phloggen

Sherlock Holmes: Mysteriet om det skøjtende tog

Jeg har lige gennemlæst IC4 havarirapporten.

Hvor ville det være rart hvis vi havde fået en tilsvarende gennemgang af POLSAG, så IT branchen også kunne lære af sine fejl.

Med min begrænsede viden om emnet, er jeg enig med havarikommisionen i dens anbefalinger: Hvis tog realistisk riskerer at skøjte afsted på isglatte skinner, skal vi selvfølgelig sikre os at bremsesystemet fungerer hensigtsmæssigt under også sådanne forhold.

Men jeg har svært ved at se hvad det har at gøre med hvad der foregik ved Marslev den dag, for der er, trods ihærdige forsøg på at finde spor derom, ikke skyggen af evidens for at skinnerne var specielt glatte.

Friktionsligningen indeholder kun to variabler:

Bremsekraft = friktionskoefficient * normalkraft

Sherlock Holmes princippet siger at hvis man udelukker den ene, må det være den anden, uanset hvor usandsynligt det lyder.

Jeg har derfor tidligere luftet min egen ide om en resonans imellem affjedringen og antiblokerings-systemet som en mulig forklaring.

Resonanserne i affjedringen dukkede op i en konference-præsentation af en af Ansaldo-Bredas egne folk og ideen var at der kunne opstå en situation hvor man skiftesvis havde friktion men ingen normalkraft (fordi vognkassen bevæger sig opad), eller normalkraft, men ingen friktion (fordi hjulene glider hen over skinnerne).

Bo Haaning fra Havarikommisionen var så venlig at ringe til mig for nogen tid siden, for at fortælle mig at de havde haft specialister til at regne på min ide og de havde dømt den ude, på "energy conservation".

Han tilbød sågar at jeg kunne komme forbi og læse deres notat derom, netop fordi det ikke ville indgå i Havarirapporten.

Det har jeg ikke gjort.

Jeg tror på Bo og hans specialisters ord: Det er det vi har dem til og de har meget mere forstand på togmateriel end jeg har.

Men jeg kan på den anden side ikke påstå at havarirapporten overbeviser mig om hvorfor toget ialt fire gange har haft problemer med at stoppe.

Min påstand er, og jeg er villig til at vædde en god middag med Bo Haaning om det, at hvis IC4 sættes i drift, vil han blive nødt til at genåbne sagen.

Men havarirapporten giver os også nogle godbidder som fortæller os noget om IC4 toget.

F.eks denne, fra side 23:

"I den forbindelse blev der konstateret en typefejl i IDU databasen. Fejlen var en indtastningsfejl (programørfejl), som medførte at en bestemt type dørfejl (fejl på relæ 5y01) i IDU skærmen figurerede som en fejl på relæ 5k01 for MG-bremsen samt med forholdsordre om at MG-bremsen skulle udkobles."

I gamle dage var toge konstrueret så sikkerhedssystemer og komfortsystemer var helt adskilt: Der var ingen måde hvorpå man kunne komme til at krydse kablerne imellem døre og magnetskinnebremser uden at opdage det.

Når man integrerer ting, med fælles busser, fælles computere, fælles interfacekort, fælles subroutiner osv. opstår der nye fejltyper, som f.eks denne.

I Ingeniørenes himmelske paradis, ville nogen have sat sig ned og afdækket disse nye fejlmuligheder og opstillet regler og procedurer der skulle forhindre dem, inden den første computer blev sluppet løs på skinnerne.

Men netop denne fejlkilde, krydskoblinger imellem totalt urelaterede systemer har vi kendt i over hundrede år.

Der Anders And historier om denne fejltype.

Der er sågar en eller anden gammel stumfilm hvor et nyt "moderne" hus kræver at man skyller toilettet for at tænde lyset, tænder man på lyskontakten løber vandhanen, åbner man vandhanen starter ventilatoren osv. osv.

EU har ligefrem lavet et "maskindirektiv", der forklarer hvorfor ledninger skal være ens og tydeligt markeret i begge ender, for at få denne fejltype under kontrol.

IC4 er et komplext og heterogent IT system med hjul under: Alt er integreret i computerstyringer, fra lyset på toilettet til nødbremsning.

Derfor burde der have været et helt særligt fokus på at undgå netop denne type fejl.

Men det har der tydeligvis ikke været.

Til at begynde med kan man derfor undre sig over at nomenklaturen er således at der ingen sammenhæng er imellem relæets navn og dets betydning og funktion.

Det har vi også lavet vittigheder om i over hundrede år:

"Hold lige på den her ledning -- kan du mærke noget ?"

"Nej?"

"Nå, så må det være den anden hvide ledning der er faseledningen..."

Men der er tydeligvis også et problem med mentaliteten i projektet.

IC4 har kronisk lidt af "uforståelige" problemer med døre, dørtrin og magnetskinnebremser.

Det tror da fa'en!

Hvergang der er fejl på døren fejlfinder de magnetskinnebremsen (og omvendt ?)

På et eller andet tidspunkt burde nogen have sagt "OK, nu gennemgår vi det hele for at komme til bunds i det her."

Havde de gjort det, ordentligt, havde de fundet denne fejl.

Fejlen kunne naturligvis helt være undgået, hvis der havde været en fornuftig kvalitetskontrol i Italien.

Havarirapporten siger ikke om fundet af denne "fejlindtastning" har trigget en eftersøgning efter flere fejl af denne type.

Havarirapporten har også detaljer om en fejl i rørføringen i bremsesystemet, nu rettet på alle driftklare IC4 tog.

Vi ved heller ikke om dette fund har medført en total gennemgang af alle rørsystemer i toget, for at se om der er andre tilsvarende fejl.

Samlet set efterlades man med et indtryk af en meget lemfældig kvalitetssikringsprocess.

Hvilket bekræftes af at IC4 stadig ikke virker, selv ikke under de "best-case" scenarier DSB lader dem køre.

Så egentlig er der ikke noget mysterie:

IC4 er noget italiensk bras hvor der er brugt alt for meget tid og penge på udseende og "oplevelse" og alt for lidt på at bygge et tog der kan køre og bremse.

phk

Poul-Henning Kamp er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Jeg har svært ved at forstå hvorfor man ikke har splittet systemerne op.

Det må alt andet lige komplicere tingene vanvittigt, både udvikling-, test- og vedligholdelsesmæssigt.

Hvad opnår italienerne ved at at alle systemer er integreret så tæt?

  • 3
  • 0

Jeg kan nu godt se at Y kan forveksles med K, men det er korrekt at navngivningen burde være mere sigende.

Jeg ved godt at det følgende scenarie ikke er hvad der skete, men for mit indre øje ser jeg en rygsækturist, der ubevidst læner sig op at knappen til døråbneren, og dermed frakobler bremsesystemet.

  • 4
  • 0

Men det er vidst et etableret fact ,at udviklere er dyre - hardware er billigt. Der er trods alt kun tale om knap 80 togsæt.

Når man springer enhver form for test over og lader kunden selv udvikle færdigt, så er der masser af penge at spare ved at sætte en praktikant til at udvikle og så bare levere lortet. Problemet er at software er usynligt for alle andre end dem der ved lidt om tingene, og dertil kan man så ikke ligefrem regne kunden i dette tilfælde.

  • 0
  • 0

Det er klart. Men det er vidst et etableret fact ,at udviklere er dyre - hardware er billigt. Der er trods alt kun tale om knap 80 togsæt.

Ja, men når man skal vinde en udbudsordre, så er det en stor fordel at spare på hardwaren (der er ret let at opgøre på forhånd) og så angive en lav vurdering af software (totalt uoverskueligt for udbudsholderen).

Så vinder man opgaven og kan bagefter tage sig godt betalt for softwareopdateringer når køberen er låst ind til ens produkt.

Af en eller anden grund er det svært at slippe afsted med at dumpe priserne på fysiske objekter (se Pihl og søn), men ret let på software. Når først man har pumpet mange mia. afsted, og toget står lige der og skinner smukt, og der "bare lige" skal rettes et par småfejl i softwaren, så betaler man ved kasse 1.

Hvem sagde AnsaldoBreda var dumme? De har tjent meget mere på denne ordre end en virksomhed der havde givet et realistisk bud ville have gjort, og når de har skulle betale bod på forsinkelser er det endt med at blive til rabatter på reservedele. Vel og mærke reservedele som DSB slet ikke ville have købt hvis togene var leveret i virksom tilstand!!

  • 9
  • 0

Jeg tror du har ret i din vurdering af hvad der skal til for at vinde et udbud, men den her sag ville AB HELT sikkert gerne have været foruden.

Hvis Ansaldo gerne vil undgå tilsvarende sager, hvorfor fortsætter de så deres 'hærgen' på både jernbane og sporvognssiden. Eksempler er der rigelige af

  • 'Fyra' toget i Holland/Belgien
  • Sporvogne til Göteborg
  • 36 lokaltog til Norge
  • Letbanetog til Los Angeles

Fælles for disse eksempler er alle forsinkede leverancer og dårlig stabilitet.

  • 5
  • 0

Jeg har svært ved at forstå hvorfor man ikke har splittet systemerne op.

Og i hvilken grad adskiller man CAN bussen i biler? Det er flere år siden at sikkerhedsforskere kunne wireless penetrere biler, og forskerene kan nu bremse bilen og kontrollere servostyringen via diagnostikporten.

Det er utroligt at politikerne lader sådanne biltyper ude på vejene. De burde være langt mere fremme i skoene og forbyde remote overvågning og kontrol af biler.

http://www.forbes.com/sites/andygreenberg/...

  • 0
  • 0

Fejlen var en indtastningsfejl (programørfejl), som medførte at en bestemt type dørfejl (fejl på relæ 5y01) i IDU skærmen figurerede som en fejl på relæ 5k01 for MG-bremsen samt med forholdsordre om at MG-bremsen skulle udkobles."

Til at begynde med kan man derfor undre sig over at nomenklaturen er således at der ingen sammenhæng er imellem relæets navn og dets betydning og funktion.

5K01 er et reference nummer, på sammen måde som ”R100” henviser til en bestemt modstand på et print. Det findes der selvfølgelig standarder for, en af dem er IEC81346, som omhandler RDS. http://81346.com/english/wp-content/upload... http://myelectrical.com/notes/entryid/24/i...

RDS er hierarkisk opbygget, og har både funktion, og lokation indkodet i navnet. Men derfor kan RDS koderne godt være noget kryptiske, specielt hvis der er 10000 vis af reference nummerer i en maskine. Så RDS er en lidt længere indentifier end ”5K01” men stort set ligeså kryptisk. Men normalt er der også en mere beskrivende tekst streng til dem der ikke er autister :-)

  • 0
  • 0

I gamle dage var toge konstrueret så sikkerhedssystemer og komfortsystemer var helt adskilt: Der var ingen måde hvorpå man kunne komme til at krydse kablerne imellem døre og magnetskinnebremser uden at opdage det.

Jeg tror ikke at døråbning er klassificeret som et komfortsystem. Det er normalt et ikke tilladt at have sikkerheds relaterede funktioner, og ikke sikkerhedsfunktioner i samme controller. (Dog findes der f.eks. http://www.windriver.com/announces/hypervi... )

Jeg kender ikke noget til tog, men ofte hænger tilsyneladende urelaterede (sikkerheds) systemer sammen via. krav (Som er opstået ud fra en risiko analyse). I et tog kunne man forestille sig at der skal være et overordnet sikkerheds system som koordinere døre, signaler, traction, og bremser. Nu har du et system hvor der findes variabler for alle 4 systemer.

  • 1
  • 0

Mht. Biler, så er der klart software fejl i biler også, men om de er mere skræmmende end mekaniske fejl ved jeg ikke... Biler er jo også p.g.a. Udviklingen blevet mere sikre med ABS bremser, selestrammere osv. Generelt tror jeg at antallet af elfejl sender mange biler på skrotpladsen.... Ikke fordi de kører galt, men fordi det ikke kan betale sig at reparere dem.

  • 1
  • 0

Hvad opnår italienerne ved at at alle systemer er integreret så tæt?

De sparer penge til hardware.

Hvis systemerne har afhængige krav, ja så reduceres kompleksiteten ved at foretage integrationen i software, i stedet for hard-wiring via. digitale IO. Ved hard-wiring skal der tages stilling til diagnose af dormant-faults. Kompleksiteten kan eksplodere hvis hvis de systemer der skal integreres har tilstands maskiner der skal kordineres via. DIO forbundet til overdragerelæer.

Kompleks forttrådning er ikke billigt at få udført samt testet, det kan koste mere end hardwaren.

  • 0
  • 0

@Phk

Man skal IKKE kikke på el-forsyningen. Der er hjulene der skal kikkes på, og det passer det IKKE med Bremsekraft = Skinnefriktionskoefficient X Normalkraft, men derimod Bremsekraft = Skinnefriktionskoefficient X (Normalkraft + nµ). nµ har en "top", der ligger inden for bremsekraften, og gør at friktionen først er stigene og derefter faldene.

Hjulende ikke er lige store, men det midterste hjulsæt er mindre en alle de andre: Så bliver både "Normalkraft" og "nµ" en anden sum for det midterste hjul. Fordi det midterste hjul har stører vinkelhastighed. Det passer også, med de andre hjulsæt har større og større bremsekraft, så er der mindre og mindre bremsekraft på det midterste hjulsæt, fordi det er kørt over grænsen, hvor skinnefriktionen nærmere til, at gå i "slæde".

Sådan er det og det oplever lokomotivføreren når det er glat. Der er også medtaget i bøgerne "Bremselære" og den noget ukendte "Grundlagen der Schienenfahrzeugbremse". Det er i hver fald kendt blandt lokomotivførene og de kører efter det.

Jens Lindhard Akademiingeniør og tidligere Lokomotivfører.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten