Nyt signalsystem til S-tog ramt af softwarefejl fra dag ét

Første etape med S-togenes nye CBTC-signalsystem mellem Hillerød og Jægersborg er ramt af fejl i klarsignaler til lokomotivførerne. Togene kører nu med en midlertidig løsning, hvor systemet skal genstartes i hvert eneste tog.

Mandag morgen tog DSB og Banedanmark det nye signalsystem på S-banen i brug på den første strækning mellem Hillerød og Jægersborg. CBTC-systemet, som det seneste års tid har været plaget af forsinkelser og problemer med softwaregodkendelser, skal sikre færre signalfejl og forsinkede tog på den stærkt trafikerede bane.

Men allerede på dag ét meldte problemerne sig. Mandag begyndte klarsignalerne til lokomotivførerne at svigte, og tirsdag eftermiddag var problemet så omfattende, at DSB og Banedanmark valgte at halvere afgangene og køre 20-minutters drift og togbusser mellem Lyngby og Hillerød.

Læs også: Nyt signalsystem til S-tog bliver et halvt år forsinket

»Problemet opstod mandag i retning mod Hillerød. Vi havde indledningsvis ikke problemet i retning af København, men det fik vi i løbet af tirsdag. Og omfanget af opkald mellem lokomotivførerne og trafikkontrolcentret blev så stort, at vi blev nødt til at reducere trafikken mellem Lyngby og Hillerød,« siger Torben Arnbjerg-Nielsen, programchef for S-banen i Banedanmarks signalprogram.

Softwarefejl

Den manglende afgangsindikator til lokomotivførerne skyldes en fejl i togenes softwaresystem. Banedanmark har nu identificeret fejlen, fortæller Torben Arnbjerg-Nielsen.

»Det nye signalsystem har flyttet al signalinformation langs sporene ind i et display hos lokoføreren. Det viser en samlet afgangsindikator, der markerer tilladelse til at køre fra stationen. Den indikator til lokoføreren er i nogle tilfælde ikke blevet vist. Det har den konsekvens, at lokoføreren skal ringe op til kontrolcentret og få en mundtlig køretilladelse,« siger han.

»Vi har en løsning klar, som vi i øjeblikket er ved at få testet. Derefter skal vi sammen med DSB lave en plan for, hvordan den skal implementeres på togene,« siger Torben Arnbjerg-Nielsen.

Skal genstartes på hvert eneste tog

S-togene på strækningen har siden 7:30 onsdag morgen været tilbage i 10-minutters drift med en midlertidig løsning.

»Togene kan køre i 10-minutters drift på grund af et workaround, som vi fik testet i går aftes, og som er blevet implementeret her til morgen. Den indebærer, at systemleverandøren Siemens i øjeblikket går ind og genstarter systemet på hvert eneste tog, inden det skal ud at køre. Og det gør, at vi ikke oplever problemet med afgangsindikatoren,« siger Torben Arnbjerg-Nielsen.

Hvornår regner I med at have den endelige løsning på plads i alle tog?

»Det er vi ved at lave en samlet plan for. Og før vi har fastlagt den plan med DSB, vil jeg meget nødig sætte et tidspunkt på,« siger programchefen.

Kommentarer (32)

Ja, hvorfor skulle dette system være bedre end alt det andet, der bliver anskaffet og sat ind forskellige steder i samfundet.
Det hele "sejler" jo her i Danmark, lige fra Skat, over Politiet til alle de andre statslige institutioner i så udbredt grad, at det er ved at ødelægge samfundsstrukturen indefra.
Og politikerne er ikke uden skyld,- de sparer jo alt væk eller splitter arbejdspladser op, så intet længere fungerer.
Er der noget at sige til, at vi danskere efterhånden er godt trætte af de udygtige mennesker, der ca. hvert 4 år stikker næsen frem og lover "guld og grønne skove"!
Hvor herre bevares!

  • 20
  • 17

I rigtig lang tid har togkørslen på strækningen mellem Gentofte og Hillerød været aflyst i weekenderne for at "teste det nye signalsystem". Hvordan kan det så være at der nu "opstår" fejl, der virker som ret basale?

  • 11
  • 7

En fejl er opstået og fundet på første dag! Ja det er nok hvad man kan forvente, man har jo ikke bygget et testanlæg i full-scale, så det medfører ikke engang et løftet øjenbryn herfra.

Situation: Fejl fundet, midlertidig work-around fundet, løsningen også klar (og vi er kun på dag 3) og man er ved at planlægge hvordan rettelsen rulles ud.

God gået så langt!

  • 21
  • 5

  • er en talemåde om centrale "systemer", som "bare" ikke må blive fejlramt.

Talemåden kan også føre til handlingslammelse - fordi ingen "tør" ændrer ved disse systemer.

Vi har så valgt at ændre landets signalsystem for tog - og denne ændring falder vel i den nævnte kategori.

Men det er da "teknisk interessant" - om ikke andet så for at lære noget - HVORFOR dette, i princippet gennemtestede, system fejler ?
- er det en umiskendelig "Murphy-fejl" (e.g. naturen holder med de skjulte fejl) - altså helt utestbar
- er det en dumme-fejl (e.g. det er menneskeværk)
- er det en belastningsfejl (e.g. burde være opdaget i prøvedriften, hvis den havde været mere intensiv)

P.S.: Som projektkvalitetschef (it) har jeg gentagne gange spurgt projektlederne: "Og hvordan vil I så teste at det virker ?".
Jeg husker især et tilfælde, for et potentielt livsvigtigt projekt, hvor svaret var: "det kan vi ikke ....".
Mit svar var: "I kan bare hyre 1.000 studerende lørdag formiddag, så .....".
Og det skete, og driftsætningen gik godt.
Morale: så længe det ikke er destruktivt (e.g. raketter), så kan det næsten altid testes .... i stor skala.

  • 17
  • 1

Hvor mange har fået muligheden for at byde på denne softwareløsning?
Siemens er kendt for at lave langsomme og administrative tunge softwareløsninger. Et klart eksempel på dette er de "lynhurtige" P-automater, som alle dage har virket som om der er installeret Windows 3.0 på.

  • 3
  • 10

'Det har den konsekvens, at lokoføreren skal ringe op til kontrolcentret og få en mundtlig køretilladelse,« siger han.'

Der findes ikke mundtlige køretilladelser på CBTC, De får tilladelse til at kører på det signal de har, hvor mystisk det end lyder :)

  • 3
  • 1

Vil skyde på at Siemens var det "fornuftige" valg i dette tilfælde, nu det er dem der har leveret det materiel der kører på skinnerne, som det nye signalsystem monteres i.
Tør ikke tænke på hvor galt det kunne gå hvis det var 2 forskellige leverendører der skulle stå for ombygningen af togene....

  • 4
  • 2

Det faktisk korrekt gengivet af ing.dk. Da man i længere tid har været klar over dette problem kunne opstå i driften - eksempelvis hvis lokomotivføreren afbryder afgangsproceduren af den ene eller anden årsag. For at lette ekspeditionen og undgå en "skriftlig ordre - fortsæt" når toget holder med en køretilladelse, men med et manglende "afgangssymbol" genereret af systemet, så har man indført denne mundtlige melding. Den er beskrevet i Banedanmarks Trafikcirkulære OR-S 02/2016 udsendt 12.02.2016. Man havde dog ikke forventet denne mundtlige melding skulle bruges så hyppigt de første dage i den overvågede prøvedrift :)

  • 15
  • 0

Jo man har testet systemet igennem, men når man ikke kommer længere væk end Gentofte eller Lyngby i testperioden, så er det svært at forudse hvordan systemet reagerer ved at CBTC lægges i dvale og HKT tager over hele vejen til Køge og tilbage igen til Jægersborg. Fejlen opstod netop for tog der kom sydfra i første omgang og dermed har fejlen relation til den længe periode systemet er in-aktivt og ikke-rapporterede.

  • 18
  • 0

Var der ikke noget med at det gamle system var fra -30'erne?

Så det har da holdt et stykke tid...


Det er noget nyere. Hillerød er den ældste og er den eneste elektromekaniske sikringsanlæg, som er tilbage på S-bane-nettet og er fra 1952. Typen er fra 1946 og bygger på en type fra 1912. Den bruges stadig lokalbanens tog, for der mangler en tilpasning, som er planlagt leveret senere.

De øvrige anlæg på Jægerborg til Hillerød er et par typer af relæanlæg, som er taget i brug fra 1957 til 1988. På resten af S-banenettet er fra 1971 til 2000'erne.

  • 7
  • 0

Hvor er det synd !
- for BaneDanmark at de får kritik for at forsinke tusinder af borgernes dyrt betalt brug af skinner til at komme frem !

Hvis dit synspunkt er rigtigt, så kunne testen bare være udvidet til hele, eller en stor del, af skinnenettet. Dit synspunkt betyder, at testscenariet fejlagtigt, og i strid med en vurdering af konsekvenserne, har været for begrænset.

Det er muligt, at en kvantitativ analyse har fastlagt, at fem dage med x tusinde forsinkede passagerer er billigere end y dages fuld-scale test med tilhørende busser (og gener).
Men mon dog ?
Ellers læg det frem.
Det er OK at lave en fejlvurdering på et konkret grundlag, eller et grundlag som er diskutabelt, men det er ikke OK at være naiv (= begrænset test af et mission critical system).

  • 2
  • 6

Det har forlydt i min øresnegl at hvis der ændres så meget som et komma i softwaren, skal hele testproceduren køre forfra med togbusser i weekenden i månedsvis!
Det er der forhåbentlig nogle vidende deltagere her, der kan afkræfte?

  • 5
  • 1

Det har forlydt i min øresnegl at hvis der ændres så meget som et komma i softwaren, skal hele testproceduren køre forfra med togbusser i weekenden i månedsvis!
Det er der forhåbentlig nogle vidende deltagere her, der kan afkræfte?


De kommet ind i en ny fase, hvor det nye signalsystem på S-tog er godkendt til drift. Så de skal ikke igennem togbusser i weekenderne.

De lægger det rettet software ind i et par togsæt og tester dem af imens det øvrige drift opretholdes. Samme procedure vil også ske ved fremtidig opdateringer. Som Kaj skriver er det uden for området for det nye signalsystem at problemet opstår.

  • 7
  • 0

For det første er der ikke belæg for at klandre DSB. De er blot bruger at et baneanlæg der stilles til rådighed af Bane Danmark.
Da der er tale om et signalsystem så er det oppe i den 'helt tunge' klasse m.h.t. sikkerhedsgodkendelse. Det betyder normalt at det er en ekstern 3'e part der tester og godkender anlægget, altså hverken leverandør (Siemens) eller kunde (Bane Danmark). Hvem er det egentligt der har godkendt anlægget?
Det sagt, så er det interessant nu at finde ud af hvorfor denne fejl kunne gå uopdaget igennem. Hvad er det man har glemt at teste. Ellers får vi ikke noget som helst positivt ud af denne hændelse. Det ville klæde Bane Danmark / Siemens at få offentliggjort denne viden, så der kan læres noget af det. Det ville, i det mindste på den lange bane være med til at forbedre begges renomme.

  • 10
  • 0

Det sagt, så er det interessant nu at finde ud af hvorfor denne fejl kunne gå uopdaget igennem. Hvad er det man har glemt at teste.


Hvis du nu nærlæser Kaj Aage Holdts indlæg, så er det man ikke har testet hvordan CBTC opfører sig, når det er inaktivt på turen fra Jægersborg til Køge og retur. Kaj er elektrofører og kører åbenbart på linie A i disse dage, så vi får næppe bedre kilde :-) Det har man ikke forudset kunne være et problem og i Jan Heisterbergs krystalklare bagspejl selvfølgelig for dårligt.

  • 12
  • 0

Det var nu mest for at være en ordkløver.., det er ikke en køretilladelse i den forstand, hvis det var en køretilladelse, ville det være en sikkerhedsmelding, og det er det netop ikke, det er en oplysende melding..
Men jeg ved godt hvad du snakker om, vi arbejder samme sted :)

  • 0
  • 0

Som en pendler der kører fra Sorgenfri station hver dag kan jeg fortælle at det er yderst irriterende. Køreplanen har været brudt sammen siden det begyndte i mandags og jeg har ikke oplevet tog der ikke er meget forsinkede endnu.

  • 2
  • 2

Lyder som om softwaren har et problem med at håndtere når den er "offline" i længere perioder af gangen. Toget kan sikkert godt håndtere det en enkelt eller to perioder, men derefter bliver det mere og mere belastet at nogle ressourcer mangler at blive frigivet. I så fald er den midlertidige løsning helt korrekt (og lidt tragisk) at genstarte toget hver gang det når til endestationen.

Er selv pendler på A-linjen til og fra Hillerød, men har været nogenlunde forskånet de værste udfald. Konen var knapt så heldig

  • 4
  • 0

Egentligt er det tankevækkende at S-banen jo bare er et sporvognssystem, der er vokset lidt. Dvs. linjenettet er jo mere enkelt end det gamle københavnske og der ikke anden trafik, der skal koordineres med ligesom afstandene mellem to vogne er større. Sporvognene kørte jo med afstande mellem to sporvogne på ned til 20 cm. Til gengæld er hastigheden lidt højere og vognene større og vogntogene længere.

  • 1
  • 4

@Uffe Palludan

Egentligt er det tankevækkende at S-banen jo bare er et sporvognssystem, der er vokset lidt.


Der sket flere gange ulykker på S-banen, hvor 2 tog kørt op hinanden. Senere nord for Lyngby station i 2005, hvor 47 passagerer blev såret. S-tog så hurtig man ikke køre på sigt og så tunge, at der er store kræfter der er i spil.

Nye regler for S-tog medtaget godstog - om det sker er mere tvivlsom, da lokomotiverne skal have udstyr kører på strækningen. Det lokomotiv, som har udstyr til det, er lokalbanens, som vil blive brugt til transportere togsæt imellem baner og værksteder.

  • 1
  • 1

Af at høre alle de negative og bedrevidende lænestolseksperter som med slet skjult skadefro kan nedsable ethvert tilløb til udvikling og nytænkning.
Nu skal jeg fortælle jer en ting..
Al udvikling kræver at nogen tør tage de første skridt.
Havde verden kun bestået af mennesker med jeres syn så havde vi stadig skulle med æselkærre hvis vi skulle til Roskilde.
Altså hvis I havde turde benytte den nymodens opfindelse som de kalder 'hjulet'.. Eller det havde nok været sikrere at gå til fods..
Hvis I nogensinde har været med til at opfinde eller nyudvikle, så vil I vide at der kommer 'aha-oplevelser' uanset hvor godt du har simuleret og testet. Som regel er det sådan at jo mere komplekst systemet er, des flere aha-oplevelser.
Trøst jer med at de trods alt ikke regner med at miste ca. hvert 50. fartøj og besætning.
og Uffe P.. Jeg ved godt at du elsker provokationen, men du må kunne bedre end sammeligning mellem s-tog og sporvogne..

  • 4
  • 2

Lyder som om

Tak Tommy. Som en der til daglig har med test at gøre, er det ønskeligt at lære af dette.Kun derved laver vi bedre systemer fremover. Som jeg kan se det her og nu er der to ting at tage med;
- Sørg for at teste at dit system kan forblive i en tilstand meget længere end det normalt vil være.
- Sørg for at se på test hvor du også ser på 'aparte opførsel' af omgivelserne (og omgivelsernes omgivelser).
Mine egne erfaringer, fra det jeg arbejder med er, at der af og til opstår problemer p.g.a. af omgivelserne ikke ikke helt opfører sig som man troede. Dette oplever man så somme tider først, når man er i produktion. Moralen må her være, brug lidt ekstra ressourcer på at finde ud af hvordan omgivelserne opfører sig, i praksis.

Og den slags ting var det man kunne få ud af en havarikommission.

  • 1
  • 1

Jeg kan godt forstå at folk, der ikke er professionelle i software branchen, kan blive sure over det makværk, der alt for ofte produceres i branchen: Men jeg er også tidligere software supporter i Danmark og Sydvesteuropa og har set en del, så jeg føler også med de udviklere, der dagligt ser deres forsøg på forklaringer mishandlet af ... eh ... de faktaresistente.

Her har man mildest talt ikke være heldige med at udgrænse de relevante use cases i testen. Den slap igennem til betaenMan har måske endda overset at de to typer skift mellem HKT og CBTS var relevante i en integrationstest. Har man i planlægningen af test-scenarier glemt at tage at tage højde for at systemet udrulles gradvist.

Man vil helst heller ikke tilføje for mange "work-arounds", der kan risikere at give problemer, når system er fuldt usbygget og klar til normal drift.

Jernbane signaler (føreløse biler) er trods alt kritiske systemer.

I sidste uge (mener jeg) læste jeg i "omslaget" at FB kræver en responstid 1 ns svarende til tovejs trådløs kommunikation på 150 kilometers afstand. Det var næppe "bare en regnefejl", som min søn foreslår, for der var argumenteret for de enkelte størrelser - undtagen behovet for svartiden på 1 nanosekund (ns:).

  • 1
  • 0