Justitie maakt een inschattingsfout door de schuld voor het ongeval op de Ketelbrug op 4 oktober 2009 af te schuiven op de brugwachter die de brug bediende. Dat zegt hoogleraar Jan Friso Groote van de Technische Universiteit Eindhoven in een interview op Omroep Flevoland. Hij doet zijn uitspraken nadat Justitie anderhalf jaar na het ongeval aankondigde dat de brugwachter vervolgd gaat worden.
Volgens Groote maakt Justitie een inschattingsfout door de schuld voor het ongeval bij de brugwachter te leggen. Die drukte een verkeerde knop in, waardoor de brug open ging terwijl de slagbomen geopend waren. In de software van de Ketelbrug ontbrak tijdens noodbediening een regel code die voorkomt dat de brug opengaat op het moment dat de slagbomen nog niet gesloten zijn.
'Ook al maakt een brugwachter een fout – en we weten dat dat kan gebeuren – dan mag het nooit zo zijn dat daardoor een gevaarlijke situatie ontstaat', zegt Groote. Hij leidt de faculteit systeemontwerp van de Technische Universiteit van Eindhoven en is gespecialiseerd in de softwareveiligheid van ingebedde systemen.
Rijkswaterstaat
Volgens hem probeert Rijkswaterstaat zijn verantwoordelijkheid voor de problemen op de Ketelbrug te ontlopen. 'Het is niet de brugwachter waar je het eerst naar moet kijken. We zouden ook naar de procedures binnen Rijkswaterstaat moeten kijken en naar de werkwijze van de leverancier.'
Groote verwijt Rijkswaterstaat een gebrek aan openheid. 'Ze doen heel geheimzinnig over deze brug. Je kunt met niemand praten, je wordt altijd verwezen naar de persvoorlichters, die niets willen zeggen of niet weten wat er aan de hand is.'
De heer Groote heeft gelijk.Een bediening voor de brugwachter hoort “hufterproof” te zijn. Dat betekent dat ten alle tijden, ook in een tijdelijke bediening of in een noodprotocol de afsluitbomen eerst gesloten moeten zijn voor een brugwachter de brug kan openen.
Als er in de software vergeten is een vinkje aan te geven, mag deze fout niet in de schoenen van een bedienaar worden geschoven want dan komt de fout terecht bij de eigenaar, in dit geval RWS. Beter nog dan software is dat bij gesloten afsluitbomen er een mechanische handeltje overgaat dat een signaal veilig geeft tot openen. Dit na jaren ervaring met Amsterdamse bruggen als technisch adviseur
Ik ben het niet met de heer Groote eens. En wel om de volgende reden. De noodbediening is een noodbediening, bedoelt om bij exceptionele omstandigheden in staat te zijn bepaalde onderdelen van een brug aan te kunnen sturen. In nood ligt de verantwoordelijkheid voor de juiste stappen volledig bij de bediener en moet het ook mogelijk zijn de brug te openen zonder dat de slagbomen gesloten zijn.
Wanneer de sensor voor het detecteren dat de slagbomen gesloten zijn defect zou zijn zou het anders onmogelijk zijn om de brug nog te openenen omdat ook in noodmodus het passeren van allerlei veiligheidsmaatregelen onmogelijk is.
Mijn mening is dat deze hele situatie gecreeerd is door de eigenaar van de brug die het probleem, waardoor om de brug permanent middels noodbediening bedient moest worden, had moeten verhelpen.
@Daniel
Maar… het mag niet zo zijn dat, zoals in dit geval, een noodingreep tot gevaarlijke situaties kan leiden.
Ik ben het met Daniel eens. Alle software bevat fouten. Als het om veiligheid gaat moet de eindverantwoordelijkheid dan ook altijd liggen bij een persoon, niet bij een computersysteem.
Om een extreem voorbeeld te noemen. Als een vliegtuig neerstort dan hoor ik liever dat dat kwam omdat er een piloot iets verkeerd deed dan dat een computersysteem faalde. In het eerste geval kan je het als een enkel incident beschouwen. In het tweede geval zijn alle vliegtuigen onbetrouwbaar.
@PaVaKe
Een noodingreep mag niet tot gevaarlijke situaties leiden, maar dat is de verantwoordelijkheid van de brugwachter.
De software mag (in noodbediening!) best gevaarlijke situaties toestaan, een brugwachter mag dat niet.
De brugwachter in kwestie was een uitzendkracht die er nog maar net aan het werk was en geeneens de nukken van het systeem kende. Iets wat de oorspronkelijke brugwachters wel wisten maar die werkten ondertussen al ergens anders.
En als de persoon in kwestie opdracht van zijn baas krijgt om de noodbediening te gebruiken wordt de schuld in zijn schoenen geschoven omdat hij beter zou moeten weten?
Sterker nog: controle van alle andere bruggen is afgeblazen dus het kan goed zijn dat er nog meer ondeugdelijke bruggen in Nederland zijn.
@Daniel: “De noodbediening is een noodbediening, bedoelt om bij exceptionele omstandigheden in staat te zijn bepaalde onderdelen van een brug aan te kunnen sturen.”
Helemaal mee eens. EN!!! Noodbediening is NOODBEDIENING! Het onder normale bedrijfsomstandigheden gebruiken van noodbediening is uit den boze en dient, als onderdeel van de bediening van de noodbediening, fysiek/mechanisch beschermt te zijn tegen ‘per ongeluk’ gebruik. Noodbediening die deze eis negeert bij ontwerp en implementatie is gevaarlijk. De verantwoordelijke daarvoor is degene die opdracht heeft gegeven tot het implementeren en operationeel maken van een dergelijke bediening. Noodbediening gebruiken als omzeilen van een organisatorisch probleem bij de normale bedrijfsomstandigheden is even eens uit den boze. Moorddadig in dit specifieke geval. Als al iemand vervolgd dient te worden voor dood door schuld of hoe het ook mag heten is het om te beginnen de minister en van daar af naar beneden. Die brugwachter, al of geen uitzendkracht, komt de eerste 25 lagen van de organisatie nergens voor.
Een ander ding wat mij als ICT-er aan het hart gaat, is het volgende. Automatisering is het door mechanische functionaliteit uitvoeren van andere mechanische functionaliteit op basis van ingebakken (menselijke) beslissingen. De software die de drijfwerken aansturen om de klep van de brug te bewegen, dient onderdeel van een geheel te zijn dat gericht is op het veilig gebruiken van de brug. Veilig gebruiken van de brug betekent dus dat zich geen (dodelijke) ongelukken kunnen voordoen bij verantwoord gebruik. Software die geen aansluiting heeft met een dergelijk geheel en een systeem dat toestaat dat de veiligheid in het geding te laten zijn is sociaal en maatschappelijk onverantwoord. Wij, als (mensen in de) gemeenschap hebben de verantwoordelijkheid voor het veilig gebruiken van onze weg- en waterwerken neergelegd bij de mensen binnen het ministerie, beginnend bij de minister.
Fouten in software zijn ontstaan door mensen en kunnen alleen gecorrigeerd worden door mensen. Alle betrokken mensen hebben verantwoordelijkheid voor het gebruik, implementatie, bouw, testen en operationeel maken. Het grote voordeel van een computer is: hij kan helemaal niks! Alles wat een computer doet is aan het apparaat opgedragen door een mens. Het allergrootste deel van de keren is dat gebeurd door een programmeur. Als gebruiker van de software heb dus de verantwoordelijkheid om te controleren en beslissen of de programmeur verantwoord bezig is geweest.
Bij deze mijn eigen deel van mijn verantwoordelijkheid: “Beste brugwachter, sorry dat mensen jou als ‘schuldige’ aanwijzen. De groep is groter dan jij alleen.”
Allen,
als de discussie gaat over “mag software fouten bevatten”, dan moeten we niet de fout maken om bedrijfsapplicaties te vergelijken met systemen die aan veiligheidseisen moeten voldoen (safety integrity). Als er mensenlevens in het geding kunnen zijn, dan moet een systeem in elke situatie, dus ook bij software fouten, zichzelf in een veilige toestand plaatsen. Neem bijvoorbeeld de overwegbomen bij een spoorwegovergang, die sluiten automatisch als de stroom uitvalt.
Wordt er dus gekozen om een (mechanische)installatie software matig aan te sturen, dan gelden er zeer strenge eisen die aan de software gesteld worden. Evenzo voor het testproces. Daarom is de stelling dat een dergelijk systeem “hufterproof” moet zijn volledig terecht en correct. Om te stellen dat systemen fouten kunnen bevatten en dat je dan als gebruiker moet controleren of de programmeur zijn werk goed gedaan heeft is volslagen onzin en bovendien onmogelijk. Als je dit zegt begrijp je er niks van (sorry G.J. van der Wolf, maar het is niet anders).
De verantwoordelijke voor het systeem is daarmee eerder verantwoordelijk dan de bediener. Dat geldt ook voor degene die de bediener heeft ingewerkt en mogelijk heeft nagelaten te wijzen op ondeugdelijk gebruik van noodvoorzieningen en de risico’s die daaraan kleven.
Je zult maar de betreffende brugwachter zijn die er net zit, slecht ingewerkt is (neem ik aan) en met een systeem moet werken wat fouten bevat en dan ook nog publiekelijk verantwoordelijk ervoor wordt gehouden door mensen die de details niet kennen maar wel een oordeel hebben.
Wat mij betreft gaat alle steun primair naar de slachtoffers en secundair naar de betreffende brugwachter.
Ben slechts een domme huisarts (met veel belangstelling voor IT, anders zou ik Computable niet lezen).
Zo heel complex kan de besturing van een brug in mijn ogen toch niet zijn. Het gaat volgens mij om slechts enkele regels en de oen die die regels niet goed heeft ingevuld treft blaam. En nog meer de superieuren die dat goed hebben gekeurd. Ideale oplossing van dit probleem is: blame another one: dus de bediener (die ingehuurd is en niet voldoende onderlegd).
driewerf schande!
Addendum: hoe high-tech is het bedienen van een brug tegenwoordig?? In mijn opinie is het gewoon dom werk, wat je met domme programmeerregels zou moeten kunnen ondervangen. In de medische wereld zijn we wel anders gewend.
Wordt tijd dat techneuten eens naar de echte wereld kijken.