Ingenieure22 zu den sicherheitsrelevanten ETCS-Ereignissen in der Schweiz

23.8.2019

Nachdem in der Schweiz, die nun schon seit einiger Zeit ETCS in den Ausprägungen Level 1 und Level 2 implementiert, in den vergangenen Monaten zwei Züge in ETCS Level 2 fälschlicherweise eine Fahrerlaubnis erhalten haben, obwohl das Stellwerk keine freie Fahrt erteilt hatte, ist die Aufregung in Fachkreisen groß. So ist es am 27.6.2019 dem aufmerksamen Lokführer auf der mit Führerraumsignalisierung ETCS Level 2 betriebenen Strecke Lausanne - Villeneuve glücklicherweise aufgefallen, dass die Weichenstellung der vor ihm liegenden Fahrstraße überhaupt nicht zur von ETCS erteilten Fahrtfreigabe passte. Er ist trotz „GRÜN“ in seinem Führerstand gottlob nicht losgefahren. Wäre zusätzlich zu ETCS bereits ATO GoA4 (Automatic Train Operation, Grade of Automation 4) implementiert gewesen, also automatisches Fahren ohne Lokführer, wäre der Zug gestartet und nach aller Voraussicht einem schweren Unfall entgegengefahren.

Zur richtigen Einschätzung, was dieser Vorfall für den Bahnbetrieb in Deutschland bedeuten kann, ist ein Blick auf die bisherige Entwicklung und den aktuellen Stand von ETCS im deutschen Bahnnetz geraten:

ETCS (die Abkürzung für Electronic Train Control System) ist ein neues in Entwicklung und teilweise schon im Einsatz befindliches elektronisches Zugbeeinflussungssystem →[Wikipedia]. Das ursprüngliche Ziel von ETCS war es, durch ein europaweit einheitliches System den grenzüberschreitenden Schienenverkehr namentlich im schnellen Personenverkehr zu vereinfachen und europaweit einheitliche Sicherheitsstandards zu erreichen. 2004 wurde ETCS zum einheitlichen System für den gesamten Eisenbahnverkehr innerhalb der EU bestimmt. In Deutschland ist ETCS auf den neugebauten Hochgeschwindigkeitsstrecken seit deren Inbetriebnahme im Einsatz.

Der Bundesverkehrsminister hat 2018 das Projekt Digitale Schiene ins Leben gerufen, mit dem in den kommenden Jahren alle Bahnstrecken und Fahrzeuge mit ETCS und weiterer digitalisierter Technik ausgestattet werden sollen. Stuttgart 21 und die Stuttgarter S-Bahn wurden als Pilotprojekt für die (teilweise) Einführung von ETCS bestimmt. Der Bund ist auch bereit, dafür etwas Geld fließen zu lassen. Der Abschlussbericht „Untersuchung zur Einführung von ETCS im Kernnetz der S-Bahn Stuttgart" der Ingenieurgemeinschaft „Machbarkeitsstudie ETCS S-Bahn Stuttgart“ hat positive Effekte für die Stuttgarter S-Bahn bescheinigt.

Allerdings sind die Erwartungen der Politik schon seit einiger Zeit überzogen, so wie sie in ETCS eine Art Heilsbringer für die Lösung der Pünktlichkeitsprobleme und die Erhöhung der Fahrgastkapazität sieht. Viele Verbesserungen können auch mit herkömmlicher Technik der sogenannten punktförmigen Zugbeeinflussung (PZB), d.h. ohne ETCS erreicht werden. Nur auf Hochgeschwindigkeitsstrecken mit Streckengeschwindigkeiten >160 km/h ist PZB nicht erlaubt. Dort setzt die DB schon seit einigen Jahrzehnten kontinuierliche Zugbeeinflussung in Gestalt von LZB (Linienzugbeeinflussung) ein und muss diese zu gegebener Zeit durch ETCS ersetzen.

Der beschriebene Vorfall in der Schweiz am 27. Juni 2019 hat in Fachkreisen bereits ein deutliches Echo ausgelöst:

Im Fachjournal des Verbands Schweizer Lokomotivführer und Anwärter, VSLF Nr. 598, vom 28.7.2019 wurde nach den Vorfällen sogar schon die Frage ETCS in der Sackgasse? gestellt.

Zitat VSLF:

In den vorliegenden Fällen konnte die gesamte kausale Sicherheitskette von ETCS durch einen simplen Odometriefehler (Wegmessungsfehler) der Fahrzeuge durchbrochen werden.

Die Sicherheit des Systems basiert auf einer exakten Lokalisierung über die Odometrie des Fahrzeugs. Die Odometrie wird gemessen über Radar (witterungsabhängig) und/oder über die Wegmessung; diese wird beeinflusst durch die Daten des Raddurchmessers, durch das Schleudern und durch korrekte «Verkabelungen» im Unterhalt.

Ob die für den Eisenbahnverkehr notwendigen und verlangten Anforderungen von SIL 4 (Safety Integrity Level für Kernkraftwerke / Stellwerke usw.) noch erfüllt sind, darf stark bezweifelt werden.

Die Komplexität wird zudem verschärft durch diverse Schnittstellen der Hard- und Software, die bei jeder Unregelmässigkeit ersetzt werden und ergänzend von den Anwendern durch analoge Handarbeit mit Checklisten und Unmengen an Vorschriften begleitet werden müssen, um das Restrisiko zu minimieren.

In den Betriebsarten Shunting ([SH] = Rangieren) und Staff Responsible ([SR] = erste nicht überwachte Bewegung im System) kann nach entsprechender Quittierung in der ETCS-Eingabemaske ohne zusätzliche Sicherung über Signale und Signaltafeln gefahren werden.

Dies entspricht sicherheitstechnisch nicht einmal dem heutigen Rangieren in klassischen Anlagen , welches man momentan mit großem Aufwand zu sichern versucht.

In der Aviatik ist man bezüglich der Auswirkungen auf die Sicherheit schon einiges weiter. Nach den Flugzeugabstürzen der Boeing 737 MAX 800/900 stellt man sich in der Luftfahrt ernüchtert die Frage, wie weit ein Assistenzsystem den Piloten unterstützt und wann die Übernahme von Aufgaben durch den Rechner sicherheitsgefährdend wird, da eine Korrektur des Computers durch den Piloten schlichtweg zu komplex ist. Der Preis dieser technikgläubigen Entwicklung ist das aktuelle Grounding aller Boeing 737 MAX 800/900 Maschinen; die Komplexität der Restrisiken lässt keine schnellen und effizienten Korrekturen der Systeme mehr zu.


Die renommierte Fachzeitschrift Eisenbahn Revue International (ERI) hat das Thema in ERI 8-9/2019, Seite 410 aufgegriffen und erklärt, was genau und warum passiert ist.

Zitat ERI:

Die möglichst genaue Kenntnis des Fahrzeugstandorts ist eine wesentliche Voraussetzung für die einwandfreie Funktion von Zugsicherungssystemen. Eine mangelhafte Durchführung der fahrzeugseitigen Instandhaltung, die eine falsche Dateneingabe zur Folge hatte, war hierbei der ursächliche Grund für die starke Aufweitung der Wegmessung. Aufgrund falsch hinterlegter Parameter in der Wegmessung (vertauschte Messwinkel und Radarkoeffizienten nach einer Instandhaltung) wies das Fahrzeug eine große Ortungsungenauigkeit („Vertrauensintervall" der Odometrie) auf.

und weiter

Für das Zustandekommen des Fehlverhaltens müssen noch weitere Umstände erfüllt sein. Im vorliegenden Fall hatte es zuvor eine Kürzung der Fahrerlaubnis auf ein rückliegendes Signal aufgrund eines vom Fahrzeug akzeptierten ETCS Conditional Emergency Stop (CES; bedingter Nothalt) gegeben. Dennoch ist es aus Sicht der SBB mit Blick auf das Gesamtsystem nicht akzeptabel, dass ein Dateneingabefehler auf Seiten des Rollmaterials zu einer derartigen Gefährdung im Gesamtsystem führen kann.

Man will es kaum glauben: die vom System ermittelte Position des Zuges entsprach nicht seiner tatsächlichen Position, weil der Zug seine Position anhand falsch programmierter Parameter seit der letzten ortsfest ermittelten genauen Position selbst hochgerechnet und der Zentrale gemeldet hat. Warum so extrem sicherheitskritische Eingaben nicht wenigstens nach dem 4-Augen-Prinzip kontrolliert werden, ist vollkommen unverständlich.

Nun, dieser Fall konnte zwar nur bei einem von mehreren ETCS-Firmenkonsortien auftreten und ihm wurde inzwischen durch ‚betrieblich prozessuale Maßnahmen‘ entgegengewirkt. Strecken- und fahrzeugbezogene Maßnahmen sind jedoch kurzfristig nicht umsetzbar. Es muss aber schon beunruhigen, mit welcher Blauäugigkeit man selbst im Bahnland Schweiz an die Sache herangeht. Es kann einfach nicht sein, dass an so sicherheitskritischen Stellen wie vor Weichen und Haltsignalen dem System nicht exakt bekannt ist, wo sich ein Zug genau befindet.


Noch ein Zitat aus VSLF Nr. 598:

Jeder Fehlentscheid und jede Gleisverwechslung kann immense Schäden verursachen, da jegliche Verbindlichkeit und Plausibilitätsprüfung durch optische Signale entfallen. Die Handlungen werden nicht mehr nach situativer Logik vorgenommen - da diese nicht mehr ersichtlich ist, sondern nach starren Prozessabläufen mit viel Fehlerpotential.

Ob die Eisenbahnen diesen Weg weiterverfolgen möchten, sollten sie sich gut überlegen. Denn die Kosten für einen flächendeckenden Ausbau ETCS L2/L3 mit dem Umbau der weiterhin benötigten Stellwerke, der Fahrzeuge etc. sind trotz dem zweifelhaften Nutzen enorm.


Dass auch in hohem Maße wirtschaftliche Interessen eine Rolle spielen, kann man erahnen, wenn man in der Zeitschrift Verkehrsmanager 2/2019 den Artikel Neuer Kern des Bahnproduktionssystems - das Programm smartrail 4.0 und die RCA-Initiative  kritisch durchliest.

Zitat Verkehrsmanager:

Im Jahr 2017 erreichte die Schweiz das Ziel, das nationale Netzwerk mit ETCS auszustatten. Ausgewählte Routen wurden mit Level 2 ausgestattet, während der Rest des Netzwerk mit Level 1 Limited Supervision ausgestattet wurde, eine Entwicklung die von der Schweiz vorgeschlagen und dann in einen Europäischen Standard integriert wurde. L1 LS ermöglicht die Migration von Fahrzeugen auf ETCS und ist gleichzeitig schneller und kostengünstiger in der Installation von Full Supervision.

Denn die Umsetzung von Level 2 als Ersatz für lebensdauerverfallene Signaltechnik stellte sich nicht als guter Business Case heraus: Es gab keine Kosteneinsparungen, keine zusätzlichen Kapazitäten, nur geringe Sicherheitsgewinne und mehr Komplexität. Dies ist nicht auf Mängel an ETCS zurück zu führen, sondern auf die Implementierung davon. Da Führungssysteme ein wichtiger Kosten- und Kapazitätsfaktor für die Eisenbahn sind, untergräbt dieser ungünstige Business Case eindeutig die Wettbewerbsfähigkeit der Eisenbahn gegenüber anderen Verkehrsträgern. In Anbetracht dessen wurde Ende 2016 smartrail 4.0 lanciert um eine attraktivere Alternative der nächsten Betriebsgeneration von Planungs- und Steuerungstechnologien zu entwerfen und zu evaluieren.


Schlussfolgerung ERI:

Das glücklicherweise ohne Schaden ausgegangene Ereignis zeigt, dass auch in noch so ausgeklügelten digitalen Systemen im praktischen Betrieb immer wieder Fehler entdeckt werden. Je komplexer ein System ist, desto mehr Fehlermöglichkeiten gibt es ganz grundsätzlich. Auch die Digitalisierung kann deshalb keine absolute Sicherheit bringen. Im vorliegenden Fall wäre ein GoA4-Roboter anstelle des Lokomotivführers wohl abgefahren.

Schlussfolgerung Ingenieure22:

Wir verkennen nicht, dass ETCS insbesondere auf Neubaustrecken das System der Zukunft sein wird, schon wegen seines Anliegens, eine möglichst weitgehende Standardisierung der vielen nationalen Ausprägungen von Zugsicherungssystemen innerhalb Europas zu erreichen. Aus dem Vorfall in der Schweiz nun gleich das Ende von ETCS zu fordern, halten wir nicht für angebracht. Aber auf der anderen Seite ist es völlig unangemessen, wenn die Politiker in der Region fast nicht mehr zu bremsen sind und für die Stuttgarter S-Bahn, vor allem in Sonntagsreden, wahre Wunderdinge erwarten. Man verspricht sich einem 10-Minuten-Takt (statt bisher 15 Minuten) aller Linien bis hin zu fahrerlosen autonom fahrenden Zügen.

ETCS kann die in vielen Jahren gewachsenen, heterogenen Zugsicherungs- und Signalisierungssysteme nicht von heute auf morgen einfach ersetzen und muss es auch nicht. Es wäre eine gewaltige Geldverschwendung, ETCS auf allen Strecken einzubauen, wenn dort schon eine zeitgemäße, zugelassene Zugsteuerung und Signalisierung existiert und nicht erneuerungsbedürftig ist. Das herkömmliche Zugbeeinflussungssystem wird im deutschen Bahnnetz noch viele Jahre existieren. Überdies ist die Frage zu beantworten, ob auf gleicher Strecke parallel zu ETCS die Technik des PZB mit konventionellen Signalen nicht sogar dringend gebraucht wird, um bei Ausfall von ETCS über eine Rückfallebene für einen wenigstens noch halbwegs funktionierenden Betrieb zu verfügen. Wie sollte ein Zug ohne ETCS und ohne Streckensignale denn fahren?

Die Folgerung der ERI ist richtig, dass auch die Digitalisierung keine absolute Sicherheit bringen kann. So bleibt der gesunde Menschenverstand des Lokführers auch weiterhin ein wichtiges Regulativ, die Grenzen der Technik zu erkennen. Wenn aber autonomes Fahren der Züge angestrebt wird, müssen die in der Digitalisierung eingesetzte Hardware und Software und die zu verarbeitenden Daten von Beginn an der absoluten Sicherheit noch ernstlich näherkommen.

Der genannte Vorfall vom 27.06.2019 in der Schweiz offenbarte deutlich, dass die bisher in ETCS angewandte Standortbestimmung der Züge durch Eingabe-, Daten- und/oder Softwaremängel zu sicherheitskritischen Fehlentscheidungen führen kann:

  • Hätte sich der Vorfall bei Dunkelheit ereignet, hätte auch der aufmerksame Lokführer den Fehler vermutlich nicht erkannt und wäre losgefahren.
  • Autonomes Fahren der Züge ist erst recht undenkbar, solange der im Zug selbst per Wegberechnung ermittelte Standort nicht permanent mit der tatsächlichen Position des Zuges auf der Strecke abgeglichen wird.

Dies lässt erkennen, dass in den Strukturen, Prozessen und Daten in ETCS und mit ETCS korrespondierenden weiteren digitalisierten bzw. automatisierten Systemen und Abläufen noch ganz erhebliche Überprüfungen, Nacharbeiten und Optimierungen anstehen. Die Komplexität der Systeme wird anwachsen und nach aller Voraussicht zu längeren Laufzeiten in den Rechnern und Netzwerken führen. Was am Ende zum Beispiel für die Stuttgarter S-Bahn als Leistungssteigerung übrig bleibt, ist heute noch nicht seriös abzusehen. Grund zu Euphorie besteht also nicht.


Referenzen