Fehler in Systemen kann man einteilen in
- systematische Fehler und
- zufällige Fehler.
Systematische Fehler sind jene nicht erwünschten Verhalten, die
immer auftreten, wenn das System in einem bestimmten Zustand ist. Zufällige Fehler sind andererseits jene, die in einem bestimmten Zustand
nicht immer, sonder nur manchmal, und zwar nicht vorhersehbar, auftreten.
In anderen Kontexten werden dafür manchmal die nicht identischen, aber eng verwandten Begriffe "persistente Fehler" und "transiente Fehler" verwendet.
Die Zuordnung zu einer der beiden Kategorien hängt allerdings von der Systemdefinition ab – Beispiel: In einem elektromechanischen Stellwerk tritt ein Fehler immer dann auf, wenn ein Signalschalter um 85° bis 86° umgelegt wird; die Signalfreistellung erfolgt in dem Stellwerkstyp zwischen 85° und 90° Umlegung.
- Wenn als System die Stellwerksanlage alleine gewählt wird, ist der Fehler systematisch: Der Zustand "Signalschalter ist um 85° bis 86° umgelegt" führt eben immer zum Fehler.
- Wenn allerdings die Kombination aus Bediener und Anlage als System gewählt wird, wird der Fehler zufällig: Der Bediener legt den Hebel manchmal um 90°, manchmal um 88°, manchmal aber auch um 86° um. In allen Fällen zählt der Hebel als umgelegt, und das Signal geht wie gewünscht auf frei, sodass das System von außen betrachtet immer im selben Zustand ist. Der Fehler tritt aber nur manchmal auf (was sich niemand erklären kann ...).
Eine zweite Einteilung von Fehlern ist jene in
- Einfachfehler (oder Einzelfehler) und
- Mehrfachfehler.
Wenn sich nur ein Systemelement in einem System falsch verhält, handelt es sich um einen Einfachfehler. Wenn mehrere Systemelemente zugleich versagen, entsteht ein Mehrfachfehler. Auch hier ist die Klassifizierung eines Fehlers nicht vorgegeben, sie ist von der Systemdefinition abhängig, insbesondere von der Auswahl der
Systemelemente. Die Auswahl wird i.d.R. möglichst so getroffen, dass man möglichst große Systemelemente wählt (weil dann die Komplexität des Gesamtsystems so klein wie möglich wird), andererseits aber für jedes Systemelement möglichst wenige Ausfallsverhalten vorliegen hat (idealerweise nur eines: "Ausgefallen"). Es ist eine Herausforderung an die technische Realisierung von Systemkomponenten, sie so zu entwerfen, dass sie möglichst wenige verschiedene Ausfallverhalten haben. Ein Beispiel dafür ist etwa die Konstruktion von "Signalrelais", die viel weniger Ausfallarten haben als "Fernmelderelais" (siehe z.B.
diese Erklärung in der deutschen Wikipedia).
Üblicherweise werden Einfach- und Mehrfachfehler nur in eng gefassten technischen Systemen definiert und untersucht, etwa innerhalb einer einzelnen Stellwerksanlage. Man kann aber ein System auch weiter fassen, etwa wie oben eine Anlage samt ihrem Bediener.
Der Vorfall, der am 9.9.2003 in Burgdorf in der Schweiz geschah (
Bericht der Schweizer Unfalluntersuchtungsstelle), lässt sich als ein Doppelfehler des noch umfassenderen Systems "gesamte Bahnhofssicherung" beschreiben, bestehend aus
- einem systematischen Fehler der Stellwerksanlage am Wärterstellwerk; und
- einem systematischen Fehler eines Entgleisungsschuhs.
Das Zusammentreffen der beiden Fehler war allerdings zufällig, sodass wir hier einen
zufälligen Doppelfehler aufgrund zweier systematischer Einzelfehler vor uns haben, wenn ich das richtig verstehe. Wäre auch der Doppelfehler
systematisch, dann hätte er
immer in dieser Fahrplansituation auftreten müssen. Das hätte schon längst zu einem Vorfall führen müssen. Der Zufallsanteil des Doppelfehlers ist dabei die Entscheidung eines Wärters, während der Freistellung einer Fahrstraße eine andere Fahrstraße schon teilweise zu verschließen.
Aber alles schön der Reihe nach. Hier ist eine Überblicksskizze über einen Ausschnitt des Bahnhof –
grün ist die eingestellte Fahrt eines Güterzuges markiert,
rot die Fahrt der gefährdenden S-Bahn:
Das "Gruppensignal" ist ein Gruppenausfahrsignal für alle Gleise aus der "C-Anlage" und der "E-Anlage". Erstaunlicherweise lagen die Gleise der E-Anlage so, dass von dort wegen eines Schutzdaches (in der Skizze durch das blaue Rechteck angedeutet) und eines Laufkranes gar keine freie Sicht auf dieses zugehörige Ausfahrsignal bestand! Daher gab es in der E-Anlage zusätzliche
Fahrtstellungsmelder; jenen am Ausfahrgleis der S-Bahn habe ich in der Skizze durch die Buchstaben "FSM" markiert. Bei einer Fahrt aus den Gleisen der "C-Anlage" sollte dieser Melder natürlich
nicht aufleuchten. Bei einer Fahrt aus der "E-Anlage" hingegen leuchtete der Fahrtstellungsmelder des Ausfahrgleises auf.
Der
erste Fehler trat nun auf, als der Wärter die Fahrt für den Güterzug freistellte: Obwohl diese Fahrt aus der C-Anlage auf die Strecke führte und dafür auch alle Weichen korrekt gestellt waren,
leuchtete der Fahrtstellungsmelder in der E-Anlage auf! Das konnte offenbar passieren, wenn ein anderer Schalter des elektromechanischen Stellwerks um 10° umgelegt wurde, um eine Fahrt aus der E-Anlage schon teilweise mechanisch zu verschließen (der Untersuchungsbericht sagt auf S.5/6: "vor eingestellt", was immer das genau bedeuten mag). Der Lokführer der S-Bahn in der E-Anlage interpretierte diesen leuchtenden Fahrtstellungsmelder nun als Abfahrauftrag und fuhr los.
Wie auch in manchen anderen Ländern (aber nicht in Österreich und Deutschland), sind in der Schweiz Entgleisungseinrichtungen in Zugfahrstraßen zulässig. In diesem Fall war eine Entgleisungsvorrichtung mit Bezeichnung EV50 vorhanden, die auch auf der Schiene auflag und bei dieser Fahrt eigentlich ihrer Aufgabe nachkommen hätte müssen, nämlich die S-Bahn entgleisen zu lassen. Das tat sie aber nicht, und das war der
zweite Fehler: Denn aufgrund eines Konstruktionsfehlers fehlte der Vorrichtung eine aufgeschweißte Leiste, die sie auch bei den großen Kräften, die bei einer Entgleisung wirken, sicher auf der Schiene halten sollte. Sie wurde daher von der S-Bahn einfach vom Gleis gedrängt, und diese fuhr auf dem Gleis weiter.
Zwei Umstände bewirkten, dass es dennoch zu keinem Unfall kam: Zum einen erkannte der Lokführer der S-Bahn schon vor der Entgleisungsvorrichtung, dass Weichen falsch standen, und leitete eine Notbremsung ein. Trotzdem überfuhr die S-Bahn noch die Entgleisungsvorrichtung und schnitt dann eine Weiche auf. Die Weiche, an der sich beide Fahrwege trafen, erreichte sie aber nicht mehr. Zum anderen musste der Lokführer des Güterzugs noch eine Störung beheben. Als er damit fertig war, war das Ausfahrsignal wegen der aufgeschnittenen Weiche auf halt zurückgefallen, sodass er nicht ausfuhr.
Alles in allem ging der Vorfall also glimpflich aus. Dem Sicherungsanlagen-Interessierten (z.B. mir) stellt sich aber schon die Frage, wie oft solche
zufälligen Doppelfehler aufgrund zweier systematischer Einzelfehler sonst noch auftreten ...
