Dat bedoel ik....regelgeving ondervangt een gedoofd rood sein naar de veilige kant en is daarmee dan onderdeel van het fail-safe princiepe.Er gaan pas zaken mis wanneer er (a) meerdere fouten tegelijk zouden optreden. De eerste fout zorgt voor een fail-safe situatie, een tweede fout kan daarna onopgemerkt blijven of (b) als er zich een situatie voordoet waarin het systeemontwerp niet voorziet. Een niet gedefinieerde fouttoestand.Als voorbeeld de ontsporing bij Hilversum in recent verleden: De oorzaak (tongaanrijding van een wissel) wordt door het systeem niet waargenomen, omdat dat niet in het ontwerp is meegenomen. Je zou er een voorziening in kunnen bouwen die beweging en of electrisch contact in de niet gebruikte wisseldelen (tav de wisselstand) signaleert en daarmee een storingssignaal uitzenden.MvgSander
Volgens mij wordt in deze context (9.2.2) met veilige en onveilige signalering de seinstanden bedoeld.
stemt tot nadenken
Bij Hilversum heeft het fail safe systeem (als dat er al was) niet afdoende gewerkt, immers bij niet aansluitende wisseltongen had het toeleidende sein nooit veilig mogen komen.
De ontsporing is veroorzaakt door een vermoeiingsbreuk in een klein onderdeel (ring) van het wissel. Door de breuk ontstond er tijdens de treinpassage een verkeerde wisselstand. De vermoeiingsbreuk kon ontstaan doordat de ring tijdens het fabricageproces slecht was afgewerkt en doordat het wissel in slechte staat verkeerde. Het wissel was op onderdelen dermate versleten, dat de wielen van passerende treinen regelmatig de wisseltong schampten; het ‘aanrijden van de tong’. De gebroken ring was niet berekend op de extra krachten die met deze aanrijdingen gepaard gaan.
d) als het sein voor het perron rood toont krijg de machinist ook geel 4, geel, rood
Het IL&T onderzoek zal inderdaad moeten aantonen wat hier specifiek is misgegaan, maar gezien het feit dat het bij Castricum al vaker mis of bijna mis is gegaan zou het niet verkeerd zijn hier eens kritisch naar de seinopstelling te gaan kijken.