Het ongeval op de Ketelbrug op 4 oktober 2009 kan ook op andere Nederlandse bruggen gebeuren. Het oorspronkelijke besturingssysteem van de Ketelbrug, waar begin 2010 een beveiligingsschil omheen is gebouwd, komt namelijk in minstens één andere Nederlandse brug voor. Dit meldt een betrokkene aan ict-vaktitel Computable.
Exact hetzelfde besturingssysteem dat ervoor zorgde dat de klep van de Ketelbrug in 2009 onverwacht openging, is volgens de betrokkene ook bij minstens één andere Nederlandse brug in gebruik.
Rijkswaterstaat had volgens hem oorspronkelijk het plan om alle bruggen in Nederland op systematische wijze te controleren op het voorkomen van hetzelfde probleem als bij de Ketelbrug. De betrokkene, die anoniem wenst te blijven, stelt echter dat dit plan inmiddels in een la is verdwenen. Het is daardoor denkbaar dat dezelfde fout in andere bruggen nog aanwezig is.
Op zondagmiddag 4 oktober 2009 om 14:00 uur 's middags kwam plotseling de klep van de Ketelbrug anderhalve meter omhoog, terwijl er verkeer over de brug reed. Hierdoor raakten drie leden van een gezin gewond en verschillende auto's beschadigd. De Ketelbrug ligt in de snelweg A6 tussen Lelystad en Emmeloord.
Reactie Rijkswaterstaat
Op de stelling dat hetzelfde besturingsysteem ook in andere bruggen voor zou komen, geeft Rijkswaterstaat geen commentaar.
Volgens Rijkswaterstaat is nooit ontdekt waarom de brug plotseling openging, terwijl er verkeer over de brug reed. 'Het technische onderzoek heeft niet aangetoond wat de oorzaak is van het plotseling omhoog gaan van de brug. Het heeft wel aangetoond dat het systeem het niet heeft verhinderd, terwijl het dat wel had moeten doen', meldde Rijkswaterstaat eerder in een persbericht.
Beveiligingsschil
Rijkswaterstaat gaat in een reactie aan Computable in op de maatregelen die zijn genomen om de Ketelbrug te beveiligen: 'Rijkswaterstaat heeft direct maatregelen genomen om de veiligheid op de brug te herstellen. De brug is enkele maanden vergrendeld en niet bediend geweest.'
Daarna is begin 2010 een 'veiligheidsschil om het bestaande systeem heen gebouwd dat extra controleert op veiligheidsvoorwaarden, zoals het gesloten zijn van de slagbomen voordat de brugklep open gaat. Dit is een tijdelijke maatregel en dit is ook zo gecommuniceerd door Rijkswaterstaat. De komende jaren staat een ingrijpende opknapbeurt van de stalen brugklep op de agenda, waarbij ook het bedieningssysteem geheel wordt vernieuwd en de tijdelijke maatregel wordt vervangen door een permanente.'
'Veiligheid heeft voor Rijkswaterstaat de hoogste prioriteit', aldus de woordvoerder. 'Elk ongeval is aanleiding voor Rijkswaterstaat om te kijken of de veiligheid verder kan worden verbeterd, ook het ongeval van oktober 2009 op de Ketelbrug.'
Softwareveiligheid ingebedde systemen
Hoogleraar Jan Friso Groote van de Technische Universiteit van Eindhoven verbaasde zich eerder in Computable over de extra bedieningsmodule van de Ketelbrug: 'Het verbaast me dat er geen ingebouwde beveiliging was waardoor de brug alleen open kon bij gesloten slagbomen. Ik zou hebben verwacht dat dit een van de primaire vereisten was bij de bestelling van dit bedieningssysteem', zegt Groote. Hij leidt de faculteit systeemontwerp van de Technische Universiteit van Eindhoven en is gespecialiseerd in de softwareveiligheid van ingebedde systemen.
Een simpele drukschakelaar in de ‘socket’ van de slagbomen is dan al voldoende. Alleen als de boom omlaag is, is de stroom die de brug omhoog doet, ingeschakeld. Sim-Pel. Hoef je echt geen prof of it-er voor te zijn om dat te bedenken
Erwin, je slaat de spijker op z’n kop. Waarom zouden ze het makkelijk doen als het ook moeilijk kan. Overigens ligt het iest genuanceerder dan een simpele drukschakelaar, maar een puur mechanische beveiliging is, zoals de drukschakelaar, m.i.z. altijd het beste. Kom op RWS, schakel eens een simpel denker in i.p.v. dure specialisten.
Het is inderdaad onbestaanbaar dat ‘eerst bomen dicht en dan pas brug open’geen primaire eis was. Waterstaat en overheid iha zijn vaak overdreven precies en gedetailleerd in het voorschrijven van eisen aan derden, zoals het bedrijfsleven. Veiligheid is kostenverhogend maar soms kan het een tandje minder. Intern wil er wel eens een blinde vlek zijn. Denk aan het alarm-communicatie systeem bij de ramp van Moerdijk. Veel te geringe capaciteit. Ondoordacht en onbestaanbaar.
@Erwin, die drukschakelaars worden al heel lang in dergelijke bruggen gebruikt. Meestal zijn er twee drukschakelaars per vergrendelingspen; één voor elk van beide eindstanden van de pen.
Dat was al bedacht voordat de ICT een rol bij de brugbediening ging spelen.
Huhe..?
“een extra control op”…”zoals het gesloten zijn van de slagbomen voordat de brugklep open gaat.” Was dat niet de primaire functie van deze besturingstoepassing?
Ik mag toch echt hopen dat de procesindustrie, het openbaarvervoer, energiecentrales, sluisdeuren, vliegtuigen etc een meer robuuste vorm van besturing hebben dan dat hier blijkbaar is toegepast. Ander staat ons nog heel wat te wachten…
Beste burger slaap u rustig, de overheid waakt over u!?
Erwin: volgens mij kent deze brug minstens 8 slagbomen. I.p.v. drukschakelaars gebruikt men waarschijnlijk inductieve schakelaars (vanwege slijtage).
Verder een citaat uit wiki:
Renovatie
Op 2 april 2008 werd bekendgemaakt dat de Ketelbrug in zo’n slechte staat verkeert dat deze binnen 5 jaar moet worden gerenoveerd.
Eind 2008 maakte het ministerie van Verkeer en Waterstaat bekend dat de brug echter pas vanaf 2014 wordt gerenoveerd.
Op 4 oktober 2009 kwam de brug plotseling omhoog, waardoor er een ongeluk gebeurde en er een chaos ontstond.
02-04-2008:
Dertig tot vijftig stalen en betonnen bruggen en viaducten zijn in zo’n slechte staat dat zij binnen vijf jaar moeten worden aangepakt. Voor nog eens honderd tot 120 bruggen en viaducten zijn binnen tien jaar maatregelen nodig. Dat schrijft minister van Verkeer Camiel Eurlings (CDA) woensdag aan de Tweede Kamer.
Je maakt het zo wel erg makkelijk om populisten meer voer tot klagen te geven. Ontbreken van gezond verstand is tegenwoordig blijkbaar een vereiste om een baan bij de overheid te krijgen.
Jaren heb ik als onderhoud en storing monteur gewerkt aan bruggen en sluizen.
Alle electronica ten spijt dit is geen reden dat dit de oorzaak is geweest.
Als een brugwachter een brug wil openen
geld daar een technisch procedure die voor alle brugen standaard is en deze is als volgt:
1, eerst de hoofdschakelaar in schakelen.
2, daarna de verkeerslichten aan zetten.
3, na een ingestelde tijd (deze tijd is variabel naar gelang de toegestane snelheid op de weg waar de brug in ligt)kunnen de slagbomen worden bedient en niet eerder.
4, Pas wanneer alle slagbomen “echt gesloten” zijn.
kan pas de brug bedient worden.In alle slagboomkasten zitten mechanische eindschakelaars die in de neerstand de contacten sluiten die het mogelijk maken de brug in beweging te zetten!
Dit technisch protocol licht vast.
Het is voor een brugwachter dus onmogelijk om de brug zonder meer in beweging te zetten door op een zogenaamde verkeerde knop te drukken.
Het is mogelijk dat op een tijdstip voor het ongeval, technisch onderhoud is geweest aan de brug.
daarbij kan men een technische ingreep in de installatie van de brug doen, die tot dit ongeval heeft geleid, Deze handeling overbrugt het veligheidcircuit van de slagbomen als men aan de slagbomen onderhoud wil plegen.
Als deze handeling vergeten is na werkzaamheden terug te zetten, zou dit een oorzaak kunnen zijn.
Daar kan een brugwachter geen invloed op hebben daar moet je technisch voor opgeleid zijn.
Misschien kan de advocaat van de brugwachter daar ook eens aandacht aan besteden.
@ Piet Witte,
Ik ben het helemaal met je eens.
In het artikel staat dat RWS een ‘extra beveiligingsschil’ heeft ingebouwd.
Ik zou graag eens van Rijkswaterstaat wiilen horen wat dat voor maatregelen zijn.
Bij een juist ontworpen en geteste brug zouden extra beveiligingsschild niet nodig zijn.
Redactie van Computable, werk aan de winkel 🙂