De 'extra beveiligingsschil' die begin 2010 op de Ketelbrug werd geïnstalleerd was een afleidingsmanoeuvre. Deze moest verhullen dat ongekwalificeerd en onvoldoende getraind personeel de brug ten onrechte via de noodbediening aanstuurde, en bovendien niet op de hoogte was gebracht van een bij het ervaren personeel al bekende softwarefout. Dit meldt een betrokkene aan ict-vaktitel Computable.
De beveiligingsschil moet voorkomen dat de klep opengaat wanneer de slagbomen niet neer waren.
Dat gebeurde wel op zondagmiddag 4 oktober 2009. Toen kwam plotseling de klep van de Ketelbrug anderhalve meter omhoog, terwijl er verkeer over de brug reed. Hierdoor raakten drie leden van een gezin gewond en verschillende auto's beschadigd. De Ketelbrug ligt in de snelweg A6 tussen Lelystad en Emmeloord.
Beveiligingsschil
De softwarefout in de Ketelbrug werd verholpen door één regel code toe te voegen: wanneer de slagboom niet dicht is, mag de brugklep niet open. Volgens de betrokkene, die anoniem wil blijven was de 'extra beveiligingsschil' die begin 2010 op de brug werd geïnstalleerd een afleidingsmanoeuvre. Deze moest verhullen dat ongekwalificeerd en onvoldoende getraind personeel de brug ten onrechte via de noodbediening aanstuurde, en bovendien niet op de hoogte was gebracht van een bij het ervaren personeel al bekende softwarefout.
De persoon die de brug bediende was een uitzendkracht. Volgens de anonieme bron zou dit ervaren brugwachters nooit zijn overkomen: die kenden het systeem en hielden rekening met de softwarefout. Zij wisten dat, wanneer ze gebruik maakten van noodbediening, ze het brugdeel visueel moesten inspecteren, en tien seconden moesten wachten met het openen van het brugdeel, totdat de slagbomen volledig gesloten waren.
De extra beveiligingsschil voor de Ketelbrug bestaat uit een combinatie van hardware en software. Extra sensoren op de slagbomen voorzien de software van extra informatie. Het programma weet dankzij de toevoeging van de beveiligingsschil nu niet alleen wanneer de slagbomen open of dicht zijn, maar ook of ze aan het openen of sluiten zijn. Deze maatregelen zijn volgens de klokkenluider echter overbodig, omdat één extra regel code alle problemen al had opgelost.
Uitzendkrachten
De betrokkene vertelt dat enige maanden voorafgaand aan het ongeluk een vaste ploeg brugwachters is overgeplaatst naar een andere locatie. Sindsdien was de bediening van de brug in handen van uitzendkrachten. Deze hadden ondervonden dat het openen van de brug op de normale wijze, met de knoppen openen en sluiten, niet altijd werkte. Wanneer er bijvoorbeeld wegwerkzaamheden zijn, waardoor er een file op de brug komt te staan, weigert het automatische systeem om de brug te openen.
De leiding van de Ketelbrug hoorde van de storingen en gaf aan dat de brug gewoon geopend diende te worden, desnoods door gebruik van de noodbediening. Hierdoor werd het gebruikelijk om de brug te openen via de noodbediening. Dat dit niet de bedoeling is, blijkt uit het feit dat de noodbediening zich onder een glasplaat bevond. Bij de onbedoelde opening was er ook sprake van het gebruik van de noodbediening.
Jan Friso Groote
Hoogleraar Jan Friso Groote van de Technische Universiteit van Eindhoven verbaasde zich eerder in Computable over de extra bedieningsmodule van de Ketelbrug: 'Het verbaast me dat er geen ingebouwde beveiliging was waardoor de brug alleen open kon bij gesloten slagbomen. Ik zou hebben verwacht dat dit een van de primaire vereisten was bij de bestelling van dit bedieningssysteem', zegt Groote. Hij leidt de faculteit systeemontwerp van de Technische Universiteit van Eindhoven en is gespecialiseerd in de softwareveiligheid van ingebedde systemen.
Reactie Rijkswaterstaat
Rijkswaterstaat meldde dinsdag 1 maart aan Computable dat 'de menselijk organisatorische kant van het ongeval dat in 2009 heeft plaatsgevonden nog steeds in onderzoek is bij het openbaar ministerie. Dat wil zeggen dat wij hier geen mededelingen over doen. Veiligheid heeft voor Rijkswaterstaat de hoogste prioriteit. Elk ongeval is aanleiding voor Rijkswaterstaat om te kijken of de veiligheid verder kan worden verbeterd, ook het ongeval van oktober 2009 op de Ketelbrug.'
Inmiddels is bekend geworden dat Justitie de brugwachter van de Ketelbrug gaat vervolgen.
Bijzonder dat hoogleraar Groote geschokt zegt te zijn: de brug opent in normale modus namelijk niet zonder dat de slagbomen gesloten zijn, enkel in noodmodus kan het brugdeel geopend worden zonder dat de slagbomen dicht zijn. Ik zou eerder geschokt zijn dat de brugbeheerder de situatie zo lang heeft laten voortbestaan dat de brug via noodbediening bediend moest worden dat dit normaal werd.
Dan is het met deze aanpassing wachten op de warme zomerdagen waarop de computer de conclusie trekt dat de bomen niet dicht zijn maar dat een ‘manual override’ via de noodmodus niet meer mogelijk is…
Volgens mij is het terecht dat een brug niet opengaat als er een file op staat.
De noodbediening is bedoeld om in geval van NOOD, lees uitval van het reguliere besturingssysteem, de brug te bedienen. Dit is zeker geen operationele bediening. Het is echter wel vreemd dat er geen vergrendeling is tussen de reguliere bediening en de noodbediening. Deze vergrendeling blokkeert de noodbediening als de reguliere bediening operationeel is.
Als derde moet een bedienaar van een brug voldoende opgeleid zijn. Hij weet dan wat te doen in bepaalde situaties. Mogelijk worden dan ook de onhebbelijke software fouten verteld.
Tenslotte kun je vanalles eisen van een systeem. Maar wordt de eis dan ook geimplementeerd in het systeem en op de juiste en gewenste wijze. En wordt er dan ook op een goede manier geverifieerd en gevalideerd dat het systeem het gewenste gedrag vertoond.
Dat het inmiddels is bekend geworden dat Justitie de brugwachter van de Ketelbrug gaat vervolgen.
Deze functie is net boven minimumloon, steeds minder eisen worden er aan de functionaris gesteld en het liefst alles op afstand dat één persoon meerdere bruggen en sluizen kan bedienen.
Dan kan je op dit soort handelingen wachten.
Noodbediening is duidelijk maar als het de gewoonte is om dat vaak te gebruiken dan wordt het normaal en is het geen nood meer.
De brugwachter moet niet vervolgd worden maar degene die leiding geeft aan het team, net als aanboord blijft de kapitein ten alle tijden verantwoordelijk of weet Rijkswaterstaat dat niet meer en is het Rijksasfaltstaat en missen ze nautische kennis die een brugwachter ook moet hebben. Ik hoop voor vrijspraak van de brugwachter als die echt niet deskundig was.
Het kan toch niet waar zijn. Hebben wij in de software engineering dan nog niets geleerd van alle fouten? Daarom moet er meer aandacht komen voor het engineeringstraject, zodat de kans op systematische fouten drastisch reduceert. Het werken volgens een safety engineerings standaard zoals de machinerichtlijn die hier van toepassing is, zou in dit geval de kans op een dergelijke fout in de ontwerpfase al vrijwel voorkomen hebben. Luchtvaart, petrochemie, machinebouw en andere bedrijfstakken werken al lang volgens deze standaarden omdat ze dat verplicht zijn vanuit de wet. Blijkbaar geldt dit niet voor bruggen.
Akkoord de brugwachter dient zijn werk naar behoren uit te voeren, maar het mag nooit zo zijn dat hij de rekening gepresenteerd krijgt van een falende engineering praktijk.
Een noodbedrijf is bedoeld voor noodgebruik. In noodbedrijf is het niet wenselijk om beveiligingen te hebben, omdat die beveiligingen nou net de oorzaak kunnen zijn van storingen in het automatische bedrijf.
Het noodbedrijf is bedoeld om in noodsituaties, bijvoorbeeld wanneer de brug in automatisch bedrijf niet wil sluiten of wanneer er een schip tegen de brug aan is gevaren, toch de brug te kunnen bedienen.
Dit gebeurt dan echter wel op volledige verantwoordelijkheid van de operator.
Die operator dient dan wel voldoende opgeleid te zijn, iets wat een verantwoordelijkheid is die hij en zijn baas delen.
Verbazing alom. Meerdere zaken zijn niet goed en ook niet goed te praten.
Laaggeschoolde mensen op een dergelijke plek inzetten en dan zonder adequate instructies/opleiding is vragen om problemen. Ik ben het er helemaal mee eens dat deze persoon niet of in ieder geval niet als enige vervolgd moet worden, eerder zijn leidinggevende of diegene die besloten heeft op deze wijze uitzendkrachten in te zetten.
Daarnaast zou beveiligingssoftware moeten voorzien zijn van een signaal dat de noodvoorziening is gebruikt. Dat is klaarblijkelijk niet het geval. Was dat wel zo, dan zou al veel eerder de ‘in gebruik geraakte procedure van het gebruiken van de noodknop’ zijn opgevallen en had men kunnen ingrijpen.
Reactie verwijderd, omdat deze naar een ander ongeval op de Ketelbrug verwijst die van volstrekt andere aard is.
Redactie Computable
Ik snap hier helemaal niets van.
De bediening van een brug bestond vroeger uit 20 relais, een stuk of 12 magneetschakelaars en een drukknopkast.
Helemaal fail-save en fool proof.
Wat gaat er een geld over de balk.