**************
以下是今日(五月二十八日)在立法會會議上莫乃光議員的提問和運輸及房屋局局長張炳良教授的書面回覆:
問題:
據報,上月二十七日,港鐵東鐵線監控及通訊系統(信號系統)內的數據傳送系統(傳送系統)的路由器發生故障,引致東鐵線全線服務暫停36分鐘。香港鐵路有限公司(港鐵公司)於翌日表示,已經安排更換有關的路由器。另一方面,事故發生時後備傳送系統未能自動啟動,列車改由人手操作後列車服務才恢復正常。有意見認為,港鐵公司未有詳細交代有關系統發生故障的原因,令人擔憂港鐵信號系統的可靠性;而港鐵公司在事故發生時採取的應變措施(包括緊急事故通報機制及接駁交通安排)亦令乘客不滿。就此,政府可否告知本會:
(一)是否知悉,港鐵公司調查上述事故的工作的進展、涉事系統及組件發生故障的原因、上述事故的成因有否涉及路由器以外的組件,以及後備系統未能自動啟動的原因(及當中是否涉及系統軟件出錯);
(二)鑑於有報道指出,港鐵公司要求有關路由器的澳洲供應商派員到港調查上述事故,是否知悉該調查的範圍、時間表及進展為何;
(三)是否知悉,可能導致港鐵傳送系統及後備系統雙重失靈的因素;鑑於港鐵公司於上月二十八日表示已安排更換有關的路由器,為何上月二十九日及本月二及三日仍然發生信號系統故障;該等故障是否與綜合控制及通訊系統的兩組主路由器或其他組件有關;涉事系統或其支系統最近有否進行軟硬件更新,以配合其他鐵路線(例如沙田至中環線)的發展需要;若有更新,詳情為何,以及港鐵公司有否評估此舉增加系統多少風險及有否計劃將有關軟件回復至原來版本;
(四)是否知悉,港鐵公司有否評估轄下鐵路線的信號系統受襲的風險,包括有關組件被破壞或在線攻擊的可能性;若有評估,結果為何;港鐵公司有否制訂應變方案,確保當信號系統受襲時仍可維持安全的列車服務;
(五)鑑於有報道指出,市區鐵路線的信號機組屬「分散式」配置,以各車站的信號機組合組聯網,當車務控制中心無法作出車務調動時,可改以車站機組控制,而若機組因通訊失效而無法聯網,最終可由各車站控制室的「綜合後備控制板」,透過電路開關改動路軌方向,逐班列車放行,是否知悉過去五年,港鐵公司有否採用此方式維持列車服務;若有,詳情為何;
(六)鑑於有報道指出,非市區的鐵路線的信號機組採用「集中式」配置,當車務控制中心無法調度列車時,港鐵公司只能啟動後備電腦應付,是否知悉港鐵公司有否檢討「集中式」配置對現時鐵路運輸系統可靠性的影響;若有檢討,詳情為何;
(七)鑑於本人得悉,東鐵線曾因多次信號故障而加設後備系統,但在二○一○年增設的後備系統在上述事故中失效,是否知悉港鐵公司有何措施確保新增設的後備系統在有需要時能運作;
(八)鑑於本人得悉,在兩鐵合併前,當東鐵線的信號系統發生故障時,九廣鐵路公司可改用「臨時區間閉塞站運行法」,即以旗號、燈號、直線電話等工具輔助確認列車位置,以維持鐵路服務,是否知悉港鐵公司現時能否採用該方法提供鐵路服務;若能夠,近期發生鐵路事故時有否採用該方法;若港鐵公司已棄用該方法,原因及理據為何;及
(九)有否計劃委託獨立專家及學者就上述事故進行詳細的調查並公布結果,以釋公眾疑慮;若有計劃,詳情為何?
答覆:
主席:
港鐵列車運作主要由三個系統操作:(1)信號系統;(2)中央監控及通訊系統;以及(3)各鐵路線的監控及通訊系統的控制台。
信號系統
-----
信號系統裝設於路軌旁及沿線設備房,負責控制列車運作,並採用安全防護保障設計,當偵察到任何不規律的情況時,系統會自動令列車停下,確保列車與列車之間保持安全距離。
中央監控及通訊系統
----------
青衣車務控制中心會透過中央監控及通訊系統內的數據傳送系統掌握信號系統的操作情況。數據傳送系統的功能主要透過路由器及數據集中器發揮。
監控及通訊系統的控制台
------------
各鐵路線的監控及通訊系統設於沿線設備房。至於監控及通訊系統的控制台則裝設在青衣車務控制中心,負責監察列車運作,以及與車長或車站通訊等,並按需要作車務調動。
今年四月二十七日及二十八日、五月一日及二日的事故分別涉及東鐵線監控及通訊系統的數據傳送系統中的路由器、數據集中器、信號系統內的列車控制系統電腦硬件,以及路軌旁的數據解碼器的運作不穩定,影響了鐵路服務,引致服務延誤最多達36分鐘。雖然並無影響鐵路安全,但對這些系統接連出現毛病,政府表示高度關注,已要求香港鐵路有限公司(港鐵公司)深入調查成因,以及因應查出的成因作出妥善的跟進。港鐵公司已積極回應,亦聘用了多位獨立專家提供協助。機電工程署亦會聯同運輸署積極參與,以確保鐵路服務安全可靠。
就莫乃光議員的提問,現答覆如下:
(一)及(三)二○一四年四月二十七日的東鐵線服務延誤,由火炭鐵路大樓內作為東鐵線監控及通訊系統一部分的數據傳送系統其中一個路由器運作時出現不穩定情況而引致。但由於備用路由器的設計是當原路由器完全失效時,才會自動啟動,而事發當日原路由器並未完全失效,只是出現不穩定情況,因此,備用路由器未能成功自動啟動,影響數據傳送系統的運作。經人手關閉原路由器及啟動備用路由器後,列車服務才恢復正常。而原路由器已於當晚收車後更換。港鐵公司亦已在事故後,加裝一個數據傳送監察儀器,以監察數據傳送系統的穩定情況。若數據傳送系統出現不穩定情況,便可及早偵測和作出跟進善後。
至於另一宗發生在二○一四年四月二十八日的事故,列車服務只影響12分鐘。事故是數據傳送系統的其中一個數據集中器出現故障所引致,與四月二十七日的路由器運作不穩定的情況並不一樣。該數據集中器在當日更換後,數據傳送系統便回復正常運作。兩日的事故並不對列車安全構成影響。
至於在五月一日及二日的東鐵線事故,與四月二十七日及二十八日的事故原因不同。五月一日的事故因東鐵線信號系統內主列車控制系統的電腦硬件出現故障引致,在列車控制系統備用系統自動啟動後,信號系統運作回復正常。五月二日的事故則因裝設於路軌旁的數據解碼器(屬信號系統的組件)出現故障引致,在更換相關組件後,信號系統運作回復正常。兩宗事故分別影響列車服務10分鐘及33分鐘。
(二)數據傳送系統的供應商已應港鐵公司的要求,派員來港調查二○一四年四月二十七日及二十八日的事故,並已收集相關的數據及記錄作進一步分析。調查已完成,確定兩日的事故,分別是數據傳送系統其中一個路由器及數據集中器發生故障所引起。港鐵公司會連同供應商再作深入的檢視,並按檢視結果制定所須的跟進措施,以確保數據傳送系統穩定及可靠。機電工程署亦會聯同運輸署參與檢視的工作,確保檢視得宜、跟進妥貼。檢視結果及跟進的情況會公布。
(四)及(九)港鐵各鐵路線(包括東鐵線)的信號系統是一個獨立的系統,相信外界人士並不能進入系統作出攻擊。事實上,港鐵公司會不時為信號系統的保安作風險評估,並制定相應的措施,防止系統被惡意攻擊。港鐵公司已委託獨立專家,就東鐵線的信號系統作全面的分析及評估,並提出改善建議。另外,港鐵公司亦聘請了獨立顧問,檢視連接數據傳送系統及信號系統之間的防護性,預計可於今年年中完成。完成後,檢視報告會向機電工程署提交。若報告提出建議以作出改善,機電工程署會聯同運輸署檢視建議的措施是否得宜及監督所須的措施的落實情況。檢視的結果及措施落實的情況會公布。
(五)目前,荃灣線、觀塘線、港島線、機場快線、東涌線及將軍澳線(即合併前的地鐵網絡),均利用「綜合後備控制板」作「車站控制」。一旦車務控制中心的中央控制及監察失效,車站仍可以地區控制模式來監察列車運作,作為後備運作模式。至於迪士尼線,列車運作的控制以及後備控制均設於欣澳站(青衣車務控制中心作中央監察)。過去五年,港鐵公司曾偶爾以地區控制模式來監察列車運作,每次均沒有影響列車的正常和安全運作。
(六)馬鞍山線及西鐵線與合併前地鐵網絡的鐵路線一樣,可以「車站控制」作為後備運作。但東鐵線方面,則是以中央控制的後備系統作為後備運作,兩者設計不同。東鐵線的信號系統將配合沙田至中環線工程作出更新,提供「車站控制」作為後備運作模式。
(七)目前,東鐵線另設有一個以人手啟動的後備控制台作為支援,此控制台於二○一○年增設。倘若數據傳送系統因故障而無法接收或傳送信號系統所發出的數據時,車務控制中心可透過上述的後備控制台,直接與信號系統連繫,而無須經過數據傳送系統。至於二○一四年四月二十七日的數據傳送系統故障中,並沒有啟動在車務控制中心的後備控制台,因為在後備控制台未啟動前,數據傳送系統已由人手重新啟動,並成功恢復數據傳送,而當天的故障與信號系統無關。事實上,港鐵公司會定期測試該後備控制台,確保運作良好。
(八)目前,若東鐵線的信號系統發生故障時,可以「導行員操作」方式(與提問所指的「臨時區間閉塞站運行法」相若),繼續維持列車服務。期間,車務控制中心會首先派員到沒有信號的路段,將路軌上的路軌轉轍器(俗稱「波口」)固定,讓列車可駛經受影響的路段,由導行員以人手指揮列車通過。在二○一四年四月二十七日的事故中,在未確定是否信號系統故障前,港鐵公司曾考慮使用上述方法。但由於在重新啟動數據傳送系統後,成功恢復數據傳送,因此最終沒有使用上述方法。
完
2014年5月28日(星期三)
香港時間12時30分