Somda

Quote

---

phantom (21-01-2022 20:56:42):

Omdat ,zoals deels ook al word aangehaald,een machine maar net zo goed is als degene die m bouwen.

Dat is op zich waar maar ook relatief. Er kijkt niet continue iemand mee met iedere machinist om de eventuele risicovolle handelingen te elimineren. Pas nadat er een veiligheidsissue is opgetreden (een klapper of STS) wordt uitgezocht wat de oorzaak was. Maar weten dat er machinisten zijn die klakkeloos aannemen dat als meestal op een bepaalde plek het seinbeeld geel-groen-geel-rood is dat altijd zo is en bij de eerste keer dat het toch geel-rood blijkt te zijn hun plan V achterin een goederentrein boren zorgt er niet voor dat zoiets zich niet meer gaat herhalen. Als een machine iets dergelijks was overkomen dan zou de software zo worden aangepast dat het echt nooit meer gaat optreden in een identieke situatie. Die machine wordt als het goed is dus steeds beter. Bovendien wordt aan de voorkant met verificaties van het ontwerp, na het bouwen met codereviews en testen en aan het einde van het traject met een audit door een keuringsinstantie door heel veel mensen gekeken of het goed is.

Op je vraag over welk defect een ongeluk zou kunnen veroorzaken:

Een defect aan de componenten die bv opvolgen van seinen en snelheid op een baanvak moeten registreren en opvolgen.

Dit soort systemen worden niet op een achternamiddag op een zolderkamertje in elkaar geflanst. Voordat je zoiets toegelaten krijgt zul je eerst moeten aantonen dat het fail-safe is dus bij defecten levert het je een gestrande trein op maar niet een ongeluk. Uiteraard is er nog steeds een hele kleine kans dat er iets fout gaat en dus zul je ook bij ATO nog steeds een vangnet nodig hebben in de vorm van ATB of ETCS. Net als bij het controleren van een echte machinist zal dat dus moeten ingrijpen als de ATO-installatie niet aan het remcriterium voldoet of de snelheid boven de remcurve is gekomen.

Een defect aan het systeem wat de remmen bedient.

Het ligt er aan wat je hiermee precies bedoelt. Het bedienen van de remmen als in het starten van een remming vanuit de cabine door de machinist of ATO-computer is in feite hetzelfde als het opvolgen van seinen en snelheid dus zie hierboven. Het correct werken van het remsysteem zelf verandert niet doordat iemand anders het systeem opdracht geeft om te remmen.

Of bv een defect aan het systeem wat de deuren opent en sluit.

Het maakt niet uit of een conducteur een sleutel omdraait of dat een computer hetzelfde seintje geeft. Zolang de deuren daarna niet allemaal als gesloten worden gedetecteerd gaat de machinist als het goed is niet rijden en zal de ATO-computer dat zeker niet gaan proberen. Als er deuren open blijven staan maar wel als gesloten worden gemeld dan wordt in beide gevallen gewoon vertrokken dus dat zal niet uitmaken. Aangezien de controle over geven aan een machine toch als eng wordt ervaren in de maatschappij zullen er bij ATO eerder nog wat aanvullende waarborgen worden ingebouwd om open deuren te detecteren.

Nog gekker ?
Een defect aan het stroom net waardoor alles plat komt te liggen,waardoor de mensen die de treinen monitoren en evt kunnen zien dat er elders met een trein iets fout gaat,dat dus niet zien en kunnen ingrijpen.

Geen electriciteit in de trein zorgt er voor dat die tot stilstand zal komen dus dat is gewoon veilig. Als je het van belang acht dat altijd iemand op afstand kan meekijken of ingrijpen dan kun je ook gewoon inbouwen dat iedere seconde (of vaker) in de trein gecontroleerd wordt of de communicatie er nog is en zo niet de trein zelf stil gaat staan.

Dat soort dingen dus.
Of zoiets erg zeldzaam zou zijn,dat doet er niet toe,het gaat erom dat de kans bestaat en dat er geen backup ter plekke is die kan proberen om in te grijpen en kan proberen de controle over het voertuig terug te krijgen.

Dat zijn spookbeelden waar flauwekulverhalen-uit-duim-zuig personen zoals boekenschrijvers, filmregisseurs en aanverwante idioten ons in willen laten geloven. In de werkelijkheid zijn het geen op hol slaande machines waarmee je moet vechten om de controle maar apparaten die hardnekkig stil gaan staan bij het minste of geringste wat er niet goed is.

Quote

---

treinhobby (22-01-2022 11:27:59):

Helaas hebben we bij de Boeing vliegtuigen gezien dat een defecte sensor die niet weet dat die defect is, voor grote gevolgen kan zorgen.

Een defecte sensor die vervolgens een systeem aanstuurde dat er defacto voor zorgde dat de vliegtuigen actief gingen neerstorten. En dat systeem was juist toegevoegd om andere ongelukken te voorkomen. Maar de fabrikant negeerde alle signalen van medewerkers die al waarschuwden voor problemen. En een toezichthouder die het wel voldoende vond dat de fabrikant zelf toezicht ging houden. Voeg daarbij dat het toegevoegde systeem werd verzwegen om te voorkomen dat de piloten extra training zouden moeten ondergaan waardoor die niet wisten hoe ze moesten ingrijpen bij problemen.

Als je op die manier een ATO systeem gaat ontwerpen dan kun je in ieder geval nu al voorspellen dat het fout zal gaan. Maar dat heeft meer te maken met het afleveren van slecht werk dan met ATO. Er worden ook onveilige voertuigen op de markt gezet die met een menselijke bestuurder brokken maken.

Dus een deur kan aangeven dat die dicht zit (door een defecte sensor), terwijl die toch echt open staan. Een conducteur (of machinist bij eenmansbediening) kan dat zien, maar de computer weet het dan niet.

Dan kan je natuurlijk een tweede sensor gaan plaatsen, maar waar is dan het einde?

De denkfout die je hier maakt is dat die tweede sensor er nu ook al is, namelijk in de vorm van die conducteur of machinist. Als je die gaat vervangen door ATO moet je natuurlijk ook dit soort "tweede sensor" activiteiten meevervangen anders gaat het mis. Realistisch gezien gaat voor vertrek nu ook niemand aan alle deuren trekken om te kijken of ze wel echt dicht zijn en blijven dus die tweede sensor zou wel eens heel wat veiliger kunnen blijken te zijn dan je denkt.

Quote

---

mich (22-01-2022 11:46:36):

Zoiets inderdaad recent bij een trein ook meegemaakt. Een losgeraakte draad zorgde voor een behoorlijke veiligheidsstoring, welke door de machinist werd opgemerkt. Ook bij een radioloc wel eens meegemaakt, dat de vulstoot klep blijft hangen en je daardoor op dat moment bij een snelremming niet meer dan een gemiddelde bedrijfsremming krijgt. Ook dat is door machinisten opgemerkt. Ondanks dat zo'n systeem fail safe ontworpen is, kan een losse stekker of hangende klep grote gevolgen hebben. De beste combinatie is naar mijn idee en ervaring een trein met goede kwaliteit techniek, sensoren en software, met daarbij een bekwame alerte machinist die ook nog inzicht heeft in techniek en veiligheid.

Dat lijken me inderdaad realistischere risico's dan er verder worden aangedragen. Het automatiseren van allerlei processen wordt doorgaans uitgevoerd door mensen die geen perpernoot verstand hebben van wat ze automatiseren. Die kijken dus in de officiele taakomschrijving van diegene die wordt vervangen door een computer en missen dus alle onofficiele taken die er in de praktijk wel zijn. Dus dan ben je afhankelijk van het toeval dat tijdens een interview vooraf of het testen achteraf een verstandige machinist ineens gaat vragen wat het systeem doet in het geval van dit soort voorbeelden. Ik heb zo het vage vermoeden dat er nog wel meer van dit soort lijken in de kast liggen.

Ik noem nog maar eens een voorbeeld: je zal een radar maken voorop een automatische trein welke detecteerd of de baan vrij is. In de software moet je programmeren welk gebied deze bekijkt, dus hoever van de spoorstaaf af en vanaf welke grootte iets gezien moet worden als gevaar. Je wilt immers niet dat de trein een noodremming geeft bij alle duiven, konijntjes en takken/groen welke zich binnen PVR bevindt. Omdat dat heel veel voor komt zoals de machinisten onder ons weten. Maar hoe gaat de software beoordelen wat veilig is? een algoritme? Nee met de huidige stand van de techniek moet je dit niet willen. Wellicht kan met kunstmatige intelligentie binnenkort dit wel bereikt worden, maar we kennen allemaal de verhalen van Tesla's welke het even niet meer weten bij wegwerkzaamheden.

---

Een algoritme kan wel veilig zijn maar zal al snel te veilig worden waardoor die inderdaad gaat remmen bij ieder konijn. Laten we hopen dat deze hele ontwikkeling er voor zorgt dat Prorail eindelijk eens al het groen in een strook van 10 meter van de spoorbaan gaat opruimen.

Kunstmatige intelligentie is in bepaalde vormen eerder een risico dan een zegen voor de veiligheid. Bij een normaal algoritme kun je prima verifieren hoe het gaat handelen in alle omstandigheden. Bij AI is niet altijd duidelijk op basis waarvan bepaalde beslissingen worden genomen. Op zich hoeft dat geen bezwaar te zijn als je na het inleren de zaak bevriest en alle plausibele situaties gaat loslaten op dat AI systeem als testcase. Het probleem is alleen dat met AI geprobeerd wordt om te anticiperen op voorbeelden die nog niet eerder zijn voorgekomen (of beter een variatie zijn op een bekend geval) dus dan wordt aantonen dat iets fail-safe is een moeilijk verhaal

Een deur zal niet snel door een defecte sensor onterecht aangeven dat die deur dicht is, eerder andersom (niet aangeven dat dichte deur dicht is).

Een gezagvoerder van een vliegtuig zal ook zien hoe bepaalde lampjes branden of deuren en laadkleppen van het bagageruim wel of niet gesloten zijn. Hier kan ook een technisch euvel in zijn waar door een gezagvoerder niet de juiste informatie krijgt, Aannmelijk is dan dat de gezagvoerder dan niet zal vertrekken. Dit kan ook met treinen zo zijn. Weet niet mijn vergelijking met vliegtuigen mank loopt met treinen.

Quote

---

treinfan (29-01-2022 17:47:23):

Een deur zal niet snel door een defecte sensor onterecht aangeven dat die deur dicht is, eerder andersom (niet aangeven dat dichte deur dicht is).

---

De detectie van het gesloten zijn van een deur is niets meer dan een schakelaar die in de eindstand van de deur door het mechaniek bediend en gemaakt word.
Neem een schakelaar met dubbele contacten (met een 'maak' en 'verbreek' contact) en zet er een tweede schakelaar aan parallel, met de contacten precies andersom in gebruik.

Dat betekend dat bij een open deur van;
- Schakelaar 1 contact A geopend is en contact B gesloten is, en tegelijkertijd
- Schakelaar 2 contact A gesloten is en contact B geopend is.

Laat vervolgens de computer bewaken dat de beide schakelaars niet langer dan een x-tijd onderling een andere toestand van de deur mogen terugkoppelen zijn en je hebt een uiterst betrouwbare terugkoppeling gebouwd.

En dat soort situaties dat je zeker wilt weten of een terugkoppeling van een component wel 100% accuraat is zijn ook geen zaken die ineens nieuw zijn met de invoering van ATO nu.
De remdetectie voor de ATB installatie werkt op een gelijke wijze, hetzij met twee microswitches in de remkraan, of door middel van twee luchtdruk contacten op de treinleiding.
Ook daar vergt men zo'n grote betrouwbaarheid van men dat men dat niet kan laten afhangen van één enkele schakelaar met het risico van het het blijven hangen of falen ervan.

Quote

---

john2 (29-01-2022 17:57:40):

Een gezagvoerder van een vliegtuig zal ook zien hoe bepaalde lampjes branden of deuren en laadkleppen van het bagageruim wel of niet gesloten zijn. Hier kan ook een technisch euvel in zijn waar door een gezagvoerder niet de juiste informatie krijgt, Aannmelijk is dan dat de gezagvoerder dan niet zal vertrekken. Dit kan ook met treinen zo zijn. Weet niet mijn vergelijking met vliegtuigen mank loopt met treinen.

---

Geen vliegtuig maar schip.

Voor een schip zal het zelfde gelden.

Quote

---

thom (29-01-2022 23:34:49):

De detectie van het gesloten zijn van een deur is niets meer dan een schakelaar die in de eindstand van de deur door het mechaniek bediend en gemaakt word.
Neem een schakelaar met dubbele contacten (met een 'maak' en 'verbreek' contact) en zet er een tweede schakelaar aan parallel, met de contacten precies andersom in gebruik.
...

De remdetectie voor de ATB installatie werkt op een gelijke wijze, hetzij met twee microswitches in de remkraan, of door middel van twee luchtdruk contacten op de treinleiding.

---

In de chemische industrie wordt vaak gebruik gemaakt van NAMUR-sensoren/contacten. Daarmee kan je namelijk naast 'aan' en 'uit' ook 'kortsluiting' en 'draadbreuk' detecteren. Heeft de spoorindustrie iets vergelijkbaars?

Bij bijvoorbeeld deuren van veiligheidskooien van liften of robots zie je vaak gecodeerde schakelaars, waardoor je de schakelaar niet zomaar voor de gek kunt houden. Dit zal bij treinen waarschijnlijk minder spelen door de bereikbaarheid constructief beperkt kan worden.

Het is echt ongelofelijk hoe complex zoiets ogenschijnlijk simpels als een schakelaar met contacten in de praktijk kan zijn.

Het heeft mij eigenlijk altijd verbaast dat de remdetectie bij ATB-EG via microswitches op de remkraan of drukschakelaars op de treinleiding werkt en in de meeste gevallen niet wordt gekeken of er daadwerkelijk snelheidsafname is. Wordt er daarnaast bijvoorbeeld ook op daadwerkelijk remcontact getest? Ook het mechaniek van de remkraan zou immers kunnen blijven hangen.

Daar is een oplossing voor, die op dit moment testklaar is. We zullen er de komende weken meer over horen.

De daadwerkelijke versnelling gebruiken voor de ATB heeft in de NS-Flirts gezeten en is aangepast na problemen met ongewenste ATB-remingrepen bij slip, zo heb ik mij laten vertellen.

Quote

---

R-E-Mg (31-01-2022 16:10:50):

Quote

---

thom (29-01-2022 23:34:49):

De detectie van het gesloten zijn van een deur is niets meer dan een schakelaar die in de eindstand van de deur door het mechaniek bediend en gemaakt word.
Neem een schakelaar met dubbele contacten (met een 'maak' en 'verbreek' contact) en zet er een tweede schakelaar aan parallel, met de contacten precies andersom in gebruik.
...

De remdetectie voor de ATB installatie werkt op een gelijke wijze, hetzij met twee microswitches in de remkraan, of door middel van twee luchtdruk contacten op de treinleiding.

---

In de chemische industrie wordt vaak gebruik gemaakt van NAMUR-sensoren/contacten. Daarmee kan je namelijk naast 'aan' en 'uit' ook 'kortsluiting' en 'draadbreuk' detecteren. Heeft de spoorindustrie iets vergelijkbaars?

Bij bijvoorbeeld deuren van veiligheidskooien van liften of robots zie je vaak gecodeerde schakelaars, waardoor je de schakelaar niet zomaar voor de gek kunt houden. Dit zal bij treinen waarschijnlijk minder spelen door de bereikbaarheid constructief beperkt kan worden.

Het is echt ongelofelijk hoe complex zoiets ogenschijnlijk simpels als een schakelaar met contacten in de praktijk kan zijn.

Het heeft mij eigenlijk altijd verbaast dat de remdetectie bij ATB-EG via microswitches op de remkraan of drukschakelaars op de treinleiding werkt en in de meeste gevallen niet wordt gekeken of er daadwerkelijk snelheidsafname is. Wordt er daarnaast bijvoorbeeld ook op daadwerkelijk remcontact getest? Ook het mechaniek van de remkraan zou immers kunnen blijven hangen.

---

Ik denk dat je de werking een beetje onderschat. Die schakelaars zitten gewoon direct op de bedieningsas van de remkraan, dus als die door wat voor reden niet beweegt dan dan initieert de remkraan ook geen drukverlaging of EP commando. Een wel bewegende as, maar het niet meenemen van de beide schakelaars is mechanisch gewoon onmogelijk.

Dat zelfde geldt voor de drukcontacten op de treinleiding, als de druk niet zakt van de treinleiding dan zal een tripleklep ook geen commando krijgen tot remmen.

Als er 1 schakelaar of 1 drukcontact weigert onstaat er een ongelijkheid waardoor de ATB in storing valt en direct een remming initieerd. Het is echt niet nodig om zulks nog ingewikkelder te maken.

Daarnaast zit er wel degelijk een controle in ATB, als er na een remming na zoveel tijd geen snelheidsafname is, geeft hij een snelremming.