HSL-Beveiligingssysteem ERTMS
Total Page:16
File Type:pdf, Size:1020Kb
HSL-beveiligingssysteem ERTMS Eenonafhankelijk onderzoek naar nutennoodzaak van de aanpassing van hetHSL-beveiligingssysteem ERTMS inopdrachtvanhet Onderzoeks- enVerificatiebureau vande Tweede Kamer der StatenGeneraal 23 mei 2007 Onderzoeksteam Technische UniversiteitDelft J.A. Stoop, J.H. Baggen, J.M. Vleugel, J.L.de Kroes enJ.L.M. Vrancken Inhoudsopgave SAMENVATTING 5 SUMMARY 11 1 WERKWIJZE, OPZET EN VERANTWOORDING VAN HET ONDERZOEK 17 1.1 Aanleiding tot het onderzoek 17 1.2 Werkwijze en opzet 18 1.3 Het ERTMS-vraagstuk op de hogesnelheidslijn Schiphol-Antwerpen 20 1.4 Leeswijzer 21 2 DE HOGESNELHEIDSLIJN SCHIPHOL-ANTWERPEN 23 2.1 Inleiding 23 2.2 Een bijzonder project? 24 2.3 Een trendbreuk bij de spoorwegen 25 2.4 Betrokken partijen en hun onderlinge relatie 26 2.4.1 Belangrijkste actoren 26 2.4.2 Contracten en contractvormen 27 2.4.3 Planning 30 2.5 Conclusies 31 3 BEVEILIGINGSSYSTEMEN VOOR HOGESNELHEIDSSPOORLIJNEN OP DE CORRIDOR PARIJS-BRUSSEL-KEULEN-AMSTERDAM-LONDEN 33 3.1 Inleiding 33 3.2 De ontwikkeling van een Europese beveiligingssysteem ERTMS 34 3.2.1 Inleiding 34 3.2.2 Meerdere redenen om ERTMS in te voeren 35 3.2.3 ETCS Beveiligingsniveaus 37 3.2.4 Relaties tussen levels; fall-back en ontwikkelingsmogelijkheden 41 3.2.5 Interoperabiliteit 42 3.2.6 Technische ontwikkelingen industriepolitieke belangen 44 3.2.7 Tot slot 45 2 Technische Universiteit Delft 3.3 Spoorwegbeveiliging in Nederland 45 3.4 Spoorwegbeveiliging in België 47 3.5 Spoorwegbeveiliging in Frankrijk 50 3.6 Spoorwegbeveiliging in Duitsland 50 3.7 Spoorwegbeveiliging in Groot-Brittanië 51 3.8 Conclusies 52 4 ANALYSE 53 4.1 Inleiding 53 4.2 De vormgeving van grote projecten 53 4.2.1 Inleiding 53 4.2.2 Een bijzonder project door de keuze voor ERTMS 54 4.2.3 Een bijzonder project door de keuze voor publiekprivate samenwerking 54 4.2.4 Contracten en het managen van onzekerheid 56 4.2.5 Conclusies 61 4.3 ERTMS en softwareontwikkeling 61 4.3.1 Inleiding 61 4.3.2 Het proces van softwareontwikkeling 62 4.3.3 Softwareontwikkelingen ERTMS op de HSL-Zuid/HSL 4 65 4.3.4 Mens-machine interactie 66 4.4 De samenwerking tussen Nederland en België 68 4.4.1 De voorgeschiedenis 68 4.4.2 Het verdrag met België 69 4.5 Technische keuzemomenten 72 4.5.1 Inleiding 72 4.5.2 De keuze voor een beveiligingssysteem 72 4.5.3 De keuze voor een systeemgrens 76 4.6 Conclusies 78 4.6.1 Terugblikop keuzes 79 4.6.2 Vooruitblik op keuzes 79 5 ANTWOORDEN OP KAMERVRAGEN 81 5.1 Inleiding 81 5.2 Beantwoording van de hoofdvragen 81 5.3 Beantwoording van de deelvragen 83 Technische Universiteit Delft 3 5.4 Conclusies ten aanzien van redelijkheid en billijkheid 87 6 CONCLUSIES, AANBEVELINGEN EN REFLECTIE 89 6.1 Inleiding 89 6.2 Conclusies 89 6.2.1 Technologische keuzes 89 6.2.2 Verdere ontwikkeling van ERTMS: Level 3? 91 6.3 Aanbevelingen 94 6.4 Reflectie 95 LITERATUUR EN REFERENTIES, GERAADPLEEGDE PERSONEN EN INSTANTIES 97 BIJLAGEN 105 4 Technische Universiteit Delft Samenvatting Context Met het voordeel van inzicht achteraf ontstaat een beeld van de ontwikkeling op het spoor, waarin enerzijds het voortbouwen op een lange traditie in spoorwegontwerpen en nationaal beleid, een balans moet vinden met anderzijds technologische innovatie, Europese harmo- nisatie en interoperabiliteit. Nederland is één van de landen die gekozen heeft om te inves- teren in een nieuw systeem van spoorbeveiliging, dat uiteindelijkover heel Europa uitge- rold moet worden. Al vroegzijn industriële beproevingen gedaan met een nieuwe beveili- ging die feitelijkalleen op papier bestond. Aan deze ontwikkelingwaren deels bekende en deels ontbrekende risico’s verbonden, die contractueel volgens vigerende inzichten over de overheid en de betrokken marktpartijen werden verdeeld. Het getuigt van moed om te innoveren in een periode waarin de overheid terugtreedt in de verwachtingdat marktpartijen het initiatief tot innovatie nemen. Innovatie vereist een ste- vige rol voor de overheid. Dit geldt ook voor landen zonder gemengde markteconomie, zoals de Verenigde Staten. Op grond van recente ervaringen lijkt de slinger voor wat betreft marktwerking weer langzaam terug naar het midden te gaan. Bij de ontwikkeling van spoorwegtechnologie en zeker bij grote projecten is en blijft een regierol voor de overheid gewenst. Deze regierol omvat zowel de rol van bouwheer als die van bouwmeester. De re- latie tussen de overheid en marktpartijen kan het beste geconcretiseerd worden via een in- houdelijke toetsing op prestaties en kwaliteit. Technologie in ontwikkeling Een grootschalig project met een hoogtechnologisch gehalte als de HSL moet gefaseerd plaatsvinden. Te onderscheiden zijn hierbij de ontwikkeling, uitwerking en invoeringvan nieuwe technische systemen en toepassingen. Door de hoge mate van onzekerheid bij de aanvang van een grootschaligproject en het gaandeweg opdoen van kennis en ervaringis het onvermijdelijktussentijds tot aanpassing en verbetering over te gaan. Daarbij wordt het nut van en de noodzaak tot aanpassing afgewogen tegen de te verwachten vertraging en meerkosten. Dit is echter niet alleen een louter financiële en planmatige afweging. Het uiteindelijke doel van het ERTMS is het garanderen van de veiligheid bij hoge rijsnel- heden en een ongestoord verloop van de bedrijfsprocessen op de baanvakken zelf, over- gangen naar andere delen van het Europese HSL-netwerk, de aantak- en uittakpunten van het HSL-netwerken het gemeenschappelijke gebruikvan de reguliere infrastructuur samen met ander materieel. Hierbij worden ook hoge eisen gesteld aan de beschikbaarheid, be- trouwbaarheid en veiligheid gedurende de verdere opwaarderingen die zich in de loop van de levensduur nog zullen gaan voordoen. Hiermee is de vraagnaar de redelijkheid en billijkheid van specifieke beslissingen omtrent ERTMS niet alleen van belangvoor eenmalige beslissingen tijdens de ontwikkeling en in- gebruikstellingvan de HSL-Zuid, maar wellicht ookvoor beslissingen die tijdens de reste- rende levensduur van de HSL genomen moeten worden. In het licht van een levensduur- Technische Universiteit Delft 5 en beschikbaarheidbenaderingis het van belang om te weten of de ERTMS problematiek een incidenteel danwel structureel karakter heeft. Dergelijke vragen naar de betrouwbaarheid en bedrijfszekerheid van het opwaarderen van beveiligingssystemen zijn niet uniekvoor het spoor. In de luchtvaart komt het opwaarderen van de verkeersbeveiligingssystemen regelmatig voor, waarbij geen inbreuk gedaan mag worden op de beschikbaarheid en capaciteit van het luchtruim of de luchthaven. In deze sector zijn uitgebreide concepten, beproevingsmethoden, incidentregistratiesystemen en implementatieprocessen voorhanden die wellicht model kunnen staan voor verbeteringen in de ERTMS-benadering van de HSL-Zuid. Trekken van lering De gehanteerde werkwijze en opzet hebben naast het sec beantwoorden van de Kamervra- gen naar de noodzaak, redelijkheid en billijkheid van de software opwaardering het doel gehad leringte trekken uit de ontwikkelingen. Het is nadrukkelijkniet de bedoelinggeweest een schuldvraag te stellen of te verwijzen naar verantwoordelijkheden die aan betrokken partijen toe te wijzen zouden zijn geweest. Het onderzoekteam acht het ongepast op grond van verkregen inzichten achteraf een oordeel in welke vorm dan ookuit te spreken over de inhoud danwel het proces van besluitvormingdat heeft plaatsgevonden. Bij het opstellen van aanbevelingen heeft de leringcentraal gestaan hoe bij toekomstige projecten gesigna- leerde tekortkomingen voorkomen kunnen worden. Korte beantwoording van de hoofdvragen De hoofdvragen van de tweede Kamer zijn als volgt te beantwoorden 1: Vraag 1 naar de reden voor een upgrade van de bestaande ERTMS versie: Het wijzigen van de ERTMS versie betreft aanpassingen van hard- en software. Het onderzoek heeft zich beperkt tot de aanpassing van de software. De ontwikkeling van ERTMS versie 2.2.2 naar versie 2.3.0 was nodig omdat versie 2.2.2 nog teveel fouten bevatte en omdat er wat extra functionaliteit aan toe werd gevoegd. De ontwikkelde standaard bleek vervolgens multi-interpretabel te zijn, wat betekent dat verschil- lende leveranciers een verschillende uitleg aan de specificatie konden geven. De voor Nederland ontwikkelde versie 2.2.2 bleek niet compatibel te zijn met de Belgische versie (van een andere leverancier). Zonder de up- grade naar versie 2.3.0 zouden treinen bij de grens niet door hebben kunnen rijden met het gewenste veilig- heidsniveau en de gewenste rijsnelheid. Met versie 2.3.0 kan dit wel. Vraag 2 naar de redelijkheid van de migratietijd: Het gaat om een product in ontwikkeling dat bij versiewisseling een zorgvuldige en systematische herhaling van de beproeving vereist. Het laten bestaan van verborgen gebreken zou zich in de praktijk wreken door hoge kosten en verdere vertragingen. Over de verschillende tussenversies moest steeds op Europees niveau overeenstemming worden bereikt. Er is zelfs nog geen gegarandeerde samenhang tussen het materieel en de baan ongeacht wie de leverancier is. Er zijn diverse kritische tijdspaden, waaronder de levering van de On Board Unit voor de beproeving van versie 2.3.0. In dit licht is de migratietijd redelijk. 1 Zie voor een uitgebreide beantwoording hoofdstuk 5. 6 Technische Universiteit Delft Vraag 3 naar de redelijkheid van de testperiode: De testperiode kent een strakke planning en een vast tijdschema waarbinnen nog aanzienlijke onzekerhe- den bestaan. Er mogen zich geen grote tegenslagen voordoen, waarbij de beproeving in de praktijk de zwaar- ste test is die het integrale systeem nog moet