NOU 2000: 30

Åsta-ulykken, 4. januar 2000— Hovedrapport

Til innholdsfortegnelse

9 Oppsummerende analyse

På bakgrunn av de bevis som foreligger, den dokumentasjon som er gjennomgått og de tekniske og andre undersøkelser som er gjennomført, vil Kommisjonen i dette kapitlet foreta en analyse av årsaksforholdene i tilknytning til ulykken.

Innledningsvis vil de mulige direkte årsaker til ulykken presenteres. Noen av disse har Kommisjonen i tidligere kapitler allerede analysert og utelukket som mulig årsak. Disse vil bare bli vist til.

Foruten å analysere de mulige direkte årsaker til ulykken vil Kommisjonen redegjøre for de indirekte årsaker til at ulykken inntraff. Dette gjelder for det første de forhold som gjorde at nødsituasjonen i det hele tatt oppstod og for det andre de forhold som gjorde at nødsituasjonen ikke lot seg avverge. De indirekte årsaker anser Kommisjonen som svært viktige for å forstå hele ulykkesforløpet, og ikke minst for det fremtidige sikkerhetsforebyggende arbeidet innenfor jernbanevirksomheten. Årsakene til at sikkerhetsnivået på Rørosbanen var mangelfullt behandles, før Kommisjonens hovedkonklusjon presenteres i kap. 9.8.

Foruten en analyse av årsaksforholdet er det i kap. 10 foretatt en analyse av hvorvidt konsekvensene av ulykken kunne vært begrenset.

9.1 Mulige direkte årsaker

Kommisjonen har under sitt arbeid hatt flere mulige årsaker til ulykken som utgangspunkt. De mulige direkte årsakene kunne enten knytte seg til feil ved infrastrukturen, feil ved materiellet involvert i ulykken eller til en menneskelig feilhandling. Disse kunne i utgangspunktet knytte seg både til situasjonen på Rena og Rustad ulykkesdagen.

Det ble tidlig klart, på bakgrunn av hva hendelseslogg og vitneutsagn tilsa, at utkjørssignalet på Rena hadde vist grønt. En feil ved sydgående tog 2302, en feil fra lokomotivførers side eller en signalfeil på Rena kunne derfor utelukkes.

Når det gjelder situasjonen på Rudstad var den mer kompleks. Nedenfor er de mulige årsaker som forelå listet:

  • Signalfeil

  • Menneskelig feilhandling fra lokomotivførers side

  • Feil ved materiellet som kunne medført kontrollfeil, såkalt løpsk tog eller runaway train

  • Bevisst kjøring mot signal i stopp

  • Sabotasje eller oppretting for å skjule spor etter feilhandling.

Kommisjonen har tidligere i rapporten avvist flere av disse mulige direkte årsakene. Gjennomgangen av nordgående togs kjøremønster i kap. 5.2 viser at det ikke har vært feil ved materiellet som kan ha brakt situasjonen ut av kontroll. Muligheten for at nordgående lokfører bevisst kan ha kjørt mot signal i stopp ble behandlet i kap. 6.4 og avvist der.

En eventuell sabotasjehandling er det ingen spor etter. Det er heller ingen indikasjoner på feilhandlinger hverken fra togleder eller fra teknisk personale i Jernbaneverket som er rettet i ettertid.

Mulige direkte årsaker til ulykken, slik Kommisjonen ser det, er etter dette enten en feil i infrastrukturen eller en førerfeil foretatt av lokomotivfører av nordgående tog 2369. Disse to mulige årsakene analyseres nedenfor. En feil i infrastrukturen vil først og fremst knytte seg til en eventuell signalfeil i utkjørssignalet.

Kommisjonen finner det først hensiktsmessig å knytte noen kommentarer til bevissituasjonen før disse analysene foretas.

9.2 Vanskelig bevissituasjon

Som nevnt i kap. 3.12, og som det fremgår av kap. 4 og SINTEFs rapport, har bevissituasjonen gjort mulighetene for å finne ulykkesårsaken vanskelig.

For det første hadde Jernbaneverket og dets uhellskommisjon manglende rutiner når det gjaldt sikring av hendelseslogg. Til tross for at Jernbaneverket hadde mulighet til å sikre logg for syv døgn, valgte uhellskommisjonen likevel å sikre logg for bare to timer. I tillegg ble det bare sikret logg for stasjonene Rudstad og Rena. Det har derfor ikke vært mulig å verifisere vitneutsagn om uregelmessigheter ved signalene på Rudstad fra lokomotivførere som passerte Rudstad stasjon samme dag. Det har heller ikke vært mulig utfra hendelsesloggen å se om det har vært uregelmessigheter i infrastrukturen i den tidsperioden man hadde hatt mulighet til å sikre logg for.

Videre hadde man ingen klare prosedyrer når det gjaldt selve bevissikringen av hendelsesloggen. Hverken Jernbaneverkets uhellskommisjon eller Jernbaneverkets lokale signalteknikere så viktigheten av å ha annet autorisert personell og politiet tilstede da hendelsesloggen ble tatt ut første gang. I en så alvorlig situasjon, som Jernbaneverket var klar over at forelå, skulle det foreligget rutiner som tilsa at man ventet med å sikre logg til politiet og annet teknisk kyndig personell, uten direkte partstilknytning, var tilstede. Det ville gitt beviset større notoritet.

Hendelsesloggen logger ikke rødt lys, bare grønt. Fravær av et rødt lys innebærer ikke nødvendigvis at signalet har vist grønt. Det kan ha vært slukket. Dersom rødt lys hadde vært logget ville Kommisjonen med større sikkerhet kunnet skille mellom et entydig rødt signal og et slukket signal.

Som nevnt under pkt. 3.4.7 ble det fra togledersentralen satt togsperre nord og syd for Åsta etter at de hadde fått kjennskap til ulykken. Dette ble gjort for å hindre ytterligere toggang mot ulykkesstedet. Disse ordrene endret imidlertid tilstanden til de reléene som kontrollerte linjeblokken. Tilstanden i reléene da de to togene forlot henholdsvis Rena og Rudstad stasjon har således ikke vært mulig å avlese eksakt. Det ble heller ikke sikret fullstendig dokumentasjon av alle reléstillinger og full PLS-status. Dette har gjort de tekniske undersøkelsene, og således undersøkelsesarbeidet, vanskeligere enn nødvendig, da viktig informasjon mangler.

Videre ble det gjennomført rekonstruksjon på Rudstad 9. januar uten at Kommisjonen ble varslet. Under rekonstruksjonen ble bl.a. sporveksel 2 kjørt opp to ganger. Kommisjonens jernbanefaglige kompetanse og dens tekniske sakkyndige har for sine vurderinger av hvorvidt vekselen var kjørt opp i forbindelse med ulykken derfor måttet basere seg på billedmateriale tatt om ettermiddagen og kvelden 4. januar.

Et annet forhold som gjør bevissituasjonen vanskelig er selvsagt at sentrale vitner dessverre ikke lenger er i live. Dette gjelder først og fremst togpersonalet i nordgående tog 2369 som begge omkom i ulykken. Også den kvinnelige passasjeren som kom ombord på Rudstad stasjon og som omkom i ulykken, kan ha hatt nyttig informasjon om situasjonen på Rudstad da toget forlot stasjonen.

Som nevnt i kap. 8.9 ble avgangsprosedyren endret fra 1. september 1997. Dette har betydning for bevissituasjonen i den forstand at man ikke kan si om bare lokomotivfører, eller både lokomotivfører og konduktør, kontrollerte utkjørssignalet før avgang. Konduktør Stårvik var opplært, og hadde lenge praktisert under den gamle avgangsprosedyren, men i henhold til regelverket ulykkesdagen var det bare lokomotivfører Lodgaard som pliktet å forvisse seg om at utkjørssignalet viste grønt.

9.3 Signalfeil

9.3.1 De teknisk sakkyndiges konklusjoner

I kap. 4.6 er det gjort nærmere rede for de tekniske prøver og undersøkelser som er foretatt for å avdekke eventuelle feil i signalanlegget. I tillegg har SINTEF på oppdrag fra Kommisjonen foretatt en teknisk gjennomgang av signalanlegget. Som nevnt har dette arbeidet vært lagt opp etter to hovedlinjer. Den ene hovedlinjen har vært å følge opp de undersøkelser som har blitt foretatt ute i felten og å identifisere eventuelle nødvendige tilleggsundersøkelser. Hensikten med dette arbeidet har vært å avdekke eventuelle fysiske feil i anlegget. Den andre har vært å foreta en full teknisk gjennomgang av signalanlegget gjennom studie av anleggets dokumentasjon for å avdekke eventuelle konstruksjonssvakheter som kunne ha betydning for ulykkesforløpet. Hensikten med denne delen av arbeidet var å se om det kunne finnes logiske feil i anlegget som kunne gi en relevant feilsituasjon som ikke satte fysiske spor etter seg.

SINTEFs arbeidsmetodikk og resultater er assessert av Railcert. Se nærmere kap. 4.8.

SINTEFs hovedkonklusjoner er referert i kap. 4.7. De gjengis likevel for sammenhengens skyld her:

  1. Alt tyder på at loggen på Hamar togledersentral gir et korrekt bilde av status ute på stasjonene, slik at en kan stole på den informasjonen som finnes der.

  2. Det er ikke funnet tekniske feil eller spor etter tekniske feil, som kan forklare ulykken. Alle de tekniske indikasjonene som finnes taler imot de feilkombinasjoner som er identifisert.

  3. Det er ikke funnet tekniske spor som indikerer annet enn at det var grønt utkjørssignal for det sydgående toget fra Rena. To kompetente øyevitner, begge ansatt i NSB, støtter også at det var grønt for sydgående tog.

  4. Alle tekniske spor etter ulykken tyder på at det nordgående toget ikke hadde grønt lys da det forlot Rudstad.

  5. Det er flere muligheter for at en enkeltfeil, blant annet i den programmerbare logiske styringen (PLS), kan slukke det røde lyset utilsiktet og gi svart mast.

  6. Ingen tekniske spor tyder på at det var et unormalt utkjørssignal på Rudstad. Ut fra teknisk informasjon var det mest sannsynlig rødt utkjørssignal på Rudstad.

  7. Det finnes tekniske svakheter ved signalsystemet som må korrigeres. Blant annet inneholder PLSene sikkerhetsfunksjoner. Dette er i strid med forutsetningene. SINTEF har imidlertid ikke funnet at disse svakhetene kan forklare ulykken. Bruk av en standard PLS slik at den kan påvirke sikkerheten i et signalanlegg er ikke akseptabelt.

  8. Det eksisterer rapporter om unormale signalbilder, både fra Rørosbanen og andre lignende installasjoner. Dette tyder på at det under helt spesielle betingelser kan forekomme midlertidige feil uten varige spor som gir feilaktige signaler både i NSB-87 og kanskje også i NSI-63. Det kreves meget strenge prosedyrer for rapportering av uønskede hendelser og signalbilder dersom slike feil skal kunne lukes ut. Det kan ikke utelukkes at denne typen feil kan ha bidratt til ulykken, men det er ingen tekniske indikasjoner som sannsynliggjør dette.

  9. Etter ulykken og før bevisene var sikret, ble det i henhold til prosedyren gitt kommandoer til systemet. Dette forandret stillingen på noen releer. Under bevissikringen ble loggene for Rudstad og Rena bare tatt ut for et for begrenset tidsrom, samtidig som loggene på nabostasjonene ikke ble sikret. Det ble heller ikke sikret fullstendig dokumentasjon av alle reléstillinger og PLS-status. Dette gjør undersøkelsene vanskeligere enn nødvendig, da nyttig informasjon mangler.

Railcert har stilt seg bak SINTEFs hovedkonklusjon med følgende kommentar:

«With regard to Sintef’s conclusions:

  • We feel that Sintef’s conclusions 2, 4 and 6 suggest that a technical cause, related to the signaling installations, for the accident can be ruled out. We support this conclusion only inasmuch as it applies to a steady state, single cause failure. We do however stress the need to look beyond such «simple causes».

  • In fact Sintef’s studies have revealed a number of deficiencies in the design of NSB87 (and NSI-63) as well as serious hiatus in the collection and safeguarding of possibly vital evidence immediately after the accident. A number of known reports of anomalies in similar installations exist. Based on these, we have been able to construct theoretical scenarios where the behaviour of the signaling installations might at least have contributed to the causes of the accident. These scenarios, as well as effects of combinations of several known deficiencies could neither been proven, nor disproved by the evidence in hand, or the results of Sintef’s analyses and studies.

We are of the opinion however, that at this point in time it is highly unlikely that conclusive evidence could still be uncovered relating to the signaling installations’ possible contribution to the accident.

After evaluating Sintef’s analysis and report we feel that it can neither be completely proven, nor completely ruled out, whether the signalling system has actually caused or contributed to the cause of the accident.

It can not be excluded that the train driver has departed upon mistaking a green flash of 2 – 3 seconds for a legal green exit signal (ref. 7.15.3), specially if he had been distracted due to other reasons. A green signal blink of ca. 2–3 seconds can (even if the train drivers are normally aware of the interlocking system causing such an intermediate signal aspect) certainly lead to departing without further observation of the signal (colloquially known as the «ding-ding-and-away» phenomenon).

Recommendations

With regard to the technical investigation:

We would like to stress the need for development of structured and standardised methods and procedures for technical investigations like this one, including e.g. checklists of items to be investigated depending of the situation at hand. This should complement the unbiased open approach to an investigation by an outsider not hindered by training, company culture etc.

With regard to Sintef’s recommendations:

We fully support Sintef’s recommendations».

Railcerts assessor rapport er inntatt som vedlegg 5.

I tillegg til SINTEFs tekniske undersøkelse, har Kommisjonen også innhentet en sakkyndig uttalelse fra Banverket i Sverige hva gjelder tilstanden i sporveksel 2 på Rudstad, se nærmere kap. 4.6 samt rapport inntatt som vedlegg 3.

Banverket har trukket følgende konklusjon:

«Vår slutsats är att vi ej ser någon annan orsak til tillståndet i växel 2 efter olyckan den 4 januari 2000 än att tunganordningen har blivit uppkörd.»

Kommisjonen har etter å ha vurdert de sakkyndiges rapporter funnet å kunne basere seg på deres konklusjoner i det videre arbeidet.

9.3.2 Feilpotensialet i signalanlegget

Målet for de undersøkelser Kommisjonen ba SINTEF om å foreta var som nevnt å finne tekniske spor som direkte kan forklare ulykken. SINTEF har påpekt muligheten for at sikringsanlegg type NSB-87 inneholder systematiske og tilstandsavhengige feil, dvs. feil som kan oppstå med ujevne mellomrom og uten at de setter tekniske spor.

Basert på dette arbeid har Kommisjonen på et mer overordnet nivå kunnet avlede det feilpotensialet som eksisterer i NSB-87.

Det kan konstateres at signalene relativt lett kan gi et slukket signal i forhold til hvordan anlegget skulle vært konstruert. Et signalsystem som relativt enkelt kan gi et slukket signal er lite betryggende og muligheten for feiltolkning av signal øker.

Det var fra konstruktørens side tenkt at de ikke-sikkerhetskritiske funksjoner i NSI-63 skulle erstattes med PLS og billige bilreléer i NSB-87, se om dette i pkt. 4.2.2. SINTEFs studier viser imidlertid at også sikkerhetskritiske funksjoner i NSB-87 har blitt erstattet. Det har vist seg at feil i sikringsanlegget forårsaket av PLS-en kan gi en sikkerhetsfarlig tilstand uten at dette nødvendigvis kan oppdages, ettersom PLS-en ikke overvåkes for interne feil, og fordi kommunikasjonsfeil med omverdenen først indikeres 15 sekunder etter at feilen har oppstått.

Et sikringsanlegg skal være konstruert slik at det, dersom det oppstår en farlig feil i anlegget, straks skal feile til sikker tilstand, dvs. at signalet blir rødt. Det er usikkert om dette har lykkes i NSB-87, se pkt. 4.2.2.

Eksempelvis savnes dokumentasjon for at det elektriske kretsløpet i anlegget er sikkerhetsgransket og analysert. NSB-87 bygger ikke på nøyaktig samme prinsipper som NSI-63, men på reduserte prinsipper hvor for eksempel sikkerhetsreléene utfører flere funksjoner. Fordi det er innført PLS, er muligheten for dynamiske feil i anlegget i særlig grad tilstede, spesielt når de nye prinsippene ikke er sikkerhetsgransket.

Dokumentasjon av tester, utført vedlikehold, utført feilretting og systemets grunnleggende prosedyrer er til dels mangelfulle og finnes til dels ikke. Dette gjør at man ikke kan se bortfra at det under feilretting kan ha skjedd utilsiktede endringer i anlegget som åpner muligheten for at det kan skje kombinasjoner av feil som sammen vil være å anse som kritiske. Det skal presiseres at slike utilsiktede endringer ikke er avdekket.

Samlet er feilpotensialet i NSB-87 så stort at Kommisjonen ikke kan se bort fra at det med ujevne mellomrom oppstår feil i dette signalanlegget som ikke setter tekniske spor.

9.3.3 Ulike tekniske scenarier for å forklare hendelsesforløpet

Kommisjonen mener at hendelsesforløpet på Rena stasjon 4. januar 2000 er godt dokumentert. I tillegg til indikasjoner på hendelsesloggen finnes to uavhengige vitner, konduktør Arneberg og stasjonsleder Nyland, som har sett at det ble gitt klart for utkjør sydover, jf. pkt. 3.3.6.

På Rudstad stasjon er situasjonen mer kompleks. Kommisjonen mener det foreligger flere mulige scenarier for hvordan signalanlegget kan ha fungert ulykkesdagen. For hvert av disse scenarier har SINTEF foretatt en analyse. Disse viser hvilke mulige feil som må være tilstede for at scenariet skal opptre, og hvilke indikasjoner eller kontraindikasjoner som finnes på om scenariet kan ha inntruffet eller ikke.

Scenariene kan deles opp i tre ulike grupper:

  1. Signalsystemet har fungert uten feil og utkjørssignalet for nordgående tog viste «stopp».

  2. Signalsystemet har fungert slik at utkjørssignalet ikke viste «stopp», men heller ikke «kjør» i en kortere eller lengre periode. Et slikt scenario forutsetter feil i signalsystemet.

  3. Signalsystemet har fungert slik at signalsystemet viste «kjør». Et slikt scenario forutsetter en feil i signalsystemet som gir et gyldig kjøresignal.

Middelkontrollampen er et informasjonssignal som varsler lokomotivfører om at han står for langt bak med toget på en stasjon til at kryssing kan gjennomføres. Signalet er et hjelpemiddel for førere av lange godstog som må finposisjonere seg i forbindelse med kryssing. I den aktuelle situasjonen, med et kort tog, er middelkontrollampen ikke interessant. Det er lettere for lokomotivføre å se i speilet om bommene ved planovergangen på Rudstad er nede når toget er kort. Kommisjonen legger derfor til grunn at middelkontrollampen ikke har hatt betydning for lokomotivførers handlinger ved utkjør fra Rudstad.

De scenarier Kommisjonen ut fra et rent teknisk perspektiv anser som mulige, er oppsummert i tabell 9.1. Her brukes enkelte begreper som trenger en forklaring:

Stort antall selektive feil betyr at bestemte feil må ha opptrådt og samvirket.

Feil i flere sikkerhetsreléer betyr at tre eller flere ikke-detekterte feil må ha oppstått samtidig i sikkerhetsreléer. Sikkerhetsreléene er meget pålitelige enheter og samtidige feil i flere av disse er lite sannsynlig. Det er heller ikke funnet fysiske spor etter slike feil. Kommisjonen har på denne bakgrunn sett kravet til flere samtidige feil som en kontraindikasjon.

Krypstrømmer er elektriske strømmer som går utenom de tiltenkte strømbaner (ledninger/kabler). Krypstrømmer vil kreve synlige fysiske feil på kabelen. Med eventuelle krypstrømmer mot jord skal sikringsanleggets elektriske kretser for deteksjon av strøm til jord oppdage forholdet.

Tabell 9.2 Vurdering av mulige signalbilder

ScenarioHva skal tilHva motsier at scenariet har skjedd
Rødt utkjørssignalIngen teknisk feilIngen motsigelser.
Slukket utkjørssignal (svart mast)Tap av spenning PLS-feil LampefeilIngen indikasjon på spenningsfeil hverken i hendelseslogg eller i info fra el.verk. Ingen rødlysalarm i hendelseslogg.
Grønt blink i utkjørssignaletPLS-feil Rudstad og PLS-feil RenaIngen logging av PLS-feil.
Utkjørssignalet viste rødt og grøntKrypstrøm i grønne lamperKontrollreléet på sporveksel 2 begrenser området for krypstrøm. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
Utkjørssignalet for avvikssporet viste grøntStort antall selektive feil Krypstrøm i grønne lamperIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Ingen togvei vises på loggen. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
Togsporsignal for avvikssporet viste hvitt (klarsignal fra avvikssporet)Stort antall selektive feil Feil i sikkerhetsreléer Krypstrøm i grønne lamperIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Ingen togvei vises på loggen. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
Utkjørssignalet viste grøntStort antall selektive feil Krypstrømmer i grønne lamperIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Ingen togvei vises på loggen. Kontrollreléet på sporveksel 2 begrenser området for krypstrøm. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
En enkel lampe i utkjørssignalet viste grøntStrøm i én grønn lampe og samtidig lampefeil i den andre grønne lampen Krypstrøm i grønn lampeIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Ingen togvei vises på loggen. Kontrollreléet på sporveksel 2 begrenser området for krypstrøm. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
Togsporsignalet viste grøntStort antall selektive feil Krypstrøm i grønne lamperIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Ingen togvei vises på loggen. Kontrollreléet på sporveksel 2 begrenser området for krypstrøm. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.
Forsignal utkjør viste grøntStort antall selektive feil Krypstrøm i grønne lamperIngen PLS-feil logget. Ingen fysiske feil funnet. Linjeblokkens stilling tilsier at signalet ikke kan ha vært grønt. Kontrollreléet på sporveksel 2 begrenser området for krypstrøm. Ingen passende kabelfeil funnet. Ingen jordfeildetektor utløst.

Scenariene for mulige signalbilder i tabell 9.1 er oppstilt i rekkefølge basert på hvor sammensatt feilsituasjon i signalanlegget som er nødvendig, og utfra omfanget av kontraindikasjoner for de ulike feilsituasjoner.

Alle scenarier som kan gi et feilaktig signalbilde på Rudstad er analysert. Basert på disse analyser kan følgende konklusjoner utfra et teknisk perspektiv trekkes:

  • Det er ikke funnet tekniske spor av feil eller svakheter i konstruksjonen av anlegget som kan forklare ulykken. Videre finnes det kontraindikasjoner for hvert tilfelle av identifiserte feilkombinasjoner.

  • Det er funnet svakheter i konstruksjonen av anlegget. Det er ikke funnet indikasjoner på at noen av disse svakhetene kan bidra til å forklare ulykken.

  • Et kort grønt blink i utkjørssignalet med en varighet på fra ett til fem sekunder kan ikke utelukkes slik NSB-87 er konstruert.

  • Et slukket utkjørssignal kan oppstå som følge av flere situasjoner med enkeltfeil. En lampefeil skal imidlertid gi indikasjon på hendelsesloggen.

Basert på de tekniske indikasjonene var utkjørssignalet på Rudstad mest sannsynlig rødt.Vi har imidlertid ingen sikre indikasjoner på rødt slukket eller grønt utkjørssignal. Det foreligger imidlertid kontraindikasjoner på alle andre scenarier enn at det var rødt utkjørssignal.

I tillegg til utkjørssignalet var følgende signaler synlige for lokomotivfører på nordgående tog:

  • Forsignal til utkjørssignalet

  • Togsporsignalene

  • Utkjørssignalet for kjøring fra avvikssporet

Det er ingen indikasjoner på at noen av disse hadde en uriktig signalstatus. Disse signalene er bare av informativ art og lokomotivfører skal derfor ikke reagere på disse signalene alene, men de kan skape forventninger om utkjørssignalet som kan ha innvirket på lokomotivførers adferd.

9.3.4 Oppsummering

En samlet vurdering av den tekniske dokumentasjon som foreligger tilsier at det er lite sannsynlig at tekniske feil kan ha påvirket signal- og sikringsanleggets funksjoner ulykkesdagen. Det er ikke funnet spor etter feil i signalanlegget som kan forklare hendelsesforløpet. Ingen av de undersøkelser og prøver som er utført har avdekket noen fysisk feil ved anlegget som kan ha hatt betydning for hendelsen. Det er heller ikke påvist noen spesifikk og funksjonell svakhet som direkte og med sikkerhet har forårsaket ulykkesforløpet.

Man kan imidlertid ikke, slik sikringsanlegget er konstruert og på grunn av manglende logging av tilstandsdata i sikringsanlegget, utelukke muligheten for tekniske feil i forbindelse med ulykken. Sikringsanlegget har hverken et sikkerhetsnivå eller en kvalitet som er tilfredsstillende. Som nevnt kan man heller ikke se bort fra at tilstandsavhengige kortvarige feilfunksjoner kan forekomme.

Kommisjonen kan ikke med sikkerhet si hvilket signalbilde man hadde i nordgående retning på Rudstad den 4. januar 2000. Teknisk sett fremstår det som overveiende sannsynlig at det var rødt utkjørssignal. Samtidig gir den uheldige konstruksjonen av NSB-87 et så stort feilpotensiale at Kommisjonen ikke med sikkerhet kan utelukke mulige feilsituasjoner som kan ha gitt et annet signalaspekt. Kommisjonen anbefaler derfor full reengineering av anleggstypen, jf. kap. 11.2.

9.4 Menneskelig feilhandling

Som det fremgår ovenfor kan ikke Kommisjonen med sikkerhet si om det var et feil signalbilde som forårsaket at nordgående tog kjørte ut fra Rudstad stasjon ulykkesdagen. Teknisk sett er det som påpekt mest sannsynlig at signalet var rødt. Muligheten for at en menneskelig feilhandling fra nordgående lokomotivføreres side kan ha vært årsak til ulykken undersøkes nedenfor.

9.4.1 Kjøremønsteret og stoppet på Rudstad stasjon

Gjennomgangen av Lodgaards kjøremønster fra avgang Hamar til kollisjonen inntraff viser en jevn og i all hovedsak normal togfremføring, jf. pkt. 5.2.3. Det kan ikke påvises konkrete avvik når man analyserer ferdskriveren, bortsett fra i forbindelse med innkjør mot Rudstad hvor Lodgaard hadde en mer avventende bremsing enn det som kunne forventes ved stopp på stasjonen. Dette kan forklares av at Lodgaard ikke hadde hatt ordinært stopp på Rudstad siden 7. desember 1999 i følge innhentede dags- og tjenestelister.

Kommisjonen har foretatt en sammenligning av ferdskriverne fra nordgående tog ulykkesdagen og siste tilsvarende rute som Lodgaard hadde 7. desember 1999. Denne sammenligningen viser at kjøremønsteret både inn og ut fra Rudstad er mer eller mindre identisk for de to turene, jf. figur 9.1 og 9.2. Den eneste forskjellen sammenligningen viser er at nedbremsingen inn mot Rudstad ulykkesdagen var noe kraftigere enn 7. desember. Dette kan indikere at Lodgaard ikke hadde planer om å stoppe på Rudstad og forventet kryssing med tog 2302 på Rena.

Figur 9.1 Lokomotivfører Lodgaards kjøremønster
 inn til Rudstad stasjon 4. januar 2000 sammenlignet med
 kjøremønsteret på samme rute 7. desember
 1999

Figur 9.1 Lokomotivfører Lodgaards kjøremønster inn til Rudstad stasjon 4. januar 2000 sammenlignet med kjøremønsteret på samme rute 7. desember 1999

Kilde: NSB BA og politiet/Kripos

Figur 9.2 Lokomotivfører Lodgaards kjøremønster
 ut fra Rudstad stasjon 4. januar 2000 sammenlignet med
 kjøremønsteret på samme rute 7. desember
 1999

Figur 9.2 Lokomotivfører Lodgaards kjøremønster ut fra Rudstad stasjon 4. januar 2000 sammenlignet med kjøremønsteret på samme rute 7. desember 1999

Kilde: NSB BA og politiet/Kripos

Når det gjelder stoppet på Rudstad stasjon kan posisjonen hvor stoppet ble foretatt, ved bakre del av plattform, indikere at Lodgaard mente at kryssing med sydgående tog 2302 ikke skulle skje på Rudstad, men var flyttet til Rena. Stopp i den posisjonen som ble foretatt gjør det ikke mulig for sydgående tog å krysse. Videre trekker det korte oppholdet på Rustad i retning av at Lodgaard hadde hastverk og forventet kryssing på Rena. Toget forlot Rudstad stasjon tre minutter før fastsatt avgangstid på tross av at Lodgaard var kjent som en spesielt nøyaktig lokomotivfører. Dersom kryssingen var flyttet måtte sydgående tog i så fall stå å vente på Rena stasjon med ytterligere forsinkelse som konsekvens. Den for tidlige avgangstiden kan også tyde på at konduktør Stårvik mente man hadde hastverk, og at også han hadde en forventning om kryssing på Rena. Han hadde ansvaret for at avgangssignal først ble gitt når rutetiden var inne.

Lokomotivfører skal uansett forholde seg til hva signalene viser. At Lodgaard kjørte ut fra Rudstad er således en indikasjon på at utkjørssignalet og eventuelt også forsignal utkjør kan ha vist grønt. Som nevnt under kap. 9.2 kan Kommisjonen pga. den nye avgangsprosedyren ikke ha noen sikker formening om også Stårvik så utkjørssignalet. Det kan ikke ses bort fra at han også så forsignal utkjør, da det ikke er uvanlig at konduktøren sitter sammen med lokomotivføreren foran i førerrommet. Øyenvitner så Stårvik foran i motorvognen ved innkjøring til Elverum stasjon og posisjonen Lodgaard og Stårvik ble funnet i etter kollisjonen tyder på at de satt sammen foran.

I tillegg til at utkjørssignalet og eventuelt forsignal utkjør kan ha vist grønt i kortere eller lengere tid, kan en forventning om kryssing på Rena skyldes informasjon Lodgaard og/eller Stårvik hadde om at kryssing ble vurdert flyttet, eller at sydgående tog 2302 var forsinket. Kryssing har i liten grad vært flyttet fra Rena til Rudstad, se nedenfor. Dersom Lodgaard og/eller Stårvik hadde mottatt informasjon om endret kryssing, må det således antas at Lodgaard var særskilt oppmerksom på utkjørssignalet på Rudstad for å være sikker på at denne informasjonen var korrekt.

Hvorvidt Lodgaard eller Stårvik hadde fått informasjon om at kryssingen ville bli flyttet til Rena, eller at sydgående tog 2302 var så mye forsinket at kryssing på Rena av den grunn kunne forventes, har både Kommisjonen og politiet nedlagt et betydelig arbeid i å klarlegge. Lokomotivførere og konduktører i tjeneste på Rørosbanen 4. januar er avhørt og spurt om de ga slik informasjon, eller har grunn til å tro at Lodgaard og Stårvik fikk slik informasjon på annen måte. Det samme er ansatte ved togledersentralen på Hamar og i Trond- heim som var på vakt ulykkesdagen spurt om. Også togekspeditører og annen betjening på Hamar, Elverum og Rena stasjoner er forespurt. Ingen av disse skal, hverken muntlig eller telefonisk, ha vært i kontakt med togpersonellet på nordgående tog 2369 og informert om at endret kryssing kunne forventes eller om forsinkelsen til sydgående tog.

Gjennomgang av telefonloggen fra togledersentralen på Hamar viser også at det ikke var kontakt mellom tog 2369 og togledelsen om kryssing eller forsinkelse. Tilsvarende logg fra Trondheim togledersentral ble ikke sikret.

Politiets kartlegging av hvem togpersonalet har hatt samtaler med på sine mobiltelefoner fra de kom på jobb, og avhør av dem som var i kontakt med togpersonalet, gir heller ikke holdepunkter for at Lodgaard og Stårvik har fått informasjon om endret kryssing eller forsinkelse.

Samtlige av NSB BAs konduktører er utstyrt med personsøker. Det var ikke lagt inn noen informasjon om forsinkelse på Rørosbanen forut for ulykken. Heller ikke NRK Tekst TV eller NSB BAs internett-sider hadde informasjoner om sydgående togs forsinkelse. Togleder Nilsen har forklart at han ga informasjon om forsinkelsen til tog 2302 til Koppang stasjon og at det ble ropt ut høyttalermelding på Tolga stasjon om en 15 minutters forsinkelse ca. kl. 10.50. I tillegg ble lokomotivfører i foregående nordgående tog, nr. 2381, i forbindelse med kryssing med tog 2302 på Tolga orien- tert om sydgående togs forsinkelse. Disse for- hold inntraff før både Lodgaard og Stårvik kom på jobb 4. januar. De har ikke i senere telefonsamtaler eller i kontakt med dem de møtte ulykkesdagen meddelt at de kjente til sydgående togs forsinkelse.

Togleder Søberg hadde lagt inn en 10 minutters forsinkelse i toginfosystemet for sydgående tog 2302. Gjennomgang av samtaler på Lodgaard og Stårviks mobiltelefoner har ikke avdekket samtaler som har kunnet gi dem denne informasjonen.

Kommisjonen har således ingen indikasjoner på at hverken Lodgaard eller Stårvik kjente til sydgående togs forsinkelse. Det er heller ikke holdepunkter for at de ble informert om at endret kryssing faktisk ble drøftet mellom toglederne Nilsen og Nybakken.

Kommisjonen har fått opplyst at lokomotivfører Lodgaard selv noterte hvor kryssinger ordinært skulle skje etter at kryssingsplanen ble fjernet fra tjenesteruteboken i 1997. I ruteplanen som gjaldt frem til 22. august 1999 var det kryssing mellom togene 2369 og 2302 på Elverum. En feilføring fra gammel ruteplan eller en misforståelse med hensyn til hva som var gjeldende ruteplan kan derfor ikke forklare en forventning om kryssing på Rena.

I Kommisjonens høringer ble det opplyst at kryssing svært sjelden flyttes fra Rudstad. Kommisjonen har innhentet punktlighetsstatistikk fra Jernbaneverket som bekrefter dette.

Det er ikke fremkommet indikasjoner på at Lodgaard kan ha blitt distrahert ved avgang Rudstad slik at han ble forstyrret da han skulle observere utkjørssignalet, selv om mye tyder på at passasjeren som kom ombord på Rudstad ble tatt inn helt fremme i toget. Kjøremønsteret inn til Rudstad, posisjonen stoppet ble gjennomført i, det korte oppholdet og avgangen tre minutter før ruten indikerer derimot at både Lodgaard og Stårvik mente de skulle krysse på Rena.

Det kan heller ikke utlukkes at utkjørssignalet på Rudstad i en kortere periode på en til fem sekunder kan ha vist grønt, og at Lodgaard feilaktig har oppfattet dette som et klarsignal. Særlig gjelder dette dersom han ble distrahert eller hadde forventninger om kryssing på Rena. Det er ikke et ukjent fenomen at lokomotivførere kan oppfatte et kortvarig grønt signal som et gyldig utkjørssignal. At dette fenomenet er kjent fremgår i kap. 6 i Railcerts assessor rapport, og er der knyttet opp til at det kan ha vært en signalsituasjon på Rudstad 4. januar.

9.4.2 Oppsummering

Lokomotivfører skal forbeholdsløst forholde seg til hva signalene viser og konduktøren skal påse at ruteplanen følges. Gjennom de undersøkelser som er foretatt har Kommisjonen ikke kunnet påvise noen sikre indikasjoner på at Lodgaard eller Stårvik har fått informasjon om at kryssingen ble vurdert flyttet til Rena, eller at sydgående tog var forsinket slik at endret kryssing kunne forventes. Ingen skal ha vært i kontakt med noen av de to og gitt slike opplysninger. Heller ikke via andre mulige kommunikasjonsveier kan Kommisjonen se at slik informasjon kan ha vært gitt til togpersonalet. En slik forventning eller oppfatning om endret kryssing kan derfor sannsynligvis bare ha blitt kommunisert til Lodgaard og eventuelt Stårvik via de signalbilder de passerte inn mot Rudstad. Handlingsmønsteret til både Lodgaard og Stårvik tyder som påvist ovenfor på at de skulle fortsette til Rena uten å vente på sydgående tog. På denne bakgrunn er det mye som tyder på at utkjørssignalet og eventuelt forsignal utkjør har vist grønt eller er blitt oppfattet som grønt.

9.5 Sammenfatning – videre fremstilling

Gjennomgangen i kap. 9.3 og 9.4 viser at Kommisjonen ikke med sikkerhet kan forklare den direkte ulykkesårsaken. Hverken signalfeil eller menneskelig feilhandling kan utelukkes som mulig årsak til ulykken. Som nevnt flere ganger er det ikke mulig med full sikkerhet å fastslå hva utkjørssignalet viste da nordgående tog 2369 kjørte ut fra Rudstad stasjon 4. januar 2000. Det signalbildet som er mest sannsynlig rent teknisk, rødt utkjørssignal, er samtidig det signalbildet det er minst sannsynlig at Lodgaard har kjørt mot. Tilsvarende er det minst sannsynlige signalbildet rent teknisk, grønt utkjørssignal, det signalbildet en lokomotivfører skal kjøre på. Kommisjonen har heller ikke grunnlag for å si om det har vært et kortvarig grønt lys i utkjørssignalet og/eller i forsignal utkjør, eller om utkjørssignalet har vært slukket, men oppfattet som grønt.

Kommisjonen kan således bare redegjøre for hvilke undersøkelser som er gjort og peke på hvilke muligheter som foreligger. Ytterligere utdypning vil bli gjetninger og spekulasjoner.

Det som imidlertid kan konstateres er at de to ulykkestog i omtrent fire og et halvt minutt var på kollisjonskurs uten at kollisjonen ble forhindret. Hvordan dette kunne skje er slik Kommisjonen ser like viktig å finne årsaken til som den direkte årsaken til ulykken. Dette for å kunne hindre lignende ulykker i fremtiden.

9.6 Indirekte årsaker

Mennesker gjør feil. Det vet vi, se nærmere om samspillet menneske-maskin i kap. 6.3. Likeledes vet vi at tekniske anlegg fra tid til annen kan feile. Det er derfor nødvendig å ha et sikkerhetssystem som sørger for at en enkeltfeil ikke fører til en ulykke. En signalfeil eller en feilobservasjon fra en lokomotivfører skal ikke kunne gi en nødsituasjon hvor to tog kommer på kollisjonskurs.

Prinsippet om at en enkeltfeil ikke skal føre til en ulykke er nå fastslått i sikkerhetsforskriften av 23. desember 1999. Det er Kommisjonens syn at denne ikke var i kraft på ulykkesdagen, jf. pkt. 7.2.3.4. Imidlertid er det Kommisjonens oppfatning at prinsippet om at en enkeltfeil ikke skal føre til en ulykke, og at det må finnes barriere som hindrer at så skjer, har vært styrende innenfor sikkerhetsarbeid i lengre tid.

9.6.1 Årsaker til at nødsituasjonen fikk oppstå

9.6.1.1 Endret avgangsprosedyre

I kap. 8.9 er prosessen i forbindelse med den endrede avgangsprosedyren beskrevet. Som nevnt er prosedyren aldri formelt godkjent av Tilsynet, men likevel ble den praktisert ulykkesdagen av både Jernbaneverket og NSB BA. Den praktiseres sogar fortsatt, til tross for det fokus som har vært rundt dette temaet i forbindelse med ulykken og Kommisjonens høringer.

I forhold til Åsta-ulykken er det selvsagt ikke selve prosessen rundt endringene som kan være en indirekte årsak, men det faktum at lokomotivfører etter endringen alene har ansvaret for å kontrollere utkjørssignalet ved persontogs avgang fra stasjon. Tidligere var det som nevnt konduktør som hadde ansvaret for å forvisse seg om at utkjørssignalet viste grønt før avgangssignal ble gitt. Også lokomotivfører hadde ansvar for å kontrollere signalet før avgang. Kontakten med togleder hadde først og fremst konduktør som igjen måtte formidle beskjeder til lokomotivfører.

Kommisjonen er enig i at det var hensiktsmessig å overlate fremføringsansvaret til lokomotivfører og la ham ha kontakten med togleder. Det var også rent sikkerhetsmessig fornuftig å gi konduktør et klarere ansvar for de reisendes sikkerhet i forbindelse med av- og påstigning. Hadde imidlertid konduktør Stårvik også hatt et medansvar for å forsikre seg om at utkjørssignalet viste grønt, ville en eventuell feilobservasjon fra Lodgaards side kunne vært forhindret. Stårvik ville da ikke gitt avgangssignal før han var sikker på at utkjørssignalet viste grønt. Dersom de to måtte avklare seg i mellom hva signalet viste, eventuelt ved å kontakte togleder, ville dette ha styrket fremføringssikkerheten i dette tilfellet. Som nevnt vet man i forbindelse med utkjør fra Rudstad ikke om Stårvik også så på utkjørssignalet før avgangstegn ble gitt.

9.6.1.2 Togekspeditør

Tidligere var togfremføringen på Rørosbanen manuell og stasjonene betjent med togekspeditører. Deres ansvar var å forvisse seg om at sporet var ledig frem til neste stasjon. Da fjernstyringsanlegget var ferdig utbygd på Rørosbanen ble togekspeditørene fjernet og erstattet med signaler styrt fra togledersentralen på Hamar. Dette skjedde i en tid hvor det på øvrige banestrekninger ble innført ATC for å styrke sikkerheten.

Innføring av fjernstyring ble også ansett som en styrking av sikkerheten. Risikoen for en feil i et teknisk anlegg bygget på failsafe-prinsippet er statistisk sett lavere enn risikoen for en menneskelig feilhandling fra togekspeditørs side. Det som imidlertid ikke ble vurdert var å beholde togekspeditørene som et supplement til fjernstyringsanlegget. Tvert imot var hele bakgrunnen for å bygge ut fjernstyring på Rørosbanen, og da med et anlegg som var rimeligst mulig, å erstatte disse.

Hadde man beholdt togekspeditørene ville risikoen for at en feil i signalanlegget fikk utvikle seg til en kritisk situasjon blitt betydelig redusert. Foruten å forvisse seg om at utkjørssignalet viste grønt hadde Lodgaard i så fall måttet forholde seg til de signaler han hadde fått fra togekspeditør. Togekspeditøren på Rudstad ville hatt kontakt med togekspeditøren på Rena stasjon. Han ville meldt at sydgående tog 2302 hadde fått klarsignal sydover, og togekspeditør på Rustad ville ventet med å gi nordgående tog klarsignal til kryssing på Rudstad var gjennomført.

9.6.1.3 Kryssingsplan

I forbindelse med innføringen av de nye trafikksikkerhetsbestemmelsene i 1997, ble også kryssingsplanen fjernet fra ruteboken. Tidligere fremgikk det av lokomotivførers rutebok hvor kryssing ordinært skulle gjennomføres. Kryssingsplanen ble imidlertid fjernet fra ruteboken fordi Jernbaneverket og NSB BA mente at kunnskap om hvor kryssinger ordinært skulle skje ikke hadde betydning for fremføringssikkerheten. Det kunne være greit for lokomotivfører å vite hvor kryssing kunne forventes, men det var ønskelig å tydeliggjøre at lokomotivfører utelukkende skulle forholde seg til hva signalene viste. Et synspunkt var at lokomotivfører ved bare å kjøre etter signaler ikke trengte noen banespesifikk kunnskap om den enkelte strekning han trafikkerte. Dessuten ble det argumentert med at kryssing ofte blir flyttet, og at også andre tog enn dem som fremgår av ruteplanen trafikkerer banestrekningene.

På Rørosbanen er det lav trafikktetthet og sjelden at kryssinger flyttes. Dersom kryssingsplanen fortsatt fremgikk i ruteboken og lokomotivfører ved endret kryssing måtte kontakte togleder før avgang, selv om utkjørssignalet var grønt, ville dette kunne være en barriere mot eventuelle signalfeil eller en feilobservasjon fra lokomotivførers side. Hadde således Lodgaard pliktet å kontakte togleder da han kom til Rudstad, selv om utkjørssignalet viste eller ble oppfattet som grønt, ville nødsituasjonen høyst sannsynlig vært unngått. Togleder Nybakken ville da informert Lodgaard om at kryssingen skulle gå som normalt, og at signalene følgelig var stilt slik at sydgående tog 2302 var gitt prioritet.

9.6.2 Årsaker til at nødsituasjonen ikke ble avhjulpet

9.6.2.1 Manglende ATC

Som nevnt flere ganger er det ikke installert ATC på Rørosbanen. Dersom ATC hadde vært utbygget ville dette kunnet stanse nordgående tog dersom det passerte utkjørssignalet på Rudstad i stopp. Eventuelle feilobservasjoner fra lokomotivfører ville ikke kunnet lede til at nødsituasjonen fikk utvikle seg.  ATC-en ville ha aktivert togets bremser og avhjulpet situasjonen før den ble kritisk.

Nordgående tog 2369 hadde ATC-utstyr installert. ATC var imidlertid ikke utbygget på Rørosbanen av grunner som tidligere er belyst.

ATC er avhengig av at det ikke er feil i signalanlegget for å være en sikker barriere. Som påvist i kap. 4 er det flere alvorlige svakheter i NSB-87.

9.6.2.2 Strekning med dieseldrevne tog

Rørosbanen er ikke elektrifisert og trafikkeres derfor med dieseldrevne tog. Dette innebærer at togleder ikke har samme mulighet til å stoppe toget som på en elektrifisert bane hvor strømmen kan tas dersom en nødsituasjon skulle oppstå. Hadde Rørosbanen vært elektrifisert ville togleder Nybakken kunnet kutte strømtilførselen til de to ulykkestogene og derigjennom forhindret eller redu sert konsekvensene av ulykken. Om ulykken ville vært unngått er avhengig av når togleder hadde oppdaget situasjonen og hvor raskt han hadde reagert.

9.6.2.3 Ingen lydalarm på togledersentralen

I pkt. 3.4.6, 4.3.2 og kap. 8.8 har Kommisjonen tidligere berørt det forhold at det ikke var, og fortsatt i oktober 2000 ikke er, installert lydalarm på Hamar togledersentral. Dersom en nødsituasjon oppstår er man derfor avhengig av at togleder ser dette og får kontaktet togene slik at situasjonen ikke får utvikle seg til en alvorlig ulykke.

At det ikke var installert lydalarm på Hamar togledersentral hadde 4. januar 2000 den konsekvens at togleder Nybakken ikke ble varslet om at to tog var på kollisjonskurs. Fra nødsituasjonen oppstod til kollisjonen inntraff gikk det mer enn fire og et halvt minutt. I løpet av denne tiden ville togleder, under forutsetning av at han fikk kontakt med togene, kunnet forhindre ulykken. I stedet for å bli varslet av en lydalarm med en gang nordgående tog ureglementert forlot Rudstad, gikk det mellom tre og ett halvt og fire minutter før togleder Nybakken på sine skjermer oppdaget at de to togene var på kollisjonskurs. Dette var anslagsvis ett halvt til ett minutt før kollisjonen inntraff.

Det er installert lydalarm ved to av de åtte togledersentralene som finnes i landet. Disse aktiveres når et utkjørssignal passeres i stopp, slik at togleder blir varslet og kan stanse nødsituasjonen. Også ved Hamar togledersentral var det foreslått at lydalarm skulle installeres, men både her og ved de fem øvrige togledersentralene var det da ulykken inntraff ingen umiddelbare planer om slik innføring. Kommisjonen forutsetter på bakgrunn av den rapport som Jernbaneverket etter ulykken har utarbeidet vedrørende lydalarm, jf. pkt. 8.8.3, at slik alarm blir installert i nær fremtid.

9.6.2.4 Manglende regler for overvåking av den enkelte banestrekning

I mangel av lydalarm burde det ved Hamar togledersentral i hvert fall vært klare regler for hvor ofte togleder pliktet å holde øye med hver banestrekning. Alternativt burde en togleder ikke hatt ansvaret for mer enn en banestrekning.

Som nevnt hadde togleder Nybakken med ansvaret for Rørosbanen da ulykken inntraff, også ansvaret for strekningen Eidsvoll – Hamar. Nybakken har forklart at han pga. anleggsarbeider på sistnevnte strekning og pga. det nye betjeningssystemet VICOS, ikke oppdaget at nordgående tog 2369 hadde forlatt Rudstad stasjon og var på kollisjonskurs med tog 2302 før klokken var ca. 13.12.

Hadde det vært regler for hvor ofte togleder måtte kontrollere hver banestrekning eller var opplært til å sjekke de ulike banestrekninger med jevne mellomrom, ville Nybakken trolig ha oppdaget situasjonen tidligere og således hatt mer tid til å nå de to togene.

Kommisjonens høringer har avdekket at det natt til søndag og natt til mandag bare er en togleder på vakt ved Hamar togledersentral. Videre har Jernbaneverket i den utredning som er gjennomført i forbindelse med lydalarm på togledersentralene, jf. pkt. 8.8.3, opplyst at togleder i gitte situasjoner kan ha oppmerksomheten borte fra toggangen på en banestrekning i opptil fem minutter ad gangen. Det kunne følgelig ha tatt ennå lenger tid før situasjonen med to møtende tog på samme strekning ble oppdaget enn hva situasjonen var ulykkesdagen.

9.6.2.5 Ikke togradio

Selv om nødsituasjonen kunne vært oppdaget tidligere, ville togleder Nybakken uansett vært avhengig av raskt å kunne oppnå kontakt med de to togene for å avverge situasjonen. Dersom togradio hadde vært utbygget på Rørosbanen ville Nybakken kunne kontaktet de to togene umiddelbart etter at han så situasjonen på skjermene og således forhindret kollisjonen. Som nevnt i kap. 4.1 og 8.7 er togradio ikke utbygget på Rørosbanen.

Kravsforskriften § 5, første ledd bokstav d), annen setning lyder som følger:

«Ved nødsituasjoner skal det være gjensidig mulighet til rask kontakt mellom togbetjening og trafikkledelse».

Togradio ville oppfylt dette kravet. Med togradio vil togleder umiddelbart kunne nå alle tog på strekningen ved å slå en kode. Det er alltid kommunikasjonsmessig dekning, noe som kan være et problem med mobiltelefon.

Situasjonen som var i ferd med å oppstå mellom Hamar og Ottestad 24. september 2000, hvor to møtende tog hadde fått klarsignal til å kjøre ut på samme strekning, ble forhindret ved at togleder via togradio kom i kontakt med det ene av de to togene. Samme mulighet forelå ikke, og foreligger fortsatt ikke på Rørosbanen.

9.6.2.6 Ingen regler for innmelding, mottak og oppbevaring av mobiltelefonnummer

Både Jernbaneverket og NSB BA har overfor Kommisjonen påpekt at mobiltelefon ikke er en del av sikkerheten. De har forklart at den usikkerhet som er knyttet til den kommunikasjonsmessige dekningen ved mobiltelefon gjør at man ikke kan basere sikkerheten på denne, heller ikke i en nødsituasjon. Et slikt synspunkt innebærer at det 4. januar ikke forelå en sikkerhetsmessig godkjent kommunikasjonsmåte som togleder kunne bruke for å komme i kontakt med de to ulykkestogene etter at nødsituasjonen oppstod.

Lokomotivførere og konduktører som betjener Rørosbanen er likevel av praktiske grunner utstyrt med mobiltelefon. På Rørosbanen hvor det ikke var togradio, burde det selvsagt vært alternative måter som sikret rask kontakt mellom togleder og togbetjening. Noen regler og rutiner for bruk av mobiltelefon som langt på vei kunne sikret dette forelå ikke.

Ved togledersentralen på Hamar laget man en liste hvor man var blitt enige om at de innringte telefonnummer skulle føres. De sikkerhetsmessige aspektene ved denne innmeldingen er det Kommisjonens inntrykk at hverken toglederne, deres nærmeste ledelse eller toppledelsen i Jernbaneverket så forut for ulykken, til tross for kravet i kravsforskriften om rask kommunikasjon mellom tog og togledelse gjengitt ovenfor.

Da Nybakken ulykkesdagen oppdaget at tog 2302 og 2369 var på kollisjonskurs visste han ikke hvor de innmeldte telefonnumre var oppført. Med klare regler og rutiner, og dersom viktigheten ved denne innmeldingen hadde vært fokusert fra ledelsens side, er det mulig at Nybakken og andre ved togledersentralen ville ha kommet i kontakt med de to ulykkestogene og dermed forhindret, eller i hvert fall redusert konsekvensene av ulykken.

9.6.2.7 Manglende regler og rutiner i forbindelse med vaktskifte

I forlengelsen av det som ble nevnt i foregående punkt påpekes at også klarere regler og rutiner i forbindelse med vaktskifte på togledersentralen hadde kunnet være med på å forhindre, eller i det minste redusere konsekvensene av Åsta-ulykken. Som nevnt i pkt. 6.2.3 forelå det ingen rutiner i forbindelse med vaktskifte som sikret informasjon til påtroppende togleder om telefonnumrene til togene på Rørosbanen var innmeldt og hvor de i så fall var nedskrevet, slik at de raskt kunne frembringes i en nødsituasjon.

Dersom dette hadde vært regulert gjennom regler og rutiner ville Nybakken da han gikk på vakt ha sett at avgående togleder Nilsen ikke hadde ført de innmeldte telefonnumre på listen. Nilsen ville da fortalt Nybakken at numrene til både sydgående og nordgående tog var innringt og hvor de var oppført. Uten noen slik informasjonsoverføring var det umulig for Nybakken å vite at telefonnumrene til de to tog var innringt, og hvor de var notert da han oppdaget situasjonen på skjermen.

Disse manglende reglene og rutinene i forbindelse med vaktskifte skyldes etter Kommisjonens syn at hverken togledernes nærmeste ledelse eller toppledelsen i Jernbaneverket har fokusert på mobiltelefonenes viktige funksjon i en nødsituasjon på baner uten togradio eller annen sikker kommunikasjonsmulighet.

9.6.2.8 Manglende regler og rutiner for informasjonsutveksling mellom DROPS Nord og togledersentralen

Hver ettermiddag sender DROPS Nord i Trondheim lister til togledersentralen i Hamar med oversikt over hvilket materiell som skal gå i hvilke tog påfølgende dag. Slik liste var også sendt om ettermiddagen 3. januar 2000. Av listen fremgikk at lokomotiv 641 skulle være lokomotiv i sydgående tog 2302 4. januar.

Som nevnt i kap. 3.3 hadde man ved DROPS Nord i løpet av kvelden 3. januar byttet lokomotiv i sydgående tog. Det var derfor ikke lokomotiv nr. 641 som gikk i toget, men lokomotiv nr. 625. Dette var togleder Nybakken og det øvrige personalet på Hamar togledersentral uvitende om da de forsøkte å nå lokomotiv nr. 641. Selv om man ved Hamar togledersentral hadde kunnskap om hvilket mobiltelefonnummer som normalt var knyttet til det enkelte lokomotiv som trafikkerer Rørosbanen, ville man ulykkesdagen uansett ikke hatt mulighet for å nå sydgående tog ved hjelp av denne kunnskapen ettersom lokomotivet var et annet enn oppgitt. I et forsøk på å nå tog 2302 ble det først ringt til lokomotiv 642 og 643.

Hadde Jernbaneverket og NSB BA hatt etablerte regler og rutiner for informasjonsutveksling mellom DROPS Nord og togledersentralen på Hamar, herunder en bestemmelse om at endringer i togsammensetningen skal meldes før det aktuelle toget trafikkerer strekningen, er det mulig at Nybakken ville kommet i kontakt med sydgående tog og således kunnet redusere konsekvensene av ulykken. I en annen situasjon, hvor nødsituasjonen hadde vært oppdaget tidligere, ville klare regler og rutiner mellom DROPS Nord og togledersentralen kunnet forhindre en lignende ulykke.

9.6.2.9 Oppsummering

På Rørosbanen som ikke har ATC, vil det kunne oppstå en nødsituasjon uten at togleder tidsnok får et tilstrekkelig varsel til å oppdage situasjonen, fordi togledersentralen ikke har lydalarm. Dersom togleder skulle oppdage at en alvorlig situasjon er i ferd med å inntreffe, vil det likevel kunne oppstå situasjoner hvor denne ikke kan stanses, fordi togradio ikke er installert på Rørosbanen. I områder uten mobiltelefondekning vil togene ikke kunne nås.

I mangel av togradio kunne man forventet at det var etablert regler og rutiner som sikrer at togleder raskt kan komme i kontakt med toget. Gjennomgangen viser imidlertid at hverken Jernbaneverket eller NSB BA har benyttet den muligheten som finnes gjennom å regulere bruken av mobiltelefon. Det var heller ikke etablert ordninger med DROPS Nord eller togledersentralen i Trondheim som sikret at togleder visste hvilke tog som trafikkerte den banestrekning han har ansvaret for.

9.7 Årsaken til at sikkerheten på Rørosbanen var mangelfull

Gjennomgangen ovenfor har vist at Rørosbanen ikke hadde barrierer mot enkeltfeil. En signalfeil i et utkjørssignal eller en feilobservasjon fra en lokomotivfører fikk ulykkesdagen derfor lede til en alvorlig ulykke. Til tross for manglende barrierer var det som påvist ikke installert tekniske løsninger som varslet en nødsituasjon. Det var heller ikke etablert regler og rutiner som sikret at situasjonen ble oppdaget og stanset.

Kommisjonen vil nedenfor gjennomgå de forhold som den særlig anser som årsak til at sikkerheten var så mangelfull på Rørosbanen.

9.7.1 Risikoanalyse ved endringer

Som påpekt i kap. 8.2 er det nødvendig å foreta risikoanalyser ved endringer som foretas, skal en virksomhet kunne ivareta sikkerheten på en systematisk og helhetlig måte. I forbindelse med de endringer og utsettelser i planer som har vært gjort i tilknytning til Rørosbanen har det hverken i det tidligere NSB eller i Jernbaneverket vært gjennomført risikoanalyser for å gjøre seg kjent med hvilke konsekvenser en endring eller utsettelse ville få for sikkerhetsnivået, jf. kap. 7.3 og 8.7 – 8.9.

ATC-utbyggingen på Rørosbanen ble utsatt i forhold til de opprinnelige planer. Da det viste seg at planen om ferdig utbygging innen 1995 ikke lot seg realisere, trosset man innhentede og egne anbefalinger om slik utbygging uten å sette inn kompenserende tiltak. Da ATC igjen kom inn i utbyggingsplanene til Jernbaneverket, åpenbart fordi man mente at sikkerheten på Rørosbanen måtte styrkes, ble kompenserende tiltak ikke vurdert i utbyggingsperioden. Det ble heller ikke vurdert andre sikkerhetstiltak da ATC-utbyggingen ble utsatt høsten 1999.

Heller ikke når det gjaldt togradio ble det vurdert hvilke konsekvenser endringer i opprinnelige utbyggingsplaner ville ha for sikkerhetsnivået. Det er Kommisjonens inntrykk at muligheten for at togleder raskt skal kunne komme i kontakt med et tog overhodet ikke har vært fokusert, selv om kravsforskriften fra 1994 eksplisitt krever at rask kontakt skal kunne oppnås.

Da fjernstyringsanlegget erstattet togekspeditørene ble det heller ikke vurdert om disse burde beholdes som et supplement til anlegget, så lenge ATC ikke var utbygget.

Innføring av lydalarm på togledersentralene som varsler utilsiktet passering av et utkjørssignal ble diskutert etter Trettenulykken i 1975 og anbefalt etter Nordstrandulykken i 1993. Til tross for dette har bare to togledersentraler slik lydalarm. Det ble heller ikke sett på andre muligheter eller gjort noen risikovurdering av hvordan togleder raskt kunne komme i kontakt med tog på strekningen, da installering av lydalarm på Hamar togledersentral ble forkastet eller ikke fulgt opp.

Da togledersentralene ble overført fra NSB BA til Jernbaneverket 1. januar 1998 ble det ikke foretatt noen risikoanalyse fra Jernbaneverkets side for å bringe klarhet i hva slags yrkesgruppe man overtok, og hvordan deres arbeidssituasjon og -forhold var. I forbindelse med innføringen av et nytt betjeningssystem på Hamar togledersentral for strekningen Eidsvoll – Hamar ble konsekvensene av dette heller ikke vurdert og kompenserende tiltak ikke iverksatt.

Tilsynet ba Jernbaneverket i forbindelse med innføring av den endrede avgangsprosedyren om å innhente en sikkerhets- eller risikoanalyse av hva endringen ville innebære. DnV ga et tilbud på en slik sikkerhetsanalyse hvor konsekvensene av den endrede avgangsprosedyren bl.a. skulle analyseres for hver enkelt banestrekning. Jernbaneverket syntes en slik analyse virket for omfattende og ga ikke DnV oppdraget. En slik analyse ville etter Kommisjonens syn antakelig klargjort at det på Rørosbanen ikke fantes barrierer ved en feilobservasjon fra lokomotivførers side, og at Jernbaneverket derfor ikke kunne innføre den nye avgangsprosedyren uten kompenserende sikkerhetstiltak.

Også andre endringer som at de tidligere alfa-numrene til mobiltelefonene forsvant og at kryssingsplanen ble fjernet fra ruteboken kan nevnes som eksempler på endringer som ikke har vært vurdert i en helhetlig sammenheng. En risikoanalyse av Rørosbanen ville vist at det 4. januar 2000 var alvorlige mangler i sikkerhetsnivået på banestrekningen.

9.7.2 Mangelfull sikkerhetsstyring

Som gjennomgangen her og i kapitlene 7 og 8 viser, har det ikke vært en systematisk oppfølging av sikkerheten på Rørosbanen i løpet av 1990-tallet. Dette innebar at den påvirkning på sikkerheten, alvorlige og til dels kjente sikkerhetsmangler på Rørosbanen hadde, hverken ble analysert eller fulgt opp. Egne og andres anbefalinger etter uhell og ulykker har ikke vært fulgt, til tross for at sikkerhetsstyringen har vært hendelsesbasert. ATC, togradio og lydalarm på togledersentralene har vært anbefalt og inntatt i egne planer uten at sikkerhetstiltakene har vært fulgt opp. Store endringer i organisasjon og store utbyggingsprosjekter og omfattende anskaffelser av materiell de siste fem til ti år, har hverken vært gjenstand for overgripende eller lokale risikoanalyser på den enkelte banestrekning. Således er konsekvensene av disse endringene ikke blitt synliggjort.

Etter hvert har det også innenfor jernbanen gradvis skjedd en overgang fra den hendelsesbaserte til den risikobaserte sikkerhetsstyringen. Som tidligere nevnt er denne form for sikkerhetsstyring på langt nær fullstendig implementert hos aktørene. Særlig i Jernbaneverket synes det å være langt igjen. Dette er særlig alvorlig ettersom det er Jernbaneverket som har ansvaret for at sikkerheten på jernbanen i et helhetlig perspektiv er i varetatt.

En enkel risikoanalyse av Rørosbanen ville ha synliggjort at det ikke foreligger noen barriere ved signalfeil og feilobservasjon fra lokomotivførers side. En analyse av hvilke muligheter man hadde til å stanse situasjonen ville vist at dette var avhengig av at togleder faktisk registrerte at en alvorlig situasjon var i ferd med å inntreffe, og at han deretter hadde kommunikasjonsutstyr som sikret at han raskt kom i kontakt med toget. En slik analyse hadde synliggjort at muligheten til raskt å kunne nå toget var sterkt begrenset, og at det ikke var utarbeidet klare regler og rutiner som i det minste økte muligheten for å kunne oppnå kontakt. Slike elementære og grunnleggende analyser var imidlertid ikke gjennomført. Dette viser etter Kommisjonens syn en grunnleggende svakhet ved Jernbaneverkets sikkerhetsstyring.

9.8 Hovedkonklusjon

Jernbaneverket burde ha foretatt flere risikoanalyser de siste år på bakgrunn av de endringer som ble foretatt og som hadde konsekvenser for sikkerheten. Videre burde en risikoanalyse av sikkerhetsnivået på den enkelte banestrekning, også Rørosbanen, vært gjennomført. En slik analyse ville vist at sikkerhetsnivået på Rørosbanen var svært mangelfullt. Uansett den direkte årsak til at nordgående tog 2369 feilaktig passerte utkjørssignalet på Rudstad stasjon 4. januar 2000, har gjennomgangen av årsakene til at en slik passering i det hele tatt fikk skje, og at situasjonen ikke tidligere ble oppdaget og stanset, vist en grunnleggende mangel på systematisk tilnærming i sikkerhetsspørsmål. Spesielt er dette tilfellet for Jernbaneverket som skal påse at den totale sikkerheten på en banestrekning er akseptabel.

I det tidligere NSB, og siden i Jernbaneverket, har det ikke vært implementert en sikkerhetstankegang og en sikkerhetsstyring som i andre sammenlignbare sektorer har vært styrende i mange år. Når Jernbaneverket heller ikke har fulgt den hendelsesbaserte sikkerhetsstyringen som sikkerheten innenfor jernbanen angivelig har vært bygget på, har man fått et system som først vil oppdage at det er grunnleggende mangler ved sikkerheten på en banestrekning når en ulykke skjer på denne bestemte banen. Dette fikk skje på Rørosbanen 4. januar 2000, men kunne relativt enkelt vært unngått, dersom de anbefalinger som allerede fantes og de planer som var lagt hadde blitt fulgt.

Det er Kommisjonens syn at Åsta-ulykken fikk skje fordi det i Jernbaneverket var grunnleggende mangler i sikkerhetstenkningen og sikkerhetsstyringen som innebar at det mangelfulle sikkerhetsnivået på strekningen til dels ikke ble oppdaget og uansett ikke fulgt opp. Disse grunnleggende mangler i sikkerhetsstyringen omfatter alle de deler av Jernbaneverkets virksomhet som Kommisjonen har sett på og er derfor å betrakte som en alvorlig systemfeil.

Til forsiden