Zusammenstoß zweier S-Bahnen bei München

  • Es gibt auch Token-Systeme, die ohne Uhr funktionieren, z.B. die Secure Computing Safeword-Familie.

    Keine ich mich jetzt nicht damit aus, klingt aber bei $suchmaschine durchaus nach Internetanbindung. Und das muss es ja auch sein: irgendwie muss man sicher stellen, dass di*er Fdl „ja“ gesagt hat.

    Wieso man hier eine "alles oder nichts"-Lösung implementieren müsste, erschließt sich mir nicht. Jede Verbesserung, die die Wahrscheinlichkeit von Unfällen in Folge menschlichen Versagens reduziert, ist schließlich eine Verbesserung...

    Lies nochmal weiter oben, was Holger Koetting zu Systemen steigender Komplexität geschrieben hat. Was passiert, wenn das System zwar eine Funkverbindung festgestellt, die Daten aber nicht übertragen werden können? Zug sitzt fest. Braucht man also eine Rückfallebene.


    Besser als eine sehr komplizierte Regelung zum Umgang mit PZB-Zwangsbremsungen wäre mehr Information im Fahrzeug, wie sie AFAICT durch ETCS möglich wäre. Für die PZB wären eine Zwangswartezeit und eine routinemäßige, anlasslose Analyse der PZB-Protokolle durch das EBA sowohl einfach umzusetzen als auch hilfreich.

  • Keine ich mich jetzt nicht damit aus, klingt aber bei $suchmaschine durchaus nach Internetanbindung. Und das muss es ja auch sein: irgendwie muss man sicher stellen, dass di*er Fdl „ja“ gesagt hat.

    Nein, das Verfahren braucht keine Internetanbindung. Der Tokengenerator generiert mit Hilfe eines geheimen Startwertes eine vorhersagbare Liste von Tokens. Der Empfänger kennt den Startwert und den letzten übermittelten Token und kann damit die nächsten gültigen Token berechnen. Der Empfänger akzeptiert i.d.R. nicht nur das nächste gültige Token, sondern die nächsten 3 oder 5 Token. Viele Autoschlüssel funktionieren genau so, damit man den Funkcode nicht aufzeichnen und immer wieder abspielen kann.


    Die Problematik "Funkloch" bleibt allerdings. FdL und Tf müssen für so ein Verfahren miteinander reden müssen. Deshalb halte ich das regelmäßige Auslesen des Protokolls der Lok für die einfachere Variante. Man muss keine Veränderung an der Lok vornehmen, die aufwändig zu zertifizieren ist.

  • Nein, …

    Ok, das DIng an sich funktioniert ohne Netzwerk, aber es bringt ja nix, dass sich di*er Tf gegenüber der Lok authentifizieren kann. Der Tf muss ja gegenüber des Tfs beweisen können, dass das Ok vom Stellwerk gekommen ist – diese Info muss entweder per Funk oder per Papier ankommen.

  • Ja Leute ... sind wir an Lösungen interessiert oder daran ein Problem groß zu machen. Fahrzeugbezogene Einmal-codes im Fahrzeug deren Nutzung man dokumentieren muss und auch das Funkloch ist abgegolten. Muss ja kein physischer sein sondern kann ja in einer technischen Lösung beinhaltet sein - mit nächstem Netz-Kontakt wird der erneuert. Lösung gibt es, wenn man wollte.

  • Ja Leute ... sind wir an Lösungen interessiert oder daran ein Problem groß zu machen. Fahrzeugbezogene Einmal-codes im Fahrzeug deren Nutzung man dokumentieren muss und auch das Funkloch ist abgegolten. Muss ja kein physischer sein sondern kann ja in einer technischen Lösung beinhaltet sein - mit nächstem Netz-Kontakt wird der erneuert. Lösung gibt es, wenn man wollte.

    Deine Lösung allerdings sucht nach einem Problem, das nicht schon viel einfacher gelöst ist: ein stinknormales Zählwerk. Geht sogar führerstandsbezogen. Dokumentieren, wie oft man sich aus einer Zwangsbremsung befreien musste und warum, Zählwerk abgleichen, fertig. Ganz komplett undigital umsetzbar, ohne Elektronische Token und Erneuerung bei Netzkontakt.


    Was genau löst dann das Token, was dieses Zählwerk nicht auch kann?

  • Was genau löst dann das Token, was dieses Zählwerk nicht auch kann?

    Genau solch ein Zählwerk hat die Ersatzsignaltaste bereits seit Jahrzehnten, Ergebnis: Siehe Bad Aibling...


    Was soll das bringen? Mehr Sicherheit erreicht man nur, wenn man die Situation mit einem anderen Menschen absprechen muss, der den Code hat. Ein Zählwerk oder was auch immer wäre nur gut, wenn es zusammen mit einer Wartezeit als Rückfallebene dient. Solange eine Person allein hier die Macht hat, ist keine Verbesserung erreicht.

  • Ja Leute ... sind wir an Lösungen interessiert oder daran ein Problem groß zu machen.

    Du kannst Dir sicher sein, daß es Leute gibt, die an Lösungen interessiert sind und diese auch umsetzen. Im Gegensatz zu den "wenn man denn wollte"-Leuten haben die allerdings sehr viel Ahnung davon, welche Auswirkungen bestimmte Lösungen haben können und die insbesondere aus arbeitspsychologischer Sicht viel Zeit darauf verwenden, zu analysieren, ob solche Lösungen praktikabel sind oder u. U. mehr Schaden anrichten als das, was sie bringen.


    Oder anders gesagt: Wer ständig "das geht doch ganz einfach" ruft, weiß de facto nicht, was alles hintendran hängt. Und dumme Sprüche a la "Wer etwas will, findet Wege..." sind absolut nicht zielführend.


    (Klassisches Beispiel: Gurtwarner im Auto, wenn jemand nicht angeschnallt ist. Nettes Feature, hat aber nur dazu geführt, daß Leute, die sich partout nicht anschnallen wollen, einfach bei windigen Versendern einen Stecker für das Gurtschloß besorgt haben, um das System zu bescheißen. Da hat also jemand, der vorher "da kann man doch ganz einfach prüfen, ob der der Gurt im Schloß steckt" gerufen hat, nicht über die Umsetzbarkeit nachgedacht.)

  • Genau solch ein Zählwerk hat die Ersatzsignaltaste bereits seit Jahrzehnten, Ergebnis: Siehe Bad Aibling...

    Diese Einlassung ist schlicht Quark. "Bad Aibling" wäre genauso bei zwei Leuten passiert, vielleicht in etwas anderer Konstellation und mit einer etwas geringeren Eintrittswahrscheinlichkeit, aber es wäre passiert. Was dann? "Sechs-Augen-Prinzip" fordern. Was, wenn dort wieder die richtigen drei Leute aufeinandertreffen? "Acht-Augen-Prinzip"? Die Liste läßt sich beliebig fortsetzen.


    "Vier-Augen-Prinzip" gab's früher auch schon. Nannte sich Heizer oder später Beimann. Oder ist in Italien immernoch angesagt. Trotzdem gab und gibt es selbst mit zweimänniger Besetzung auch nach wie vor Signalverfehlungen.


    Und noch ein weiterer Grund, warum "Bad Aibling" überhaupt nix zur Sache beiträgt: Zu einer ordentlichen Analyse gehört die Prüfung, ob es sich um ein singuläres Ereignis (das in dieser Form alle 50 Jahre stattfindet) oder ein permanent wiederkehrendes Thema handelt.

  • Zählwerke bringen nichts, wenn man sie nicht auch kontrolliert. Wie viele Menschen fahren bei Tomatengelb über die Kreuzung, und wieviele tun das, wenn allgemein bekannt ist, dass dort ein aggressiver Blitzautomat steht?

  • Diese Einlassung ist schlicht Quark. "Bad Aibling" wäre genauso bei zwei Leuten passiert, vielleicht in etwas anderer Konstellation und mit einer etwas geringeren Eintrittswahrscheinlichkeit, aber es wäre passiert. Was dann?

    Reicht eine "etwas geringere Eintrittswahrscheinlichkeit" aus deiner Sicht etwa nicht aus um eine Verbesserung zu erzielen?


    Wenn durch Hinzuziehung einer zweiten Personal jeder zweite Unfall in solchen und ähnlich gelagerten Konstellationen vermieden werden könnte, wäre das doch schon eine großartige Verbesserung.


    Deinen Antworten lese ich heraus, wenn man da etwas anfasst, dann nur, wenn eine hundertprozentige Sicherheit zum Schluss dabei herauskommt. Ich frage mich, ob dies wirklich das Ziel solch einer Weiterentwicklung sein muss.


    Du hast aber natürlich Recht in deiner prinzipiellen Aussage, auch mit einer zweiten Person kann man nicht jeden menschlichen Fehler verhindern: In jedem Flieger sitzen zwei Piloten, dennoch stürzen Flieger regelmäßig aufgrund menschlichen Versagens ab.

  • 100 Prozent Sicherheit gibt es ohnehin nicht. Und zu umfangreiche Sicherheitsmaßnahmen erfordern oft einen so hohen Aufwand, dass das Umgehen provoziert wird. Siehe S 5-Thread, Bahnschranken. Man kann nur eine möglichst gute Relation zwischen Sicherheit und Aufwand erreichen.

  • Reicht eine "etwas geringere Eintrittswahrscheinlichkeit" aus deiner Sicht etwa nicht aus um eine Verbesserung zu erzielen?

    Doch. Die Frage ist nur - völlig unabhängig vom konkreten Fall - wieviel die Verbesserung bringt und wieviel Schaden sie möglicherweise anrichtet.


    Wir reden im Fall von Bad Aibling über eine Eintrittswahrscheinlichkeit von 0,0000x % (eher noch ein paar Nachkommastellen mehr) bezogen auf die Gesamtzahl aller Zugfahrten. Nehmen wir als festen Wert zum Weiterreden einfach 0,000001%. Wenn ich bei einer solch geringen Wahrscheinlichkeit ein wie auch immer geartetes Verbesserungssystem aufsetze, dann reduziere ich diese Wahrscheinlichkeit meinetwegen auf 0,0000009%. Statt alle 50 Jahre passiert der Unfall dann alle 55 Jahre. Das ist quasi vernachlässigbar. Zumindest im Kontext allgemeiner Personenschäden in diesem Land. Es wäre also wesentlich effektiver, allen Autofahrern, die über eine rote Ampel fahren oder regelmäßig die Höchstgeschwindigkeit überschreiten oder [add your favourite Todesursache durch Fehlverhalten here], den Führerschein dauerhaft wegzunehmen, als an einem System, das am Maximum dessen, was an Sicherheit möglich ist, rumzubasteln.


    Deswegen: Wir leisten uns - ohne mit der Wimper zu zucken - um die 3000 Tote im Straßenverkehr in Deutschland pro Jahr, aber wenn die Bahn "mal" im Schnitt 0,1 Tote pro Jahr wegen einer falsch bedienten Taste produziert, dann soll gefälligst dieses völlig unzureichende und unsichere Mistsystem sofort und unverzüglich weitere Sicherungsmaßnahmen ergreifen. Get real.


    Deinen Antworten lese ich heraus, wenn man da etwas anfasst, dann nur, wenn eine hundertprozentige Sicherheit zum Schluss dabei herauskommt.


    Nein, das habe ich nicht geschrieben. Lies bitte richtig. Es geht um eine Kostenabschätzung, was eine (angebliche) Verbesserung bringt. Achtung: Kostenabschätzung nicht im finanziellen Sinne, sondern ob der getriebene Aufwand wirklich eine signifikante Verbesserung bringt oder sogar eher Nachteile nach sich zieht.


    Beispiel: Nehmen wir die einfache Forderung: "Zeitsperre bis PZB-frei gedrückt werden kann" oder wahlweise "Tokenaustausch erforderlich". Das klingt zwar nett und bringt vordergründig mehr Sicherheit. Aber es muß auch darüber nachgedacht werden, was eine solche Forderung an Nachteilen mit sich bringt. Dies könnte sich z. B. darin äußern, daß durch den nun notwendigen zusätzlichen Zeitaufwand für das Weiterfahren der Druck auf die Fahrpersonale deutlich ansteigt, möglicherweise in der Folge irgendwelche Fehlhandlungen zu begehen, weil man die entstandene Verspätung wieder aufholen muß. Es sollten jedem die mahnenden Fälle aus Japan im Gedächtnis bleiben, bei denen - im Maximalfall - die Züge entgleist sind, weil der Lokführer als Folge einer Verspätung deutlich zu schnell fuhr und er die Angst vor der Strafe wegen Verspätung höher einschätzte als die Gefahr, den Zug in den Dreck zu setzen. Oder, weil der Fahrdienstleiter jetzt noch zusätzlich damit beschäftigt ist, ein Token zu generieren und dies dem Tf zu übermitteln, könnte aufgrund des zusätzlichen Arbeitsaufwands plötzlich irgendeine andere Tätigkeit in Vergessenheit geraten (z. B. im dümmsten Fall: Notruf eines anderen Zugs wird nicht entgegengenommen).


    Deswegen Nutzen-Kosten-Abschätzung und nicht einfach "kann man doch so machen"-Forderungen aufstellen. Was bringt die (vordergründige) Verbesserung eines Systems von 99,99995% auf 99,999951%, wenn hintergründig durch den Zusatzaufwand im Gegenteil das System eher auf 99,998% runterfällt?

  • 100 Prozent Sicherheit gibt es ohnehin nicht.

    Klar.


    Bezüglich der Befehlstaste der PZB sehe ich, wie weiter oben bereits geschrieben, ohnehin ein anderes Problem: Diese wird einfach zu oft bedient im Regelbetrieb. Da drauf zu drücken, ruft deshalb nicht die Besorgnis hervor, gerade etwas potentiell gefährliches zu tun, das ist ganz normaler Alltag für den Tf.


    Das ist keine Taste, die lediglich die Ausnahmefällen genutzt wird, wenn wirklich ein haltzeigendes oder erloschenes Signal bewusst überfahren werden soll (durch Befehl vom Fdl, wenn es gestört ist).


    Diese Taste wird genutzt bei Hp 0 + Sh 1 (also bei praktisch jeder Rangierfahrt), bei Ersatzsignal (Zs 1), bei Vorsichtssignal (Zs 7), bei Trapeztafeln (Ne 1) usw. In all diesen Fällen braucht es aber keinen Befehl.


    Es existiert daher kein Zusammenhang im Kopf des Tf, der sinngemäß lautet: "Ich darf da nur drauf drücken, wenn ich einen Befehl dafür bekommen habe!"


    Wenn Sh 1, Zs 1, Zs 7 schon die 2000 Hz unwirksam schalten würden, bräuchte es hier schon die Bedienung nicht mehr. Damit wären fast alle Fälle im Regelbetrieb "weg", die derzeit die Betätigung dieser Taste erfordern und man könnte eine Vorschrift einführen, die besagt, dass vor jeder Betätigung dieser Taste eine Kontaktaufnahme mit einer weisungsbefugten Person (wie dem Fdl) erforderlich wäre.


    Damit man nicht "wie eine gesenkte Sau" dann weiterfährt, kann man ja alternativ 1000 Hz auslösen lassen, wenn Sh 1, Zs 1 oder Zs 7 aktiv sind. Dann muss weiterhin eine Taste gedrückt werden und die Wachsamkeitstaste ist weniger "gefährlich" als die Befehlstaste, da diese ohnehin routiniert ständig bedient werden muss.


    Ähnlich kritisch, aber offenbar weniger relevant für Unfälle in der Praxis (mir fällt nur Brühl ein), sehe ich, dass Hp 2 (oder Ks 1 mit Geschwindigkeitsbeschränkung) keine 1000 Hz Beeinflussung auslösen. Prinzipiell zwingt die PZB daher bei "Langsamfahrt erwarten" nur zum Abbremsen bis zum Hauptsignal, obwohl ab dort dann zwar die eigentliche Geschwindigkeitsbeschränkung gilt, gibt es aber keine weitere Überwachung mehr.

  • Es existiert daher kein Zusammenhang im Kopf des Tf, der sinngemäß lautet: "Ich darf da nur drauf drücken, wenn ich einen Befehl dafür bekommen habe!"

    Du setzt diesen Zusammenhang in einen selbst zusammengereimten Kontext. Selbstverständlich gibt es diesen Zusammenhang und der lautet "Ich darf da nur draufdrücken, wenn ich eine Zustimmung zur Fahrt mit besonderem Auftrag erhalten habe."

  • Du setzt diesen Zusammenhang in einen selbst zusammengereimten Kontext.

    Es geht um den Kontext "Kontaktaufnahme mit einer weiteren Person".

    Selbstverständlich gibt es diesen Zusammenhang und der lautet "Ich darf da nur draufdrücken, wenn ich eine Zustimmung zur Fahrt mit besonderem Auftrag erhalten habe."

    Dieser besondere Auftrag ist aber in diesen Fällen einfach nur ein Lichtsignal. Das ist von der Qualität etwas ganz anderes als ein Dialog mit einem Menschen, der ebenfalls in der Lage ist, Rückfragen zu stellen und das Handeln kritisch zu beurteilen.


    Zwischen einem Tastendruck, wenn ich ein Licht erkenne, und dem Tastendruck, der nur erfolgen darf, wenn ich zuvor mit jemandem gesprochen habe, sehe ich einen großen Unterschied. Das eine ist absolute Routine, das andere käme vielleicht an einem normalen Arbeitstag nie vor.


    Das ist der Punkt, um den es mir geht.


    Bei der derzeitigen Betätigungshäufigkeit der Befehlstaste wäre doch ein Tokensystem gar nicht realisierbar. Der Fdl hätte nichts anderes mehr zu tun, als Tokens für Sh 1 herauszugeben...

  • Ersatzsignal (Zs 1), bei Vorsichtssignal (Zs 7), bei Trapeztafeln (Ne 1)

    Mit Ausnahme der Rangierfahrten sind das alles keine Regelhandlungen, auch nicht, wenn es technische Vorrichtungen dafür gibt. (Auch ein Block mit Befehlsvordrucken, ein Stift und ein Funkgerät sind ja ebensolche.) In all diesen Fällen ist besondere Vorsicht geboten; in all diesen Fällen sollte die Bestätigung der Entgegennahme der entsprechenden Anweisung nicht mit der Routine-Wachsam-Taste erfolgen.