Minister fastholder tiltro til IC4-analyse

IC4-analysen fra rådgivervirksomheden Atkins har mødt hård kritik, men det til trods fastholder transportminister Henrik Dam Kristensen (S), at han ikke er i tvivl om, at Atkins har været de mest kompetente til at udføre analyseopgaven. Han har i flere svar til transportudvalget benyttet sig af at understrege sin tiltro til Atkins' kompetencer.

»Jeg er fuldt ud overbevist om, at den tidligere regering valgte de mest kompetente jernbaneeksperter til at gennemgå IC4- og IC2-projektet,« skriver Henrik Dam Kristensen i et skriftligt svar til transportudvalget den 6. december.

Han mener ikke, at han har grund til at betvivle Atkins' analyse, selvom det modsatte er blevet påpeget.

Illustration: DSB

En af kritikerne er it-ekspert Erik Frøkjær, der er lektor på Datalogisk Institut ved Københavns Universitet. Efter at have fået adgang til den såkaldte baggrundsrapport om IC4-analysen har han kritiseret arbejdet, hvor Atkins konkluderer, at IC4-togets kørecomputer er 'grundlæggende sund', for at være overfladisk, misvisende og vildledende.

»De har slet ikke på nogen måde været i dybden omkring TCMS'en og hele it-systemet. Det fremgår af rapporten, der uden diskussion afslører, at Atkins ikke på nogen måde har været i bund med at se på computersystemerne,« siger Erik Frøkjær.

Læs også: Ekspert efter ny IC4-rapport: Ingen kan tage konklusionerne seriøst

I sin kritik hæfter han sig ved, at Atkins hverken har udført selvstændige undersøgelser eller talt med nøglepersoner. Og undersøgere kan derfor være nok så kompetente, men deres undersøgelser er intet værd, hvis de rent faktisk ikke har undersøgt det foreliggende spørgsmål.

»Hvorvidt det er de mest kompetente rådgivere, der er valgt, er sådan set ikke det, som bliver kritiseret. De kan have nok så meget generel kompetence, men hvis de ikke har brugt den i den konkrete undersøgelse, og det kan man se, at de ikke har, ved at de ikke har været dybt nede i det og for eksempel ikke har talt med en eneste software-nøgleperson fra Ansaldobreda, så er undersøgelsen jo intet værd,« siger Erik Frøkjær.

Systemet fyldt med fejl

Erik Frøkjær mener desuden, at der er mange indikationer i baggrundsrapporten, der peger på, at kørecomputeren ikke er 'grundlæggende sund', men at der derimod ikke er styr på software-delen i IC4, og at der er dokumentation for, at man ikke har overblik over og forståelse for softwaren.

»Af rapporten fremgår det for personer med teknisk indsigt klart, at softwaresystemerne er meget alvorligt fejlbehæftede og mangelfuldt forstået, både af de, som skal lede projektet til en form for afslutning, og af Atkins-konsulenterne. Alle alarmklokker burde lyde for de ansvarlige,« siger Erik Frøkjær.

Men Henrik Dam Kristensen har ikke været modtagelig over for kritikken. Han mener, at Atkins har det bedste faglige grundlag for at komme med konklusioner om IC4.

»Atkins har gennemført en analyse, hvor de - som de eneste - har haft adgang til alle de dokumenter og medarbejdere, de ønskede. Der er mange der har holdninger til IC4 og til Atkins' undersøgelse, men mig bekendt er der ikke andre end Atkins, der har haft adgang til al viden om IC4. Atkins' undersøgelse giver derfor det fagligt bedste grundlag for at tage stilling til IC4- og IC2-projektet,« skriver han i et svar til transportudvalget.

Læs også: Her er Atkins' baggrunds-rapport om IC4 - giv os en hånd

Og her kan Erik Frøkjær ikke erklære sig helt uenig - han har ikke selv haft mulighed for samme indsigt som Atkins, blandt andet fordi man har forsøgt at tilbageholde informationer for offentligheden, mener han.

»Ministeren har ganske ret. Vi i offentligheden er i årevis blevet holdt hen med ministeriets bureaukratiske lukkethed og forvrøvlet snakken udenom. Kun drypvis og nødtvunget har man kunnet modtage mangelfulde og misvisende informationer om, hvorfor denne IC4-toglevereance har været forsinket - og togene fortsat ubrugelige,« siger han.

Ifølge Erik Frøkjær lukker transportministeren med afvisningen af kritikken øjne og ører for de indikationer, han får, som er fuldstændig nagelfast dokumenteret i rapporten.

»Jeg er helt uenig med ministeren i, at rapporten skulle være et betryggende beslutningsgrundlag for det videre arbejde med IC4,« siger han og tilføjer:

»Den ukyndige og arrogante holdning, som synes at komme til udtryk i ministerens svar til transportudvalget, lover meget, meget skidt for IC4-togenes fremtid.«

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Jeg tror professoren og Atkins har forskellige reference rammer her.

Atkins siger at togcomputer hardwaren er grundlæggende sund, for det har vi jo set andet sted er standard togcomputere som sidder mage til i masser af andre tog rundt om i verden. Derimod påpeger de at der er problemer med softwaren, men at det er helt almindeligt ved nye togtyper.

Professoren ser computeren som et hele - både HW og SW - som en slags appliance, men det er det tydeligvis ikke. Man køber togcompuuter HW et sted og skriver så SW selv.

Med oplysningerne fra "IC4 overingeniøren" er det klart at hele SW komplekset skal kodes om oppe fra og nedefter.

Måske professoren har nogle eksamensprojekt eller phd studerende der kan gøre det som en del af deres projekt? Det ville jo være en lidt mere konstruktiv approach.

  • 0
  • 0

siger bare det han skal sige, for der er ikke penge til andre tog (medmindre man sælger et skrantende DSB). rapporten havde en yderst belejelig konklusion for regeringen. no surprise her.

  • 0
  • 0

Professoren ser computeren som et hele - både HW og SW - som en slags appliance, men det er det tydeligvis ikke. Man køber togcompuuter HW et sted og skriver så SW selv.

Den forstod jeg ikke. Forklar?

  • 0
  • 0

Måske professoren har nogle eksamensprojekt eller phd studerende der kan gøre det som en del af deres projekt? Det ville jo være en lidt mere konstruktiv approach.

Ja, man tager bare nogle studerende uden praktisk erfaring og noget kendskab til jernbanedrift og sætter dem til at programmere software til et computersystem, som de ikke kender; men hvor man formodentlig skal garantere i størrelsesordenen max. én farlig, udetekteret fejl pr. 50.000 år (IEC 61508 SIL 3), og så håber man iøvrigt på at kunne få support, når de har forladt læreanstalten.

Skal vi ikke prøve at få lidt realisme ind i debatten :-)

  • 0
  • 0

men hvor man formodentlig skal garantere i størrelsesordenen max. én farlig, udetekteret fejl pr. 50.000 år (IEC 61508 SIL 3),

Hvis nogen har rejst det krav i forbindelse med IC4, hvorfor er der så intet sted skyggen af dette krav ?

Så vidt jeg kan gennemskue har man netop sat folk med for meget jernbane og for lidt computer til at kode IC4 og derfor aner de sandsynligvis ikke at der findes noget der hedder "SIL" til at begynde med...

(Ikke at dataloger uddannet i Danmark nødvendigvis aner det heller, men jeg ville heller ikke sætte dem på opgaven. :-)

  • 0
  • 0

[quote]Måske professoren har nogle eksamensprojekt eller phd studerende der kan gøre det som en del af deres projekt? Det ville jo være en lidt mere konstruktiv approach.

Ja, man tager bare nogle studerende uden praktisk erfaring [/quote] Sådan har vi allesammen været engang.

og noget kendskab til jernbanedrift og sætter dem til at programmere software til et computersystem, som de ikke kender;

Nok ikke så godt som dem der har programmeret det siden 1999, men det kan de jo komme til; forhåbentlig på kortere tid.

men hvor man formodentlig skal garantere i størrelsesordenen max. én farlig, udetekteret fejl pr. 50.000 år (IEC 61508 SIL 3),

Virkelig? Er det det de har brugt tiden på? Nå, men det må vel tage den tid det tager.

og så håber man iøvrigt på at kunne få support, når de har forladt læreanstalten.

Det kan da ikke være så svært som at hyre italienerne igen, efter at man har smidt dem på porten med brask og bram.

Skal vi ikke prøve at få lidt realisme ind i debatten :-)

Hahaha, sjove mand, du reddede min aften.

  • 0
  • 0

Så vidt jeg kan gennemskue har man netop sat folk med for meget jernbane og for lidt computer til at kode IC4 og derfor aner de sandsynligvis ikke at der findes noget der hedder "SIL" til at begynde med...

(Ikke at dataloger uddannet i Danmark nødvendigvis aner det heller, men jeg ville heller ikke sætte dem på opgaven. :-)

Hvem vil du så sætte til det? Jeg har set realtids programmer, der er lavet af danske ingeniører. Der er en grund til at de kalder det 'kode'.

Og en anden ting: Hele certificeringsmetodikken, som ingeniører slæber med fra hardwaretests er en klods om benet på softwareudvikling fordi den forhindrer 'rapid prototyping', altså den sinker rettelse-test cyklussen. Den hindrer også at men 'rydder op' i eksisterende, certificeret software, det blir til en 'if it ain't broke, don't fix it' attitude, som før eller senere, efterhånden som der bygges til med ny software, straffer sig selv.

Ministeren fremhæver at Atkins 'har haft adgang til alle de dokumenter og medarbejdere, de ønskede'. Ja, de har fået adgang til specs, og de personer som har skrevet og testet specs. Men de har ikke kigget på den faktiske 'kode'.

  • 0
  • 0

Ministeren fremhæver at Atkins 'har haft adgang til alle de dokumenter og medarbejdere, de ønskede'.

Min anke er at de kun har kigget på hardware, de har overhovedet ikke underkastet softwaren noget der ligner en relevant undersøgelse på de kritierier der er relevante for software.

IC4 er og bliver et computernetværk der drøner ned af skinner med 200 km/h, men det er der tilsyneladende ingen i jernbanebranchen, hverken DSB, A-B eller Atkins der forstår betydningen af.

  • 0
  • 0

......hen ad skinnerne:o)

Jeg kan kun være enig. It har ikke noget at gøre i et tog.....god gammeldags elektromekanik.....det virker hvergang...:o)

  • 0
  • 0

Jeg kan kun være enig. It har ikke noget at gøre i et tog.....god gammeldags elektromekanik.....det virker hvergang...:o)

Problemet er bare at overføre flere hundrede signaler gennem togkoblingerne. I praksis er en redundant feltbus på dette sted det eneste realistiske.

Du må desuden ikke forveksle fejlsikkerhed med funktionssikkerhed. Det er let at lave et fejlsikkert system med gammeldags elektromekanik (relæer); men relæernes relativt lave pålidelighed reducerer funktionssikkerheden. Et fejlsikkert system kobler ud lige meget hvilken fejl, der forekommer. Derved undgås ulykker; men passagererne bliver bare så sure, når selv den mindste fejl giver anledning til et stop.

Til gengæld er jeg enig i, at komplicerede, ikke-realtidssystemer som Windows, Linux og Android ikke har nogen som helst berettigelse i de vitale dele og formodentlig også vil være umulige at få sikkerhedsgodkendt.

Som Einstein sagde: "Everything should be made as simple as possible, but not simpler". Den sidste tilføjelse er nøglen til succes og det, der gør denne formulering langt bedre end K.I.S.S.

  • 0
  • 0

[quote]Jeg kan kun være enig. It har ikke noget at gøre i et tog.....god gammeldags elektromekanik.....det virker hvergang...:o)

Problemet er bare at overføre flere hundrede signaler gennem togkoblingerne. I praksis er en redundant feltbus på dette sted det eneste realistiske.

Du må desuden ikke forveksle fejlsikkerhed med funktionssikkerhed. [/quote]

Enig. Simpelt relæ teknik kan løse opgaven når opgaven når det drejer sig om at åbne nogle motor kontaktorer når nødstop, eller låge switche bliver aktiveret.

Derudover kommer det hurtigt til kort mht. diagnostic coverage etc.

  • 0
  • 0

Jeg har prøver at få et overblik over arkitekturen af sikkerhedssystem ved at følge div. artikler og debatter på Ingeniøren.

Der bliver talt meget om det store software kompleks som muligvis har arkitektur problemer, og i samme kontekst bliver IEC 61508 nævnt.

Det er evident at der er functional safety krav til f.eks. døre, signal systemer, og bremser. Men går sikkerheds signalerne fra f.eks. dør system til bremser via. det overordnede software kompleks, eller bliver det håndteret i et simplere sikkerheds system.

Jeg mener at have læst et sted at IC4 anvender QNX, hvilket giver god mening da man kan købe off-the-shelf industri PC og få systemet op og køre på 30 min.

Men kan sådan et system overhovedet leve op til f.eks. SIL 3. Det ser ikke ud til at QNX har været klar da systemet blev designet: http://www.qnx.com/news/pr_4263_3.html Konkurrenterne GreenHills, og WindRiver var lidt længere fremme: http://www.ghs.com/news/2005102405_safety_...

Da IEC 61508 godkendte systemer ikke må svigte selvom CPU’en f.eks. bliver ramt af ioniseret stråling der flipper et bit, så sidder der normal to CPU’er der køre locked stepped.

Jeg tror ikke at det overordnede system bruges til at implementere sikkerheds funktioner da det vil kræve: - Dobbelt CPU’er og locked stepped operation - Et IEC61508 godkent partitioned operativ system

  • 0
  • 0

Men går sikkerheds signalerne fra f.eks. dør system til bremser via. det overordnede software kompleks, eller bliver det håndteret i et simplere sikkerheds system. [...] - Et IEC61508 godkent partitioned operativ system

Det er et rigtig godt spørgsmål mht. bremserne. Jeg er ikke klar over om det fundamentalt set stadig er et rent trykluft system til aktivering, men der er helt sikkert en elektronisk systemkontrol der tillader overvågning og muligvis udkobling af bremseenheder.

Jeg har intet sted set nogen reference til IEC61508 eller andre software-relaterede strukturtiltag, faktisk har jeg intet set til softwaren overhovedet, der giver noget indtryk af at nogen af de implicerede aner noget om software.

På den fejlmatrice vi blev vist til læserarrangement var antallet af software fejl/rettelser det dobbelte af hardware fejl/rettelser.

  • 0
  • 0

Jeg har intet sted set nogen reference til IEC61508 eller andre software-relaterede strukturtiltag,...

IEC 61508 er grundlaget for rigtig mange standarder:

EN 50128 Railway IEC 60601 Medical equipment IEC 61511 Process industry IEC 62061 / ISO 13849 Machinery DO-178B Aerospace IEC 50156 Furnaces IEC 60880 Nuclear power stations ISO 26262 Automotive

Selv om IEC 61508 ikke nævnes direkte, er det i mange tilfælde alligevel de samme krav, der er gældende - blot tilpasset en specifik branche. F.eks. er sikkerhedsprocessoren TMS 570 fra Texas Instruments godkendt til IEC 61508 SIL 3 og vil derfor være velegnet til rigtig mange brancher.

  • 0
  • 0

[quote]Jeg har intet sted set nogen reference til IEC61508 eller andre software-relaterede strukturtiltag,...

IEC 61508 er grundlaget for rigtig mange standarder:

[/quote]

Jep, men check Atkins rapport: Kan du finde noget i den der bare tilnærmelsesvis kommer i nærheden af nogen af den slags ?

  • 0
  • 0

[quote]IEC 61508 er grundlaget for rigtig mange standarder:

Jep, men check Atkins rapport: Kan du finde noget i den der bare tilnærmelsesvis kommer i nærheden af nogen af den slags ?[/quote]

Nej, men da der kun er én trykluftbremse, må de andre nødvendigvis være elektrisk styret, og så vil jeg da meget håbe, at den del lever op til gældende sikkerhedsstandarder.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten