Transportudvalget 2011-12
TRU Alm.del Bilag 213
Offentligt
DIKU (Datalogisk Institut Københavns Universitet)8. februar 2012, EFNotat til brug ved IC4 høringen: Folketingets Transportudvalg til møde med Atkins vedrørendereview af IC4/IC2 den 9. februar kl 10.30-12.00 i Det Færøske PakhusJeg har ved flere lejligheder siden 2008 udtalt mig kritisk om softwaresystemerne i IC4 togeneog her specielt peget på problemerne med sammenkoblingen af togsættene. Systemerne synesalvorligt fejlbehæftede og mangelfuldt forstået af de som står for og leder IC4-projektet ogsystemudviklingen. Atkins og Transportministeriets IC4/IC2 Review i form af de 54 power-point sider fra 19. oktober 2011 (AT-PP) og den samtidige, men noget senere offentliggjorte,122 siders baggrundsrapport (AT-BR) bekræfter desværre den beskrivelse. Det vil jeg kortunderbygge ved tre nedslag i udvalgte meget vigtige oplysninger der er givet i rapporterne.De tre områder jeg vil fokusere på er følgende:1. Sammenkoblingen af togsættene.2. Filtrering og nedklassificering af sikkerhedsalarmer der præsenteres for lokoføreren via densåkaldte “Integrated Diagnostic Unit”.3. Bremseproblemerne - det fejlbehæftede samspil mellem IC4-togenes computersystem (TrainComputer Management System), hjulblokeringssystemet (WSP-systemet) og det danskesikkerhedssystem for tog, ATC (Automatic Train Control).Til punkt 1:Om sammenkoblingen af IC4-togsæt siges i Baggrundsrapporten, side 34:“To further our understanding of the coupling system, we requested the IC4 Project Team toarrange a coupling demonstration which we could witness both from the Driver’s cab andfrom the ground. This took place at Århus ... with two test drivers who were thoroughlyfamiliar with the operation of IC4 trainsets. During a sequence of 5 coupling and uncouplingoperations in ideal conditions there were 2 failures to complete the coupling sequence and 2failures to complete the uncoupling process, a 40% failure rate. Furthermore, each of the 4failures exhibited a different failure mode andin none of the failed operations was the rootcause of the failure known or understood.Dette viser, at hverken DSBs projektteam eller konsulenterne fra Atkins har overblik ellerforståelse af de fejlmeddelelser, som gives via Train Computer Management Systemet (TCMS)- endda vedrørende en funktionalitet som i årevis har været fremhævet som helt central fornytteværdien af IC4-togene i den landsdækkende trafikbetjening.En sådan mangelfuld forståelse står i skærende modsætning til erklæringen i AT-PP, p. 49“Degrundlæggende komponenter og systemer i IC4 togsættene har ikke væsentlige tekniskeproblemer.”og“TCMS designet har den ønskede funktionalitet”.(AT-PP p 25)Lad mig underbygge fejlagtigheden i Atkins rapportens karakteristik af systemerne somværende grundlæggende i orden ved at citere ingeniør Finn Jensen, systemintegrator i DSBsIC4-projekt. I en 3 A4-sider lang artikel i “Ingeniøren” den 30. dec 2011 i en sektion benævnt“Hovedløs systemintegration” udtaler Finn Jensen følgende:“De italienske konstruktører ...er begyndt fra bunden uden et klart billede af det samlede system og dets funktionalitet. De harstolet på, at de nok skulle kunne få tingene til at spille sammen i sidste ende ved hjælp afsoftware-justeringer. Men det skulle vise sig at være en skæbnesvanger forhåbning.”1
Til punkt 2:Filtrering og nedklassificering af sikkerhedsalarmer.AT-BR p 36-37 beskriver følgende om filtrering og nedklassificering af alarmer:“... there is one specific known problem with the Train Computer Management System and theIntegrated Diagnostic Unit which is that a high level of A and B alarms are being generated ...and, in many cases, these are spurious or repeat alarms. However, as an A alarm[that is a“top level fault” my remark]requires a Driver response it frequently results in a casualty.AnsaldoBreda has experienced similar problems elsewhere and has implemented a softwarefilter to mitigate the problem and the same solution is proposed for IC4.The IC4 Project Team has identified all the A alarms which may require to be filtered out ordown-graded to a lower alarm level and from this has devised a set of 10 rules for filteringwhich will be installed in Pack 2 as version 1.6. The Team is now developing version 2.0 of thesoftware to contain 125 rules and implementation of this version should have a significantimpact on IC4’s operational reliability. The filter software has been developed so that theapplication of rules can be revised in the light of further operational experience without furtherchanges to the software and DSB personnel have been trained by AnsaldoBreda to undertakethis function.”Her kan vi i AT-BR i næsten ren form læse om hvordan man i DSB og Ansaldo-Breda medAtkins fulde velsignelse forfølger den hasarderede vej med “gradually changing critical testingacceptance criteria” endnu inden der er opbygget en fuld forståelse af systemernesfunktionalitet, deres indbyrdes samspil herunder systemerne samspil med togmateriellet ogomgivelserne i øvrigt (banelegeme, vejrforhold mv). Og sådant filtersoftware vil man lægge ihænderne på DSBs personel. Det er i modstrid med elementære principper for testning af“safety critical systems” - hvad der her i højeste grad er tale om.Til punkt 3:Havarikommissionens foreløbige undersøgelser af 30. jan 2012 vedrørende IC4-togsæt der den 7. nov 2011 passerede signal i “Stop” ved Marslev har bl.a. afdækket følgendeforhold:“- IC4-togtypens hjulblokeringssystem (WSP-system) kan under meget glatte forhold ikke sikremod hel/delvis hjulblokering af togets hjul- hel/delvis hjulblokering vil medføre mangelfuld registrering af den faktiske tilbagelagtestrækning ved bremsning under disse særlige forhold samt manglende registrering af denreelle hastighed- hel/delvis hjulblokering kan medføre at sikkerhedssystemet (ATC) ikke kan sikre at togetbringes til standsning inden for sikkerhedsafstanden, dvs. før et farepunkt.- på IC4 togsættet er den serielle forbindelse mellem togcomputer og ATC ikke etableret. Enseriel forbindelse vil bl.a. sikre information til ATC-anlægget i tilfælde af akut nedskrivning afbremseprocent (tab af bremseevne) under bremsning.”Igen er der tale om fejl og mangler i togcomputeren (TCMS’en), hjulblokeringssystemet ogsamspillet til ATC-anlægget. Denne konstatering fremkommer her i 2012 efter at der har væretstillet en række spørgsmål til netop disse forhold siden i hvert fald foråret 2009 af bl. a. PerClausen (EL) og transportministeren har hver gang - på basis af oplysninger fra DSB - kunnetoplyse “atDSB ikke har konstateret problemer med ATC systemet i forhold til IC4togsættene”.Men Havarikommissionens undersøgelser har altså afdækket noget ganske andet.Der har været en del fremme om glatte skinner som medvirkende årsag. Men her må detfremhæves, at Havarikommissionen nævner, at der omkring stedet for hændelsen kun er enkelte2
træer, ingen skov, og at der i dagene efter den farlige hændelse alene er konstateret en begrænsetmængde løvfald (megetfå blade)på eller ved sporet.Meget tyder for mig på, at der snarere er tale om aperiodiske systemfejl. Fejl som kun opstårunder helt særlige betingelser, og som det kan være vanskeligt af afdække og udbedre. Detforekommer ikke helt sjældent i forbindelse med - som her - safetycriticalrealtidssystemer, iflere tilfælde med fatale ulykker til følge.AT-PP giver visse indikationer i samme retning, fx p 24:“Bremse-systemfejl er spredt over en række komponenter og tekniske årsager...Bremse-computer kan være et spirende problem – yderligere analyse af fejlrapporter erpåkrævet”.På denne baggrund må rejsesdet røde stopsignal:Det er nu tvingende nødvendigt med entilbundsgående og uafhængig ekspertundersøgelse af IC4-togenes computersystemer.Alt andet er fagligt uforsvarligt med de mange fakta, der foreligger til dokumentation af alvorligefejl og mangler i systemernes funktion, deres pålidelighed og deres sikkerhed. Atkins-undersøgelserne er helt utilstrækkelige og har primært tjent til at blotlægge endnu flere fejl ogmangler. Atkins-konsulenternes beroligende vurderinger og anbefalinger savner grundlag ideres egne faktiske beskrivelser.Hvis de ansvarlige for IC4-togenes ibrugtagen i Danmark - i DSB, i Trafikstyrelsen, og iTransportministeriet - vælger at sidde de mange faresignaler vedrørende tilstanden af IC4-togenes computersystemer overhørig uden en grundig undersøgelse af den art, som jeg her harantydet, finder jeg det ansvarspådragende i tilfælde af en fatal IC4-ulykke._______________________________________Lektor Erik Frøkjær, forskergruppelederDatalogisk Institut, Søndre CampusKøbenhavns Universitet, Njalsgade 128Bygning 24, 5. salDK-2300 København STlf. DIKU: +45 3532 1456, Mobil: 45 4035 4275email:[email protected]
3