Die Vorkommnisse der letzten Wochen lassen die Frage aufkommen, ob ETCS Level 2 die Sicherheitsanforderungsstufe SIL 4 (Safety Integrity Level) (Kernkraftwerke / Stellwerke usw.) noch erfüllt. In den vergangenen Monaten haben zwei Züge im ETCS Level 2 fälschlicherweise eine Fahrerlaubnis erhalten, obwohl das Stellwerk keine freie Fahrt erteilt hatte.
Die Sicherheit des Systems basiert auf einer exakten Lokalisierung über die Odometrie des Fahrzeugs. Die Odometrie wird gemessen über Radar (witterungsabhängig) und/oder über die Wegmessung; diese wird beeinflusst durch die Daten des Raddurchmessers, durch das Schleudern und durch korrekte «Verkabelungen» im Unterhalt.
In den vorliegenden Fällen konnte die gesamte kausale Sicherheitskette von ETCS durch einen simplen Odometriefehler der Fahrzeuge durchbrochen werden. Ob die für den Eisenbahnverkehr notwendigen und verlangten Anforderungen von SIL 4 noch erfüllt sind, darf stark bezweifelt werden.
ETCS für den Anwender
Die Komplexität wird zudem verschärft durch diverse Schnittstellen der Hard- und Software, die bei jeder Unregelmässigkeit ersetzt werden und ergänzend von den Anwendern durch analoge Handarbeit mit Checklisten und Unmengen an Vorschriften begleitet werden müssen, um das Restrisiko zu minimieren.
In den Betriebsarten Shunting ([SH]: Rangieren) und Staff Responsible ([SR]: erste nicht überwachte Bewegung im System) kann nach entsprechender Quittierung in der ETCS-Eingabemaske ohne zusätzliche Sicherung über Signale und Signaltafeln gefahren werden.
Dies entspricht sicherheitstechnisch nicht einmal dem heutigen Rangieren in klassischen Anlagen, welches man momentan mit grossem Aufwand zu sichern versucht.
Jeder Fehlentscheid und jede Gleisverwechslung kann immense Schäden verursachen, da jegliche Verbindlichkeit und Plausibilitätsprüfung durch optische Signale entfallen. Die Handlungen werden nicht mehr nach situativer Logik vorgenommen - da diese nicht mehr ersichtlich ist, sondern nach starren Prozessabläufen mit viel Fehlerpotential.
In der Aviatik ist man bezüglich der Auswirkungen auf die Sicherheit schon einiges weiter. Nach den Flugzeugabstürzen der Boeing 737 MAX 800/900 stellt man sich in der Luftfahrt ernüchtert die Frage, wie weit ein Assistenzsystem den Piloten unterstützt und wann die Übernahme von Aufgaben durch den Rechner sicherheitsgefährdend wird, da eine Korrektur des Computers durch den Piloten schlichtweg zu komplex ist.
Der Preis dieser technikgläubigen Entwicklung ist das aktuelle Grounding aller Boeing 737 MAX 800/900 Maschinen; die Komplexität der Restrisiken lässt keine schnellen und effizienten Korrekturen der Systeme mehr zu.
Ob die Eisenbahnen diesen Weg weiterverfolgen möchten, sollten sie sich gut überlegen. Denn die Kosten für einen flächendeckenden Ausbau ETCS L2/L3 mit dem Umbau der weiterhin benötigten Stellwerke, der Fahrzeuge etc. sind trotz dem zweifelhaften Nutzen enorm.
Zudem vernichtet ETCS dringend benötigte Streckenkapazitäten. Auch die neu in Betrieb genommenen ETCS-Level1-Strecken führen wegen der Systemlogik zu einer sehr defensiven Fahrweise. Auch hier wird die sichtbare, reale Plausibilität verschoben auf Blindfahrten mit Reglementkenntnissen oder schlichten Vermutungen. Der Safety-first-Lokführer muss und wird sich dementsprechend verhalten, was u.a. zu einem empfindlichen Verlust von Trassen führen wird.
Fazit
SmartRail ist ein Innovationsprogramm der Schweizer Bahn-Branche und spielt eine entscheidende Rolle in der Forcierung von ETCS. Das Geschäftsmodell basiert vor allem auf Versprechungen, die bis anhin kaum erfüllt wurden und die Eisenbahnen in ein nicht kalkulierbares Risiko führen, das bereits mittelfristig zu Instabilität und erhöhten Kosten führt. Grosse Knotenbahnhöfe wurden noch nicht erprobt und die versprochene europäische Interoperabilität scheitert jeweils an den Landesgrenzen.
Eine andere entscheidende Rolle spielt das Bundesamt für Verkehr BAV, welches nächstes Jahr über einen allfälligen Weiterausbau von ETCS L2 entscheidet.
Wir werden sehen, wie smart sich das BAV in den mannigfaltigen Bedürfnissen der verschiedenen Interessenvertreter aus der Politik, der Industrie und den EVU’s verhält.
Und wie lange sich die Steuerzahler dies bieten lassen.
Die Schweizer-Eisenbahn-Revue hat die ETCS-Vorfälle treffend kommentiert: «Je komplexer ein System ist, desto mehr Fehlermöglichkeiten gibt es ganz grundsätzlich. Auch die Digitalisierung kann deshalb keine absolute Sicherheit bringen. Im vorliegenden Fall wäre ein GoA 4-Roboter anstelle des Lokomotivführers wohl abgefahren.»
VSLF Nr. 598, 28. Juli 2019 HG/SG
