**************
以下是今日(五月二十八日)在立法会会议上莫乃光议员的提问和运输及房屋局局长张炳良教授的书面回覆:
问题:
据报,上月二十七日,港铁东铁线监控及通讯系统(信号系统)内的数据传送系统(传送系统)的路由器发生故障,引致东铁线全线服务暂停36分钟。香港铁路有限公司(港铁公司)于翌日表示,已经安排更换有关的路由器。另一方面,事故发生时后备传送系统未能自动启动,列车改由人手操作后列车服务才恢复正常。有意见认为,港铁公司未有详细交代有关系统发生故障的原因,令人担忧港铁信号系统的可靠性;而港铁公司在事故发生时采取的应变措施(包括紧急事故通报机制及接驳交通安排)亦令乘客不满。就此,政府可否告知本会:
(一)是否知悉,港铁公司调查上述事故的工作的进展、涉事系统及组件发生故障的原因、上述事故的成因有否涉及路由器以外的组件,以及后备系统未能自动启动的原因(及当中是否涉及系统软件出错);
(二)鉴于有报道指出,港铁公司要求有关路由器的澳洲供应商派员到港调查上述事故,是否知悉该调查的范围、时间表及进展为何;
(三)是否知悉,可能导致港铁传送系统及后备系统双重失灵的因素;鉴于港铁公司于上月二十八日表示已安排更换有关的路由器,为何上月二十九日及本月二及三日仍然发生信号系统故障;该等故障是否与综合控制及通讯系统的两组主路由器或其他组件有关;涉事系统或其支系统最近有否进行软硬件更新,以配合其他铁路线(例如沙田至中环线)的发展需要;若有更新,详情为何,以及港铁公司有否评估此举增加系统多少风险及有否计划将有关软件回复至原来版本;
(四)是否知悉,港铁公司有否评估辖下铁路线的信号系统受袭的风险,包括有关组件被破坏或在线攻击的可能性;若有评估,结果为何;港铁公司有否制订应变方案,确保当信号系统受袭时仍可维持安全的列车服务;
(五)鉴于有报道指出,市区铁路线的信号机组属「分散式」配置,以各车站的信号机组合组联网,当车务控制中心无法作出车务调动时,可改以车站机组控制,而若机组因通讯失效而无法联网,最终可由各车站控制室的「综合后备控制板」,透过电路开关改动路轨方向,逐班列车放行,是否知悉过去五年,港铁公司有否采用此方式维持列车服务;若有,详情为何;
(六)鉴于有报道指出,非市区的铁路线的信号机组采用「集中式」配置,当车务控制中心无法调度列车时,港铁公司只能启动后备电脑应付,是否知悉港铁公司有否检讨「集中式」配置对现时铁路运输系统可靠性的影响;若有检讨,详情为何;
(七)鉴于本人得悉,东铁线曾因多次信号故障而加设后备系统,但在二○一○年增设的后备系统在上述事故中失效,是否知悉港铁公司有何措施确保新增设的后备系统在有需要时能运作;
(八)鉴于本人得悉,在两铁合并前,当东铁线的信号系统发生故障时,九广铁路公司可改用「临时区间闭塞站运行法」,即以旗号、灯号、直线电话等工具辅助确认列车位置,以维持铁路服务,是否知悉港铁公司现时能否采用该方法提供铁路服务;若能够,近期发生铁路事故时有否采用该方法;若港铁公司已弃用该方法,原因及理据为何;及
(九)有否计划委托独立专家及学者就上述事故进行详细的调查并公布结果,以释公众疑虑;若有计划,详情为何?
答覆:
主席:
港铁列车运作主要由三个系统操作:(1)信号系统;(2)中央监控及通讯系统;以及(3)各铁路线的监控及通讯系统的控制台。
信号系统
-----
信号系统装设于路轨旁及沿线设备房,负责控制列车运作,并采用安全防护保障设计,当侦察到任何不规律的情况时,系统会自动令列车停下,确保列车与列车之间保持安全距离。
中央监控及通讯系统
----------
青衣车务控制中心会透过中央监控及通讯系统内的数据传送系统掌握信号系统的操作情况。数据传送系统的功能主要透过路由器及数据集中器发挥。
监控及通讯系统的控制台
------------
各铁路线的监控及通讯系统设于沿线设备房。至于监控及通讯系统的控制台则装设在青衣车务控制中心,负责监察列车运作,以及与车长或车站通讯等,并按需要作车务调动。
今年四月二十七日及二十八日、五月一日及二日的事故分别涉及东铁线监控及通讯系统的数据传送系统中的路由器、数据集中器、信号系统内的列车控制系统电脑硬件,以及路轨旁的数据解码器的运作不稳定,影响了铁路服务,引致服务延误最多达36分钟。虽然并无影响铁路安全,但对这些系统接连出现毛病,政府表示高度关注,已要求香港铁路有限公司(港铁公司)深入调查成因,以及因应查出的成因作出妥善的跟进。港铁公司已积极回应,亦聘用了多位独立专家提供协助。机电工程署亦会联同运输署积极参与,以确保铁路服务安全可靠。
就莫乃光议员的提问,现答覆如下:
(一)及(三)二○一四年四月二十七日的东铁线服务延误,由火炭铁路大楼内作为东铁线监控及通讯系统一部分的数据传送系统其中一个路由器运作时出现不稳定情况而引致。但由于备用路由器的设计是当原路由器完全失效时,才会自动启动,而事发当日原路由器并未完全失效,只是出现不稳定情况,因此,备用路由器未能成功自动启动,影响数据传送系统的运作。经人手关闭原路由器及启动备用路由器后,列车服务才恢复正常。而原路由器已于当晚收车后更换。港铁公司亦已在事故后,加装一个数据传送监察仪器,以监察数据传送系统的稳定情况。若数据传送系统出现不稳定情况,便可及早侦测和作出跟进善后。
至于另一宗发生在二○一四年四月二十八日的事故,列车服务只影响12分钟。事故是数据传送系统的其中一个数据集中器出现故障所引致,与四月二十七日的路由器运作不稳定的情况并不一样。该数据集中器在当日更换后,数据传送系统便回复正常运作。两日的事故并不对列车安全构成影响。
至于在五月一日及二日的东铁线事故,与四月二十七日及二十八日的事故原因不同。五月一日的事故因东铁线信号系统内主列车控制系统的电脑硬件出现故障引致,在列车控制系统备用系统自动启动后,信号系统运作回复正常。五月二日的事故则因装设于路轨旁的数据解码器(属信号系统的组件)出现故障引致,在更换相关组件后,信号系统运作回复正常。两宗事故分别影响列车服务10分钟及33分钟。
(二)数据传送系统的供应商已应港铁公司的要求,派员来港调查二○一四年四月二十七日及二十八日的事故,并已收集相关的数据及记录作进一步分析。调查已完成,确定两日的事故,分别是数据传送系统其中一个路由器及数据集中器发生故障所引起。港铁公司会连同供应商再作深入的检视,并按检视结果制定所须的跟进措施,以确保数据传送系统稳定及可靠。机电工程署亦会联同运输署参与检视的工作,确保检视得宜、跟进妥贴。检视结果及跟进的情况会公布。
(四)及(九)港铁各铁路线(包括东铁线)的信号系统是一个独立的系统,相信外界人士并不能进入系统作出攻击。事实上,港铁公司会不时为信号系统的保安作风险评估,并制定相应的措施,防止系统被恶意攻击。港铁公司已委托独立专家,就东铁线的信号系统作全面的分析及评估,并提出改善建议。另外,港铁公司亦聘请了独立顾问,检视连接数据传送系统及信号系统之间的防护性,预计可于今年年中完成。完成后,检视报告会向机电工程署提交。若报告提出建议以作出改善,机电工程署会联同运输署检视建议的措施是否得宜及监督所须的措施的落实情况。检视的结果及措施落实的情况会公布。
(五)目前,荃湾线、观塘线、港岛线、机场快线、东涌线及将军澳线(即合并前的地铁网络),均利用「综合后备控制板」作「车站控制」。一旦车务控制中心的中央控制及监察失效,车站仍可以地区控制模式来监察列车运作,作为后备运作模式。至于迪士尼线,列车运作的控制以及后备控制均设于欣澳站(青衣车务控制中心作中央监察)。过去五年,港铁公司曾偶尔以地区控制模式来监察列车运作,每次均没有影响列车的正常和安全运作。
(六)马鞍山线及西铁线与合并前地铁网络的铁路线一样,可以「车站控制」作为后备运作。但东铁线方面,则是以中央控制的后备系统作为后备运作,两者设计不同。东铁线的信号系统将配合沙田至中环线工程作出更新,提供「车站控制」作为后备运作模式。
(七)目前,东铁线另设有一个以人手启动的后备控制台作为支援,此控制台于二○一○年增设。倘若数据传送系统因故障而无法接收或传送信号系统所发出的数据时,车务控制中心可透过上述的后备控制台,直接与信号系统连系,而无须经过数据传送系统。至于二○一四年四月二十七日的数据传送系统故障中,并没有启动在车务控制中心的后备控制台,因为在后备控制台未启动前,数据传送系统已由人手重新启动,并成功恢复数据传送,而当天的故障与信号系统无关。事实上,港铁公司会定期测试该后备控制台,确保运作良好。
(八)目前,若东铁线的信号系统发生故障时,可以「导行员操作」方式(与提问所指的「临时区间闭塞站运行法」相若),继续维持列车服务。期间,车务控制中心会首先派员到没有信号的路段,将路轨上的路轨转辙器(俗称「波口」)固定,让列车可驶经受影响的路段,由导行员以人手指挥列车通过。在二○一四年四月二十七日的事故中,在未确定是否信号系统故障前,港铁公司曾考虑使用上述方法。但由于在重新启动数据传送系统后,成功恢复数据传送,因此最终没有使用上述方法。
完
2014年5月28日(星期三)
香港时间12时30分
