Fjernstyret bro gik op uden grund: Styresystem var ikke sikret mod fejl

Så der var lavet et program hvor det var mugligt at skabe farlige situationer. tsk tsk tsk Der findes flere firmaer der kan evaluere maskinsikkerhed.

Skaber mindelser om "hovsamissilet" der heller ikke kunne affyres utilsigtet.

Der er en bom der går ned og holder trafikanterne tilbage, før broen åbner.

Hvorfor kan broen åbne, når bommen er oppe?

hvis en brovagt havde forårsaget dette på stedet?

Det samme bør naturligvis ske for den, der har besluttet fjernbetjeningen.

Når en sådan styring skal kravspecificeres, skal alle nødvendige krav til sikkerhed og spærringer medtages, så det ved afslutningen af projektet er muligt direkte at efterprøve, at kravene er opfyldt. Kravene skal være detaljerede nok til at undgå, at en leverandør, som ikke lige er topspecialist på det hele, overser en risiko. Kravspecifikationen skal også tage stilling til pludseligt opståede fejl i styringen, f eks spændingsudfald, HW-fejl eller elektriske forstyrrelser (EMC) og til ulogisk betjening. Det er ikke nok at kræve, at "styringen skal være sikker". Opfyldelsen af et sådant formuleret krav er ikke direkte målbart. Sikkerhed er til dels et spørgsmål om fantasi til at forestille sig, hvad der kan gå galt (risikoanalyse).

Det er kunden ansvar at stille alle nødvendige krav og at kontrollere, at de er opfyldt. Er kravspecifikationen kontrolleret af en uafhængig og kyndig person? Har testspecifikationen prøvet at fange de reaktioner, som ikke må ske?

Forløbet er ikke betryggende. Så kompliceret er en brostyring heller ikke.

Vejdirektoratet skal bede leverandøren om at læse standarden DS/EN/IEC 61508 og implementere kravene til functional safety, så er chancerne for den slags fejl meget meget mindre. Standarden rekvireres hos Dansk Standard.

Lene Højris Jensen mener, at de omfangsrige test af styresystemet ikke kunne have forudset en sådan handling, hvor to aktiveringer sker inden for et meget kort tidsrum.

Det er helt vildt utroligt at mene det. Har de ikke et sekvensdiagram, tilstandsmaskine eller noget lignende der beskriver funktionalitet ????

Helt helt enig med #5

Nu kan man ikke så meget her, men det er set før ( I Blues Brother filmen) ...

https://townsquare.media/site/174/files/20...

Nu kan man ikke så meget her, men det er set før

Bommen var nede. Han kørte uden om bommen.

Lene Højris Jensen mener, at de omfangsrige test af styresystemet ikke kunne have forudset en sådan handling, hvor to aktiveringer sker inden for et meget kort tidsrum.

Hvis man tror, at man kan teste sig ud af sikkerhed, tager man fejl. Selv i en simpel brostyring kan man ikke teste alle muligheder, og i større anlæg er der så mange millioner kombinationsmuligheder, at det er aldeles urealistisk. Derfor må man dele systemet op i små blokke, hvor man så ved skrivebordet forvisser sig om, at alle aflåsninger til den blok er OK. Derefter går man videre til næste blok. På den måde har jeg lavet styresystemer til fabrikker med op til 400 automatisk styrede enheder og sat dem i drift på kort tid uden forudgående afprøvning og kravspecifikation. Det er også det princip, der ligger bag min gamle kommentar angående aflåsningerne: https://ing.dk/artikel/vejdirektoratet-sto... .

Derfor er konklusionen, at den vagthavende brovagt må have foretaget en fejlbetjening af broåbningen på dagen.

Ja, selvfølgelig tørrer man den af på brovagten; men det er i mine øjne en helt klar programmeringsfejl! Bortset fra nødstop og evt. nødstart må det aldrig være muligt for betjeningspersonalet at skabe en farlig situation, uanset hvordan anlægget betjenes. Det er nok én af de aller vigtigste årsager til at automatisere.

Efter fejlen på Kronprins Frederiks Bro er der sat en aflåsning ind i styresystemet, så bommene ikke kan aktiveres, efter en aktivering af 'broklap op.'

Aktiveringssignalerne ('broklap op') må da ikke have noget som helst med den primære sikkerhed at gøre, men bør selvfølgelig bruges som yderligere sikkerhed, så den fremhævede aflåsning burde i stedet erstattes af næstsidste kriterie i mit tidligere svar kombineret med 4. kriterie:

• Bommene kan få tilladelse til at gå op igen, før klappen kvitterer for at være helt nede og evt. låst i den position.
• Klappen kan køre op, hvis bommene ikke kvitterer for at være helt nede og have lukkesignal, og alarmklokkerne og lamperne kvitterer for at være aktiveret.

Bemærk, at aktiveringssignalet for bommene (lukkesignal) her ikke er den primære sikkerhed, som er, at bommene kvitterer for at være helt nede, men bruges til at forøge sikkerheden yderligere. Giver man åbnesignal til bommene, må de ikke længere betragtes som lukkede, uanset om de kvitterer for det.

På den måde kan man sætte lige så meget aktiveringssignal på bommene og/eller broklappen, som man vil. Broklappen går ikke op, før bommene og lysene har standset trafikken, og bommene går ikke op igen. før det er forsvarligt, dvs. klappen kvitterer for at være helt nede og evt. låst. Så snart bommene løftes det mindste og/eller får åbnesignal, er broklappen blokkeret - uanset aktiveringssignal.

I nogle af de styringer, jeg har lavet, kan hver enkelt enhed individuelt sættes i 3 betjeningsniveauer - fuldautomatisk med alle aflåsninger indkoblet, halvautomatisk, hvor ordren afgives manuelt; men alle aflåsninger stadig er indkoblet, og nødbetjening uden aflåsninger (nødstop og nødstart). Her må de to første niveauer naturligvis ikke muliggøre farlige fejl, og det sikres kun vha. aflåsningerne, da ordren jo kan afgives manuelt.

Vejdirektoratet skal bede leverandøren om at læse standarden DS/EN/IEC 61508 og implementere kravene til functional safety, så er chancerne for den slags fejl meget meget mindre.

Tja. I princippet bør broen leve op til IEC 61508 SIL 3 (død af 1-3 personer); men hvordan skal sikkerheden beregnes, og er der tale om kontinuert drift eller kun "failure on demand"? Er der desuden tale om software, hvor kravene er 10 gange højere end for en hardwareløsning?

I mine øjne bør al hardware naturligvis leve op til standarden, og det er også overkommeligt at garantere ved f.eks. at bruge sikkerhedsgodkendte PLC'er, aktuatorer, sensorer og kommunikation; men det er pokkers svært at gardere sig mod programmører uden erfaring og/eller logisk sans, som denne styring er et eksempel på.

Nogle fremhæver kravspecifikationer og test som vejen frem; men jeg tror ikke på den. Der er talrige fejl i styringen til F-35 jagerflyet på trods af formodentlig læssevis af den slags, og det samme gælder de fleste af statens IT-projekter. Det handler nok mere om en fornuftig programmeringsstruktur, hvor anlægget deles ned i så små blokke, at man har en chance for at overskue dem - gerne sammen med andre, og så handler det om at simplificere. Størsteparten af moderne IT-standarder er så sindsygt og unødigt komplicerede, at ingen kan overskue dem - bortset fra hackerne, og desværre ser dagens "digitalt indfødte" ikke andre muligheder. Hvad i alverden vil man f.eks med WiFi til styring af S-tog og to forskellige signalstandarder til styring af S-tog og fjerntog?

til #8 det er rigtigt og han kørte også udenom køen, men billedet er fint.

Og hans kommentar var vist lidt ala "Den hopper godt" :-)

Med hændelsen på Storebælt, hvor en bilist blev ledt gennem det bevægelige autoværn så vedkommende blev spøgelsesbilist og hændelsen med broklap, så er der behov for at Vejdirektoratet underlægges en ekstern godkendelsemyndighed, så alle disse nye halv og helautomatiske systemer til vejtrafikken skal godkendes af en uafhængig myndighed mht sikkerhed. Dette har i over 20 år været praktiseret på jernbanen, hvor der er stringente krav til eftervisning af sikkerhed inden anlæg sættes i drift eller ændres. Se også #5 ovenfor mht tilgang til grundlaget for en sådan eftervisning.

bevægelige autoværn

Hvad nu, hvis nogen trykker på én knap, og det bevægelige autoværn ikke bevæger sig? Hvor stor en skade er der så sket?

Hvor stor er skaden, hvis det bevægelige autoværn åbner utilsigtet?

• Death counts
• Casualties