Dienstag, 16. Oktober 2012

Ausfall eines Gleisstromkreises - Washington, D.C., 2009

Am 22.Juni 2009 fuhr ein Zug der Metrorail in Washington, D.C., in das hintere Ende eines stehenden Zuges. Bei dem Unfall kamen die Lokführerin des auffahrenden Zuges und acht Passagiere ums Leben.

Die Ursache des Unfalls ist ein Versagen eines Tonfrequenz-Gleisstromkreises, das in dieser Form vorher noch nie jemand beobachtet hatte. Der Unfall und viele weitere Informationen über Sicherungsanlagen und Prozesse der WMATA (Washington Metropolitan Area Transit Authority, der Betreiber von Metrorail) sind im offiziellen Bericht des NTSB (National Transportation Safety Board) vom Juli 2010, der über 150 Seiten lang ist, verfügbar. Neben dem eigentlichen Unfallbericht mit Ursachenerforschung enthält der Bericht eine Menge an weiteren Fakten, nicht alle davon beruhigend. Auf einige davon gehe ich am Ende dieses Textes noch kurz ein.

Die Technik von Tonfrequenz-Gleisstromkreisen


Ich beschreibe die technische Seite dieses Unfalls hier mit einigen Diagrammen. Dazu muss man zuerst einmal verstehen, wie ein Tonfrequenz-Gleisstromkreis funktioniert. Hier ist ein erstes Diagramm – eine detaillierte Beschreibung folgt gleich darunter:


Die oberen beiden dicken Striche symbolisieren die zwei Schienen eines Gleises (im nächsten Bild werden wir darüber einen Zug fahren lassen). Der Stromfluss ist durch die dicken orangen Pfeile angedeutet – aber gehen wir die einzelnen Bestandteile der Reihe nach durch:
  • Das Kästchen mit den zwei Wellenlinien ˜ ist ein Oszillator, der eine elektrische Sinusspannung erzeugt. Die Frequenz der Spannung liegt bei der Anlage in Washington zwischen ca. 2 und 4 kHz, würde also in einem Lautsprecher einen hörbaren Ton erzeugen (wir Menschen hören Töne zwischen etwa 20Hz und 10kHz), was die Bezeichnung Tonfrequenz-Gleisstromkreis erklärt. Ich habe die Ausgangsspannung durch eine Wellenlinie (Sinuslinie) unterhalb des Oszillators angedeutet.
  • Über ein zweipoliges Kabel (das deutet der Schrägstrich mit der "2" an) wird die erzeugte Sinusspannung an das nächste Bauteil geleitet.
  • Dieses nächste Bauteil ist ein Verstärker (das Kästchen mit dem >-Zeichen), der die Eingangsspannung verstärkt, um sie in die Schienen zu leiten. Die höhere Sinuslinie deutet diese verstärkte Spannung an.
  • Das "Einkoppeln" der Sinusspannung ins Gleis erfolgt über einen Gleistransformator, den wir rechts oben sehen. Der Transformator dient nur der "galvanischen Entkopplung", d.h. er verhindert, dass der Gleichstrom, der durch die Gleise fließt (der Triebrückstrom von den Motoren der Züge), sich in die Elektronik der Gleisstromkreise verirrt und sie stört oder zerstört.
Die bisher erklärten Teile bilden zusammen die Speiseseite des Gleisstromkreises.
  • Die Sinusspannung wird nun über die Schienen übertragen (sozusagen ein "offenes zweipoliges Kabel"). Das ist natürlich der eigentliche Zweck des Gleisstromkreises. Was passiert, wenn ein Zug auf den Schienen fährt, sehen wir uns gleich an.
Am anderen Ende folgt nun die Empfangsseite des Gleisstromkreises:
  • Die Sinusspannung fließt hier durch einen weiteren Gleistransformator und induziert damit eine Spannung, die zum folgenden Filter (das Kästchen mit dem F) geleitet wird. Diese empfangene Spannung ist durch eine Sinuslinie angedeutet, die ein wenig niedriger als die am speisenden Ende ist – der Längswiderstand der Schienen, aber damit zusammenwirkend auch der "verlorene" Stromfluss in Querrichtung durch die Bettung haben die Spannung etwas reduziert.
  • Diese Wechselspannung wird nun durch einen Filter gejagt – den Zweck dieses Filters erkläre ich weiter unten. In unserem Fall lässt der Filter die Sinuswelle praktisch unverändert durch.
  • Die Wechselspannung wird gleichgerichtet – das deutet das Dioden-Symbol an.
  • Der Gleichstrom schließlich lässt das Gleisrelais (das Kästchen mit dem schrägen Strich) anziehen, was schlussendlich der folgenden Sicherungsanlage meldet: Gleis ist frei!
Was passiert, wenn ein Zug das Gleis befährt? Hier sehen wir, wie eine Achse des Zuges die Schienen kurzschließt:


Durch den Kurzschluss kommt keine Sinuswelle beim linken Gleistransformator an, und daher bleiben auch Filter und damit das Gleisrelais stromlos. Die Kontakte des Relais fallen ab, und die Sicherungsanlage wertet das als "Gleis ist besetzt!" (und schaltet z.B. das Signal am Beginn des Gleises auf Halt).

Diese so genannte Ruhestromschaltung eines solchen Gleisstromkreises hat unter anderem folgende Vorteile:
  • Wenn die Speiseseite ausfällt (wegen Stromausfall, Kabelschaden, ausgefallenen Bauteilen der Elektronik oder was immer), kommt ebenfalls kein Strom am Empfangsende an, das Gleisrelais fällt daher auch ab. Die Anlage wertet alle dieser Fehler also wie ein besetztes Gleis, d.h. als gefährlichen Zustand, und stellt daraufhin entsprechende Signale auf Halt.
  • Auch ein (vollständiger) Schienenbruch oder Schäden an den Zuleitungskabeln (Unterbrechung einer Ader, aber auch Kurzschluss in den Kabeln) führt dazu, dass das Gleisrelais abfällt und damit "Gleis besetzt!" meldet.
Diese Eigenschaften fasst man unter dem Begriff "fail-safe" zusammen: Ein Ausfall ("fail") führt in einen sicheren ("safe") Zustand! – ein für technische Systeme eher untypisches Verhalten, denn meistens ist ein Ausfall ein problematisches Ereignis, das Unsicherheit erzeugt. Aber genau die fail-safe-Eigenschaft von Gleisstromkreisen erlaubt natürlich ihre Anwendung in Sicherungsanlagen.

Wir müssen für das Verständnis des Unfalles allerdings noch etwas tiefer in die Details von Tonfrequenz-Gleisstromkreisen eintauchen. In den zwei vorherigen Bildern haben wir uns nur einen Gleisstromkreis angesehen – tatsächlich ist eine Strecke aber "dicht an dicht" mit Gleisstromkreisen versehen. Die Gesamtschaltung solcher hintereinander liegenden Gleisstromkreise ist hier zu sehen:


B. ist der Gleisstromkreis von vorher, mit Speiseseite rechts und Empfangsseite links. Nun ist aber links ein weiterer Gleisstromkreis A. installiert, von dem wir nur die Speiseseite sehen. Der Einfachheit halber verwendet dieser Gleisstromkreis den Gleistransformator von B. mit: Der Transformator dient also einerseits dazu, die "orange" Wechselspannung vom Gleis abzunehmen; andererseits aber auch dazu, die "blaue" Wechselspannung in das Gleis einzuspeisen. Durch die dicker dargestellten Leitungen fließt daher der Strom sowohl von Kreis A. wie auch von Kreis B.
Auf die gleiche Art ist auch rechts ein weiterer Gleisstromkreis C. installiert. Auch hier wird der Gleistransformator doppelt verwendet: Einerseits zum Einkoppeln der "orangen" Wechselspannung von Kreis B. ins Gleis, aber dann auch zum Auskoppeln der "grünen" Wechselspannung von Kreis C aus dem Gleis. Wieder teilen sich beide Gleisstromkreise den Transformator und die dicker dargestellten Leitungen.

Aber führt diese gemeinsame Verwendung nicht dazu, dass das ganze Konzept nicht funktioniert? Denn nun erzeugt der Verstärker von Kreis A. einen Wechselstrom, die direkt über die dicker dargestellte Leitung zum Filter von Kreis B. fließen kann, dort durchfließt und nach der Gleichrichtung das Relais zum Anzug bringt: Egal, ob auf den Schienen ein Zug steht oder nicht! Das Gleisrelais würde also immer "Gleis frei" melden!

Das darf natürlich nicht sein. Hier kommen nun die Filter ins Spiel, deren Zweck nach dem folgenden Bild erklärt wird:


Die Oszillatoren zweier nebeneinanderliegender Gleisstromkreise erzeugen Wechselspannung verschiedener Frequenz (sie "singen in verschiedenen Tonhöhen"). In dem Bild ist das dadurch angedeutet, dass das orange Sinussignal des rechten Oszillators zwei breitere Wellen hat, während das blaue Sinussignal des linken Oszillators in derselben Zeit drei schmälere Wellen hat, also eine höhere Frequenz. Der Filter des Gleisstromkreises B. ist nun so eingestellt, dass er nur die orange Frequenz durchlässt. Die blaue Wechselspannung steht zwar – was der blau schraffierte Pfeil andeutet – am Eingang des Filters an, aber kann nicht durch ihn durch. Wenn – wie im Bild – sich nun ein Zug im Abschnitt B. befindet, schließt er, wie schon weiter oben erklärt, die orange Spannung kurz, sodass diese Spannung nicht beim Filter ankommt. Weil nun weder die blaue Spannung (wegen der Filterwirkung) noch die orange Spannung (wegen des Kurzschlusses durch die Achse) beim Gleisrelais ankommen, bleibt es abgefallen und meldet damit wie beabsichtigt "Gleis ist besetzt!".

Im Bild ist durch die schrägen "T" angedeutet, dass die Filter einstellbar sind: Sie müssen genau auf die Frequenz ihres Partner-Oszillators eingeregelt werden, damit sie diese am stärksten durchlassen und alle anderen Frequenzen möglichst gut ausfiltern. Darüberhinaus ist auch noch angedeutet, dass auch die Verstärker einstellbar sind – bei ihnen muss die Stärke der Ausgangsspannung geregelt werden können, um abhängig von
  • Länge des Gleisstromkreises
  • Schienenquerschnitt
  • aber auch z.B. je nach Bauart der Gleistransformatoren
eine ausreichende Spannung am Empfangsende zu erzeugen.

Noch einmal zurück zu den Filtern. Sie verhindern nicht nur, dass ein Verstärker das direkt daneben liegende Relais zum Anzug bringt, sondern müssen noch einen anderen Effekt ausschließen, den man hier an den blau schraffierten Pfeilen sieht:


Die Wechselspannung, die über den Gleistransformator eingespeist wird, erzeugt ja nicht nur einen Stromfluss im "passenden" – in meinen Diagrammen links gelegenen – Gleistransformator, sondern auch im auf der anderen Seite gelegenen. In der Zeichnung oben "will" der blaue Strom deshalb auch das Gleisrelais am Empfangsende des (ziemlich weit entfernten!) grünen Gleisstromkreises zum Anzug bringen – egal ob dieser wie im Diagramm besetzt ist, oder nicht! Der grüne Filter schützt in diesem Fall auch davor, dass diese Schwingungen des entfernt liegenden blauen Oszillators das Gleisrelais falscherweise zum Anzug bringen (und nicht nur, wie vorher erklärt, vor dem Anziehen durch den unmittelbar danebenliegenden orangen Oszillator).

Was man daraus lernt, ist, dass man für eine Strecke mit Tonfrequenz-Gleisstromkreisen nicht mit einer und auch nicht mit zwei Frequenzen auskommt: Man braucht so viele Frequenzen, dass zwei Gleisstromkreise mit gleicher Frequenz genügend weit voneinander entfernt sind. "Genügend weit" bedeutet, dass die Spannung des einen Oszillators durch die Widerstände des Schienenrostes (Querwiderstand der Bettung und Längswiderstand der Schienen) so weit reduziert wird, dass allein deshalb das Gleisrelais des anderen Gleisstromkreises mit gleicher Frequenz nicht mehr anzieht. Das in Washington installierte System verwendet deshalb acht verschiedene Frequenzen.

Die bisherigen Diagramme waren allerdings zu schön, um wahr zu sein. Tatsächlich ist die Wechselspannung, die aus dem Verstärker kommt, keine reine Sinusschwingung, sondern mit diversen Störungen behaftet. Es ist ein bekanntes Phänomen, dass Verstärker und Oszillatoren zu "parasitären Schwingungen" neigen. Das bedeutet, dass manche Teile dieser Schaltungen, die eigentlich gar nicht schwingen sollten, plötzlich selbst Schwingungen erzeugen. Diese Schwingungen treten nicht häufig, aber auch nicht gerade selten auf. Typischerweise liegen diese Schwingungen allerdings "kilometerweit" neben den beabsichtigten Schwingungen. Im Falle der Verstärker, die in Washington verwendet werden, waren diese parasitären Schwingungen – wenn sie denn auftraten – im Frequenzbereich von einigen MHz (Mega-Hertz), also tausendmal höher als die Nutzfrequenz. Das folgende Bild zeigt diesen Sachverhalt, indem die Schwingung beim Verstärker rechts etwas "verschmiert" ist, weil sie eben aus der Summe der Oszillatorfrequenz und einer kleinen, hochfrequenten Störfrequenz besteht:


Freundlicherweise lassen sich allerdings schnellere Schwingungen, also höhere Frequenzen schwerer übertragen als niedrigere Frequenzen – deshalb sind Hochfrequenzkabel für Rundfunk und Netzwerke auch viel aufwendiger konstruiert als Niederfrequenzkabel. In der Praxis nehmen daher diese Schwingungen entlang des Gleisstromkreises ziemlich drastisch ab, und am Empfangsende kommt von der Einspeise-Spannung fast nur mehr das Nutzsignal an.

Die Unfallursache


Alles, was ich bisher erklärt habe, ist Standardwissen über Tonfrequenz-Gleisstromkreise. Was nun kommt, ist allerdings neu – es war vor dem Unfall in dieser drastischen Form noch nicht dagewesen.

Im Zuge eines Wartungsprogramms wurden bei Metrorail alte Gleistransformatoren von GRS durch neue von US&S ersetzt. Da die neuen einen anderen Innenwiderstand als die alten hatten, mussten die Verstärker neu eingestellt werden. Der Bericht des NTSB sagt (auf S.33 – in der PDF-Datei ist das die Seite 51, weil nach amerikanischer Gepflogenheit die führenden Verzeichnisse mit römischen Zahlen nummeriert sind), dass die neuen Gleistransformatoren einen kleineren Widerstand hatten – dass aber die Verstärker auf eine höhere Spannung eingestellt werden mussten. Das klingt "falsch herum", aber bei solchen Anlagen in der freien Natur mag das tatsächlich so sein ... Jedenfalls führte diese kleine Änderung der Verstärkereinstellung manchmal dazu, dass dort plötzlich Störschwingungen auftraten.

In der "Safety Recommendation" des NTSB, die nach dieser Erkenntnis am 22. September 2009 (also genau 3 Monate nach dem Unfall – wegen der möglichen großen Gefahr schon lange vor dem Endbericht von 2010!) an alle amerikanischen Nahverkehrsbetriebe und Eisenbahnen mit dem Vermerk "Urgent" hinausging, ist die Quelle dieser Störschwingung auf der zweiten Seite so beschrieben:
Testing found that a spurious high-frequency modulated signal was being created by parasitic oscillation from the power output transistors in the track circuit module transmitter.
Ausgerechnet die Leistungstransistoren im Verstärker erzeugten also solche Störschwingungen! Der Bericht des NTSB, der etwa ein Jahr nach dem Unfall veröffentlicht wurde, beschreibt auf S.33, dass die Art und Größe der Störschwingungen in Abhängigkeit von der Verstärkereinstellung zufällig schwankte:
...when the transmitter power level was increased from 55 percent (the setting at the time of the accident) to 60 percent, the parasitic oscillation did not cause a loss of train detection. When the power level was reduced from 60 percent to 30 percent ..., the oscillation also did not cause a loss of train detection. ... Testing of other modules showed that the oscillation could appear at times after an increase in transmitter power level and at other times after a reduction in the power level.
Bei der Einstellung 55% kam es zu den Störschwingungen, bei 60% nicht, und auch nicht bei 30%. Andere Module zeigten Störschwingungen manchmal nur nach einer Erhöhung, manchmal nur nach einer Verringerung der Verstärkereinstellung. Darüberhinaus war auch im Fehlerfall die Störschwingung nicht andauernd vorhanden:
The oscillation was not continuous and only occurred when a power transistor signal amplitude reached a certain level. The oscillation occurred in pulses that were driven by the audio frequency signal.
Es waren also nur die "Höcker" der Schwingung mit den Störungen verseucht, dazwischen setzte die Störschwingung aus – es entstand eine "gepulste Störschwingung". Im Untersuchungsbericht sind auf Seite 36 Oszilloskop-Aufnahmen solcher gestörten Schwingungen dargestellt. Und diese Art der Störungen hatte nun auf unerwartete Weise folgenschwere Konsequenzen.

Tatsächlich stehen die Anlagen eines Stellwerks üblicherweise in gemeinsamen Stahlgestellen. Außerdem sind die einzelnen Schaltungsteile an eine gemeinsame Stromversorgung angeschlossen. Das folgende Bild symbolisiert durch den grauen Rahmen einen solchen Schaltschrank, und kleine Striche nach unten stehen für die Anschlüsse an die Stromversorgung:


Nun ist klar, dass über diese zusätzlichen Bauteile keine störenden Ströme fließen dürfen. Daher werden – was ich nicht eingezeichnet habe – an diesen Anschlüssen wieder kleine Filter eingebaut, die Störschwingungen in beide Richtungen relativ gut sperren. Damit können sich Gleisstromkreise, deren Schaltungen innerhalb eines Stellwerks aufgebaut sind, nicht über die Stromversorgung gegenseitig beeinflussen (und sich womöglich ihre Relais anziehen!), aber auch Störungen aus dem Stromnetz – die man nicht ausschließen kann – können nicht in die Gleisstromkreis-Schaltungen eindringen. Aber ... der Teufel schläft nicht, oder zumindest nicht immer:


Die oben beschrieben gepulste Störschwingung machte sich auf den Weg ins Gehäuse! In der  erwähnten "Safety Recommendation" ist das so beschrieben:
This spurious signal propagated through the power transistor heat sink, through the metal rack structure, and through a shared power source into the associated module receiver, thus establishing an unintended signal path.
Das Störsignal pflanzte sich von den Leistungstransistoren über deren Glimmer-Isolator (der leitenden Kontakt verhindert – allerdings kann ein so hochfrequentes Signal auch induktiv, also ohne leitende Verbindung übertragen werden) durch den Kühlkörper und durch die Metallgestelle bis hin zu einer gemeinsamen Stromversorgung fort. Von dort übernahm es der Verstärker des danebenliegenden Gleisstromkreises, sodass es dann genügend stark am Filter ankam (S.34 des Berichts):
Once the oscillation was coupled to the module containing the track circuit receiver, the power amplifier for the adjacent[!] track circuit module amplified the pulses.
Der Filter filterte nun das Störsignal im Mega-Hertz-Bereich heraus – aber es blieb eine genügend starke Grundschwingung übrig, und die war von genau passender Frequenz, weil sie ja aus dem Oszillator desselben Gleisstromkreises kam! Daher konnte diese Schwingung den Filter passieren und brachte das Gleisrelais zum Anzug. Und das heißt, dass der Gleisstromkreis "Gleis ist frei!" meldete, obwohl – wie man im folgenden Diagramm sieht – ein Zug den Wechselstrom im Gleis draußen kurzschloss:


Die "schwierigste" Schwingung hier ist jene, die aus dem Verstärker des linken Gleisstromkreises herauskommt. Sie ist eine Summe aus
  • (a) der verstärkten "blauen" Schwingung (mit der Frequenz "3 Wellen pro Zeiteinheit") – das ist die hauptsächliche Schwingung;
  • und der etwas verstärkten Störschwingung, die wiederum aus (b) der MHz-parasitären Schwingung und (c) einer kleinen "orangen" Grundschwingung (mit der Frequenz "2 Wellen pro Zeiteinheit") besteht.
Wenn man genau hinsieht, dann sieht man, dass die Störschwingungs-Bäuche nicht immer an derselben Stelle der blauen "3-Wellen-Schwingung" sind, sondern manchmal "oben", manchmal aber auch an den "Schrägen". Das ist das Zeichen dafür, dass sich hier "3-Wellen-" und "2-Wellen"-Schwingungen überlagern. Der Filter lässt nun zwar weder den 3-Wellen-Anteil (a) noch den MHz-Anteil (b) durch. Es bleibt aber die verstärkte 2-Wellen-Schwingung (c), und die schafft es durch den Filter und zum Relais!

Auf S.36 des Berichts ist diese gefährliche Schwingungsform als "Oscillation type 4" schön dargestellt.

Das problematische Verhalten hatte fünf Tage vor dem Unfall eingesetzt, als der entsprechende Gleistransformator getauscht und daraufhin der Verstärker neu eingestellt worden war. Es war nur mehr eine Frage der Zeit, bis es zu einem Unfall führen musste.

Welche Lehren zieht man daraus?


Das NTSB schließt seinen Bericht auf den Seiten 125 bis 130 mit einer langen Liste von "Recommendations" ab. Ein großer Teil dieser Empfehlungen sind Vorschläge für Verantwortungs- und Prozessänderungen, von übergeordneten Einheiten wie dem U.S.Department of Transportation ("... seek the authority to provide safety oversight of rail fixed guideway transportation systems..."!) und der FTA, auch ganz unabhängig von den Ursachen dieses Unfalls ("Seek authority ... to require that transit agencies obtain toxicological specimens from [fatally injured employees]"), bis hin zu den Organisationen, die im Bereich von Washington für den Nahverkehr zuständig sind. Darüberhinaus finden sich eine ganze Reihe von technischen Empfehlungen, darunter so übergreifende wie "Remove all 1000-series railcars as soon as possible and replace them with cars that have crashworthiness collision protection at least comparable to the 6000-series railcars."

Zum eigentlichen Problembereich, den Gleisstromkreisen, steht allerdings sehr wenig im Bericht – und es ist auch schwierig: Was soll man schon tun? An Alstom (als die Firma, die GRS aufgekauft hatte und jetzt für deren Technik geradesteht) gehen zwei Empfehlungen (die eine ältere aus der Safety Recommendation vom September 2009 ersetzen):
  • "Develop and implement periodic inspection and maintenance guidelines for use by ... rail transit operators and railroads equipped with GRS audio frequency track circuit modules and assist them in identifying and removing from service all modules that exhibit pulse-type parasitic oscillation ... (R-10-23)": Prüfverfahren, die gepulste Störschwingungen aufdecken, sollen entwickelt und eingeführt werden.
  • "Conduct a comprehensive safety analysis of your audio frequency track circuit modules to evaluate all foreseeable failure modes that could cause a loss of train detection ..., including parasitic oscillation, .... (R-10-24)": Eine Sicherheitsanalyse soll alle "vorhersehbaren Fehlerfälle" beurteilen.
Zum zweiten Punkt steht im Bericht auf S.90 der folgende, interessante Satz (meine Hervorhebung):
A key requirement of the fail-safe design approach is that the designer foresee all catastrophic failure modes in the system and develop a plan for mitigating the negative effects that such failure modes can have on system function.
Beim Design von Sicherungsanlagen muss deren Entwickler also alle Fehlerverhalten mit katastrophalen Folgen vorhersehen. So gerne das alle Entwickler tun (denn niemand will eine Sicherungsanlage ausliefern, die Unfälle verursacht), so wolkig ist diese Forderung. Weder GRS noch Alstom noch all die anderen Firmen haben beim Design von Gleisstromkreisen an dieser Stelle bewusst gespart: Aber "Vorhersehen" lässt sich nun einmal nicht verordnen, sondern ergibt sich nur aus einer guten Mischung von Erfahrung der beteiligten Ingenieure und Prozessen, die mögliche Probleme aufdecken helfen ... oder eben, manchmal, auch nicht.

Interessanterweise wurde im Juni 1980, also 29 Jahre vor dem Unfall bei der WMATA eine (qualitative) "Fault Tree Analysis" durchgeführt, um mögliche Problemstellen aufzudecken, die zu Kollisionen führen könnten. Im Zuge dieser Analyse wurden aber technische Störungen des "Train Control System" und insbesondere der Sicherungsanlagen nicht betrachtet. Das NTSB wirft das mehr oder weniger implizit der WMATA oder der ausführenden Firma vor – kann aber auch nicht dazu beitragen, wie solche Störungen einbezogen werden hätten können: Denn die Frage an GRS "Unter welchen Bedingungen werden Ihre Gleisstromkreise besetzte Gleise übersehen?" könnte ja nur mit "Niemals!" beantwortet worden sein; denn hätte GRS von einem Fehlverhalten gewusst, so wären sie verpflichtet und wohl auch ziemlich motiviert gewesen, das vor einem möglichen Unfall auszubügeln.

Andererseits gibt es da eine Statistik in dem Bericht: Im Netz von Metrorail gibt es ungefähr 3000 Gleisstromkreise. Eine Software namens AIM (Advanced Information System) sammelt Daten aus dem Feld und stellt sie für die Betriebsführung auf Bildschirmen dar. Weil diese Software alle Belegungen von Gleisstromkreisen mitkriegt, kann sie darin nach auffälligen Mustern fahnden. Die drei wesentlichen solchen Muster sind die folgenden:
  • "ARB" = "always reporting block" – ein Gleisstromkreis, der immer "belegt" meldet, auch wenn kein Zug in das entsprechende Gleisstück eingefahren ist;
  • "NRB" = "never reporting block" – das Gegenteil, also ein Gleisstromkreis, der nie "belegt" meldet, obwohl offensichtlich ein Zug darüberfährt. Das ergibt sich daraus, dass der Kreis davor belegt war und nun frei wird, aber der folgende Kreis keine Belegung meldet.
  • "Bobbing circuit" = ein Kreis, der ohne Zugverkehr zwischen "unbelegt" und "belegt" pendelt; die dadurch "entstehenden und verschwindenden Züge" werden als "ghost trains" bezeichnet.
Und nun die Statistik: Von der ersten Sorte meldet das AIM ungefähr 5000 Fälle pro Woche, von der zweiten (gefährlicheren) noch immer 3000 je Woche. Und "ghost trains" gibt es mehr als 1000 pro Woche (die übrigens vom AIM automatisch gelöscht werden). Ich weiß nicht, ob das so beruhigend ist: Im Mittel hat jeder der 3000 Gleisstromkreise pro Woche drei Fehlfunktionen! Das ist jedenfalls die erste Statistik, die ich überhaupt über Fehlfunktionen von Tonfrequenz-Kreisen gesehen habe. Relaisanlagen, die typischerweise keine permanenten Aufzeichnungen von Gleisbelegungen vornehmen, liefern ja solche Informationen nicht; und von ESTWs sind mir keine entsprechenden Daten bekannt.

Der Bericht geht noch auf weitere Fehlfunktionen ein und fasst sie an einer Stelle zusammen (S.85):
The WMATA train control system has exhibited failure modes that were not considered in the original design. These failure modes include parasitic oscillation, corrugated rail, and cable faults.
Das NTSB zieht aus diesen Zahlen und Formulierungen keine Folgerungen – und ich kann das natürlich auch nicht. Gerade deswegen bleibt ein ungutes Gefühl, dass so wesentliche Sicherheitselemente wie Gleisstromkreise so weit weg von einer hundertprozentigen Zuverlässigkeit sind.

Kommentare:

  1. Vielen Dank für Deinen Blog!

    Ich denke auch, dass ein einfacher Gleichstromkreis nicht ausreichend ist, um die Sicherheit zu gewährleisten. Es gibt erstens einfach zu viele Fehlermöglichkeiten, z.B. ungewollte Kopplungen zwischen Signalen, und zweitens kann jede x-beliebige Schaltung bei einem Defekt oszillieren und ein fehlerhaftes Signal erzeugen.

    Das Problem ist offensichtlich, dass der Informationsgehalt eines einfachen Wechselstromsignals nicht genug ist.

    Es gibt eine interessante Arbeit von Sandia, die sich genau dieser Fragestellung widmet.
    http://prod.sandia.gov/techlib/access-control.cgi/2002/021306.pdf
    Der Grundgedanke ist, dass man eine gefährliche Handlung auslösen möchte, und zwei Signale zur Verfügung hat, A und B. z.B. +5V und -5V. Welche Sequenz (für eine gegebene Länge) von As und Bs gibt die höchste Sicherheit? Ein einfacher Kurzschluss kann eine Reihe von A's oder B's senden. Ein Wackelkontakt (oder ein oszillierender Verstärker), kann die Folge ABABABAB erzeugen. Das ist genau der Fehler, der in DC aufgetreten ist.

    Der Artikel oben entwickelt einige Sequenzen, die nur eine geringe Eintrittswahrscheinlichkeit haben.
    Ein ganz wichtiges Detail ist, dass jeder Zwischenschaltkreis nie die ganze Folge speichern darf, so dass garantiert ist, dass das Signal wirklich vom Sender kommt. Ein defekter oszillierender Verstärker kann aus 0V DC 5kHz AC erzeugen, aber nicht eine bestimmte definierte Folge der Form ABABBAAAABBBBABABABBABAB...

    Genau dieses Prinzip sollte für die Gleisfreimeldung eingesetzt warden. Ein Signalgenerator erzeugt eine lange Sequenz (z.B. Prüfsumme(Nummer des Gleisabschnittes + Uhrzeit). Alle Zwischenverstärker haben keinen Speicher. Mit etwas mehr Aufwand kann man es kryptografisch so gestalten, dass der Empfänger das Signal auf Korrektheit prüfen kann, aber selbst nicht in der Lage ist, dass Signal selbst zu erzeugen. Damit hat man 100% mathematisch sichergestellt, dass das Signal nur von einer einzigen Quelle stammen kann, nämlich dem Generator, der den betreffenden Schlüssel besitzt. Solche Funktion kann locker in jeder PLC implementiert werden. Ein Nebeneffekt ist, dass Fehler sehr schnell erkannt werden können.

    Deshalb ist es meiner Meinung nach hochgradig fahrlässig, aus der An- oder Abwesenheit von einem einfachen Gleich- oder Wechselstromsignal sicherheitsrelevante Schlüsse zu ziehen, besonders, da es genug bessere Lösungen gibt.

    AntwortenLöschen
    Antworten
    1. Die Kodierung hätte hier nicht geholfen, da die parasitäre, nf-modulierte hf-Schwingung am Gleis vorbei zum Empfänger gelangte.

      Rainald62

      Löschen