Donnerstag, 1. November 2012

Systematischer oder zufälliger Mehrfachfehler? - Zuggefährdung in Burgdorf, 2003

Fehler in Systemen kann man einteilen in
  • systematische Fehler und
  • zufällige Fehler.
Systematische Fehler sind jene nicht erwünschten Verhalten, die immer auftreten, wenn das System in einem bestimmten Zustand ist. Zufällige Fehler sind andererseits jene, die in einem bestimmten Zustand nicht immer, sonder nur manchmal, und zwar nicht vorhersehbar, auftreten.
In anderen Kontexten werden dafür manchmal die nicht identischen, aber eng verwandten Begriffe "persistente Fehler" und "transiente Fehler" verwendet.
Die Zuordnung zu einer der beiden Kategorien hängt allerdings von der Systemdefinition ab – Beispiel: In einem elektromechanischen Stellwerk tritt ein Fehler immer dann auf, wenn ein Signalschalter um 85° bis 86° umgelegt wird; die Signalfreistellung erfolgt in dem Stellwerkstyp zwischen 85° und 90° Umlegung.
  • Wenn als System die Stellwerksanlage alleine gewählt wird, ist der Fehler systematisch: Der Zustand "Signalschalter ist um 85° bis 86° umgelegt" führt eben immer zum Fehler.
  • Wenn allerdings die Kombination aus Bediener und Anlage als System gewählt wird, wird der Fehler zufällig: Der Bediener legt den Hebel manchmal um 90°, manchmal um 88°, manchmal aber auch um 86° um. In allen Fällen zählt der Hebel als umgelegt, und das Signal geht wie gewünscht auf frei, sodass das System von außen betrachtet immer im selben Zustand ist. Der Fehler tritt aber nur manchmal auf (was sich niemand erklären kann ...).
Eine zweite Einteilung von Fehlern ist jene in
  • Einfachfehler (oder Einzelfehler) und
  • Mehrfachfehler.
Wenn sich nur ein Systemelement in einem System falsch verhält, handelt es sich um einen Einfachfehler. Wenn mehrere Systemelemente zugleich versagen, entsteht ein Mehrfachfehler. Auch hier ist die Klassifizierung eines Fehlers nicht vorgegeben, sie ist von der Systemdefinition abhängig, insbesondere von der Auswahl der Systemelemente. Die Auswahl wird i.d.R. möglichst so getroffen, dass man möglichst große Systemelemente wählt (weil dann die Komplexität des Gesamtsystems so klein wie möglich wird), andererseits aber für jedes Systemelement möglichst wenige Ausfallsverhalten vorliegen hat (idealerweise nur eines: "Ausgefallen"). Es ist eine Herausforderung an die technische Realisierung von Systemkomponenten, sie so zu entwerfen, dass sie möglichst wenige verschiedene Ausfallverhalten haben. Ein Beispiel dafür ist etwa die Konstruktion von "Signalrelais", die viel weniger Ausfallarten haben als "Fernmelderelais" (siehe z.B. diese Erklärung in der deutschen Wikipedia).

Üblicherweise werden Einfach- und Mehrfachfehler nur in eng gefassten technischen Systemen definiert und untersucht, etwa innerhalb einer einzelnen Stellwerksanlage. Man kann aber ein System auch weiter fassen, etwa wie oben eine Anlage samt ihrem Bediener.

Der Vorfall, der am 9.9.2003 in Burgdorf in der Schweiz geschah (Bericht der Schweizer Unfalluntersuchtungsstelle), lässt sich als ein Doppelfehler des noch umfassenderen Systems "gesamte Bahnhofssicherung" beschreiben, bestehend aus
  • einem systematischen Fehler der Stellwerksanlage am Wärterstellwerk; und
  • einem systematischen Fehler eines Entgleisungsschuhs.
Das Zusammentreffen der beiden Fehler war allerdings zufällig, sodass wir hier einen zufälligen Doppelfehler aufgrund zweier systematischer Einzelfehler vor uns haben, wenn ich das richtig verstehe. Wäre auch der Doppelfehler systematisch, dann hätte er immer in dieser Fahrplansituation auftreten müssen. Das hätte schon längst zu einem Vorfall führen müssen. Der Zufallsanteil des Doppelfehlers ist dabei die Entscheidung eines Wärters, während der Freistellung einer Fahrstraße eine andere Fahrstraße schon teilweise zu verschließen.

Aber alles schön der Reihe nach. Hier ist eine Überblicksskizze über einen Ausschnitt des Bahnhof – grün ist die eingestellte Fahrt eines Güterzuges markiert, rot die Fahrt der gefährdenden S-Bahn:


Das "Gruppensignal" ist ein Gruppenausfahrsignal für alle Gleise aus der "C-Anlage" und der "E-Anlage". Erstaunlicherweise lagen die Gleise der E-Anlage so, dass von dort wegen eines Schutzdaches (in der Skizze durch das blaue Rechteck angedeutet) und eines Laufkranes gar keine freie Sicht auf dieses zugehörige Ausfahrsignal bestand! Daher gab es in der E-Anlage zusätzliche Fahrtstellungsmelder; jenen am Ausfahrgleis der S-Bahn habe ich in der Skizze durch die Buchstaben "FSM" markiert. Bei einer Fahrt aus den Gleisen der "C-Anlage" sollte dieser Melder natürlich nicht aufleuchten. Bei einer Fahrt aus der "E-Anlage" hingegen leuchtete der Fahrtstellungsmelder des Ausfahrgleises auf.

Der erste Fehler trat nun auf, als der Wärter die Fahrt für den Güterzug freistellte: Obwohl diese Fahrt aus der C-Anlage auf die Strecke führte und dafür auch alle Weichen korrekt gestellt waren, leuchtete der Fahrtstellungsmelder in der E-Anlage auf! Das konnte offenbar passieren, wenn ein anderer Schalter des elektromechanischen Stellwerks um 10° umgelegt wurde, um eine Fahrt aus der E-Anlage schon teilweise mechanisch zu verschließen (der Untersuchungsbericht sagt auf S.5/6: "vor eingestellt", was immer das genau bedeuten mag). Der Lokführer der S-Bahn in der E-Anlage interpretierte diesen leuchtenden Fahrtstellungsmelder nun als Abfahrauftrag und fuhr los.

Wie auch in manchen anderen Ländern (aber nicht in Österreich und Deutschland), sind in der Schweiz Entgleisungseinrichtungen in Zugfahrstraßen zulässig. In diesem Fall war eine Entgleisungsvorrichtung mit Bezeichnung EV50 vorhanden, die auch auf der Schiene auflag und bei dieser Fahrt eigentlich ihrer Aufgabe nachkommen hätte müssen, nämlich die S-Bahn entgleisen zu lassen. Das tat sie aber nicht, und das war der zweite Fehler: Denn aufgrund eines Konstruktionsfehlers fehlte der Vorrichtung eine aufgeschweißte Leiste, die sie auch bei den großen Kräften, die bei einer Entgleisung wirken, sicher auf der Schiene halten sollte. Sie wurde daher von der S-Bahn einfach vom Gleis gedrängt, und diese fuhr auf dem Gleis weiter.

Zwei Umstände bewirkten, dass es dennoch zu keinem Unfall kam: Zum einen erkannte der Lokführer der S-Bahn schon vor der Entgleisungsvorrichtung, dass Weichen falsch standen, und leitete eine Notbremsung ein. Trotzdem überfuhr die S-Bahn noch die Entgleisungsvorrichtung und schnitt dann eine Weiche auf. Die Weiche, an der sich beide Fahrwege trafen, erreichte sie aber nicht mehr. Zum anderen musste der Lokführer des Güterzugs noch eine Störung beheben. Als er damit fertig war, war das Ausfahrsignal wegen der aufgeschnittenen Weiche auf halt zurückgefallen, sodass er nicht ausfuhr.

Alles in allem ging der Vorfall also glimpflich aus. Dem Sicherungsanlagen-Interessierten (z.B. mir) stellt sich aber schon die Frage, wie oft solche zufälligen Doppelfehler aufgrund zweier systematischer Einzelfehler sonst noch auftreten ...

Kommentare:

  1. Die Unfalluntersuchungsstelle hat die Web-Struktur geändert. Bitte Link korrigieren:
    http://www.sust.admin.ch/de/dokumentation_bahnen_schiffe_berichte_ueber_ereignisse_suchen.html
    dann nach Ereignisort "Burgdorf" suchen, oder:
    http://www.sust.admin.ch/pdfs/BS/pdf/12.pdf

    AntwortenLöschen
    Antworten
    1. Danke! - korrigiert.

      ("off topic": Den Kommentar zum Madnerhebel unter Himberg hab ich versehentlich gelöscht - dann aber von Hand wieder ergänzt. Sorry dafür!)

      H.M.

      Löschen
  2. Ich bin mit der Fehlerkategorisierung nicht ganz einverstanden.

    Der 1. Fehler (Aufleuchten des FSM) ist genau so einer wie ganz oben beschrieben: er war systematisch im Stellwerk (wenn Ausfahrt von C-Anlage gestellt und gleichzeitig Schalter für Ausfahrt E-Anlage um (mehr als) 10° gedreht), aber zufällig insofern, dass der Wärter das nicht immer (oder eher selten) so machte (oder weil normalerweise kein Güterzug so kurz vor dem Personenzug hier abfuhr -- es steht im Bericht nicht, ob 6:01 die Planzeit für den Güterzug war). Der im Blog-Text oben erwähnte Zufallsanteil "Entscheidung des Wärters" wirkte also nur auf den 1. Fehler, nicht auf den Doppelfehler.

    Der 2. Fehler war die schlechte EV (Sperrschuh).

    Was ist der Doppelfehler? Dass genau dort, wo der FSM falsch anzeigen konnte, auch noch die EV schlecht war? Dieser Doppelfehler entstand wahrscheinlich zufällig (der EV-Konstrukteur und -Lieferant hatte gewiss nicht viel mit dem Detail-Planer der FSM-Schaltung zu tun, auch wenn es die gleiche Firma gewesen sein könnte), aber er bestand bis zu jenem Tag immer. Hier passt vermutlich der Begriff "persistent" doch besser...

    AntwortenLöschen
    Antworten
    1. Ah - da sind wir gar nicht weit auseinander. Ich würde auch diese Sätze unterschreiben (weil es ja nicht um eine "korrekte" oder "falsche" Einteilung geht, sondern um eine "sinnvolle").

      Üblicherweise wird meine Einteilung viel mehr angezweifelt, weil meine "Systemgrenze" (der ganze Bahnhof als zu betrachtendes System) sehr unüblich ist - i.d.R. zählt die einzelne Sicherungsanlage als System, innerhalb dessen man sich Gedanken über abhängige und unabhängige Doppelfehler macht (und üblicherweise unabhängige "erlaubt", weil man annimmt, dass sie praktisch nie auftreten).

      H.M.

      Löschen
    2. Danke für die Antwort. Völlig einverstanden: solche Systemabgrenzungen sind schwierig (kenne ich auch aus andern Bereichen) und es gibt immer wieder verschiedene Sichtweisen, die dann von "eingefuchsten" Leuten manchmal als komplett falsch bezeichnet werden -- oder zumindest als unüblich.

      Löschen
  3. Anmerkungen zur Stellwerktechnik:

    Ich bin kein Profi (wie der Blogger auch nicht), aber es liegt mir u.a. ein altes Lehrbuch über die SBB-Sicherungstechnik vor (SBB, R. Hämmerli, "Die Grundsätze der Sicherungsanlagen").
    Es handelte sich in Burgdorf um ein sog. "Schalterwerk" der Firma INTEGRA. Dieses hat keine mechanischen Verschlüsse, sondern Drehschalter, die mit elektromagnetischen Sperren (ähnlich den Tastensperren bei den alten Blocktasten) versehen sind. Gewisse Abhängigkeiten werden sogar schon von Relais gemacht.
    Grob gesagt: ein Fahrstrassenschalter lässt sich maximal 16° weit drehen, wenn die Sperre keinen Strom hat. Strom kriegt die Sperre, wenn alle Bedingungen für die Fahrstrasse erfüllt sind, u. a. dass alle feindlichen Schalter weniger als 10° von der Grundstellung abweichen. Wenn ich es recht verstehe, muss der Schalter mind. 12° gedreht sein, um den ersten Schliesser-Kontakt (dient u.a. der "Gleisauswahl") zu betätigen. Wie gross da die Toleranzen sind, weiss ich nicht... wichtig ist die eindeutige Reihenfolge der Kontakte und Sperren am einzelnen Schalter.
    Den Sinn, eine Fahrstrasse voreinzustellen (das muss man ja wohl grammatisch gesehen in einem Wort schreiben -- im Lehrbuch ist von "Vorwahldrehung" die Rede), also Drehung um 10° bis 16°, sehe ich hier nicht sofort. So wie ich es verstehe, sind dann alle betroffenen Weichen schon nicht mehr stellbar, auch nicht auf die "richtige" Seite. Beim Unfall waren aber mind. 2 Weichen und die EV (auch eine Art Weiche) noch nicht für die Ausfahrt von der E-Anlage gestellt. Der Wärter hätte den Schalter also nochmals zurückdrehen müssen.
    Zwei mögliche Erklärungen:
    - Burgdorf hatte nicht die üblichen Weichenschalter, sondern schon etwas modernere. Vielleicht erlaubten diese das Stellen "auf die richtige Seite" auch bei vorgewählter Fahrstrasse.
    - Vielleicht bestand diese Fahrstrasse aus zwei separaten Teilen, einen innerhalb der E-Anlage und einen ab der EV50 (Ausfahrbereich der Hauptstrecke). Innerhalb der E-Anlage waren alle Weichen schon in richtiger Lage, so störte die Vorwahl hier nicht. Dieser erste Teilfahrstrassenschalter befand sich möglicherweise gar nicht im selben Stellwerk wie der zweite: es ist im Bericht von einem "Handweichenstellwerk" genannt "Salzhaus" die Rede. Vielleicht wurden von hier aus die Handweichen bzw. deren Riegel durch den ersten Fahrstrassenschalter verschlossen.

    Zu den FSM: diese wurden von den SBB erst in den 1990er-Jahren erfunden. (Vorher gab es in Burgdorf vielleicht einen Wiederholer in Form eines Vorsignals, vielleicht auch nichts.)
    Meine Spekulation: Vermutlich hat man die FSM bei den Schalterwerken an ein Relais der Gleisauswahlschaltung (aktiviert bei 12° Schalterdrehung -- ich nehme an, mit den im Bericht erwähnten 10° ist eher "10° bis 16°" gemeint) angehängt, mit der weiteren Bedingung, dass das zugehörige (Gruppen-)Ausfahrsignal Fahrt zeigt.
    Falls die oben geäusserte Vermutung einer zweiteiligen Fahrstrasse mit einem einzigen Signal zutrifft, so könnte Burgdorf der einzige Bahnhof mit dieser Konstellation und Schalterstellwerk gewesen sein, der jemals mit FSM zu Gruppensignalen ausgerüstet wurde. Grossanlagen mit Schalterwerken waren ums Jahr 2000 herum schon recht selten, und viele Grossanlagen hatten keine Gruppensignale mehr. Hätten die E- und C-Anlage je ein eigenes Gruppensignal gehabt, wäre vielleicht nichts schief gelaufen...
    Aber so scheint da eine Lücke in der FSM-Logik gewesen zu sein, die vorher niemand bemerkte!

    AntwortenLöschen
    Antworten
    1. Danke für präzise Erläuterungen - ich muss sie mir noch einmal im Detail durchlesen.
      Zur Voreinstellung trotz falscher Weichenlage - ich hätte eher die zweite Möglichkeit angenommen, dass dort nur Teil der Fahrstraße verschlossen wurde. Aber außer "Bauchgefühl" habe ich kein wirkliches Argument dafür.

      H.M.

      Löschen
  4. Sorry dass ich nach so langer Zeit hier auch noch meinen 'Senf' dazugeben' aber die Kommentare habe ich bisher nicht gesehen.
    Die Fahrstrasse bestand aus 2 Teilen (Wärterstellwerk und E-Anlage).
    Auf Bildern vom Wärterstellwerk Burgdorf (welches heute leider nicht mehr existiert) kann ich feststellen, dass sowohl die EV50 wie auch die Weiche 50 nicht von der E-Anlage sondern vom Wärterstellwerk aus gestellt wurden. Somit ist davon auszugehen, dass alle Weichen in der E-Anlage bereits richtig standen. Daher machte auch das Voreinstellen auf 10° und aktivieren der Gleiswahl bereits Sinn.
    Ein Weiterdrehen des FSS (Fahrstrassensignalschalters) konnte hier erst geschehen, wenn die Fahrstrasse durch das Wärterstellwerk eingestellt war.
    Ich kann mir zwei Möglichkeiten für den Fehler vorstellen (Alles Vermutungen!):
    1. Möglichkeit Beim Schalterwerk wurden die FSM (Fahrstellungsmelder) mit den folgenden Bedingungen angeschaltet (Prinzipschaltungen):
    - Signal Zeigt Fahrt (Rückmelderelais der Fahrtlampe)
    - Fahrstrasse (Gleiswahlrelais).
    Die Spekulation von Thomas B. dürfte daher zutreffen.
    Bei einem gewöhnlichen Stellwerk ist das Sicher, das Gleiswahlrelais wird bei 10° Drehung angeschaltet (nach erfolgter Taste Gleiswahl), das Signalrückmelderelais erst nach Erreichen der 90° Stellung (80° Kontakt schaltet Signal auf Fahrt).
    Sollte hier also die Kombination Fahrtstellung Signal (im Wärterstellwerk) und Gleiswahl in der E-Anlage geschaltet worden sein, wäre dieser Fehler möglich, da die E-Anlage unabhängig die Gleiswahl der feindlichen Fahrstrasse schon ausführen konnte.
    Da der FSS der E-Anlage anscheinend nur Teilfahrstrasse war und kein Signal schaltete, müsste also noch ein 80° Kontakt des FSS in der E-Anlage in den Stromkreis des FSM eingebaut werden.
    2. Möglichkeit: Es wurde am FSS der E-Anlage ein 10° anstelle eines 80° Kontaktes eingebaut (eher unwahrscheinlich).

    AntwortenLöschen
    Antworten
    1. Oh - danke, aber jetzt müsst ich mich durch Eure Anmerkungen extrem durchgraben ... ich lasse es einmal s stehen, später vielleicht!

      H.M.

      Löschen