荃灣線中環站撞車事故調查報告

詳細調查後， 港鐵公司總結事故是：
- 新信號系統承辦商 Alstom-Thales DUAT Joint Venture 公司在修改軟件時出現軟件編程上的執行錯誤所致
- 港鐵公司會提高警覺及加強監察，確保承辦商落實改善措施。

詳細事故原因
- 承辦商需在 A 及 B 電腦系統出現問題時，在 C 後備電腦系統中剔除及重新產生部分數據，避免 C 電腦系統出現共同模式故障
修改過程中，承辦商發生了下列執行錯誤:
- 沒有在其内部軟件開發文件中清楚列明傳送數據至 C 電腦系統時剔除「相互衝突區域數據」，以致隨後並無為「相互衝突區域數據」進行特定測試、風險評估及安全分析
- 承辦商發生軟件編程的執行錯誤，令 C 電腦系統未能適當地重新產生「相互衝突區域數據」
- 軟件邏輯配置並沒有阻止 C 電腦系統在沒有「相互衝突區域防護」的情況下取代成為主電腦系統


委員會認為，這些錯誤反映承辦商在是次軟件修改時的軟件品質保證、風險評估及模擬測試範圍方面均有不足之處。


事故發生後，承辦商已更換導致有關軟件問題的軟件設計及開發團隊。
為了提升軟件開發的品質及防止類似事件再發生，委員會向承辦商提出下列改善措施:
- 糾正有關軟件問題，確保並提供具體證明軟件開發在品質上並無構成進一步影響
- 加強軟件編碼和測試方法，避免將來再出現程式編寫錯誤，並引入有效及可追溯的措施以偵測任何程式編寫錯誤
- 聘任外間「獨立軟件評估顧問」，加強區間控制電腦系統的軟件開發過程
- 審視、重新檢查及證明其軟件開發方式恪守安全防護原則，並具備可追溯的證據。


同時，委員會亦建議港鐵公司採取下列措施，以協助承辦商落實上述建議:
- 將現時「獨立安全評估顧問」的工作範圍，由載客服務的安全保證，擴展至涵蓋列車實地測試相關的安全認證;
- 提升在本港用作培訓用途的信號系統模擬平台，在切實可行的情況下為更多不同情境進行模擬測試;
- 港鐵與承辦商共同成立一個測試及驗收安全委員會，同時納入「獨立安 全評估顧問」的意見以管理實地測試;及
- 與委員會專家一同探究分階段發展備用電腦系統是否有好處，或其他由承辦商所建議在技術上合適的方案。


詳細報告：https://www.mtr.com.hk/archive/corporate/en/press_release/PR-19-044-C.pdf

炒車炒到咁大穫， 地鐵公司幾時先會取消ATJV的合約呢？

我認為 龐巴迪，西門子，nippon signal 同GE 係可行的替代方案

最大問題係 MTR 個 project 開始定 ISA 個 scope 太窄, 另外 IR 係咪無責任呢? 因為 IR 係負責 evaluate project implementation risks 㗎喎.

documentation 缺失喺大型 system 既 software development 係一個嚴重問題, ISA 都有指出與 Thale's internal development process 及 international standards 有 compliance issue, 點解 MTR 無去認真去同 ATDJV 去處理, 只係認為問題關乎 passenger service 就有佢照做 testing?

要 ATDJV replace 咗成個 design and development team 我仲擔心, 除非 system design document 齊全, 新 take up 果班可以靠 document 去 pick up, 否則可能會有其他安全問題出現.