Donnerstag, 23. August 2012

Payerbach-Reichenau, 1985

Anfang Juli 1985 war ich in Payerbach – ich denke, ich bin damals selber als "Hobby-Lokführer" bei Nieselregen mit der "Floriana" der ÖGLB nach Hirschwang und retour gefahren, aber davon gibt es keine Aufnahmen. Nebenher habe ich auch etwas fahrendes Material und das DrS-Stellpult fotografiert.

Zuerst ist mir eine damals nagelneue 1064 vor die Linse gefahren – wieso sie von einer 1042 in Payerbach auf einen Nebengleis geschleppt wurde, weiß ich leider nicht mehr:

1042.673 + 1064.04, Payerbach-Reichenau, 7.7.1985

1064.04, Payerbach-Reichenau, 7.7.1985

Im Schmalspurteil waren einige Loks der ÖGLB unterwegs:

2190.01 der ÖGLB, Payerbach-Reichenau, 7.7.1985

Die 298.51 war allerdings meines Wissens von der ÖGEG angemietet – aber vielleicht irre ich mich da auch, die Besitzverhältnisse österreichischer Dampfloks haben mich nie groß interessiert:

298.51, Payerbach-Reichenau, 7.7.1985

298.51, Payerbach-Reichenau, 7.7.1985

Floriana und 2190.01 der ÖGLB, Payerbach-Reichenau, 7.7.1985

Nur eine Aufnahme habe ich vom DrS-Stellpult gemacht. Erstaunlich ist die relativ große Anzahl von Nebengleisen, von denen die meisten stumpf enden. Interessanterweise wurden Durchfahrten Richtung Semmering nicht (mehr?) über das Gleis 1 geführt, sondern über das Mittelgleis M2 – hier sieht man gerade eine solche Fahrt:

DrS-Stellpult, Fdl., Payerbach-Reichenau, 7.7.1985

Für das Zentralstellwerk am Semmering war eine Zugnummerneinwahl vorhanden. Die sechststellige Zahl wurde über die Zehnertastatur in das Nummernfeld rechts unten eingewählt. Danach konnte sie durch gemeinsame Betätigung von zwei der grauen Tasten in ein Gleis übernommen werden. Die weiß beschriftete Taste ganz unten ist die NrLT = Nummernlöschtaste, mit der – wieder durch gemeinsame Betätigung mit einer grauen Taste – eine Nummer aus einem Feld gelöscht werden konnte:

Zugnummerneinwahl für ZStw. Semmering, Fdl., Payerbach-Reichenau, 7.7.1985

Hier sieht man das Bahnhofsgebäude mit dem großen Vordach. Im Vordergrund läuft das Gleis M2:

Bahnhof, Payerbach-Reichenau, 7.7.1985

Dieser Zug war keine Durchfahrt, sondern hat am Hausbahnsteig gehalten. Daher fährt er von Gleis 1 Richtung Semmering aus. Interessant ist der Signalnachahmer auf dem Verschubsignal – bedeutet er, dass vorgesehen war, dass von diesem Stumpfgleis direkt über Signal H1 ausgefahren werden sollte? Entsprechende Weichenverbindungen waren, wie man am DrS-Pult sehen kann, tatsächlich vorhanden:

1042.578 mit 2903, Payerbach-Reichenau, 7.7.1985

Neben dem Bahnhof stand eine der Maschinen, die Jahrzehnte früher den Löwenanteil des Nachschiebedienstes versehen hatten:

95.112 Denkmal, Payerbach-Reichenau, 7.7.1985

In diesen moderneren Zeiten wurde stattdessen Vorspann verwendet, dafür waren einige 1042er für Fahrten zwischen Gloggnitz und Mürzzuschlag, manchmal auch nur bis zum Semmering vorgesehen:

1042.586+596 mit 67405, Payerbach-Reichenau, 7.7.1985

Hier habe ich in großartiger Manier exakt den Masten vor die Lok gestellt ...

Floriana, Payerbach-Reichenau, 7.7.1985

... dafür hier beim R1 auf der außergewöhnlichen Signalbrücke die grüne Lampe abgeschnitten. In den Verschubsignalen sind noch die Optiken für die Haltstellung eingebaut – bei fast allen Verschubsignalen auf gemeinsamem Mast mit Hauptsignalen waren sie zu diesem Zeitpunkt schon ausgebaut und durch eine schwarze Abdeckblende ersetzt:

Ausfahrsignale R1 und RM2 auf Signalbrücke, R2, Floriana, Payerbach-Reichenau, 7.7.1985

Diese Durchfahrt zum Semmering führt, wie schon erwähnt, über das Gleis M2:

4010.14+26 als Ex133, Signalbrücke, Payerbach-Reichenau, 7.7.1985

In der Gegenrichtung rollt ein Güterzug über das Gleis 1 vom Semmering herunter:

1044.40 mit 44026, Signalbrücke, Payerbach-Reichenau, 7.7.1985

Änderung 25.5.2015: Ich bin mir ziemlich sicher, dass das folgende Bild aus Pottschach stammt und nicht, wie hier vorher stand, aus Schlöglmühl. Wenn jemand das bestätigen könnte oder auch nicht, wäre ich dankbar.

Ein kurzer Abstecher nach Pottschach hat dieses Bild ergeben – ist das nun ein vierfeldriger oder ein sechsfeldriger Streckenblock? Die Blocktaste über den zwei Feldern Richtung Wr.Neustadt schaut nicht wie ein Ersatz aus, also gab es in dieser Richtung wohl nie ein Endfeld. Irgendwann wurde an diesem "fünffeldrigen Streckenblock" allerdings ein Spiegelfeld zur Vorblock-Anzeige angebracht:

Blockposten Pottschach, 7.7.1985

In Gloggnitz schließlich kommt ein Güterzug mit Vorspann vom Semmering an. Die Vorspannlok hat allerdings den falschen Stromabnehmer angelegt, was der Frontscheibe der dahinterfahrenden Zuglok nicht unbedingt guttut:

1042.584+590 vor 99395, Gloggnitz, 7.7.1985

Dienstag, 21. August 2012

42733 in Wien Erdbergerlände, 1985

Diese Bilder stammen vom 42733 auf der Erdbergerlände. Hier sieht man das eindrucksvolle Stellwerksgebäude in der "Industrielandschaft" des dritten Bezirks:

Wien-Erdbergerlände, 9.3.1985

Die folgende Aufnahme des ganzen Apparats ist leider viel zu dunkel geraten:

Fdl, Wien-Erdbergerlände, 9.3.1985

Auf der Nordseite mündet in die Bahnhof einerseits die zweigleisige Strecke von Stadlau, auf der Gleiswechselbetrieb bestand. Andererseits mündet hier auch die eingleisige Schleife von der Donauuferbahn. Auf der anderen Seite verlassen den Bahnhof zwei zweigleisige Strecken zum Zentralverschiebebahnhof und zum Südbahnhof, die sich bis zur Abzweigung Hasenleiten das mittlere Gleis teilen. Vor langer Zeit gab es eine weitere eingleisige Strecke zum St.Marxer Bahnhof, die aber nun nur mehr durch Verschubfahrten bedient wurde. Auf den folgenden beiden Bildern sieht man eine Durchfahrt von Stadlau Richtung Südbahnhof (oder Zentralverschiebe):

Fdl, Wien-Erdbergerlände, 9.3.1985

Fdl, Wien-Erdbergerlände, 9.3.1985

Hier folgen ein paar eher künstlerische – also nicht so informative – Aufnahmen von diversen Schaltern:

Fdl, Wien-Erdbergerlände, 9.3.1985

Fdl, Wien-Erdbergerlände, Frühling 1985

Fdl, Wien-Erdbergerlände, 9.3.1985

Und zuletzt nocheinmal das Stellwerksgebäude, diesmal mit einem Zug der S80:

4030.234 als 7547, Stellwerk, Wien-Erdbergerlände, 9.3.1985

Montag, 20. August 2012

Ulmerfeld-Hausmening, 1985

Nach Amstetten und St.Johann-Weistrach habe ich noch einen kurzen Abstecher nach Ulmerfeld-Hausmening gemacht, mit einer mageren Ausbeute an Fotos. Auf dem folgenden Bild aus der Fahrdienstleitung scheinen am Block Richtung Selzthal sowohl eine rote wie auch eine weiße Lampe der Gegenrichtung zu leuchten – ich kann mir ein Voranmelden des Richtungswechsels (was ein blinkendes weißes Licht erklären würde) bei dieser alten Anlage aber kaum vorstellen:

Befehlswerk, Fdl, Ulmerfeld-Hausmening, 16.1.1985

Weit im Hintergrund sieht man auf dem folgenden Bild das Stellwerk 1:

1042.33 mit 80039, Ulmerfeld-Hausmening, 16.1.1985

Am folgenden Bild sieht man oben den belegten Block Richtung Amstetten:

Blockapparat, Stw.1, Ulmerfeld-Hausmening, 16.1.1985

Bei der Rückfahrt nach Wien sind noch zwei Fotos in St.Pölten entstanden:

2143.41, St.Pölten Hbf, 16.1.1985

1099.02, St.Pölten Hbf, 16.1.1985

Wie sicher wird ein Formsignal wirklich auf Halt gestellt?

In einem vorherigen Posting habe ich mit einigen angenommenen, aber hoffentlich halbwegs realistischen Zahlen die Größenordnung der Wahrscheinlichkeit berechnet, dass ein Zug auf ein fälschlicherweise auf Frei stehendes Form-Hauptsignal trifft, wenn die Technik und der Prozess (die "Vorschriften") für das Halt-Stellen naiv aufgebaut sind. Das Ergebnis war, dass diese Wahrscheinlichkeit hunderttausend mal so hoch ist, wie in modernen Vorgaben – wie etwa der Luftsicherheitsrichtlinie JAR 25.1309 – erlaubt ist. Tatsächlich ist aber weder die Technik noch der Prozess so simpel aufgebaut, sonst würde die Eisenbahn nicht als sehr sicheres Verkehrsmittel gelten. In dem folgenden Text versuche ich eine Abschätzung der Wahrscheinlichkeit für eine realistischere Realisierung des Halt-Stellens eines Formsignals.

Auch hier brauche ich wieder ein konkretes System, für das ich die Fehlerwahrscheinlichkeit berechnen kann. Ein "allgemeines Form-Hauptsignal" gibt es aber nun nicht mehr, sondern man muss sich konkret die möglichen Betriebsbedingungen solcher Signale ansehen, weil davon sowohl Prozess wie auch Technik abhängen. Als erste Einschränkung wähle ich den Betrieb des Signals unter "österreichischen Bedingungen", wo in einem Bahnhof jeweils ein Befehlswerk und ein Stellwerk zusammenwirken, die von verschiedenen Personen bedient werden. Die kritische menschliche Versagenswahrscheinlichkeit von p = 10–3 sollte dadurch, wenn Prozess und Technik korrekt ausgelegt sind, durch p · p, also 10–6 ersetzt werden, was die Anlage den geforderten Werten schon signifikant näher bringen sollte. Allerdings bleiben nun Form-Hauptsignale an Betriebsstellen mit nur einem "Signal-Verantwortlichen" unberücksichtigt, also insbesondere Blockstellen. Ich belasse es einmal dabei – vielleicht finde ich oder jemand anderer einmal Zeit, eine analoge Analyse für das Zurückstellen eines Form-Blocksignals durchzuführen ...

Ich bleibe andererseits momentan noch einmal dabei, Ein- und Ausfahrsignale gemeinsam zu behandeln, obwohl sich Technik und Prozess für beide Einsatzorte natürlich unterscheiden. Wieder gilt "Schauen wir, was herauskommt!"

In meiner vorigen Analyse war neben dem Bediener das andere kritische Systemelement die Doppeldrahtzugleitung. Da die Ingenieure nicht sicherstellen konnten, dass sie mit höchster Zuverlässigkeit arbeiten würde, haben sie zwei neue Elemente eingeführt:
  • Die einfache Drahtzugleitung; und
  • den zurückfallenden Signalantrieb.
Beide Elemente werden in der üblichen Signalliteratur nicht so genannt, weil sie nicht als eigene Elemente verstanden werden, sondern als Fehlerbetriebsarten der Doppeldrahtzugleitung beziehungsweise des normalen Signalantriebs. In einer Zuverlässigkeitsanalyse ist es aber sinnvoll, sie als eigene Systemelemente einzuführen. Mit diesen neuen Elementen kann ich nun ein Zuverlässigkeitsblockdiagramm des Haltstellens mit der verbesserten Technik erstellen:

Photobucket


Gegenüber meinem ersten Diagramm eines reinen Serien-Systems finden sich hier nun zwei neue Konzepte:
  • Die beiden Bediener arbeiten mit gegenseitiger "heißer Redundanz", d.h. als gegenseitige "heiße Reserve" (oder englisch "hot stand-by").
  • Das Teilsystem mit der einfachen Drahtzugleitung und dem zurückfallenden Signalantrieb arbeitet in "kalter Redundanz" oder als "kalte Reserve" ("cold stand-by") zum oberen Systemteil.

"Heiße Reserve" oder "hot stand-by" bedeutet, dass zwei Systeme der höheren Verfügbarkeit wegen parallel betrieben werden. Die Erwartung ist, dass nicht beide Systeme zugleich ausfallen, sondern immer nur eines. Das Gesamtsystem funktioniert dann problemlos weiter, es besteht aber die Möglichkeit, das ausgefallene System währenddessen wieder zu reparieren und damit ohne Systemausfall davonzukommen. Diese Redundanz wirkt sich je nach Fehlerverhalten verschieden aus:
  • In den Lehrbüchern der Zuverlässigkeitstheorie wird gerne ein Parallel-System mit zwei gleichartigen Komponenten mit Ausfall-Verhalten berechnet. Wenn man für jede der Komponenten eine konstante Ausfallrate λ und entsprechend eine MTTF von 1/λ annimmt, dann hat das Gesamtsystem eine MTTF von 1,5/λ, also gerade um 50% mehr als die einzelne Komponente. In der Realität wird man solche Systeme allerdings eher nicht bauen: Man ergänzt sie lieber um eine Anzeige, dass eine der beiden Komponenten ausgefallen ist; und repariert diese Komponente so schnell wie möglich, ohne die zusätzliche statistische Lebensdauer auszunützen. Reale Anwendungen sind z.B. gedoppelte Netzteile, gedoppelte Hard-Disks, ganze gedoppelte Rechner oder gedoppelte Antriebe oder Antriebskomponenten.
  • Praktisch relevant ist die heiße Redundanz bei Systemen mit Versagens-Verhalten, wie z.B. in meinem Beispiel die zwei Bediener. Hier sinkt die Wahrscheinlichkeit für einen Fehler von p auf pn, was bei kleinem p schon für n = 2 eine Verbesserung der Zuverlässigkeit um Größenordnungen bewirkt.

Man muss nun allerdings für dieses konkrete System genau überprüfen, ob wirklich beide Bediener am Haltstellen des Signals teilnehmen. Direkt nach der vorausgegangenen Zugfahrt ist das ja nicht der Fall: Bei einem Signal ohne Flügelkupplung (wie das in Österreich größtenteils üblich war) wird ein vergessenes Zurückstellen zuerst einmal niemandem auffallen. Allerdings ist in der Verkehrsvorschrift festgelegt, dass für jede Zugfahrt ein eigener Befehl abzugeben ist; und dafür muss der Stellwerker zuerst den Befehl an die Fahrdienstleitung zurückgeben, was nur bei haltzeigendem Signal möglich ist. Das Abgeben eines Befehls war und ist bei Fahrdienstleitern eindeutig "fertigkeitsbasiert" – der Befehl wird "ohne zu Denken gegeben". Damit wirkt der Fahrdienstleiter spätestens bei der nächsten Zugfahrt – also der potentiell gefährdeten! – an der Prüfung der Haltstellung mit, und die Aufnahme in das Diagramm als "heiße Reserve" ist damit gerechtfertigt.

"Kalte Reserve" ist hingegen die Idee, einen weiteren Systemteil "ausgeschaltet" danebenzustellen; und erst im Falle eines Ausfalls des ersten Systemteils den zweiten in Betrieb zu nehmen. In Zuverlässigkeitsblockdiagrammen zeichnet man das häufig, wie auch oben geschehen, mit einem Umschalter-Symbol ein. Im Zusammenhang mit diesem Umschalter gibt es nun zwei verschiedene Möglichkeiten:
  • Im selteneren Fall, der aber einfacher zu berechnen ist, ist der Umschalter selbst "perfekt". In diesem Fall kann man die Lebensdauern der beiden Systemteile einfach addieren – aber wieder wird man sich in der harten Realität nach dem Umschalten darum kümmern, dass man den ersten Systemteil so schnell wie möglich wieder ans Laufen bekommt, und die Lebensdauer des zweiten Systems nicht ausnützen.
  • Der praktisch relevantere Fall ist jener, wo auch der Umschalter Ausfallserscheinungen haben kann. Leider ist ausgerechnet der Umschalter oft sogar die Achillesferse des ganzen Konzepts, wie man zum Beispiel aus den Fehlschlägen bei Anläufen von Dieselaggregaten für Notstromversorgung weiß.
In dem Diagramm für das verbesserte Zurückstellen eines Form-Hauptsignals sieht man ein Beispiel für den zweiten Fall, wo die Umschaltung nicht perfekt vor sich geht: Wenn die Doppeldrahtzugleitung reißt, dann wird sie "von selbst" zu einer Einfachdrahtzugleitung, und der untere Systemteil in Betrieb genommen. Wenn sie allerdings nicht reißt, aber andere Elemente des oberen Stranges ausfallen, dann bleibt die kalte Reserve ungenutzt.

Allerdings ist auch dieses Modell nicht vollständig: Tatsächlich erfolgen am Antrieb verschiedene Vorgänge, je nachdem, welcher Draht reißt, die man eventuell verschieden bewerten müsste; und man müsste auch den Fall des beidseitigen Reißens getrennt modellieren, wie das in genauen Funktionsbeschreibungen erfolgt. Ich bleibe für meine Studie einmal bei dem vereinfachten Modell – es wird sich herausstellen, dass sogar bei ziemlich schlechten Ausfallraten dieser zweite Strang die Sicherheit enorm erhöht. Daher ist eine genaue Analyse dieses Strangs ziemlich unnötig.

Haltstellen eines Formsignals – Ausfallratenanalyse


Was bringt die parallele kalte Reserve? Um das zu beurteilen, braucht man weitere Ausfallsraten, und zwar für die Reserve-Systemelemente und für den Umschaltevorgang auf diese. Für den Riss der Doppeldrahtzugleitung setze ich deren Ausfallrate aus dem letzten Posting an; für alle anderen Fehler der Doppeldrahtzugleitung (z.B. Festklemmen des Drahtes an Umlenkrollen) nehme ich nun die niedrigere Rate von 10–10 an.

Für die Reserve-Elemente setze ich übungshalber dieselben Raten wie für die funktionierenden Systemteile an, obwohl das extrem konservativ ist: Denn diese Systemelemente sind ja nur auf das simple Zurückfallen ausgelegt, nicht auch auf das korrekte Freistellen, und haben daher eine einfachere mechanische Wirkungsweise. Ich nehme trotzdem für
  • die Ausfallrate der einfachen Drahtzugleitung den gleichen Wert wie für das Reißen der Doppeldrahtzugleitung an, also ?Einfachdrahtzug = 10–8/B;
  • den Ausfall der Rückfallmechanik des Signals denselben Wert wie für das gesamte Formsignal an, also ?Rückfallmechanik = 10–10/B.
Für die übrigen Systemelemente nehme ich dieselben Zahlen wie im letzten Posting:

Photobucket

Mit diesen Werten erhält man nun für den oberen Strang im Diagramm folgende Wahrscheinlichkeiten für ein Versagen bei einer Bedienung nach einem Jahr:
  • Für die beiden Bediener ist die Versagenswahrscheinlichkeit p = (10–3)2 = 10–6.
  • Für den Hebel bleibt es nach einem Jahr bei p ˜ 10–6.
  • Für die "sonstigen Probleme" der Drahtzugleitung ist der Wert wie für den Hebel p ˜ 10–6.
  • Für das Signal bleibt die Ausfallswahrscheinlichkeit nach einem Jahr wie vorher bei p ˜ 10–6.
Wegen ihrer Kleinheit können diese Wahrscheinlichkeiten wiederum einfach addiert werden. Man erhält als Ausfall-Wahrscheinlichkeit für diesen Strang nun 4 · 10–6 bei einer einzelnen Bedienung am Ende des betrachteten Jahres. Immerhin ist nun "der Mensch als Hauptfehlerursache" entfernt, und insgesamt ist eine Verbesserung gegenüber dem vorherigen Wert von 10–3 um den Faktor 250 erreicht worden!

Darüberhinaus hat dieses verbesserte System noch eine weitere wichtige Eigenschaft: Der Ausfall in der Hauptstrecke wird fast sicher bemerkt, weil der Signalhebel bei gerissenem Drahtzug viel leichtgängiger ist. Daher kann man für die zweite Strecke statt der Ausfallswahrscheinlichkeit nach einem Jahr jene nach einer einzigen Betätigung ansetzen! Das "Backup-System" muss eben nicht ein ganzes Jahr aushalten, sondern nur bis zum Erkennen des Problems. Danach wird aufgrund ergänzender Vorschriften das Signal als "in Freistellung untauglich" festgestellt und der Zugbetrieb mit entsprechenden schriftlichen Befehlen durchgeführt. Wegen dieser geringen Anforderung an die "Laufzeit" der Reserve erhält man als zugehörige Ausfallswahrscheinlichkeiten bei einer Bedienung
  • für die einfache Drahtzugleitung 1 – e–10–8 · 1 ˜ 10–8
  • für die Rückfallmechanik 1 – e–10–10 · 1 ˜ 10–10
Als Summe ergibt sich eine Ausfallswahrscheinlichkeit für den Reserve-Systemteil von 1,01 · 10–8 ˜ 1 · 10–8.

Die wesentlichste Eigenschaft des verbesserten Systems ist aber, dass die Wahrscheinlichkeit für einen Riss der Doppeldrahtzugleitung in die Rechnung überhaupt nicht mehr eingeht! Denn es ist für das Haltstellen des Signals nun egal, ob die Leitung gerissen ist oder nicht – entweder funktioniert der obere Systemteil oder der untere. Das gilt allerdings nur für die Zuverlässigkeit des Haltstellens; für das Freistellen ist natürlich eine funktionierende Doppeldrahtzugleitung Voraussetzung, und aus Sicht des Eisenbahnunternehmens, das ja Züge fahren will, ist auch diese Funktion wesentlich. Sie habe ich hier aber nicht betrachtet.

Mit der Annahme aus dem letzten Posting, dass innerhalb einer Reisestunde etwa 10 Signale passiert werden, ergibt sich damit aus Sicht der Reisenden Folgendes: Die Wahrscheinlichkeit, in einer Fahrtstunde ein fälschlicherweise frei zeigendes Form-Hauptsignal anzutreffen, ist
  • bei nicht gerissenem Doppeldrahtzug etwa 10 · 4 · 10–6 = 4 · 10–5/h.
  • bei gerissenem Doppeldrahtzug etwa 10 · 10–8 = 10–7/h

Haltstellen eines Formsignals – mögliche Schlussfolgerungen?


Die zweite Zahl ist, wie man beim Vergleich mit den Zahlen im "Joint Aviation Standard JAR 25.1309" am Anfang des vorigen Postings sieht, auch nach modernen Standards akzeptabel. Die erste Zahl ist allerdings noch immer zu hoch.

Allerdings würde eine verringerte technische Ausfallrate im ersten Strang nicht allzu viel helfen: Denn die Fehlerrate der zwei Bediener würde die Versagenswahrscheinlichkeit je Fahrtstunde weiterhin in der Größenordnung von 10–5 halten. Ohne die Entwicklung des Haltstellens von Signalen genau nachzuzeichnen, scheint mir das Ergebnis zumindest symptomatisch für die Geschichte der Eisenbahnsicherungsanlagen: Die menschliche Zuverlässigkeit wurde lange zu hoch eingeschätzt; oder, umgekehrt, es erfolgte ein "Abschieben der Schuld" an die Bediener in den Fällen, wo eben nicht offensichtlich ein mechanisches Versagen vorlag. Erst in den letzten Jahrzehnten, und dort meines Wissens vor allem nach Unfällen in der Luftfahrt, ist der inhärenten menschlichen Fehlerrate – also den menschlichen Fehlern, "gegen die wir machtlos sind" – eine erhöhte Aufmerksamkeit geschenkt worden; und insbesondere sind die menschlichen Patzer, Schnitzer und anderen Versagen von der "Schuld"-Frage abgekoppelt worden. Wenn es nur das ist, was man aus solchen Analysen lernen kann, ist das auch schon was ...

Vorsichtshalber muss ich zum Schluss noch einmal anmerken, dass die von mir angenommenen Ausfallsraten der technischen Systemelemente nicht aus Messungen oder Publikationen stammen, sondern von mir "übungshalber" angenommen wurden. Daher lassen sich aus meinen Zahlwerten auch keine Folgerungen für die Realität ziehen. Ich denke aber, dass meine Studie zeigt, wie das Vorgehen einer solchen Analyse sein kann.

Winter am Blockposten: St.Johann-Weistrach, 1985

Der Blockposten St.Johann-Weistrach lag an der Westbahn zwischen St.Peter-Seitenstetten und Haag. Ich kam mit dem Zug an, den ich zuvor zweimal in Amstetten fotografiert hatte:

Signale A1 und a (von Haag), 1046.20, St.Johann-Weistrach, 16.1.1985

Die Vorschrift verlangte, dass das Einfahrvorsignal von Haag über einen Flügelstromschließer des Formsignals geschaltet zu sein hatte, sodass es bei dessen Haltstellung dunkel war. Für Formsignale gab es keine solche Regel, wie man in Schönwies sieht, da in Österreich Vorsignale kaum mit Scheibenkupplungen ausgerüstet wurden:

Signale A1 und a (von Haag) sowie Z1, St.Johann-Weistrach, 16.1.1985

Hier sieht man ein wenig des Gebäudes, daneben das Signal A1, eine 1044 und einen Schranken:

1044.102 mit Ex229, Blocksignal A1, St.Johann-Weistrach, 16.1.1985

Innen drin befand sich ein sechsfeldriger Streckenblock (also war Silberwald weder der einzige, den ich gesehen habe, noch der letzte, den es in Österreich gab. So ist das mit der Erinnerung ...):

Hebelbank und Blockapparat, St.Johann-Weistrach, 16.1.1985

Später bin ich dann bis zum Vorsignal z1 hinausmarschiert:

1042.637 mit Ex263, Vorsignal z1, St.Johann-Weistrach, 16.1.1985

Vorsignal z1, St.Johann-Weistrach, 16.1.1985

1042.569 mit Postzug, Vorsignal z1, St.Johann-Weistrach, 16.1.1985

1044.27 mit Ex147, Vorsignal z1, St.Johann-Weistrach, 16.1.1985

Vorsignal z1, St.Johann-Weistrach, 16.1.1985

4010.23 mit Ex142, Vorsignal z1, St.Johann-Weistrach, 16.1.1985

Vorsignal z1, St.Johann-Weistrach, 16.1.1985

Einige Zeit später kam die 2143, die ich schon in Amstetten mit ihrer Belastungsprobefahrt-Belastung aufgenommen hatte:

2143.03 mit 65116, Vorsignal z1, St.Johann-Weistrach, 16.1.1985

Und zuletzt noch eine 1018, die zu dieser Zeit noch Eilzüge führen durfte:

1018.05 mit E743, Blocksignal Z1, St.Johann-Weistrach, 16.1.1985

Sonntag, 19. August 2012

Wie sicher wird ein Formsignal auf Halt gestellt?

Vor einigen Wochen kam mir die Idee, mich mit moderneren Konzepten der Eisenbahn-Sicherungstechnik zu befassen. Nach einigem Suchen und Lesen am Internet drängt sich mir die Sicht auf, dass dieses Gebiet auch heute noch, 2012, nicht abgeschlossen behandelt ist. Wenn ich Zeit finde, werde ich einige – wie ich meine – interessante Texte zu diesem Thema einmal vorstellen. Vorerst stelle ich mir aber ein Problem, das für die praktische Weiterentwicklung der Sicherungstechnik wohl nicht so relevant ist, mich als (Hobby-)"Sicherungsanlagen-Historiker" aber interessiert: Wie schneiden "alte" Sicherungstechniken ab, wenn sie mit modernen Verfahren beurteilt werden?

Die Idee ist also, Konzepte der Zuverlässigkeitsanalyse auf einige vorhandene Ausschnitte von Sicherungsanlagen anzuwenden und zu sehen, was dabei herauskommt. Wenn man ein kurzes Stück weiterdenkt, merkt man, dass man damit nicht die alten Sicherungsanlagen beurteilt, sondern die Zuverlässigkeitsanalyse und ihre Anwendung einer Probe unterzieht: Denn die alten Anlagen haben ja über mehr als 100 Jahre bewiesen (und beweisen es in vielen Installationen noch heute), dass sie sicher sind. Wenn also eine moderne Analyse etwas anders ergibt, dann muss es entweder ein Problem mit der Analysemethode geben – was eher unwahrscheinlich ist –, oder die Anwendung der Methode war zweifelhaft ... Schauen wir einmal, was herauskommt!

Das grundlegende Problem der Sicherungstechnik ist es, den Nachweis zu führen, dass eine Anlage die Sicherheit des Betriebs erhöht. Auf den ersten Blick sieht das einfach aus: Denn führt nicht jedes Signal, jede mechanische oder elektrische oder elektronische Einrichtung zur Überprüfung z.B. einer Weichenstellung und überhaupt jede Anlage zur Überprüfung und Anzeige von Anlagenzuständen prinzipiell zu einer höheren Sicherheit des Eisenbahnbetriebs? Eine kurze Überlegung zeigt, dass das nicht so ist: Denn gerade diese Anlagen selbst können ja wieder ausfallen, und dann wird der Betrieb, der sich nun auf sie verlässt, unsicherer, als er vorher gewesen wäre. Wenn sich der Betrieb aber nicht auf die Sicherungsanlagen verlassen kann, dann kann man sich die Ausgaben dafür gleich ersparen! Die Kunst des Sicherungsanlagen-Entwurfs besteht also darin, Anlagen von höherer Komplexität zu bauen, die trotzdem weniger anfällig für Fehler sind. Und natürlich verlangt man (durch bestimmte Behörden), dass diese höhere Sicherheit auch nachgewiesen und nicht bloß behauptet wird. So formuliert, ist sonnenklar, dass sowohl Entwicklung (Design) wie Sicherheitsnachweis (Analyse) von Sicherungsanlagen gar nicht einfach sind.

In der klassischen Sicherungstechnik erfolgt der Sicherheitsnachweis bauteile- und ausfallsbezogen: Für jedes Bauteil einer Anlage werden mögliche Ausfälle aufgelistet, und dann wird für jeden dieser Ausfälle einzeln überprüft, dass die Anlage noch immer in einem sicheren Zustand bleibt. Allerdings kann in einer Sicherungsanlage nicht nur ein Ausfall auftreten, sondern es können auch mehrere Bauteile zugleich ausfallen. Und leider ist es klar, dass bei genügend gleichzeitigen Ausfällen keine Anlage mehr sicher ist: Wenn mit einem ausfallenden Teil zugleich immer jene Teile ausfallen, die die negativen Folgen des ersten Ausfalls verhindern, dann kann jede beliebige Katastrophe eintreten. Aus aller Erfahrung wissen wir aber, dass verschiedene Teile kaum zugleich ausfallen, und daher gilt in der Sicherungstechnik im wesentlichen die Regel: Unabhängige Mehrfachausfälle von Bauteilen müssen nicht berücksichtigt werden.

Seit der Einführung von Elektronik, insbesondere seit den ESTWs (elektronische Stellwerke), ist ein bauteilebezogener Sicherheitsnachweis allerdings in der Regel nicht mehr möglich. Denn elektronische Bauteile, vor allem ICs und ihre komplexen Brüder, die Prozessoren, haben beliebig komplexe Ausfallsmodi: Schon auf Hardwareebene alles von "stuck bits" (auf einer Leitung ist plötzlich 0 oder 1 "festgeklebt") über undefinierte Spannungspegel bis zu zufälligen Fehlverhalten. Daher werden nun in der Eisenbahnsicherungstechnik die wahrscheinlichkeitsbezogenen Verfahren salonfähig, die schon in anderen Bereichen wie der Kernenergietechnik oder der Luftfahrt verwendet werden. Ganz grob kann man diese Verfahren in zwei Gruppen teilen:
  • Die risiko-basierten oder prozessorientierten Verfahren versuchen Sicherheit über den Prozess der Anlagenentwicklung zu erreichen – dazu gehören etwa FMEA (failure mode and effects analysis) und FMECA (failure mode, effects and cause analysis).
  • Die zuverlässigkeits- oder produktorientierten Verfahren versuchen Sicherheit anhand von System-Modellen mathematisch zu bewerten. Dazu gehören Fehlerbaumanalyse oder FTA (fault tree analysis), Ausfallratenanalyse und – als "hohe Schule" der Zuverlässigkeitsanalyse – verschiedene Markov-Verfahren. Diese Zuverlässigkeitsverfahren treiben in der Regel einen höheren mathematischen Aufwand. Wie üblich in der angewandten Mathematik muss man aber aufpassen, dass man bei ihrer Anwendung nicht explizite oder implizite Voraussetzungen übersieht und dadurch zwar numerisch genaue, aber praktisch irrelevante Ergebnisse erhält.
Das zentrale Zuverlässigkeitsverfahren, nämlich die Ausfallraten-Analyse, versuche ich im Folgenden auf einige Funktionen mechanischer und elektromechanischer Stellwerke anzuwenden.

Die Ausfallraten-Analyse (manchmal auch einfach als "Zuverlässigkeitsanalyse" bezeichnet) besteht aus zwei Schritten:
  • In einem ersten Schritt wird ein Zuverlässigkeitsblockdiagramm erstellt, das für die zu analysierende Funktion darstellt, welche Einzelelemente des Systems funktionieren müssen.
  • In einem zweiten Schritt wird aus den Zuverlässigkeiten der Einzelelemente die Zuverlässigkeit des Gesamtsystems berechnet.
Anhand eines sehr konkreten Beispiels will ich diese Schritte, aber auch viele dahinterliegenden Annahmen und Probleme bei der Anwendung erklären.

Haltstellen eines Formsignals – einfaches System


Beginnen wir mit dem ersten Punkt. Leider wird die Erstellung der Zuverlässigkeitsblockdiagramme in vielen erklärenden Texten ziemlich unvollständig dargestellt (in mathematischen Texten wird sie dagegen in der Regel präzise erklärt, dafür aber oft so eingebettet in höhere Mathematik, dass man sie danach noch immer nicht anwenden kann). Ich versuche hier, die wesentlichen Punkte herauszuarbeiten.

Ein Zuverlässigkeitsblockdiagramm beschreibt für eine bestimmte Systemfunktion, welche Einzelelemente funktionieren müssen. In einfachen Systemen sind das häufig einfach alle Systemelemente. Hier ist ein Beispiel aus dem täglichen Leben und eines aus der Eisenbahnsicherungstechnik:
  • Damit man eine Lampe einschalten kann, müssen die Elemente Stromversorgung, Schalter, Kabel zur Lampe, Lampenfassung und Leuchtkörper alle funktionieren. Wenn nur eines dieser Dinge "spinnt", dann wird die Lampe nicht leuchten.
  • Damit man ein Formsignal in einem einfach konstruierten mechanischen Stellwerk auf Halt(!) stellen kann, müssen die Elemente Signalhebel, Drahtzugleitung, Signalantrieb und -gestänge bis zum Signalflügel alle funktionieren. "Einfach konstruiert" soll hier bedeuten, dass der Hebel über die Drahtzugleitung direkt mit einem Antrieb verbunden ist, der den Flügel stellt; das System soll vorerst keine Vorkehrungen wie Spannwerke, haltfallende Antriebe oder ähnliches enthalten.
Unser Ziel ist es, festzustellen, dass die Zuverlässigkeitsanalyse ein solches einfaches System tatsächlich ablehnt – das wäre ja schon eine erste Bewährungsprobe!
Als Diagramm werden diese Sachverhalte durch ein "Hintereinanderschalten" dieser Elemente, ein sogenanntes "Serien-System" veranschaulicht – hier am Beispiel des Formsignals:

Photobucket

Allerdings ist die Erstellung schon dieses einfachen Diagramms gar nicht so offensichtlich: Denn woher wissen wir, dass nur die ausgewählten Elemente die Zuverlässigkeit des Haltstellens beeinflussen?

Antwort: Das ist die Kunst der korrekten Modellierung! Eine Methode, sich dessen zu versichern, ist die Aufnahme anderer Elemente aus der Umgebung: Wenn man argumentieren kann, dass diese Elemente die Funktion nicht beeinflussen, dann kann man sie mit gutem Gewissen weglassen (als abnehmende Behörde würde ich aber diese Argumente schriftlich sehen wollen ...). Nehmen wir das Beispiel mit dem Formsignal: Der Hebel wirkt "irgendwie" mit der Verschlusslogik zusammen, also sollte man die vielleicht mit aufnehmen. Die Drahtzugleitung wird an diversen Stellen durch den Oberbau geführt (etwa um Gleise zu unterqueren), also sollten wir den Oberbau auch betrachten; desgleichen eventuell Bahnübergänge, die durch die Drahtzugleitung unterquert werden, und die Fahrzeuge, die sie befahren.

Wenn man in solcher Art und Weise "paranoid" weiterphantasiert, dann kann man beliebige umgebende Systeme mit einbeziehen: Das Gleis samt den Zügen, die sich drauf bewegen und die durch Entgleisungen die Drahtzugleitung oder das Signal zerstören könnten; oder gleich den Luftraum über den Drahtzugtrassen samt den darin herumfliegenden Flugzeugen: Für alle diese Systemelemente lassen sich Fälle finden oder "konstruieren" oder "an den Haaren herbeiziehen", wo durch ihr Fehlverhalten sich das arme Formsignal nicht mehr auf Halt stellen lässt! Dass solche Überlegungen sehr wohl für die Realität relevant sind, zeigt etwa die Aufnahme von Flugzeugen in die Sicherheitsanalysen von Kernkraftwerken. In der Praxis kann man dieses Problem nur lösen, indem man die Wahrscheinlichkeit solcher Vorfälle mit dem Schaden abwägt; und Fälle ignoriert, wo das Produkt der beiden (das "Risiko") unter eine gewisse Grenze fällt.

Da wir uns aber im Bereich der Sicherheitstechnik befinden, geht es hier auch um die Unversehrtheit von Menschen, und insbesondere um den möglichen Tod von Menschen. Wenn man nun eine Risikobewertung durchführen will, muss man den "Schaden" bewerten, der durch Verletzung und Tod von Menschen entsteht. Es hat mannigfaltige Versuche gegeben, diesen "Schaden" in Geld oder einer anderen "objektiven" Größe auszudrücken; doch soviel ich es überblicke, ist sowohl in der Luftfahrt (im "Joint Aviation Standard JAR 25.1309") wie in jüngerer Zeit auch in der Eisenbahnsicherungstechnik eine andere Bewertung üblich:
  • Man postuliert, dass ein Ereignis, bei dem "viele Menschen zu Tode kommen" (eine "Katastrophe"), eine Auftretenswahrscheinlichkeit von höchstens 10–9 pro Stunde haben soll. Als "Stunde" gilt dabei "eine Betriebsstunde eines Transportmittels (Zuges)". Wenn man eine Exponentialverteilung für das Auftreten zugrundelegt (was man für "unerwartete Ereignisse" argumentieren kann), dann bedeutet das eine erwartete Zeit bis zu diesem Ereignis von 109 Stunden oder etwas über 100000 Jahre.
  • Für "gefährliche" Ereignisse mit "einigen Toten" wird eine maximale Auftretenswahrscheinlichkeit von 10–7 pro Reisestunde verlangt.
Hier stand vorher, dass eine "Stunde" die Zeit bedeutet, die ein Passagier am Transport teilnimmt. Das ist aber nicht korrekt: Die Teilnahmestunde eines (einzelnen) Passagiers und die Betriebsstunde eines Beförderungsmittels (mit vielen Passgieren) sind zwei wesentlich verschiedene Werte! Ich hoffe, dass ich es nun korrekt formuliert habe.

Über konservative, aber nicht "lächerlich ängstliche" Erfahrungswerte für die Wahrscheinlichkeit und den Schaden kann man nun abschätzen, ob ein Systemelement in die Analyse aufgenommen werden soll oder nicht. Dass hier natürlich eine gewisse "Willkür" oder, positiv ausgedrückt, "subjektive Verpflichtung zur einer seriösen Entscheidung" eingeht, ist – wie wohl bei allem komplexen menschlichen Handeln – offensichtlich. Darin liegt die Verantwortung derer, die die Sicherheitsanalyse durchführen.

Kehren wir von extremeren Fällen wie abstürzenden Flugzeugen zu Ereignissen zurück, die womöglich realistischer sind:
  • Ein LKW stürzt neben dem Bahnübergang auf die Drahtzugleitung. Dieser Fall kann allerdings stellvertretend für mehrere andere genommen werden: Alleine aufgrund der Länge der Drahtzugleitung kann es an ihr diverse Störungen geben. Wenn wir also das Systemelement "Drahtzugleitung" nicht nur für deren technische Realisierung im engeren Sinne verstehen, sondern im weiteren Sinne für die Leitung samt ihrer Situation in der Landschaft, dann genügt dieses Element für die Zuverlässigkeitsanalyse vieler Fälle – wir werden allerdings ihre Zuverlässigkeit als "nicht mehr besonders hoch" einschätzen müssen, was immer das genau heißt.
  • Das Diagramm oben enthält auch nicht die Verschlusslogik des Stellwerks. Die Argumentation ist, dass es keine Verschlussteile gibt, die ein Haltstellen des Formsignals verhindern, was also eine Eigenschaft der Konstruktion sein muss. Paranoiderweise kann man sich aber vorstellen, dass andere Verschlussteile verbogen oder gebrochen sind und dadurch ein Zurücklegen des Signalhebels verhindert wird. Es ist Aufgabe des entwickelnden Ingenieurs, zu zeigen, dass solche Ereignisse praktisch vermieden wurden, etwa konstruktiv durch entsprechende Auslegung der Verschluss- und anderen umgebenden Teile (sodass sie bei den auftretenden Kräften nicht brechen oder sich verbiegen können), eventuell gemeinsam mit entsprechenden Wartungsanforderungen.
  • Dem Diagramm fehlt noch ein wesentliches Systemelement: Der Mensch, der das Signal auf Halt stellen soll. Ich nehme ihn einmal als viertes zusätzliches Kästchen auf, denn in unserem einfachen System ist (noch?) kein automatischer Haltfall des Signals vorgesehen.
Und dabei belassen wir es einmal: Wir nehmen also an, dass der erfahrene Ingenieur ein System entwickelt (und die Fertigung es genau so gebaut) hat, wo tatsächlich nur die oben genannten vier Systemelemente für das Haltstellen des Formsignals nötig sind:

Photobucket

Bevor wir uns dem zweiten Schritt (der Feststellung der Zuverlässigkeit aus dem Diagramm) widmen, will ich noch einmal betonen, dass es sich bei diesem Diagramm nicht um eine Beschreibung des Systems für alle Funktionen handelt, also um eine vollständige Systembeschreibung: Es handelt sich nur und ausschließlich um eine Beschreibung der nötigen Systemelemente für diese eine Funktion. Nun könnte man meinen, dass man bei Zusammenfassung mehrerer Funktionen zu einer "umfassenden Funktion" immer eine Teilfunktion findet, die alle Systemelemente benötigt. Beispielsweise
  • benötigt man doch für das "Funktionieren, d.h. Ein- und Ausschalten der Lampe" genau die Elemente, die man für das Einschalten alleine benötigt.
  • benötigt man doch für das "Funktionieren, d.h. Fahrt- und Haltstellen des Formsignals" genau die Elemente, die man für das Freistellen braucht: Die Verschlusslogik sowie die oben genannten Elemente für das Haltstellen.
Kann also nicht ein Zuverlässigkeitsblockdiagramm für eine bestimmte, "maximal komplexe Funktion" als Diagramm für die Beurteilung aller Funktionen des Systems dienen? Die Antwort ist "nein", und zwar aus zwei Gründen:
  • Erstens brauchen sich manche Betrachtungen – etwa Sicherheitsbetrachtungen – nur auf wenige Funktionen zu beschränken: Nämlich genau jene, die das System in einen sicheren Zustand überführen. In der Eisenbahnsicherungstechnik sind das typischerweise die Zustände, wo "alles steht", insbesondere alle Signale Halt gebieten. Eine Analyse, die mehr Funktionen betrachtet, ist also in diesem Fall überflüssige Arbeit.
  • Zweitens, und wichtiger, stimmt aber die obige Annahme, dass es eine "maximal komplexe Funktion" gibt, nicht: Die Analyse des realen Systems, durch das ein Formsignal auf Halt gestellt wird, zeigt (wie alle wissen, die es kennen), dass es hier Systemelemente gibt, die nur für die Haltstellung eingebaut sind; und dass es umgekehrt Systemelemente gibt, die nur für die Fahrtstellung relevant sind. Keine der beiden Funktionen ist also insofern "maximal", als dass alle Systemelemente, die ihr zuverlässiges Funktionieren erfordert, auch für die andere Funktion nötig wären.
Daher muss die Erstellung eines Zuverlässigkeitsblockdiagramm tatsächlich für eine bestimmte zu untersuchende Funktion erfolgen.

Haltstellen eines Formsignals – Ausfallratenanalyse


Gehen wir zum zweiten Teil der Zuverlässigkeitsanalyse über, der Berechnung der Ausfallsrate. Wir benötigen dazu eigentlich nur zwei Zutaten:
  • Das Wissen über die Zuverlässigkeit der einzelnen Systemelemente.
  • Zusätzliches Wissen über die Berechnung der Systemzuverlässigkeit aus den Einzel-Zuverlässigkeiten.
Die Zuverlässigkeit der Systemelemente kann man in der realen Welt nur über eine Wahrscheinlichkeitsverteilung angeben. Eine einfache Annahme für verschleißlose Elemente ist dabei eine konstante Ausfallsrate, was zu einer Exponentialverteilung der Ausfälle führt. Diese Verteilung hat einen einzigen Parameter, die Ausfallsrate ?. Allerdings tun sich hier schon mindestens die folgenden fünf Probleme auf:
  • Woher erfährt man die Ausfallraten? Man kann diese Ausfallsraten messen. Das ist für viele elektronische Elemente des öfteren, z.B. durch Hersteller wie Siemens oder durch Anwender wie das amerikanische Militär passiert. Allerdings beziehen sich diese Messungen immer auf bestimmte ausgewählte Bauteile einer bestimmten Technologie-Generation, finden unter bestimmten Umweltbedingungen statt und verwenden verschiedene Systemansätze (z.B. "Messung in Gesamtprodukten im Feldeinsatz" vs. "Messung in Laborsituationen"). Daher sind diese Messungen häufig für einen vorliegenden anderen Anwendungsfall nicht verwendbar.
  • Um die Messungen breiter anwenden zu können, sind mathematische Modelle nötig, um die konkreten Bedingungen zu verallgemeinern. Z.B. muss der Einfluss der Umgebungstemperatur auf die Ausfallsrate bestimmt werden. Dazu gibt es einerseits physikalische Modelle (die etwa die Gitterbewegungen in Kristallen auf das makroskopische Bauteil "umrechnen"), andererseits empirische Modelle (die aus den Kurvenscharen vieler Messungen entsprechende Approximationsfunktionen gewinnen). Die Auswertung dieser verschiedenen Modelle ergibt nun leider weit streuende Ausfallsraten. So sind in einem Vorlesungsskriptum aus dem Jahr 2007 zu "Zuverlässigkeit und Sicherheit" des Institut für Mikrosystemtechnik, Aufbau- und Verbindungstechnik der Albert-Ludwigs-Universität Freiburg Ausfallsraten u.a. für einfache Widerstände und Dioden aus fünf Quellen berechnet; die Ergebnisse schwanken um Faktoren zwischen 10 und 100!
  • Für gewisse komplexe Bauteile (ICs) sind Ausfallsraten einzelner Funktionen überhaupt nicht mehr zu gewinnen.
  • Die Annahme einer konstanten Ausfallrate stimmt für viele Bauelemente nicht, insbesondere wenn Verschleiß vorhanden ist. Dann kann man z.B. die Weibull-Verteilung verwenden, allerdings müssen dann mehrere Parameter bestimmt werden, was umfangreichere Messverfahren und komplexere Modelle zur breiteren Anwendung erfordert.
  • Viele, insbesondere ältere technische Bauteile haben nicht ein "zeitbezogenes Ausfallsverhalten" (im Falle einer Exponentialverteilung also e–?t), sondern ein "betätigungsbezogenes Ausfallverhalten" (im Falle einer Exponentialverteilung also e–?n, wo n die Anzahl der Betätigungen ist). Insofern ist dann der Kehrwert von ? nicht die MTTF (die "Mean Time To Failure" oder auf deutsch "erwartete Zeit bis zum Ausfall"), sondern die MCTF, d.h. die "Mean Cycles To Failure" oder auf deutsch die "erwartete Anzahl von Betätigungen bis zum Ausfall". Wenn man die Gesamtausfallsrate eines Systems mit solchen Bauteilen abschätzen will, muss man die Anzahl der Betätigungen in einer bestimmten Zeiteinheit eruieren und daraus das jeweilige zeitbezogene Verhalten berechnen. Ein Beispiel für solche Bauteile sind Relais, wie etwa auf Seite 327 der Technischen Erläuterungen von Finder-Relais gut erklärt wird. Im Rahmen der Eisenbahntechnik lassen sich Anwendungsfälle finden, wo ein Relais nur einige Male im Monat betätigt wird (z.B. Signalrelais für eine Fahrt auf dem Gegengleis), aber auch Fälle, wo ein Relais pro Tag einige Tausend Male betätigt wird (Blinkrelais eines Schrankens im S-Bahn-Bereich mit einer Schließzeit von drei Minuten). Insofern ist z.B. eine Angabe von 500·10–9 Ausfälle pro Stunde als typische Ausfallrate für Relais im erwähnten Skriptum zumindest zweifelhaft (die Zahl stammt wohl aus der Automobiltechnik – vielleicht ist dort die Streuung der Betätigungszyklen viel geringer).
Für unser Formsignal-Beispiel scheitere ich allerdings vorerst schon am ersten Punkt: Niemand hat meines Wissens die Ausfallraten von Signalhebeln, Drahtzugleitungen, Signalantrieben und Signalgestängen je gemessen, und schon gar nicht statistisch belastbar. Wir könnten ein Forschungsprojekt starten, wo wir die Arbeitsbücher der Signalmeistereien auswerten – tatsächlich würden wir dann aber als nächstes in die anderen oben erwähnten Probleme hineinlaufen.

Ich versuche für meine Versuchsprojekt hier einmal einen anderen Ansatz, nämlich i.w. eine Art "fuzzy logic": Ich reduziere die Ausfallsraten auf zwei "typische konservative Werte":
  • "Fast gar nicht" soll MCTF = 1010 bedeuten, also eine mittlere Anzahl von 1010 Betätigungen bis zum Ausfall. Das erwarte ich z.B. für den Ausfall eines Signalhebels oder des Signalantriebs. Das bedeutet nun natürlich nicht, dass ein einzelner Signalhebel oder Antrieb zehn Milliarden Betätigungen ohne Ausfall erwarten lässt – bei so vielen Betätigungen wären Verschleißvorgänge sicher nicht mehr zu vernachlässigen. Es bedeutet stattdessen, dass bei einer genügend großen Anzahl von Hebeln (z.B. zehntausend, also 104) die Ausfallsrate eben 10–10 je Betätigung ist, also nur ein einziger dieser Hebel nach 1010–4 = 106 = 100.000 Betätigungen ausfällt. Der Ausfall eines Hebels alleine ist sowieso schwer vorstellbar – bricht er ab? klemmt er (nicht die Drahtzugleitung!) so, dass er sich nicht mehr losbrechen lässt? –, daher setze ich diese Zahl an. Bei Signalantrieben bin ich mir da nicht so sicher – siehe das folgende Bild –, trotzdem belasse ich es einmal bei dieser Zahl.
  • "Manchmal" soll MCTF = 108 bedeuten. Das erwarte ich für die Drahtzugleitung, weil sie über einen Kilometer und mehr im Freien arbeiten muss.

Einfahrsignal A, Allentsteig, 1986

Alle diese Zahlen sind, um es noch einmal zu betonen, mehr oder weniger frei erfunden. Wenn man die Zuverlässigkeit der Funktion "Halt-Stellen eines Formsignals" in der Realität bewerten will, muss man sich irgendwoher besser fundierte Zahlen besorgen! Ich, im Rahmen meiner "Studie", arbeite einmal mit diesen Zahlen. Darüberhinaus gehe ich von konstanten Ausfallraten aus. Dieser Punkt ist rein technisch sicher nicht erfüllt: Gerade mechanische Systeme unterliegen Verschleiß. In der Praxis kann man den Verschleiß aber unterdrücken, indem man genügend kleine Wartungsintervalle vorsieht – was ich freundlicherweise annehme. "Schauen wir einmal, wo wir mit diesen Zahlen landen!"

Für unser Zuverlässigkeitsblockdiagramm fehlt nur noch eine Rate: Nämlich die für den Bediener! Allerdings müssen wir hier aufpassen: Die bisherigen Zahlen waren Ausfallraten bzw. MCTF, die für "nicht reparierbare Systeme" gelten. Wir haben implizit angenommen, dass uns nur die Zeit bis zum ersten Versagen interessiert, aber nichts mehr danach. Zumindest einfachere technische Bauteile lassen sich nun in erster Näherung als "nicht reparierbar" modellieren: Wenn sie einmal ausgefallen sind, bleiben sie ausgefallen, bis sie durch ein neues Element ersetzt werden (wobei "neu" auch aufgearbeitete Bauteile umfasst, die ein Hersteller als "wie neu" zertifiziert). Der Mensch, der unseren Hebel bedient, hat aber in der Regel ein anderes "Unzuverlässigkeitsverhalten": Er fällt nicht aus und bleibt dann ausgefallen, sondern er macht zufällig Fehler. Im Sinne der Zuverlässigkeitstheorie könnte man ihn ein "sich selbst reparierendes System mit Reparaturrate nahezu 1" betrachten: Nachdem er mit einer kleinen Wahrscheinlichkeit einen Fehler begangen hat, ist die Chance fast 1, dass er bei seiner nächsten Aktivität keinen Fehler mehr begeht. Um ein Wort dafür zu haben, nenne ich das "Versagens-Verhalten", im Gegensatz zum "Ausfall-Verhalten" technischer Bauteile: Nach einem Versagen ist die Funktion i.d.R. wieder verfügbar, nach einem Ausfall ist sie bis zu einer Reparatur nicht mehr verfügbar.

Wie groß ist nun die Versagenswahrscheinlichkeit des Menschen? In einer Dissertation mit dem Titel "Der Einfluss des menschlichen Faktors auf die Sicherheit der Eisenbahn", die ich (noch) nicht gelesen habe, werden mehrere Wahrscheinlichkeiten angegeben: Für "fertigkeitsbasiertes", "regelbasiertes" und "wissensbasiertes" Verhalten. Ich erkläre diese drei Kategorien nicht genauer, sondern postuliere einfach, dass es sich beim Zurückstellen eines Signals um "fertigkeitsbasiertes", d.h. nahezu "automatisches" Verhalten handelt. Ein passender Wert findet sich auf S.19 der Unterlagen zu einem Vortrag "Der Faktor Mensch im Unfallgeschehen" der österreichischen AUVA: Hier wird dafür der Wert p = 10–3 angegeben. Analog zum Hebel muss man sich wieder darüber im Klaren sein, dass das nicht die Wahrscheinlichkeit dafür ist, dass jeder Signalbediener vergisst, ein Signal zurückzustellen: Sondern es ist ein Mittel über viele Signalwärter; die meisten haben vielleicht Raten von 10–4 oder noch besser, aber einige haben höhere Raten (ich verweise auf meine Geschichte "Nicht alle Bahner sind ok") ...

Wie auch immer, wir haben nun Zahlen für alle unsere Systemelemente, die wir im Diagramm eintragen. Um den Unterschied zwischen Ausfallsrate und Versagensrate im Diagramm zu kennzeichnen, tragen wir in den Kästchen jeweils entweder einen Wert ? (Kehrwert von MCTF) mit der Einheit 1/Betätigung oder eine dimensionlose Versagenswahrscheinlichkeit p ein:

Photobucket

Aus diesen Zahlen wollen wir nun eine Wahrscheinlichkeit dafür berechnen, dass unsere Funktion – das Auf-Halt-Stellen – versagt. Wenn unser System nur aus mit konstanter Rate ausfallenden Komponenten bestehen würde, könnte man – siehe z.B. auf S.5/2 des oben erwähnten Skriptums – die Ausfallsraten einfach addieren (das funktioniert nur bei einfachen Serien-Systemen, aber noch haben wir ja ein solches vor uns). Bei anderen Verteilungen ist das nicht mehr so einfach; höhere Mathematik im statistischen Bereich würde es aber auch dort noch erlauben, allgemeine Aussagen über ein beliebiges Zeitintervall zu berechnen. Das ersparen wir uns aber alles.

Stattdessen berechnen wir die konkrete Wahrscheinlichkeit dafür, dass unsere Funktion nach spätestens einem Jahr versagt hat, weil das viel einfacher ist. Wieso wähle ich gerade ein Jahr? Deshalb, weil ich einmal annehme, dass diese Zeit das Wartungsintervall ist, nach dem ein Signalmeister die Bauteile in Augenschein nimmt (nicht nur ausprobiert, ob alles noch geht!), sodass danach das System "faktisch neu" ist.

Nun haben wir für unsere Systemelemente aber keine zeit-, sondern betätigungsbezogene Kennzahlen. Wir müssen sie also durch eine geschätzte Zahl von Betätigungen je Zeiteinheit in zeitbezogene Werte umrechnen. Das erfordert Wissen über den Eisenbahnbetrieb. In einer Dissertation, die ein äußerst interessantes Verfahren zur Risikobeurteilung im Eisenbahnwesen darstellt, (und die ich, wenn ich Zeit finde, einmal besprechen werde) werden diverse solche Umrechnungen aufgrund von Kennzahlen der DB, wie der Streckenlänge für bestimmte Geschwindigkeiten usw., vorgenommen. Ich nehme hier stattdessen, wie oben für die MCTF-Werte, einmal eine "vorläufige Zahl" von einer Zugfahrt je Stunde und Richtung, die man für eine echte Analyse durch bessere ersetzen müsste. Wir haben also in einem Jahr 365 · 24 = 8760 Fahrten an unserem Signal im Jahr, was ich hemmungslos auf 10000 runde. Die Wahrscheinlichkeiten, dass unsere Elemente nach einem Jahr ausgefallen sind, sind damit:
  • Für den Hebel: 1 – e–10–10 · 10000 ˜ 10–6
  • Für die Drahtzugleitung: 1 – e–10–8 · 10000 ˜ 10–4
  • Für das Signal: 1 – e–10–10 · 10000 ˜ 10–6
Zusätzlich gibt es nun noch die Wahrscheinlichkeit, dass der Mensch versagt, die ich mit 10–3 angesetzt haben. Die Wahrscheinlichkeit, dass "irgendwas nicht mehr geht", ist bei diesen kleinen Werten praktisch die Summe der Wahrscheinlichkeiten, weil Produkte wie 10–4 · 10–6, die wir für gleichzeitige Ereignisse subtrahieren müssten, nahezu verschwinden. Als Ergebnis erhalten wir, dass das Signal mit Wahrscheinlichkeit 1,102 · 10–3 nicht auf Halt gestellt wird – bei der groben Festlegung der Zahlen nähern wir das lieber durch ˜ 1 · 10–3.

Was bedeutet das nun für die Fahrgäste im Zug? Offensichtlich hängt ihre Gefährdung davon ab, an wie vielen Signalen der Zug vorbeifährt – je mehr, desto gefährlicher ist es, wenn einzelne davon nicht auf Halt stehen, obwohl sie es sollten. Wieder müsste man diese Zahl aus den mittleren Signalabständen und aus der Geschwindigkeit eines "mittleren Zuges" berechnen; ich begnüge mich mit einer Abschätzung, dass der Zug in einer Stunde an etwa 10 Signalen vorbeifährt. Das würde zum Beispiel einer mittleren Reisegeschwindigkeit von 30 km/h, einem Bahnhofsabstand von 6 Kilometern und zwei Signalen je Bahnhof (ein Einfahrsignal und ein Ausfahrsignal) entsprechen. Zusätzlich nehme ich noch an, dass jedes fälschlicherweise auf Frei stehende Signal schon einen Unfall bedeutet – davon muss man bei den hohen Geschwindigkeiten und Massen im Eisenbahnbetrieb ausgehen. Es ist ja gerade der Sinn von (Haupt-)Signalen, dass Züge nicht mehr auf Sicht fahren müssen.

Als Gesamtergebnis erhalten wir eine Wahrscheinlichkeit von ˜ 10–3 Ausfälle/Signal · 10 Signale/Stunde = 10–2 Ausfälle/h dafür, dass unser Zug mit Reisenden in einer Fahrtstunde einem Unfall durch ein fälschlicherweise freizeigendes Signal ausgesetzt ist. Das ist so meilenweit von den geforderten 107 gefährlichen Ereignissen je Fahrtstunde entfernt, dass man einen darauf basierenden Eisenbahnbetrieb nur als gemeingefährlich bezeichnen kann. Die Ingenieure damaliger Zeiten haben also mit Recht sich überlegt, wie man die Funktion des Haltstellens eines Hauptsignals absichern kann.

Ich versuche, dem in einem nächsten Posting nachzugehen.