Re: KRITIS Bericht

[Steffen Peter <steffen@schacht.jena.thur.de>]

On Thu, Jun 29, 2000 at 07:34:30PM +0200, Peter Kuhm wrote:
> "außerordentlich schlampige Vorbereitung" reduziert es IMHO aber doch zu
> sehr (ich kenn nur den c't-Bericht). Man muss auch den Hintergrund sehen,
> dass eigentlich ein neues Leitsystem IGNIS kommen soll und die Tage ohnehin
> gezaehlt waren. Ende '98 soll sich abgezeichnet haben, dass IGNIS nicht
> rechtzeitig fertig wird. So hat man erst mal betraechlich in Y2K-sichere
> Hardware investiert, das alte (Cobol)-Programm aber auf einer Emulation
> laufen lassen. Diese verwendete aber den ungenauen Systemtakt fuer die
> Systemzeit, waehrend das OS die angeschl. Funkuhr nutzte. Zum
> Synchronisieren hat man sich nach den bestandenen Y2K-Tests von Anfang
> Dez. im letzten Moment einen Timeserver einfallen lassen. Zwar hat man

Interessant ist IMHO in diesem Zusammenhang die Tatsache, das es sich um
eine Zeitdifferenz im Sekundenbereich handelte, welche sich im Verlauf
mehrere Wochen akumuliert hatte. Inwiefern diese Tatsache den Einbau eines
unbekannten Zusatzsystemes in ein ohnehin schon kompliziertes
Einsatzleitsystem fünf Minuten vor der Angst rechtfertigt, mag jeder für
sich selbst entscheiden.

> uebereinstimmte. Eine fuehrende Null war durch ein Leerzeichen ersetzt
> und fuehrte zu einer Fehlermeldung, die die Mannschaft zu einem System-
> neustart und spaeter zum Ausweichen auf den bald gleich reagierenden
> (software-identen) Backup-Rechner veranlasste. (es ist angeblich unklar

Die 1. Rückfallebene wurde komplett umgangen, da man annahm das aufgrund des
Fehlerursprunges in einem Softwareproblem dieser auch auf dem zweiten
Rechner auftreten würde. Man ist dementsprechend direkt auf die zweite
Rückfalleben und somit auf das FIS II zurückgegangen.

> ob die Errormeldung einfach ignoriert haette koennen) Die naechste
> Rueckfallebene war dann das raeumlich getrennte, alte Leitstellensystem,
> das mit den angestauten Auftraegen ueberfordert war. Zusaetzlich der
> Ausfall der Fahrzeugzustandsanzeige...

Die Berliner LS hatte im Vorfeld einfach ein Raumproblem. Um alle zu
erwartenden Anrufe annehmen zu können, war im vergangen Jahr die Kapazität
der Notrufannahme auf insgesamt 25 Plätze erweitert wurden. Da die neue LS
noch nicht komplett einsatzbereit war entschied man sich dazu, nur die 
Notrufannahme in der neuen LS zu belassen, und die verbleibenden Tätigkeiten 
in der alten LS durchzuführen. Als Verbindung zwischen den beiden LS stand zu 
Beginn das FIS III zur Verfügung, später zwei Drucker mit anschließendem 
Fax-Transfer.

Nach Ausfall des FIS III wurden alle Notrufe im FIS II registriert, die 
Einsatzettel ausgedruckt und in die alte LS gefaxt. In der Zeit von 0.00
Uhr bis 6.30 Uhr am 01. Januar dieses Jahres liefen über die LS insgesamt
1273 Einsätze, mit mindestens ebenso so vielen Einsatzzetteln. Was diese
Papiermenge für zwei Drucker und ein einzelnes Fax bedeutet, mag sich jeder
selbst ausmalen. Innerhalb kürzester Zeit waren die Druckerwarteschlangen
vollgelaufen und die Schneidevorrichtung des Empfängerfaxes dahin.

Zum Thema: 
- Bereits im Vorfeld war bekannt, daß die kritische Grenze der
Drucker für die zweite Rückfallebene bei etwa 70 Einsätzen pro Stunde
angesiedelt war, was für eine LS von der Größe der Berliner nicht unbedingt
besonders viel ist. 

- Sämtliche Y2K-Tests wurden nicht dokumentiert

- Die Insuffizienz des Ethernets der Fahrzeugzustandsanzeige ist sicherlich
ein Punkt, der nicht so ohne weiteres aufzufinden war. Nichtsdestotrotz
sollte jeder Systembetreuer eine ungefähre Vorstellung davon haben, unter
welcher Last seine Systeme zu bestimmten Zeiten arbeiten.

- Die dritte Rückfallebene (Transport der Einsatzzettel durch Boten per Hand
von der neuen in die alte LS) wurde im Vorfeld nie geprobt. Die eingesetzten
Boten wurden erst bei Eintritt des Ernstfalles in ihre Aufgaben eingewiesen.
 
- Es war kein Systembetreuer der Fa. Bull vor Ort, welche sich für das FIS
III und das zugrundeliegende System verantwortlich zeigte, und der die um
0.04 Uhr aufgetretene Fehlermeldung hätte einschätzen können.

- Es gab im Vorfeld keine Langzeittests des Systems unter scharfen
Bedingungen.

- Meines Wissens nach gab es im Vorfeld ebenso keinen Test eines bitlosen
Zustandes. Eine Ausbildungseinheit, welche zumindest in Bayern und IMHO auch
in NRW alle zukünftigen Leitstellendisponenten während ihrer Schulung
durchlaufen müssen.

IMHO kann man durchaus von Schlamperei reden. Für mich persönlich und ohne
den Berliner Kolegen zu Nahe treten zu wollen, sieht das Ganze im nachhinein 
so aus, als hätte man einfach nicht wirklich mit einem Ausfall des FIS III 
gerechnet. Getreu dem Motto: "Schreib mal schnell was für den Chef zusamen,
da passiert eh nichts.".


Kleine Anmerkung am Rande: Der betreffende LBD Broemme, seines Zeichens
verantwortlicher Chef der Berliner BF, befand sich zum Jahreswechsel zu
Hause. 


steffen