Professor Jan Friso Groote van de Technische Universiteit van Eindhoven verbaast zich over de extra bedieningsmodule van de Ketelbrug. Deze nieuwe module, die als extra beveiligingsschil om de bestaande heen ligt, moet voorkomen dat de brug opnieuw opengaat zonder dat de slagbomen gesloten zijn. Dat gebeurde wel op 4 oktober 2009. Hierdoor raakten drie inzittenden van een personenauto gewond. De oorzaak van het probleem is nog steeds niet gevonden.
'Het verbaast me dat er geen ingebouwde beveiliging was waardoor de brug alleen open kon bij gesloten slagbomen. Ik zou hebben verwacht dat dat een van de primaire vereisten was bij de bestelling van dit bedieningssysteem', zegt Groote. Hij leidt de faculteit systeemontwerp van de Technische Universiteit van Eindhoven en is gespecialiseerd in de softwareveiligheid van ingebedde systemen.
Ook verbaast het de professor dat een nieuw, extra beveiligingsysteem wordt gebouwd. 'Het zou veel goedkoper zijn om de software van de bestaande bedieningsmodule aan te passen, mits die goed gedocumenteerd en toegankelijk is.'
Gebrek aan openheid
Groote hoopt dat Rijkswaterstaat en de politie van Flevoland volledige openheid geven over het huidige onderzoek naar het falen van de brug. 'Het overduidelijk falen van een systeem is een gouden leermoment. Zoiets mag nooit weer gebeuren. De Ketelbrug hoort thuis in elk college over systeemontwerp. We moeten zelfs kijken of wet- en regelgeving rond dergelijke systemen geen aanpassing behoeft. Als we geen volledige openheid afdwingen, leren we niets en bliijven dergelijke rare ongelukjes optreden'.
Een woordvoerder van Rijkswaterstaat houdt zich op de vlakte. 'De oorzaak van het opengaan van de brug is nog in onderzoek bij de politie. Zolang dit het geval is, kunnen wij niet in meer detail ingaan op de materie. Dat is een gangbare procedure. Bruikbare en betrouwbare informatie die beschikbaar is, verspreiden we door middel van pers- en nieuwsberichten en bieden we aan op de website van Rijkswaterstaat.'
In beide hoedanigheden passeer ik de brug regelmatig en met name in de auto denk ik nu iedere keer aan dit voorval. Ik kan me de reactie van Jan Friso levendig voorstellen. Daarnaast vraag ik me af. Dit is toch waarschijnlijk standaard software?? M.a.w. je gaat toch niet voor iedere brug nieuwe software schrijven?? Dus… ligt het probleem waarschijnlijk veel breder. Zijn er eigenlijk meer voorvallen geweest?
inderdaad raar dat hier geen critical system engineer bij is geweest. Normaal gesproken wordt door dat soort mensen een besturingssysteem ontworpen voor bruggen en sluizen en andere belangrijke systemen. Blijkbaar moest het hier erg goedkoop en heeft er een studentje iets ontworpen met als extra functie open random ….
Dit lijkt me een van de meest eenvoudige programmatjes die er bestaan:
IF (spoorbomen dicht & knop “brug open” ingedrukt)
ga open
ELSE
not!
ENDIF
“mits het systeem goed gedocumenteerd en toegankelijk is”, nou, ik moet het eerste goed gedocumenteerde en toegankelijke systeem (buiten Open Source Software) nog tegenkomen na 12 jaar ervaring als software engineer.
Ricardo, onderschat niet hoe complex dergelijke besturingssystemen zijn, dat is echt geen kwestie van een if-then-else statement. Wat jij doet is in feite een ‘schil’ om de bestaande software heenleggen, maar bij harde wind mag de brug ook niet open. En de lichten moeten op rood staan voordat de slagbomen dicht gaan. En als er een olietanker aankomt zou er een human override knop moeten zijn. enzovoorts enzovoorts, zulke dingen zijn makkelijk te onderschatten !
Mooi dat JFG weer eens aandacht heeft weten te vestigen op het belang van systeemontwerp in het algemeen en het belang van open (’toegankelijke’) systemen zeker waar het publieke veiligheid betreft in het bijzonder. There is no security by obscurity !
‘De oorzaak van het opengaan van de brug is nog in onderzoek bij de politie’…
Pffff. Hebben die niks beters te doen ?
@john:
Je schrijft: “‘De oorzaak van het opengaan van de brug is nog in onderzoek bij de politie’…
Pffff. Hebben die niks beters te doen ? ”
Als je bij iedere belangrijke actie van een instantie vraagt of ze niks beters te doen hebben, is dus niets belangrijk. Het lijkt mij dat op het moment dat ze het onderzoeken, dat inderdaad het beste is wat de politie kan doen.
Wat denk je ervan, als bij alles wat jij vanmiddag doet, iemand komt zuchten en vragen of je niks beters te doen hebt. Iemand zou het bijvoorbeeld kunnen vragen bij de twee regels die je hebt gepost. En net als bij de politie zou het antwoord kunnen zijn: “Nee, wij hebben niks beters te doen.”. Is het een schande dat je op een bepaald moment heb beste doet wat je op dat moment kunt doen?
Nee, jij denkt niet te simpel. Al die anderen denken te moeilijk.
Wat nou software fout? Waarom weer extra software die fouten kan bevatten? Gewoon een doodnormale hardware schakelaar in het circuit zetten. Kost een paar tientjes en klaar is Kees.
Maar als je dit aan de overheid overlaat, kost het waarschijnlijk een paar ton.
Het lijkt mij trouwens beter om de beveiliging via hardware te regelen. Bij verkeerslicht regelsystemen kunnen conflicterende richtingen nooit tegelijkertijd groen licht krijgen omdat het ene groene licht met een relais via een breekcontact van het andere relais (van het conflicterend groen) is geschakeld. Deze relais’ worden via software aangestuurd, maar een fout in de software kan er dus nooit toe leiden dat er een aanrijding ontstaat omdat conflicterende richtingen groen licht krijgen. Het lijkt me dat dit principe ook toegepast kan worden voor een brug. Of denk ik nu te simpel?
@Francine
Acht regels onzin van jouw hand. Jij hebt ook niks beters te doen zeker. En je neemt ook alles nog leterlijk.
Wat ik ermee wil zeggen is dat de politie in deze helemaal niks kan betekenen. Pure tijdverspilling. Een nietszeggend rapportje. Onzinnig volgen van de procedures dat ‘de politie het moet onderzoeken’.
Onderzoek van een paar technische mensen zou hier veel meer kunnen betekenen.
Schillen toevoegen over de bestaande puinhoop geeft een extra aantal mogelijkheden waarop het NOG meer fout kan gaan. Niemand heeft nog gehoor van de wet van Murphy bij deze brug-besturings-systeem-integrator.
Dit is een typisch schoolvoorbeeld van verkeerd ontwerp vanaf de tekentafel. Back to the drawingboard
“Een woordvoerder van Rijkswaterstaat houdt zich op de vlakte. ‘De oorzaak van het opengaan van de brug is nog in onderzoek bij de politie.”
Ze kunnen beter een team van onafhankelijke “forensic it experts” erbij halen, om werkelijk te achterhalen wat er precies mis is.. De ware oorzaak zal wel verdwijnen in doofpot, tussen klant en leverancier of tussen brugdek en wal 😉