Forskrækkede trafikanter og ødelagte biler: Fjernstyret klapbro går op uden grund

Jeg ser det omvendte for mig: en stolt sejlbåd , der sejler gennem

Da jeg havde sejlbåd, ja allerede, da min far havde sejlbåd, hadede jeg all broer.
De var i vejen, og de krævede ofte, at båden havde en motor. Jeg må dog erkende, at jeg mere end et par gange er kommet igennem for 'November' og sejl alene.

De åbnede normalt heller ikke straks når man ankom og slet ikke udenfor dagtid. En højbrog er nummer et, men 22 m gennemsejlinghøjde ved den nye bro er lidt i den lave ende, synes jeg.

Lars :)

Bestemmelserne kan man læse om i "Sikringsanlæggene og deres betjening (SODB) - Anlægsbestemmelser for Automatisk sikrede overkørsler". Det er et glimrende opslagsværk som formodeltlig kan overføres til brostyring.

I ovennævnte bestemmelse er der også krav til logning af alarmer og specifikke sensorsignaler mindst 7 dage bagud.

Det krav burde også gælde for brostyringer - hvis det ikke allerede er tilfældet?

Ummidelbart burde det vel kunne overføres næsten direkte

Ja, det er jeg enig i. Der er dog den forskel, at faren ved broen ikke er et tog som kommer buldrende, men broklapper som går op - så risikoanalysen er lidt anderledes. Men teknisk set er det samme problemstilling.

Det er et glimrende opslagsværk som formodeltlig kan overføres til brostyring.

Der er bullshit bingo på 3-4 spilleplader på een gang.

1. DJØF'erne ved ikke noget om teknik

2. Det offentlige må ikke bruge konsulenter - specielt ikke dem der ved noget

3. Gevinsterne udebliver fordi manglende viden rammer ekstra hårdt når fejlene først rettes når ulykkerne er sket

Der er bullshit bingo på 3-4 spilleplader på een gang.

Det skyldes i hvert fald ikke djøf-automatisering?</p>
<p>Gevinstrealisering: Citat: "... I næsten alle organisationer kæmper vi med at vride gevinster ud af forandringsprojekter.

Spørgsmålet er hvor pålideligt sensor systemer som spoler i vej banen (på metal bro), radar (igen metal konstruktion), og visions systemer vil kunne detektere et stoppet køretøj eller tabt gods.

Her er et firma der specialisere sig i ’movable-bridges’ og herunder ’Functional safety according to IEC 62061’ og ’Risk assessments’https://movares.nl/europe/projecten/movable-bridges/

Hvis mekanikken der skal styres og overvåges har et sundt design, så burde det ikke være noget problem at designe et sikkerheds system der griber ind hvis det overordnede kontrol system ’glemmer’ at aktivere bremsen, efter f.eks. at have stoppet motoren.

Ligeledes bør det ikke være noget problem at integrere bommene ind i sikkerheds systemet.

Men hvad med risiko for at et køretøj er gået i stå, eller noget tungt er blevet tabt på broen? Her hjælper bommene ikke.

Hvad er ’Performance Level’ på en fjernoperatør der kigger på et video feed der måske er frossen, og som aktivere broen med mus på en Windows GUI.

En operatør der betjener mange broer, kan ikke have fuld ’situation avarenes’ over dem alle, vedkommende vil skifte fokus til den bro der skal åbnes, kigge på video et par sek, og så åbne broen.

Der kunne udføre et forsøg for at teste ’Probability of failure on demand’ af operatøren. Sæt en operatør til at arbejde 8 timers vagter, på skiftende tider af døgnet, hvor broen skal åbnes nogle gange i timen. Ca. én gang om ugen simuleres der et stoppet køretøj på broen, og der testes om operatøren giver signal til at åbne broen. Bilen fylder 5-10% af billedet, og tiltider er der lav sol, mørkt, eller regn.

Spørgsmålet er hvor pålideligt sensor systemer som spoler i vej banen (på metal bro), radar (igen metal konstruktion), og visions systemer vil kunne detektere et stoppet køretøj eller tabt gods.https://navtechradar.com/explore/stopped-vehicle-detection/

Det ser iøvrigt også ud som om det er arbejdstilsynet der skal se på sagen da de har markedsovervågningen på MD. Sikkerhedsstyrelsen har forhandlinger i EU osv.https://www.sik.dk/erhverv/produkter/maskiner/love-og-regler/regler-maskiner

Noget tyder på at i hvertfald mekanismen der åbner broen er i scope af maskindirektivet . Definitionen på "machinery" indeholder følgende del: "an assembly referred to in the first and second indents, ready to be installed and able to function as it stands only if mounted on a means of transport, or installed in a building or a structure," Guiden til MD skriver dog at i dette tilfælde er selve bygningen ikke omfattet af MD.Guide til MD (se §37)

Jeg fandt faktisk også et relativt gammelt eksempel på en hel bro (dog en svingbro) der er blevet CE mærket i henhold til maskindirektivet. At der fjernstyres betyder ikke nødvendigvis så meget i denne sammenhæg tror jeg. Selv hvis der havde været en operatør havde det været et problem hvis maskine havde haft en uventet start som i dette tilfælde. Aktindsigt i eldigrammer on PLC/anden kode vil være ganske interresant. Hvis man hurtigt kan lave en korrigerende "omprogrammering" så kan der givetvis også være andre fejl i sikkerhedssystemerne (HW/SW). Jeg ville nok have lukket alle broer med samme design indtil man havde lavet en analyse og nedbragt risikoen for en ny hændelse.

Det er vel i virkeligheden ikke så farligt at den åbner uden grund, men langt mere alvorligt at det sker uden eller med mangelfuld varsling.

Det scenarie skete ved Falsterbo kanalen (også fjernstyret) - dog ikke pga. automatikken, men operatører som ikke holdt øje med at bådene havde opfattet at der ville blive lukket ( https://pakryss.se/sjofartsverket-ersatter-kraschad-segelbat/ ).

Hvis der ikke var både der skulle igennem, så bliver det en tand værre!

Jeg ser det omvendte for mig: en stolt sejlbåd , der sejler gennem og pludselig får klappet masten ned gennem kølen af en uventet lukkende broklap. Monty Python ville nikke anerkendende til det scenarie.

Ethvert sikkerhedssystem skal gå til en sikker side ved optrædende fejl. Derfor er et programmerbart anlæg ikke et sikkerhedssystem

Software kan udføres sikkert, og er ikke forskelligt fra hårdtfortråede implementeringer.

Sikkerhedssystmer baseret på software, men simpel implementering, kan sagtens forekomme på PLC-niveau - der hedder det sikkerheds-PLC'ere som kører med redudante CPU og to-kreds hhv. ESS-signaler på lavvoltssiden. Koden skal naturligvis reviewes og testes, ligeom eldiagrammet skal.

Jeg tilslutter mig koret der håber at ingeniøren vil grave i dette og bede om agtindsigt.

• Hvilken PLC-arkitektur der anvendes? Er det blot "usikre" Siemens PLC'ere el. lign?

• Hvorledes er URS, SD og SDS (Software Design hhv. SD Spec) udført og godkendt.

• Hvor og hvad er risiko-vurderingen

• Hvad er kvalitets-procedurerne for sikkerhedskritiske implemnteringer og rettelser.

På mig lyder funktionaliteten totalt banal - og at sådan en fejl kan slippe igennem er helt og aldeles uhørt.

MD dækker stort set alt med bevægelige dele, undtagen: køretøjer, flyvemaskiner, skibe, våben, og atomkraftværker.

Det var også lidt det der var mit indtryk: Alt (personfarligt) maskineri der ikke er reguleret ved særlovgivning.

Dermed er det vel Sikkerhedsstyrelsen der skal udrede sagen ?

https://en.m.wikipedia.org/wiki/Therac-25

"Systemet er nu ændret, så det samme ikke vil ske igen."https://www.vejdirektoratet.dk/pressemeddelelse/2021/aarsag-til-fejl-paa-vilsundbroen-er-klarlagt

De to hændelser kunne indikere at der er et problem med sikkerheds arkitekturen af systemet.

Hvis der ikke var både der skulle igennem, så bliver det en tand værre!

En klapbro er ikke en maskine, den er et bygningsværk.

MD dækker stort set alt med bevægelige dele, undtagen: køretøjer, flyvemaskiner, skibe, våben, og atomkraftværker.

En klapbro er ikke en maskine, den er et bygningsværk.

OFF TOPIC,

1. Tower Bridge er forsikret ved Lloyd's of London som et skib

2. I 1952 "sprang" en af de kendt london dobbeltdækker busser over Tower bridge der var ved at åbne.

Du har muligvis ret. Efter min opfattelse er et system hvor man bare lige kan gå ind og omprogrammere ikke et sikkerhedssystem. Man må under ingen omstændigheder kunne programmere noget der direkte indgår i systemets sikkerhedsfunktion. Så er det ikke et sikkert system.

Man må gå ud fra, at der ved ændringer også gennemføres en (sikkerheds)test efter en reviewed - eller på anden måde anerkendt - testspecifikation.

Endvidere bør der også være sporbarhed på ændringer i softwaren (hvorfor, hvad, hvem, hvornår).

Begge dele opbevares selvfølgelig som dokumentation og er normalt et krav i den slags systemer.

Hej,

En klapbro er ikke en maskine, den er et bygningsværk. Den er dog heller ikke omfattet af bygnings reglementet; men opføres i henhold til krav fra relevant myndighed, det må være vejdirektioratet.

Efter min opfattelse er et system hvor man bare lige kan gå ind og omprogrammere ikke et sikkerhedssystem.

Hvad så med sikkerheds PLC'er, som f.eks.: https://www.pilz.com/da-DK/products/safe-control-technology ?

Man må under ingen omstændigheder kunne programmere noget der direkte indgår i systemets sikkerhedsfunktion. Så er det ikke et sikkert system.

Hvordan vil du så i det hele taget få systemet programmeret?

I gamle dage var sikkerhedsnormerne meget baseret på praktiske anvisninger med hardwarebaserede how-to-do løsninger; men med IEC 61508 og diverse afledte standarder er kravene idag i stedet statistisk specificeret. F.eks. skal man kunne bevise, at der maksimalt optræder 1 farlig, udetekteret fejl pr. 5000 år for SIL 3 ( -ln(1-0,99 )/10^-7 = 4.6 × 10^7 timer ), hvis systemet er deterministisk, kører kontinuert og er så nyt, at det ikke har bevist en pålidelighed i praksis, så der kræves en statistisk sikkerhed (confidense level) på 99 %. Det har f.eks. betydning for, hvor mange checkbit et kommunikationssystem er nødt til at indeholde for at kunne verificeres på en rimelig tid. Hvis f.eks. et feltbussystem har 20 checkbit, som Max-i, der er designet til at kunne bruges i sikkerhedssystemer, er sandsynligheden for fejl maksimalt 2^-20 ≈ 10^-6 (adskillige fejl detekteres med 100 % sandsynlighed), så der må ikke optræde én eneste fejl inden for to døgn, selv om de detekteres. For software og softwarebaserede løsninger, som ikke anses for nær så deterministiske som hardware, er kravene 10 gange højere, så hvis hele kommunikationsprotokollen og fejldetekteringen i Max-i ikke var realiseret i hardware, skulle man op på en testtid på 20 døgn, hvilket er urealistisk, eller bruge 3-4 checkbit mere.

...Han er PMI, PRINCE2 og TOP certificeret ligesom han også er certificeret i DiSC, Belbin og Enneagrammet. ..

Svar på:

Hvordan man er lykkedes med kunne åbne broen ved Frederikssund uden sikkerhederne på plads, er virkelig interessant. Ser frem til at ING.DK søger aktindsigt i PLC programmet og får det med i en artikel :-)

Manglende overholdelse af sikkerhedsprocedurer?

Det skyldes i hvert fald ikke djøf-automatisering?

Gevinstrealisering: Citat: "... I næsten alle organisationer kæmper vi med at vride gevinster ud af forandringsprojekter. Men ser du dig lidt omkring, eksisterer der mange bud på, hvordan du kan realisere et forandringsprojekts gevinster. ... Inden for gevinstrealisering har vi brug for adfærdsdesign til at vise præcis, hvordan vi skal ændre adfærd, og inden for gevinstrealisering er der en klart beskrevet plads i projektet til adfærdsdesign (forandringssporet) som midlet til, at forandringen lykkes. ... Kom ud, og prøv det af! Vi løser ikke problemet fra mødelokalet. ... Hvis vi skal lave en række kirurgiske indgreb, kræver det, at vi har indsigt i, hvad der sker blandt medarbejderne i den organisation, hvor forandringen skal finde sted, og hvad der lige nu er de største barrierer for at gøre vores ønsker om ny adfærd til virkelighed. ..."

Gevinstrealisering i projekter: Citat: "...På kurset Gevinstrealisering i projekter bliver du certificeret i TOP Value Equation®, som er en best practice-metode, der hjælper dig til at sikre gevinstrealiseringen i dine projekter...Gevinstrealisering er den værdi projektet tilfører efter projektet er afsluttet... Han er PMI, PRINCE2 og TOP certificeret ligesom han også er certificeret i DiSC, Belbin og Enneagrammet...."

Notat om fjernstyring af Aggersundbroen og andre mindre nordjyske broer: Citat: "... Ordningen er evalueret af en ekstern konsulent på en række opstillede kriterier, som peger på, at det er sik- kerhedsmæssigt og teknisk fuldt forsvarligt at gå videre med at implementere fjernstyring af Vejdirektoratets andre bevægelige broer. Vejdirektoratet vurderer derfor, at der er grundlag for en permanent fjernstyring af Kronprins Frederiks Bro og andre klapbroer, herunder Aggersundbroen, Vilsundbroen, Hadsundbroen og Limfjordsbroen, og dette vil bidrage til at realisere besluttede effektiviseringer, så opgaverne udføres så omkostningseffektivt som muligt. ..."

Supplering:

IEC 61508 SIL 3

SIL:https://en.wikipedia.org/wiki/Safety_integrity_level

Vorherrebevares.

I forvejen er dødtiden steget omkring 1 minut i forhold til da broen blev betjent lokalt, så man holder og venter på Godot fra det tidspunkt at broen er lukket til bommene går op, tilsvarende sker der intet i lang tid fra bommene går ned til broen begynder at åbne.

Nu får den nok endnu en gang sikkerhedssovs, så dødtiden bliver længere end den tid det tager for selv den sløveste sejlbåd at sejle igennem.

Men det er nok en feature, ikke en bug, for at få folk til at tage omvejen over Kronprinsesse Marys Bro

Du har muligvis ret. Efter min opfattelse er et system hvor man bare lige kan gå ind og omprogrammere ikke et sikkerhedssystem. Man må under ingen omstændigheder kunne programmere noget der direkte indgår i systemets sikkerhedsfunktion. Så er det ikke et sikkert system.

Derfor er et programmerbart anlæg ikke et sikkerhedssystem

Det mener jeg er lodret forkert, både teknisk og juridisk.

I bund og grund er kravet til et sikkerhedssystem at du kan bevise deres korrekte funktion og det kan man godt med mange simple programmer.

(Se f.eks Brinch-Hansens berømte "alle pilene peger mod højre" bevis.)

Men du har helt ret i, at man ikke bare kan hyre sin nevø til programmeringen.

Jeg spørger oprigtigt fordi jeg ikke kender svaret:

Er en fjernbetjent klapbro, samlet set, omfattet af EU's maskindirektiv, eller er det kun de diskrete mekanismer i den der er omfattet ?

Det er uhyggeligt hvad Lis Lassen skriver

Ethvert sikkerhedssystem skal gå til en sikker side ved optrædende fejl. Derfor er et programmerbart anlæg ikke et sikkerhedssystem, hvilket betyder at dem der i diskussionen forud påstod det var farligt at fjernstyre broerne jo har fået ret. Det er uhyggeligt hvad Lis Lassen skriver. Sæt manuel betjening på igen indtil vejdirektoratet forstår hvad sikkerhed er eller hyr en gammel DSB tegner ind.

Ikke at der ikke er plads til forbedringer men BaneDanmarks sikkerhedskultur er måske alligevel bedre?

Forklaringen om, at man "nu har programmeret om" lyder i den sammenhæng ildevarslende. Hvis man kan det, hvorfor har man så ikke gjort det fra starten. Det lyder som om man kender til fejlen på forhånd, og nu omgår den vha. kode. Det er en forkert sikkerhedsmæssig tilgang. En fejl som den beskrevne ville på banen have ført til en meget grundig årsagsundersøgelse, med efterfølgende påbud.

NB! Til de ingeniører som har programmeret den nye brostyring: Ændring af timere i en PLC løsning er ikke en løsning. Bommene kan fryse fast, signalerne være uden blink osv. og det er kun aktive feed-back loops som kan løse det - fra begge sider af broen, i redundant linjeføring med overvågning af alle linjer - både dem der bruges i feed-back og dem der anvendes mellem de to klapper. Mere inspiration her.

Da jeg var nybagt elektrikersvend kom jeg på udkald på Knippelsbro kl 02 om natten..

Brovagten: Ja, da jeg trykkede på baskulere, så stoppede den efter et øjeblik og kom ikke længere..

Migselv søvndrukken undervejs i bilen: Gad vide hvad baskulere er .. Nå; det bliver spændende.

Brovagten viser mig knapperne, og de gamle el-tavler, eldiagrammer og også forenden af den Massey Ferguson som var klar til nøddrift (man havde fjernet bagenden og koblet den på gearene).

Efter lidt graven i eldiagrammet blev det tydeligt at det at baskulere er, når det inderste (mod hængselsiden) af broen "sætter sig", hvorefter den normal skal løfte sig..

Men løftedelen af programmet afhænger af nødstopskredsen er indtakt, og den var den jo så ikke.

Fandt fejlen i den ene fodgænger-bom som ikke blev nede på plads, og dermed "udløste" et nødstop - som sikrede at broen ikke kunne løftes.

Hvordan man er lykkedes med kunne åbne broen ved Frederikssund uden sikkerhederne på plads, er virkelig interessant. Ser frem til at ING.DK søger aktindsigt i PLC programmet og får det med i en artikel :-)

Med 35+ års programmeringserfaring lyder det lidt som om der ikke er de påkrævde interlocks implementeret. At justere på tider lyder som lappeløsninger fra nogen der ikke helt har fod på det.

Nu kan beskeden jo være noget forvansket undervejs og de egentlig har styr på det. Tænk bare på fjeren der blev til ti høns; men som erfaren embedded programmør rejser mine nakkehår sig lidt.

En rettelse med dén kommentar var ihvertfald ikke gået ugransket hen over mit skrivebord.

Kommer umiddelbart til at tænke på Therac-25 hændelsen. For dem der ikke har hørt om den, læs IEEE artikelen. Den er virkelig lærerig.

"Vi har omprogrammeret...." Hvor herre til hest..

Helt enig. Det går over min forstand, at nogen kan finde på at lave at program, hvor broen kan åbnes, før bommene har kvitteret for at være helt nede - ikke bare at man har sendt lukkesignal - og lige så selvfølgeligt - at bommene ikke kan gå ned før et stykke tid efter, at de røde lamper og alarmklokkerne har kvitteret for at være aktiveret. Hvis disse aflåsninger, der skal være ufravigelige ved hel- og halvautomatisk drift, ikke har været en indlysende selvfølgelighed lige fra starten, hvilket det kunne tyde på, er systemet fejldesignet og/eller programmøren uduelig, og så har jeg heller ikke megen tiltro til en omprogrammering.

De kan starte med at google 'hardwired interlock' ....

Hardwired interlock vil nok i mange nye anlæg blive erstattet af feltbusbaserede sikkerhedssystemer, der så i dette tilfælde minimum skal opfylde IEC 61508 SIL 3 - bl.a. fordi der er talrige situationer, hvor en hardwired interlock ikke vil virke, som f.eks. hvis kriteriet for opstart ikke er det samme som kriteriet for nedlukning og/eller nødstop, hvilket nok er tilfældet her. Ellers er jeg enig med dig, og jeg har meget stor erfaring med PLC-styringer til f.eks. foderstoffabrikker og kraftvarmeværker og med feltbussystemer.

Det er rystende, at noget sådant kan ske. Det kunne være endt med dødsfald.

Jeg kender ikke fejlen i detaljer (logisk fejl i SW , HW fejl (herunder forvansket program), støj eller ???), men man skal være opmærksom på, at teknisk udstyr kan fejle, og mulige fejl i et teknisk udstyr må ikke kunne give fare.

En fremgangsmåde for at undgå sådanne fejl kunne være noget i retning af:

• skrive en detaljeret kravspecifikation incl krav til sikkerhed

• udarbejde en risikoanalyse

• lade erfarne folk projektere

• foretage kvalificeret uafhængig granskning af projekteringen

• fabriksteste med forsøg på at omgå alle spærringer

• eftervise overholdelse af relevante normer

Det er nok nemmest at lade de sikkerhedsmæssige spærringer ligge lokalt på broen, så sparer man mange overvejelser om forvansket transmission.

Det vil være interessant at se en detaljeret redegørelse for fejlen.

Som eksempel på en branche med stor focus på sikkerhed kan nævnes jernbanesignaler. Farlige tekniske fejl kan forekomme, men de er yderst sjældne. Om broer med jernbanespor: Der er en sikker spærring mellem togtrafik og åbning af broen.

Godt spottet. Det er tilføjet. :)

mvh. Daniel

Nu flyttede man ansvar for overskæringer til BaneDanmark på et tidspunkt - måske man skulle gøre det samme med fjernstyrede klapbroer? Ikke at der ikke er plads til forbedringer men BaneDanmarks sikkerhedskultur er måske alligevel bedre?

Det er vel i virkeligheden ikke så farligt at den åbner uden grund, men langt mere alvorligt at det sker uden eller med mangelfuld varsling.

Der er godt nok nogle ingeniører, der burde sendes tilbage i skolen og få et kursus i PLC-programmering ... og ikke mindst: Risiko-analyse. Siger den gamle kvalitetschef.

De kan starte med at google 'hardwired interlock' ....

"Vi har omprogrammeret...." Hvor herre til hest..

Lige en servicemeddelelse for alle os der ikke bor i Nordsjælland :-)

Nu ikke så negativ Rolf, Lis Lassen udtaler jo:

»Vi har omprogammeret systemet, så det ikke kan ske igen,«

Famous last words ?

Der er godt nok nogle ingeniører, der burde sendes tilbage i skolen og få et kursus i PLC-programmering ... og ikke mindst: Risiko-analyse. Siger den gamle kvalitetschef.