Nr 1, kwiecień 2018.

STEROWANIE RUCHEM KOLEJOWYM Interoperacyjność podsystemu Sterowanie urządzenia przytorowe CERTA REVIEW Nr 1, kwiecień 2018.

Drodzy Czytelnicy! Kolejny numer naszego Biuletynu poświęcamy Jadwiga Wrzesińska podsystemowi Sterowanie urządzenia przytorowe. Piszemy o początkach systemów zapewnienia bezpieczeństwa ruchu kolejowego, perspektywach wyznaczonych nową dyrektywą kolejową, wizji jak mogłoby sterowanie ruchem wyglądać, gdyby wykorzystać powszechnie dostępne i szybko rozwijające się systemy nawigacji satelitarnej i telefonii komórkowej, zamiast przestarzałego GSM-R. Piszemy też o weryfikacji podsystemu Sterowanie urządzenia przytorowe, roli dowodu bezpieczeństwa i znaczeniu Jednostek Notyfikowanych w zapewnieniu bezpieczeństwa ruchu kolejowego. Rozpoczęły się nowe kontrakty kolejowe, dla których wymogiem jest stosowanie TSI, zatrudnienie Jednostek Notyfikowanych do weryfikacji podsystemów i uzyskanie zezwoleń na dopuszczenie do eksploatacji podsystemów. Pojawiają się pierwsze problemy, pytania, wątpliwości. Wstępne analizy posiadanych na kontraktach dokumentów projektowych i analizy zakresów modernizacji, a co za tym idzie zakresów weryfikacji, pokazują braki i błędy dokumentacji projektowej będącej podstawą realizacji inwestycji i rodzą kolejne pytania, na które chcielibyśmy naszymi artykułami odpowiedzieć. Zachęcamy do dzielenia się z nami swoimi wątpliwościami i problemami pod adresem mejlowym biuletyn@certa-eu.pl, na które postaramy się odpowiedzieć w kolejnym numerze. Życzę ciekawej lektury. W imieniu redakcji Jadwiga Wrzesińska 2 / Biuletyn Certa Review 1 (3)/2018

Spis treści 4 O systemach sterowania ruchem kolejowym w ujęciu historycznym, artykuł wprowadzający Redakcja 12 Preautoryzacja Europejskiego Systemu Zarządzania Ruchem Kolejowym: nowe zadanie Agencji Kolejowej Unii Europejskiej Ignacy Góra, Piotr Sieczkowski 20 Zaniedbania o charakterze systemowym mogą prowadzić w przyszłości do wypadków kolejowych Janusz Dyduch 30 Procedura weryfikacji WE podsystemu Sterowanie urządzenia przytorowe różnice i podobieństwa w stosunku do weryfikacji innych podsystemów Maciej Śmieszek 42 Rola dowodu bezpieczeństwa w procesie weryfikacji WE Aleksandra Grzywak-Gawryś 54 Od jazdy na berło do niezależności Jednostek Notyfikowanych - czyli jak poruszać się po torach bezpieczniej i efektywniej Aleksandra Grzywak-Gawryś 62 Umowa z jednostką notyfikowaną w zakresie weryfikacji WE Małgorzata Piechota 70 O pewnej wizji systemów sterowania ruchem za, powiedzmy, 10 lat ACh Komitet Redakcyjny: Jadwiga Wrzesińska Sławomir Bukowski Maciej Śmieszek Adres redakcji: CERTA sp. z o.o. sp.k. 54-413 Wrocław, ul. Klecińska 125 Wrocławski Park Technologiczny e-mail: biuletyn@certa-eu.pl 1 (3)/2018 Biuletyn Certa Review / 3

Redakcja Fot. archiwum redakcji O systemach sterowania ruchem kolejowym w ujęciu historycznym System kolejowy był pierwszym systemem transportowym, który w sposób zorganizowany mechanizował przemieszczanie towarów i ludzi. Niezależnie od poglądów co do czasu powstania kolei (niektóre źródła datują jej początek nawet w epoce Imperium Rzymskiego) można przyjąć, że rozwój kolei jako zorganizowanego masowego, zmechanizowanego transportu rozpoczął się w pierwszej połowie XIX wieku. Z biegiem czasu rosły prędkości i obciążenia, a kolej stawała się kręgosłupem narodowych systemów transportowych w wielu państwach świata i symbolem nowoczesności. Wzrost liczby pociągów wyprawianych na szlak w jednostce czasu oraz potrzeba zapewnienia bezpieczeństwa wymusza od początku historii kolei konieczność opracowania metod bezpiecznego i sprawnego prowadzenia ruchu kolejowego. 4 / Biuletyn Certa Review 1 (3)/2018

Pociąg porusza się po stalowych szynach uniemożliwiających omijanie, wyprzedzanie i zmianę kierunku w dowolnym miejscu. Tarcie dwóch stalowych powierzchni koła o szyny jest ośmiokrotnie mniejsze niż w przypadku gumowych opon i bitumicznej nawierzchni drogi kołowej, a zatem skuteczność hamowania pociągu w porównaniu z samochodem jest odpowiednio mniejsza, co powoduje, że droga hamowania pociągu może znacznie przekraczać zasięg widzenia maszynisty. Również duże masy brutto oraz liczba potencjalnych poszkodowanych i strat materialnych, w przypadku wypadku kolejowego jest nie do przecenienia. Z tych powodów opracowano organizacyjne i techniczne systemy prowadzenia ruchu kolejowego mające na celu zapewnienie bezpieczeństwa przewożonym ludziom i towarom oraz zwiększenie przepustowości linii kolejowych. Jako podstawowe środki natury organizacyjnej wprowadzono podział linii na elementarne odcinki drogi, podział sieci kolejowej na rejony oraz rozkład jazdy jako ujęcie procesu przewozowego w cykl czasowy. Bezpieczny ruch pociągu możliwy jest, gdy maszynista prowadzi pociąg z odpowiednią dla danego odcinka prędkością. Zatem system organizacji ruchu musi definiować sposób przekazywania informacji maszyniście. Istotą systemu są procedury określające, w jaki sposób odbywa się zezwolenie na ruch pociągu. Można wyróżnić dwie podstawowe kategorie procedury, w których ruch pociągu odbywa się na rozkaz ustny lub pisemny oraz procedury, w których ruch pociągu odbywa się według wskazań sygnalizatorów. Najogólniej rzecz ujmując system przekazywania informacji przy pomocy wskazań sygnalizatorów przytorowych nazywamy sygnalizacją kolejową. System sygnalizacyjny musi zatem zapewniać niezawodne przekazanie rozkazów do pojazdu (maszynisty) dotyczących prędkości poruszania się pojazdu lub długości wolnej drogi, jaką pociąg może bezpiecznie przejechać do zatrzymania. Mimo dużej różnorodności systemów sygnalizacji kolejowej w różnych krajach świata można wyróżnić dwie podstawowe zasady sygnalizacji sygnalizację prędkości i sygnalizację drogi. W systemach sygnalizacji prędkości przekazywana jest informacja o dozwolonej prędkości, której pociąg nie może przekroczyć. W drugim przypadku sygnalizacja podaje drogę, na którą wyprawiany jest pociąg, przy czym maszynista musi znać ograniczenia prędkości Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 5

na każdym z odcinków jazdy pociągu. Nowoczesne systemy sygnalizacji stosują sygnalizację prędkości. Sygnalizację drogi można spotkać w praktyce kolei brytyjskich i północnoamerykańskich. Najprostsze systemy sygnalizacji Jeżeli mamy tylko jeden, niewyposażony w żadne urządzenia sygnalizacyjne tor pomiędzy dwiema stacjami, to na odcinku pomiędzy stacjami może znajdować się tylko jeden pociąg. Sytuacja jest prosta i wymaga rozwiązania technicznego polegającego na poinformowaniu maszynisty mającego zamiar wprowadzić pociąg na dany odcinek, czy na tym odcinku znajduje się inny pociąg. Taką rolę spełniało tzw. berło. Berłem nazywano przedmiot określonego kształtu o wyraźnym oznaczeniu, przyporządkowującym go do danego odcinka. W tym systemie sterowania ruchem maszynista wyjeżdżając na szlak ze stacji A zabierał berło. Berło zwracał na stacji B po przejechaniu drogi od stacji A do B. Maszynista pociągu jadącego w przeciwnym kierunku zabierał berło ze stacji B i zwracał na stacji A. Dopóki berło nie powróciło na stację A na szlak ze stacji A nie mógł wjechać żaden pociąg, gdyż groziłoby to zderzeniem czołowym lub najechaniem na tył składu poruszającego się w tym samym kierunku. Rozwiązanie to jest bardzo proste jednak mało efektywne. Zmarnowanym jest czas potrzebny na powrót berła, ponieważ pociąg jadący w przeciwną stronę mógł się pojawić w nieustalonym czasie. Poprawę sytuacji uzyskano po wprowadzeniu łączności telegraficznej, a później telefonicznej. Dyżurny na stacji A zapowiadał wyprawienie pociągu na stację B, a po przybyciu pociągu na stację B jego kolega ze stacji B potwierdzał przybycie kompletnego pociągu. W ten sposób obie stacje miały pewność co do stanu zajętości szlaku. System sygnalizacji oparty o berło stosowany był w starych instalacjach kolejowych, w szczególności w Wielkiej Brytanii (token ang. berło). Rozwój tego systemu doprowadził do powstania blokad opartych o berło elektryczne (elektroniczne), gdzie indywidualny numer przydziela się każdemu odstępowi. Pociąg podbiera berło o określonym numerze, aby wjechać na dany odcinek. Ponowne wydanie tego samego numeru berła może być wykonane dopiero po zwróceniu go przez pociąg na końcu chronionego odcinka. Ponieważ proces odbywa się elektrycznie, następny pociąg jadący w tym samym kierunku nie musi oczekiwać na powrót berła. Tym samym wzrasta przepustowość linii. Dark Territory (ang. slang.: ciemny obszar) to linie kolejowe niewyposażone w żaden system sygnalizacji, gdzie występuje bardzo mały ruch pociągów. Zezwolenie na jazdę daje dyspozytor ustnie przy pomocy radia lub telefonu. Załoga pociągu informuje zwrotnie dyspozytora o aktualnym położeniu pociągu w określonych odstępach czasowych. Bezpieczeństwo systemu polega całkowicie na prawidłowej pracy personelu. Dark Territory można spotkać obecnie na liniach kolejowych przebiegających przez bezkresne obszary Australii. Sterowanie ruchem pociągów bez sygnalizacji. Ten typ regulacji ruchu odbywa się do dziś na około 50% linii kolei północnoamerykańskich. Ruch pociągów jest regulowany przez dyspozytora przez radio lub telefon. W Europie ta metoda jest obecnie niezwykle rzadko spotykana i to na bocznych liniach, o bardzo małym natężeniu ruchu. Następstwo pociągów na szlaku Odstęp między dwoma pociągami poruszającymi się po tym samym torze, w tym samym oczywiście kierunku, ma kluczowe znaczenie zarówno dla bezpieczeństwa, jak i dla przepustowości linii. Im mniejszy odstęp, tym większa przepustowość, jed- 6 / Biuletyn Certa Review 1 (3)/2018

nakże wraz z malejącą odległością między pociągami rośnie ryzyko kolizji. Problem przepustowości dotyczy w szczególności szybkich kolei aglomeracyjnych (SKM, metro), gdzie pociągi jadą po sobie w krótkich odstępach czasowych. W pierwotnym ujęciu teoretycznym wyróżnia się trzy podstawowe zasady separacji odstępów między pociągami jadącymi po tym samym torze. Zasady te oparte są o odległość między pociągami zdefiniowaną jako: 1. względna droga hamowania; 2. bezwzględna droga hamowania; 3. stały odcinek blokowy. W pierwszej zasadzie zakłada się, że odległość między pociągami równa się różnicy dróg hamowania pociągów pierwszego i następnego powiększonej o dodatkową odległość ochronną. Uważa się, że jest to metoda teoretyczna, ze względu na ryzyko związane z kolizyjnym zatrzymaniem się pierwszego pociągu, wtedy wyliczona droga hamowania dla drugiego pociągu może okazać się niedostateczna. W przypadku drugim oblicza się bezwzględną drogę hamowania jako sumę drogi hamowania pociągu następnego i drogi ochronnej (na wypadek pogorszenia się warunków hamowania). Wadą tej metody jest zagrożenie bezpieczeństwa związane z odczepieniem się wagonów i pozostaniem ich na szlaku. Ryzyko to musi być wyeliminowane przez zastosowanie odpowiedniej technologii kontroli integralności składu pociągu. Metoda separacji pociągów w oparciu o bezwzględną drogę hamowania nazywa się ruchomym blokiem. W trzecim przypadku, czyli separacji w oparciu o stały odcinek blokowy, linia dzielona jest na odstępy (sekcje). Każdy odstęp może być zajęty tylko przez jeden pociąg. Odległość między jadącymi po sobie pociągami ustala się jako sumę maksymalnej drogi hamowania, długości odstępu blokowego i dodatkowej drogi ochronnej. Uwarunkowania historyczne Proces rozwoju kolei, a wraz z nim rozwoju filozofii bezpieczeństwa ruchu kolejowego, przebiegał w różnych krajach świata różnymi drogami. Wypracowano odmienne koncepcje zapewnienia bezpieczeństwa, co powodowało, że procedury sterowania ruchem kolejowym znacząco się różniły. Z perspektywy dzisiejszej wiedzy rozróżniamy podejście Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 7

Fot. Jadwiga Wrzesińska brytyjskie, niemieckie i północnoamerykańskie. W wielu krajach możemy odnaleźć zasady prowadzenia ruchu kolejowego w oparciu o jedną z trzech powyższych filozofii, będącą ich pochodną lub swoistą mieszanką. Korzenie systemów sterowania ruchem kolejowym sięgają drugiej połowy XIX wieku. W okresie trwającym mniej więcej trzy dekady stworzono podstawy sygnalizacji kolejowej. Proces ten zakończył się około 1870 roku i można go nazwać okresem formowania zasad systemu sygnalizacyjnego. Koleje północnoamerykańskie różnią się istotnie od kolei pozostałej części świata z powodów opisanych powyżej, ale także z powodu braku rozróżnienia torów stacyjnych od torów szlakowych i klasyfikacji ruchu pojazdów kolejowych. Zasady niemieckie prowadzenia ruchu wypracowały specyficzne reguły dla systemów zależnościowych i blokady liniowej. Zasady niemieckie różnią się istotnie od brytyjskich i północnoamerykańskich. Rozwój sygnalizacji kolejowej zdeterminowały dwa fundamentalne wynalazki, jakie pojawiły się w podobnym czasie obwód torowy (William Robinson, 1871) i blok elektromechaniczny - niem. Blockfeld (Carl Frischen, 1872), który stał się kluczowym elementem ręcznej blokady w kilku krajach. Od tego czasu filozofia niemieckiej sygnalizacji kolejowej była zdeterminowana przez Blockfeld i polegała na tym, że zwolnienie bloku nie mogło być wykonane przez tę samą stację, która wyprawiała pociąg, a jedynie przez sąsiednią, do której ustawiono drogę przebiegu lub automatycznie przez sam pociąg. Rozwój systemów sygnalizacji w Ameryce Północnej był natomiast zdeterminowany przez wynalezienie i wdrożenie detekcji pociągu na bazie obwodu torowego. Wynalazek ten pod koniec wieku XIX umożliwił skonstruowanie blokady automatycznej. Blokada ręczna typu niemieckiego nie była tam nigdy zastosowana. Oprócz blokady liniowej obwody torowe były bardzo wcześnie stosowane w stacyjnych systemach zależnościowych. Podczas gdy w Europie kontrola niezajętości odbywała się powszechnie poprzez wizualne sprawdzenie stanu odcinka, to zastosowanie obwodów torowych do detekcji pociągów w Ameryce Północnej stało się standardem od początku XX wieku. 8 / Biuletyn Certa Review 1 (3)/2018

W Europie z chwilą wynalezienia telegrafu we wczesnych latach 70-tych XIX wieku wdrożono, jako standard, w pierwszej kolejności separację pociągów bazującą na stałym odstępie. Po pewnym czasie wprowadzono sygnalizację przytorową. Blokada wymagała ręcznej obsługi przez lokalnego operatora. Odcinki o długości 1-5 km wymagały zatrudnienia dużej liczby personelu rozmieszczonego wzdłuż linii kolejowej. W Ameryce Północnej, z uwagi na przeważnie małą gęstość zaludnienia zatrudnienie dużej liczby pracowników nie było możliwe. Konsekwencją tego, nawet po wynalezieniu telegrafu, było niewdrożenie systemu opartego na sztywnych odstępach blokowych. Wdrożenie zasady podziału linii na odstępy blokowe umożliwiło dopiero wynalezienie automatycznej blokady liniowej i to w oparciu o już istniejące obwody torowe. Jednakże na przeważającej części linii w Północnej Ameryce fizyczne odstępy pomiędzy pociągami zapewniano przez zdefiniowane w rozkładzie jazdy interwały czasowe. Ruch pociągów nie był sterowany przez lokalnych operatorów, a przez dyspozytora pracującego w centrum sterowania ruchem. Wynalezienie telegrafu pozwoliło na wprowadzanie zmian w rozkładzie jazdy poprzez generowanie listy następstwa pociągów. Lista następstwa pociągów była przesyłana telegraficznie z centrum sterowania do obsługi danej stacji i dostarczana załogom pociągów. Takie podejście stworzyło zasadę rozkładu jazdy i następstwa pociągów (T&TO ang. Timetable & Train Order), która obowiązywała do lat 80-tych ubiegłego wieku. W latach 80-tych XX wieku do powszechnego użycia wprowadzono system radiowy, który umożliwił dyspozytorowi wydanie zezwolenia na jazdę bezpośrednio załodze pociągu. W filozofii T&TO sygnały przytorowe były stosowane tylko w niektórych lokalizacjach wymagających wysokiego poziomu ochrony, np. w obszarach skrzyżowań i odgałęzień linii. Niektórzy eksperci podkreślają, że podstawową różnicą pomiędzy praktyką europejską a północnoamerykańską jest to, że w systemie europejskim sygnalizatory są integralną częścią systemu, odwrotnie niż w systemie amerykańskim, gdzie są one jedynie jego uzupełnieniem. Sytuacja w Polsce W Polsce po II wojnie światowej utrwalił się podział na urządzenia stacyjne i urządzenia liniowe. Systemy stacyjne to urządzenia służące do prowadzenia ruchu pociągów na stacji systemy zależnościowe (interloking) lub urządzenia rozrządowe, służące do prowadzenia rozrządu z górki lub rozrządu płaskiego. Do urządzeń liniowych zaliczano blokadę liniową służącą do regulacji odstępów między pociągami, systemy oddziaływania tor pojazd oraz systemy sygnalizacji przejazdowej. W OSŻD (ОСЖД - Организации сотрудничества железных дорог) opracowano sygnalizację trzystawną, sześciostopniową. Sygnalizacja pozwalała na przekazywanie za pomocą sygnalizatora przytorowego informacji o sześciu stopniach prędkości jazdy, przy czym stawnością sygnalizacji przyjęto nazywać właściwość sygnalizacji pozwalającą na przekazywanie za pomocą sygnalizatora informacji dla większej niż jeden liczby odcinków. Sygnalizacja jest n-stawna, jeżeli pozwala na przekazanie przez sygnalizator przytorowy informacji o możliwości jazdy na n-1 odstępach położonych za sygnalizatorem. W Polsce znane są systemy nastawcze obsługiwane ręcznie, lokalnie, w których uzależnienia wykonywane były za pomocą zamków kluczowych. Następnie powstały urządzenia scentralizowane, nastawiane ręcznie z pewnej odległości (z nastawni) za pomocą pędni mechanicznych. Zależności uzyskiwano za pomocą mechanicznego suwaka. Kolejnym rozwiązaniem są urządzenia elektromechaniczne. Obecnie na niektórych nastawniach można jeszcze spotkać urządzenia elektromechaniczne zainstalowane na początku wieku XX. 1 (3)/2018 Biuletyn Certa Review / 9

Fot. Jadwiga Wrzesińska Na początku lat 90-tych ubiegłego wieku w Polsce rozpoczęto wdrażanie pierwszych systemów skomputeryzowanych. W systemach elektronicznych największym problemem było dowodzenie bezpieczeństwa. Dotychczasowe metody stosowane dla systemów przekaźnikowych, polegające na prześledzeniu wszystkich możliwych stanów systemu stały się niemożliwe do zastosowania. Wdrożenie norm europejskich CENELEC EN 50126, 50128 i 50129 wprowadziło nowe podejście do weryfikacji bezpieczeństwa i szersze rozpowszechnienie systemów elektronicznych. Niestety nowoczesne systemy komputerowe wśród wielu zalet mają istotną wadę w stosunku do starych systemów mechanicznych, ciągle jeszcze w przeważającej większości pozostających na wyposażeniu polskiej sieci kolejowej. Wadą tą jest czas życia urządzeń elektronicznych. Sprzęt komputerowy starzeje się moralnie coraz szybciej. Zapewnienie jego utrzymania w okresie 20-25 lat staje się nie lada wyzwaniem. Od zainstalowania pierwszych elektronicznych systemów stacyjnych na linii E20 minęło 25 lat. Kilka lat temu musiały one zostać wymienione na urządzenia nowszej generacji. Problem starzenia się systemów dotyczy także Europejskiego Systemu Sterowania Ruchem Kolejowym ERTMS/ETCS. ETCS poziom I wdrożono na linii CMK podczas wprowadzenia do eksploatacji pociągów Pendolino. Ambitne plany wdrożenia ERTMS i GSM-R opracowano i zatwierdzono w latach 2006/2007. Poziom II tego systemu (poziom wykorzystujący system transmisji GSM-R) doczekał się rozpisania przetargów dopiero w 2017 roku i nie jest jasne, kiedy zostanie przekazany do eksploatacji pierwszy odcinek. Współczesnym problemem Zarządcy Infrastruktury Kolejowej jest czas życia systemu GSM-R. Obecny system transmisji danych GSM-R oparty jest de facto o transmisję modemową o niskiej prędkości przesyłu danych. Stał się on przestarzały i na dużych stacjach w Europie niewydolny. Należy oczekiwać, że w ciągu najbliższych 5-10 lat będzie zastąpiony systemami nowszej generacji, np. LTE-R. Stworzy to nowe wyzwania dla uczestników rynku kolejowego. 10 / Biuletyn Certa Review 1 (3)/2018

Europeizacja systemów sterowania ruchem kolejowym Techniczne Specyfikacje Interoperacyjności podsystemu sterowanie były w ostatniej dekadzie wielokrotnie zmieniane i uzupełniane. Jednocześnie nic nie wskazuje na to, aby narodowe systemy srk, tzw. systemy klasy B, były szybko i powszechnie zastąpione przez systemy klasy A (ERTMS). Każdy z krajów członkowskich wypracował własne zasady prowadzenia ruchu kolejowego i mimo iż bazują one na pierwotnej, XIX-wiecznej filozofii, to mogą różnić się między sobą. Stanowi to podstawową trudność w próbach standaryzacji rozwiązań na poziomie Europy, a także w ocenie i weryfikacji zgodności systemów sterowania urządzeń przytorowych. Dychotomia polega przede wszystkim na tym, że w większości przypadków oceniane są narodowe urządzenia sterowania ruchem kolejowym według odrębnych, krajowych przepisów, natomiast systemy klasy A według TSI CCS. Dokąd zmierzamy Obecnie ważą się losy kierunków rozwoju urządzeń sygnalizacji kolejowej. Rynek tych urządzeń staje się coraz bardziej niszowy i nie nadąża za rozwojem innych systemów przemysłowych. Poważnym wyzwaniem jest bezpieczeństwo transmisji. Dziś żaden system radiowy, nawet dedykowany pod konkretne zastosowanie, jak GSM-R, nie może być uznany za zamknięty. Niestety dotyczy to także sieci LAN i WAN stosowanych na dużym obszarze geograficznym, nawet jeżeli są wydzielone. Konieczne jest ciągłe udoskonalanie metod kryptograficznego zabezpieczania informacji i autoryzacji dostępu. W rozwiązaniach niszowych aktualizacja jest bardzo niewygodna, a nawet, z wielu powodów, może okazać się niemożliwa. Rozwiązaniem problemu będzie najprawdopodobniej system scentralizowany cyfrowy system nastawczy, w którym dane przetwarzane są w centralnej nastawnicy, niezależnie od położenia urządzeń wykonawczych (napęd, sygnalizator) lub detekcji pociągu (licznik osi lub inne urządzenie). Ultralokalne sterowniki geograficzne pełnią funkcję wyłącznie dedykowanych przełączników, w których logika ogranicza się do procesu obsługi wejść/wyjść. Przy takim podejściu łatwiej jest chronić jedną lub co najwyżej kilka nastawnic niż setki. Aktualizacje takiego systemu srk odbywałyby się również centralnie. Obserwując rozwój technologii informatycznej i telekomunikacyjnej możemy mówić o przyspieszonym, wykładniczym tempie. Kolej przez 100 pierwszych lat swojego istnienia była przykładem postępu technologicznego. Jednakże w ostatnim okresie, w szczególności w ostatniej dekadzie, ze względu na niekontrolowalny, dynamiczny rozwój technologiczny systemów teleinformatycznych i komputerowych, wkroczyła w czas poważnych wyzwań. Bezpieczeństwo ruchu kolejowego nie zależy już dzisiaj tylko od niezawodności, dostępności, podatności utrzymaniowej i poziomu bezpieczeństwa samych urządzeń, ale zaczyna być uzależnione od odporności systemów na niepożądany dostęp, w tym cyberataki na masową skalę, mogące nie tylko sparaliżować system kolejowy, ale i doprowadzić do poważnych wypadków. Przed konstruktorami, użytkownikami i weryfikatorami systemów srk globalna gospodarka cyfrowa stawia dzisiaj całkowicie nowe zadania. Źródła 1. Pachl J.: Railway Operation and Control, VTD Rail Publishing, 2004. 2. Theeg G., Vlasenko S.: Railway Signalling & Interlocking, Eurailpress, 2009. 3. Ważyński T.: Sterowanie ruchem kolejowym, WKŁ, 1970. 1 (3)/2018 Biuletyn Certa Review / 11

Ignacy Góra Prezes Urzędu Transportu Kolejowego ignacy.gora@utk.gov.pl Piotr Sieczkowski Zastępca Dyrektora Departamentu Techniki i Wyrobów Urząd Transportu Kolejowego Fot. archiwum redakcji Preautoryzacja Europejskiego Systemu Zarządzania Ruchem Kolejowym: nowe zadanie Agencji Kolejowej Unii Europejskiej Już za nieco ponad rok zaczną być stosowane przepisy tzw. części technicznej czwartego pakietu kolejowego. Dwie unijne dyrektywy oraz jedno rozporządzenie istotnie modyfikują dotychczasowe zasady funkcjonowania systemu kolejowego w zakresie bezpieczeństwa i interoperacyjności. Jedną z najistotniejszych zmian będzie przyznanie Agencji Kolejowej Unii Europejskiej nowego zadania w obszarze Europejskiego Systemu Zarządzania Ruchem Kolejowym tzw. preautoryzacji ERTMS. Agencja Kolejowa Unii Europejskiej to specjalistyczna unijna instytucja zajmująca się funkcjonowaniem sektora kolejowego w zakresie bezpieczeństwa i interoperacyjności. Powstała w 2004 r. na mocy rozporządzenia [1] wówczas jako Europejska Agencja Kolejowa. Wraz z wejściem w życie rozporządzenia [2] jej nazwa zmieniona została na obecnie obowiązującą. Do najważniejszych zadań Agencji należy przygotowanie projektów Technicznych Specyfikacji Interoperacyjności, wspólnych metod oceny bezpieczeństwa i innych aktów prawnych regulujących funkcjonowanie kolei, a następnie monitorowanie ich 12 / Biuletyn Certa Review 1 (3)/2018

praktycznego stosowania i udzielanie wsparcia w tym zakresie. Agencja jest gospodarzem wielu grup roboczych, w których na bieżąco dochodzi do wymiany doświadczeń pomiędzy uczestnikami rynku kolejowego z państw Unii Europejskiej krajowymi organami ds. bezpieczeństwa, krajowymi organami dochodzeniowymi, jednostkami notyfikowanymi czy podmiotami działającymi w obszarze transportu kolejowego. W pracach Agencji na bieżąco uczestniczą przedstawiciele Urzędu Transportu Kolejowego. Jednym z zadań Agencji jest zapewnienie zharmonizowanego wdrażania ERTMS na obszarze Unii Europejskiej. Agencja pełni rolę tzw. organu systemowego ERTMS, który na bieżąco koordynuje rozwój specyfikacji technicznych systemu, zapewnia ich rozwój oraz monitoruje ich wdrażanie, w tym gromadzi dane o potencjalnych błędach czy niespójnościach w obowiązujących specyfikacjach. W ramach części technicznej czwartego pakietu kolejowego, w skład którego wchodzą rozporządzenie [2] oraz dyrektywy [3] i [4], kompetencje Agencji w obszarze ERTMS zostały poszerzone o nowy proces zatwierdzania rozwiązań technicznych przytorowych urządzeń ERTMS. Zgodnie z art. 19 dyrektywy [3] Agencja będzie zatwierdzała rozwiązania techniczne przytorowych urządzeń ERTMS w celu sprawdzenia, czy są one zgodne z odpowiednimi TSI i czy w związku z powyższym są w pełni interoperacyjne. Ocena Agencji powinna następować na etapie poprzedzającym zaproszenie do składania ofert na budowę systemu. Proces ten jest również określany jako tzw. preautoryzacja ERTMS. Warto przy tym zauważyć, że będzie to całkowicie nowa procedura, której odpowiednika próżno szukać w obecnie obowiązujących przepisach. Zanim jednak przejdziemy do przybliżenia szczegółów tego procesu, warto na chwilę skupić się nad źródłem jego powstania. Geneza procesu preautoryzacji ERTMS Założeniem przyświecającym budowie ERTMS w Unii Europejskiej jest zapewnienie pełnej interoperacyjności ruchu pociągów przez granice państwowe i zniesienie dotychczasowych barier wynikających ze stosowania kilkudziesięciu różnych krajowych systemów sterowania ruchem kolejowym. Niestety w ramach kolejnych wdrożeń ERTMS w poszczególnych państwach członkowskich okazywało się, że do istniejących specyfikacji technicznych dodawano nowe funkcjonalności lub modyfikowano je w sposób, który generował konieczność określonego zachowania urządzeń pokładowych systemu. W efekcie system przestawał być w pełni interoperacyjny, a powstawały jego lokalne odmiany, co nie przybliżało kolei do realizacji wizji jednego spójnego systemu sterowania ruchem na całej sieci kolejowej UE. Przykłady zmian w specyfikacjach ERTMS wpływających na interoperacyjność tego systemu zebrała w ostatnim czasie Komisja Europejska w raporcie [5]. W celu uniknięcia powtórzenia się w przyszłości podobnych sytuacji Komisja Europejska, opracowując pierwsze projekty nowej dyrektywy w sprawie interoperacyjności w ramach czwartego pakietu kolejowego, wyszła z inicjatywą przekazania kompetencji w zakresie zezwalania na dopuszczenie do eksploatacji podsystemu Sterowanie urządzenia przytorowe Agencji Kolejowej Unii Europejskiej. Pomysł ten nie zyskał jednak aprobaty państw członkowskich, które w trakcie negocjacji na poziomie Rady Unii Europejskiej zaproponowały utrzymanie tej kompetencji po stronie krajowych organów ds. bezpieczeństwa. Rolą Agencji byłoby jednak wydanie opinii w zakresie dotyczącym ERTMS. Na kolejnym etapie prac do dyskusji włączył się Parlament Europejski, postulując powrót do rozwiązań proponowanych oryginalnie przez Komisję Europejską. W ostatecznym tekście dyrektywy [3] pojawiło się ostatecznie trzecie, kompromisowe rozwiązanie: co prawda zezwolenie na dopuszczenie do eksploatacji podsystemu strukturalnego Sterowanie urządzenia przytoro- 1 (3)/2018 Biuletyn Certa Review / 13

Fot. archiwum redakcji we będą wydawać krajowe organy ds. bezpieczeństwa, tak jak chciały tego państwa Unii Europejskiej, ale na wcześniejszym etapie projektu zabudowy ERTMS będzie w nim uczestniczyć Agencja Kolejowa Unii Europejskiej, zgodnie z oczekiwaniami Parlamentu i Komisji Europejskiej. W ten sposób powstała preautoryzacja ERTMS (po angielsku określana jako ERTMS pre-approval). Jak można zauważyć ta skrótowa nazwa procesu nawiązuje do faktu, że ocena Agencji odbywa się na etapie poprzedzającym ostateczną autoryzację projektu, tj. wydanie zezwolenia na dopuszczenie do eksploatacji przez odpowiedni krajowy organ ds. bezpieczeństwa. Proces preautoryzacji Podstawowe wymagania dotyczące przebiegu procesu preautoryzacji określa art. 19 dyrektywy [3]. Wskazano w nim podstawowe wymagane dokumenty, a także nakreślono terminy realizacji wniosków, jednak w ograniczonym stopniu wskazano szczegółowy przebieg procesu. W celu wypełnienia tej luki Komisja Europejska przygotowuje obecnie zalecenie [6], które w większym stopniu przybliży szczegóły procesu preautoryzacji. Zarówno dyrektywa [3], jak i projektowane zalecenie [6] nie wprowadzają ograniczeń odnośnie podmiotu, który może wystąpić o przeprowadzenie procesu preautoryzacji. Może to być zatem zarówno zarządca infrastruktury, jak i działający na jego zlecenie wykonawca modernizacji. Wniosek będzie składany za pośrednictwem systemu informatycznego Agencji tzw. punktu kompleksowej obsługi (ang. one stop shop), za pomocą którego odbywać się będzie również wszelka korespondencja z wnioskodawcą czy krajowymi organami ds. bezpieczeństwa. Jak już wspomniano z wnioskiem do Agencji należy wystąpić przed etapem zaproszenia do składania ofert w przetargu związanym z urządzeniami przytorowymi ERTMS. W takich okolicznościach rozsądnym założeniem wydaje się, aby nastąpiło to jeszcze przed przetargiem dotyczącym zaprojektowania tych urządzeń, dzięki czemu Agencja zostanie włączona w daną inwestycję na możliwie wczesnym etapie. Warto także zauważyć, 14 / Biuletyn Certa Review 1 (3)/2018

że wniosek o zatwierdzenie rozwiązań technicznych dla przytorowych urządzeń ERTMS może obejmować zarówno pojedyncze projekty, jak i ich kombinacje, grupy linii kolejowych lub nawet całą sieć. Do wniosku należy dołączyć dokumentację, w której zawarte zostaną informacje m.in. o liniach objętych projektem i ich podstawowej charakterystyce, planowanym wzorcu i wersji ERTMS, harmonogramie projektu, wykazie funkcji ERTMS do wdrożenia czy przepisach konstrukcyjnych i scenariuszach prób eksploatacyjnych wymaganych przez TSI Sterowanie. Ponadto dokumentacja powinna zawierać wszelkie dostępne na danym etapie dowody świadczące o zgodności z TSI podsystemu i składników interoperacyjności w nim zawartych. Jednak najważniejszym dokumentem, który będzie wypracowywany wspólnie przez Agencję i wnioskodawcę w ramach procesu preautoryzacji będzie tzw. rejestr problemów (ang. issues log). Na podstawie zgromadzonych dotychczas doświadczeń w projektach dotyczących wdrożenia ERTMS Agencja będzie proponowała wstępną listę problemów do rejestru, które mogą mieć wpływ na interoperacyjność podsystemu Sterowanie poprzez generowanie odstępstw w zachowaniu urządzeń przytorowych lub wymuszanie odmiennego zachowania podsystemu pokładowego. Lista ta będzie wcześniej znana, aby umożliwić wnioskodawcom przygotowanie się do procesu preautoryzacji. Rolą wnioskodawcy będzie dostarczenie dowodów, które potwierdzą, że każdy ze zidentyfikowanych problemów został w prawidłowy sposób rozwiązany. Wszystkie problemy będą przyporządkowywane do jednej z czterech kategorii: w toku, sprawa zamknięta, sprawa zamknięta warunkowo, sprawa zamknięta, ale w sposób niedopuszczalny. Agencja będzie weryfikować dostarczone przez wnioskodawcę dowody i na tej podstawie decydować o statusie poszczególnych problemów, a także na bieżąco ustalać z wnioskodawcą, jakie dokumenty należy przedłożyć. Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 15

Fot. archiwum redakcji Po zamknięciu wszystkich problemów ujętych w rejestrze, Agencja podejmie ostateczną decyzję w zakresie zatwierdzenia lub nie rozwiązań technicznych dla przytorowych urządzeń ERTMS. Warunkiem pozytywnej decyzji Agencji jest uznanie dokumentacji za kompletną i spójną, a także pozytywne zamknięcie wszystkich problemów w rejestrze. Jeżeli przynajmniej jeden z problemów został zamknięty warunkowo Agencja wyda decyzję pozytywną, ale zawierającą określone warunki do wdrożenia w projekcie. W przypadku gdy przynajmniej jeden z problemów ma status zamkniętego, ale w sposób niedopuszczalny, Agencja wyda decyzję negatywną. W takiej sytuacji wnioskodawca ma prawo się odwołać lub ponownie wystąpić o decyzję Agencji po stosownym skorygowaniu dokumentacji. W ramach procesu preautoryzacji ERTMS przewidziano również rolę dla Prezesa UTK jako krajowego organu ds. bezpieczeństwa. Prezes UTK będzie uprawniony do przekazania Agencji opinii odnośnie danego projektu i jego szczegółów technicznych, a także będzie miał wgląd do przebiegu procedury. W przypadku decyzji pozytywnej warunkowej rolą Prezesa UTK będzie dodatkowo weryfikacja realizacji warunków określonych przez Agencję na etapie wydawania zezwolenia na dopuszczenie do eksploatacji podsystemu. 16 / Biuletyn Certa Review 1 (3)/2018

Dyrektywa [3] określa terminy realizacji procesu preautoryzacji w ciągu miesiąca od złożenia wniosku Agencja jest zobowiązana do poinformowania, czy został on uznany za kompletny lub wskazania terminu uzupełnienia ewentualnych braków. Po skompletowaniu całej dokumentacji Agencja ma z kolei dwa miesiące na wydanie decyzji. Procedura preautoryzacji będzie również podlegała opłacie na zasadach określonych w przyszłym rozporządzeniu dotyczącym opłat i honorariów Agencji. Ryzyka i wątpliwości Proces preautoryzacji ERTMS będzie całkowicie nowym procesem realizowanym w ramach inwestycji dotyczących przytorowej części podsystemu Sterowanie, co w naturalny sposób przyczynia się do powstawania wątpliwości wśród podmiotów, które będą miały z nim styczność. Warto w tym miejscu zasygnalizować kilka z nich. Czytając dyrektywę [3] wydawać by się mogło, że proces preautoryzacji ERTMS powinien zakończyć się w ciągu kilku miesięcy. Warto w tym kontekście jednak zwrócić uwagę, że określając powyższe terminy dyrektywa posługuje się pojęciami nieostrymi, które pozostawiają swobodę w interpretacji, m.in. warunkują przejście do etapu wydania decyzji od uznania całej dokumentacji za spójną i kompletną oraz uzyskania dowodów dotyczących wszystkich zidentyfikowanych problemów. W świetle powyższego istnieje obawa, że etap gromadzenia dokumentacji będzie najsłabszym ogniwem procesu prowadzącym do nadmiernego przedłużania się realizacji całej procedury, co przełożyć się może na sprawność przebiegu inwestycji, a także prowadzić do podwyższenia jej kosztów. Odrębnym problemem jest również kwestia podejścia do inwestycji realizowanych w formule projektuj i buduj, gdzie dokumentacja dostępna na etapie poprzedzającym przetarg może być niewystarczająca dla uzyskania pozytywnej decyzji Agencji. Nie da się również ukryć, że problemem związanym z procesem preautoryzacji jest niejasny podział ról i obowiązków między Agencją i jednostką notyfikowaną, odpowiedzialną za weryfikację podsystemu Sterowanie urządzenia przytorowe. Istnieje ryzyko, że oceny realizowane przez oba te podmioty mogą się nakładać, co może dodatkowo komplikować proces inwestycyjny. Podsumowanie W niniejszym artykule w syntetyczny sposób zaprezentowane zostały podstawowe informacje dotyczące procesu zatwierdzania rozwiązań technicznych dla urządzeń przytorowych ERTMS (tzw. preautoryzacji ERTMS). Wskazano w nim również na pewne ryzyka i wątpliwości związane z nowym procesem. Niewątpliwie jest to jednak dopiero wstęp do dyskusji dotyczącej tego procesu, którego szczegóły jeszcze są doprecyzowywane i dla którego brak jest doświadczeń co do praktycznego jego stosowania. Analizując jednak problematykę preautoryzacji ERTMS trzeba zawsze pamiętać o celu, jaki przyświecał europejskiemu ustawodawcy w momencie wprowadzania takiego rozwiązania do przepisów dyrektywy [3]. Jest nim zapewnienie zharmonizowanego wdrożenia ERTMS w Unii Europejskiej, tak aby zbudowany system był w pełni interoperacyjny, a także przyczyniał się do podniesienia poziomu bezpieczeństwa systemu kolejowego. Osiągnięcie tego celu jest ze wszech miar pożądane, gdyż w pozytywny sposób wpłynie na korzyści wynikające z wdrażania nowoczesnego systemu sterowania ruchem kolejowym, jakim jest ERTMS. Należy zatem dążyć do tego, aby wypracowane procedury i przede wszystkim praktyka ich stosowania zminimalizo- 1 (3)/2018 Biuletyn Certa Review / 17

wała wszelkie ryzyka związane z nowym procesem, doprowadzając przy tym do osiągnięcia maksymalnych korzyści wynikających z zaangażowania w ten proces wysoce kompetentnego aktora w tym specjalistycznym obszarze, jakim jest Agencja Kolejowa Unii Europejskiej. Źródła 1. Rozporządzenie (WE) nr 881/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. ustanawiające Europejską Agencję Kolejową, Dz. Urz. UE L 164 z 30 kwietnia 2004 r., s. 1; Polskie wydanie specjalne: Rozdział 07, Tom 008, ss. 214-226. 2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/796 z dnia 11 maja 2016 r. w sprawie Agencji Kolejowej Unii Europejskiej i uchylenia rozporządzenia (WE) nr 881/2004, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 1. 3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/797 z dnia 11 maja 2016 r. w sprawie interoperacyjności systemu kolei w Unii Europejskiej, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 44. 4. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/798 z dnia 11 maja 2016 r. w sprawie bezpieczeństwa kolei, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 102. Fot. archiwum redakcji 18 / Biuletyn Certa Review 1 (3)/2018

5. Examples of variations and rules hindering ERTMS deployment (Przykłady wariacji i przepisów utrudniających wdrożenie ERTMS), Komisja Europejska, 21 listopada 2016 r., dokument dostępny na stronie internetowej Dyrekcji ds. Mobilności i Transportu KE: https:// ec.europa.eu/transport/modes/rail/ertms/ertms_deployment/dmt_en. 6. Zalecenie Komisji w sprawie wytycznych dotyczących zharmonizowanego wdrożenia europejskiego systemu zarządzania ruchem kolejowym w Unii, projekt ze stycznia 2018 r. Streszczenie Autorzy opisują nowe zadanie nałożone na Agencję Kolejową UE dyrektywą 2016/797. Będzie nim zatwierdzanie rozwiązań technicznych przytorowych urządzeń ERTMS (preautoryzacja). Co do zasady powinna się ona odbyć na etapie przedprzetargowym. Zezwolenie na dopuszczenie do eksploatacji podsystemu Sterowanie urządzenia przytorowe nadal pozostanie kompetencją krajowego organu ds. bezpieczeństwa. Przebieg procesu jest opisany w dyrektywie, natomiast uszczegółowienie procedury nastąpi w przygotowywanych przez Komisję Europejską zaleceniach. Preautoryzacja będzie się odbywała za pomocą opracowanego przez Agencję zamkniętego rejestru problemów, które mogą wpłynąć na interoperacyjność. Wnioskodawca będzie musiał dostarczyć dowody, że każdy ze zidentyfikowanych problemów został w prawidłowy sposób rozwiązany. Przydzielane będą cztery statusy. Po zamknięciu wszystkich problemów Agencja podejmie decyzję o zakresie zatwierdzenia rozwiązań technicznych dla przytorowych urządzeń ERTMS. Rolą Prezesa UTK w procesie preautoryzacji będzie opiniowanie zgłaszanych projektów oraz weryfikacja spełnienia przez Wnioskodawców zawartych w decyzjach Agencji warunków. Autorzy przedstawiają w artykule również ryzyka i wątpliwości co do opisanego procesu i niejasny podział zadań pomiędzy Agencję a Jednostki Notyfikowane. Słowa kluczowe Agencja Kolejowa UE, preautoryzacja ERTMS. Summary The authors describe the new task imposed on the EU Railway Agency by Directive 2016/797. This will be the approval of technical solutions for track-side ERTMS equipment (pre-approval). It will take place prior to tender stage. The national safety authority will continue to authorise the placing in service of the Control-Command and Signalling Track- -side Subsystem. The process is described in the Directive and the details of the procedure will be provided in the Agency s recommendations. Pre-approval will take place through a closed register, developed by the Agency, of problems which may affect interoperability. The applicant will have to provide evidence that each of the identified problems has been properly resolved. Four statuses will be assigned. Once all the problems have been resolved, the Agency will decide on the scope of the validation of the technical solutions for track-side ERTMS equipment. The role of the President of the UTK (Office of Railway Transport) in the pre-approval process will be to provide opinions on the submitted projects and to verify that the Applicants fulfil the conditions set out in the Agency s decisions. The authors also present risks and doubts concerning the described process and unclear division of tasks between the Agency and Notified Bodies. Keywords EU Railway Agency, ERTMS pre-approval. 1 (3)/2018 Biuletyn Certa Review / 19

Prof. dr hab. inż. Janusz Dyduch Wydział Transportu i Elektrotechniki Uniwersytet Technologiczno-Humanistyczny w Radomiu Fot. archiwum redakcji Zaniedbania o charakterze systemowym mogą prowadzić w przyszłości do wypadków kolejowych Po wypadku kolejowym pod Szczekocinami na łamach czasopisma Infrastruktura Transportu opublikowałem wraz z kolegami artykuł pod znamiennym tytułem Katastrofa kolejowa pod Szczekocinami skutkiem długoletnich zaniedbań o charakterze systemowym [1]. Mimo iż od tamtego czasu upłynęło sześć lat i pomimo iż zmieniło się prawo kolejowe, a także zmieniły się instytucje kolejowe, jak i sama kolej, wiele opisanych w artykule problemów pozostaje nadal aktualnych. 20 / Biuletyn Certa Review 1 (3)/2018

Tym bardziej, że przeżywamy bum inwestycji kolejowych, co jest absolutnie zjawiskiem pozytywnym, lecz niesie za sobą nowe wyzwania związane z bezpieczeństwem ruchu kolejowego. Przy natłoku zadań zapomina się często o tym, że w fazie projektowania i budowy kształtujemy przyszłe bezpieczeństwo modernizowanych tras i stacji. W niniejszym artykule znajdują się obszerne cytaty z treści analiz opublikowanych w 2012 roku. Jako motta do tamtego artykułu użyliśmy przesłania z inskrypcji kamiennej, autorstwa starożytnego mistrza, który powiedział, że ci, którzy wiedzą milczą; ci, którzy mówią, nie wiedzą, a prawdziwej siły nie widać. Skoro więc uważamy, że wiemy, musimy przerwać milczenie i ponownie wskazać na pojawiające się problemy systemowe, które oby nie były w przyszłości przyczyną tragicznych w skutkach wypadków kolejowych. Wypadek pod Szczekocinami był jedną z największych katastrof kolejowych w Polsce. Podnoszono wtedy fakt, że odcinek linii, na którym doszło do katastrofy, pomiędzy Starzynami i Sprową, o długości 21,5 km, był zmodernizowany [1]. Na tym szlaku zainstalowana została półsamoczynna, dwukierunkowa blokada jednoodstępowa, która pozwala na przebywanie tam tylko jednego pociągu. Obecnie instalowanych jest wiele blokad półsamoczynnych, które nie gwarantują odpowiedniego poziomu bezpieczeństwa i przepustowości. Gdyby ówcześnie zmodernizowano szlak pomiędzy Starzynami a Sprową w sposób kompletny, odpowiadający nowym standardom i zainstalowano tam blokadę samoczynną, dzieląc go np. na osiem odstępów chronionych semaforami, to nawet gdyby z obu wymienionych wyżej posterunków ruchu wyprawiono pociągi na sygnał zastępczy, nie doszłoby do katastrofy pociągi zatrzymałyby się najprawdopodobniej daleko przed miejscem, w którym doszło do zderzenia. Jednocześnie blokada samoczynna podniosłaby przepustowość tej części linii magistralnej [1]. Kolejnym problemem systemowym wskazanym w artykule jest prowadzenie ruchu na tzw. sygnał zastępczy. Sygnał zastępczy 1 powinien być, jeżeli już, wykorzystywany w wyjątkowych sytuacjach, ponieważ omija system zależnościowy. Podobna sytuacja dotyczy zużycia moralnego, a w wielu przypadkach i technicznego, urządzeń radiołączności pociągowej, która jest częścią systemu bezpieczeństwa poprzez tzw. radio-stop 2, umożliwiający zatrzymanie wszystkich pociągów znajdujących się w danym obszarze sterowania. W Polsce nigdy nie wdrożono skutecznych systemów zabezpieczenia pociągów (ATP 3 ). Skutecznym systemem nie jest ani system SHP (samoczynne hamowanie pociągu), ani czuwak aktywny 4, ani radio-stop [1], a wdrożenie systemu ETCS, mimo upływu lat, jest nadal w fazie początkowej. Jeden z pierwszych na świecie systemów oddziaływania tor-pojazd opracowano i wdrożono w Niemczech w latach trzydziestych ubiegłego wieku [2]. Było to tzw. Indusi 5 (obecna nazwa PZB 6 ), czyli punktowy system oddziaływania tor-pojazd. Indusi wykorzystuje indukcję elektromagnetyczną do transmisji informacji z toru do pojazdu jest oscylatorem (znanym pod nazwą elektromagnesu przytorowego) uzależnionym od semafora poprzez styk przekaźnika. Do dyspozycji są trzy częstotliwości: 500, 1000 i 2000 Hz. Na pokładzie pojazdu trakcyjnego znajdują się trzy obwody aktywne o tych samych częstotliwościach, które połączone są z elektromagnesem pojazdowym. System ma za zadanie kontrolować czy maszynista prawidłowo wdraża informacje wyświetlane na sygnalizatorach przytorowych. Podstawową funkcją systemu jest zabezpieczenie pociągu przed przejechaniem sygnału Stój, a tym samym zabezpieczenie przed potencjalną katastrofą kolejową. Elektromagnes o częstotliwości rezonansowej 1000 Hz instalowany jest 1000 m przed semaforem w osi tarczy ostrzegawczej, elektromagnes o częstotliwości rezonansowej 500 Hz 250 m przed semaforem, 1 (3)/2018 Biuletyn Certa Review / 21

a rezonator 2000 Hz instalowany jest w osi semafora. Tak usytuowane elektromagnesy pozwalają na kontrolę hamowania. Po przejechaniu nad uaktywnionym przez sygnał Stój elektromagnesem 1000 Hz w ciągu czterech sekund maszynista musi nacisnąć przycisk czujności. W przeciwnym przypadku następuje wdrożenie hamowania nagłego. Dodatkowo system kontroluje proces hamowania. Prędkość pociągu musi przez cały czas być mniejsza od prędkości pozwalającej na zatrzymanie pociągu w zadanej odległości. Zmiana sygnału na zezwalający powoduje, że po przejechaniu rezonatora 500 Hz hamowanie może zostać zwolnione, natomiast niedopuszczalne zwolnienie hamowania przez maszynistę spowoduje wdrożenie hamowania nagłego. Tak więc, gdy semafor ustawiony jest na Stój urządzenia pokładowe blokują dalszą jazdę pociągu. W wyniku rozwoju systemów ATP w Niemczech opracowano system LZB 7 pozwalający na ciągłe przekazywanie informacji z toru do pojazdu. System oparty jest o pętle indukcyjne instalowane w torze. W latach sześćdziesiątych ubiegłego wieku wdrożono na polskiej sieci kolejowej system SHP jako zubożoną, jednoczęstotliwościową wersję niemieckiego Indusi. Oscylator (elektromagnes przytorowy) instaluje się 200 m przed tarczami ostrzegawczymi oraz przed semaforami na szlaku, natomiast na stacji umieszcza się go na wysokości semaforów. Oscylator jest autonomiczny, to znaczy, że nie jest on uzależniony od sygnalizatora. Jego zadaniem, teoretycznie, jest wzmocnienie czujności maszynisty przed dojazdem do semafora. W przypadku nie skasowania stanu alarmu wywołanego przez wzbudzone obwody pokładowe, pociąg zatrzyma się automatycznie. Brak uzależnienia od semafora jest jego dyskwalifikującą wadą, gdyż były przypadki uruchomienia przycisku SHP i przejechania semafora, na którym był sygnał zabraniający. Niezależnie od sygnałów wyświetlanych na semaforze, SHP i czuwak aktywny generują naprzemiennie nieustanny alarm, który musi być kasowany przez maszynistę. Po latach może to powodować niekontrolowany odruch, z psychologicznego punktu widzenia niebezpieczny w stanach zmęczenia lub rozkojarzenia maszynisty. Na przełomie lat osiemdziesiątych i dziewięćdziesiątych ubiegłego wieku ówczesne Centrum Naukowo-Techniczne Kolejnictwa (obecnie Instytut Kolejnictwa) opracowało system kontrolowanego hamowania pociągu KHP, a przedsiębiorstwo państwowe PKP zainstalowało urządzenia przytorowe tego systemu na północnym odcinku magistrali węglowej i wyposażyło kilka lokomotyw w urządzenia pokładowe. System wykorzystywał istniejące SHP oraz kodowane amplitudowo obwody torowe. Wybór określonej filozofii działania oraz sposobu kodowania sygnałów spowodowały, że system okazał się zawodny i powodował liczne zakłócenia w ruchu. Ostatecznie z szerszego wdrożenia systemu zrezygnowano, a urządzenia na linii próbnej zdemontowano [1]. W 1993 roku uruchomiono odcinek próbny punktowego systemu oddziaływania tor- -pojazd EBICAB-900 na 25-kilometrowym odcinku Centralnej Magistrali Kolejowej. Podstawowym elementem systemu był transponder (balisa), instalowany w osi toru i uzależniony od sygnałów wyświetlanych na semaforze. Wyposażono w systemy pokładowe kilka lokomotyw EP 09. Mimo iż na owe czasy system był nowoczesny i stał się protoplastą europejskiego systemu ETCS 8 (poziom 1) nie został wdrożony do normalnej eksploatacji. W większości krajów Europy jednak opracowano i wdrożono systemy narodowe: Niemcy PZB, LZB; Włochy BACC 9 /SCMT 10 ; Francja Crocodile, TVM 11 /KVB 12 ; Belgia, Luksemburg Crocodile; Szwajcaria Integra Signum/ZUB; Wielka Brytania AWS 13 ; Czechy, Słowacja LS-90 (odmiana PZB); Holandia ATB 14 ; Rumunia, Austria, Turcja, kraje byłej Jugosławii PZB; Szwecja EBICAB; Hiszpania ASFA. 22 / Biuletyn Certa Review 1 (3)/2018

Fot. archiwum redakcji Trzeba podkreślić, że aby system ATP był efektywny jego stan musi być uzależniony od sytuacji ruchowej, w praktyce oznacza to, że jest on połączony z semaforem lub systemem sterowania ruchem (systemem stacyjnym lub blokadą liniową). Od początku lat dziewięćdziesiątych ubiegłego wieku w Europie rozpoczęto prace nad ponadnarodowym systemem ATP (ETCS), zadaniem którego miało być zastąpienie w przyszłości narodowych systemów. Pierwotną koncepcją było także stworzenie wspólnego, paneuropejskiego systemu sterowania i zarządzania ruchem kolejowym ERTMS 15. Początkowo specyfikacja techniczna zmieniała się co kilka lat tak znacznie, że trudno było mówić o kompatybilności pomiędzy wersjami systemu. Specyfikacje zmieniają się do dziś, a baza komunikacyjna poziomu drugiego GSM-R stała się w międzyczasie przestarzała. Uważa się jednak, że system osiągnął dojrzałość techniczną. Kilkanaście lat temu rozpoczęto jego wdrażanie w wielu krajach Europy, m.in. we Francji (nowa linia TGV do Strasburga), Niemczech, Holandii, Szwajcarii, Czechach, ale także na Tajwanie, w Południowej Korei, Chinach, Arabii Saudyjskiej, Turcji, Indiach, Australii i Meksyku. W obecnej postaci system ERTMS zasadniczo umożliwia tylko sterowanie ruchem kolejowym. Warstwa zarządzania systemem kolejowym nie została opracowana. Pełny system ERTMS składa się z GSM-R (Global System for Mobile Communications Railway) i ETCS (European Train Control System). Można rozróżnić trzy poziomy rozwoju systemu ERTMS: Poziom 1 Na istniejący system sygnalizacji przytorowej nałożony jest system balis i koderów będący de facto punktowym systemem oddziaływania tor-pojazd. Detekcja pociągu odbywa się w sposób klasyczny przez obwody torowe lub liczniki osi. Transmisja do pojazdu realizowana jest za pośrednictwem balis 16 oddziaływanie punktowe lub przy pomocy pętli Euroloop oddziaływanie quasi-ciągłe. Balisa może być połączona z sygnalizatorem przytorowym przy pomocy kodera lub bezpośrednio do systemu sterowania ruchem kolejowym za pomocą bezpiecznej transmisji. 1 (3)/2018 Biuletyn Certa Review / 23

Poziom 2 Transmisja do i z pociągu odbywa się za pośrednictwem systemu GSM-R. Stacje bazowe montowane są wzdłuż linii kolejowej 17 i zapewniają pełne pokrycie linii kolejowej sygnałem radiowym. W przypadku poziomu 2 nie jest konieczne budowanie klasycznej sygnalizacji przytorowej. Konieczne jest jednak stosowanie klasycznych systemów detekcji pociągu w celu kontroli integralności składu. Dokładna informacja o położeniu pociągu jest pozyskiwana z wiedzy o położeniu balis oraz z odometrów 18 pokładowych. Zastosowanie ERTMS poziom 2 na liniach o dużej gęstości ruchu pozwala na dalsze jego zwiększenie o ok. 15%. Poziom 3 Transmisja do i z pociągu odbywa się poprzez GSM-R. System poziomu 3 obejmuje balisy do celów detekcji pociągu 19 oraz pokładowy system kontroli ciągłości składu. Zakłada się, że ruch pociągów w systemie ERTMS poziomu 3 prowadzony jest wyłącznie przy pomocy radia i urządzeń pokładowych, wypracowujących informacje o wolnej drodze przed pociągiem i prędkości pociągu wzdłuż szlaku. Jak dotychczas nie wdrożono żadnego systemu ERTMS o filozofii poziomu 3. Integralną częścią systemu ERTMS jest GSM-R. GSM-R zapewnia następujące funkcje: cyfrową transmisję danych transmisja GSM-R wykorzystywana jest do sterowania ruchem pociągu, ale także dostępna jest dla innych aplikacji, np. śledzenie pojazdów i ładunków, gromadzenie danych dla potrzeb służb utrzymania, cyfrową łączność między dyżurnym ruchu i maszynistą, zapewniającą zarówno połączenia głosowe dwóch abonentów, jak i połączenia konferencyjne 20, adresowanie funkcjonalne (np. numerami pociągów) i zależne od lokalizacji (np. maszynista po wybraniu połączenia łączony jest z dyżurnym ruchu właściwym dla aktualnego położenia pociągu), wywołania grupowe i wywołania priorytetowe, w tym możliwość generowania alarmu poprzez wciśnięcie jednego, sprzętowo wyróżnionego przycisku. Podsumowując system ERTMS umożliwia: podniesienie poziomu bezpieczeństwa ruchu pociągów, zwiększenie zdolności przepustowej linii kolejowych, dostosowanie urządzeń łączności do standardów międzynarodowych, podniesienie jakości przewozów w związku z możliwością uruchomienia dodatkowych usług przy wykorzystaniu łączności GSM-R. Obydwa podsystemy, ETCS i GSM-R, są istotnymi składnikami europejskiej polityki likwidacji barier w transporcie, zarówno w wymiarze technicznym, jak i w zakresie kreowania wspólnego rynku kolejowego. Zakłada się, że ETCS w Unii Europejskiej (system klasy A) powinien zastąpić w przyszłości systemy narodowe, tzw. systemy klasy B, a GSM-R narodowe systemy łączności pociągowej. Zakłada się również, że ETCS nie wymaga unifikacji krajowych przepisów, pozwalając zarządcom narodowych infrastruktur kolejowych na zdefiniowanie dodatkowych własnych parametrów systemu tzw. zmiennych narodowych, zapewniając kompatybilność z lokalnymi przepisami i infrastrukturą. 6 marca 2007 r. Rada Ministrów przyjęła Narodowy Plan Wdrażania Europejskiego Systemu Zarządzania Ruchem Kolejowym (NPW ERTMS). Łącznie nakłady na GSM-R miały wynieść 4,6 mld zł dla wyposażenia około 15 000 km linii kolejowych i ponad 3 777 pojazdów trakcyjnych. 24 / Biuletyn Certa Review 1 (3)/2018

19 grudnia 2008 r. Rada Ministrów podjęła uchwałę w sprawie przyjęcia strategii ponadregionalnej Master Planu dla transportu kolejowego w Polsce do 2030 roku. Ogółem, według NPW ERTMS w 2008 i 2009 r. ponad 5 000 km linii miało być już wyposażone w system GSM-R. Jednak do marca 2018 roku nie wdrożono systemu GSM-R. Oznacza to, że ówczesny plan był nierealistyczny, a rozpoczęcie wdrażania GSM-R w Polsce jest opóźnione w chwili obecnej o ponad 10 lat, przy założeniu, że obecne projekty w wyniku rozstrzyganych przetargów zakończą się sukcesem. Dostawcy elementów już przestarzałego systemu GSM-R gwarantują dostępność podzespołów do roku 2030. Europejska Agencja Kolejowa (ERA 21 ) zapowiada zmianę standardu w najbliższych latach. Nowy standard wykorzysta najnowsze technologie transmisji danych, obecnie już wdrożone w publicznych sieciach GSM. Mimo upływu czasu przy prowadzeniu prac modernizacyjnych ciągle zastanawia skłonność do odtwarzania przeszłości bez spojrzenia w przyszłość, co rodzi dodatkowe, przesunięte w czasie, koszty nieprzewidzianych wcześniej zmian (aktualizacji), choć były one w momencie planowania budowy przewidywalne [1]. PKP PLK ma obowiązek wdrożenia na liniach magistralnych systemu ERTMS, mającego zapewnić interoperacyjność oraz podnieść poziom bezpieczeństwa. Wdrożenie części przytorowej (balisy, stacje bazowe, radioblok) jest warunkiem sine qua non, lecz niewystarczającym. Konieczne jest wyposażenie taboru w pokładową część systemu. Wysokie koszty doposażenia istniejących pojazdów oraz konieczność ponownej ich homologacji stanowią finansową barierę dla przewoźników. Bez wsparcia państwa nie będzie możliwe wdrożenie rzeczywiście funkcjonującego systemu ERTMS, nawet jeżeli linie zostaną wyposażone w urządzania przytorowe. Podejście systemowe [1] Jak wykazano powyżej, znaczenie podejścia systemowego do kolei z punktu widzenia bezpieczeństwa jest nie do przecenienia, i to w różnych aspektach. W aspekcie modernizacji Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 25

sieci należy wdrożyć specyfikację podstawowych wymagań w celu modernizacji i budowy nowych linii, które zapewnią odpowiednie standardy bezpieczeństwa i przepustowości. Postulowaliśmy w 2012 roku, aby to UTK był za to odpowiedzialny jako organ niezależny od zarządcy infrastruktury. Obserwując ostatnie sześć lat jest pewne, że bez wdrożenia takiej specyfikacji nie uniknie się tendencji do ekstrapolacji przeszłości to znaczy przywracania w nowej technice komputerowej parametrów sieci, jakie obowiązywały kilkadziesiąt lat temu [1]. Potencjał bezpieczeństwa zawarty jest strukturalnie w sposobie, w jaki podchodzimy do modernizacji linii kolejowych. Jeżeli nawet zastosowane składniki systemu są bezpieczne, nie oznacza to automatycznie, że cały system jest bezpieczny. Przez system rozumiemy tu układ nie tylko techniczny, ale i system organizacji ruchu, utrzymania, itd. Patrząc jednak z punktu widzenia techniki, nowe problemy rodzą się przy powiązaniu starych systemów z nowo zabudowywanymi oraz przy wykorzystaniu tzw. staroużytecznych elementów infrastruktury kolejowej przeniesionych do innych lokalizacji, np. samoczynnych sygnalizacji przejazdowych, które zostały kiedyś dopuszczone do stosowania, lecz nie spełniają obecnych standardów. Samym problemem staje się tu nowa lokalizacja. Jako kolejny przykład można podać systemy przekaźnikowe typu E. System taki jest indywidualnie opracowywany dla konkretnego zastosowania i powinien posiadać dowód bezpieczeństwa 22 i to w konfiguracji w jakiej pracuje, tzn. ze wszystkimi powiązaniami zewnętrznymi. Powinien być budowany z przekaźników kolejowych pierwszej klasy (bezpiecznych). Problem w tym, że w obecnej dobie jest coraz mniej specjalistów znających się na projektowaniu i budowaniu takich systemów, a ci co się jeszcze na tym znają, są przeważnie w podeszłym wieku. Trzeba także wspomnieć o zatrważającej liczbie modernizacji wykonywanych metodą tzw. łatania urządzenia mechaniczne uzupełnia się o rzekomo nową logikę typu E, przy jednoczesnej realizacji części funkcji w nowej komputerowej technologii, np. przez liczniki osi. Fot. archiwum redakcji 26 / Biuletyn Certa Review 1 (3)/2018

Z punktu widzenia oceny bezpieczeństwa i certyfikacji kluczową rolę odgrywają jednostki NoBo 23, AsBo 24 i DeBo 25. Linia kolejowa lub stacja, traktowana jako całość (jako system), podlega ocenie czy spełnia wymagania zasadnicze już w fazie projektu. A zatem, najogólniej rzecz ujmując, od jakości współpracy pomiędzy Jednostką a Wykonawcą (projektantem lub realizatorem) zależy bezpieczeństwo ruchu kolejowego po oddaniu przedmiotowego obiektu do eksploatacji. Nie będzie można mówić o jakości, jeżeli Jednostka jest w jakiś sposób zależna od ocenianego Wykonawcy robót (firmy realizującej lub projektującej). Tymczasem w Polsce przyjęto model, że za prace Jednostki płaci Wykonawca. W takim układzie można poddać w wątpliwość faktyczną niezależność Jednostki Notyfikowanej. W wyniku nacisków lub wręcz gróźb, że Jednostka Notyfikowana w przyszłości nie otrzyma zlecenia i nie przetrwa na rynku (takie fakty miały już miejsce) może się okazać, że niektóre błędy nie zostaną ujawnione i poprawione. Skutkiem może być poważna katastrofa kolejowa, porównywalna z tą z roku 2012. Za bezpieczeństwo ruchu kolejowego odpowiada zarządca infrastruktury kolejowej i ma on wdrożone odpowiednie procedury SMS 26. W przypadku PKP PLK dostawcy elementów infrastruktury kolejowej weryfikowani są przez wewnętrzną procedurę SMS-PW-17. W przypadku budowy podsystemu na gruncie, za wydanie ostatecznego zezwolenia odpowiedzialny jest Urząd Transportu Kolejowego, na podstawie ocen przeprowadzonych przez wybraną Jednostkę Notyfikowaną. Trzeba zatem z naciskiem powtórzyć, że to od prawidłowej współpracy pomiędzy Jednostką a Wykonawcą zależy jakość podsystemów. Czy zatem system polegający na tym, że to Wykonawca robót torowych płaci Jednostce Notyfikowanej za przeprowadzenie oceny zgodności jest prawidłowy? Zamiast zakończenia W 2012 roku pisaliśmy, że właściwy rozwój infrastruktury wymaga rocznej podaży projektów (przeprowadzonych przetargów i podpisanych umów z wykonawcami) na poziomie co najmniej 10 mld złotych (2-3 mld ) [1]. Ten poziom, według oficjalnych informacji PKP PLK, będzie osiągnięty w bieżącym roku. Wydatkowanie tak dużych sum musi cechować się jednak ogromną odpowiedzialnością za cały cykl życia systemu jego aspekty ekonomiczne i bezpieczeństwo. Drogą do zapewnienia właściwych standardów teraz i w przyszłości jest jakość urządzeń i wykonania prac. Miarą jakości systemu kolejowego jest RAMS 27, o którym jest mowa w innych artykułach tego wydania Biuletynu. RAMS zakłada podejście systemowe, na każdym etapie życia produktu. Prawidłowo przeprowadzona przez Jednostkę Notyfikowaną ocena jest konieczna w celu upewnienia się zarządcy infrastruktury oraz UTK, że wszystkie prace na każdym etapie modernizacji lub budowy nowej linii zostały wykonane zgodnie z wymaganiami zawartymi w europejskich i krajowych standardach technicznych, a system jest bezpieczny. Dokumentacja certyfikacyjna jest bardzo obszerna i technicznie skomplikowana i może stanowić duże wyzwanie. Prace UTK mogą być wsparte niezależnymi specjalistami technicznymi ze Stowarzyszenia Inżynierów i Techników Komunikacji RP (SITK RP). Jakość przeprowadzanych ocen leży w interesie wszystkich, ponieważ zapewnienie bezpieczeństwa w ruchu kolejowym jest podstawowym wymogiem dla wszystkich uczestników biorących udział w realizacji inwestycji kolejowych. Źródła 1. Dyduch J., Cholewa A., Burak A.: Katastrofa kolejowa pod Szczekocinami skutkiem długoletnich zaniedbań o charakterze systemowym, Infrastruktura Transportu, 2012, 2, ss. 24-29. 2. Theeg G., Vlasenko S.: Railway Signalling & Interlocking, Eurailpress, 2009. 1 (3)/2018 Biuletyn Certa Review / 27

Przypisy 1 Sygnał zastępczy (światło białe migające) umożliwia wjazd na tor z pominięciem systemu zależnościowego, wykluczającego przebiegi kolizyjne. Sygnał zastępczy może być zastosowany, gdy systemy detekcji pociągu, np. z powodu awarii lub błędu urządzeń, sygnalizują zajęty tor, chociaż tor ten w rzeczywistości jest wolny. Uważa się, że funkcja sygnału zastępczego jest uwarunkowana historycznie i powstała na skutek niskiej niezawodności systemów detekcji pociągu (przeważnie obwodów torowych). Podanie sygnału zastępczego wiąże się proceduralnie przede wszystkim z upewnieniem się, czy tor jest wolny, oraz wykonaniem szeregu dodatkowych czynności jak np. nawiązanie łączności telefonicznej z sąsiednim posterunkiem ruchu. Podanie sygnału zastępczego powinno być automatycznie rejestrowane przez system. 2 Radio-stop nagłe hamowanie pociągu aktywowane przez radio (analogowe 150 MHz, sygnał alarmowy jest specjalnie uformowany na częstotliwości akustycznej). System służy do nagłego (awaryjnego) zatrzymania wszystkich pociągów w obszarze zasięgu nadajnika generującego sygnał alarmowy. Stosowany jest w przypadku zajścia wydarzeń o charakterze katastroficznym np. wykolejenie pociągu, pociągi na tym samym torze, uszkodzenie toru. W takich sytuacjach maszynista ma sekundy lub ułamki sekund na wciśniecie przycisku znajdującego się na obudowie radia pociągowego. Dyżurny ruchu może również aktywować radio-stop. System radio-stopu ma za zadanie ograniczyć skutki zdarzeń nieprzewidywalnych. 3 ATP ang. Automatic Train Protection automatyczne zabezpieczenie pociągu. 4 Czuwak aktywny jest stochastycznym generatorem sygnału alarmowego. Ma za zadanie zahamować pociąg w przypadku braku reakcji maszynisty (choroba lub zgon). W innych zarządach kolejowych znany pod angielską nazwą dead man (nieboszczyk) 5 Indusi niem. Induktive Zugsicherung indukcyjne zabezpieczenie pociągu. 6 PZB niem. Punktförmige Zugbeeinflussung system punktowego oddziaływania na pociąg. 7 LZB niem. Linienförmige Zugbeeinflussung system ciągłego oddziaływania na pociąg. 8 ETCS ang. European Train Control System europejski system prowadzenia pociągu (ATP). 9 BACC wł. Bloco Automatico Correnti Codificati system tor-pojazd na bazie obwodów torowych 50 Hz modulowanych przebiegiem 4 Hz pozwalający na transmisję do pojazdów sygnałów przytorowych. 10 SCMT wł. Sistema per il Controllo della Marcia del Treno system oddziaływania tor- -pojazd na bazie balis i obwodów torowych. 11 TVM fr. Transmission Voie Machine system transmisji tor-pojazd. 12 KVB fr. Contrôle de Vitesse par Balises kontrola prędkości poprzez balisy. 13 AWS ang. Automatic Warning System automatyczny system ostrzegania wprowadzony w Wielkiej Brytanii w 1956 r. 14 ATB nl. Automatische TreinBeïnvloeding system automatycznego prowadzenia pociągu wprowadzony na kolejach holenderskich (NS) w latach 50. ubiegłego wieku. 15 ERTMS ang. European Train Traffic Management System Europejski System Zarządzania Ruchem Kolejowym. 16 Balisa (lub baliza) to transponder (nadajnik/odbiornik krótkiego zasięgu) montowany w torze w celu przekazania do przejeżdżającego pojazdu informacji ruchowej. Nadawanie z pojazdu odbywa się na częstotliwości 27 095 MHz, a odbiór (odpowiedź z balisy) na częstotliwości 4 234 MHz. 28 / Biuletyn Certa Review 1 (3)/2018

17 Można przyjąć, że stacje bazowe instalowane są ok. trzykrotnie gęściej niż w klasycznym systemie GSM. 18 Odometr urządzenie do pomiaru drogi. 19 Informacja o swoim położeniu przekazywana jest przez pociąg do systemu zależnościowego przez radio. 20 Stosowany obecnie w Polsce system radiokomunikacji kolejowej to system analogowy, simpleksowy, wymagający od maszynistów ręcznego przełączania kanałów co około 10 kilometrów, zapewniający w poszczególnych komórkach łączność rozgłoszeniową (wszyscy słyszą wszystkich). 21 ERA ang. European Union Agency for Railways. 22 Bezdyskusyjne jest posiadanie świadectwa dopuszczenia typu oraz deklaracji zgodności z typem wydanymi zgodnie z Rozporządzeniem Ministra Nr 720. 23 NoBo ang. Notyfied Body jednostka notyfikowana. 24 AsBo ang. Assessment Body jednostka oceniająca. 25 DeBo ang. Derrogation Body jednostka uprawniona do przeprowadzania oceny narodowych systemów nieobjętych wymaganiami TSI. 26 SMS ang. Safety Management System system zarządzania bezpieczeństwem. 27 RAMS ang. Reliability, Availability, Maintanability and Safety niezawodność, dostępność techniczna, podatność utrzymaniowa i bezpieczeństwo. Streszczenie Mimo, że od wypadku kolejowego pod Szczekocinami upłynęło 6 lat, wiele problemów i zaniedbań jest nadal aktualnych. Należą do nich niekompletne modernizacje, nie gwarantujące 100% bezpieczeństwa, zbyt częste prowadzenie ruchu na sygnały zastępcze, czy wreszcie brak wdrożonych skutecznych systemów zabezpieczenia pociągów, a wdrażanie ETCS jest dopiero w fazie początkowej. Do modernizacji i zapewnienia bezpieczeństwa ruchu kolejowego należy podejść systemowo, czyli oprócz układów technicznych należy zająć się problemami organizacji ruchu i problemami utrzymania. Drogą do zapewnienia właściwych standardów jest RAMS oraz prawidłowa weryfikacja podsystemu sterowanie przez kompetentne i odpowiedzialne Jednostki Notyfikowane. Słowa kluczowe Systemy zabezpieczenia pociągów, ETCS, GSM-R, ERTMS, RAMS, Jednostki Notyfikowane. Summary Although 6 years have passed since the railway accident in Szczekociny, many problems and negligence remain. These include incomplete upgrades which do not guarantee 100% safety, too frequent substitution of traffic for back-up signals and, last but not least, the lack of effective train protection systems in place, and the implementation of ETCS is only at an early stage. Modernisation and safety of railway traffic must be approached in a systemic way, i.e. in addition to technical systems, the problems of traffic organisation and maintenance must be addressed. The means to ensure that the relevant standards are met is with RAMS and the correct verification of the control subsystem by the competent and responsible Notified Bodies. Keywords Train protection systems, ETCS, GSM-R, ERTMS, RAMS, Notified bodies. 1 (3)/2018 Biuletyn Certa Review / 29

Maciej Śmieszek Dyrektor Jednostki Certyfikującej CERTA m.smieszek@certa-eu.pl Fot. archiwum redakcji Procedura weryfikacji WE podsystemu Sterowanie urządzenia przytorowe różnice i podobieństwa w stosunku do weryfikacji innych podsystemów Weryfikacje WE podsystemów przebiegają według tych samych, określonych procedur, opisanych w tzw. modułach oceny zgodności. Mimo to weryfikacje WE poszczególnych podsystemów, zwłaszcza podsystemu Sterowanie urządzenia przytorowe, różnią się od siebie. Znajomość tych różnic pozwala na antycypowanie problemów i sprawniejsze przeprowadzenie procedur oceny. Dyrektywa 2008/57/WE o interoperacyjności jest dyrektywą opartą na tzw. nowym i globalnym podejściu do harmonizacji technicznej. Te zasady regulacyjne dotyczą całego jednolitego rynku europejskiego i są wspólne dla wszystkich (ok. trzydziestu) dyrektyw europejskich opartych na tym podejściu. Nowe podejście dotyczy przede wszystkim sposobu formułowania wymagań dot. danego aspektu lub rodzaju wyrobów. Globalne podejście odnosi się do formułowania zestawu jednolitych zasad oceny dla poszczególnych dyrektyw. 30 / Biuletyn Certa Review 1 (3)/2018

Standaryzacja procedur oceny zgodności polegała na określeniu, na podstawie dotychczasowych doświadczeń, zestawu stałych, skonsolidowanych procedur, tzw. modułów oceny zgodności. Moduły są specyficznymi procedurami oceny, których przeprowadzenie (w niektórych przypadkach kompletny proces oceny wymaga połączenia dwóch modułów) pozwala na wykazanie zgodności danego wyrobu z zasadniczymi wymaganiami. Określone przepisy (w przypadku kolei są to Techniczne Specyfikacje Interoperacyjności TSI) wskazują jakie moduły oceny zgodności mogą być użyte w odniesieniu do poszczególnych wyrobów i/lub etapów oceny. W roku 2008 w celu zapewnienia właściwej ochrony interesu publicznego związanego z zapewnieniem bezpieczeństwa produktów wprowadzanych na jednolity rynek wewnętrzny podjęto decyzję o ustanowieniu tzw. nowych ram prawnych. Nowe ramy prawne (z ang. new legislation framework NLF) zostały ustanowione poprzez publikację trzech komplementarnych aktów prawnych o charakterze horyzontalnym (wspólnym dla różnych dziedzin gospodarki) i komplementarnym względem siebie. Rozporządzenie (WE) nr 765/2008 dotyczy zasad akredytacji i nadzoru rynku. Decyzja 768/2008/WE 1 zastąpiła dotychczasową decyzję modułową z 1993 r. wprowadzając aktualizacje do dotychczasowych modułów, ale też określając m.in. zasady notyfikacji i autoryzacji jednostek oceny zgodności. Ostatni z przepisów (zasadniczo nie mający zastosowania do rynku kolejowego) to Rozporządzenie (WE) nr 764/2008 ustanawiające procedury dotyczące stosowania niektórych krajowych przepisów technicznych do produktów legalnie wprowadzanych do obrotu w innym kraju UE. Pomimo ustanowienia wspólnych modułów oceny zgodności (tzw. generic modules) dla całego rynku europejskiego, na potrzeby kilku dyrektyw ustanowiono osobne procedury oceny, odchodząc tym samym od globalnego podejścia. Tak też stało się w przypadku dyrektywy o interoperacyjności, na potrzeby której w roku 2010 opublikowano Decyzję Komisji WE 2010/713/UE 2. Moduły określone w tej decyzji są bardzo podobne do tych, które zostały opisane w decyzji 768/2008/WE, jakkolwiek nie ma pomiędzy nimi prostej, bezpośredniej korelacji, w szczególności na poziomie podsystemów (dokładne korelacje określa załącznik III do decyzji 2010/713/UE). W decyzji 2010/713/UE (nazywanej w dalszej części artykułu decyzją modułową) określono w sumie 15 modułów oceny zgodności dla składników interoperacyjności i podsystemów. Moduły oceny zgodności dotyczące składników interoperacyjności posiadają oznaczenie literowe zaczynające się od litery C, co pochodzi od angielskiego constituent, czyli składnik. Moduły dotyczące podsystemów zaczynają się od litery S, od angielskiego subsystem, czyli podsystem. Procedury oceny (weryfikacji WE) poszczególnych podsystemów są takie same, mimo różnic występujących pomiędzy poszczególnymi podsystemami. Różnice te powodują, że ocena poszczególnych podsystemów, nawet w ramach tych samym modułów oceny zgodności, prowadzona jest często w nieco odmienny sposób, a treść samych modułów wymaga wielu uzupełnień, założeń i odpowiedniej interpretacji zapisów. Między innymi to jest powodem właśnie rozpoczynających się prac nad rewizją dotychczasowej decyzji modułowej. W celu wykazania różnic w ocenie zgodności w niniejszym artykule skupimy się na porównaniu oceny podsystemu Sterowanie urządzenia przytorowe z doświadczeniami z oceny podsystemu Infrastruktura i Energia. Te trzy podsystemy określane są jako podsystemy stałe (z ang. fixed instalations), czyli związane z gruntem w przeciwieństwie do podsystemów mobilnych, związanych z pojazdami kolejowymi. Charakter oceny podsystemów stałych jest dość zbliżony. Często są one także przedmiotem tych samych inwestycji kolejowych, które swo- 1 (3)/2018 Biuletyn Certa Review / 31

im zakresem obejmują np. prace w torze kolejowym i peronach (podsystem Infrastruktura ), wymianę sieci trakcyjnej (podsystem Energia ) oraz wymianę urządzeń sterowania ruchem kolejowym (podsystem Sterowanie urządzenia przytorowe ). Tab. 1. Moduły stosowane do weryfikacji WE podsystemów stałych Podsystem Moduł Nazwa modułu CCT Moduł SB Badanie typu WE CCT Moduł SD Weryfikacja WE na podstawie systemu zarządzania jakością w procesie produkcji CCT Moduł SF Weryfikacja WE na podstawie weryfikacji produktu CCT, ENE, INF Moduł SG Weryfikacja WE w oparciu o weryfikację jednostkową CCT, ENE, INF Moduł SH1 Weryfikacja WE w oparciu o pełny system zarządzania jakością oraz badanie projektu Do oceny każdego z trzech tzw. podsystemów stałych może być użyty moduł SG lub moduł SH1, przy czym moduł SG jest stosowany najczęściej w ocenie każdego z tych podsystemów (moduł SH1 nie jest praktycznie w ogóle wykorzystywany), stąd będzie on stanowił podstawę rozważań na temat różnic w ocenie podsystemu Infrastruktura (INF) i Energia (ENE), względem podsystemu Sterowanie urządzenia przytorowe (CCT). Świadomość różnic występujących w ocenie podsystemu pozwala na wcześniejszą identyfikację potencjalnych problemów, przyjęcie właściwych interpretacji, ułatwia wzajemne zrozumienie wymagań oraz dobór najbardziej optymalnych rozwiązań. Dzięki temu przeprowadzenie weryfikacji WE podsystemu Sterowanie urządzenia przytorowe może być sprawniejsze i szybsze. W dalszej części artykułu zostanie omówionych kilka wybranych aspektów wskazujących na znaczne różnice w ocenie podsystemów. Definicja i charakter podsystemu Definicje podsystemów określa załącznik II do dyrektywy 2008/57/WE. Podsystemy Infrastruktura i Energia są zdefiniowane poprzez określenie zakresu rzeczowego (np. perony, tory, system elektryfikacji) wchodzącego w te podsystemy. Podsystem Sterowanie urządzenia przytorowe zdefiniowano jako: wszelkie urządzenia niezbędne do zapewnienia bezpieczeństwa oraz sterowania ruchem pociągów na sieci. Tak zdefiniowany podsystem odwołuje się nie tyle do zakresu rzeczowego, co do obszaru stosowania. Jednocześnie wyraźnie zostaje podkreślony prymat bezpieczeństwa, który poprzez wymaganie zasadnicze bezpieczeństwo jest związany również z innymi podsystemami, jednak nie w tak kategorycznym stopniu. Realizując inwestycję na linii kolejowej zwykle mamy do czynienia z modernizacją lub odnowieniem podsystemów, co oznacza, że dokonywana jest ingerencja jedynie w część podsystemu. Tym samym niektóre odcinki, urządzenia, czy aspekty nie podlegają ocenie w ramach takiej weryfikacji WE, bowiem zwykle Zamawiający i Wnioskodawca oczekują przeprowadzenia weryfikacji WE w takim zakresie, w jakim jest to związane z prowadzonymi przez nich pracami. Przy tak generalnie określonym zakresie podsystemu trudno jest jednak jednoznacznie wyznaczyć granice podsystemu oraz granice oceny. Zbyt wąski zakres oceny oznacza, że nie wszystkie zmienione elementy podsystemu zostały poddane oce- 32 / Biuletyn Certa Review 1 (3)/2018

nie, a tym samym mogą być potencjalnie niezgodne. W szczególności mogą one prowadzić do zagrożenia dla bezpieczeństwa. Jednocześnie zbyt szeroki zakres oceny powoduje konieczność wykazywania zgodności z urządzeniami lub aspektami (funkcjami), które nie uległy zmianie, a co za tym idzie, dla których często nie ma dostępnych wymaganych danych, w szczególności aktualnie wymaganych certyfikatów i deklaracji zgodności. Jednoznaczne definiowanie zakresu prac i ich wpływu na istniejące elementy podsystemu (z uwzględnieniem wszystkich powiązań, czyli tzw. interfejsów) jest bardzo ważne, również ze względu na fakt, iż podsystem Sterowanie urządzenia przytorowe obejmuje zarówno oprogramowanie (software), jak i urządzenia (hardware). Szczególnie wpływ zmian w obrębie oprogramowania jest trudny do uchwycenia i zweryfikowania w ramach modułów oceny zgodności. Moduły oceny zgodności obejmują fazy projektowania, produkcji i testów końcowych, których opis wyraźnie odnosi się do hardware i nie zawiera jednoznacznych odniesień do specyfiki cyklu wytworzenia oprogramowania. Podobnie nie ma odniesienia do zmian związanych np. z przeprogramowaniem, bez ingerencji w hardware. W takim przypadku powstaje wątpliwość, czy deklaracja zgodności WE wydana dla składnika interoperacyjności (hardware + software) pozostaje ważna, czy jej treść wymaga zmiany. Jakkolwiek możliwe rozwiązania w tym zakresie zostały określone przez grupę koordynującą jednostki notyfikowane NB Rail w dokumencie RFU-CCS-058, to dokument ten nie jest powszechnie znany wszystkim uczestnikom inwestycji kolejowych oraz może nie wyczerpywać wszystkich możliwych przypadków ingerencji w podsystem. Innym istotnie różnym aspektem dotyczącym podsystemu Sterowanie urządzenia przytorowe jest jego postrzeganie wyłącznie przez pryzmat urządzeń sterowania ruchem kolejowym. Istotą podsystemu jest jednak wykazanie powiązań pomiędzy elementami podsystemu i właściwa realizacja funkcji sterowania ruchem kolejowym. Ponadto certyfikacja urządzeń (składników interoperacyjności i urządzeń typu) jest zasadniczo niezależna od certyfikacji podsystemu i chronologicznie następuje wcześniej. Ocena podsystemu skupia się na weryfikacji funkcji realizowanych przez cały podsystem, przy założeniu, że urządzenia wchodzące w jego skład są zgodne (w szczególności poprzez weryfikację odpowiednich certyfikatów i deklaracji) i stąd w ramach oceny podsystemu nie należy wchodzić w ich weryfikację. Przyjęcie w ramach inwestycji wyłącznie optyki urządzeń może prowadzić do pominięcia sprawdzenia funkcji podsystemu lub wejścia w ocenę urządzeń przez podmioty do tego nieuprawnione (ocena urządzeń jest odrębnym procesem i wymaga osobnych uprawnień, szczególnie na poziomie urządzeń typu). Jakkolwiek to podejście wydaje się oczywiste, to ciągle jeszcze w ramach weryfikacji WE podsystemu spotykamy się z przenoszeniem ciężaru dyskusji wyłącznie na urządzenia. Opisane powyżej aspekty wskazują, że w przypadku stosowania modułu oceny zgodności SG do podsystemu Sterowanie urządzenia przytorowe konieczne jest bardzo dokładne definiowanie zakresu inwestycji (zmiany) i jej wpływu na poszczególne elementy podsystemu (łącznie z interfejsami). Klarowne i rzetelne opisanie zakresu zmian oraz zakresu możliwej do przeprowadzenia oceny pozwala na faktyczne określenie oceny zgodności podsystemu. Podnosi to znacząco zaufanie do oceny zgodności, pozwala zidentyfikować aspekty, które powinny być zweryfikowane innymi narzędziami (bowiem nie każdy aspekt zmiany może być zweryfikowany w ramach weryfikacji WE, często konieczne jest przeprowadzenie np. oceny i wyceny ryzyka) oraz prowadzi do skompletowania rzetelnej i pełnej dokumentacji technicznej, która jest istotnym elementem wejściowym do kolejnych procesów inwestycyjnych (pozwala np. zidentyfikować, co już zostało sprawdzone i nie wymaga dalszych weryfikacji). 1 (3)/2018 Biuletyn Certa Review / 33

Ograniczona rola TSI i znaczny udział przepisów krajowych W przypadku oceny podsystemów strukturalnych stosuje się Techniczne Specyfikacje Interoperacyjności (TSI) oraz związane z nimi normy. W ograniczonych przypadkach (np. punkty otwarte, przypadki szczególne, odstępstwa) zastosowanie znajdują przepisy krajowe. Jednocześnie zakres stosowania przepisów krajowych do oceny podsystemów Infrastruktura i Energia jest bardzo ograniczony i sporadyczny. W przypadku weryfikacji WE podsystemu Infrastruktura przepisy krajowe stosowane są głównie w przypadku oceny na zgodność z TSI PRM dot. osób o ograniczonej możliwości poruszania się. Zupełnie inaczej wygląda to w przypadku podsystemu Sterowanie urządzenia przytorowe. TSI dla podsystemów Sterowanie (TSI CCS) odnosi się przede wszystkim do systemu ERTMS (Europejski System Sterowania Ruchem Kolejowym). Rozwiązania w warstwie konwencjonalnej/krajowej, stanowiące tzw. system klasy B, podlegają ocenie na zgodność z przepisami krajowymi. Jednocześnie inwestycje infrastrukturalne realizowane na polskiej sieci kolejowej, nawet jeśli dotyczą wdrożenia systemu ERTMS, to zawsze związane są jednocześnie z ingerencją w rozwiązania krajowe. Oznacza to, że przeprowadzenie weryfikacji WE podsystemu Sterowanie urządzenia przytorowe często wymaga jednoczesnego stosowania TSI (często wyłącznie w odniesieniu do jednego aspektu, tj. detekcji pociągu) i przepisów krajowych. Z punktu widzenia przepisów europejskich ocena podsystemu w obszarze interoperacyjności względem wymagań TSI powinna być realizowana przez jednostkę notyfikowaną (z ang. Notified Body NoBo), podczas gdy ocena podsystemu względem przepisów krajowych powinna być realizowana przez tzw. jednostki wyznaczone (z ang. Designated Body DeBo). Jednak w polskiej ustawie o transporcie kolejowym ocenę względem przepisów krajowych przypisano jednostce notyfikowanej i nie ustanowiono funkcji DeBo (ani podmioty wyznaczone do badań pojazdów niezgodnych z TSI, ani jednostki organizacyjne dokonujące oceny urządzeń typu nie mogą być interpretowane jako DeBo). TSI określają nie tylko spójny zakres wymagań do oceny podsystemów, ale także określają, które z aspektów (parametrów) powinny być ocenione na danym etapie (projektowanie, budowa, montaż przed oddaniem do eksploatacji/próby końcowe). Ponadto wskazują wyraźnie na moduły oceny zgodności, które mogą być użyte do oceny oraz dostarczają dodatkowych wytycznych do oceny, w tym dotyczących formy i zakresu certyfikatów i deklaracji. Przepisy krajowe stosowane m.in. do oceny podsystemów strukturalnych zostały określone w tzw. Liście Prezesa UTK z dnia 19.01.2017 r. w sprawie właściwych krajowych specyfikacji technicznych i dokumentów normalizacyjnych, których zastosowanie umożliwia spełnienie zasadniczych wymagań dotyczących interoperacyjności systemu kolei. Lista Prezesa Urzędu Transportu Kolejowego (LPUTK) przywołuje przepisy (normy, rozporządzenia), dla poszczególnych aspektów (z czym również wiąże się wiele zastrzeżeń), jednak nie definiuje etapów oceny oraz mających zastosowanie procedur. Ponadto wiele z wymagań może być spełnionych jedynie na poziomie urządzeń, a nie na poziomie podsystemu, co oznacza, że rozdzielenie oceny urządzeń od oceny podsystemów (o czym była mowa we wcześniejszej części artykułu) jest znacznie utrudnione. Ocena podsystemu realizowana przez jednostkę notyfikowaną jest prowadzona w ramach tych samych modułów i w taki sam sposób, niezależnie od tego, czy dotyczy przepisów TSI, czy przepisów krajowych. Oznacza to jednak, iż procedury te wymagają przyjęcia wielu założeń (np. dot. poziomu ingerencji oceny w zgodność urządzeń, czy tego, jakie aspekty będą ocenione na poszczególnych etapach) albo wyjaśnienia sposobu oceny (np. poprzez weryfikację dokumentów dla urządzeń typu). 34 / Biuletyn Certa Review 1 (3)/2018

Fot. Jadwiga Wrzesińska Dlatego też w przypadku oceny podsystemu Sterowanie urządzenia przytorowe, znacznie bardziej niż w przypadku pozostałych podsystemów, ważne jest dokładne określenie sposobu prowadzenia oceny oraz treści certyfikatów i deklaracji. Znacznie ważniejsza staje się zatem komunikacja pomiędzy jednostką notyfikowaną a Wnioskodawcą (wykonawcą robót). Dzięki temu procedura oceny powinna być bardziej zrozumiała dla Wnioskodawcy oraz możliwe będzie wcześniejsze określenie dowodów, jakie będą wymagane do przedstawienia w toku realizacji weryfikacji WE. Ocena na trzech etapach wytworzenia podsystemu TSI dla podsystemów Infrastruktura i Energia wskazują jednoznacznie, na jakich etapach powinna odbywać się ocena tych podsystemów. TSI Infrastruktura w tabeli 37 wskazuje, iż ocena określonych parametrów powinna być dokonana na etapie przeglądu projektu i na etapie montażu przed oddaniem do eksploatacji. W TSI PRM w tabeli E.1 określono, że ocena podsystemu Infrastruktura jest dokonywana na etapie przeglądu lub badania projektu oraz kontrole na miejscu. Podsystem Energia (wg tabeli B.1 zamieszczonej w tej TSI) jest sprawdzany głównie na etapie przeglądu projektu i montażu przed oddaniem do eksploatacji (w pewnych warunkach ocena może być przeprowadzona również na etapie Konstrukcja, montaż, zamocowanie oraz Walidacja w warunkach pełnej eksploatacji). W przypadku oceny podsystemu Sterowanie urządzenia przytorowe TSI CCS w tabeli 6.3 definiuje zakres oceny jedynie poprzez określenie aspektów podlegających ocenie i dowodów, jakie należy pozyskać, nie wskazując wyraźnie etapów oceny. Analiza tych 1 (3)/2018 Biuletyn Certa Review / 35

Fot. Jadwiga Wrzesińska zapisów wskazuje, iż do oceny podsystemu konieczna jest analiza i ocena dokumentacji, sprawdzenie obliczeń, przeprowadzenie prób i pomiarów. Etapy oceny w ramach weryfikacji WE podsystemów określa również ustawa o transporcie kolejowym, wskazując w art. 25cb ust. 4, iż ocena odbywa się na etapach: projektowania, budowy i końcowych prób podsystemu. W przypadku podsystemu Infrastruktura i Energia ocena na etapie budowy może być zrealizowana jedynie poprzez możliwość prowadzenia obserwacji robót zanikających, czy monitorowanie prac na gruncie. Natomiast w przypadku podsystemu Sterowanie urządzenia przytorowe konieczna jest także weryfikacja zabudowy poszczególnych urządzeń, w tym pod kątem ich prawidłowej konfiguracji i współpracy, także z istniejącymi urządzeniami. Podobnie jak w przypadku precyzowania sposobów oceny, również w tym aspekcie wyraźnie widać, iż dokładny kształt oceny (pod względem etapów oceny), wynika nie tyle z zapisów modułów oceny zgodności, co z zapisów TSI i zasad przyjętych przez jednostkę notyfikowaną oraz uzgodnień z Wnioskodawcą. Ponownie zatem kluczowa staje się właściwa komunikacja pomiędzy jednostką notyfikowaną i Wnioskodawcą, a w szczególności dokładne uzgodnienie i wyjaśnienie zasad prowadzenia oceny na jak najwcześniejszym etapie współpracy. Większe znaczenie dowodów przedstawianych przez Wnioskodawcę Jak wskazano we wcześniejszej części artykułu ocena podsystemu Infrastruktura i Energia jest realizowana na podstawie oceny dokumentacji projektowej oraz pomiarów i oględzin na gruncie. Wszystkie te działania są zwykle realizowane samodzielnie 36 / Biuletyn Certa Review 1 (3)/2018

przez jednostkę notyfikowaną. Wykorzystanie wyników pomiarów Wnioskodawcy, czy danych pozyskanych w trakcie odbiorów przez Zamawiającego jest możliwe, ale wymaga ich akceptacji. Przedstawione wyniki pomiarów i sprawdzeń muszą być wykonane przez akredytowany podmiot (co w warunkach polskich praktycznie nigdy nie występuje) bądź muszą być zrealizowane w obecności jednostki notyfikowanej. Możliwa jest też ocena podmiotu wykonującego pomiary przez jednostkę notyfikowaną, ale jest to dość skomplikowane i prawdopodobnie nie przyniesie oszczędności czasu i kosztu, w porównaniu do samodzielnie przeprowadzonych działań przez jednostkę notyfikowaną. W przypadku podsystemu Sterowanie urządzenia przytorowe również są wymagane pomiary, jednak mają one bardzo ograniczony charakter. Ważną rolę natomiast odgrywają próby, testy i symulacje, które ze względu na znaczną czasochłonność oraz, przede wszystkim, możliwości techniczno-organizacyjne muszą być przeprowadzone przez Wykonawcę. Zaangażowanie jednostki notyfikowanej sprowadza się wówczas głównie do obserwacji niektórych z tych działań oraz akceptacji ich wyników. Podobnie w znacznie większym zakresie jednostka musi oprzeć się na dowodach przedstawionych przez Wnioskodawcę, również dlatego, że ocena jednostki notyfikowanej nie powinna stanowić nadmiernego obciążenia dla Wnioskodawcy oraz nie powinna stanowić powtórzenia działań innych podmiotów. Podobnie jak w przypadku prowadzenia samodzielnych testów, również w przypadku wielu analiz i obliczeń jednostka musi wymagać przedstawienia określonych dowodów, bo chociażby z punktu widzenia dostępności danych nie byłaby w stanie przeprowadzić tych działań samodzielnie. Należy bowiem pamiętać, że sensem działania jednostki notyfikowanej jest weryfikacja przedstawionych dowodów, a nie ich dostarczanie. Od jakości (rzetelności, kompletności, czytelności, adekwatności) przedstawianych dowodów zależy możliwość wykazania zgodności oraz, przede wszystkim, czas oceny oraz liczba zgłaszanych uwag. Jest to widoczne już na etapie oceny dokumentacji projektowej przedstawianej przez Wnioskodawcę. Podobnie na późniejszym etapie weryfikowana jest dokumentacja powykonawcza, gdzie ważnym aspektem jest również określenie zmian wprowadzonych w stosunku do dokumentacji wykonawczej oraz spójność z tym, co faktycznie można stwierdzić na obiekcie. W ramach oceny dokumentacji, ze względu na znaczną liczbę urządzeń oraz wagę ich powiązań, oraz wpływ na charakterystyki podsystemu, istotną rolę odgrywa również kompletność i adekwatność dokumentacji dla urządzeń (certyfikatów, deklaracji, analiz ryzyka, dowodów bezpieczeństwa itp.), które są uznawane za składniki interoperacyjności, czy typy urządzeń. Szczególnie w przypadku wielu z prowadzonych inwestycji, gdzie wymianie podlegają tylko niektóre urządzenia, a wiele z nich poddawanych jest zmianom, ważne jest dostarczenie kompletu danych dla urządzeń. Na ich podstawie można zidentyfikować faktyczny wpływ poszczególnych zmian na podsystem, potwierdzić zgodność z wymaganiami po wprowadzonej zmianie, czy poprzez potwierdzenie spełnienia wymagań przez urządzenia wykazać zgodność podsystemu, w tym w zakresie dowodzenia bezpieczeństwa na poziomie aplikacji. Pamiętać również należy, że zarówno przepisy TSI w odniesieniu do składników interoperacyjności, jak i przepisy tzw. rozporządzenia 720 3 zawierają wymagania dotyczące tego, jakie urządzenia powinny mieć odpowiednie certyfikaty i deklaracje oraz jaka powinna być ich treść. Wszelkie zaniedbania w zakresie przedstawienia wykazów zainstalowanych składników interoperacyjności i urządzeń (w tym oprogramowania) oraz certyfikatów i deklaracji dla nich mogą być zakwestionowane na późniejszym etapie 1 (3)/2018 Biuletyn Certa Review / 37

przez Urząd Transportu Kolejowego. Im później wychwycony błąd, tym trudniej jest go skorygować, szczególnie, iż zastrzeżenia zgłaszane przez UTK obarczone są określonymi terminami i konsekwencjami. Zasygnalizowane powyżej przykłady danych koniecznych do przedstawienia przez Wnioskodawcę wskazują, iż przeprowadzenie weryfikacji WE podsystemu Sterowanie urządzenia przytorowe nie jest możliwe bez właściwego przygotowania i zaangażowania Wnioskodawcy. Od jakości przedstawianych dowodów zależy w dużej mierze sprawność procesu oceny oraz możliwość jego terminowego wykonania. Warto również pamiętać, że im lepiej uzasadniona i opisana inwestycja, tym mniejsze prawdopodobieństwo zastrzeżeń Urzędu Transportu Kolejowego na etapie udzielania zezwolenia na dopuszczenie do eksploatacji oraz mniejsze prawdopodobieństwo wystąpienia zagrożeń dla bezstronności. Dlatego również w tym zakresie trzeba zwrócić uwagę na dobrą komunikację pomiędzy jednostką a Wnioskodawcą oraz jak najwcześniejsze określenie wymagań do oceny, w tym w odniesieniu do dowodów, jakie Wnioskodawca zobowiązany jest przedstawić. Znaczne skrócenie czasu pomiędzy odbiorami a wydaniem certyfikatu Ostatnim z aspektów różniących ocenę podsystemu Sterowanie urządzenia przytorowe od oceny pozostałych podsystemów instalacji stałych jest waga przypisywana do odbiorów tych podsystemów, co pociąga za sobą w wielu przypadkach konieczność szybszego przeprowadzenia oceny. Zależności pomiędzy poszczególnymi odbiorami dokonywanymi przez Zamawiającego szczególnie odbiorem eksploatacyjnym i odbiorem końcowym, wydaniem certyfikatu końcowego przez jednostkę notyfikowaną oraz udzieleniem zezwolenia na dopuszczenie do eksploatacji przez Urząd Transportu Kolejowego są przedmiotem wielu dyskusji. Zwykle przyjmuje się, że certyfikat końcowy wydawany przez jednostkę notyfikowaną powinien być przedstawiony przez Wykonawcę robót podczas odbioru końcowego. Wynika to z faktu, iż wiele z działań jednostki (pomiary, oględziny na miejscu, analiza testów, symulacji i prób końcowych) możliwe jest dopiero po zakończeniu wszystkich prac w podsystemie związanych z interoperacyjnością. W przypadku podsystemów Infrastruktura i Energia czas potrzeby na dokonanie tych ocen i wydanie certyfikatu końcowego wynosi zwykle 1-3 miesięcy, w zależności od rozmiaru podsystemu. W przypadku oceny podsystemu Sterowanie urządzenia przytorowe waga certyfikatów wydawanych przez jednostki notyfikowane, m.in. ze względu na duże znaczenie bezpieczeństwa w tym podsystemie (o czym była mowa już w niniejszym artykule) jest znacznie wyższa niż w przypadku pozostałych podsystemów. Dlatego też zwykle oczekiwaniem Wnioskodawcy jest znacznie wcześniejsze wydanie certyfikatu końcowego dla podsystemu, co ma stanowić jeden z dowodów potwierdzających bezpieczeństwo podsystemu. Presja ta jest tym większa, że zwykle ruch na danym obiekcie jest uruchamiany bezpośrednio po przeprowadzeniu prób końcowych, więc jakiekolwiek późniejsze uwagi wydają się nie mieć znaczenia praktycznego. Aby faktycznie możliwe było jak najwcześniejsze wydanie certyfikatu wymagane jest jednak dostarczenie wszelkich koniecznych dowodów, w tym dokumentacji dla typów urządzeń i składników interoperacyjności o czym była mowa we wcześniejszej części artykułu. Niezależnie bowiem od pomyślnych prób końcowych i odbioru prac przez Zamawiającego jednostka notyfikowana musi najpierw potwierdzić spełnienie wszystkich wymagań, dokonać przeglądu całego procesu przez osobę niezaangażowaną w ocenę i dopiero podjąć decyzję certyfikacyjną. Niestety ciągle jeszcze zdarzają się sytuacje, gdy 38 / Biuletyn Certa Review 1 (3)/2018

Fot. Jadwiga Wrzesińska pomimo braku zastrzeżeń do działania podsystemu nie jest możliwe wydanie certyfikatu końcowego z uwagi na brak kompletnych i odpowiednich certyfikatów i deklaracji. W szczególności dotyczy to tzw. urządzeń typu i wymaganych dla nich świadectw typu oraz deklaracji zgodności z typem, o których mowa w tzw. rozporządzeniu 720. Zgodnie z art. 25cb ust. 6 pkt 6 ustawy o transporcie kolejowym jednostka notyfikowana w ramach weryfikacji WE podsystemu zobowiązana jest sprawdzić, czy urządzenia określone w tzw. rozporządzeniu 720 zostały właściwie dopuszczone do eksploatacji. Warto zwrócić uwagę na ten aspekt od początku realizacji przedsięwzięcia, tak aby projektować zabudowę urządzeń, dla których będzie możliwe przedstawienie właściwych dowodów. Stosowanie rozwiązań (czasem niestety wymaganych przez Zamawiającego), które nie posiadają właściwych dopuszczeń, w tym w odniesieniu do aktualnie obowiązujących przepisów, może stanowić istotną przeszkodę w pomyślnej realizacji przedsięwzięcia. Wnioskodawca powinien również zapewnić odpowiednie kompletowanie wszystkich dowodów, w szczególności dla zabudowywanych materiałów i nie odkładać tego obowiązku do zakończenia inwestycji. Z czasem może się okazać, że zebranie dowodów (w tym pozyskanie ich od producentów i dostawców) staje się coraz trudniejsze. Zalecane jest jak najszybsze przekazywanie wykazów i dokumentów materiałowych do jednostki notyfikowanej, aby umożliwić ich jak najwcześniejsze sprawdzenie. Dobrą praktyką jest również poddanie ocenie dokumentów potwierdzających zgodność nawet przed ich zakupieniem, w tym w porozumieniu z jednostką notyfikowaną, która zobowiązana jest przedstawić odpowiednie wymagania. 1 (3)/2018 Biuletyn Certa Review / 39

Oczekiwanie jak najszybszego wydania certyfikatu końcowego przez jednostkę notyfikowaną jest zrozumiałe w kontekście charakterystyki podsystemu Sterowanie urządzenia przytorowe. Pamiętać jednak należy, że sprawność procedury oceny zależy w dużej mierze nie tylko od szybkości działań jednostki notyfikowanej, ale przede wszystkim od kompletności, adekwatności i jakości przekazywanych dowodów. Podsumowanie W artykule przedstawiono kilka aspektów realizacji procedury weryfikacji WE podsystemu Sterowanie urządzenia przytorowe wg modułu SG, które wymagają zwrócenia szczególnej uwagi wnioskodawcy i jednostki notyfikowanej. Rozwiązaniem wielu potencjalnych problemów jakie mogą pojawić się w toku realizacji tej procedury jest właściwa współpraca pomiędzy wnioskodawcą a jednostką notyfikowaną, wczesne określenie zasad i sposobów oceny oraz wymagań dotyczących dowodów, jakie zobowiązany jest przedstawić Wnioskodawca. Dotychczasowe doświadczenia z realizacji procedur oceny wskazują, iż w wielu przypadkach Wnioskodawcy przyjmują założenie, że zlecenie oceny jednostce notyfikowanej oznacza, iż jest ona odpowiedzialna za przeprowadzenie wszystkich działań, które są konieczne, aby wydać certyfikat dla podsystemu. Należy jednak zwrócić uwagę, iż treść modułów oceny zgodności na wstępie wyraźnie definiuje, iż są to procedury, które stosuje Wnioskodawca, aby móc wykazać na własną odpowiedzialność zgodność podsystemu z wymaganiami zasadniczymi. Jednostka notyfikowana pełni w tym zakresie ważną rolę niezależnego podmiotu poświadczającego zgodność podsystemu, w dużej mierze na podstawie przeglądu dowodów przedstawianych przez Wnioskodawcę. Oznacza to, iż możliwość realizacji procedur oceny przez jednostkę w znacznej mierze zależy od terminowego i kompletnego przedstawienia danych przez Wnioskodawcę, w tym umożliwienia przeprowadzenia niezbędnych działań w terenie. Wspólna świadomość działań wymaganych do przeprowadzenia oceny oraz klarowny podział odpowiedzialności pozwala na realizację oceny w sposób sprawny i skuteczny z punktu widzenia zapewnienia bezpieczeństwa (na poziomie związanym z wdrażaniem interoperacyjności) oraz możliwości dopuszczenia do eksploatacji podsystemu. Pamiętać bowiem należy, że po zakończeniu weryfikacji WE często następuje konieczność uzyskania zezwolenia na dopuszczenie do eksploatacji tego podsystemu. W ramach tej procedury Urząd Transportu Kolejowego może zgłaszać pewne zastrzeżenia dot. kompletności i adekwatności oceny. Dlatego też nie warto przy wyborze jednostki notyfikowanej kierować się wyłącznie ceną, ale należy sobie zadać pytanie, jakie są szanse na sprawną realizację procedur oceny i jakie jest prawdopodobieństwo zgłoszenia uwag po zakończeniu danej inwestycji. Przypisy 1 Decyzja Parlamentu Europejskiego i Rady nr 768/2008/WE z dnia 9 lipca 2008 r. w sprawie wspólnych ram dotyczących wprowadzania produktów do obrotu, uchylająca decyzję Rady 93/465/EWG. 2 Decyzja Komisji 2010/713/UE z dnia 9 listopada 2010 r. w sprawie modułów procedur oceny zgodności, przydatności do stosowania i weryfikacji WE stosowanych w technicznych specyfikacjach interoperacyjności przyjętych na mocy dyrektywy Parlamentu Europejskiego i Rady 2008/57/WE. 3 Rozporządzenie Ministra Infrastruktury i Rozwoju z dnia 13 maja 2014 r. w sprawie dopuszczania do eksploatacji określonych rodzajów budowli, urządzeń i pojazdów kolejowych. 40 / Biuletyn Certa Review 1 (3)/2018

Fot. Jadwiga Wrzesińska Streszczenie Do oceny poszczególnych podsystemów instalacji stałych ( Infrastruktura, Energia, Sterowanie urządzenia przytorowe ) mogą być zastosowane te same procedury, tzw. moduły oceny zgodności. Mimo to specyfika poszczególnych podsystemów wymusza konieczność uzupełnienia ogólnych zapisów modułów oceny zgodności o wymagania związane z charakterem danego podsystemu. Zakres tych uzupełnień jest znaczący w przypadku oceny podsystemu Sterowanie urządzenia przytorowe. Ze względu na charakter podsystemu oraz stosowane przepisy konieczne jest dookreślenie etapów i sposobów oceny oraz zwrócenie szczególnej uwagi na właściwe określenie granic podsystemu. Dla efektywnej realizacji procesu oceny ważna jest komunikacja pomiędzy Wnioskodawca a jednostką notyfikowaną oraz właściwe przygotowanie dowodów przez Wnioskodawcę. Znajomość tych zagadnień może pozwolić na podniesienie sprawności realizacji oceny oraz przyczynić się do wyeliminowania wielu błędów na jak najwcześniejszym etapie. Słowa kluczowe weryfikacja WE, moduły oceny zgodności, podsystem Sterowanie urządzenia przytorowe, TSI. Summary The same procedures, so called conformity assessment modules, can be used for the assessment of each fixed installation subsystems ( Infrastructure, Energy, Control Command and Signaling ). However, due to the specific character of each subsystem, that overall description of the modules have to be fulfilled by requirements specific for the given subsystem. The scope of such fulfillment is significant in case of Control Command and Signaling subsystem. Because of the character of the subsystem and applied provisions the phases of the assessment and methods of the assessment have to be determined more precisely and high attention should be paid to define clearly the borders of the assessment. The communication between Applicant and Notified body and good preparation evidences by the Applicant are very important for effectiveness of the assessment process. The conscious of such issues can allow to improve the efficiency of assessment and many of possible mistakes at a very early phase of realization could be avoided. Keywords EC verification, modules for conformity assessment, Control command and signaling subsystem, TSI. 1 (3)/2018 Biuletyn Certa Review / 41

Aleksandra Grzywak-Gawryś Kierownik ds. oceny podsystemu Sterowanie CERTA a.grzywak-gawrys@certa-eu.pl Fot. Jadwiga Wrzesińska Rola dowodu bezpieczeństwa w procesie weryfikacji WE Dowód bezpieczeństwa dla podsystemu Sterowanie to nie tylko zbiór dokumentów odbiorowych jakie można znaleźć w operacie kolaudacyjnym, ale jest to również opis działań organizacyjnych jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bezpieczeństwa technicznego. 42 / Biuletyn Certa Review 1 (3)/2018

Działania wykonywane przez Jednostki Notyfikowane w zakresie weryfikacji WE podsystemu Sterowanie są opisane Dyrektywą 2008/57/WE, a uszczegółowione Technicznymi Specyfikacjami Interoperacyjności wydanymi dla podsystemu Sterowanie (CCS) w aktualnie obowiązującym dokumencie Unii Europejskiej: Rozporządzeniu 2016/919 z dnia 27 maja 2016 roku. Dokument ten określa wymagania zasadnicze, które muszą być spełnione przez system kolei zabudowany i eksploatowany na terenie krajów należących do Wspólnoty. Oprócz zdefiniowania wymagań zasadniczych Techniczne Specyfikacje Interoperacyjności określają zbiór dokumentów, zwanych specyfikacjami, które są podstawą do tworzenia systemu sterowania ruchem kolejowym CCS (Control Command and Signalling). Zdefiniowane wymagania dotyczą zarówno samych urządzeń, tzw. składników interoperacyjności lub grup składników interoperacyjności, jak też zbudowanego na ich bazie podsystemu Sterowanie urządzenia przytorowe lub Sterowanie urządzenia pokładowe. Wymagania są pogrupowane wg zestawów dokumentów z podaniem ich tytułów, numerów i wersji wydania. Poszczególne zestawy stanowią tzw. baseline lub w języku polskim wzorce. Obecnie obowiązująca TSI definiuje trzy wzorce wymagań. Oprócz zestawów dokumentów wymagań skupionych we wspomnianych trzech baseline TSI określa zestaw norm obowiązujących. Są to następujące standardy europejskie: EN 50126:1999 o tytule: Zastosowania kolejowe. Specyfikowanie niezawodności, dostępności, podatności utrzymaniowej i bezpieczeństwa, EN 50128:2011 o tytule: Zastosowania kolejowe Systemy łączności, przetwarzania danych i sterowania ruchem oprogramowanie kolejowych systemów sterowania i zabezpieczenia, Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 43

EN 50129:2003 o tytule: Zastosowania kolejowe Systemy łączności, przetwarzania danych i sterowania ruchem Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem, EN 50159:2010 o tytule: Zastosowania kolejowe Systemy łączności i przetwarzania danych. Powyższe normy, zwane też dalej normami RAMS (od angielskich słów: reliability nieuszkadzalność, availability dostępność, maintainability podatność na utrzymanie i safety bezpieczeństwo), mają swoje wydania polskie o następujących numerach i datach wydania: PN-EN 50126:2002, PN-EN 50128:2011, PN-EN 50129:2007, PN-EN 50159:2011. Normy te jako jedyne zostały wymienione w TSI CCS. Stanowią one podstawę bezpieczeństwa i niezawodności dla składników interoperacyjności oraz podsystemów Sterowanie zbudowanych w oparciu o te składniki. Niestety TSI daje szeroką furtkę do stosowania krajowych rozwiązań identyfikując tzw.: punkty otwarte, przypadki szczególne i systemy klasy B, dla których nie stosuje się wymagań ujętych w TSI i dla których każde państwo członkowskie ustanawia tzw. wymagania krajowe. Wytwórcę, dystrybutora, inwestora, zarządcę operujących na rynku polskim obowiązuje polskie prawo krajowe i unijne o bezpośredniej stosowalności, jak rozporządzenia czy decyzje. Wszystkie więc obowiązujące w UE akty prawne, które nie spełniają powyższych warunków a powinny być obowiązujące na rynku polskim, muszą zostać wdrożone aktem prawnym krajowym. W przypadku polskiego rynku kolejowego dokumentem, który wdraża do prawa krajowego Dyrektywę o interoperacyjności systemu kolei: 2008/57/WE jest Ustawa o Transporcie Kolejowym z 2003 roku z późniejszymi zmianami, wynikające z niej rozporządzenie Ministra Infrastruktury i Budownictwa o interoperacyjności systemu kolei aż wreszcie Lista Prezesa UTK w sprawie właściwych krajowych specyfikacji technicznych i dokumentów normalizacyjnych, zastosowanie których umożliwia spełnienie zasadniczych wymagań dotyczących interoperacyjności systemu kolei. W Polsce wymagana jest zgodność z TSI i z Listą Prezesa UTK, zależnie od przedmiotu prac. Obecnie obowiązująca Lista Prezesa UTK została wprowadzona w życie 19 stycznia 2017 roku i zastąpiła Listę dotychczasową obowiązującą od 26 września 2013 roku. Powiązania i wzajemne zależności pomiędzy wspomnianymi wymaganiami pokazano na rys. 1. Podobnie jak jej europejski odpowiednik specyfikuje ona dokumenty wymagań, które należy zastosować dla urządzeń typu (poprzez analogię do składników interoperacyjności), na które wymagane jest uzyskanie świadectwa dopuszczenia do eksploatacji typu urządzenia kolejowego przeznaczonego do prowadzenia ruchu kolejowego zgodnie z rozporządzeniem ministra infrastruktury i rozwoju z dnia 13 maja 2014 roku (Dz.U.2014.720), jak i specyfikuje dokumenty wymagań, które należy zastosować dla podsystemu strukturalnego Sterowanie urządzenia przytorowe (CCT) lub Sterowanie urządzenia pokładowe (CCO). 44 / Biuletyn Certa Review 1 (3)/2018

Rys. 1. Wymagania europejskie, obowiązujące wymagania krajowe i wymagania zarządcy infrastruktury wobec podsystemu CCS instalowanego i przekazywanego do eksploatacji na polskiej sieci kolejowej Oprócz ww. wymagań Wykonawcę podsystemu obowiązują wymagania określone w SIWZ (Specyfikacja Istotnych Warunków Zamówienia), które zostały określone przez Zamawiającego. Wymagania te mogą, ale nie muszą być wymaganiami prawnymi. Może to być zestaw regulacji wewnętrznych danego zarządcy infrastruktury, np. instrukcje i standardy techniczne PKP PLK, jak też inne dokumenty sporządzone przez Zamawiającego. Dokumenty te nie powinny byś sprzeczne z wymaganiami prawnymi. Gdyby tak było, nadrzędnymi wymaganiami są zawsze wymagania prawne. Jak wspomniano powyżej wymagania zarządcy infrastruktury i inne regulacje wynikające z SIWZ nie są wymaganiami prawnymi oraz wymaganiami stanowiącymi podstawę do przeprowadzania procesu weryfikacji WE. Proces weryfikacji WE przeprowadzany przez akredytowane jednostki notyfikowane wykonywany jest w oparciu o wymagania interoperacyjności ujęte w TSI lub w wymaganiach krajowych (Lista Prezesa UTK), jeśli podsystem zawiera urządzenia klasy B (nieujęte w TSI), lub też posiada interfejsy do podsystemu zawierającego te urządzenia. Pomimo zdecydowanych różnic w konstrukcji, w formie wymagań i w ich opisie występujących pomiędzy TSI CCS i Listą Prezesa UTK jest pewna część wspólna. Stanowią ją przywołane na początku artykułu normy w ich wydaniu polskim: PN-EN 50126:2002, PN-EN 50128:2011, PN-EN 50129:2007, PN-EN 50159:2011. 1 (3)/2018 Biuletyn Certa Review / 45

Komplet powyższych standardów dotyczy niezawodności i bezpieczeństwa rozwiązań kolejowych związanych z bezpieczeństwem. Dostarczają one zbioru metod technicznych i organizacyjnych, które powinny zapewnić, że wymagany poziom bezpieczeństwa i parametry niezawodnościowe zostaną osiągnięte. Proponowane przez normy metody, narzędzia i techniki dotyczą trzech poziomów zastosowań urządzeń kolejowych: urządzenia ogólnego przeznaczenia (ang. generic product, w skrócie GP), urządzenia ogólnego zastosowania (ang. generic application, w skrócie: GA) dostosowanego do konkretnych wymagań danego rynku kolejowego, przewoźnika, zarządcy infrastruktury, oraz urządzenia określonego zastosowania, potocznie zwane: aplikacją (ang. specific application, w skrócie SA), które jest dostosowane do konkretnej lokalizacji i konkretnego miejsca w terenie lub na konkretnym pojeździe kolejowym. Rys. 2. Poziomy zastosowań urządzenia sterowania ruchem kolei Poziomy zastosowania opisane powyżej zostały pokazane na rys. 2. Poziom urządzenia określonego zastosowania jest najbardziej specyficznym, ale jednocześnie zawiera część bazową (ogólnego przeznaczenia), na podstawie której zostało zbudowane i część ogólnego zastosowania, gdzie zawarta jest logika związana z danym rynkiem kolejowym. Funkcje odpowiedzialne za bezpieczeństwo systemu sterowania ruchem kolejowym realizowane są na trzech poziomach zastosowań. Popełnienie błędu na którymkolwiek poziomie może zniweczyć cechy bezpieczeństwa zaszyte w systemie. Dodatkowo, mówiąc o parametrach bezpieczeństwa czy niezawodności, odnosimy je do tzw. cyklu życia, który dotyczy zarówno urządzeń ogólnego przeznaczenia, ogólnego zastosowania, jak i określonego zastosowania. Zaczyna się on fazą koncepcji poprzez analizę ryzyka, zdefiniowanie wymagań, alokacji tych wymagań na poszczególne elementy systemu, poprzez projektowanie, produkcję, instalację, walidację gotowego rozwiązania, aż po odbiory, akceptację systemu i jego eksploatację. Wszelkie zmiany w systemie związanym z bezpieczeństwem, modyfikacje czy odnowienia, są również uwzględnione w fazach cyklu życia. Cykl życia kończy się wycofaniem z eksploatacji. Podstawowe zagadnienia związane z cyklem życia opisane są normą PN-EN 50126. 46 / Biuletyn Certa Review 1 (3)/2018

Każdy z poziomów zastosowań przechodzi fazy zdefiniowanego powyżej cyklu życia. Dla każdego z etapów cyklu życia normy RAMS dedykują metody, narzędzia i działania techniczne i organizacyjne, które należy zastosować czy podjąć, aby zminimalizować wystąpienie błędu krytycznego dla bezpieczeństwa. Działania te mają na celu ograniczenie ryzyka wystąpienia błędów systematycznych (popełnionych przez człowieka) do poziomu akceptowalnego. Celem jest minimalizacja prawdopodobieństwa wystąpienia takiego błędu lub ograniczenia powagi jego skutków, tak aby cel bezpieczeństwa (określony parametrem THR Tolerable Hazard Rate tolerowana intensywność zagrożeń) został osiągnięty dla danej funkcji związanej z bezpieczeństwem. System sterowania ruchem kolejowym może składać się tylko z części sprzętowej (hardware) lub zarówno z części sprzętowej, jak i oprogramowania (software). Dodatkowo moduły funkcjonalne (hardware i software) komunikują się pomiędzy sobą za pomocą transmisji. Urządzenia łączą się za pomocą interfejsów, tworząc system srk. Interfejsy odpowiadają za bezpieczeństwo w takim samym stopniu jak poszczególne elementy systemu. Norma PN-EN 50129 narzuca obowiązek opracowania dowodu bezpieczeństwa na wszystkich poziomach zastosowań. Odpowiedzialnym za wykonanie dowodu bezpieczeństwa jest podmiot odpowiedzialny za urządzenie lub system na danym poziomie zastosowania: GP, GA lub SA. Celem dowodu bezpieczeństwa jest wykazanie, że wymagania bezpieczeństwa zostały spełnione przy zastosowaniu określonych warunków w dalszych etapach cyklu życia lub na wyższym poziomie zastosowania. Warunki te są zwane warunkami SRAC (safety related application condition) warunkami bezpiecznego stosowania. Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 47

Na poziomie urządzenia ogólnego przeznaczenia literami GP określa się warunki SRAC, które muszą być spełnione podczas opracowywania urządzenia ogólnego zastosowania GA. Warunki, które nie zostały spełnione (zastosowane) na poziomie urządzenia ogólnego zastosowania GA są przenoszone na poziom urządzenia określonego zastosowania, czyli aplikacji SA. Analogicznie: warunki, które nie mogą być spełnione na poziomie opracowywania aplikacji zostają przeniesione do odpowiedzialności użytkownika lub służb utrzymania. Są to wszystkie istotne dla bezpieczeństwa zapisy, które znajdują się w DTR-kach, instrukcjach i wytycznych dla danego urządzenia czy systemu. Z tego powodu tak bardzo istotne jest stosowanie przez projektantów srk, instalatorów czy użytkowników właściwej wersji dokumentacji technicznej opracowanej dla danego urządzenia kolejowego. Rys. 3. Dowody bezpieczeństwa na trzech poziomach zastosowań: urządzenia ogólnego przeznaczenia (generic product GP); ogólnego zastosowania (generic application GA) oraz określonego zastosowania (specific application SA). Opracowane na podstawie: PN-EN 50129 48 / Biuletyn Certa Review 1 (3)/2018

Dowód bezpieczeństwa, zgodnie z metodologią normy PN-EN 50129 składa się z sześciu części: Część 1: Definicja systemu, Część 2: Raport zarządzania jakością, Część 3: Raport zarządzania bezpieczeństwem, Część 4: Raport bezpieczeństwa technicznego, Cześć 5: Powiązane dowody bezpieczeństwa, Część 6: Wniosek. Pokazano to na rys. 4. Norma PN-EN 50129 precyzuje zawartość każdej z części. Tytuły części oraz tytuły poszczególnych rozdziałów są jednolite dla trzech poziomów zastosowań, a treść, która powinna być zawarta w danym rozdziale ściśle określona i opisana w normie. Rys. 4. Części dowodu bezpieczeństwa. Opracowane na podstawie: PN-EN 50129 Najobszerniejszą a jednocześnie najważniejszą częścią dowodu bezpieczeństwa jest Raport Bezpieczeństwa Technicznego (patrz rys. 5). To tutaj opisane są warunki bezpiecznego stosowania: te spełnione przez dany poziom zastosowania, jak i te, które muszą być przeniesione wyżej lub przekazane projektantowi srk, instalatorowi czy użytkownikowi urządzenia lub systemu kolejowego. 1 (3)/2018 Biuletyn Certa Review / 49

Rys. 5. Zawartość Raportu Bezpieczeństwa Technicznego. Opracowane na podstawie: PN-EN 50129 Dobrze opracowany dowód bezpieczeństwa jest nie tylko przewodnikiem po zastosowanych metodach, narzędziach w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa przez urządzenie czy system srk, ale również jest dowodem na to, że dany podmiot dobrze rozumie swoją rolę w zapewnieniu bezpieczeństwa całego systemu kolejowego oraz że organizacja projektu została właściwie dobrana, a działania odpowiednio nadzorowane. Dokument ten jest również dowodem na to, że wybrane zostały właściwe metody, że personel był właściwie wykwalifikowany i zastosowano odpowiednią do danego poziomu bezpieczeństwa niezależność ról. Dowód bezpieczeństwa dokumentuje, że wykryte niezgodności i hazardy były nadzorowane, a interfejsy przeanalizowano pod kątem bezpieczeństwa i zgodności technicznej. Dobrze opracowany dowód bezpieczeństwa definiuje liczbowe parametry RAMS (niezawodności i bezpieczeństwa), określa szczegółowo konfigurację systemu dowodzi, że konfiguracja jest właściwie nadzorowana, wykazuje bezpieczeństwo sprzętu przy wpływach zewnętrznych i wewnętrznych i wykazuje bezpieczeństwo zastosowanego w systemie (urządzeniu kolejowym) oprogramowania. Sposób zapewnienia jakości oprogramowania, zgodnie z normą PN-EN 50128, stanowi fundament dowodzenia bezpieczeństwa oprogramowania. Reasumując, dowód bezpieczeństwa jest kluczowym elementem potwierdzania poprawności przyjętych rozwiązań i zapewnienia poprawnego działania w całym cyklu życia urządzenia czy systemu srk. 50 / Biuletyn Certa Review 1 (3)/2018

Podsystem CCS w znaczeniu wymagań europejskich jest pojęciem tożsamym z pojęciem systemu szczególnego zastosowania aplikacji (specific application) SA ujmowanym w znaczeniu norm RAMS. Wynika stąd, że podsystem CCS wymaga opracowania dowodu bezpieczeństwa tzw. SASC (Specific Application Safety Case), co pokazano na rys. 3 (s. 48). Dla tego poziomu zastosowania dowód składa się z dwóch gałęzi: dotyczącej projektu, dotyczącej implementacji fizycznej. Podział ten ma poniekąd odzwierciedlenie w procesie weryfikacji WE dla podsystemu CCS. Oceniany jest najpierw etap projektu, a potem jego fizyczna implementacja polegająca na zabudowie w terenie i próbach końcowych, które prowadzą do odbiorów i przekazania do eksploatacji. Rys. 6. Zależność pomiędzy operatem kolaudacyjnym a dowodem bezpieczeństwa dla aplikacji (SASC) Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 51

Wykonawca podsystemu CCS zobligowany jest wymaganiami SIWZ do opracowania operatu kolaudacyjnego* (który w istocie jest zbiorem dokumentów odbiorowych, zbiorem deklaracji, świadectw, aprobat materiałowych, raportów i protokołów). Wszystkie te dokumenty są konieczne do wykazania bezpieczeństwa i poprawnego funkcjonowania podsystemu CCS. Natomiast nie są one wystarczającymi elementami dowodzenia bezpieczeństwa. Dokumenty operatu kolaudacyjnego, przedstawione w sposób logiczny i we właściwej kolejności powstawania w realizowanej inwestycji stanowią część raportu bezpieczeństwa technicznego i to tylko sekcję zawierającą dowody na poprawne działanie. Pokazano to schematycznie na rys. 6 (s. 51). Natomiast dowód bezpieczeństwa dla podsystemu Sterowanie to nie tylko zbiór dokumentów odbiorowych jakie można znaleźć w operacie kolaudacyjnym, ale jest to również opis działań organizacyjnych jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bezpieczeństwa technicznego. Zawiera on również warunki bezpiecznego stosowania, których należy przestrzegać w kolejnych fazach cyklu życia. Aby w procesie weryfikacji WE jednostka notyfikowana mogła stwierdzić zgodność podsystemu sterowanie CCS z wymaganiami TSI czy z wymaganiami krajowymi określonymi w Liście Prezesa UTK w zakresie wymagań zasadniczych powinna ocenić kompletność i adekwatność dowodu bezpieczeństwa dla aplikacji systemu. Aby to ocenić, jednostka musi taki dowód otrzymać od Wykonawcy. Niestety obecnie ciągle jeszcze bardzo rzadką praktyką jest opracowywanie dowodów bezpieczeństwa dla podsystemu CCS, czyli dowodów dla określonych zastosowań SA (tzw. SASC). Intencją autora tego artykułu było przekonanie czytelnika, jak ważnym elementem procesu inwestycyjnego jest zapewnienie i wykazanie bezpieczeństwa podsystemu CCS poprzez sporządzenie dowodu bezpieczeństwa SASC. Będąc pod presją czasu, próbując się zmieścić w budżecie i próbując dotrzymać terminów napiętego zawsze harmonogramu nie zapominajmy, że ostatnim Klientem, który korzystał będzie z naszej pracy będą pasażerowie: nasze rodziny i nasi bliscy bezpieczeństwo nie podlega tu negocjacjom. * https://pl.wikipedia.org/wiki/operat_kolaudacyjny: zbiór dokumentów budowy przygotowanych przez wykonawcę robót w celu ich przekazania zamawiającemu, stanowiący podstawę odbioru i oceny zgodności wykonanych robót z dokumentacją projektową i kosztorysem. Źródła 1. PN-EN 50126:2002/AC:2011: Zastosowania kolejowe Specyfikowanie i wykazywanie Nieuszkadzalności, Gotowości, Obsługiwalności i Bezpieczeństwa (RAMS) część 1: Wymagania podstawowe i procesy ogólnego przeznaczenia. 2. PN-EN 50129:2007: Zastosowania kolejowe Systemy łączności, przetwarzania danych i sterowania ruchem Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem. 52 / Biuletyn Certa Review 1 (3)/2018

Streszczenie Treścią artykułu jest przedstawienie celu opracowywania dowodu bezpieczeństwa dla podsystemu sterowanie. Opisano podstawy prawne działań z tym związanych oraz zakres i zawartość tego dokumentu. Wyjaśniono jaki jest sens poszczególnych części dokumentu o nazwie: dowód bezpieczeństwa i dlaczego są tak ważne w wykazywaniu bezpieczeństwa podsystemu sterowanie. Opisano również różnicę pomiędzy dowodem bezpieczeństwa i zbiorem dokumentów o nazwie: operat kolaudacyjny, który kompletowany jest dla etapu budowy. W konkluzji wyrażono dezaprobatę z powodu obecnego stanu rzeczy, gdzie wykazywanie bezpieczeństwa podsystemu sterowanie za pomocą dowodu bezpieczeństwa jest jeszcze wciąż rzadko stosowane. Słowa kluczowe dowód bezpieczeństwa, RAMS, podsystem sterowanie, normy CENELEC, bezpieczeństwo systemu srk, wykazywanie bezpieczeństwa podsystemu CCS, aplikacja systemu srk, system ogólnego zastosowania, system ogólnego przeznaczenia, system szczególnego zastosowania, bezpieczeństwo, niezawodność. Summary The content of the article is to show the purpose of the safety proof for the controlcommand and signalling subsystem. The legal basis of the activities related to it has been described, as well as the scope and content of this document. It explains the meaning of the different parts of the document named: safety proof and why they are so important for the demonstration of the safety of the control-command and signalling subsystem. The difference between the safety proof and the set of documents called: terminal inspection report, which is completed for the construction stage, is also described. The conclusion expresses its disapproval of the current situation, where demonstration of the safety of the subsystem by the safety proof is still rare. Keywords safety proof, RAMS, control subsystem, CENELEC standards, safety of the srk system, demonstration of the safety of the CCS subsystem, srk system application, system of general application, system of special purpose, safety, reliability. 1 (3)/2018 Biuletyn Certa Review / 53

Aleksandra Grzywak-Gawryś Kierownik ds. oceny podsystemu Sterowanie CERTA a.grzywak-gawrys@certa-eu.pl Fot. archiwum redakcji Od jazdy na berło do niezależności Jednostek Notyfikowanych, czyli jak poruszać się po torach bezpieczniej i efektywniej Od początku istnienia kolei problem bezpieczeństwa i efektywności przewozów spędzał sen z powiek właścicielom infrastruktury i przewoźnikom. Stąd koniecznością stało się opracowanie metod, procedur i wreszcie urządzeń zabezpieczenia ruchu kolei, obecnie zwanych systemami sterowania ruchem kolejowym srk. 54 / Biuletyn Certa Review 1 (3)/2018

W nomenklaturze europejskiej systemy te nazywane są Command Control and Signalling, w skrócie CCS, i dzielą się na urządzenia przytorowe i pokładowe. Pierwszą ze znanych metod zabezpieczenia jazdy pociągu na szlaku było tzw. berło. Kto otrzymał berło miał wolną drogę na szlak i mógł bez zagrożenia kolizją z innym pojazdem kolejowym podążać do kolejnej stacji. Niestety berło miało swoje wady: ograniczało przepustowość oraz wymagało jazd tam i z powrotem, tak aby powróciło do dyżurnego ruchu danego posterunku. Dodatkową wadą było ograniczenie w zastosowaniu tylko do szlaku. Berło, aczkolwiek skutecznie chroniące przed kolizją z innym pojazdem kolejowym, nie wykluczało wykolejenia pociągu czy kolizji z obiektami infrastruktury lub z użytkownikami dróg na skrzyżowaniach w poziomie szyn. Nie zapewniało też bezpieczeństwa ruchu na stacjach. Wraz z rozwojem kolei powstawały nowe urządzenia zabezpieczenia ruchu, w których wykorzystywane były najnowsze technologie. Okazało się jednak, że wykorzystanie nowych technologii, owszem, zapewniało większą efektywność i sprawiało, że praca na posterunkach ruchu była lżejsza, a posterunki obsługiwane przez mniejszą liczbę pracowników kolei, ale niestety zastosowanie najnowszych technologii nie wykluczyło możliwości kolizji, które przy większych prędkościach pociągów były bardziej tragiczne w skutkach. U schyłku ubiegłego wieku zachłyśnięto się możliwościami techniki cyfrowej, a komputery zawładnęły światem. Zaufano bez reszty bitom i bajtom, które napędzały maszyny nie tylko w sferze kolei. Rozwój techniki niebezpiecznie przyspieszył, a ruch pociągów na stacjach i szlakach zaczął w dużej mierze zależeć od oprogramowania komputerów. Te funkcje, które w przeszłości realizowane były przez urządzenia mechaniczne, potem elektromechaniczne i elektryczne, dobrze znane, o stabilnych cechach, teraz realizowane są w większości programowo. Urządzenia działające w oparciu o oprogramowanie mają niezliczone zalety. Jedną z nich jest skalowalność i prostota wprowadzania zmian. Niestety ta zaleta jest również wadą, gdyż bardzo łatwo jest utracić kontrolę nad zmianami w oprogramowaniu i zniweczyć pierwotnie wbudowane cechy bezpieczeństwa. Przerażającą jest myśl, że jeden błędny bit lub jeden błędnie przetransmitowany telegram mógłby doprowadzić do katastrofy, w której wielu ludzi poniosłoby śmierć lub doznałoby ciężkich obrażeń. Faktem jest, że błędów popełnianych przez człowieka, w tym błędów w oprogramowaniu, nie da się uniknąć, można je najwyżej ograniczać, zmniejszać prawdopodobieństwo ich wystąpienia lub minimalizować ich skutki. Czym bardziej rozwinięte technologie, tym więcej błędów można popełnić i tym bardziej są one nieprzewidywalne. Dodatkową cechą rozwiniętych technologii jest wysoki stopień specjalizacji personelu, który uczestniczy w powstawaniu, rozwoju, użytkowaniu czy utrzymaniu urządzeń, które z tych technologii korzystają. Innymi słowy: wymagania kwalifikacyjne personelu są coraz wyższe, a wraz z ich wzrostem zawęża się obszar, na którym osoba o danych kompetencjach, mówiąc kolokwialnie, się zna. Ponadto czym bardziej rozwinięte technologicznie są urządzenia, tym bardziej wyrafinowane i skomplikowane są narzędzia służące ich produkcji, instalowaniu, uruchamianiu, testowaniu i utrzymaniu. Poziom wymaganych kompetencji sprawił, że wszystkie podmioty zaangażowane w tzw. cykl życia wyrobu muszą zatrudniać wysokiej klasy specjalistów z różnych dziedzin. Wszyscy ci specjaliści różnych branż, mimo różnic w kwalifikacjach, są wciąż potocznie zwani srk-owcami. Bardzo trudno jest osiągnąć stan, w którym personel danego przedsiębiorstwa kolejowego kompetencyjnie pokrywa cały obszar jego działania. 1 (3)/2018 Biuletyn Certa Review / 55

Fot. archiwum redakcji Dodatkowym zagrożeniem w stałym rozwijaniu stosowanych technologii jest utrata kompetencji w zakresie tzw. starych urządzeń. Powoduje to ryzyko niewłaściwego utrzymania tych urządzeń, które od lat pracują na sieci kolejowej i z różnych powodów nie są wymieniane na urządzenia i systemy nowej generacji. Jak już wspomniano powyżej, rozwój technologii sprawił, że błąd wprowadzony przez człowieka na którymkolwiek etapie cyklu życia wyrobu może nie zostać wykryty w standardowo przebiegającym procesie odbiorów, a sposób sprawdzania urządzeń przed włączeniem do eksploatacji, który wystarczał jeszcze w ubiegłym stuleciu, przestaje być obecnie wystarczający. Niezależność narzędziem do uzyskania niezawodności i bezpieczeństwa Tak doszliśmy w rozważaniach do celu powstania metodologii wykazywania niezawodności i bezpieczeństwa w systemie kolejowym opracowanej w końcu ubiegłego stulecia przez organizację CENELEC i obecnie przyjętej jako obowiązująca w prawie europejskim i krajowym. Metodologia opisana jest w trzech głównych normach: PN-EN 50126, PN-EN 50128, PN-EN 50129, dotyczących RAMS (reliability, availability, maintainbility and safety, co w języku polskim znaczy: nieuszkadzalność, dostępność, podatność na obsługę i utrzymanie oraz bezpieczeństwo). Dodatkowo uzupełnienie stanowi norma: PN-EN 50159, która dotyczy transmisji w systemach związanych z bezpieczeństwem. Normy te stanowią standard i przewodnik dla osób zajmujących się bezpieczeństwem i niezawodnością kolejowych systemów związanych z bezpieczeństwem. Podstawową koncepcją metodologii dyktowanej tymi normami jest wdrożenie takich systematycznych działań w całym cyklu życia wyrobu, które zredukują prawdopodobieństwo wystąpienia błędów systematycznych lub obniżą powagę ich skutków, do tego stopnia, że ryzyko wystąpienia sytuacji niebezpiecznej wywołanej tymi błędami staje się akceptowalne. 56 / Biuletyn Certa Review 1 (3)/2018

Bezpieczeństwo i niezawodność to dwie cechy nierozerwalnie ze sobą związane i wzajemnie od siebie zależne. Są jednocześnie pierwszymi z sześciu tzw wymagań zasadniczych, które są fundamentem dyrektywy UE nr 2008/57/WE o interoperacyjności systemu kolei we Wspólnocie. Idea interoperacyjności opiera się na zapewnieniu niezakłóconego i efektywnego ruchu pociągów przez terytoria krajów należących do Unii Europejskiej, przy jednoczesnym spełnieniu przez dany podsystem kolejowy wymagań zasadniczych. Z tego też powodu normy dotyczące RAMS zostały zharmonizowane z tą dyrektywą. Spełnienie wymagań zasadniczych i wykazanie ich spełnienia jest obowiązkiem Wykonawcy danego podsystemu kolejowego lub podmiotu wprowadzającego zmiany wskutek modernizacji lub odnowienia podsystemu i jest warunkiem uzyskania przez zarządcę tego podsystemu, w przypadku jego modernizacji, zezwolenia na dopuszczenie do eksploatacji wydawanego każdorazowo przez Prezesa Urzędu Transportu Kolejowego. Bazując na metodologii norm CENELEC, Dyrektywa 2008/57/WE narzuca obowiązek przeprowadzenia dla nowego lub zmienianego podsystemu strukturalnego niezależnej weryfikacji WE, w tym potwierdzenia spełnienia wymagań zasadniczych, przez powołane do tego Jednostki Notyfikowane. Wspomnieć należy, że według norm CENELEC jedną z metod ograniczenia wystąpienia błędów systematycznych jest szeroko pojęta niezależność. Dotyczy ona sprzętu, oprogramowania, funkcji, a także ról osób zaangażowanych w proces. Podążając za wymaganiami dotyczącymi RAMS-u dywersyfikacja (zróżnicowanie) jest stosowana w szerokim zakresie: niezależni od siebie konstruktorzy projektują zdywersyfikowane kanały sprzętowe urządzeń, których funkcje mają wpływ na bezpieczeństwo; podobnie niezależni od siebie programiści tworzą do nich oprogramowanie. Idąc dalej tym tropem weryfikator, który nie uczestniczy w procesie wytwarzania, sprawdza poprawność wyników danego etapu w procesie, a niezależny od zespołu projektowego walidator potwierdza właściwość i adekwatność rozwiązań, tak aby wymagany Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 57

Fot. archiwum redakcji dla danego wyrobu stopień nienaruszalności bezpieczeństwa (SIL ang. Safety Integrity Level poziom nienaruszalności bezpieczeństwa) został osiągnięty. Zgodnie z metodologią norm CENELEC ostateczne bezpieczeństwo realizowanych przez urządzenie funkcji potwierdza niezależny asesor wyznaczony do tej roli. Sens niezależności ról polega na domniemaniu, że każdy człowiek myśli w inny sposób i nie powieli błędów swojego poprzednika. Co więcej: myśląc w inny sposób ma szanse wykryć błędy, które wcześniej zostały popełnione i nie zostały do tej pory wykryte. Skuteczność tej metody jest tym większa, im większy zapewnimy poziom niezależności. Wrogiem niezależności jest podległość służbowa, wzajemne konsultacje w zespole osób tworzących wyrób lub jakiekolwiek inne powiązania, w tym naciski lub zależności finansowe. Wracając do wymagań europejskich dotyczących interoperacyjności i do działań Jednostek Notyfikowanych, celem tych działań jest potwierdzenie osiągnięcia wymagań interoperacyjności przez podsystem przy spełnieniu wymagań zasadniczych. Podobnie jak w metodologii norm CENELEC, podstawą weryfikacji WE wynikającej z dyrektywy 2008/57/WE jest domniemanie, że niezależna Jednostka w sposób wolny od sugestii, stronniczości, interesowności przeprowadzi niezależną weryfikację pod kątem spełnienia wymagań interoperacyjności. Jednak w obecnie przyjętej metodzie podziału ról w procesie inwestycyjnym, zleceniodawcą i sponsorem wykonania weryfikacji WE przez Jednostkę Notyfikowaną jest Wykonawca inwestycji, a więc ktoś, komu bezwzględnie zależy na terminowym wykonaniu robót przy minimalnym obciążeniu budżetu. Jednostka Notyfikowana, która w system wartości ma wpisaną niezależność, bezstronność i brak konfliktu interesów, w rzeczywistości finansowo zależy od Wykonawcy podsystemu. Wykonawca zostaje zobligowany poprzez zapisy SIWZ (Specyfikacja Istotnych Warunków Zamówienia) do zlecenia weryfikacji WE podsystemu do Jednostki Notyfikowanej, a więc jej praca jest pozycją w kosztach Wykonawcy, choć w założeniu Jednostka Notyfikowana nie powinna być podwykonawcą w realizowanej inwestycji a stroną trzecią. Kryterium wyboru Jednostki Notyfikowanej do przeprowadzenia weryfikacji WE podsystemu powinny być w pierwszej kolejności kompetencje i rzetelność, a więc jakość wykonanej pracy, gdyż daje to gwarancję Wykonawcy, Inwestorowi, Zarządcy Infrastruktury oraz Urzędowi 58 / Biuletyn Certa Review 1 (3)/2018

Transportu Kolejowego, że potwierdzenie zgodności z wymaganiami interoperacyjności jest miarodajne i wiarygodne, a w konsekwencji oznacza to, że oceniany podsystem jest bezpieczny. W rzeczywistości jednak kryterium wyboru Jednostki Notyfikowanej do wykonania weryfikacji WE stał się czynnik finansowy, co może być powodem uchybień w zakresie niezależności. Wnioskiem z tych rozważań powinna być zachęta twórców SIWZ do ponownego przeanalizowania sposobu realizacji wymagań dyrektywy o interoperacyjności w odniesieniu do właściwego przydziału odpowiedzialności za zlecanie weryfikacji WE. Pisząc wprost: to nie Wykonawca podsystemu powinien chcieć być ocenianym, ale Zamawiający powinien chcieć, aby ktoś niezależny ocenił Wykonawcę. Różnica w intencjach jest zasadnicza i zmienia koncepcję niezależności z papierowej na rzeczywistą. Jakość pracy Jednostki Notyfikowanej Nawiązując do wspomnianej wcześniej jakości działań wykonanych przez Jednostkę Notyfikowaną, rozważmy od czego ona zależy. Podstawowymi czynnikami wpływającym na jakość są trzy aspekty: kompetencje Jednostki Notyfikowanej, odpowiedni czas na wykonanie oceny, efektywna współpraca z Wnioskodawcą. Kompetencje Jednostki Notyfikowanej zależą od kwalifikacji i doświadczenia personelu wykonującego ocenę oraz od dostępności źródeł wiedzy, w tym szkoleń, udziału w konferencjach i spotkaniach branżowych, wymiany doświadczeń pomiędzy samymi jednostkami. Podobnie jak trudno jest przedsiębiorcy podejmującemu rolę Wykonawcy inwestycji kolejowej zgromadzić wszystkich niezbędnych specjalistów branży srk i branż towarzyszących, aby sprostać wymaganiom prawnym i wymaganiom kontraktowym, tak też trudno jest Jednostce Notyfikowanej pozyskać specjalistów posiadających całe spektrum wiedzy w zakresie sterowania ruchem kolejowym. Wspomnieć tu należy, że różnorodność urządzeń wchodzących w skład podsystemu CCS dotyczy nie tylko technologii ich wykonania, co już powoduje potrzebę posiadania specjalizacji inżynierskich: od mechaników, poprzez automatyków, elektroników czy specjalistów telekomunikacji aż do informatyków, ale również dotyczy przeznaczenia urządzeń realizowanych przez nie funkcji: od urządzeń konwencjonalnych (warstwy podstawowej), takich jak: urządzenia stacyjne, urządzenia liniowe, urządzenia przejazdowe, urządzenia łączności, urządzenia systemów detekcji pociągu itd. (należy wymienić tu wszystkie rozwiązania akceptowalne według tzw. Listy Prezesa UTK), aż do urządzeń systemu ERTMS, dla którego znów można zalokować kompetencje w zakresie ETCS czy GSM-R; na specjalizację w zakresie zagadnień RAMS, w zakresie oprogramowania czy sprzętu, jak również na specjalizację w zakresie danego poziomu ERTMS czy etapu jego cyklu życia. Jak widać potrzebna różnorodność kwalifikacji jest ogromna. Nie bez znaczenia jest fakt, że głównym źródłem posiadanej wiedzy jest nie tylko kierunek czy stopień ukończonych studiów, ale doświadczenie zdobyte w pracy w firmach wykonawczych, firmach produkcyjnych, w centrach badawczo-rozwojowych, w ośrodkach naukowych czy innych podmiotach bezpośrednio zaangażowanych w projektowanie, wytwarzanie, instalowanie czy utrzymanie urządzeń srk. Stąd wniosek, że Jednostka Notyfikowana musi zatrudniać wielu specjalistów o szerokiej wiedzy i doświadczeniu, a więc takich, których niewielu jest do pozyskania z rynku pracy. Stwarza to oczywiście poważny problem konkurencyjności warunków, jakie Jednostka musi zaoferować. Aby pozyskać dobrych fachowców musi ich odpowiednio zachęcić i motywować. 1 (3)/2018 Biuletyn Certa Review / 59

Fot. archiwum redakcji Drugim czynnikiem, jaki wpływa na jakość wykonanej oceny jest niewątpliwie czas, który może być poświęcony przedmiotowej ocenie. Czym później Jednostka Notyfikowana otrzyma dane do oceny i czym później zostanie do tej oceny zaangażowana, tym mniej czasu będzie można poświęcić na wnikliwe przeanalizowanie budowanego podsystemu. Naciski ze strony Wykonawcy, presja terminów czy opóźnień Wykonawcy nie wpływa dobrze na jakość przeprowadzonej oceny. Paradoksem jest również fakt, że w obecnie obowiązującej procedurze realizacji kontraktu kluczem do wejścia Wykonawcy na obiekt i rozpoczęcia budowy jest zatwierdzenie projektu przez Zespół Opiniowania Projektów Inwestycyjnych (ZOPI), natomiast podobnego znaczenia nie ma wystawiona przez Wykonawcę pośrednia deklaracja weryfikacji WE na etapie projektowania. W konsekwencji Wykonawca może zrealizować obiekt według zatwierdzonego przez ZOPI projektu, który w ocenie Jednostki Notyfikowanej może okazać się niezgodny z przepisami Technicznych Specyfikacji Interoperacyjności czy Listy Prezesa UTK. Istnieje więc poważne ryzyko, że wybudowany podsystem sterowanie, zaakceptowany przez Zamawiającego, nie uzyska pośredniego certyfikatu weryfikacji WE z powodu stwierdzonych niezgodności, a więc niemożliwe będzie również wystawienie przez Jednostkę Notyfikowaną certyfikatu weryfikacji WE na etapie prób końcowych podsystemu. Trzeba mieć nadzieję, że w rzeczywistości takie sytuacje nie zdarzają się często, natomiast na pewno powszechną praktyką jest nerwowe wnoszenie zmian i uzupełnień w projekcie, który już doczekał się realizacji. Atmosfera niezadowolenia i niezrozumienia ze strony Wykonawcy, który jest klientem Jednostki Notyfikowanej ponieważ płaci za usługę a otrzymuje, w jego mniemaniu, niezadowalający produkt w postaci stwierdzanych niezgodności, nie wpływa dodatnio na jakość pracy Jednostki. Tu płynnie przechodzimy do kolejnego czynnika wpływającego na jakość wykonanej oceny zgodności. Jest nim dobra współpraca z Wnioskodawcą. Jak już wielokrotnie wspomniano w tym artykule, Wnioskodawcą weryfikacji WE jest, zgodnie z zapisami SIWZ, sam Wykonawca. W interesie zatem Wykonawcy wydaje się być sprawna i owocna współpraca pomiędzy nim a Jednostką od samego początku trwania inwestycji. W przypadku podsystemu sterowanie kluczowym jest, aby od początku tej współpracy wytypowany został przedstawiciel Wykonawcy odpowiedzialny za ten podsystem, który rozumie rolę Wykonawcy w dostarczeniu Zamawiającemu podsystemu sterowanie zgodnego z wymaganiami. 60 / Biuletyn Certa Review 1 (3)/2018

Doświadczenie pokazuje, że znajomość obowiązującego prawa w zakresie wymagań Dyrektywy 2008/57/WE dotyczącej interoperacyjności systemu kolei w Unii Europejskiej i wynikających z niej wymagań TSI czy Listy Prezesa UTK jest wciąż niewielka i to zarówno wśród projektantów srk, jak i firm produkcyjnych czy instalacyjnych. W konsekwencji znajomość wymagań zasadniczych, sposobu ich spełnienia oraz metod wykazania ich spełnienia jest wciąż niewystarczająca. Logiczną wydaje się więc potrzeba dobrej współpracy z Jednostką Notyfikowaną, która tę wiedzę posiada. Szczególny nacisk należy położyć na integrację budowanego podsystemu sterowanie z istniejącym i eksploatowanym systemem. Doświadczenie uczy, że bezpieczna integracja tych dwóch bytów stanowi niemały problem. Podsumowując powyższe rozważania należy podkreślić, że wymagane są znaczne, prawie rewolucyjne, zmiany w podejściu do realizacji inwestycji w kontekście wymagań interoperacyjności. Konieczny jest wzrost świadomości dotyczący związanych z nimi regulacji prawnych i co za tym idzie wdrożenie nowego podejścia do projektowanego i budowanego systemu srk, gdzie kluczowym jest spełnienie wymagań zasadniczych i potwierdzenie ich spełnienia poprzez testy i analizy, szczególnie w odniesieniu do integracji z istniejącym podsystemem. Brak takiego podejścia, opóźnienia czy zaniechania wdrożenia określonych działań są poważnym uchybieniem systemowym i mogą doprowadzić, nawet po latach, do podobnego w tragicznych skutkach wypadku kolejowego, jaki zdarzył się w 2012 roku pod Szczekocinami. W interesie zatem wszystkich interesariuszy procesu certyfikacji leży jej jakość, gdyż proces certyfikacji jest ostatnią bramką, gdzie wychwycić można potencjalne zagrożenie dla bezpieczeństwa ruchu kolejowego. Streszczenie Niniejszy artykuł przedstawia genezę metodologii zapewniającej bezpieczeństwo systemów sterowania ruchem kolejowym. Jednym z narzędzi tej metodologii jest niezależność. Dodatkowym czynnikiem, który podnosi zaufanie do systemów sterowania ruchem kolejowym jest realizowana przez Jednostki Notyfikowane ocena spełnienia przez podsystem Sterowanie wymagań zasadniczych. Niezależność Jednostek Notyfikowanych jest fundamentalną cechą zapewniającą wiarygodność oceny. Autor artykułu podkreśla wagę procesu weryfikacji WE i opisuje czynniki, jakie wpływają na jakość tego procesu. Słowa kluczowe niezależność Jednostek Notyfikowanych, berło, bezpieczeństwo, niezawodność, urządzenia sterowania ruchem kolejowym. Summary The aim of this article is to present the genesis of Control Command and Signalling systems safety methodology. One of the tools used in this methodology is independence. Assessment of essential requirements fulfilment, provided by notified bodies is an additional factor which improves Control Command and Signalling Subsystem trustworthiness. The independence of notified bodies is a fundamental feature of ensuring the reliability of the assessment. The author emphasizes the importance of the WE verification process and describes the factors that influence the quality of this process. Keywords Notified body independence, Sceptre, Safety, Reliability, Control Command and Signalling equipment. 1 (3)/2018 Biuletyn Certa Review / 61

Małgorzata Piechota Kierownik ds. Administracji i Ofertowania CERTA m.piechota@certa-eu.pl Fot. Jadwiga Wrzesińska Umowa z jednostką notyfikowaną w zakresie weryfikacji WE Rozpoczęcie procedury weryfikacji WE następuje w momencie zawarcia umowy wykonawcy z jednostką notyfikowaną. Doświadczenie pokazuje, że przed nawiązaniem współpracy tych podmiotów występuje szereg problemów mających swoje źródło w niedostatecznym zrozumieniu i poznaniu charakteru działania jednostki notyfikowanej. Niniejszy artykuł ma przedstawić te problemy i wyjaśnić, że tak naprawdę nie istnieją. 62 / Biuletyn Certa Review 1 (3)/2018

Wybór jednostki notyfikowanej do przeprowadzenia oceny zgodności podsystemu to kluczowa decyzja, która nie powinna opierać się jedynie na oferowanej przez jednostkę cenie za daną usługę. Przede wszystkim wykonawca powinien zapoznać się z kompetencjami danej jednostki, szukając informacji na ten temat w niezależnych i potwierdzonych źródłach. Bezwzględnie należy się upewnić, czy dana jednostka ma status jednostki notyfikowanej oraz sprawdzić, czy posiada odpowiedni zakres akredytacji. W dalszej części artykułu podpowiadam, gdzie można znaleźć te niezbędne dane oraz postaram się przybliżyć i pozwolić zrozumieć charakter pracy jednostek notyfikowanych. Często bowiem zdarza się, że firmy wykonawcze, przed i w trakcie realizacji prac, które wykonują w ramach zadania inwestycyjnego, traktują jednostki notyfikowane jak swoich podwykonawców, co jest oczywiście błędem i źródłem powstawania niepotrzebnych nieporozumień na drodze do zawarcia umowy między wykonawcą a jednostką notyfikowaną. Ponadto w artykule poruszam temat odpowiedniego momentu do rozpoczęcia procesu weryfikacji WE oraz przedmiotu umowy czyli określenia zakresu certyfikacji oraz dokumentów odniesienia, na podstawie których będzie przeprowadzona ocena danego podsystemu. Uwagę czytelnika zwrócę również na obowiązek zgłoszenia do UTK wszczęcia procedury weryfikacji WE jaki jest nałożony na wykonawcę prac. Jednostka notyfikowana nie jest podwykonawcą Na samym początku warto zapoznać się z definicją jednostki notyfikowanej. Jednostka notyfikowana to instytucja niezależna i bezstronna w stosunku do podmiotu lub wyrobu, który ocenia, działająca w sposób obiektywny, zgodnie z wymaganiami określonymi w dotyczącej jej dyrektywie. Stanowi ona stronę trzecią w procesie dopuszczania do eksploatacji podsystemów i składników interoperacyjności. 1 (3)/2018 Biuletyn Certa Review / 63

Przy okazji przytoczenia powyższej definicji warto wyraźnie zaznaczyć, że błędne jest traktowanie jednostek notyfikowanych, które biorą udział w procesach inwestycyjnych, jak podwykonawców robót budowlanych. Jednostki notyfikowane działają pod nadzorem krajowych organów administracji publicznej. W Polsce nad prawidłową działalnością jednostek notyfikowanych czuwa Polskie Centrum Akredytacji oraz Prezes UTK, który udziela autoryzacji na podstawie ustawy o systemach oceny zgodności i nadzoru rynku [1] w związku z ustawą o transporcie kolejowym [2] i to właśnie na tym prawnym gruncie badane są działania jednostek notyfikowanych odrębnym w stosunku do przepisów dotyczących udzielania zamówień publicznych [3]. Usługi związane z oceną zgodności nie mogą być realizowane przez wykonawcę czy też jego podwykonawców. Jednostka notyfikowana musi być bezstronna i niezależna od tych podmiotów, a także od zamawiającego. Przy okazji warto zwrócić uwagę na granice odpowiedzialności. Wykonawca zlecając prace swojemu podwykonawcy bierze za nie pełną odpowiedzialność przed zamawiającym, tak jakby sam je wykonał, natomiast w przypadku usługi weryfikacji WE realizowanej przez jednostkę notyfikowaną nie może jej wziąć na siebie, ponieważ przeczyłoby to niezależności jednostki oraz prowadziło de facto do samooceny. Zamawiający nie jest wnioskodawcą wobec jednostki notyfikowanej i nie bierze bezpośredniego udziału w procedurze weryfikacji WE, a zatem w świetle wymagań akredytacyjnych nie może ingerować w treść umów zawieranych pomiędzy wykonawcą a wybraną przez niego jednostką notyfikowaną. Zgodnie z SIWZ, zamawiający ma prawo do weryfikacji i akceptacji podstawy oceny (przedmiotu umowy). Powyższe zasady mają również odzwierciedlenie przy zobowiązaniu dotyczącym składania jednolitego europejskiego dokumentu zamówienia (JEDZ), o którym mowa w rozporządzeniu wykonawczym Komisji (UE) [4] ustanawiającym standardowy formularz jednolitego europejskiego dokumentu zamówienia, do którego składania zobowiązani są wykonawcy i podwykonawcy ubiegający się o udzielenie zamówienia obowiązek ten nie dotyczy jednostek notyfikowanych. Wybór jednostki notyfikowanej Przed podjęciem decyzji dotyczącej wyboru jednostki, wykonawca powinien dokonać sprawdzenia, czy dana jednostka notyfikowana, która oferuje usługę weryfikacji WE, posiada odpowiednie uprawnienia do przeprowadzenia oceny zgodności w wymaganym zakresie. Pierwszym krokiem jest sprawdzenie zakresu akredytacji. Zakres ten obejmuje informacje dotyczące objętych akredytacją podsystemów, modułów oceny oraz wydania TSI, według których jednostka może przeprowadzać ocenę zgodności. Status akredytacji oraz aktualność zakresu akredytacji można potwierdzić na stronie internetowej PCA. Kolejnym krokiem przed dokonaniem wyboru jednostki jest sprawdzenie, czy dana jednostka oceniająca zgodność ma status jednostki notyfikowanej. Notyfikacji dokonuje Prezes UTK po wydaniu decyzji o udzieleniu autoryzacji. Autoryzacji dokonuje również Prezes UTK. Do złożenia wniosku o udzielenie autoryzacji uprawnione są jednostki certyfikujące, jednostki kontrolujące oraz laboratoria, które uprzednio uzyskały akredytację Polskiego Centrum Akredytacji w zakresie umożliwiającym przeprowadzanie oceny zgodności z zasadniczymi wymaganiami dotyczącymi interoperacyjności systemu kolei dla składników interoperacyjności i/lub weryfikacji WE podsystemów strukturalnych. Po udzieleniu autoryzacji Prezes UTK notyfikuje daną jednostkę, a następnie kieruje zgło- 64 / Biuletyn Certa Review 1 (3)/2018

Fot. Jadwiga Wrzesińska szenie o jej notyfikacji do Komisji Europejskiej oraz pozostałych państw członkowskich Unii Europejskiej, które mają prawo wnosić swoje uwagi w przeciągu 14 dni (jeśli jednostka posiada akredytację w tym zakresie) od daty notyfikacji jednostki. Po tym terminie, gdy nie wniesiono żadnych uwag, jednostka zostaje wpisana do bazy NANDO (ang. New Approach Notified and Designated Organisations) europejskiego wykazu jednostek notyfikowanych, który ma charakter jedynie informacyjny (zgodnie z informacją opublikowaną na stronie UTK). W przypadku jakichkolwiek wątpliwości należy zwrócić się do danej jednostki o potwierdzenie notyfikacji (w tym okazanie autoryzacji). W razie dalszych niepewności można prosić o informację UTK. Kiedy czas na umowę? Zawarcie umowy z jednostką notyfikowaną często traktuje się drugoplanowo, a nawet marginalnie. Zło konieczne? Niezupełnie. Oczekiwanym przez wykonawcę wynikiem współpracy z jednostką notyfikowaną jest uzyskanie certyfikatu weryfikacji WE dla modernizowanego lub odnawianego podsystemu, który poświadcza spełnienie wymogów interoperacyjności. Rzeczywistość pokazuje natomiast, że mimo realizacji projektu zgodnie z przyjętymi wymogami nie zawsze udaje się je wszystkie spełnić. Są tego różne powody: od błędnej interpretacji przepisów czy braku wiedzy, do błędów, a nawet zaniedbań, których źródłem jest najczęściej czynnik ludzki. Jednostka notyfikowana, jako weryfikator, ma możliwość wychwycenia wszystkich tych niedociągnięć. Wskazanie pewnych niezgodności lub braków ma na celu zwrócenie uwagi na punkty newralgiczne projektu na etapie projektowania i budowy, które wskazują na niespełnienie wymogów interoperacyjności. 1 (3)/2018 Biuletyn Certa Review / 65

Wskazane przez jednostkę braki lub niezgodności nie przekreślają uzyskania przez wykonawcę certyfikatu. Wykonawca w trakcie oceny powinien dokonać uzupełnień oraz usunąć nieprawidłowości projektu, co otworzy mu drogę do celu wydania certyfikatu weryfikacji WE przez jednostkę notyfikowaną. Kiedy już wiemy, że jednostka notyfikowana jest swego rodzaju wsparciem wykonawcy (niemającym żadnego powiązania z konsultingiem) na drodze do osiągnięcia interoperacyjności, śmiało możemy wrócić do pytania: kiedy czas na umowę? Zamawiający zgodnie z SIWZ wymaga: Wykonawca jest zobowiązany podjąć współpracę z jednostką notyfikowaną na samym początku procesu projektowania oraz poinformować Prezesa UTK o podpisaniu umowy z jednostką notyfikowaną, zgodnie z obowiązującymi przepisami prawa. Powyższe wymaganie jest jak najbardziej zasadne, ponieważ ma na celu dbałość o prawidłowy przebieg procedury weryfikacji WE. W rzeczywistości jednak nie jest to takie łatwe do spełnienia. Problem dotyczy przede wszystkim inwestycji realizowanych w systemie projektuj i buduj, gdzie prace projektowe tylko nieznacznie wyprzedzają realizację budowy. Ze względu na złożoność procesu projektowania, który charakteryzuje się częstym wprowadzaniem modyfikacji, w przypadku przeprowadzenia oceny zgodności na tym etapie umowę zaleca się podpisać przed rozpoczęciem tego procesu. Współpraca z jednostką notyfikowaną powinna rozpocząć się od klarownego przedstawienia procesu certyfikacji: wyjaśnieniu, na czym polega ocena, jakie parametry będą poddane ocenie, na podstawie jakich przepisów oraz jakie dowody będą konieczne do przedstawienia. Im szybciej jednostka uzyska prawo do rozmowy z wnioskodawcą i projektantem, tym większe jest prawdopodobieństwo sporządzenia odpowiedniej dokumentacji już od początku projektowania. Podstawą do rozpoczęcia procedury weryfikacji WE na etapie projektowania, która kończy się uzyskaniem pośredniego certyfikatu weryfikacji WE (w przypadku pozytywnej decyzji certyfikacyjnej), jest posiadanie przez wykonawcę skończonej i kompletnej dokumentacji projektowej (projektu wykonawczego) dla samodzielnej funkcjonalnie części podsystemu. Oceniany projekt powinien być ostateczną wersją, na podstawie której wykonawca realizuje budowę. Umowę z jednostką notyfikowaną bezwzględnie należy zawrzeć przed rozpoczęciem bezpośrednich prac na gruncie. Weryfikacja projektu wykonawczego pozwoli na wyeliminowanie ewentualnych niezgodności, które mogą pojawić się przy ocenie etapu budowy. Często naprawienie błędu na etapie budowy wiąże się z dodatkowymi kosztami i opóźnieniami w dotrzymaniu umownych terminów przez wykonawcę względem zamawiającego. Przedmiot umowy zakres certyfikacji i dokumenty odniesienia Przedmiotem umowy zawieranej przez wykonawcę z jednostką notyfikowaną jest przeprowadzenie weryfikacji WE podsystemu, który jest wskazany przez zamawiającego do modernizacji lub odnowienia. Weryfikacja WE zwykle zostaje przeprowadzona w odniesieniu do wszystkich części podsystemu objętych zakresem prac, uzgodnionych z wykonawcą na podstawie zapisów w SIWZ. W umowie zostaje wyszczególniony rodzaj podsystemu, jego nazwa oraz dokumenty odniesienia, które wskazują podstawę prawną wymagań, według których zostanie przeprowadzona procedura weryfikacji WE w tym odpowiednie wydania TSI oraz Listy Prezesa (jeżeli dotyczy). Dokumenty odniesienia powinny być opisane datą wydania oraz wyraźnie wskazywać, którego z ocenianych podsystemów dotyczą. Nazwa podsystemu ma trafnie opisywać zakres planowanej oceny, 66 / Biuletyn Certa Review 1 (3)/2018

tak aby jasno wskazywała jego lokalizację (w tym początek i koniec). Zakres weryfikacji i ostateczna nazwa podsystemu, która zostanie umieszczona w raportach z oceny oraz na certyfikacie weryfikacji WE, już w trakcie oceny jest uszczegóławiana i uzgadniana przez obie strony tak jak wskazuje zamawiający w SIWZ: Dokładny zakres weryfikacji, wynikający z zakresu robót w podsystemie, zostanie ustalony między Wykonawcą a jednostką notyfikowaną zaraz po podjęciu współpracy między ww. i będzie podlegał akceptacji Zamawiającego. Przedmiot umowy określa także etapy weryfikacji, na których zostanie przeprowadzona ocena danego podsystemu. Wyszczególnia się weryfikację na etapie projektowania (projekty wykonawcze) oraz weryfikację na etapie budowy i prób końcowych (sprawdzenia, pomiary i badania na gruncie). W przedmiocie umowy winna również znaleźć się informacja dot. zastosowanego modułu do przeprowadzenia weryfikacji WE. Zwykle proces oceny podsystemów strukturalnych realizowany jest według modułu SG. Wymagania akredytacji a zapisy umowne Jednostka notyfikowana ze względu na swój charakter pracy, który podlega stałej obserwacji Polskiego Centrum Akredytacji, oraz ze względu na obowiązujące normy oraz wymagania akredytacyjne, często posługuje się własnym szablonem umowy dot. usługi certyfikacji, który przedstawia wnioskodawcy w celu zawarcia współpracy. Umowa o certyfikację powinna uwzględniać odpowiedzialności jednostki i jej klienta wymienione w normie dotyczącej oceny zgodności [5]. Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 67

Wykonawca często chce narzucić jednostce wzór umowy, który stosuje wobec swoich podwykonawców (o błędnym traktowaniu jednostki notyfikowanej jako podwykonawcy wspomniano już wcześniej) lub wprowadzić do umowy zaproponowanej przez jednostkę zapisy, które naruszają jej prawa. Głównym źródłem nieporozumień są zapisy dotyczące stosowania przez wykonawcę wszelkiego rodzaju zabiegów kontrolujących działania i decyzje jednostki, oczekiwanie od jednostki konsultacji lub chęć uzyskania praw autorskich do raportów, a nawet certyfikatów. Jednostki oceniające zgodność działają jako strona trzecia i z założenia muszą być bezstronne i niezależne od zamawiającego i wykonawcy. Wykonawca nie może w żaden sposób naruszać praw jednostki notyfikowanej. Zgłoszenie do UTK obowiązek wykonawcy Zgodnie z obowiązującymi przepisami (art. 25cb ust. 3 ustawy o transporcie kolejowym [2]) wykonawca jako producent podsystemu, na rzecz którego wykonywana jest procedura weryfikacji WE, jest obowiązany powiadomić Urząd Transportu Kolejowego o fakcie wszczęcia takiej procedury w terminie 14 dni od dnia zawarcia umowy z jednostką notyfikowaną. Zgłoszenie powinno zawierać dokładne wskazanie TSI, w oparciu o które będzie przebiegać weryfikacja. Dane zgłoszenie można przesłać do UTK poprzez interaktywny formularz dostępny na stronie internetowej UTK lub pisemnie. Podsumowanie Obecność jednostek notyfikowanych w procesie dopuszczania do eksploatacji podsystemów jest kluczowa i niezbędna. Są one częścią procedur ukierunkowanych na zapewnienie bezpieczeństwa oraz interoperacyjności systemu kolejowego. Zasady współpracy wykonawcy z jednostką notyfikowaną powinny być jasno opisane oraz oparte o obowiązujące przepisy dotyczące praw i obowiązków jednostek oceniających zgodność, a traktowanie jednostki notyfikowanej jako podwykonawcy pozostaje w całkowitym oderwaniu od przepisów regulujących podwykonawstwo robót i usług budowlanych. Jednostka notyfikowana jest bez wątpienia niezastąpioną częścią trybów związanych z weryfikacją projektów, którą również dokonują Komisje Oceny Projektów Inwestycyjnych czy Zespoły Opinii Przedsięwzięć Inwestycyjnych. Podsumowując zaufajmy jednostkom notyfikowanym. Źródła 1. Ustawa z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, tj. Dz.U. z 2017 r., poz. 1398. 2. Ustawa z dnia 28 marca 2003 r. o transporcie kolejowym, Dz.U. z 2017 r., poz. 2117 z późn. zm. 3. Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, Dz.U. z 2017 r., poz. 1579. 4. Rozporządzenie wykonawcze Komisji (UE) 2016/7 z dnia 5 stycznia 2016 r. ustanawiające standardowy formularz jednolitego europejskiego dokumentu zamówienia, EUR-Lex 32016R0007 EN. 5. Norma PN-EN ISO/IEC 17065:2013-03. Ocena zgodności Wymagania dla jednostek certyfikujących wyroby, procesy i usługi. Streszczenie Konieczność zawarcia umowy z jednostką notyfikowaną budzi nadal wiele pytań i niejasności wśród wykonawców inwestycji modernizowanych lub odnawianych linii kolejowych. Artykuł poświęcony został istotnym kwestiom dotyczącym nawiązania tej 68 / Biuletyn Certa Review 1 (3)/2018

współpracy. Przedstawiono w nim jednostkę notyfikowaną i charakter jej pracy oraz naświetlono ważne części umowy o przeprowadzenie weryfikacji WE. Słowa kluczowe umowa, weryfikacja WE, jednostka notyfikowana. Summary The need to conclude an agreement with a Notified Body still raises many questions and uncertainties among contractors of investments for modernized or renewed railways. The article is devoted to important issues regarding the establishment of this cooperation. It presents the Notified Body and the nature of its work, and highlights important parts of the contract for EC Verification. Keywords Agreement, EC Verification, Notified Body. Fot. Jadwiga Wrzesińska 1 (3)/2018 Biuletyn Certa Review / 69

ACh Fot. archiwum redakcji O pewnej wizji systemów sterowania ruchem za, powiedzmy, 10 lat Systemy sterowania ruchem kolejowym należą do krytycznych elementów infrastruktury kolejowej, od których zależy bezpieczeństwo kolei. Jakość instalowanych systemów srk determinuje także przepustowość linii i stacji. Warto wymienić te systemy, od których szczególnie zależy bezpieczeństwo podróżujących ludzi i transportowanych ładunków. Zaliczamy do nich systemy nastawcze (zależnościowe), blokady liniowe oraz automatyczną sygnalizację przejazdową (ssp). Również urządzenia przytorowe, w części urządzenia wykonawcze sygnalizatory, napędy zwrotnicowe, a także urządzenia detekcji pociągu (np. liczniki osi). Do systemów krytycznych należą także systemy pokładowe i przytorowe ATP/ATC 1, w tym m.in. balisy 2, stacje bazowe GSM-R 3, transpondery typu indusi 4, pętle transmisji danych tor pojazd. Od prawie trzydziestu lat systemy te wykonywane są w technice elektronicznej mikroprocesorowej lub na bazie komputerów przemysłowych, np. typu PLC 5. Wykonanie systemów bezpiecznych w takiej technologii wymagało wówczas całkowicie no- 70 / Biuletyn Certa Review 1 (3)/2018

wego podejścia. Trzeba przypomnieć, że w systemie srk żaden błąd związany, na przykład, z błędem oprogramowania, zjawiskami elektromagnetycznymi czy uszkodzeniem elementów elektronicznych nie może skutkować stanem systemu, który doprowadzi do zagrożenia bezpieczeństwa. Do najbardziej drastycznych błędnych stanów systemu należą między innymi wyświetlenie na semaforze zamiast sygnału czerwonego stój, sygnału zezwalającego na jazdę, jak również przestawienie się rozjazdu pod jadącym taborem. To ostatnie będzie skutkowało nieuchronnie wykolejeniem się pociągu. W przypadku pojedynczego procesora (komputera) z pojedynczym oprogramowaniem nie ma żadnej pewności, że takie lub inne niebezpieczne wydarzenie nie nastąpi. Należało zatem tak skonstruować system, aby wypracowanie niebezpiecznego stanu przez system komputerowy ograniczyć do akceptowalnego poziomu ryzyka, załóżmy jedno niebezpieczne zdarzenie raz na milion lat. Zatem w początkowej fazie rozwoju komputerowych systemów nastawczych wymyślono, że w jednym dedykowanym komputerze będą pracowały dwa różnie skonstruowane programy, których wyniki obliczeń będą porównywane przez bezpieczny komparator. Oba programy musiały dawać ten sam wynik, aby można było zmienić stan urządzeń przytorowych i zezwolić na jazdę, w przeciwnym przypadku system zgłaszał błąd i przechodził w stan bezpieczny 6. W następnym okresie ulepszono metodę zapewnienia bezpieczeństwa przez zastosowanie pełnej dywersyfikacji, zarówno hardware u, jak i software u. Tak więc w dwóch komputerach (w przypadku niektórych dostawców systemów srk w trzech komputerach 7 ) instalowano oprogramowanie, które było pisane przez niezależne zespoły programistów. Sposoby kodowania 8 były różne, jak również alokacja portów wyjściowych była odmienna. W następnym kroku zaczęto stosować różne systemy operacyjne, aby podnieść prawdopodobieństwo wykrycia błędów systematycznych w oprogramowaniu komercyjnym komputerów. Przyjmuje się bowiem fundamentalne założenie, że nie istnieje oprogramowanie bez błędów. Kolejny krok w rozwoju systemów to wprowadzenie tak zwanej gorącej rezerwy. Cały system złożony jest, przykładowo, z dwóch zestawów komputerowych A i B, z których każdy zbudowany jest z dwóch kanałów (dwóch sterowników) wzajemnie się kontrolujących i każdy zdolny jest wykonać niezależnie tę Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 71

Fot. archiwum redakcji samą pracę. Gdy jeden z systemów faktycznie steruje ruchem, drugi pozostaje w rezerwie. Jeżeli procesem steruje system A, to w przypadku jego błędu lub awarii sterowanie procesem przejmuje system B lub odwrotnie, gdy procesem sterował system B, w przypadku wykrycia problemu (niezgodności kanałów) następuje automatyczne przełączenie na system A. Jeżeli system jest zrealizowany co do zasady bezpieczeństwa dwukanałowo (dwa komputery z dwoma różnymi programami), to w przypadku gorącej rezerwy mamy cztery komputery w dwóch identycznych zestawach dwukanałowych. Dowodzenie bezpieczeństwa dla systemów komputerowych jest trudne i wymaga zastosowania odpowiednich technik opisanych między innymi w normach EN-50126, EN-50128, EN-50129. Dodatkowym problemem jest krótki czas życia systemów komputerowych. Już po 5, 10 latach są one przestarzałe, a najpóźniej po 20 należy je wymienić na nowe z powodu tak prozaicznej kwestii jak brak części zamiennych, ale przede wszystkim ze względu na brak kompatybilności z nowymi systemami, chociażby komputerami PC, potrzebnymi do celów utrzymaniowych. Ciągłe odmładzanie sprzętu jest ekonomicznie nieefektywne, zwłaszcza w wielu, często małych, lokalizacjach. Proces starzenia się nie jest stabilny czas życia standardowych systemów skraca się. Jednak najpoważniejszym problemem ostatnich lat, związanym z wiekiem systemów, jest narastający problem bezpieczeństwa danych. Kiedy wdrażano pierwsze systemy komputerowe wiele elementów było projektowanych pod kątem konkretnego zastosowania. Były one powiązane co najwyżej dedykowanymi systemami transmisji, nie połączonymi z globalną siecią, która w obecnym kształcie nie istniała. Brak kompatybilności ze światem zapewniał bezpieczeństwo danych. Z biegiem czasu stosowano coraz więcej rozwiązań z półki, chociaż ciągle jeszcze z punktu widzenia rynkowego systemy srk tworzą pewną niedostępną, dla klasycznych automatyków i informatyków, niszę. Nowe technologie, szczególnie w telekomunikacji i teleinformatyce, wdrażane są coraz szybciej, a szybkość wprowadzania na rynek musi przecież skutkować obniżeniem jakości, wzrastającą liczbą błędów, w tym krytycznych. Nowe technologie wymuszają kompatybilność rozwiązań niszowych, przyspieszając ich śmierć techniczną. 72 / Biuletyn Certa Review 1 (3)/2018

Wygląda zatem na to, że przemysł kolejowy już został postawiony przed nowymi wyzwaniami konieczną zmianą dotychczasowego paradygmatu unikalności, rozumianej tu jako synonim bezpieczeństwa ruchu. Choć na razie mało się mówi o tym, że bezpieczeństwo ruchu może być również zagrożone przez niepowołany dostęp do systemu srk, i to w dodatku z dowolnego miejsca na świecie, przez przeciętnego hakera. Kreując wizję przyszłości systemów srk trzeba wyraźnie zdefiniować nowe założenia rozwiązujące obecne problemy, związane z bezpieczeństwem danych, szybkim moralnym starzeniem się sprzętu koniecznością częstej aktualizacji oprogramowania i wymiany hardware u, przede wszystkim komputerów stosowanych w systemach zależnościowych. Nowe wymagania muszą uwzględniać ciągłe naciski na obniżanie kosztów, w szczególności bardzo niebezpieczne zjawisko jakim jest obniżanie kosztów utrzymania. Ponadto nowe wymagania muszą uwzględniać konieczność ustawicznego unowocześniania metod zabezpieczeń przed nieautoryzowanym dostępem do systemów. A gdyby tak Spróbujmy przeprowadzić pewien myślowy eksperyment, wychodząc nie od komputerów, a od toru kolejowego i poruszającego się po nim pociągu. Idealnym rozwiązaniem byłoby, gdyby urządzeń przytorowych srk w ogóle nie trzeba było instalować. Nie zakładamy tutaj, że będzie to dark territory obszar kolejowy w ogóle pozbawiony urządzeń sterowania. System komunikacji z pociągiem dla nowego taboru mógłby być zintegrowany z taborem, tak jak to jest w przypadku obecnego ETCS. Dla starego taboru, ze względów ekonomicznych, mogłyby być instalowane autonomiczne systemy transmisji informacji z i do pociągu, częściowo zintegrowane z pojazdem (anteny oraz, ewentualnie, zawory hamowania awaryjnego). W dobie nadmiaru różnorodnych systemów teletransmisyjnych i lokalizacji, przeznaczonych do zastosowań cywilnych, pojawia się pytanie, czy wykorzystując obecną wiedzę dotyczącą niezawodności i bezpieczeństwa nie można by zbudować efektywnego i bezpiecznego systemu srk korzystającego z sieci publicznych? Żaden pojedynczy sterownik PLC czy komputer nie jest stuprocentowo niezawodny, a zatem i nie jest bezpieczny. Nie jest także bezpieczny, ze względu na potencjalny nieautoryzowany dostęp, żaden pojedynczy system transmisji danych. Dla przykładu, jeżeli system GSM-R przynajmniej od kilku lat jest przestarzały, ujawniając swoją niewydolność w dużych aplikacjach, to należy się zastanowić, czy nie jest on także przestarzały w sensie kryptograficznym bezpieczeństwa danych, co może urzeczywistnić poważne zagrożenia dla bezpieczeństwa ruchu kolejowego. Bazując na teorii niezawodności i bezpieczeństwa, dowolny system bezpieczny możemy zbudować z odpowiedniej liczby systemów, kolokwialnie mówiąc, niebezpiecznych to znaczy takich, których nie zaprojektowano jako systemy bezpieczne, czyli w których możliwe są pojedyncze błędy mogące prowadzić do zagrożenia. Można więc sformułować pytanie czy dedykowany do kolejowych aplikacji, choć w gruncie rzeczy otwarty, system transmisji danych nie może być zastąpiony kilkoma odpowiednio powiązanymi systemami publicznymi (także otwartymi)? Pytanie wydaje się retoryczne, a odpowiedź oczywista. Wyobraźmy sobie, że jeżeli podzielimy odpowiednio pakiety danych i zgodnie z pewnym algorytmem kryptograficznym będziemy wysyłać je różnymi drogami, a konkretnie wysyłać je korzystając z różnych sieci teletransmisyjnych, a następnie te pojedyncze pakiety na serwerze docelowym połączymy tak, aby odtworzyć pierwotną informację, to znacznie zredukujemy prawdopodobieństwo przechwycenia danych i ich manipulacji, ponieważ w żadnej sieci nie będzie kompletu potrzebnego do ich odtworzenia, a także 1 (3)/2018 Biuletyn Certa Review / 73

algorytmu ich podziału. Jeżeli taka platforma, nazwijmy ją umownie platformą integracji teletransmisji 9, będzie wyposażona w odpowiednią redundancję, np. zamiast dwóch sieci wykorzystujemy cztery, to dodatkowo zwiększamy efektywność (dostępność techniczną) takiego systemu. Kontynuując eksperyment myślowy w kontekście systemów lokalizacji wyobraźmy sobie, że mamy więcej niż jeden system pozwalający na określenie położenia. Zgodnie z wymaganiami bezpieczeństwa stosowanymi w lotnictwie 10 system nawigacyjny musi dostarczać informacji o pozycji z wymaganą dokładnością lub musi generować informację, że nie jest w stanie jej dostarczyć w sposób wiarygodny. To podejście jest całkowicie spójne z podejściem do bezpieczeństwa w ruchu kolejowym. Im częściej system zapewnia wiarygodną informację, tym lepiej. Na podstawie takiego podejścia można zbudować algorytm do oszacowania pozycji i pomiaru wiarygodności. Definiuje się miarę jakości jako wysoko wiarygodne oszacowanie górnej granicy błędu oszacowania pozycji, co nazywa się poziomem wiarygodności 11. W tym przypadku poziom wiarygodności definiuje się jako błąd pozycji, który ma być mniejszy od poziomu wiarygodności, odpowiednio małego, zdefiniowanego przez użytkownika parametru. Systemy nawigacji satelitarnej, pierwotnie do celów wojskowych, zbudowały i w praktyce przekazały do eksploatacji na razie dwa państwa USA i Rosja. Unia Europejska i Chiny pracują nad własnymi systemami. System amerykański GPS i rosyjski GLO- NASS częściowo oddano nieodpłatnie do celów cywilnych, jednak z mniejszą dokładnością. W tabeli 1 podano dokładności systemów według założeń projektowych. Tab. 1. Dokładności poziome GPS i GLONASS według założeń projektowych System Błąd poziomy (x, y) 50% 95% GPS (S/A wyłączone) 7 m 18 m GPS (S/A załączone) 27 m 72 m GLONASS 10 m 26 m GPS + GLONASS 9 m 20 m Źródło: Parkinson B.W., Spilker J.J. Jr.: Global Positioning System: Theory and Applications, American Institute of Aeronautics, Inc. 1996, Volume II, s. 267. W przypadku nawigacji satelitarnej, aby otrzymać dobry poziom wiarygodności wymaga się widoczności przynajmniej pięciu satelitów o satysfakcjonujących wymaganiach co do geometrii i parametrach sygnału zgodnych ze specyfikacją. BNS (ang. Beidou Navigation System) 12 to chiński satelitarny system nawigacyjny, którego dokładność wyznaczania pozycji udostępniona komercyjnym użytkownikom wynosić będzie 10 metrów, a dokładność prędkości 0.2 m/s. Przeznaczony jest on jednak dla terytorium Azji. W przyszłości Europejski System Nawigacji Satelitarnej GNSS pozwoli uniezależnić się od amerykańskiego GPS czy rosyjskiego GLONASS. W ramach europejskiego systemu GNSS Galileo planowane są różne poziomy, m.in.: serwis otwarty darmowy serwis przeznaczony do wyznaczania współrzędnych horyzontalnych z dokładnością do 4 m, serwis bezpieczeństwa życia, serwis komercyjny będzie oferował większą dokładność, do 0.8 74 / Biuletyn Certa Review 1 (3)/2018

Fot. archiwum redakcji m w poziomie, serwis regulowany publicznie przeznaczony dla wybranych użytkowników wymagających bardzo wysokiej dokładności i wiarygodności danych. Możliwa jest znacząca korekta błędów w systemach nawigacji satelitarnej przez zastosowanie systemów różnicowych 13 lub zastosowanie dodatkowych naziemnych pseudosatelitów (pseudolitów), a także wykorzystanie dwóch systemów nawigacji satelitarnej jednocześnie. Literatura podaje przykłady zastosowań GPS do lądowania automatycznego samolotów Boeing. Oznacza to uzyskanie dokładności centymetrowych i odpowiednich poziomów bezpieczeństwa prawdopodobieństwo niewykrycia błędu na poziomie 10-9. Wykorzystanie dwóch systemów nawigacji satelitarnej, np. GPS i GLONASS, przybliża nas do rozwiązania bezpiecznego RAIM 14, co daje szansę nowym możliwościom w konstruowaniu systemów sterowania ruchem kolejowym w przyszłości (por. tabela 1). W zastosowaniach kolejowych możemy ograniczyć zagadnienie pozycjonowania do obliczenia dwóch współrzędnych horyzontalnych 15. W przypadku zastosowań lotniczych krytyczne jest dokładne wyznaczenie pozycji w przestrzeni, a zatem potrzebne są trzy współrzędne. Pozycjonowanie można uzyskać także metodą triangulacji, którą umożliwia telefonia komórkowa. Sygnały z 2-3 stacji bazowych pozwalają na uzyskanie przybliżonej informacji o położeniu obiektu. Dokładność pozycjonowania można zwiększyć korzystając z sygnałów z większej liczby stacji, także różnych operatorów. Całkowicie pewną i dokładną informację o położeniu pociągu, tam gdzie wysoka dokładność jest niezbędna, można uzyskać za pomocą pasywnych balis, instalowanych wprawdzie w torach, lecz niepodłączonych fizycznie do żadnego systemu i nie wymagających zasilania energią elektryczną 16. Informacja w centralnym systemie o położeniu pociągu może znaleźć się za pomocą transmisji radiowej, metodami omówionymi powyżej. Kolejnym pytaniem, jakie należy zadać jest, w jaki sposób ma się odbywać regulacja następstwa pociągów, gdy linie nie są wyposażone w urządzenia przytorowe. Przydatna wydaje się być koncepcja berła elektronicznego. Logika berła wirtualnego oznacza, że generuje się dla każdego pociągu wiadomość charakterystyczną (niepowtarzalny numer) wymienianą z pociągiem, umożliwiającą wjazd na określony odcinek linii. Berło 1 (3)/2018 Biuletyn Certa Review / 75

Fot. archiwum redakcji może być przydzielane dla danego odcinka globalnie przez centralny serwer zależnościowy i przesyłane drogą radiową. Serwery zależnościowe, w tej wizji przyszłości, będą instalowane dla znacznego obszaru sterowania ruchem kolejowym. Urządzenia wykonawcze, takie jak napędy w rozjazdach, będą podłączone jedynie do przezroczystych urządzeń wejścia wyjścia, bez jakiejkolwiek logiki zależnościowej. Rozkaz przestawienia rozjazdu przekazywany będzie wieloma drogami w celu uzyskania niezbędnego poziomu bezpieczeństwa. Koncepcja kilku serwerów centralnych umożliwi łatwą aktualizację zarówno softwere u, jak i wymianę modułów elektronicznych, a także umożliwi wynajęcie wysokiej klasy specjalistów do całodobowego nadzoru i utrzymania. Kolej nie jest jedynym użytkownikiem systemów bezpiecznych. Z bezpieczeństwem systemów mamy do czynienia również w innych branżach, przede wszystkim w aeronautyce i lotnictwie. Przyszłość systemów sterowania ruchem kolejowym będzie wyznaczona faktem, jak szybko firmy kolejowe będą się uczyć od innych. Stany systemów określone jako bezpieczne mogą być w przypadkach zastosowań pozakolejowych inaczej definiowane, lecz metody zapewnienia bezpieczeństwa będą podobne. Spojrzenie na inne branże, wykorzystanie ich osiągnięć, będzie z pewnością warunkiem niezbędnym przystosowania się do coraz większej dynamiki zmian technologicznych w najbliższych latach. Konieczność przewartościowań dotyczyć będzie zarówno samej kolei, jak i firm wytwarzających urządzenia sterowania ruchem. Obecny paradygmat nie będzie do obronienia. Korzystając z otwartych sieci publicznych telefonii komórkowej oraz systemów nawigacji satelitarnej, dla zdefiniowanego uprzednio czasu następstwa pociągów, można zbudować system bezpieczny, legitymujący się poziomem bezpieczeństwa SIL-4 17. Konieczna jest jednak odpowiednia redundancja. Odpowiednią nadmiarowość, poprawiając jednocześnie dokładność, w systemach pozycjonowania mogą zapewnić dodatkowe naziemne radiolatarnie (pseudolity). Bezpieczne wykorzystanie publicznej infrastruktury telekomunikacyjnej, nasyconej stacjami bazowymi BTS 18, jest już dziś możliwe poprzez zastosowanie metody jednoczesnego przesyłania informacji poprzez sieci należące do różnych operatorów. 76 / Biuletyn Certa Review 1 (3)/2018

Przypisy 1 ATP/ATC ang. Automatic Train Protection/Automatic Train Control systemy pokładowe i przytorowe oddziaływania tor pojazd. 2 Balisa płaska antena transponder instalowany w osi toru, służy do transmisji danych z toru do pojazdu. 3 GSM-R ang. GSM for Railways, system oparty na standardzie GSM dostosowany do potrzeb kolei. Oprócz transmisji głosu jest głównym medium transmisyjnym przesyłania danych ruchowych z toru do pojazdu w systemie ERTMS poziom 2. 4 Indusi system opracowany pierwotnie w Niemczech, szeroko stosowany na niektórych kolejach, na sieci DB znany jako PZB (punktowe oddziaływanie tor pojazd). W Polsce stosowany jest jeden element tego systemu pod nazwą SHP (samoczynne hamowanie pociągu). 5 PLC ang. Programmable Logic Controller programowalny sterownik przemysłowy. 6 Stan bezpieczny wszystkie sygnalizatory ustawione na stój lub przynajmniej ciemne. 7 Gdy stosuje się system trzykanałowy wystarczy aby dwa wyniki obliczeń dwóch kanałów były zgodne. 8 Dywersyfikacja w sposobie kodowania może być realizowana np. poprzez zastosowanie odmiennej postaci wewnętrznych słów w procesorze najprostsza metoda to zanegowanie wszystkich bitów oraz lustrzane odbicie znaczenia poszczególnych bitów w słowie w kanale B w stosunku do kanału A. Ma to na celu eliminację systematycznych błędów w elementach elektronicznych. 9 Takie systemy zostały już skonstruowane i zastosowane w innych branżach. 10 Parkinson B.W., Spilker J.J. Jr.: Global Positioning System: Theory and Applications, American Institute of Aeronautics, Inc. 1996, Volume II, s. 268. 11 Sformułowanie poziom wiarygodności ang. Integrity level w zależności od kontekstu może być tłumaczone jako poziom bezpieczeństwa. W kolejnictwie operuje się skrótem SIL ang. System Integrity Level, np. SIL-2. Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 77

Fot. archiwum redakcji 12 System Beidou (Wielka Niedźwiedzica) będzie złożony z 5 satelitów geostacjonarnych i 30 poruszających się po orbitach o średniej wysokości i przeznaczony będzie zarówno do użytku wojskowego, jak i cywilnego. 13 Takim systemem jest EGNOS ang. European Geostationary Navigation Overlay Service wybudowany przez Europejską Agencję Kosmiczną, Komisję Europejską i EUROCON- TROL. Jest to europejski system satelitarny wspomagający systemy GPS i GLONASS, a w przyszłości Galileo. Najważniejsze zadania to transmisja poprawek różnicowych i informowanie o awariach systemu GPS. System znacznie zwiększa dokładność i wiarygodność pozycji uzyskiwanej z GPS. Segment naziemny systemu składa się z 34 stacji pomiarowo-obserwacyjnych. Jedna z tych stacji znajduje się w Warszawie. 14 RAIM ang. Receiver Autonomous Integrity Monitoring odbiornik zdolny do wykrywania błędów prowadzących do błędnych wskazań (poza tolerancją). 15 Z tego powodu pominięto w artykule błędy wyznaczania pozycji w pionie. Błąd ten nota bene jest znacznie większy od błędów oszacowania pozycji w poziomie. 16 Energia do wysłania wiadomości do pociągu pozyskana jest z energii fali elektromagnetycznej wysyłanej przez antenę umieszczoną pod ramą pojazdu. 17 SIL-4 ang. System Integrity Level poziom nienaruszalności bezpieczeństwa, liczba która wskazuje stopień zaufania, że system spełni określone funkcje bezpieczeństwa w odniesieniu do uszkodzeń systematycznych. Nienaruszalność bezpieczeństwa jest określona jako jeden z czterech poziomów. Najwyższy poziom nienaruszalności bezpieczeństwa to poziom 4. Najniższy 1. Poziom 0 oznacza, że nie ma wymagań dotyczących bezpieczeństwa. Źródło: PN-EN 50129: Zastosowania kolejowe. Systemy łączności, przetwarzania danych i sterowania ruchem. Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem. 18 BTS ang. Base Transceiver Station stacja naziemna telefonii komórkowej. Podstawą filozoficzną systemu GSM jest struktura komórkowa. Każda komórka posiada jedną stację bazową BTS. Stacje bazowe komunikują się ze stacjami ruchomymi (użytkownikami) i łączą użytkowników z częścią stałą systemu i dalej z innymi sieciami. 78 / Biuletyn Certa Review 1 (3)/2018

Streszczenie Autor opisuje sposoby zapewnienia bezpieczeństwa ruchu kolejowego w dobie komputeryzacji i podłączenia wszystkich komputerów do globalnej sieci. Zwraca uwagę na wprowadzanie już przestarzałego systemu GSM-R, niewydolnego w dużych aplikacjach, nie gwarantującego odporności na ataki hakerskie. W artykule autor kreśli wizję przyszłości bezpieczeństwa sterowania ruchem kolejowym w oparciu o lokalizację pociągu z wykorzystaniem danych z co najmniej dwóch powszechnie dostępnych systemów nawigacji satelitarnej, pozwalających na określenie położenia pociągu z wymaganą 62-dokładnością i z wykorzystaniem berła elektronicznego przydzielanego dla danego odcinka globalnie przez centralny serwer zależnościowy drogą radiową. Zdaniem autora, korzystając z otwartych sieci publicznych telefonii komórkowej oraz systemów nawigacji satelitarnej, dla zdefiniowanego uprzednio czasu następstwa pociągów, można zbudować system bezpieczny, legitymujący się poziomem bezpieczeństwa SIL-4. Słowa kluczowe bezpieczeństwo ruchu kolejowego, GSM-R, systemy nawigacji satelitarnej, publiczna telefonia komórkowa, poziom bezpieczeństwa SIL-4. Summary The author describes the ways to ensure the safety of railway traffic in the era of computerization and connection of all computers to the global network. It draws attention to the introduction of the already obsolete GSM-R system, which is inefficient in large applications and does not guarantee resistance to hackers attacks. In the article, the author outlines a vision of the future of railway traffic control safety based on the location of a train using data from at least two widely available satellite navigation systems, allowing to determine the location of a train with the required accuracy, using an electronic sceptre assigned for a given section globally by a central dependency server via radio. According to the author, using public open networks - mobile telephony and satellite navigation systems - for a predefined time of train sequences, it is possible to build a safe system with a safety level of SIL-4. Keywords Railway traffic safety, GSM-R, Satellite navigation systems, Public mobile telephony, SIL-4 safety level. Fot. archiwum redakcji 1 (3)/2018 Biuletyn Certa Review / 79

Notatki: 80 / Biuletyn Certa Review 1 (3)/2018

1 (3)/2018 Biuletyn Certa Review / 81