Driftsavbruddet i jernbanens mobilnett GSM-R mandag 29. mars har nok startet en del diskusjoner om begreper som sikkerhet, pålitelighet, robusthet og redundans. Digi.no forteller at tog-nødnettet har ingen redundans, men forteller i samme artikkel at den viktige serveren hvor feilen oppsto består av doble systemer. I Aftenposten kan vi lese at her skulle det normalt ha vært en reserveløsning, men den fungerte ikke. Teknisk ukeblad kan fortelle at systemet gjøres sikrere ved at Jernbaneverket dobbeltsikrer dobbeltsikringen. Dette kan virke forvirrende og vanskelig. Det er et eget fagområde som er såpass stort at du kan studere det både som teknolog og som samfunnsviter.
Wikipedia er i skrivende stund litt svak på begrepet redundans. For såpass store og komplekse system som GSM-R er det nødvendig å dele opp beskrivelsen i flere nivåer og redundans kan bygges inn på både komponentnivå og på delsystemnivå. Utsagn som "det er bygget redundans inn i systemet" sier egentlig ikke noe mer enn at noen har tenkt på denne typen sikkerhet, men ikke noe om hvilken grad av sikkerhet det er snakk om. Selv om det er bygget noe redundans inn i et system kan det ofte bygges mer redundans inn i systemet.
Systemet GSM-R er igjen et delsystem av det systemet som kan kalles jernbanenettet i Norge. Det er dette hvordan dette siste systemet er konstruert som kan fortelle oss noe om konsekvensene av et avbrudd i GSM-R.
Uansett, det norske GSM-R-nettet var bygget med redundans i noen deler av systemet. Nå forsøker man å gjøre det sikrere med mer redundans. Ulempen er at mer redundans gjerne fører til høyere kompleksitet, som i sin tur bidrar med nye måter systemet kan feile på.
At én skarve teknisk feil kan slå ut samtlige tog i landet er uvirkelig, surrealistisk og utålelig. Slik lyder dommen fra politikere, kunder og sikkerhetseksperter.
Tønsberg blad spissformulerer kritikken i sitatet over, men jeg stusser litt over at avisen har fått med seg sikkerhetseksperter på dette utsagnet. Det er helt i tråd med teorien om systemulykker (eller normal accident theory) at en liten tue kan velte særdeles store lass. Løfter om at dette aldri skal skje igjen er vanligvis ensbetydende med å love litt for mye.
Var en feil som denne helt usannsynlig og uventet? Dessverre er det nokså lett å svare på dette spørsmålet. GSM-R er i prinsippet et mobilnett bygget med teknologi som er noenlunde lik den som brukes i de offentlige GSM-nettene. GSM-R har mer avansert funksjonalitet, og dermed kan vi anta at systemet er litt mer komplekst. Uansett, i løpet av de årene det norske GSM-R-nettet har vært i drift har det vært landsdekkende feil i et av de offentlige mobilnettene mer enn en gang. Dette bør tilsi at landsdekkende feil ikke er helt usannsynlige, og side slike feil har forekommet i Norge er det vanskelig å argumentere for at dette er en utenkelig situasjon.
Om noen har lyst til å utdanne seg, eller etterutdanne seg, på dette fagfeltet er det gode muligheter til å lære mer både på NTNU og ved Universitetet i Stavanger.
Kort sagt: Vi snakker ikke om svarte svaner her, selv om det er slik mange formulerer seg.
Jeg tror ikke denne feilen ville ha blitt en så stor sak om det ikke var for alle de andre sakene. Siden det ikke er urimelig at det skjer, om enn sjelden.
Posted by: Iskwew | 2010.04.03 at 11:47
Ingen sort svane, nei. Og, store utfall på grunn av programvarefeil har også forekommet, og det har ført til at systemer med stor grad av redundans har falt ut.
I luft- og romfart brukes det i noen tilfeller to eller flere systemer hvor programvaren kommer fra forskjellige leverandører, men da begynner sikkerhetstiltakene å bli meget kostbare.
Helt sikker er det altså så godt som umulig å bli, men det er ganske viktig at ledelsen i en virksomhet har kommunisert klart og tydelig hvor stor risiko en er villig til å akseptere. Så må en tilpasse organisasjon og tekniske systemer til disse kravene.
Posted by: Håkon | 2010.04.04 at 11:27