香港机电署关于港铁荃湾线新信号系统测试事故的调查报告（全文）

　　梦见小男孩拉屎信号供应商为软件进行修改期间出现程序编写错误，此外项目应用了非标准的独特的三重冗余构架未能得到充分系统风险评估和作最有效的模拟测试。

　　香港机电署7月5日消息：就今年3月18日港铁荃湾线新信号系统测试事故，机电工程署（机电署）进行了、深入和全面调查，并聘请海外铁安全专家协助。机电署已完成事故调查，并于7月5日公布调查结果。

　　根据调查结果，事故的原因是新信号系统在设计及开发阶段，系统承办商为软件进行修改期间出现程序编写错误，导致主区间计算机在切换至暖备用区间计算机（注）后无法建立中环站的渡线轨道数据。因此，列车自动系统未能发挥应有作用，无法防止两列列车同时进入中环站的渡线轨道，导致列车相撞。

　　注：暖备用区间计算机属冗余系统设计。当作为主控计算机的主区间计算机运作时，备用区间计算机维持于暖备用模式，并从主区间计算机读取部分数据。因此，作为主控计算机的主区间计算机与暖备用区间计算机的数据并不同步。当主区间计算机及副区间计算机均不能畅顺运作时，便会自动切换由暖备用区间计算机负责控制整体列车运作。

　　除了程序编写错误外，机电署认为引入暖备用区间计算机属承办商的一项独特和非标准设计，有别于其现有信号系统，但该非标准设计所带来的潜在风险并未完全包括在承办商的风险评估内，而承办商亦未有在实地测试前，在可行范围下为暖备用区间计算机作最大程度的模拟测试。因应此新信号系统的重要性及其独特和非标准设计，机电署亦认为港鐡公司在系统测试过程中应加强性及避免过度依赖承办商。

　　机电署亦已仔细审视港铁公司调查委员会于6月17日提交的调查报告，信纳港铁公司调查委员会就事故成因的调查结果，即系统承办商一连串的执行错误，令新信号系统软件出现程序编写错误。此结果与机电署调查的结果吻合。

　　机电署知悉港铁公司调查委员会向承办商及港铁公司提出的多项，认同针对修正编程错误问题及加强新信号系统的开发及测试过程，以避免同类事故再次发生。本署会密切监察港铁公司落实改善措施及其成效，在港铁公司完成改善措施，及本署经审视认为新系统安全后，方会容许港铁公司恢复荃湾线新信号系统的行车测试工作。

　　安全评估顾问在2019年2月6日提出以下意见，并于事故前的2019年3月5日重申有关事项：

　　(c)顾问不相信供应商所采用的开发流程与信号系统的复杂程度相符。系统的核心软件(Convergence 3.2)在获发安全认证后，仍发现许多潜在的安全异常情况，显示基础流程存在弱点，因此而导致不安全事故的可能性高得令人无法接受。

　　虽然该意见得到了项目参与多方的研讨与跟进，为给系统的开发进度留足充分时间，新信号系统计划投入服务的日期延期六个月，让信号负责公司阿尔斯通泰雷兹联营体ATDJV 有时间响应顾问的关注事项及改善新信号系统，其提出新版信号系统Build 8.3.4将于2019年5月24日发布，但程序编写错误仅在事故后才被发现，而该程序编写错误也没有能包括在 Build 8.3.4 软件中计划更新的项目中。

　　也就说虽然有响应，但新版本在撞车时已来不及更新，而且即使更新也没有能发现修正编写错决隐患。

　　在号对话页面回复“TWL”或“荃湾线撞车事故调查报告”可获取香港机电署和港铁调查报告下载地址。

　　（轨道世界·综合信息服务平台受众及行业推广联络邮箱：，欢迎轨士，愿本刊成为大家展示实力的平台，与天下朋友共分享！）