[B] Incidente si accidente la metrou

[TibiV]

Un electric a preluat o portiune semnificativa a raportului:

C.4.4.2. Constatări tehnice la TEM nr.1322-2322
C.4.4.2.1. Constatări la interfața om-mașină (HMI)
La verificările efectuate imediat după producerea incidentului, la TEM nr.1322-2322 s-au constatat următoarele:
A. la S.TEM nr.2322:
a. cheia de punere în funcțiune era introdusă în contact și în poziția OFF (cabină inactivă);
b. controlerului de bord era în poziția ,,neutru" (trenul nu are comandată nicio forță de tracțiune sau de frânare);
c. comutatorul modului de selecție mod operare a vehiculului în poziția ,,MANEVRĂ";
d. indicația de 28km/h viteză la care s-au oprit înregistrările;

C.5. Interfața om-mașină-organizație
Interfaţa om – maşină
Producerea incidentului care a avut loc în data de 26.01.2019 la DsB a avut la bază o funcționare inadecvată în logica software, fiind influențată de insuficienta definire a sarcinii de muncă.
La data de 26.01.2019 activitatea s-a desfășurat în contextul unor condiții meteo deosebite, care au constat în precipitații abundente sub formă de chiciură, care s-au depus pe linia de contact, ceea ce a schimbat felul în care era organizată activitatea de manevră în mod curent.
Felul în care a fost organizată activitatea de manevră, care presupunea remorcarea TEM cu o locomotivă LDH, coroborat cu prevederile din [NI.5], secțiunea 5 Operarea în Regim de urgență capitolele 5.10.3 Cuplarea cu Locomotiva de Manevră și 5.10.4 Operarea cu o Garnitură Cuplată, care permit remorcarea unui tren BM3 activ precum și faptul că în acest caz, garnitura remorcată nu aplică niciun fel de tracțiune sau efort de frânare, a indus celor doi mecanici din posturile vehiculului TEM convingerea că sarcina lor se va limita la supravegherea activităţii, fără a interveni în fapt în realizarea acesteia. Operatorii au fost surprinşi de reacţia vehiculului şi au avut convingerea că viteza convoiului de manevră este imprimată de acţiunea LDH. Creşterea necontrolată a vitezei convoiului de manevră a reprezentat o situaţie impredictibilă, care a depăşit puterea lor de înţelegere în contextul în care nu aveau construit un model mental despre acest mod de lucru al vehiculului.
Impredictibilitatea situaţiei, convingerea că deplasarea convoiului de manevră este imprimată de LDH, şi timpul scurt în care TEM a funcționat necontrolat, nu a permis operatorilor umani să ia măsuri pentru frânarea vehiculului TEM care ar fi permis reducerea consecinţelor incidentului.

Interfaţa om – organizaţie
Activitatea de manevră s-a desfăşurat respectând prevederile Ghidului operativ de intervenţie la trenurile tip BM3-CAF, ghid elaborat de Metrorex SA pe baza informaţiilor din Manualul Mecanicului elaborat de către CAF şi a experienţei în exploatarea acestor tipuri de vehicule.
Existenţa unor zone insuficient acoperite și lipsa de claritate din Manualul Mecanicului privind felul în care trebuie organizată remorcarea TEM, în cadrul activității de manevră ale acestora cu ajutorul locomotivelor LDH, au influențat producerea incidentului.

[frunzaverde]

@v.ghiorghica - CAF ar trebui sa plateasca - incidentul a fost cauzat de un mod de functionare al software-ului nedocumentat de fabricant intr-un regim de operare non-standard (impingere cu locomotiva), dar cunoscut, folosit frecvent de Metrorex, si descris in documentatia de licitatie pentru trenuri. A doua problema identificata este lipsa de proceduri pentru validare a software-ului in industria feroviara/metrou - dar asta e o problema de reglementare. Nu inteleg cu ce e vina Metrorex aici.

[subway]

Dar cum se explica manevrarea cu cabina activa din capatul opus sensului de mers?

[ghrt]

^^ Părerea mea concordă, mi se pare esenţial un defect software. Software-ul a determinat greşit direcţia de deplasare, considerând că este indicată de cabina activă şi nu de ce îi indicau senzorii de pe roată. În mod firesc ar fi trebuit să aibă prioritate senzorii (faptele răstoarnă prezumţiile) sau măcar să semnalizeze o eroare şi să oprească trenul.

Înlocuire în garanţie, cum ar veni, şi trebuie să actualizeze soft-ul pe toate trenurile afectate.

[rizzuh]

@subway, pentru ca asa le-a zis revizorul:

După preluarea postului de conducere de către mecanicul de locomotiva R2,
revizorul a comunicat că pentru operativitate trenul va rămâne configurat din cabina R2.

De ce, nu stiu, nu am vazut sa scrie in raport. Oricum tot nu e permis sa se intample asa ceva, chiar si cu operarea cu cabina activa din celalalt capat.

Ce nu inteleg eu este de ce comutatorul de izolare tractiune-frana (care de fapt inseamna "bypass safety") activeaza tractiunea, cu controllerul de bord pe neutru, iar comutatorul de izolare frana de serviciu nu izoleaza frana electrodinamica. Cu sistemele de siguranta dezactivate (pt. ca asa scrie in manual ca e procedura - trenul frana de nebun de urgenta), tractiunea activata (inexplicabil) si frana electrodinamica activa (inexplicabil) toata situatia era la o eroare de logica distanta de dezastru. Eroare care s-a aparut pentru ca era cabina din spate activa.

@ghrt, pai cand sistemul de siguranta era complet dezactivat, conf. manualului, pentru ca functiona anormal, cine sa mai opreasca trenul cand senzorii indica contradictii?

[subway]

Dar senzorul de om mort? Ca toata tarasenia mie-mi pare ca de aici provine, e absurd ca soferul sa stea pe locul mortului si sa nu se intample o nenorocire...

[TibiV]

Foarte interesant Caietul de Sarcini. Se pare ca cei de la CAF considera ca vagonul R nu este reparabil...

Cool...

La intrebarea (pusa de cateva ori) "cine plateste"... raspunsul incepe sa devina evident...

Se pare ca cei de la CAF vor trebui sa inlocuiasca gratuit vagonul R devenit ne-reparabil.
Eu asta inteleg din raport...
Mecanicii (de pe TEM si de pe LDH) au respectat procedurile, dar CAF-ul a luat decizii "de capul lui". Cine a construit acel "cap" sa plateasca...

Mi se pare ca seamana foarte bine cu situatia 737-MAX...

Slava Domnului ca la Berceni nu au fost morti...

[rizzuh]

subway, scrie clar in raport ca senzorul de om mort functiona, doar ca nu suna deloc alarma si trenul frana fara vreo avertizare. Ba chiar a franat o data desi era apasata periodic pedala. Mecanicii au considerat ca era defect sistemul si l-au dezactivat, conform manualului.

Buba eu aici o vad:

CONCLUZIE: semantic, acționarea comutatorului IZOLARE TRACT./FRÂNĂ ar fi trebuit să
conducă și la izolarea tracțiunii. În fapt s-a produs comutarea semnalului digital "Traction Enable"
din starea "0" în starea "1", ducând la activarea permisului de tracțiune, cu toate că frânele de
serviciu au rămas izolate.

[ghrt]

@rizzuh, poate, habar n-am, dar piticul silogistico-itist kafkian din mine zice aşa: zeul trenului vroia să frâneze, a determinat (greşit) că se mişca înspre staţia Leonida, aşa că, neputând acţiona frâna propriu-zisă, a accelerat motoarele în direcţie inversă ca să oprească garnitura.

Probleme de software similare sunt şi la maşini, n-ar fi ceva nou.

Unul din lucrurile care nu mi-au plăcut la industria software este că livrează cu buguri ca stare de normalitate.

[medicul de garda]

Problema majora de logica eu aici o vad, pe langa cele enuntate:

După parcurgerea unui spațiu de 95 metri, ora 09:49:24, la atingerea vitezei de 13,433 km/hsoftware-ul TEM  a  calculat valoarea absolutăa cuplului conformă cu cerința de frânare comandată de CCU, dar pentru semnulcuplului, TCU a calculat un răspuns fals1luând în considerare valorile intrărilor, cabina activă (care  era în senul opus mișcării de remorcare) și sensul (real citit), în care vectorul magnetic al rotorului inițial a fost nul (MC în poziție neutră), semnul fiind cel precizat în fig.25. Această logică a software-ului prin care referința cabinei active a fost prioritară sensului citit de la senzorii boghiurilor a condus la orientarea câmpului statoric în sensul tracțiunii vehiculului, ce a avut  ca rezultat înregistrarea unui efort electric de tracțiune de  +395  KNși accelerarea  TEM BM3-CAF

DIferenta intre frana electrodinamica si acceleratia garniturii este fix sensul aplicarii fortei fata de sensul de mers, principiul de functionare este identic. REM-ul a aplicat forta maximala in incercarea de a realiza o franare de urgenta (datorata si ea erorilor de logica de soft). Doar a determinat prost sensul in care se deplasa trenul, astfel incat a realizat o acceleratie puternica in sensul de mers, pe care mecanicii nu au stiut sa o interpreteze si nu au putut reactiona la timp.
Acum eu sunt departe de a fi expert in domeniu, dar de ce ai implementa un sistem unde la stabilirea sensului de mers are prioritate cabina in care s-a bagat o cheie, in loc senzorii de rotatie de pe boghiuri???

[subway]

Dar decizia dispecerului de a-i ordona mecanicului sa paraseasca postul de comanda cum se justifica, era constient de posibilele consecinte sau era beat???

[ghrt]

Chiar dacă s-a plecat - în formularea algoritmului - de la cabina activă ca semnificând direcţia, algoritmul trebuia să semnalizeze discordanţa dintre această prezumţie şi citirea de pe senzor; logic ar fi fost să aibă 3 senzori şi să dea crezare citirii comune a 2 dintre ei.

[subway]

Logic era sa dea crezare mecanicului aflat in cabina de comanda...care insa era trimis  in celalat capat al trenului...si nici nu i-au spus sa scoata cheia din contact!
Daca ar fi fost la postul de comanda mecanicul ar fi putut sa preia comenzile in mana si sa faca ce trebuie. Trenurile de metrou la Bucuresti nu sunt proiectate conform cerintelor din caietele de sarcini sa mearga fara prezenta unui mecanic la comenzi. In rest tot raportul e o insiruire de neconformitati ca in final sa dea verdictul romanesc, calculatorul e de vina nu operatorul care nu a respectat nicio regula elementara...
E ca si cum ai spune ca pilotul unui avion se poate duce la toaleta fara sa lase comenzile copilotului...e de noaptea mintii!
Iar voi faceti teoria prazului verde...
Prognoza mea e ca toate pagubele vor fi suportate de Metrorex, raportul asta nu face decat sa le dea gaz avocatilor spaniolilor...in instanta.

[paulmare]

"L-au reprodus", cu alt tren, e un defect software clar
Ce e ciudat totusi, ca in conditiile in care calculatorul o ia razna, exact ca la avion ca e tot la moda 737-max, mecanicul trebuia cumva sa preia comanda "manual" si sa opreasca trenul - ori el nici nu era macar "la butoane"

Constatări efectuate la TEM nr.1323-2323
La data de 21.02.2019 comisia de investigare a efectuat probe și verificări care să reconstituie
mediul operațional cu activitatea de manevră de la data producerii incidentului (un LDH cuplat cu un
TEM BM3-CAF nr.1323-2323, cu cabina activă, pe o zonă cu alimentare din șina a treia). Cu această
ocazie s-a constatat că la manevrarea prin tragerea, peste o zonă alimentată cu energie electrică din
șina a treia, cu locomotiva LDH cuplată S.TEM nr.2323 a cărui cabina R2 era activă, la viteza de
aproximativ 13 km/ h s-a produs intrarea în acţiune a frânei electrodinamice, viteza scăzând până în
jurul valorii de 5 km/h. După oprirea convoiului și inversarea sensului de deplasare (manevra prin
împingere), la viteza de aproximativ 13 km/h s-a produs creșterea necomandată a vitezei convoiului
ca urmare aplicării unui efort de tracțiune pe motoarele TEM.
CONCLUZIE: logica software a TEM nr.1323-2323 a avut un comportament identic cu cel al
TEM nr.1322-2322 implicat în incidentul produs.

[subway]

Raportul nu are nicio valoare juridica in materie de <judecati si concluzii> e relevant si indubitabil doar in relatarea cu exactitate a faptelor, care se bazeaza pe dovezi factuale de necontestat, inregistrate de <cutiile negre si benzile arhivate> pe care nu le poate falsifica nimeni. Nu stabileste nici responsabilitati si nici vinovatii, face doar recomandari de imbunatatire a procedurilor asa ca nu e cazul sa ne imbatam cu apa rece...si oricum nu se poate declansa nimic pana nu se extrage epava si se evalueaza pagubele...
Dupa aia sa vezi circ si distractie!