Van fail-safe naar fail-smooth

Van fail-safe naar fail-smooth

door Lieuwe Zigterman in rubriek artikel, spoor
1 reactie

Railprojecten komen met enige regelmaat in problemen. Lieuwe Zigterman, expert op het gebied van spoorwegbeveiliging, ziet het op tal van terreinen misgaan. “De beveiliging moet niet alleen veilig zijn, maar ook betrouwbaar en robuust.”

Dat juist de beveiliging diverse railprojecten opbreekt, zoals recentelijk de Hoekse Lijn en de Uithoflijn, is te wijten aan diverse oorzaken. Zo worstelt onze samenleving met het gebrek aan en onderwaardering van technische kennis, de focus verschuift van techniek naar projectmanagement, de sector blijft hangen in oude techniek en er is een gebrek aan concurrentie in de markt van railbeveiliging.

Gebrek aan vakkennis 
Het gebrek aan technische kennis treft vooral de wereld van de railbeveiliging. De sector mist uitstraling en spreekt weinig jonge mensen aan. Met de hype van zelfrijdende auto’s is het wegverkeer veel meer in zwang. Kennelijk kan het maatschappelijk belang van het openbaar vervoer daar geen tegenwicht aan bieden. Ter illustratie: ik ben de enige Nederlander die ooit, in 1984, op het onderwerp spoorwegbeveiliging is gepromoveerd. De railsector heeft blijvers nodig die zich willen vastbijten in het vakgebied.

Lees ook: Voorkom dat vakkennis wegsijpelt

Van techniek naar projectmanagement 
Waar vroeger de techniek de belangrijkste factor van een project was, zijn dat nu de bekende parameters tijd, geld, organisatie, informatie, risico’s, et cetera. Daarnaast spelen aanbesteding en contractering een rol. De technicus komt op de derde plaats. Ook is jammer dat jongere adviseurs hun bijdrage aan een project leveren omdat het vooral goed staat op het cv.

Door het soort contracten dat tegenwoordig wordt afgesloten, design & construct, ligt de verantwoordelijkheid voor de beveiliging nu bij de leverancier. Diens belang is echter primair om een ‘standaard-doos’ te leveren. En niet om ervoor te zorgen dat de gebruiker er goed mee overweg kan, of dat de toekomstige onderhoudsorganisatie eenvoudig onderhoud kan plegen. Het onderhoud doet de leverancier liever zelf, uiteraard tegen een passende beloning.

Oude techniek 
De toegang tot de wereld van spoorbeveiliging wordt ook gehinderd door de denkwijze van oude rotten die groot zijn geworden in de relaistechniek. Het relais, ongeveer 150 jaar geleden uitgevonden, is een elektromechanische bouwsteen die gebruikt kan worden om logische schakelingen te creëren. Die techniek is gedateerd, de componenten zijn duur, de onderhoudskosten hoog en deskundig personeel dat ermee kan omgaan is schaars. Maar de nieuwste computerprogramma’s worden nog steeds gedefinieerd met een 1 (spoor vrij) en een 0 (spoor is bezet). Terwijl in elke moderne programmeertaal gewoon ‘vrij’ en ‘bezet’ kan worden gebruikt. Dit leidt tot ontoegankelijke programmacode, met heel soms veiligheidsfouten tot gevolg.

Safety Case 
In de vakwereld wordt vaak gesproken over de Safety Case. Dat is het bewijs van veiligheid dat moet worden getoetst door een ISA, een Independent Safety Assessor, een onafhankelijke beoordelaar van de veiligheid. Een goedgekeurde Safety Case houdt in dat een seinwezen-ingenieur het systeem veilig vindt als in een gestoorde situatie alle seinen op rood gaan en de treinen stilstaan. In zo’n situatie wil een vervoerder de reizigers naar een veilige plek brengen en moet dan terugvallen op procedures en communicatie tussen verkeersleider en machinist/bestuurder. Het resultaat is, zeker wanneer dit vaker gebeurt, dat de veiligheid juist omlaag gaat, maar dat is niet de zorg van de seinwezen-ingenieur.

Geen concurrentie 
In de wereld van railbeveiliging is de marktwerking marginaal, concurrentie is er alleen tijdens de fase van aanbesteding. Als het contract eenmaal is afgesloten, zit de opdrachtgever vast aan de geselecteerde leverancier. Na verloop van tijd kunnen beide geen kant meer op. Uiteraard zijn er voorbeelden genoeg waarbij contracten worden ontbonden, maar de opdrachtgever staat dan weer met lege handen en mag dan opnieuw gaan aanbesteden. En vervolgens moet hij weer kiezen uit hetzelfde selecte gezelschap van leveranciers.

Als het misgaat, bespeelt de leverancier de opdrachtgever vaak met sussende praatjes, dat zijn systeem het toch goed genoeg doet, er is immers een positieve ISA-verklaring afgegeven en dat gebruikers natuurlijk nooit volledig tevreden zijn en niet openstaan voor het werken met een nieuw systeem. Sommige opdrachtgevers zijn bij gebrek aan technisch inzicht dáár gevoeliger voor dan voor inhoudelijke kennis.

Verbetermogelijkheden 
Voor het realiseren van verbeteringen in ontspoorde railprojecten bestaat geen eenvoudig recept. Uit voorgaande analyse volgen wel enkele aanknopingspunten. Allereerst de gerichtheid in de vakwereld zelf. Uiteindelijk gaat het om het eindproduct dat de vervoerder aan de reiziger aanbiedt. Daar moeten alle railsystemen op gericht zijn: niet alleen veilig, maar ook betrouwbaar en robuust. Dit moet een centraal motief zijn in het project en voor de te maken keuzes. Het gaat dan niet alleen om de kosten en het halen van de deadline, maar primair om de prestaties van het systeem.

Het vakinhoudelijke denken in het seinwezen moet een moderniseringsslag ondergaan: van spoorbezetting naar treinpositie. En van fail safe naar fail smooth: niet uitschakelen bij een veiligheidsfout, maar het falende deel afschakelen en een beperktere functionaliteit in stand houden. Dat moet het ontwerpprincipe worden.
Vergelijk dit principe met het vliegverkeer. Een vliegtuig dat eenmaal onderweg is, moet op welke manier dan ook veilig kunnen landen. Een seinwezen-ingenieur is nu nog tevreden als het systeem veilig faalt en de trein, waar dan ook, tot stilstand komt. Hij vergeet daarbij dat een stilstaande trein voor de inzittenden in uiteenlopende omstandigheden géén veilige toestand oplevert.

Interessante initiatieven 
Concurrentie in de railbeveiliging laat zich niet eenvoudig organiseren. Toch zijn er interessante initiatieven, zoals de PLC-beveiliging die Movares heeft ontwikkeld. PLC’s (Programmable Logic Controllers) worden intensief gebruikt in de procesindustrie. Ze zijn eenvoudig programmeerbaar, compact en goedkoop. De spoorwegleveranciers die tevens opdrachtgever van Movares zijn, waren ‘not amused’ omdat het nieuwe product voor een veel aantrekkelijker prijs de beveiligingsfunctie verzorgt. Langzamerhand begint deze beveiliging, die op standaard ‘van de plank’-hardware is gebaseerd, een stukje van de markt te veroveren. Zo zijn er meer initiatieven nodig.

Eenzijdige focus op veiligheid 
De vakwereld moet zich realiseren dat het papierwerk geen doel op zich is. De Safety Case moet documenteren dat een systeem op zorgvuldige wijze tot stand is gekomen. Maar de focus op veiligheid is een te eenzijdige focus. In de sector wordt vaak gesproken over de CENELEC-normen, enkele belangrijke Europese standaarden. Die normen omvatten vier aspecten, die samen RAMS vormen:

  • Reliability – betrouwbaarheid
  • Availability – beschikbaarheid
  • Maintainability – onderhoudbaarheid
  • Safety – veiligheid

In de Safety Case krijgt het laatste aspect, veiligheid, de volle aandacht. Ook de andere drie aspecten moeten hieraan worden toegevoegd, maar bovenal moet de gevraagde functionaliteit veel meer aandacht krijgen. Uitsluitend de combinatie van functionaliteit en RAMS kan een goed werkend, betrouwbaar en bovenal bruikbaar beveiligingssysteem opleveren. Dat een systeem veilig functioneert, is niet voldoende. Stevig uitgedrukt: veiligheid is niet meer dan een randvoorwaarde. Want uiteindelijk gaat het om de vraag: wat kunnen we ermee? Wat hebben de gebruikers eraan?

Ten slotte de sturing: opdrachtgevers ontberen niet alleen inhoudelijke vakkennis, maar ook de vaardigheid om de benodigde expertise op waarde te schatten. Daardoor worden beveiligingsprojecten gestuurd door algemene managers die door hun gebrek aan kennis leunen op wat de leverancier hen voorhoudt en zich beperken tot sturing op tijd en geld. Hier ligt duidelijk een taak voor de vakwereld om zichzelf te profileren.

Lieuwe Zigterman was tot voor kort zelfstandig adviseur in railtechniek en is inmiddels gepensioneerd. Zie: www.doorzigt.nl 

Eén reactie

  1. asierts
    14 juni 2019 om 10:29

    Vele malen erger nog is dat personen die de gecombineerde kennis wel hebben door de sector weggedrukt worden. Reden? De mensen binnen de sector zijn bang. Bang dat ze op pijnlijke fouten gewezen worden. Bang dat hun baas erachter komt dat ze de vereiste fundamentele kennis niet hebben. Zie het verhaal met de afschaffing van de zogenaamde “ATB-kwiteerfunctie”. Of het verhaal van ATB en 160 km/u.
    Eigenlijk is het heel simpel: beveiliging was en is een gesloten ambacht, een gilde. Een gilde denkt vanuit de techniek, de technische regels (“zo moet dat”) en het eigenbelang binnen het gildegebied. Nu de techniek verandert, wordt pijnlijk duidelijk dat er geen fundamentele kennis is. De NL-spoorsector heeft voortgeborduurd op wat GRS ontworpen heeft. En is nu afhankelijk van een zeer klein aantal geschikte aanbieders – en enkele ongeschikte. En steeds wijzen naar EU-regels en EU-normen. Men zoekt technisch houvast – omdat men het zelf niet meer weet.

Lees ook