maanantai 10. elokuuta 2015

Meillä tällaista ei voisi sattua

Päivän uutinen paljastaa, miten täpärästi säästyimme pahalta junaonnettomuudelta viime maaliskuussa. Riihimäeltä lähtenyt juna ajoi Hyvinkään aseman vaihteisiin 150 kilometrin tuntinopeutta, vaikka rajoitus olisi ollut 80 km/h. Syynä oli osittain inhimillinen erehdys: kuljettaja ei ollut muistanut kytkeä automaattista kulunvalvontajärjestelmää päälle, koska oli lähdön aikaan räplännyt puhelintaan.

Aiemmin junassa ovat häirinneet lähinnä kovaäänisesti puhelimeensa pälättävät matkustajat. Eipä näköjään kuljettajistakaan voi olla varmoja.

Maikkarin rikostoimittaja Jarkko Sipilä kaivoi Twitterissä esiin parin vuoden takaisen Hesarin uutisen, joka oli kirjoitettu Espanjan vakavan junaturman jälkimainingeissa.

"Meidän järjestelmämme on aukoton"
Tekstissä Liikenneviraston tekninen johtaja Markku Nummelin kehaisee, ettei meillä voisi sattua vastaavaa onnettomuutta, koska "järjestelmä on parasta, mitä Euroopassa on, ja tehty aukottomaksi". Samaa mieltä on Trafin johtava asiantuntija Kari Alppivuori: "Ei junaturvallisuus voi enää nykypäivänä olla siitä kiinni, että kuljettaja muistaa jarruttaa mutkassa".

Nyt on käynyt ilmi, että Suomen järjestelmä on "aukoton" vain, jos kuljettaja itse muistaa kytkeä sen päälle.

Turvallisuusasiat ovat vaikeita. Pahinta niissä on liian suuri itseluottamus ja "meillä kaikki on kunnossa" -asenne. Me Suomessa olemme tottuneet uskomaan siihen, että vahinkoja sattuu vain muualla, koska olemme itse niin hyviä ja huolellisia. Uusinkaan tekniikka ei auta, jos sitä ei kytketä päälle.

Voi vain ihmetellä, kuka on hyväksynyt turvajärjestelmän, joka on kuljettajan oman muistamisen varassa. Ja kuka kehtaa kutsua sellaista aukottomaksi?

Ainoa tie oikeaan turvallisuuteen on nöyryys ja jatkuva parantaminen. Suomi sai molemmista vakavan varoituksen. Onneksi tällä kertaa selvittiin pelkällä säikähdyksellä.

13 kommenttia:

Anonyymi kirjoitti...

Mokahan tuo on. Ei pelkästään kuljettajan moka. Autonikin huolehtii siitä, että istuivyö on kiinni. Niinpä vyötä tulee käytettyä. Navigaattori huomauttaa, jos ajan ylinopeutta.

Ville O. Turunen kirjoitti...

Tuon taustalla taitaa olla se, että junia pitää voida ajaa ilman kulunvalvontaa. Ongelmana on lähinnä vaihtotyöt, eli tilanteet, joissa vaunuja tai junarunkoja kytketään tai irroitetaan toisistaan. Näitä operaatioita ei voida varmistaa opastinjärjestelmällä, joten kulunvalvontalaitteitakaan ei voida tuolloin käyttää. (Vaihtotyöt turvataan käytännössä siten, että liikenteenvalvoja varaa jollekin veturille/junalle työskentelyalueen, jonne muuta liikennettä ei päästetä ja itse alueella liikkeitä varmistaa turvamies ja nopeus on rajoitettu.)

En nyt halua puolustella, vaan tämä hieman taustoitukseksi. Varmasti tämäkin ongelma olisi ratkaistavissa, mutta tässä ei kuitenkaan ole kyse alkeellisesta mokasta järjestelmän suunnittelussa. Ilmeisin tapa korjata tilanne olisi lisätä kulunvalvontalaitteeseen vaihtotyötila, mutta silloin täytyisi luopua rautateille niin tärkeästä fail save -periaatteesta: automaattisen kulunvalvonnan pitäisi mahdollistaa junan liikkuminen vain silloin, kun liikenteenohjaus on varannut junalle vapaan kulkutien.

Jari Vanha-Eskola kirjoitti...

Tyranny of the default?

Jos oletuksena olisikin, että valvonta on aina päällä ja se pitää erikseen kytkeä pois (ja vaikka tietyin väliajoin uudelleen), niin ei tulisi unohduksia.

Anonyymi kirjoitti...

Kyllähän paikat on tiedossa missä nopeusrajoitus joten ihan normi navigaattori vain rautatie-kartalla tarvitaan. Navigaattori osaa GPS/Glonass kordinaateista laskea nopeuden joten voi hälyttää kun ylitetään. Pelkkää välinpitämättömyyttä että tuollainen voi tapahtua.

Petteri Järvinen kirjoitti...

Kaikille on aina perustelunsa, vaikka uutisointi saakin usein asianosaiset näyttämään tyhmiltä. Sipilä on kirjoittanut aiheesta tänään lisätietoja Maikkarin blogiin.

Anonyymi kirjoitti...

Junankuljettajille puhelimeen appsi, jolla voi keskustella junan kanssa. Muistutus Androidin näytölle, että jokin asia vaatii huomiota. Koko junaa voisi ohjata puhelimella. ;-)

Ville O. Turunen kirjoitti...

Puhelinsovellutusten tarjoittelijat voisivat miettiä ihan ensin vaikka sitä, että mitä tapahtuu, kun puhelin syystä tai toisesta kadottaa signaalin. Tekisikö juna aina silloin hätäjarrutuksen, tai jos ei, niin voiko puhelimesta kuljettajan huomaamatta loppua akku ja juna vain jatkaa matkaansa?

Kyllä kait tarinan opetus tosiaan on ennemminkin siinä, että hyvät turvalaitteet yksinään eivät riitä, vaan myös tarvitaan toimiva turvallisuuskulttuuri. Tässä tapauksessa ilmeisesti kuljettaja on tavallaan käyttänyt kulunvalvontalaitetta ohjauslaitteena, vaikka se on turvalaite, eli hän on antanut tehdä jarrutuksen puolestaan. Näinhän ei saisi missään tapauksessa tehdä, vaan junaa (tai mitä tahansa laitetta) tulisi ajaa ikään kuin mitään turvalaitteita ei olisi. Turvalaitteet varmistavat taustalla kaiken varalla.

Periaatetasolla voi miettiä, mikä on ehkä ollut pielessä: onko koulutus ollut huonoa, kun kuljettaja ei erottele turvalaitteita ohjauslaitteista, vai onko hallintalaitteisto rakennettu niin huonosti, että se ei selvästi jakaannu näihin kahteen ryhmään. Vai onko kiusaus käyttää laitteistoja väärin liian suuri, eli minkäänlaista palautetta ei tule siitä, että on joku turvaominaisuus on joutunut aktivoitumaan. Vai onko työilmapiiri sen verran huono, että se alkaa näkyä kuljettajien asenteissa: välinpitämättömyys ja kyynistyminen ovat aika tyypillisiä oireita, kun asiat työpaikalla eivät ole kunnossa. Myös rekrytoinnissa on voitu epäonnistua. No, näin ulkoa katsoen lehtitietojen varassa ei tämän enempää oikein voi sanoa, mutta tuossa uskoakseni on lueteltuna tärkeimmät periaatteessa mahdolliset turvallisuuskulttuurin ongelmat.

jaska kirjoitti...

Kuolleenmiehenkytkin huudattaa junan torvea, jos sitä ei ole liikutettu tarpeeksi usein ja sen jälkeen pysäyttää junan.

Jos kulunvalvonta myös huudattaisi torvea aina kun se joutuu puuttumaan peliin, niin kuljettajat eivät voisi antaa sen jarruttaa automaattisesti. Näin systeemi olisi oikeasti redundantti eikä yhden osan (kuljettaja tai kulunvalvonta) pettäminen aiheuttaisi onnettomuutta.

Liikenneviraston aiemmat kommentit järjestelmän aukottomuudesta ovat olleet pielessä tästäkin syystä. Jos kuljettajat antavat kulunvalvonna jarruttaa automaattisesti, niin silloin yhden osan pettäminen riittää onnettomuuteen, eikä sellaista oikein voi kutsua aukottomaksi.

Anonyymi kirjoitti...

Kulunvalvonnan varmuuden hehkuttamisen jälkeen on kieltämättä käsittämätöntä, että järjestelmän varmuus perustuu siihen, muistaako kuljettaja kytkeä sen päälle. Ei varmaan ole kovin harvinaista, että junilla ajetaan kulunvalvonta pois päältä.

Hämmästyttävää on myös, että kuljettajien on sallittua puhua kännykkään junaa ajaessaan. Junan kyydissä voi kuitenkin olla satoja ihmisiä...

Anonyymi kirjoitti...

Kulunvalvonta huudattaa torvea. Semmoista hemmetin ärsyttävää BEEP-BEEP-BEEP-BEEP-BEEP-ääntä. Jotain 10 sekuntia ennen kuin alkaa jarruttamaan. Myös mikäli nopeus ylittää sallitun nopeuden (5-10 kmh yli) se piippailee. Sitä ei korvat kovin kauaa jaksa. Se on kyllä täysin mykkä, mikäli sitä ei laita päälle. Tosin, myös aina lähdössä syötetään junan tiedot laitteeseen. Se toimenpide on kuljettajalla yleensä niin selkärangassa (juna jarruttaa yli 35 kmh nopeudessa, mikäli tietoja ei ole syötetty), että pitäisi siihen havahtua, kun näyttö on pimeänä.

jaska kirjoitti...

"Kulunvalvonta huudattaa torvea. Semmoista hemmetin ärsyttävää BEEP-BEEP-BEEP-BEEP-BEEP-ääntä. Jotain 10 sekuntia ennen kuin alkaa jarruttamaan."

Tämä ei ole ihan se toiminto mitä tarkoitin. Kuolleenmiehen kytkin huudattaa tietääkseni junan äänitorvea, jonka kuulee myös matkustajat ja puoli pitäjää.

Ohjaamossa kuuluva äänimerkki ei aja ihan samaa asiaa redundanttisuuden varmistamisessa. Junan kuljettaja voi odottaa äänimerkkiä merkiksi jarruttaa. Ehkä Riihimäen tapauksen kuljettaja ei huomannut jarruttaa, koska odotti kulunvalvonnan äänimerkkiä, jota ei sitten tullutkaan.

Anonyymi kirjoitti...

"Kuolleenmiehen kytkin huudattaa tietääkseni junan äänitorvea, jonka kuulee myös matkustajat ja puoli pitäjää."

Ei se kyllä niin tee. Kokemuksesta (ja yhdestä hätäjarrutuksesta) tiedän. Kuolleen miehen kytkin (virallisesti turvalaite) piipittää summeria. Kolme sekuntia palaa TURVALAITE-valo, 2 sekuntia summeri huutaa. Yli 140km/h nopeudessa ajat puoliintuu. Ja tämä siis minuutin välein.

jaska kirjoitti...

"Kuolleen miehen kytkin (virallisesti turvalaite) piipittää summeria. "

Joskus maikkarin toimittaja oli vierailulla veturissa ja kuski demosi kuolleen miehen kytkimen toimintaa. Siitä sai käsityksen, että aktivoituessaan se huudattaisi junan torvea.

Ehkä eri veturimallien kuolleenmiehenkytkimissä on eroja tai sitten tv-ohjelmasta sai väärän käsityksen. Joka taapauksessa kulunvalvonnan olisi syytä huudattaa junan torvea tai jotenkin muuten pitäisi varmistaa, että kuljettajat eivät voisi käyttää kulunvalvontaa apuna normaalissa toiminnassa vaan se säilyisi varmistuksena.

Website Security Test