主题：【原创】这个动车调查报告开了一个极其恶劣的先河 -- TrueSam

你在什么是＇故障导向安全＇？中，对“故障导向安全”的解释很精辟。“故障导向安全”的基本含义，不是“一旦出故障了，我已经给出故障信号，这时一定要人工干预，否则就会发生事故”，而是说“一旦发生故障，即使没有人工干预，我也一定能保障不出事故”，代价是运行效率低或者发生浪费等较小的损失。

“故障导向安全”是工业和调度系统的基本功能。拿化工的反应塔做例子。生产过程需要一定的压力（比如5），控制系统靠反应塔内的压力传感器知道塔内的压力，压力过大（比如到10）会引起反应塔的爆炸，是大事故。好，有一天加压时你的传感器坏了（故障出现了），控制系统不知道塔里的压力，但是判断出传感器故障，你也要能保证：即使值班人员睡着了（没有人工干预），不能再给塔里加压，避免压力过高引起爆炸。这可能会打断正常的生产过程，造成这锅料的浪费，但是以较小的代价避免了大的损失。这才是 “故障导向安全”。这个只是原理，事实上，一个装置会有多个传感器互相参照，根据不同的工艺和设备，判断故障的方法也有很多种，这方面晨枫是老大。

那么，是不是控制系统出问题，就一定会导致事故呢？还是以反应塔为例。为了避免控制系统失控，还要加个不受控制系统控制的泄放阀门，设定在8。一旦压力到了8，不管控制器是不是在正常工作，都把阀门打开，避免压力过高。再保险一点，设置一个防爆片，就是一块金属片，额定的压力是9。一旦所有的有源装置都失效了，压力到了9，不管你控制系统或者泄放阀门是怎么回事不动作，这个金属片自动破碎，把反应塔内的压力卸掉，从而保护反应塔的安全。反应炉有三层安全保障：第一控制系统（必须具有故障导向安全的功能），第二泄放阀门，第三防爆片。这就是俺理解的忘情说的，系统安全不是单独依赖于某个子系统的，这句话的真实含义。

从控制设备来说，如果仅仅做到：虽然给出报警信号，但还是依赖于人工干预才能停止加压过程，那就没有做到“故障导向安全”。这种系统是不合格的，而甬温线的设备恰恰如此。

俺之所以认为调度站的工作人员责任较小，就是因为“故障导致安全”是铁路调度系统的基本功能。无论是司机还是调度人员，本能地认为设备一定具备这项功能。否则的话，每次司机或调度看到绿灯，都要琢磨：这是正常的绿灯呢，还是设备坏了随机给出的绿灯呢？这火车就没法开了。

还有一个，一般来说，能接触设备的人员也是分档的，用户方面设备操作人员是最底层的，上面是工程师，至少有这么两层。再上面才是设备制造商。各层权限是不同的。而操作人员只能做最外层，最基本的东西，好多东西是动不了的。换句话说，一个低权限的操作或维修人员，他有心把设备信号弄乱，把红灯改成绿灯，人为制造故障，他都做不到。他最多能做到的，是扛把大锤把控制系统的主机砸了。这个时候，应当是什么效果呢？“故障导致安全”被触发，主机控制的路段全线红灯，所有列车停驶。操作层面的例子还有，一个火车司机，在限速200公里的线路上，他都不可能把速度提高到220公里（当然可以降到0）。

“故障导向安全”，操作权限分级，还有一个，操作有记录（log file），都是控制系统的最最基本的要求。