Die konservative Sicherheitsphilosophie macht die Bahn zum sichersten Verkehrsmittel der Welt. Aber die Bahn hat auch den Anspruch innovativ zu sein und sich mit der unsichersten Technologie angefreundet – Software und Datenübertragung. Der Zusammenbruch des Kommunikationsnetzes der Bahn sorgte am Mittwoch bundesweit für erhebliche Verspätungen. Ursache war "Menschliches Versagen" beim Softwareupdate. Das konnte passieren, obwohl die Bahn- Hauptrechner redundant sind. Professor Jürgen Siegmann, der an der Technischen Universität Berlin den Fachbereich "Schienenfahrwege und Bahnbetrieb" leitet:
"Es gibt zwei Orte mit zwei deckungsgleichen Systemen, einer, der die Führung hat, ein Backup-System, die sich auch gegenseitig die Daten aktualisieren. Wenn der eine ausfällt, kann der andere weiterarbeiten und wenn der andere wieder zur Verfügung steht, wird ein Datenabgleich gemacht, die bei den wichtigen komplexen Rechenanlagen auf jeden Fall mit einer Notstromversorgung ausgerüstet sind. Das heißt, wenn der eine Diesel nicht anspringt, dann muss wenigstens der zweite funktionieren. Das ist auch so ausgelegt."
Wie überall, steckt der Teufel im Detail und die Bahn hat jetzt die Gelegenheit, neue Details dem Sicherheitscheck hinzuzufügen: Sensoren, die dem Gesamtsystem mitteilen, ob Diesel-Notstromaggregate beispielsweise noch genügend Treibstoff haben oder ob man den Dieselmotor nach dem Wechsel der Glühkerzen wieder mit dem Stromkreis verbunden hat. So klein die Ursache am Spiegelserver in Berlin Mahlsdorf auch war – wenn der zweite Dieselmotor ebenfalls ausfällt, fehlt dem Hauptserver in Frankfurt am Main die Redundanz: Zunächst bricht die Kette der Verkaufsrechner und Fahrscheinautomaten zusammen, die im Gesamtsystem Bahn aber auch für die Prognose und Disposition sorgen: Diese Informationen übermitteln die Stellwerke an die in den Loks befindlichen Rechner:
"Der Zugführer braucht gewisse Informationen, unter anderem einen Buchfahrplan. Er muss auch die Abfertigung abwarten, so dass er auch indirekt von den Verkaufsinformationssystemen abhängig ist. An dem Verkauf und der Disposition der Personenzüge hängen auch die Auskunftssysteme, die auf dem Bahnsteig oder als Klappertafel im Empfangsgebäude anzeigen, wann der Zug fährt – ob mit Verspätung oder nicht. Und so hängt das alles zusammen. Hier hat das ja den Auslöser gegeben, der die eigentliche Verspätung verursacht hat, dass die Buchfahrpläne nicht rechtzeitig bereitgestellt werden konnten und dadurch eine Verzögerung aufgetreten ist und dies sind dann als Folgewirkung bei den Verkaufssystemen: Schwierigkeiten in der Informationsverarbeitung, die so viele verspätete Züge ergeben hat."
Denn der Buchfahrplan ist kein dickes Buch mehr, nach dem der Fahrzeugführer zu fahren hat – die Abfahrt- und Ankunftszeiten und aktuell veränderte Geschwindigkeitsvorgaben werden, wie hier, per GSM-Netz in die Lok übermittelt und auf den Bildschirm des Führerstands dargestellt:
"Das nächste Signal verlangt eine Geschwindigkeitsbegrenzung von 80 Kilometer pro Stunde und ich muss jetzt in einem Zeitabschnitt, den der Rechner errechnet die Geschwindigkeit unter 85 Kilometer pro Stunde bringe. Und jetzt habe ich im Prinzip an diesem Signal, das das Ausfahrtgleis signalisiert, mitgeteilt bekommen, dass das nächste Signal "Halt" ist. Deswegen musste ich das wieder quittieren. Wenn ich das ignorieren würde, würde ich sofort eine Zwangsbremsung bekommen."
Drei mit unterschiedlicher Hard- und Software konfigurierte Rechner kontrollieren sich in den Stellwerken gegenseitig, was die Eisenbahner "zwei von drei" nennen. Wäre beispielsweise in einem Stellwerk nur ein Rechner vom Systemausfall betroffen, übernehmen die anderen:
"Das ist eine Zwei-von-drei-Realisierung, wo jeder Kanal eine Information ermittelt und über einen Softwarevergleich verglichen wird, ob diese Informationen dann stimmen und zu einer signaltechnischen sicheren Ausgabe führen dürfen. Wenn zwei Komponenten ausfallen, wird in den sicheren Zustand übergegangen: Das heißt, die nächst tiefere Sicherungsebene übergegangen. Das heißt hier konkret, dass das System sich abschaltet mit einer entsprechenden Diagnosemeldung, um dann für die Untersuchung der Technik oder des Supports zugänglich zu sein."
Systemausfall bedeutet: Der gesamte Ablauf verlangsamt sich im Notfall, weil die Disponenten in den Zentralen wie die Fluglotsen jedem Fahrzeugführer telefonisch aktuelle Geschwindigkeitsvorgaben mitteilen, um beispielsweise ICEs zu bevorzugen, damit die Reisenden noch ihre Anschlusszüge erreichen. Professor Siegmann:
"Und notfalls "pustet man eine Strecke frei" , wie man so sagt. Das heißt, die Züge, die dann auf der Strecke am Mischverkehr stören, aber pünktlich sind, werden zu Gunsten eines verspäteten Fernzuges, der dann entsprechend aufholen kann, zur Seite genommen und der kann überholen."
"Es gibt zwei Orte mit zwei deckungsgleichen Systemen, einer, der die Führung hat, ein Backup-System, die sich auch gegenseitig die Daten aktualisieren. Wenn der eine ausfällt, kann der andere weiterarbeiten und wenn der andere wieder zur Verfügung steht, wird ein Datenabgleich gemacht, die bei den wichtigen komplexen Rechenanlagen auf jeden Fall mit einer Notstromversorgung ausgerüstet sind. Das heißt, wenn der eine Diesel nicht anspringt, dann muss wenigstens der zweite funktionieren. Das ist auch so ausgelegt."
Wie überall, steckt der Teufel im Detail und die Bahn hat jetzt die Gelegenheit, neue Details dem Sicherheitscheck hinzuzufügen: Sensoren, die dem Gesamtsystem mitteilen, ob Diesel-Notstromaggregate beispielsweise noch genügend Treibstoff haben oder ob man den Dieselmotor nach dem Wechsel der Glühkerzen wieder mit dem Stromkreis verbunden hat. So klein die Ursache am Spiegelserver in Berlin Mahlsdorf auch war – wenn der zweite Dieselmotor ebenfalls ausfällt, fehlt dem Hauptserver in Frankfurt am Main die Redundanz: Zunächst bricht die Kette der Verkaufsrechner und Fahrscheinautomaten zusammen, die im Gesamtsystem Bahn aber auch für die Prognose und Disposition sorgen: Diese Informationen übermitteln die Stellwerke an die in den Loks befindlichen Rechner:
"Der Zugführer braucht gewisse Informationen, unter anderem einen Buchfahrplan. Er muss auch die Abfertigung abwarten, so dass er auch indirekt von den Verkaufsinformationssystemen abhängig ist. An dem Verkauf und der Disposition der Personenzüge hängen auch die Auskunftssysteme, die auf dem Bahnsteig oder als Klappertafel im Empfangsgebäude anzeigen, wann der Zug fährt – ob mit Verspätung oder nicht. Und so hängt das alles zusammen. Hier hat das ja den Auslöser gegeben, der die eigentliche Verspätung verursacht hat, dass die Buchfahrpläne nicht rechtzeitig bereitgestellt werden konnten und dadurch eine Verzögerung aufgetreten ist und dies sind dann als Folgewirkung bei den Verkaufssystemen: Schwierigkeiten in der Informationsverarbeitung, die so viele verspätete Züge ergeben hat."
Denn der Buchfahrplan ist kein dickes Buch mehr, nach dem der Fahrzeugführer zu fahren hat – die Abfahrt- und Ankunftszeiten und aktuell veränderte Geschwindigkeitsvorgaben werden, wie hier, per GSM-Netz in die Lok übermittelt und auf den Bildschirm des Führerstands dargestellt:
"Das nächste Signal verlangt eine Geschwindigkeitsbegrenzung von 80 Kilometer pro Stunde und ich muss jetzt in einem Zeitabschnitt, den der Rechner errechnet die Geschwindigkeit unter 85 Kilometer pro Stunde bringe. Und jetzt habe ich im Prinzip an diesem Signal, das das Ausfahrtgleis signalisiert, mitgeteilt bekommen, dass das nächste Signal "Halt" ist. Deswegen musste ich das wieder quittieren. Wenn ich das ignorieren würde, würde ich sofort eine Zwangsbremsung bekommen."
Drei mit unterschiedlicher Hard- und Software konfigurierte Rechner kontrollieren sich in den Stellwerken gegenseitig, was die Eisenbahner "zwei von drei" nennen. Wäre beispielsweise in einem Stellwerk nur ein Rechner vom Systemausfall betroffen, übernehmen die anderen:
"Das ist eine Zwei-von-drei-Realisierung, wo jeder Kanal eine Information ermittelt und über einen Softwarevergleich verglichen wird, ob diese Informationen dann stimmen und zu einer signaltechnischen sicheren Ausgabe führen dürfen. Wenn zwei Komponenten ausfallen, wird in den sicheren Zustand übergegangen: Das heißt, die nächst tiefere Sicherungsebene übergegangen. Das heißt hier konkret, dass das System sich abschaltet mit einer entsprechenden Diagnosemeldung, um dann für die Untersuchung der Technik oder des Supports zugänglich zu sein."
Systemausfall bedeutet: Der gesamte Ablauf verlangsamt sich im Notfall, weil die Disponenten in den Zentralen wie die Fluglotsen jedem Fahrzeugführer telefonisch aktuelle Geschwindigkeitsvorgaben mitteilen, um beispielsweise ICEs zu bevorzugen, damit die Reisenden noch ihre Anschlusszüge erreichen. Professor Siegmann:
"Und notfalls "pustet man eine Strecke frei" , wie man so sagt. Das heißt, die Züge, die dann auf der Strecke am Mischverkehr stören, aber pünktlich sind, werden zu Gunsten eines verspäteten Fernzuges, der dann entsprechend aufholen kann, zur Seite genommen und der kann überholen."