Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania do eksploatacji urządzeń bezpieczeństwa aktywnego Technical challenges and legal constrains in commissioning and putting in service of the, operational active safety relevant

Marek Pawlik

Instytut Kolejnictwa

WYZWANIA TECHNICZNE ORAZ OGRANICZENIA

PRAWNE PODCZAS ODBIERANIA

I PRZEKAZYWANIA DO EKSPLOATACJI

URZĄDZEŃ BEZPIECZEŃSTWA AKTYWNEGO

Rękopis dostarczono, czerwiec 2016

Streszczenie: Nowoczesne systemy CBTC wykorzystują przekazywanie danych pomiędzy urządze-niami przytorowymi i urządzeurządze-niami pokładowymi korzystając z różnych mediów transmisyjnych w tym z kanałów transmisji danych w systemach radio-łączności. Urządzenia przytorowe pobierają dane z nastawnic stacyjnych, a urządzenia pokładowe przekazują polecenia do systemu hamowania i ostrzegają maszynistów. Kompletny łańcuch przetwarzania danych musi zapewniać poziom nienaru-szalności bezpieczeństwa SIL 4 niezależnie od tego w ilu różnych projektach realizowane są prace. Nastawnice, przytorowe urządzenia CBTC, systemy radiołączności, pokładowe urządzenia CBTC są budowane i uruchamiane niezależnie. Ich odbiory w kontekście poziomu SIL stanowią wyzwanie techniczne i prawne. W artykule zdefiniowano i poddano analizie różne scenariusze wdrażania CBTC. Zostały one następnie ocenione z punktu widzenia skali wyzwania technicznego i uwarunkowań prawnych. Osiągnięte wyniki pokazują jak projekty wdrożeniowe z zakresu sterowania ruchem po-winny być definiowane i w jaki sposób dokumenty przetargowe popo-winny uwzględniać związane z ta-kimi wdrożeniami wyzwania techniczne i prawne.

Słowa kluczowe: transport kolejowy, bezpieczeństwo, systemy sterowania klasy CBTC

1. WPROWADZENIE

Podejmując temat bezpieczeństwa należy rozróżnić systemy wspomagające bezpieczeń-stwo od systemów zapewniających ochronę. W języku potocznym w obu przypadkach używa się przymiotnika „bezpieczny”. Systemy bezpieczeństwa to systemy, których zada-niem jest przeciwdziałanie wszelkiego rodzaju uszkodzeniom technicznym i ich skutkom, w szczególności wypadkom. Od systemów bezpieczeństwa wymaga się, aby były kon-struowane jako systemy bezpieczne, czyli takie, których uszkodzenie w sposób powodują-cy zagrożenie bezpieczeństwa jest bardzo mało prawdopodobne. Ewentualne ich uszko-dzenia nie mogą prowadzić do wypadków a jedynie do ograniczenia ich funkcjonalności. Przy czym przez wypadek rozumieć należy wszelkie zdarzenia niepożądane z punktu wi-dzenia bezpieczeństwa niezależnie od późniejszej kwalifikacji zdarzenia jako poważnego

wypadku, wypadku czy wydarzenia. Natomiast systemy ochrony to systemy, których za-daniem jest wspomaganie wszelkiego rodzaju działań, których celem jest przeciwdziałanie zagrożeniom dla zdrowia, życia, mienia oraz środowiska wynikającym z bezprawnych działań osób lub grup osób od wandalizmu do terroryzmu. Analiza wyzwań technicznych i ograniczeń prawnych przedstawiona w niniejszym artykule nie dotyczy systemów ochro-ny.

Systemy bezpieczeństwa dzieli się na systemy bezpieczeństwa aktywnego i systemy bezpieczeństwa pasywnego. Odpowiednio są to systemy przeciwdziałające wypadkom wynikającym z uszkodzeń technicznych oraz systemy minimalizujące konsekwencje wy-padków. W samochodach przykładami systemów aktywnego bezpieczeństwa są po-wszechnie dziś stosowane systemy ABS oraz ESP, a przykładami systemów pasywnego bezpieczeństwa są powszechnie stosowane w samochodach osobowych pasy bezpieczeń-stwa oraz poduszki powietrzne. Natomiast immobilizer jest systemem ochrony. W trans-porcie kolejowym przykładami systemów aktywnego bezpieczeństwa są nastawnice sta-cyjne, blokady liniowe i systemy samoczynnej sygnalizacji przejazdowej, a przykładami systemów pasywnego bezpieczeństwa są strefy zgniotu i wyjścia ewakuacyjne w taborze kolejowym. Analiza przedstawiona w niniejszym artykule dotyczy systemów aktywnego bezpieczeństwa określanych w transporcie kolejowym jako systemy sterowania ruchem kolejowym.

Systemy sterowania ruchem kolejowym definiuje się, jako zbiór urządzeń, dostosowa-nych do struktury obszaru kolejowego, realizujących sterowanie automatyczne lub przy udziale operatorów (np. dyżurnych ruchu), które to urządzenia muszą być zbudowane zgodnie z obowiązującymi przepisami i który to system obejmuje także urządzenia łączno-ści oraz tam gdzie jest to konieczne inne urządzenia wspomagające oraz operatorów i pro-wadzoną przez nich dokumentację [1]. System sterowania ruchem kolejowym można także zdefiniować funkcjonalnie jako system, który w każdych warunkach eksploatacyjnych ma zapewnić bezpieczne sterowanie ruchem kolejowym, czyli w szczególności ma nie dopu-ścić: do zderzeń czołowych pociągów, do najechań przez pociąg na tył innego pociągu, do zderzeń pociągów na rozjazdach w tym wtargnięć pojazdów kolejowych z bocznic na tory główne, do wykolejeń wskutek przestawienia zwrotnicy pod jadącym pociągiem, do zde-rzeń z pojazdami drogowymi na przejazdach kolejowo-drogowych, czy do przekroczeń prędkości i przejazdu pojazdów kolejowych poza koniec drogi, która została im udostęp-niona.

Nowoczesne systemy sterowania stosowane w transporcie kolejowym wykorzystują przekazywanie danych pomiędzy urządzeniami przytorowymi i urządzeniami pokładowy-mi. Z jednej strony przytorowe urządzenia bezpiecznej kontroli jazdy pobierają dane z sygnalizatorów świetlnych lub bezpośrednio z nastawnic stacyjnych, a z drugiej pokła-dowe urządzenia bezpiecznej kontroli jazdy przekazują polecenia do systemu hamowania i ostrzegają maszynistów. Właściwe dane, krytyczne z punktu widzenia bezpieczeństwa, są transmitowane przy wykorzystaniu różnych mediów transmisyjnych włącznie z kanałami danych w systemach radio-łączności. Kompletny łańcuch, obejmujący generowanie da-nych, przekazywanie danych a także przetwarzanie dada-nych, musi zapewniać odpowiednio wysoki poziom nienaruszalności bezpieczeństwa – poziom SIL 4.

2. AGREGACJA SYSTEMÓW AKTYWNEGO

BEZPIECZEŃSTWA – WYZWANIA TECHNICZNE

Systemy sterowania ruchem kolejowym (srk) dzieli się na trzy części [3] [11]: warstwę podstawową sterowania ruchem kolejowym, przytorową część warstwy nadrzędnej i po-kładową część warstwy nadrzędnej. Przez warstwę podstawową rozumie się kontrolę nie-zajętości torów i rozjazdów oraz systemy korzystające z informacji o obecności pojazdów na torach – urządzenia stacyjne, blokady liniowe i urządzenia zabezpieczenia przejazdów kolejowych. Warstwa podstawowa jest ściśle powiązana z przepisami ruchowymi obowią-zującymi na danej sieci kolejowej. Warstwa nadrzędna opiera się na cyfrowej bezpiecznej transmisji danych pobieranych z warstwy podstawowej i przekazywanych do pojazdów. Dane te wykorzystywane są przez urządzenia pokładowej kontroli zgodności prowadzenia pojazdów z ograniczeniami w zakresie prędkości i odległości zgodnie z odebranymi da-nymi wynikającymi z informacji pobranych z warstwy podstawowej. Łącznie przytorową i pokładową część warstwy nadrzędnej oraz transmisję pomiędzy nimi określa się mianem bezpiecznej kontroli jazdy pociągu (bkjp).

Systemy srk warstwy podstawowej są zazwyczaj zabudowywane w innych projektach niż przytorowe urządzenia bkjp, a pokładowe urządzenia bkjp w jeszcze innych projek-tach. Przekazywanie danych pomiędzy przytorowymi i pokładowymi urządzeniami bkjp niekiedy wykorzystuje media transmisyjne, które są instalowane na linii kolejowej w osobnych projektach, na przykład systemy radio-łączności. System aktywnego bezpie-czeństwa powstaje więc zazwyczaj w ramach wielu projektów, a to prowadzi do powsta-wania wyzpowsta-wania, które można zdefiniować krótko – jak zagwarantować, że system aktyw-nego bezpieczeństwa sam będzie systemem bezpiecznym.

2.1. KOMPLETNE WDROŻENIE SYSTEMÓW

BEZPIECZEŃSTWA AKTYWNEGO REALIZOWANE

PRZEZ JEDNEGO WYKONAWCĘ

Pracownikom podmiotów ogłaszających przetargi na wdrożenia systemów bezpieczeństwa aktywnego często wydaje się, że ze względu na koniczność zapewnienia spójności rozwią-zań, najłatwiej byłoby zlecić budowę takiego systemu w całości. Niemal zawsze powstaje jednak pytanie o wszelkie zewnętrzne interfejsy. Wyróżnić należy budowę wydzielonego systemu transportu szynowego wraz ze zintegrowanym z nim systemem aktywnego bez-pieczeństwa oraz wyposażanie w ramach jednego projektu zarówno istniejącej linii kole-jowej jak i istniejących poruszających się po takiej linii pojazdów kolejowych.

2.1.1. Budowa kompletnego systemu transportowego z systemem aktywnego bezpieczeństwa z transmisją danych z toru do pojazdu

Tylko nieliczne projekty w ramach których buduje się nowe systemy transportowe będą pozwalały na pełną swobodę przy definiowaniu funkcji, urządzeń i systemów srk i bkjp. Najczęściej budowana infrastruktura musi być powiązana z już istniejącą a tabor, który ma się po niej poruszać ma bez przeszkód technicznych, w tym z zachowaniem funkcjonalno-ści urządzeń aktywnego bezpieczeństwa, przemieszczać się pomiędzy infrastrukturą nową i istniejącą.

Jeśli jednak budowana jest całkowicie nowa infrastruktura szynowa, która funkcjonalnie nie będzie powiązana z inną już istniejącą to kontrolowane są wszystkie interfejsy i moż-liwe jest zdefiniowanie systemu srk warstwy podstawowej oraz urządzeń bkjp począwszy od określenia ich funkcji i poziomu nienaruszalności bezpieczeństwa. Przykładami takich wdrożeń mogą być: budowa funkcjonalnie wydzielonej nowej linii metra, wraz z dostar-czeniem dedykowanych dla tej linii pociągów. Wydzielenie takie oznacza, że pociągi po-ruszające się po tej linii nie będą wyjeżdżały poza linię w ramach eksploatacji komercyjnej (mogą wyjeżdżać poza linię np. dla potrzeb prowadzenia prac utrzymaniowych) oraz, że po linii poruszać się będą wyłącznie pociągi dedykowane do tej linii (niekoniecznie tylko dostarczone w ramach jednego projektu, ale z pewnością w pełni zgodne z tymi pierwszy-mi). Skala wymaganej zgodności zależeć będzie od funkcji systemu aktywnego bezpie-czeństwa i może obejmować nie tylko zgodność funkcji bkjp oraz techniczną zgodność systemów transmisji, ale także charakterystyk trakcyjnych i charakterystyk hamowania. W praktyce może oznaczać konieczność dokupywania taboru od tego samego dostawcy.

Takie wydzielone systemy transportu szynowego to na przykład połączenia pomiędzy terminalami i parkingami długookresowymi na dużych lotniskach np. CDGVAL czy wy-dzielone linie metra na przykład w Lille Métropole. Należy jednak zauważyć, że także w takim przypadku istnieje konieczność bardzo dobrej koordynacji pomiędzy pracami rea-lizowanymi przez różne zespoły. Konieczne jest zdefiniowanie funkcji. Funkcje definiuje z reguły inwestor, lub zespół ekspertów na zlecenie inwestora. Muszą one być zdefiniowa-ne przed wyborem wykonawcy. Wykonawca musi zdefiniować system, w tym szczegóło-wo określić interfejsy. Wybór interfejsów zależy od podziału prac pomiędzy różne zespo-ły. Zazwyczaj kto inny będzie budował tabor, kto inny infrastrukturę a kto inny systemy aktywnego bezpieczeństwa. Kluczowe będą więc powiązania pomiędzy drogą szynową i systemem srk – systemy kontroli niezajętości i napędy zwrotnicowe oraz pomiędzy po-kładowymi urządzeniami bkjp a samym taborem – sterowanie trakcją, hamowaniem, drzwiami itp. Atutem takiego kompleksowego podejścia jest możliwość weryfikowania zgodności rozwiązań na wielu etapach realizacji prac.

2.1.2. Wyposażanie w system bkjp istniejącej linii i poruszającego się po niej taboru

Przedstawiona powyżej sytuacja z wielu względów występuje stosunkowo rzadko. Tym-czasem jako kompletne wdrożenia realizowane przez jednego wykonawcę postrzegane są projekty, w ramach których w systemy bkjp wyposażane są istniejące linie oraz poruszają-cy się po nich tabor. Przykładem może być wyposażenie w Europejski System Sterowania

Pociągiem (ETCS) [3], odcinka Legnica – Bielawa Dolna linii E30 oraz ośmiu pojazdów trakcyjnych. Interfejsy w takim przypadku są znacznie bardziej skomplikowane.

Warstwa podstawowa systemów srk istnieje i nie podlega wymianie. Powiązanie przy-torowej części bkjp z istniejącymi systemami srk utrudnia ograniczony dostęp do informa-cji o rozwiązaniach technicznych w ramach systemu srk. Pobieranie danych z systemu srk nie może tworzyć zagrożenia bezpieczeństwa. Warstwa podstawowa srk stanowiąca sys-tem aktywnego bezpieczeństwa jest i musi pozostać syssys-temem bezpiecznym. Pobieranie danych nie może zakłócić pracy warstwy podstawowej srk, a pobrane dane muszą być wia-rygodne.

Pokładowe systemy trakcji i hamowania istnieją i podobnie jak przytorowy system srk zostały zweryfikowane z punktu widzenia bezpieczeństwa i są dopuszczone do eksploata-cji. Ich ewentualnym modyfikacjom towarzyszyć musi pytanie o ważność oceny bezpie-czeństwa całych pojazdów a tym samym ich dopuszczeń do eksploatacji. Przykładowo, jeśli interfejs z systemem hamowania zmienia pojemność systemu hamowania na przykład poprzez dodanie dodatkowych przewodów hamulcowych ze sprężonym powietrzem to pojazd musi przejść pełną ocenę bezpieczeństwa taką samą jak nowy typ pojazdu. Interfej-sy z trakcją i hamowaniem są immanentną cechą charakterystyczną pokładowych urządzeń bkjp. Muszą one, co najmniej mieć zapewnioną możliwość odłączenia trakcji i wdrożenia hamowania nagłego. Charakterystyka systemu aktywnego bezpieczeństwa często wymaga także wielu innych powiązań z systemami pokładowymi. Może to dotyczyć na przykład sterowania drzwiami. Często będą to nie tylko systemy i urządzenia aktywnego bezpie-czeństwa, ale także systemy spełniające pewne funkcje ochrony na przykład systemy in-formacji w pojeździe wykorzystywane w celu zapobiegania panice. Także tu zabudowa urządzeń bkjp nie może naruszać bezpieczeństwa już dopuszczonych urządzeń i systemów, które z reguły dopuszczono razem z całym pojazdem.

2.2. OSOBNE WDROŻENIA NA LINII I W TABORZE

Przedstawiony powyżej model wdrażania systemów i urządzeń bkjp jest stosunkowo czę-sty poza Unią Europejską. Wynika to z faktu, że poza Unią Europejską zarówno za infra-strukturę jak i tabor jak i świadczenie usług przewozowych niemal zawsze odpowiadają narodowe przedsiębiorstwa. Ze względów, które wykraczają poza zakres tego artykułu, w Unii Europejskiej za zarządzanie infrastrukturą odpowiadają inne podmioty gospodarcze a za tabor inne. Dodatkowo świadczenie usług przewozowych coraz częściej realizowane jest przez podmioty, które nie są właścicielami taboru i nie podejmują decyzji związanych z jego wyposażaniem. W efekcie w przypadku Unii Europejskiej występuje wiele nieza-leżnych podmiotów, na zlecenia których realizowane są prace zazwyczaj przez różnych wykonawców wyłonionych w niezależnych postępowaniach przetargowych. Misterne uzgodnienia pomiędzy takimi podmiotami są narażone na różnego rodzaju niebezpieczeń-stwa. Koordynacja prac w czasie zależy od długości postępowań przetargowych, te zaś od ilości pytań w przetargach, ilości odwołań do Krajowej Izby Odwoławczej, zaskarżeń jej rozstrzygnięć i angażowania sądów w postępowania. Kolejność rozstrzygania i zarazem zlecania prac jest trudna do przewidzenia. Dodatkowo rozstrzygnięcie postępowania na przytorowe wdrożenie bkjp często nie pozwala na natychmiastowe podjęcie prac. Po

stro-nie urządzeń instalowanych na torach kolejowych kostro-nieczne są różnego rodzaju pozwole-nia od wodnoprawnych przez decyzje środowiskowe do pozwoleń na budowę. Konieczne jest dysponowanie gruntem na cele budowlane, wreszcie konieczny jest dostęp do map projektowych, projekt budowlany i projekt wykonawczy.

2.2.1. Przytorowe urządzenia i systemy srk i bkjp

Nieliczni zarządcy infrastruktury tacy jak na przykład Pomorska Kolej Metropolitalna wy-posażają infrastrukturę torową w systemy srk oraz przytorowe systemy bkjp w tym samym zamówieniu. Dodatkową zaletą budowy systemu aktywnego bezpieczeństwa Pomorskiej Kolei Metropolitalnej była realizacja prac przed rozpoczęciem eksploatacji linii a zatem bez konieczności prowadzenia uzgodnień z przewoźnikiem kolejowym.

Standardem jest doposażanie w system bkjp linii istniejących, pozostających w eksploa-tacji podczas prac modernizacyjnych, już wyposażonych w dopuszczone systemy srk war-stwy podstawowej, eksploatowane podczas zabudowy urządzeń bkjp. W taki sposób insta-lowany był system ETCS na Centralnej Magistrali Kolejowej pomiędzy stacjami Grodzisk Mazowiecki i Zawiercie.

Poza wyzwaniami związanymi z interfejsem pomiędzy urządzeniami bkjp a warstwą podstawową srk omówionymi już w rozdziale 2.1.2. inwestor staje przed wyzwaniem związanym z zapewnieniem pełnej spójności i bezpieczeństwa interfejsu pomiędzy wypo-sażeniem przytorowym bkjp a wypowypo-sażeniem pokładowym, które w danym momencie w zasadzie może nie istnieć. Wyzwanie jest olbrzymie. Spójność systemu obejmującego wy-posażenie torów i pojazdów wymaga precyzyjnego określenia zasad tworzenia, nadawania, przesyłania, odbierania i interpretacji danych. W obecnie stosowanych programowalnych systemach elektronicznych dane i ich wykorzystanie definiowane są na różnych pozio-mach. Poziomy te dobrze przedstawia model referencyjny ISO OSI zdefiniowany dla po-trzeb łączenia cyfrowych systemów otwartych. Model ten obejmuje siedem warstw – od warstwy ‘fizycznej’, w ramach której definiuje się zarówno jaki stan fizyczny odpowiada wartości „0” a jaki wartości „1”, jak i fizyczne cechy interfejsu takie jak: elementy mecha-niczne i elektryczne, złącza, poziomy napięć, etc., przez warstwy: ‘łącza’, ‘sieciową’, ‘transportową’, ‘sesji’ i ‘prezentacji’, po warstwę ‘aplikacji’ definiującą w szczególności zasady współpracy w architekturze „klient-serwer”. Aby zrozumieć podstawę współpracy przytorowych i pokładowych urządzeń bkjp prześledzić należy przede wszystkim funkcjo-nowanie warstwy ‘prezentacji’. Warstwa ta wykorzystuje specjalnie zdefiniowany język systemu bkjp. Definiowana są między innymi struktura danych, powiązanie danych z funkcjami systemu, zabezpieczenia w transmisji takie jak kodowania czy redundancje [9].

Spójność przytorowych i pokładowych urządzeń bkjp nie może być skutecznie zapew-niona bez precyzyjnego wskazania tego samego systemu w niezależnych przetargach. Wskazanie w jednym przetargu na wynik innego przetargu jest niemożliwe w świetle pra-wa zamówień i wątpliwe ze względu na narażenie inwestora rozstrzygającego przetarg jako drugi na nieproporcjonalnie wysokie koszty wynikające z konieczności zlecenia prac jedynemu możliwemu już wybranemu przez drugą stronę wykonawcy.

Podzielenie narodowych kolei w państwach członkowskich Unii Europejskiej na za-rządców i przewoźników oraz zagwarantowanie możliwości realizacji usług

przewozo-wych przez wielu przewoźników na tej samej infrastrukturze zablokowałoby całkowicie wdrażanie systemów warstwy nadrzędnej gdyby nie zdefiniowano uniwersalnego systemu publicznie dostępnymi dokumentami. System taki został zdefiniowany. Jest o Europejski System Sterowania Pociągiem ETCS [6], [7], [11]. Zakres funkcji został uzgodniony przez końcowych użytkowników – zarządców i przewoźników. Rozwiązania techniczne zostały uzgodnione z udziałem sześciu globalnych potentatów dostarczających systemy bkjp. Dokumentacja systemu jest w pełni dostępna publicznie. Obecnie ponad dziesięć podmio-tów oferuje pełne wyposażanie linii i taboru a około pięćdziesięciu produkuje różne urzą-dzenia zdefiniowane tymi specyfikacjami. Domeną poszczególnych producentów pozosta-je technologia produkcji, ale interfejsy są zdefiniowane od fizycznej reprezentacji wartości pojedynczego bitu do algorytmów działania poszczególnych funkcji i relacji pomiędzy nimi.

2.2.2. Pokładowe urządzenia i systemy srk i bkjp

Po stronie pokładowej oprócz interfejsów z urządzeniami przytorowymi wyzwaniem pozo-stają interfejsy z samym taborem, o których mowa już była w rozdziale 2.1.2. Niestety nie są one jedynym wyzwaniem technicznym. Mimo precyzyjnego zdefiniowania systemu ETCS publicznie dostępnymi dokumentami istnieje szereg różnić pomiędzy wyposażeniem poszczególnych linii. Przedstawiciele użytkowników końcowych (zarządców i przewoźni-ków) oczekiwali systemu oferującego wszystkie funkcje udostępniane przez istniejące bar-dzo zróżnicowane systemy bkjp oraz pewnej elastyczności czy skalowalności systemu tak aby wdrożenia mogły być dostosowywane do potrzeb poszczególnych linii kolejowych. Przemysł prowadząc uzgodnienia zabiegał zaś o zachowanie pewnego obszaru technicznej konkurencji pomiędzy dostawcami i zapewnienie otwartości systemu na rozwój technolo-gii transmisji, technolotechnolo-gii przetwarzania danych, technolotechnolo-gii określania położenia i pręd-kości, itp.

Istnieją trzy poziomy wyposażenia toru i trzy poziomy wyposażenia taboru oraz pierw-sze wdrożenia zgodnie ze specyfikacjami w wersji 2.2.2, większość obecnie eksploatowa-nych i wszystkie obecnie budowane zgodnie ze specyfikacjami w wersji 2.3.0.d, a plano-wane zgodnie z już oficjalnie przyjętymi i opublikowanymi, jako powszechnie dostępne specyfikacjami w wersji 3.4.0. Pojedynczy system staje się więc złożoną mozaiką. Aby temu przeciwdziałać uzgodniono i uwzględniono w dokumentach reguły technicznej zgod-ności w dół. Pojazdy wyposażone w pierwszy poziom ETCS poruszają się bez ograniczeń po liniach wyposażonych w pierwszy poziom ETCS. Pojazdy wyposażone w drugi poziom ETCS poruszają się bez ograniczeń zarówno po liniach wyposażonych w drugi poziom ETCS jak i po liniach wyposażonych w pierwszy poziom ETCS. Pojazdy wyposażone w trzeci poziom ETCS poruszają się bez ograniczeń zarówno po liniach wyposażonych w trzeci poziom ETCS jak i po liniach wyposażonych w drugi poziom ETCS jak i po liniach wyposażonych w pierwszy poziom ETCS.

Przewoźnicy z reguły kupują tabor wyposażony w ETCS poziomu 2, gdyż obecnie żad-ne linie nie są wyposażożad-ne w ETCS poziomu trzeciego, a nieliczżad-ne są w ten poziom aktu-alnie wyposażane np. Thameslink stanowiące bardzo obciążone ruchem połączenie o cha-rakterze aglomeracyjnym łączące linie kolejowe wychodzące w różnych kierunkach z Londynu. W poprzek Londynu budowana jest jeszcze druga linia o podobnym

charakte-rze. Zarówno tory jak i tabor są tam wyposażone przez tego samego dostawcę na zlecenie tego samego zamawiającego w jednolity indywidualnie zdefiniowany system bkjp. Reali-zacją wszystkich prac zajmuje się Crossrail Ltd. będąca własnością Zarządu Transportu Londynu i Ministerstwa Transportu.

Uzgodniono i zapisano w specyfikacjach także zgodność w dół wersji systemu [6], [7]. Pojazdy wyposażane w urządzenia pokładowe w wersji 3.4.0 mają bez przeszkód poruszać się po liniach wyposażonych w urządzenia przytorowe w wersji 2.3.0.d. Przewoźnicy będą więc za chwilę kupować wyłącznie pojazdy wyposażone w ETCS w wersji 3.4.0 nie cze-kając na upgrade infrastruktury. Uzgodnione zasady zarządzania wersjami przewidują zgodność w dół tylko z jedną wersją bazową. Będzie to stanowiło wyzwanie w przyszłości. Szeroki wachlarz funkcji oferowanych przez ETCS, o który zabiegali zarządcy i prze-woźnicy, stanowi podczas wdrożeń dodatkowe wyzwanie niezależne od zarządzania po-ziomami systemu i wersjami specyfikacji. Piętą achillesową jest kodowanie informacji o niezabezpieczonych przejazdach kolejowych. Bezpośrednio dedykowaną funkcję uwzględniono w specyfikacjach w wersji 3.4.0, ale linie już wyposażone korzystając ze specyfikacji w wersji 2.3.0.d. przekazują tą informację w różny sposób. To tylko jeden przykład niekonsekwencji, ale wskazać ich można więcej.

2.3. OSOBNE WDROŻENIA NA LINII I W TABORZE ORAZ

NIEZALEŻNA BUDOWA MEDIUM TRANSMISYJNEGO

Różne potrzeby linii zdecydowano się zaspokajać różnymi poziomami wdrożenia systemu. Poziom pierwszy opiera się na punktowej transmisji informacji. Poziomy drugi i trzeci na transmisji ciągłej. Poziom pierwszy, jako główne medium transmisyjne wykorzystuje transpondery instalowane w osi toru zgodne ze specjalnie opracowaną specyfikacją defi-niującą tzw. eurobalisy. Poprzez grupy eurobalis przekazywane są wszelkie dane koniecz-ne do zapewnienia bezpieczeństwa ruchu. Transmisja ma miejsce tylko podczas przejazdu pojazdu nad eurobalisą. Poziom drugi, jako główne medium transmisyjne wykorzystuje cyfrowy kanał transmisji danych w systemie radio-łączności. Pojazdy wyposażone w po-ziom drugi muszą mieć antenę do odbioru informacji z eurobalis dla zapewnienia założo-nej zgodności poziomów. Eurobalisy i anteny są jednak wykorzystywane także w drugim poziomie, gdyż cyfrowy kanał transmisji danych w systemie radio-łączności nie zapewnia możliwości definiowania punktów odniesienia dla obliczania odległości pojazdów od ograniczeń prędkości i końców zezwolenia na jazdę.

Kompetencje i środki techniczne konieczne do budowy radiołączności w standardzie zgodnym ze zunifikowanymi europejskimi specyfikacjami posiadają inne podmioty go-spodarcze. System radiowy oparty na standardzie GSM w wersji R (railway – kolej) także zdefiniowany jest publicznie dostępnymi dokumentami. Obecnie nie ma on różnych wersji, ale szybki rozwój technologii transmisji nie pozostawia złudzeń. Za pięć lub siedem lat rynek telekomunikacyjny wymusi wymianę tych urządzeń na rozwiązania nowej generacji. Radiołączność kolejowa to pojedyncze promile rynku telekomunikacyjnego.

Ciągłe medium transmisyjne oparte na technologii GSM to dwuwarstwowa struktura. W warstwie podstawowej wzdłuż linii kolejowej instalowane są radiowe stacje bazowe, których anteny muszą zapewnić pokrycie torów kolejowych sygnałem radiowym. Stacje te

sterowane są przez kontrolery, które powiązane są z warstwą nadrzędną. Jeden kontroler obsługuje nawet kilkaset stacji. Warstwę nadrzędną stanowią centrale telekomunikacyjne. Dla zapewnienia redundancji w Polsce funkcjonują dwie takie centrale mimo, że z punktu widzenia ilości abonentów jedna centrala jest aż nadto wystarczająca. Redundancja jest jednak konieczna ze względów bezpieczeństwa. Centrale znajdują się w różnych miastach i stanowią dla siebie nawzajem gorącą rezerwę.

2.4. WDROŻENIA INDYWIDUALNYCH SYSTEMÓW i URZĄDZEŃ

Systemy aktywnego bezpieczeństwa są wykorzystywane w transporcie kolejowym od po-czątku jego istnienia. Zapewnienie bezpieczeństwa transportu kolejowego nie jest możliwe bez systemów srk ponieważ długość drogi hamowania jest większa niż odległość na jaką maszynista może obserwować szklak nawet wówczas, gdy pociąg jedzie po prostej linii przy dobrych warunkach widoczności. Systemy aktywnego bezpieczeństwa oparte na cy-frowej transmisji danych z urządzeń przytorowych do urządzeń pokładowych wykorzy-stywane są od blisko siedemdziesięciu lat. Są one stosowane na głównych liniach z dużym ruchem i są bardzo zróżnicowane zarówno pod względem funkcji jak i rozwiązań tech-nicznych.

Wdrażanie nowego zunifikowanego systemu odbywa się niemal zawsze na istniejącej linii równolegle do jej eksploatacji. Jako pierwsze wyposażane są w wielu przypadkach właśnie te linie, które eksploatowane są z wykorzystaniem wcześniejszych systemów, przy czym poziom bezpieczeństwa nie może spaść ani po uruchomieniu nowego systemu ani podczas jego instalowania i uruchamiania.

2.4.1. Migracja do nowego systemu bkjp – moduł STM dla ETCS

Zgodnie ze specyfikacjami ETCS za główne narzędzie migracji od istniejących systemów do ETCS uznano tzw. specyficzne moduły transmisyjne (STM). Ze stosowaniem tych mo-dułów wiąże się jednak szereg wyzwań technicznych.

Moduł STM to urządzenie elektroniczne wyposażone w urządzenia komunikacyjne ist-niejącego (zastępowanego) systemu bkjp odbierające dane przekazywane z toru, przetwa-rzające te dane na format zgodny ze specyfikacjami ETCS i przekazujący je do głównego komputera pokładowego ETCS poprzez w pełni zdefiniowany w publicznie dostępnych dokumentach interfejs tak, aby jazda pociągu była nadzorowana tak jakby odbierał on in-formacje z przytorowych urządzeń ETCS.

Niestety większość systemów istniejących nie dostarcza części danych koniecznych dla ETCS lub dostarcza wartości nieprecyzyjne. Są systemy na przykład stosowany w Cze-chach system LS, które informują pojazd, a za jego pośrednictwem maszynistę, o ilości odstępów blokowych dostępnych dla kontynuowania jazdy. Od maszynisty wymaga się znajomości szlaku, ale główny komputer pokładowy nie posiada takiej wiedzy. Informacja, że dwa odstępy są dostępne w połączeniu z faktem, że najkrótsze odstępy mają około 800 metrów a najdłuższe ponad dwa kilometry nie pozwala na nadzorowanie zatrzymania po-ciągu przed końcem zezwolenia na jazdę. W takich sytuacjach moduł STM może

wyłącz-nie służyć do wyświetlenia na pulpicie maszynisty obrazu, jaki pokazywał maszyniście system, z którego pochodzą dane.

Dodatkowo istniejące systemy, udostępniające dane, często nie spełniają szczegółowych wymagań, których spełnienie jest konieczne, aby system można było uznać za bezpieczny. Przykładowo w przypadku systemów przekaźnikowych dotyczyłoby to systemów, które nie stosują kryterium Fail-safe a w przypadku programowalnych systemów elektronicz-nych – systemów, dla których nie zastosowano rozwiązań pozwalających na zapewnienie poziomu integralności bezpieczeństwa SIL 4. Systemem takim był na przykład system Kontroli Hamowania Pociągu KHP zbudowany w Polsce i testowany na linii Warszawa – Gdańsk w latach dziewięćdziesiątych.

Innego rodzaju wyzwanie związane jest z systemami, które odniosły sukces komercyj-ny. Systemem takim jest niemiecki system Indusi. Został on wdrożony w kilku krajach, przy czym poszczególne koleje narodowe wymagały jego dostosowywania do definiowa-nych przez nich wymagań. W takich przypadkach w różdefiniowa-nych lokalizacjach są takie same urządzenia i na przykład takie same sygnały, ale podlegające innej interpretacji. System Indusi jest eksploatowany od kilkudziesięciu lat. Dostępne technologie podlegały w tym czasie szeregu zmianom. System także był udoskonalany. W takich przypadkach w róż-nych lokalizacjach są różne wersje, które tylko częściowo zachowują zgodność rozwiązań. Zbudowanie modułu STM wymaga uzupełnienia danych transmitowanych z urządzeń przytorowych o informacje pozwalające na identyfikację wersji systemu.

Zabudowywanie zewnętrznych modułów STM (modułów przekazujących odebrane i przetworzone dane do głównego komputera pokładowego ETCS poprzez w pełni zdefi-niowany w publicznie dostępnych dokumentach interfejs), jest droższe od korzystania z wewnętrznych modułów STM (korzystania z programów zaszytych w głównych kompu-terach pokładowych współpracujących bezpośrednio ze starego typu pokładowymi urzą-dzeniami transmisyjnymi). To argument przemysłu. Koszt jest niewątpliwie niższy, ale czy cena także. Wewnętrzny moduł STM oznacza, że jego wymianę lub rozbudowę będzie mógł przeprowadzić tylko dostawca pokładowego wyposażenia ETCS. W przypadku ko-rzystania z pojazdu dostosowanego dzięki STM do jazd po sieci kolejowej X wyposażonej w system BKJP-A1, rozpoczęcie jazd po sieci Y wyposażonej w zmodyfikowaną wersję systemu BKJP-A2 prawdopodobnie wiązać się będzie z bardzo dużymi kosztami ze względu na całkowity brak konkurencji. Gdyby STM był zewnętrzny koszty związane by-łyby tylko z wymianą jednego modułu elektronicznego na drugi lub wręcz jego przepro-gramowaniem.

Migracja pokładowym modułem STM jest w praktyce wdrażaniem nowego systemu przy zachowaniu podwójnego wyposażenia pokładowego. Koszty migracji w takiej sytua-cji są ponoszone przez przewoźników czy właścicieli taboru, podczas gdy zarządcy infra-struktury mogą eksploatować istniejące systemy do momentu ich całkowitego wyeksploat-owania. Alternatywą takiego modelu migracji jest podwójne wyposażanie torów. Koszty są wówczas ponoszone przez zarządców a przewoźnicy i właściciele taboru mogą eksploato-wać pokładowe urządzenia bkjp po minimalnej modyfikacji do momentu ich całkowitego wyeksploatowania.

2.4.2. Migracja do nowego systemu bkjp – moduł STM dla istniejącego systemu bkjp

Model taki przyjęty został w Szwajcarii dla migracji od systemu ZUB do systemu ETCS. Linie kolejowe, po których ma miejsce ruch tranzytowy wyposażono w urządzenia ETCS poziomu pierwszego. Wykorzystano fakt, że w ramach systemu ETCS zdefiniowano pakiet danych o numerze 44, który służy do przekazania danych dla aplikacji pozostającej poza systemem ETCS [6].

Dane o obrazach sygnałowych pobierane są z interfejsów stanowiących integralną część sygnalizatorów świetlnych, czyli integralną część warstwy podstawowej srk i są przeka-zywane do koderów ETCS. Kompletne dane przekaprzeka-zywane z systemu ETCS wykorzysty-wane są przez pojazdy wyposażone w system ETCS. Jednocześnie z tych samych eurobalis przekazywany jest pakiet o numerze 44. Jak wszystkie dane z ETCS i ten pakiet odbierany jest przez antenę do odbioru informacji z eurobalis na pojazdach wyposażonych w ETCS. Pojazdy te ignorują jednak te dane, bo pakiet 44 podlega przekazaniu do systemu ze-wnętrznego o określonym identyfikatorze a taki na tych pojazdach nie jest montowany. Jednocześnie pojazdy wyposażone w pokładowe urządzenia ZUB doposażone zostały w moduł STM. Jest to jednakże urządzenie elektroniczne wyposażone w antenę do odbioru informacji z eurobalis systemu ETCS odbierające dane przekazywane z toru, przetwarzają-ce te dane na format zgodny ze specyfikacjami systemu ZUB i przekazujący je do główne-go komputera pokładowegłówne-go ZUB poprzez interfejs pozostający własnością dostawcy sys-temu ZUB, tak aby jazda pociągu była nadzorowana tak jakby odbierał on informacje z przytorowych urządzeń systemu ZUB.

2.4.3. Zmiana mediów transmisyjnych

Funkcjonalnie podobne wyzwanie będzie towarzyszyło zmianie medium transmisyjnego wykorzystywanego do przekazywania danych o zezwoleniu na jazdę. Przejście z przeka-zywania zezwoleń poprzez eurobalisy do przekaprzeka-zywania zezwoleń za pośrednictwem cy-frowego kanału transmisji danych w systemie radio-łączności to migracja od poziomu pierwszego do poziomu drugiego. Wymaga ona podjęcia po analizie technicznej i eksploa-tacyjnej decyzji, których skutki będą wiążące i dla zarządcy i dla przewoźników ze wzglę-du na potencjalny jednoczesny wpływ na infrastrukturę i na tabor. Instalacje przytorowe poziomu pierwszego wymagają łączenia eurobalis kablami informacyjnymi z sygnalizato-rami bądź nastawnicami. Instalacja przytorowa poziomu drugiego wymaga nie tylko cy-frowego kanału transmisji danych w systemie radio-łączności, ale także przytorowej cen-tralizacji przetwarzania danych o sytuacji ruchowej. W tym celu wykorzystuje się kable, najczęściej światłowodowe, od nastawnic do lokalnych centrów sterowania LCS, w któ-rych instaluje się Centrale Sterowania Radiowego RBC. Niestety obszarem LCS często objęte są nastawnice stacyjne, blokady liniowe i samoczynne systemy zabezpieczenia prze-jazdów kolejowo-drogowych od różnych producentów, w różnych technologiach instalo-wane w różnych okresach czasu. Problem bezpiecznego pobierania danych z zachowaniem bezpieczeństwa systemów, od których dane pochodzą i zapewnieniem jakości danych od-powiedniej dla danych krytycznych dla bezpieczeństwa jest wówczas najważniejszym wy-zwaniem. Technicznie można połączyć dowolne technologie, ale zagwarantowanie

odpo-wiedniego poziomu integralności bezpieczeństwa przy połączeniu różnych technologii jest niekiedy bardzo drogie. Łączenie technologii jest w niektórych przypadkach na tyle kosz-towne, że uwzględniając wiek urządzeń i ich stan techniczny zarządcy infrastruktury po-dejmują niekiedy decyzję o wymianie systemów źródłowych na spójne technologicznie z ETCS systemy nowej generacji.

Wielokrotnie poważniejszym wyzwaniem technicznym, które już pojawia się na hory-zoncie będzie zastąpienie eurobalis „balisami wirtualnymi” generowanymi w oparciu o transmisję satelitarną. Barierą w tym zakresie nie jest sama technika a spełnienie przez nią wymagań, jakie stawia się systemom aktywnego bezpieczeństwa jako systemom bezpiecz-nym. Nie ulega jednak wątpliwości, że wirtualne balisy będą wykorzystywane. O wprowa-dzenie takiej możliwości zabiegają w szczególności koleje z Indii i RPA.

3. AGREGACJA SYSTEMÓW AKTYWNEGO

BEZPIECZEŃSTWA – UWARUNKOWANIA PRAWNE

Pokonanie wyzwań technicznych nie gwarantuje przekazania systemów do eksploatacji. W odniesieniu do urządzeń i systemów stosowanych w transporcie kolejowym zastosowa-nie mają zastosowa-nie tylko przepisy ogólne na przykład budowlane, ale także dedykowane przepisy kolejowe definiujące reguły akceptacji nowych rozwiązań oraz reguły akceptacji nowych instalacji [2], [4], [5]. Dotyczy to w sposób szczególny systemów aktywnego bezpieczeń-stwa a więc przytorowych i pokładowych urządzeń sterowania i łączności.

Prawo kolejowe definiuje sześć wymagań zasadniczych, które mają zastosowanie do wszystkich instalacji kolejowych. Są to: bezpieczeństwo, niezawodność i dostępność, brak zagrożenia dla życia i zdrowia, ochrona środowiska, zgodność techniczna oraz dostosowa-nie kolei do potrzeb osób dostosowa-niepełnosprawnych. Z punktu widzenia systemów aktywnego bezpieczeństwa kluczowe są bezpieczeństwo, niezawodność i zgodność techniczna [3]. Są one oceniane wedle ściśle zdefiniowanych reguł przez niezależne podmioty posiadające potwierdzone kompetencje. Aspekty bezpieczeństwa, niezawodności i zgodności technicz-nej w przypadku przytorowych i pokładowych urządzeń sterowania i łączności ściśle się ze sobą wiążą.

Przykładem może być poziom integralności bezpieczeństwa [8]. Wymaganie dla urzą-dzeń sterowania poziomu integralności bezpieczeństwa SIL 4 oznacza, że prawdopodo-bieństwo uszkodzenia losowego stwarzającego zagrożenie bezpieczeństwa na funkcję na godzinę musi być mniejsze od 10-9 _{(10E-09), a zastosowana metodologia prac musi w}

od-powiedni sposób minimalizować potencjalne zagrożenia wynikające z błędów ludzkich. Oceniane w tym zakresie są poszczególne systemy, ale także system jako całość. Poziom SIL 4 musi mieć nastawnica, poziom SIL 4 musi mieć przytorowa instalacja ETCS, po-ziom SIL 4 musi mieć pokładowe wyposażenie ETCS. Muszą go mieć także systemy gro-madzenia informacji z urządzeń srk warstwy podstawowej, systemy przetwarzania danych takie jak koder czy RBC, systemy przesyłania danych takie jak transmisja światłowodowa czy radiowa, interfejsy pomiędzy głównym komputerem pokładowym i systemem hamo-wania i wiele innych. Nie wystarczy jednak, aby wszystkie urządzenia i systemy były

bezpieczne. Konieczne jest udowodnienie, że cały system spełnia takie wymaganie na odpowiednim poziomie. Tymczasem kompletny system aktywnego bezpieczeństwa po-wstaje w wielu niezależnych projektach.

3.1. ŚWIADECTWO DOPUSZCZENIA DO EKSPLOATACJI TYPU

I CERTYFIKATY ZGODNOŚCI WE

Wiele urządzeń współtworzących system aktywnego bezpieczeństwa w warstwie podsta-wowej srk musi posiadać świadectwa dopuszczenia do eksploatacji typu [5]. Takiego for-malnego upoważnienia do stosowania wydawanego przez organ krajowy, jakim jest Prezes Urzędu Transportu Kolejowego wymaga się od:

a) stacyjnych urządzeń sterowania ruchem kolejowym, b) urządzeń sterowania rozrządem, w tym hamulca torowego, c) urządzeń blokady liniowej,

d) systemu zabezpieczenia ruchu na przejazdach kolejowych,

e) urządzeń do wykrywania stanów awaryjnych pojazdów kolejowych podczas biegu pociągu oraz nieprawidłowości załadunku wagonów,

f) urządzeń kontroli niezajętości torów i rozjazdów: – obwodów torowych,

– liczników osi,

g) urządzeń do przestawiania lub kontrolowania ruchomych elementów rozjazdu kolejowego,

h) sygnalizatora kolejowego,

i) urządzeń łączności przewodowej i bezprzewodowej, w tym zapowiadawczej, strażnicowej i stacyjno-ruchowej,

j) urządzeń łączności bezprzewodowej, w tym pociągowej, manewrowej, drogowej i utrzymania,

k) rejestratora rozmów związanych z prowadzeniem ruchu kolejowego, l) urządzeń oddziaływania tor – pojazd,

m) urządzeń kontroli prowadzenia pociągu,

n) systemu telewizji użytkowej przeznaczonej do prowadzenia ruchu kolejowego, o) systemu zdalnego sterowania ruchem kolejowym.

Wiele urządzeń współtworzących system aktywnego bezpieczeństwa w warstwie nad-rzędnej, czyli w ramach systemu zunifikowanego europejskiego systemu bkjp, musi posia-dać certyfikaty zgodności WE [4]. Takiego formalnego upoważnienia do stosowania wy-dawanego przez upoważnione jednostki notyfikowane wymaga się od:

- w zakresie urządzeń pokładowych: a) pokładowego ERTMS/ETCS, b) urządzenia odometrycznego, c) interfejsu zewnętrznego STM, d) radiotelefonu kabinowego GSM-R,

e) radia GSM-R na potrzeby transmisji danych ETCS, f) kart SIM GSM-R;

- w zakresie urządzeń przytorowych:

g) Central Sterowania Radiowego (RBC),

h) urządzeń do radiowego przesyłania informacji uaktualniających, i) eurobalis,

j) europętli,

k) koderów eurobalis, oraz l) koderów europętli.

Komplet świadectw dopuszczenia do eksploatacji typu oraz certyfikatów zgodności WE dla wszystkich elementów zastosowanych na określonej linii lub stacji nie przesądza o spełnieniu wymagań przez cały system aktywnego bezpieczeństwa. Konieczna jest jeszcze w szczególności ocena całościowa [4].

Wyzwaniem będzie jednak nie tylko ocena całościowa, ale także dobór narzędzi praw-nych. Przykładowo moduł STM z jednej strony musi być zgodny z wymaganiami dla inter-fejsu do zewnętrznego STM i powinien legitymować się certyfikatem zgodności WE. Jed-nak z drugiej strony musi spełniać wymagania dla urządzeń oddziaływania tor – pojazd i legitymować się świadectwem dopuszczenia do eksploatacji typu. W obu przypadkach ocena musi być przeprowadzona przez niezależną jednostkę. Są to jednak różne jednostki, inaczej sprawdzane, inaczej umocowane prawnie i wedle innych przepisów sprawdzające spełnianie wymagań zarówno, jeśli chodzi o źródło wymagań jak i proces weryfikacji ich spełnienia.

Każde pojedyncze urządzenie objęte świadectwem dopuszczenia do eksploatacji typu lub certyfikatem zgodności WE musi mieć wystawioną przez producenta odpowiednio deklarację zgodności z typem lub deklarację zgodności WE. Warunki, na jakich producent może wystawiać takie deklaracje są ściśle zdefiniowane. Przykładowo wykonawca moder-nizacji urządzeń srk zabudowuje obwody torowe objęte świadectwem dopuszczenia do eksploatacji typu. Może dla nich wystawić deklaracje zgodności z typem odwołując się do świadectwa jeśli w świadectwie widnieje jako producent i jeśli odpowiednio nadzoruje proces ich budowy. Jeśli świadectwo jest wystawione dla innego podmiotu gospodarczego podstawą wystawienia deklaracji zgodności z typem musi być certyfikat zgodności z ty-pem wystawiony przez niezależną stosownie umocowaną jednostkę.

3.2. CERTYFIKAT I DEKLARACJA WERYFIKACJI WE

Jak zostało to już pokazane powyżej, z faktu spełnienia wymagań bezpieczeństwa przez poszczególne urządzenia nie wynika spełnienie wymagań bezpieczeństwa przez system aktywnego bezpieczeństwa, jako całość. Tymczasem system aktywnego bezpieczeństwa musi nie tylko być systemem bezpiecznym, ale także spełniać wszystkie wymagania za-sadnicze [10].

Weryfikacja kompletnego systemu sterowania i łączności prowadzona jest dla trzech w pewnym sensie osobnych systemów przytorowych: warstwy podstawowej srk, przytorowej części warstwy nadrzędnej bkjp i dla przytorowego wyposażenia w system łączności oraz dla pokładowej części warstwy nadrzędnej bkjp wraz z urządzeniami cyfrowego kanału transmisji danych w systemie radio-łączności. Pokładowe urządzenia zapewniające

łącz-ność głosową podlegają ocenie wraz z pojazdem podobnie jak czuwak aktywny, czy ha-mulce awaryjne w przedziałach dla pasażerów.

Dla warstwy podstawowej srk, części przytorowej warstwy nadrzędnej i przytorowej części systemu łączności (dla transmisji głosu i transmisji danych) wydawane są niezależ-ne certyfikaty pośrednie WE na etapie projektu, na etapie budowy i certyfikaty WE będące niejako certyfikatami końcowymi. Dla konkretnego odcinka linii dla urządzeń sterowania i łączności nie może jednak w mocy być wiele końcowych certyfikatów WE. Dlatego jeśli już jest wydany na przykład certyfikat WE dla urządzeń srk warstwy podstawowej i insta-lowany i oceniany jest system bkjp oparty na transmisji punktowej, to razem z końcowym certyfikatem WE dla przytorowej części warstwy nadrzędnej bkjp wydawany musi być zbiorczy końcowy certyfikat WE powołujący oba certyfikaty WE. Ma to swoje uzasadnie-nie także techniczne. Jednostka oceniająca jest zawsze prawuzasadnie-nie zobligowana do oceny in-terfejsów. Ocena ta jest tym głębsza im mniej wiadomo o systemach i urządzeniach, z któ-rymi wymieniane są dane i polecenia. Trudno więc sobie wyobrazić, żeby niezależna jed-nostka oceniając wdrożenie bkjp nie analizowała w szczegółach warstwy podstawowej srk włącznie z dokumentami na podstawie których urządzenia tej warstwy były przekazane do eksploatacji. Oczywiście jeśli wdrażany jest system bkjp na linii na której warstwa pod-stawowa srk została przekazana do eksploatacji wiele lat temu w innym reżimie prawnym istnieje ryzyko braku dostępu do stosownych dokumentów, ale także w takim przypadku analiza musi bezpośrednio odpowiedzieć na przykład na pytania dotyczące wpływu pobie-rania danych z warstwy podstawowej na bezpieczeństwo warstwy podstawowej. Czy sys-tem aktywnego bezpieczeństwa jakim jest warstwa podstawowa sterowania ruchem kole-jowym po zabudowie i uruchomieniu systemu aktywnego bezpieczeństwa jakim jest część przytorowa warstwy nadrzędnej czyli bezpiecznej kontroli jazdy pociągu jest nadal syste-mem bezpiecznym to znaczy takim, który w przypadku uszkodzenia nie spowoduje zagro-żenia bezpieczeństwa.

Do każdego certyfikatu weryfikacji WE informującego o pozytywnym wyniku oceny przeprowadzonej przez niezależną jednostkę wykonawca wystawia deklarację weryfikacji WE. Wprawdzie wykonawca musi na własną odpowiedzialność zadeklarować zgodność z wszystkimi wymaganiami zasadniczymi, ale do certyfikatu weryfikacji WE załączona jest dokumentacja z procesu weryfikacji WE zarówno zbiorcza w postaci załączników jak i indywidualna zwykle w postaci raportów z prac.

Tak więc w przypadku modernizacji urządzeń sterowania na linii kolejowej wraz z za-budową systemu ETCS poziomu pierwszego: obwody torowe, napędy zwrotnicowe, kon-trolery położenia iglic, sygnalizatory, nastawnice itd. muszą mieć świadectwa typu i dekla-racje zgodności z typem. Ocena jest prowadzona według prawa polskiego przez jednostki upoważnione na poziomie krajowym. Razem warstwa podstawowa srk musi mieć certyfi-kat weryfikacji WE i deklarację weryfikacji WE. Wymagania w tym zakresie definiuje prawo polskie, ale procedurę oceny definiuje prawo europejskie i ocena ta jest prowadzona przez europejskie jednostki notyfikowane. Eurobalisy, kodery, centrale RBC muszą mieć certyfikaty zgodności WE i deklaracje zgodności WE. Przytorowa część warstwy nadrzęd-nej bkjp musi być oceniona w całości wraz z interfejsami z warstwą podstawową srk. Musi posiadać certyfikat weryfikacji WE i deklarację weryfikacji WE. Wreszcie certyfikaty WE warstwy podstawowej srk i warstwy nadrzędnej bkjp muszą być uwzględnione w cało-ściowym końcowym certyfikacie WE. Do tego certyfikatu także musi być wystawiona deklaracja. Jest to niekiedy obszar sporów pomiędzy prawnikami. Wystawiając deklarację

wykonawcy biorą odpowiedzialność za zgodność systemu z wymaganiami zasadniczymi i pojawia się pytanie czy przejmują odpowiedzialność za kogoś, kto wyprodukował bądź zabudował urządzenia, których oni z jakiś powodów nie tylko nie wymieniali, ale nawet nie powiązali interfejsami. Dotyczy to na przykład autonomicznych samoczynnych sygna-lizacji przejazdowych. Jednakże decyzja o ich niewłączaniu była przez nich podejmowana.

Innego rodzaju wyzwanie prawne towarzyszy systemowi radiołączności. Urządzenia dla kolejnych odcinków i linii kolejowych podłącza się do central telekomunikacyjnych. W centralach tych wprowadza się pewne zmiany w szczególności poprzez ich rozbudowę. Kluczowe staje się pytanie czy centrale powinny podlegać ponownemu pełnemu procesowi niezależnej oceny oraz czy powinny uzyskać nowy certyfikat weryfikacji WE.

3.3. RAPORT Z NIEZALEŻNEJ OCENY BEZPIECZEŃSTWA

I ZEZWOLENIE NA PRZEKAZANIE DO EKSPLOATACJI

Podmiot wprowadzający zmiany w istniejących urządzeniach i systemach zobowiązany jest do przeprowadzenia analizy zmian oraz oceny i wyceny ryzyka. Jeśli zmiany mają wpływ na bezpieczeństwo to ocenia się je z punktu widzenia skutków możliwej awarii, zastosowanej innowacji, złożoności wprowadzonych zmian, możliwości monitorowania zmian i przywrócenia do stanu sprzed zmiany oraz nawarstwiania się zmian wcześniej ocenionych, jako nieznaczące. Jeśli zmiana zostanie uznana po takiej analizie za znaczącą wówczas przeprowadzona musi być ocena i wycena ryzyka według reguł precyzyjnie zde-finiowanych w prawie europejskim. Raport z oceny i wyceny ryzyka podlega ocenie przez jednostkę niezależną wydającą raport oceny bezpieczeństwa. Raport taki razem z certyfi-katami i deklaracjami składany jest z wnioskiem do Prezesa Urzędu Transportu Kolejowe-go o zezwolenie na przekazanie do eksploatacji.

4. WNIOSKI I ROZSĄDNE SCENARIUSZE

Przygotowując opis przedmiotu zamówienia należy zaplanować kolejność uzyskiwania dokumentów potwierdzających zgodność z wymaganiami zasadniczymi. Kolejnym etapom realizacji prac będą towarzyszyły coraz bardziej rozbudowane dokumenty formalne. Po-wiązania pomiędzy nimi są trudne do zdefiniowania, jeśli stosowna analiza i dokumentacja nie są prowadzone na bieżąco.

Prawo pozwala, aby ocena prowadzona była na zlecenie wykonawcy albo na zlecenie inwestora. Brak takiej świadomości po stronie podmiotu zamawiającego modernizację i rozbudowę urządzeń sterowania ruchem kolejowym prowadzi potencjalnie do paraliżu w eksploatacji. Zgodnie z literą prawa zmodernizowany system nie może być eksploatowany bez zezwolenia na przekazanie do eksploatacji.

Wykonawcy robót modernizacyjnych podzlecając wybrane prace czy też zamawiając dostawy urządzeń i systemów muszą żądać stosownych dokumentów. Zabudowanie na

przykład urządzeń, dla których wymaga się świadectw dopuszczenia do eksploatacji typu bez takiego świadectwa naraża wykonawcę na olbrzymie koszty. Urządzenia trzeba będzie wymienić lub poddać certyfikacji typu przed weryfikacją ich zgodności z typem. Taka certyfikacja typu zwykle trwa ponad rok czasu.

Złe zdefiniowanie projektów przez zamawiających może uniemożliwić pozyskanie przez wykonawcę certyfikatu weryfikacji WE. Dzieje się tak, gdy system jest niekomplet-ny. Wykonawca stara się wówczas zamknąć projekt dowodząc, że w wymiarze technicz-nym go zrealizował a w wymiarze prawtechnicz-nym zrobił wszystko to co było możliwe. Niestety dla zamawiającego może to oznaczać olbrzymi problem przy rozliczaniu środków publicz-nych na przykład środków z funduszy europejskich rozliczapublicz-nych krótko przed końcem europejskiej perspektywy budżetowej.

Za rozsądne należy więc uznać projekty modernizacji sterowania ruchem kolejowym o odpowiednio wysokiej kompleksowości pozwalającej na uzyskanie certyfikatów weryfi-kacji WE. Rozsądne będzie więc zlecenie:

 budowy urządzeń stacyjnych wraz z kompletem urządzeń zewnętrznych (np. liczniki osi, napędy, sygnalizatory, …) oraz powiązaniem z systemami srk obsługującymi są-siednie posterunki ruchowe oraz z uzyskaniem zezwolenia na przekazanie do eksplo-atacji warstwy podstawowej srk,

a kłopotliwe będzie zamknięcie stosownymi dokumentami prawnymi:

 wymiany samych urządzeń zależnościowych czy rozbudowy urządzeń zależnościo-wych przy dobudowie dodatkowego toru na stacji.

Rozsądne będzie zlecenie:

 wyposażenia linii w system radio-łączności wraz z połączeniem z centralami teleko-munikacyjnymi ze wskazaniem czy ma on służyć w przyszłości do udostępnienia cy-frowego kanału transmisji danych czy tylko do przekazywania głosu,

a kłopotliwe do zamknięcia stosownymi dokumentami prawnymi będą projekty ograniczo-ne na przykład do:

 opracowania planów pokrycia radiowego i uzyskania decyzji budowlanych,  postawienia masztów dla potrzeb radio-łączności,

 ułożenia światłowodów. Rozsądne będzie zlecenie:

 wyposażenia linii w przytorową część warstwy nadrzędnej bkjp wraz z powiązaniem z warstwą podstawową srk na linii oraz powiązaniem z urządzeniami srk w tym urządzeniami bkjp na wszystkich stycznych szlakach i posterunkach, oczywiście wraz z uzyskaniem dokumentów pozwalających na uzyskanie zezwolenia na przeka-zanie do eksploatacji,

a kłopotliwe do zamknięcia stosownymi dokumentami prawnymi będą projekty ograniczo-ne na przykład do:

 dostosowania urządzeń stacyjnych do współpracy z urządzeniami bkjp, czy  centralizacji danych o sytuacji ruchowej dla potrzeb przyszłego wdrożenia bkjp.

Bibliografia

1. Dąbrowa-Bajon M., Podstawy Sterowania Ruchem Kolejowym, OWPW, Warszawa 2005.

2. Decyzja Komisji 2010/713/UE z dnia 9 listopada 2010 r. w sprawie modułów procedur oceny zgodno-ści, przydatności do stosowania i weryfikacji WE stosowanych w technicznych specyfikacjach interope-racyjności przyjętych na mocy dyrektywy Parlamentu Europejskiego i Rady 2008/57/WE (Dz.U.UE.L.2010.319.1).

3. Decyzja Komisji nr 2012/88/UE z dnia 25 stycznia 2012 r. w sprawie technicznej specyfikacji interope-racyjności w zakresie podsystemów „Sterowanie” transeuropejskiego systemu kolei (Dz.U.UE.L.2012.51.1).

4. Rozporządzenie Ministra Infrastruktury i Budownictwa z dnia 25 lutego 2016 r. w sprawie interopera-cyjności systemu kolei (Dz.U.2016,254).

5. Rozporządzenie Ministra Infrastruktury i Rozwoju 720/2014 z dnia 13 maja 2014 r. w sprawie dopusz-czania do eksploatacji określonych rodzajów budowli, urządzeń i pojazdów kolejowych (Dz.U.2014.720).

6. Europejski system sterowania klasy 1, wersja 2.3.0.d., ALCATEL * ALSTOM * ANSALDO SIGNAL * BOMBARDIER * INVENSYS RAIL * SIEMENS, UE 2006.

7. Europejski system sterowania, specyfikacja wymagań systemowych, wersja 3.4”, ERA, UE 2014. 8. EN 50129:2003/AC:2010, Zastosowania kolejowe - Systemy łączności, przetwarzania danych i

stero-wania ruchem - Elektroniczne systemy sterostero-wania ruchem związane z bezpieczeństwem.

9. EN 50159:2010, Zastosowania kolejowe - Systemy łączności, sterowania ruchem i przetwarzania da-nych - Łączność bezpieczna w systemach transmisyjda-nych.

10. Praca zbiorowa, redaktor merytoryczny Pawlik M. „Interoperacyjność systemu kolei UE, infrastruktura, sterowanie, energia, tabor”, KOW, Warszawa 2015, ISBN 978-83-943085-0-6.

11. Pawlik M., Europejski System Zarządzania Ruchem Kolejowym, przegląd funkcji i rozwiązań tech-nicznych - od idei do wdrożeń i eksploatacji, KOW, Warszawa 2015, ISBN 978-83-943085-1-3.

TECHNICAL CHALLENGES AND LEGAL CONSTRAINS IN COMMISSIONING AND PUTTING IN SERVICE OF THE, OPERATIONAL ACTIVE SAFETY RELEVANT, TRACK-SIDE AND ON-BOARD SIGNALLING AND COMMUNICATION EQUIPMENT

Summary: New generation CBTC systems are based on data transmission between track-side and on-board equipment utilising different communication means including data channels in radio-communication sys-tems. Track-side control command equipment takes information from interlockings, while on-board control command equipment passes commands to braking system and warn driver. Complete data processing chain is required to ensure safety integrity level SIL 4, disregarding amount of separate projects in which works are being conducted. Interlockings, track-side control command equipment, radio-communication systems, on-board control command equipment are constructed and switched on separately. As a result in SIL context commissioning is challenging from technical and legal point of view. Paper defines and analyses different CBTC implementation scenarios. Each scenario has been assessed in technical and legal challenge domain. Results have shown how control command and signalling implementation projects should be defined and how technical and legal challenges should be taken into account in procurement documents.