Ook in december 2007 gaan er nog geen treinen rijden op het traject van de hsl-zuid, moest verkeersminister Eurlings in oktober in het parlement toegeven. Voornaamste boosdoener: beveiligingssysteem ERTMS.
Het klinkt misschien een beetje raar, maar de hsl-zuid is voor een belangrijk deel een softwareproject. Uiteraard komt er ook veel civiele techniek aan te pas, zelfs een behoorlijk ingewikkelde tunnel onder het Groene Hart, maar de kunst om twee parallelle stukken staal op een talud te monteren is in de afgelopen anderhalve eeuw goed uitontwikkeld.
Natuurlijk, er is ruimte voor verbetering. ‘De hsl-zuid bestaat uit een betonnen onderbouw met platen erop, waarop dan weer het spoor ligt. Het zou goedkoper zijn om het spoor direct op de onderbouw te schroeven, of een ingegoten spoor toe te passen’, zei scheidend hoogleraar railbouwkunde prof.dr.ir. Coenraad Esveld van de TU Delft onlangs nog in Technisch Weekblad. Ook ballastloos spoor en lichtere treinconstructies zijn potentiële verbeteringen.
Een gebed zonder eind is de civiele techniek echter niet. Het laatste hardwareprobleem, dat in oktober opgelost werd, betrof excessieve stofvorming in de tunnel. Inzet van een hogedrukspuit en een stofzuiger verhielp dit. Hoe anders ligt dat voor de software, met name het beveiligingsssyteem ERTMS (European Rail Traffic Management System).
ERTMS bestaat uit drie onderdelen. Het railverkeersmanagementsysteem ETML (European Traffic Management Layer) wordt meestal niet eens genoemd, omdat het meer droom is dan werkelijkheid. Het communicatiesysteem GSM-R is een aanpassing van GSM, vooral omdat het bij 300 kilometer per uur nog moet werken. De derde component is het treinbeveiligingssysteem ETCS (European Train Control System). Dit is het zorgenkind, om redenen die uit de software-ontwikkeling maar al te bekend zijn.
Compatibel
Traditioneel heeft ieder land zijn eigen treinbeveiligingssysteem. Nog niet zo lang geleden werden treinen mede om die reden aan de grens stil gezet, om er een nieuwe locomotief voor te zetten, met het juiste systeem. Huidige grensoverschreidende treinen zijn met meerdere systemen uitgerust (de thalys, bijvoorbeeld, heeft er zeven) om op alle spoorsystemen onderweg uit de voeten te kunnen. Het doel van ERTMS is nobel: voortaan nog maar één systeem voor heel Europa.
Dat betekent echter wel de ontwikkeling van specificaties voor software, die door verschillende fabrikanten op niet mis te verstane wijze geïmplementeerd kan worden. Deze opdracht wijkt niet wezenlijk af van ieder ander communicatieprotocol, behalve dat het nogal wat uitmaakt of FireWire of Wifi een datapakketje zoek maakt of ERTMS een trein laat ontsporen.
‘Zelfs hele simpele protocollen leiden al tot een complexiteit die veel mensen zich niet kunnen voorstellen’, zegt prof.dr.ir. Jan Friso Groote, die zich aan de TU Eindhoven met ontwerp van technische software bezig houdt. ‘De elektrotechnici en werktuigbouwers die technische systemen ontwerpen, beschikken vaak niet eens over de wiskunde die nodig is om de complexiteit ervan te analyseren. Ze denken teveel in stappen: eerst gebeurt dit, dan gebeurt dat. Maar in werkelijkheid gaat het niet zo. Een systeem kan zich in zoveel verschillende staten bevinden, dat geen mens overzicht kan hebben over wat er nou eigenlijk gebeurt.’
‘Honderd procent van de protocollen bevat mathematische fouten’, gaat Groote verder. ‘Wij hebben bijvoorbeeld onderzoek gedaan naar FireWire en steeds opnieuw vonden we fouten. Uiteindelijk is die standaard maar vastgesteld, terwijl er bekende problemen waren.’
Koehandel
De geschiedenis van ERTMS in de hsl, onder meer uiteengezet in een brief van (toen nog) minister Peijs aan de kamer op 13 februari van dit jaar, zou als een soap lezen, als het niet zo droog-technisch was. ERTMS is een systeem in ontwikkeling. Aanvankelijk zou versie 2.0.0 geïmplementeerd worden. Dat was in april 2000. Een belangrijke eis was dat de trein met 300 kilometer per uur over de Nederlands-Belgische grens moest rijden.
Ervaringen in andere landen leidden eind 2002 tot de vaststelling van een nieuwe versie, 2.2.2. Omdat de aannemer van het systeem in Nederland, Infraspeed, nog helemaal niet begonnen was met implementatie, werd in juni 2003 afgesproken over te gaan op de nieuwe versie. Al gauw bleek echter dat 2.2.2 niet interoperabel was. De versies van Alstom (Belgische kant) en Alcatel (Nederlandse kant) verschilden zo dat ze niet goed met elkaar communiceerden. Er doken ook andere problemen op.
Overleg tussen Frankrijk, België, Nederland en Luxemburg leidde in oktober 2005 tot versie 2.3.0 Corridor, die een jaar later officieel werd vastgesteld door de Europese Commissie. De definitieve versie kan dit onmogelijk zijn, omdat de Duitsers niet meedoen. Naast een technisch proces is het vaststellen van de norm ook een vorm van politieke koehandel, waarbij ieder land voorrang geeft aan zijn eigen ideeën over veiligheid (en zijn eigen industrie).
Hoe dan ook, Infraspeed hing een prijskaartje van veertig miljoen aan de overgang van 2.2.2 naar 2.3.0. Vanaf dat moment ging het tussen Infraspeed en het ministerie van Verkeer en Waterstaat vooral over geld. Beide partijen dachten niet dat uitstel van de implementatie nou direct tot vertraging in de oplevering van de hsl hoefde te leiden.
Om in elk geval maar verder te gaan, werd besloten het systeem helemaal volgens versie 2.2.2 uit te voeren en daarna de upgrade naar 2.3.0 te doen, terwijl de treinen al zouden rijden (en stevig afremmen aan de grens, om de overgang tussen Alstom en Alcatel software goed te laten verlopen). Dat was goed, vond Infraspeed, maar voor het testen van de geupgrade software moest het treinverkeer wel een maand stilgelegd worden. Dat was voor het ministerie dan weer onacceptabel.
Streefdatum
Ondertussen bleek Siemens de elektronica voor in de trein niet op tijd af te hebben. Als gevolg daarvan zou een correcte grensovergang bij versie 2.2.2 niet testbaar zijn voor november 2007. Voor die tijd zou het traject tussen Amsterdam en Rotterdam wel helemaal gebruiksklaar kunnen zijn. De minister besloot dan in elk geval het binnenlands vervoer in december 2007 van start te laten gaan. Daar moest hij in oktober op terugkomen.
Op zich zou vervoer met 160 kilometer per uur op korte termijn kunnen starten, maar er zijn nog veel haken en ogen bij de opwaardering naar 300 kilometer per uur. Zo is er nog geen definitieve overeenstemming over bepaalde veiligheidsnormen in ERTMS. De tests van het inmiddels geïmplementeerde 2.3.0 verlopen voorspoeding, maar niet feilloos, en zullen al gauw tot maart 2008 duren. Oktober 2008 durft het ministerie alleen nog maar een streefdatum te noemen (wat overigens ook te maken heeft met vertraging in de leverantie van het rollende materieel).
De handen van Groote jeuken om zich op ERTMS te storten: ‘In de specificaties staat, in natuurlijke taal, precies uitgelegd wat wanneer moet gebeuren. Maar wat ontbreekt is een diepgaande technische analyse. Vergelijk het met een brug waarvan de vorm in detail is uitgewerkt, maar het ontwerp niet vermeldt welke staalsoort gebruikt moet worden of waar de bouten en moeren komen. Dat moet je wel weten om er zeker van te zijn dat hij niet zal instorten. Er is een aantal onderzoeksgroepen in Nederland, waaronder de onze, die de technologie bezit om tenminste een deel van de problemen met ERTMS op te lossen. Maar tot nu toe is geen van deze groepen erbij betrokken’
