Brann i én server i Trondheim stoppet tre av fire tog i Norge melder Dagsavisen.  Dette er blant det man kan lese:

“En brann i Jernbaneverkets server i Trondheim førte til at togene mistet tilgangen til GSM-R-båndet, som sørger for at togene kan oppgi sine posisjoner til Jernbaneverkets operasjonssentral i Trondheim.

Fra 18.30 til 21.15 var det full stans. NSB regner med at om lag 150 av de 200 avgangene som skulle vært avviklet, ble berørt.

Jernbaneverkets informasjonssjef, Kjell Bakken, forklarer at strømsystemet som skal drifte serveren i Trondheim, har en sikkerhetsløsning som skal sørge for at strømmen ikke går.

– Så vi har ikke lagt alle eggene i én kurv, sier Bakken.

– Men nå mistet dere begge kurvene?

– Vi mistet begge, ja, sier Bakken.”

Hos digi.no beskrives systemet slik:

“Den viktige serveren består av doble systemer i samme rack. Ifølge informasjonssjefen innebærer det blant annet to kretskort, to strømforsyninger og så videre.”

Det hjelper ikke så mye om man”fordeler eggene i to kurver”, så lenge de to kurvene står ved siden av hverandre i det samme rommet. I følge digi.no har GSM-R, slik det er lagt opp i Norge, ingen redundans.

Vi skal ikke så langt tilbake i tid før brann i en kabelgate på Oslo S satte signalanlegget, og dermed togene ut av funksjon. Om jeg husker rett (her har jeg ikke gått tilbake og sjekket), hadde man to kabler — men begge kablene gikk i den samme kabelgaten. Og da har man åpenbart “god” sikring om det blir brann på det stedet.

Jeg synes dette er skremmende, og lurer på hva slags sikkerhetstankegang man egentlig lever etter i Jernbaneverket. Enhver sikkerhetsvurdering har to hovedkomponenter: Sannsynlighet for at hendelser inntreffer og konsekvenser av at det skjer. Man får inntrykk av at Jernbaneverket bare har satset på at det ikke vil inntreffe noe uforutsett av alvorlig art. Dette kunne vi lese i Aftenposten:

“Informasjonssjef Kjell Bakken i Jernbaneverket sier at de ikke hadde forutsett at feilen som satte kommunikasjonssystemet ut av spill ved sentralen på Marienborg i Trondheim i det hele tatt kunne inntreffe.”

Leder for Jernbaneverkets operasjonsenter i Trondheim, Ørjan Berg-Johansen sier til nrk.no at det ikke skal skje igjen. Men en gang er én for mye. Det holder ikke å si at det ikke skal skje igjen.

Jeg kan ikke skryte på meg noen omfattende erfaring med sikkerhetsrutiner for slike systemer. Men litt har jeg hatt nærkontakt med, selv om det har vært systemer for finans og ikke for togtrafikk.

For de systemene jeg har hatt befatning med har dublerte løsninger på ulike geografiske steder vært en selvfølge. Faller et ut skal det andre overta. Direktøren i Post- og Teletisynet, Willy Jensen, sier til Digi.no at han ikke skjønner hvorfor Jernbaneverket ikke har en speilsentral på plass. Det skjønner ikke jeg heller.

For de mest kritiske systemene har man “varm” back up, som gjør at bortfallet ikke fører til noen merkbare driftsforstyrrelser. For litt mindre kritiske systemer kan det kanskje ta 15 minutter før de er i gang. Man skal også kunne flytte styringen fra en lokalitet til en annen. Kanskje kan man ikke opprettholde all drift, men viktige systemer går uten avbrudd. Strømbrudd, brann, kabelbrudd osv, er påregnelige hendelser som man er forberedt på å kunne håndtere.

Selvfølgelig testes systemene jevnlig, gjerne et par ganger i året. Kanskje kuttes hovedstrømmen til et anlegg, de som møter på jobb får beskjed om at de ikke slipper inn pga brann, eller andre simulerte katastrofer.  Man avdekker alltid noe som ikke fungerer helt som det skal i slike simulerte katastrofer. Men man retter opp systemer og rutiner og sørger for at disse bedres, samtidig som organisasjonens katastrofeberedskap testest og trenes. Og jeg har i alle fall aldri sett feil av en slik karakter at hovedfunksjonene stopper opp. Stort sett har det vært langt mindre alvorlige svikt.

Jeg er ikke i stand til å se noen akseptabel unskyldning for at denne togstansen kunne skje. Noen i Jernbaneverket har ikke gjort jobben sin. Hvem og på hvilket nivå, det vil jeg ikke ha noen mening om. Men den sikkerhetstankegang som man har basert seg på er ikke akseptabel. En del personer, fra samferdselsministeren og nedover i organisasjonen, burde innse at det ikke ble noen påskeferie i år. Her er det problemer som må tas tak i umiddelbart.

Et ubehagelig PS:

Dagen etter at jeg skrev dette innlegget sporet et tog av i Gamlebyen i Oslo. Slikt kan skje den beste. Men de første undersøkelsene viser skremmende funn: Dårlige sviller kan ha ført til for stor sporvidde. Sagt på en annen måte: Det kan tyde på at avsporingen skyldte for dårlig vedlikehold. Tilsvarende svikt i sporet har også tidligere ført til avsporing.

“– Det kan være svake sville, eller det kan være at grunnen gir etter. Det er tross alt vår, og dermed teleløsning, påpeker Olsen.”

Det er tross alt vår.

“Vi var klar over at disse svillene var svake, og det var satt på strekkbolter på stedet, men det holdt åpenbart ikke, sier informasjonsdirektør Ann-Kristin Endal i Jernbaneverket.”

Binders og gaffatape viste seg altså ikke å holde. Så sporet toget av. Dumt.

“– Det sto på vår plan at disse skulle byttes. Det er et ledd i Oslo-prosjektet. Men vedlikeholdsoppdragene i Jernbaneverket står i kø. “

… fortsetter informasjonsdirektør Ann-Kristin Endal.

Dårlig vedlikehold fører til at tog sporer av. De ansvarlige ved at det er dårlig. Man har forsøkt midlertidig reparasjon, men det holdt ikke. Det står på planen at det skal utbedres, visstnok i 2011.

Det ekle spørsmålet som trenger seg på, er: Hvor trygt er det egentlig å ta tog i Norge?