翻查资料，港铁早在2015年批发合约在7条路线更换系统，今次事故所涉及的荃湾线，原定于2018年完工，惟延误至今仍在测试阶段；而港岛线的完工日期则由2019年延至2021年。港铁回复，时间较长是因为港铁对系统软件进行深入测试时，会结合参考其他地区经验和情况，确保系统投入服务前，其可靠性可得到更好的保障。

无法预视但可以模拟重演的系统缺陷

工程时间紧迫，追不上时间表，不代表未能发现新系统的软件缺陷。新信号系统设有主、副及后备系统，回到事故当晚，港铁正在模拟主副系统无法正常运作，转换至后备系统的情况，双车随即相撞。

“这些都是不可预知的参数”。

综合港铁早前公开说法，该三个系统已经各自做过模拟测试，而承办商则负责电脑模拟测试，确定安全后会向港铁提供“可安全测试证书”（ Safety Certificate），告知可以进行什么测试。而港铁回复端传媒则指，已为系统软件进行超过一万次的严格测试，亦加派工程人员候命，并适时实地检视相关的软件测试工作，确保一切顺利。

张年生曾任职承办商泰雷兹的香港行政总裁，他归纳四个为何泰雷兹无法以模拟器避免事故发生的可能性：

泰雷兹没有按港铁指示做模疑测试，却向港铁发出“可安全测试证书”，令港铁使用真车测试
港铁使用真车进行泰雷兹没有在模疑器做过的测试
列车机件在当晚出现故障，导致煞车系统失灵
信号系统硬件本身有问题，未能送达煞车指令

张年生说，泰雷兹的模拟程序符合国际标准，公司会先按港铁要求，将列车营运各种情况设置到模拟器里测试，但他指出虽然模拟器像真度高，但并非百分百准确，部分情况必须用列车在现场实测，例如停车准确度、列车在隧道及架空桥接收信号的情况、网络有否受干扰、当路面有油迹、水迹，会否导致跣胎，以及当信号系统失灵时，列车的运作情况等，他形容“这些都是不可预知的参数”。

一再出意外的承办商，能否保障香港铁路安全呢？

港铁正测试的新信号系统，由法国阿尔斯通及法国泰雷兹的加拿大分公司合组的联营公司 Alstom-Thales DUAT JV提供；阿尔斯通及泰雷兹均为港铁网络现有信号系统的供应商，前者一直是是观塘线、荃湾线、港岛线等信号系统供应商；后者为西铁及马铁的信号系统供应商。

“为何会发生这情况呢？（是否）早期测试没有测试到？是否做漏测试了？”

无独有偶，新加坡地铁（SMRT）2017年曾使用泰雷兹提供的系统导致意外，38人伤。泰雷兹在港铁撞车事故后后确认软件问题，但否认设计失误，仅指事故与本港独特的信号系统有关，强调与新加坡的系统不同泰雷兹早于1990年代开发CBTC列车信号控制系统，现时日本、中国、巴西、墨西哥、印度、西班牙、英国、葡萄牙等地铁系统使用该公司的信号系统，惟不减外间担心其能否保障香港铁路安全。

然而，两名铁路工程师皆认为，新加坡事故与港铁意外不能相比。张年生说，香港系统独特之处，在于有一个主系统，一个副系统，一个后备系统；而新加玻系统则只有一主、一副，两者不可相提并论。他补充，新加坡事故中，列车在车厂开车时系统已出现问题，但铁路公司决定仍继续运行，但港铁甚少在明知系统有问题下仍出车；两者另一不同在于，新加坡事故是在新旧系统交接点列车行驶中发生，惟港铁当晚正测试新系统，旧系统已关掉。

张子惇认为，新加坡事故属个别例子，但他指出，是次列车测试中导致碰撞事故并不寻常，“为何会发生这情况呢？（是否）早期测试没有测试到？是否做漏测试了？”，他指出，这正是港铁及泰雷兹需要调查的核心。

在港铁系统之外，泰雷兹在香港亦大展拳脚，于去年投得机管局两张有关扩建第三条跑道的合约，其一是更换现有旅客捷运线（APM Line）的信号系统，其二是在新列车上安装泰雷兹的“通讯为本列车控制技术”。据媒体报道，机管局已确认，现时机场有两条旅客捷运线，信号系统承办商为泰雷兹，但与港铁现行或测试中的系统不同，当局有定期检查程序，确保信号系统运作正常。