WYZWANIA TECHNICZNE ORAZ OGRANICZENIA PRAWNE PODCZAS ODBIERANIA I PRZEKAZYWANIA DO EKSPLOATACJI URZĄDZEŃ BEZPIECZEŃSTWA AKTYWNEGO

Podobne dokumenty
Certyfikacja i autoryzacja ETCS i GSM-R w Polsce. przykłady rzeczywistych procesów i wyzwań w tym zakresie. dr inż. Marek PAWLIK Instytut Kolejnictwa

Lokalizacja projektu

Warszawa, dnia 10 sierpnia 2012 r. Poz. 919 ROZPORZĄDZENIE MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ 1) z dnia 7 sierpnia 2012 r.

Wpływ Europejskiego Systemu Sterowania Pociągiem poziomu 2 (ETCS l2) na urządzenia srk

Warszawa, dnia 9 sierpnia 2012 r. Poz. 911 ROZPORZĄDZENIE MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ 1) z dnia 7 sierpnia 2012 r.

ROZPORZĄDZENIE MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ. z dnia 2 maja 2012 r.

Warszawa, dnia 9 maja 2017 r. Poz. 901

Warszawa, dnia 31 lipca 2014 r. Poz OBWIESZCZENIE MINISTRA INFRASTRUKTURY I ROZWOJU 1) z dnia 11 kwietnia 2014 r.

Warszawa, dnia 7 sierpnia 2015 r. Poz ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY I ROZWOJU 1) z dnia 31 lipca 2015 r.

Certyfikacja wyposażenia lokomotyw w urządzenia sterowania. mgr inż. Witold Olpiński

Pytania egzaminacyjne dla Kierunku Transport. studia II stopnia stacjonarne i niestacjonarne

Podstawy sterowania ruchem kolejowym : funkcje, wymagania, zarys techniki / Mirosława Dąbrowa-Bajon. wyd. 3. Warszawa, 2014.

PROGRAM CERTYFIKACJI WYROBÓW PCW 006. Proces dopuszczenia do eksploatacji typu / z typem budowli, urządzeń oraz pojazdów kolejowych

Instrukcja obsługi tymczasowych ograniczeń prędkości (TSR) w systemie ERTMS/ETCS Ie-30

Zezwolenia na dopuszczenie do eksploatacji podsystemu strukturalnego. Interoperacyjność.

PROWADZENIE RUCHU NA LINIACH METRA. Rozdział 1 Przepisy ogólne

BADANIA SYSTEMÓW STEROWANIA RUCHEM KOLEJOWYM W PROCESIE ICH CERTYFIKACJI

Techniczne Specyfikacje Interoperacyjności ci dla kolei konwencjonalnej Seminarium SIRTS i CNTK Warszawa, 17 lipca 2006 r.

Proces dopuszczenia do eksploatacji typu/z typem budowli, urządzeń oraz pojazdów kolejowych

PROGRAM CERTYFIKACJI WYROBÓW PCW 005. Proces dopuszczenia do eksploatacji typu / z typem budowli, urządzeń oraz pojazdów kolejowych

Propozycja optymalizacji systemu sygnalizacji na sieci PKP PLK S.A. Andrzej Toruń Marcin Gołębiewski

Proces dopuszczenia do eksploatacji typu / z typem budowli, urządzeń oraz pojazdów kolejowych

Zmiana nr 1 do. instrukcji o prowadzeniu ruchu pociągów. na liniach JSK JSK R1. Jastrzębie Zdrój 2016 r. 1

Dalsze działania w celu zbudowania systemu szkoleniowego wykorzystującego techniki symulacji. Zbigniew Szafrański

Uregulowania prawne. dotyczące certyfikacji. podsystemów współtworzących. linie kolejowe

organy notyfikujące jednostki oceniające zgodność jednostki oceniające ryzyko

Delegacje otrzymują w załączeniu dokument D043613/04 Annex 1.

OŚRODEK SZKOLENIA I EGZAMINOWANIA MASZYNISTÓW ORAZ KANDYDATÓW NA MASZYNISTÓW KOLEJE MAZOWIECKIE KM SP. Z O.O. DĄBROWA GÓRNICZA,

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ WYROBY Nr AC 173

Interfejsy cyfrowe do urządzeń sterowania ruchem kolejowym na sieci PKP PLK S.A.

150 MHz GSM-R. REC Radiostop. Wyzwania eksploatacyjne przejścia od radia analogowego do radia cyfrowego

KONFERENCJA RBF. Warszawa, 28 luty 2012 r.

KOMISJA DECYZJA KOMISJI. z dnia 28 marca 2006 r.

STRATEGIA WDRAŻANIA INTEROPERACYJNOŚCI NA SIECI KOLEJOWEJ ZARZĄDZANEJ PRZEZ PKP PLK S.A.

KOMISJA DECYZJA KOMISJI. z dnia 7 listopada 2006 r. transeuropejskiego systemu kolei konwencjonalnych. (notyfikowana jako dokument nr C(2006) 5211)

r r r r r r r.

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ WYROBY Nr AC 173

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Infrastruktura transportu kolejowego

RADA UNII EUROPEJSKIEJ. Bruksela, 15 września 2011 r. (19.09) (OR. en) 14244/11 TRANS 237

24 września 2007 r r. 14 czerwca 2015 r. 31 marca 2015 r. 1 marca 2005 r. 1 czerwca 2005 r. 4 czerwca 2012 r. 09 marca 2015 r.

WYMAGANIA DLA JEDNOSTEK OCENIAJĄCYCH W ŚWIETLE ROZPORZĄDZENIA NR 402/2013. dr Magdalena Garlikowska

Certyfikacja taboru jako podsystemu. Stanisław Opaliński

WYKAZ INSTRUKCJI WEWNĘTRZNYCH PKP POLSKIE LINIE KOLEJOWE S.A. ZAMIESZCZONYCH W INTERNECIE r r r r.

Dokument ten służy wyłącznie do celów dokumentacyjnych i instytucje nie ponoszą żadnej odpowiedzialności za jego zawartość

Wprowadzenie urządzenia sterowania ruchem kolejowym na polski rynek kolejowy w świetle najnowszych zmian w uregulowaniach prawnych

(Akty o charakterze nieustawodawczym) DECYZJE

CHARAKTERYSTYKA TECHNICZNA LINII PKM JAROSŁAW KUIK DYREKTOR DS. REALIZACJI PROJEKTU PKM S.A.

B ROZPORZĄDZENIE KOMISJI (UE)

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 18 lutego 2011 r. w sprawie świadectwa maszynisty 2)

Symulatory do szkolenia maszynistów historia, stan bieżący i projekty w toku. Zbigniew Szafrański

TOM VI. szczegółowe warunki techniczne dla modernizacji lub budowy linii kolejowych. z wychylnym pudłem) TOM VI

01 września 2015 r r. 14 czerwca 2015 r. 31 marca 2015 r. 1 marca 2005 r. 1 czerwca 2005 r. 4 czerwca 2012 r. 09 marca 2015 r.

Interfejs pomiędzy taborem a podsystemami Ruch, Sterowanie i Aplikacje telematyczne

Warszawa, dnia 12 maja 2017 r. Poz. 934 ROZPORZĄDZENIE. z dnia 21 kwietnia 2017 r. w sprawie interoperacyjności systemu kolei 2)

microplc Sposoby monitoringu instalacji technologicznych przy pomocy sterownika

Karol Gruszka Dyrektor Projektu ds. ETCS Biuro Automatyki i Telekomunikacji PKP Polskie Linie Kolejowe S.A.

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ WYROBY Nr AC 173

TTS TECHNIKA TRANSPORTU SZYNOWEGO 2010

niającymi dyrektywę 2004/49/WE

Przepis wewnętrzny wprowadzajacy. Nazwa przepisu Zarządzenie Zarządu Nr 52/ r. możliwy wydruk

Pojazdy kolejowe - proces dopuszczenia do eksploatacji typu pojazdu kolejowego

Rozszerzenie zakresu akredytacji Instytutu Kolejnictwa jako jednostki certyfikującej

Warszawa, dnia 23 kwietnia 2014 r. Poz. 517 ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY I ROZWOJU 1) z dnia 11 kwietnia 2014 r.

Pojazd kolejowy TSI Obowiązek stosowania TSI Odstępstwa od stosowania TSI

B I U L E T Y N PKP POLSKIE LINIE KOLEJOWE Spółka Akcyjna

I. Wprowadzenie. II. Przepisy. III. Informacje i charakterystyka infrastruktury kolejowej PKM.

dr inż. Marek Bartczak OCENA WPŁYWU INTERFEJSU SYSTEMU ETCS POZIOM 1 NA DZIAŁANIE URZĄDZEŃ STEROWANIA RUCHEM KOLEJOWYM

ZANE Z WDROŻENIEM SPECYFIKACJI W POLSCE

Technika sterowania ruchem kolejowym I Wersja przedmiotu 2015/16 A. Usytuowanie przedmiotu w systemie studiów

Perspektywy funkcjonowania infrastruktury kolejowej na terenie województwa dolnośląskiego. Wrocław, 3 lutego 2011 r.

Pojazdy dopuszczone w innym państwie członkowskim Unii Europejskiej

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

Gdynia dn SKMMS-ZP/N/50/09

Techniczne uwarunkowania zapewnienia bezpieczeństwa na przejazdach kolejowo-drogowych

Pierwsze wdrożenia GSM-R w Polsce

Instytut Kolejnictwa jednostką upoważnioną do badań technicznych oraz oceny zgodności określonych rodzajów budowli, urządzeń i pojazdów kolejowych

Uwarunkowania certyfikacyjne ERTMS w Polsce

Propozycja rozporządzenia Ministra Transportu, Budownictwa i Gospodarki Morskiej w sprawie

Nowoczesne systemy sterowania ruchem kolejowym

STRATEGIA LABORATORIUM AUTOMATYKI I TELEKOMUNIKACJI IK W ZAKRESIE PROWADZENIA BADAŃ SYSTEMU GSM-R

RAPORT Z KONSULTACJI projektu ustawy o zmianie ustawy o transporcie kolejowym oraz niektórych innych ustaw

I. Podsystem infrastruktura

ERTMS. ERTMS w krajach Europy Środkowo-Wschodniej Warszawa, maja 2010r. Paweł Przyżycki. Transportation Systems

Nowe rozwiązania w układach sterowania firmy Tester

Zarządzanie taborem kolejowym w czasie rzeczywistym. Michał Szlendak Rail-Mag Logistics

Tekst jednolity uwzględniający zmiany przyjęte. Uchwałą Nr 261/2017 Zarządu PKP Polskie Linie Kolejowe S.A. z dnia 16 marca 2017 r.

Marek Trajdos Klub Paragraf 34 SBT

Założenia do konstrukcji uniwersalnego systemu stawek dostępu do infrastruktury

(Rezolucje, zalecenia i opinie) ZALECENIA KOMISJA EUROPEJSKA

Przedsiębiorstwa Energetyki Cieplnej w Ciechanowie Sp. z o.o.

Ir-1b. Instrukcja o prowadzeniu ruchu pociągów z wykorzystaniem systemu ERTMS/ETCS poziomu 2. Warszawa, 2015 rok

Symulatory do szkolenia maszynistów

Modernizacja linii kolejowej nr 8 w zakresie automatyki kolejowej

Certyfikacja podsystemów: droga kolejowa, sterowanie, zasilanie

Kolizje infrastruktury energetycznej z drogową

ROZPORZĄDZENIE MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ 1) z dnia 2013 r.

24 września 2007 r r. 1 marca 2005 r. 1 czerwca 2005 r. 4 czerwca 2012 r. 15 grudnia r. 6 kwietnia 2009 r. 1 stycznia r.

System bezprzewodowego nadzoru nad jazdą pociągów

W wypadku, kiedy PKM zawrze umowę, o której mowa w art. 38 ust. 5 Ustawy, Biznesowy zostanie dostoswany do postanowień tejże umowy.

Transkrypt:

PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 119 Transport 2017 Marek Pawlik Instytut Kolejnictwa WYZWANIA TECHNICZNE ORAZ OGRANICZENIA PRAWNE PODCZAS ODBIERANIA I PRZEKAZYWANIA DO EKSPLOATACJI URZĄDZEŃ BEZPIECZEŃSTWA AKTYWNEGO Rękopis dostarczono, czerwiec 2016 Streszczenie: Nowoczesne systemy CBTC wykorzystują przekazywanie danych pomiędzy urządzeniami przytorowymi i urządzeniami pokładowymi korzystając z różnych mediów transmisyjnych w tym z kanałów transmisji danych w systemach radio-łączności. Urządzenia przytorowe pobierają dane z nastawnic stacyjnych, a urządzenia pokładowe przekazują polecenia do systemu hamowania i ostrzegają maszynistów. Kompletny łańcuch przetwarzania danych musi zapewniać poziom nienaruszalności bezpieczeństwa SIL 4 niezależnie od tego w ilu różnych projektach realizowane są prace. Nastawnice, przytorowe urządzenia CBTC, systemy radiołączności, pokładowe urządzenia CBTC są budowane i uruchamiane niezależnie. Ich odbiory w kontekście poziomu SIL stanowią wyzwanie techniczne i prawne. W artykule zdefiniowano i poddano analizie różne scenariusze wdrażania CBTC. Zostały one następnie ocenione z punktu widzenia skali wyzwania technicznego i uwarunkowań prawnych. Osiągnięte wyniki pokazują jak projekty wdrożeniowe z zakresu sterowania ruchem powinny być definiowane i w jaki sposób dokumenty przetargowe powinny uwzględniać związane z takimi wdrożeniami wyzwania techniczne i prawne. Słowa kluczowe: transport kolejowy, bezpieczeństwo, systemy sterowania klasy CBTC 1. WPROWADZENIE Podejmując temat bezpieczeństwa należy rozróżnić systemy wspomagające bezpieczeństwo od systemów zapewniających ochronę. W języku potocznym w obu przypadkach używa się przymiotnika bezpieczny. Systemy bezpieczeństwa to systemy, których zadaniem jest przeciwdziałanie wszelkiego rodzaju uszkodzeniom technicznym i ich skutkom, w szczególności wypadkom. Od systemów bezpieczeństwa wymaga się, aby były konstruowane jako systemy bezpieczne, czyli takie, których uszkodzenie w sposób powodujący zagrożenie bezpieczeństwa jest bardzo mało prawdopodobne. Ewentualne ich uszkodzenia nie mogą prowadzić do wypadków a jedynie do ograniczenia ich funkcjonalności. Przy czym przez wypadek rozumieć należy wszelkie zdarzenia niepożądane z punktu widzenia bezpieczeństwa niezależnie od późniejszej kwalifikacji zdarzenia jako poważnego

302 Marek Pawlik wypadku, wypadku czy wydarzenia. Natomiast systemy ochrony to systemy, których zadaniem jest wspomaganie wszelkiego rodzaju działań, których celem jest przeciwdziałanie zagrożeniom dla zdrowia, życia, mienia oraz środowiska wynikającym z bezprawnych działań osób lub grup osób od wandalizmu do terroryzmu. Analiza wyzwań technicznych i ograniczeń prawnych przedstawiona w niniejszym artykule nie dotyczy systemów ochrony. Systemy bezpieczeństwa dzieli się na systemy bezpieczeństwa aktywnego i systemy bezpieczeństwa pasywnego. Odpowiednio są to systemy przeciwdziałające wypadkom wynikającym z uszkodzeń technicznych oraz systemy minimalizujące konsekwencje wypadków. W samochodach przykładami systemów aktywnego bezpieczeństwa są powszechnie dziś stosowane systemy ABS oraz ESP, a przykładami systemów pasywnego bezpieczeństwa są powszechnie stosowane w samochodach osobowych pasy bezpieczeństwa oraz poduszki powietrzne. Natomiast immobilizer jest systemem ochrony. W transporcie kolejowym przykładami systemów aktywnego bezpieczeństwa są nastawnice stacyjne, blokady liniowe i systemy samoczynnej sygnalizacji przejazdowej, a przykładami systemów pasywnego bezpieczeństwa są strefy zgniotu i wyjścia ewakuacyjne w taborze kolejowym. Analiza przedstawiona w niniejszym artykule dotyczy systemów aktywnego bezpieczeństwa określanych w transporcie kolejowym jako systemy sterowania ruchem kolejowym. Systemy sterowania ruchem kolejowym definiuje się, jako zbiór urządzeń, dostosowanych do struktury obszaru kolejowego, realizujących sterowanie automatyczne lub przy udziale operatorów (np. dyżurnych ruchu), które to urządzenia muszą być zbudowane zgodnie z obowiązującymi przepisami i który to system obejmuje także urządzenia łączności oraz tam gdzie jest to konieczne inne urządzenia wspomagające oraz operatorów i prowadzoną przez nich dokumentację [1]. System sterowania ruchem kolejowym można także zdefiniować funkcjonalnie jako system, który w każdych warunkach eksploatacyjnych ma zapewnić bezpieczne sterowanie ruchem kolejowym, czyli w szczególności ma nie dopuścić: do zderzeń czołowych pociągów, do najechań przez pociąg na tył innego pociągu, do zderzeń pociągów na rozjazdach w tym wtargnięć pojazdów kolejowych z bocznic na tory główne, do wykolejeń wskutek przestawienia zwrotnicy pod jadącym pociągiem, do zderzeń z pojazdami drogowymi na przejazdach kolejowo-drogowych, czy do przekroczeń prędkości i przejazdu pojazdów kolejowych poza koniec drogi, która została im udostępniona. Nowoczesne systemy sterowania stosowane w transporcie kolejowym wykorzystują przekazywanie danych pomiędzy urządzeniami przytorowymi i urządzeniami pokładowymi. Z jednej strony przytorowe urządzenia bezpiecznej kontroli jazdy pobierają dane z sygnalizatorów świetlnych lub bezpośrednio z nastawnic stacyjnych, a z drugiej pokładowe urządzenia bezpiecznej kontroli jazdy przekazują polecenia do systemu hamowania i ostrzegają maszynistów. Właściwe dane, krytyczne z punktu widzenia bezpieczeństwa, są transmitowane przy wykorzystaniu różnych mediów transmisyjnych włącznie z kanałami danych w systemach radio-łączności. Kompletny łańcuch, obejmujący generowanie danych, przekazywanie danych a także przetwarzanie danych, musi zapewniać odpowiednio wysoki poziom nienaruszalności bezpieczeństwa poziom SIL 4.

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 303 2. AGREGACJA SYSTEMÓW AKTYWNEGO BEZPIECZEŃSTWA WYZWANIA TECHNICZNE Systemy sterowania ruchem kolejowym (srk) dzieli się na trzy części [3] [11]: warstwę podstawową sterowania ruchem kolejowym, przytorową część warstwy nadrzędnej i pokładową część warstwy nadrzędnej. Przez warstwę podstawową rozumie się kontrolę niezajętości torów i rozjazdów oraz systemy korzystające z informacji o obecności pojazdów na torach urządzenia stacyjne, blokady liniowe i urządzenia zabezpieczenia przejazdów kolejowych. Warstwa podstawowa jest ściśle powiązana z przepisami ruchowymi obowiązującymi na danej sieci kolejowej. Warstwa nadrzędna opiera się na cyfrowej bezpiecznej transmisji danych pobieranych z warstwy podstawowej i przekazywanych do pojazdów. Dane te wykorzystywane są przez urządzenia pokładowej kontroli zgodności prowadzenia pojazdów z ograniczeniami w zakresie prędkości i odległości zgodnie z odebranymi danymi wynikającymi z informacji pobranych z warstwy podstawowej. Łącznie przytorową i pokładową część warstwy nadrzędnej oraz transmisję pomiędzy nimi określa się mianem bezpiecznej kontroli jazdy pociągu (bkjp). Systemy srk warstwy podstawowej są zazwyczaj zabudowywane w innych projektach niż przytorowe urządzenia bkjp, a pokładowe urządzenia bkjp w jeszcze innych projektach. Przekazywanie danych pomiędzy przytorowymi i pokładowymi urządzeniami bkjp niekiedy wykorzystuje media transmisyjne, które są instalowane na linii kolejowej w osobnych projektach, na przykład systemy radio-łączności. System aktywnego bezpieczeństwa powstaje więc zazwyczaj w ramach wielu projektów, a to prowadzi do powstawania wyzwania, które można zdefiniować krótko jak zagwarantować, że system aktywnego bezpieczeństwa sam będzie systemem bezpiecznym. 2.1. KOMPLETNE WDROŻENIE SYSTEMÓW BEZPIECZEŃSTWA AKTYWNEGO REALIZOWANE PRZEZ JEDNEGO WYKONAWCĘ Pracownikom podmiotów ogłaszających przetargi na wdrożenia systemów bezpieczeństwa aktywnego często wydaje się, że ze względu na koniczność zapewnienia spójności rozwiązań, najłatwiej byłoby zlecić budowę takiego systemu w całości. Niemal zawsze powstaje jednak pytanie o wszelkie zewnętrzne interfejsy. Wyróżnić należy budowę wydzielonego systemu transportu szynowego wraz ze zintegrowanym z nim systemem aktywnego bezpieczeństwa oraz wyposażanie w ramach jednego projektu zarówno istniejącej linii kolejowej jak i istniejących poruszających się po takiej linii pojazdów kolejowych.

304 Marek Pawlik 2.1.1. Budowa kompletnego systemu transportowego z systemem aktywnego bezpieczeństwa z transmisją danych z toru do pojazdu Tylko nieliczne projekty w ramach których buduje się nowe systemy transportowe będą pozwalały na pełną swobodę przy definiowaniu funkcji, urządzeń i systemów srk i bkjp. Najczęściej budowana infrastruktura musi być powiązana z już istniejącą a tabor, który ma się po niej poruszać ma bez przeszkód technicznych, w tym z zachowaniem funkcjonalności urządzeń aktywnego bezpieczeństwa, przemieszczać się pomiędzy infrastrukturą nową i istniejącą. Jeśli jednak budowana jest całkowicie nowa infrastruktura szynowa, która funkcjonalnie nie będzie powiązana z inną już istniejącą to kontrolowane są wszystkie interfejsy i możliwe jest zdefiniowanie systemu srk warstwy podstawowej oraz urządzeń bkjp począwszy od określenia ich funkcji i poziomu nienaruszalności bezpieczeństwa. Przykładami takich wdrożeń mogą być: budowa funkcjonalnie wydzielonej nowej linii metra, wraz z dostarczeniem dedykowanych dla tej linii pociągów. Wydzielenie takie oznacza, że pociągi poruszające się po tej linii nie będą wyjeżdżały poza linię w ramach eksploatacji komercyjnej (mogą wyjeżdżać poza linię np. dla potrzeb prowadzenia prac utrzymaniowych) oraz, że po linii poruszać się będą wyłącznie pociągi dedykowane do tej linii (niekoniecznie tylko dostarczone w ramach jednego projektu, ale z pewnością w pełni zgodne z tymi pierwszymi). Skala wymaganej zgodności zależeć będzie od funkcji systemu aktywnego bezpieczeństwa i może obejmować nie tylko zgodność funkcji bkjp oraz techniczną zgodność systemów transmisji, ale także charakterystyk trakcyjnych i charakterystyk hamowania. W praktyce może oznaczać konieczność dokupywania taboru od tego samego dostawcy. Takie wydzielone systemy transportu szynowego to na przykład połączenia pomiędzy terminalami i parkingami długookresowymi na dużych lotniskach np. CDGVAL czy wydzielone linie metra na przykład w Lille Métropole. Należy jednak zauważyć, że także w takim przypadku istnieje konieczność bardzo dobrej koordynacji pomiędzy pracami realizowanymi przez różne zespoły. Konieczne jest zdefiniowanie funkcji. Funkcje definiuje z reguły inwestor, lub zespół ekspertów na zlecenie inwestora. Muszą one być zdefiniowane przed wyborem wykonawcy. Wykonawca musi zdefiniować system, w tym szczegółowo określić interfejsy. Wybór interfejsów zależy od podziału prac pomiędzy różne zespoły. Zazwyczaj kto inny będzie budował tabor, kto inny infrastrukturę a kto inny systemy aktywnego bezpieczeństwa. Kluczowe będą więc powiązania pomiędzy drogą szynową i systemem srk systemy kontroli niezajętości i napędy zwrotnicowe oraz pomiędzy pokładowymi urządzeniami bkjp a samym taborem sterowanie trakcją, hamowaniem, drzwiami itp. Atutem takiego kompleksowego podejścia jest możliwość weryfikowania zgodności rozwiązań na wielu etapach realizacji prac. 2.1.2. Wyposażanie w system bkjp istniejącej linii i poruszającego się po niej taboru Przedstawiona powyżej sytuacja z wielu względów występuje stosunkowo rzadko. Tymczasem jako kompletne wdrożenia realizowane przez jednego wykonawcę postrzegane są projekty, w ramach których w systemy bkjp wyposażane są istniejące linie oraz poruszający się po nich tabor. Przykładem może być wyposażenie w Europejski System Sterowania

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 305 Pociągiem (ETCS) [3], odcinka Legnica Bielawa Dolna linii E30 oraz ośmiu pojazdów trakcyjnych. Interfejsy w takim przypadku są znacznie bardziej skomplikowane. Warstwa podstawowa systemów srk istnieje i nie podlega wymianie. Powiązanie przytorowej części bkjp z istniejącymi systemami srk utrudnia ograniczony dostęp do informacji o rozwiązaniach technicznych w ramach systemu srk. Pobieranie danych z systemu srk nie może tworzyć zagrożenia bezpieczeństwa. Warstwa podstawowa srk stanowiąca system aktywnego bezpieczeństwa jest i musi pozostać systemem bezpiecznym. Pobieranie danych nie może zakłócić pracy warstwy podstawowej srk, a pobrane dane muszą być wiarygodne. Pokładowe systemy trakcji i hamowania istnieją i podobnie jak przytorowy system srk zostały zweryfikowane z punktu widzenia bezpieczeństwa i są dopuszczone do eksploatacji. Ich ewentualnym modyfikacjom towarzyszyć musi pytanie o ważność oceny bezpieczeństwa całych pojazdów a tym samym ich dopuszczeń do eksploatacji. Przykładowo, jeśli interfejs z systemem hamowania zmienia pojemność systemu hamowania na przykład poprzez dodanie dodatkowych przewodów hamulcowych ze sprężonym powietrzem to pojazd musi przejść pełną ocenę bezpieczeństwa taką samą jak nowy typ pojazdu. Interfejsy z trakcją i hamowaniem są immanentną cechą charakterystyczną pokładowych urządzeń bkjp. Muszą one, co najmniej mieć zapewnioną możliwość odłączenia trakcji i wdrożenia hamowania nagłego. Charakterystyka systemu aktywnego bezpieczeństwa często wymaga także wielu innych powiązań z systemami pokładowymi. Może to dotyczyć na przykład sterowania drzwiami. Często będą to nie tylko systemy i urządzenia aktywnego bezpieczeństwa, ale także systemy spełniające pewne funkcje ochrony na przykład systemy informacji w pojeździe wykorzystywane w celu zapobiegania panice. Także tu zabudowa urządzeń bkjp nie może naruszać bezpieczeństwa już dopuszczonych urządzeń i systemów, które z reguły dopuszczono razem z całym pojazdem. 2.2. OSOBNE WDROŻENIA NA LINII I W TABORZE Przedstawiony powyżej model wdrażania systemów i urządzeń bkjp jest stosunkowo częsty poza Unią Europejską. Wynika to z faktu, że poza Unią Europejską zarówno za infrastrukturę jak i tabor jak i świadczenie usług przewozowych niemal zawsze odpowiadają narodowe przedsiębiorstwa. Ze względów, które wykraczają poza zakres tego artykułu, w Unii Europejskiej za zarządzanie infrastrukturą odpowiadają inne podmioty gospodarcze a za tabor inne. Dodatkowo świadczenie usług przewozowych coraz częściej realizowane jest przez podmioty, które nie są właścicielami taboru i nie podejmują decyzji związanych z jego wyposażaniem. W efekcie w przypadku Unii Europejskiej występuje wiele niezależnych podmiotów, na zlecenia których realizowane są prace zazwyczaj przez różnych wykonawców wyłonionych w niezależnych postępowaniach przetargowych. Misterne uzgodnienia pomiędzy takimi podmiotami są narażone na różnego rodzaju niebezpieczeństwa. Koordynacja prac w czasie zależy od długości postępowań przetargowych, te zaś od ilości pytań w przetargach, ilości odwołań do Krajowej Izby Odwoławczej, zaskarżeń jej rozstrzygnięć i angażowania sądów w postępowania. Kolejność rozstrzygania i zarazem zlecania prac jest trudna do przewidzenia. Dodatkowo rozstrzygnięcie postępowania na przytorowe wdrożenie bkjp często nie pozwala na natychmiastowe podjęcie prac. Po stro-

306 Marek Pawlik nie urządzeń instalowanych na torach kolejowych konieczne są różnego rodzaju pozwolenia od wodnoprawnych przez decyzje środowiskowe do pozwoleń na budowę. Konieczne jest dysponowanie gruntem na cele budowlane, wreszcie konieczny jest dostęp do map projektowych, projekt budowlany i projekt wykonawczy. 2.2.1. Przytorowe urządzenia i systemy srk i bkjp Nieliczni zarządcy infrastruktury tacy jak na przykład Pomorska Kolej Metropolitalna wyposażają infrastrukturę torową w systemy srk oraz przytorowe systemy bkjp w tym samym zamówieniu. Dodatkową zaletą budowy systemu aktywnego bezpieczeństwa Pomorskiej Kolei Metropolitalnej była realizacja prac przed rozpoczęciem eksploatacji linii a zatem bez konieczności prowadzenia uzgodnień z przewoźnikiem kolejowym. Standardem jest doposażanie w system bkjp linii istniejących, pozostających w eksploatacji podczas prac modernizacyjnych, już wyposażonych w dopuszczone systemy srk warstwy podstawowej, eksploatowane podczas zabudowy urządzeń bkjp. W taki sposób instalowany był system ETCS na Centralnej Magistrali Kolejowej pomiędzy stacjami Grodzisk Mazowiecki i Zawiercie. Poza wyzwaniami związanymi z interfejsem pomiędzy urządzeniami bkjp a warstwą podstawową srk omówionymi już w rozdziale 2.1.2. inwestor staje przed wyzwaniem związanym z zapewnieniem pełnej spójności i bezpieczeństwa interfejsu pomiędzy wyposażeniem przytorowym bkjp a wyposażeniem pokładowym, które w danym momencie w zasadzie może nie istnieć. Wyzwanie jest olbrzymie. Spójność systemu obejmującego wyposażenie torów i pojazdów wymaga precyzyjnego określenia zasad tworzenia, nadawania, przesyłania, odbierania i interpretacji danych. W obecnie stosowanych programowalnych systemach elektronicznych dane i ich wykorzystanie definiowane są na różnych poziomach. Poziomy te dobrze przedstawia model referencyjny ISO OSI zdefiniowany dla potrzeb łączenia cyfrowych systemów otwartych. Model ten obejmuje siedem warstw od warstwy fizycznej, w ramach której definiuje się zarówno jaki stan fizyczny odpowiada wartości 0 a jaki wartości 1, jak i fizyczne cechy interfejsu takie jak: elementy mechaniczne i elektryczne, złącza, poziomy napięć, etc., przez warstwy: łącza, sieciową, transportową, sesji i prezentacji, po warstwę aplikacji definiującą w szczególności zasady współpracy w architekturze klient-serwer. Aby zrozumieć podstawę współpracy przytorowych i pokładowych urządzeń bkjp prześledzić należy przede wszystkim funkcjonowanie warstwy prezentacji. Warstwa ta wykorzystuje specjalnie zdefiniowany język systemu bkjp. Definiowana są między innymi struktura danych, powiązanie danych z funkcjami systemu, zabezpieczenia w transmisji takie jak kodowania czy redundancje [9]. Spójność przytorowych i pokładowych urządzeń bkjp nie może być skutecznie zapewniona bez precyzyjnego wskazania tego samego systemu w niezależnych przetargach. Wskazanie w jednym przetargu na wynik innego przetargu jest niemożliwe w świetle prawa zamówień i wątpliwe ze względu na narażenie inwestora rozstrzygającego przetarg jako drugi na nieproporcjonalnie wysokie koszty wynikające z konieczności zlecenia prac jedynemu możliwemu już wybranemu przez drugą stronę wykonawcy. Podzielenie narodowych kolei w państwach członkowskich Unii Europejskiej na zarządców i przewoźników oraz zagwarantowanie możliwości realizacji usług przewozo-

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 307 wych przez wielu przewoźników na tej samej infrastrukturze zablokowałoby całkowicie wdrażanie systemów warstwy nadrzędnej gdyby nie zdefiniowano uniwersalnego systemu publicznie dostępnymi dokumentami. System taki został zdefiniowany. Jest o Europejski System Sterowania Pociągiem ETCS [6], [7], [11]. Zakres funkcji został uzgodniony przez końcowych użytkowników zarządców i przewoźników. Rozwiązania techniczne zostały uzgodnione z udziałem sześciu globalnych potentatów dostarczających systemy bkjp. Dokumentacja systemu jest w pełni dostępna publicznie. Obecnie ponad dziesięć podmiotów oferuje pełne wyposażanie linii i taboru a około pięćdziesięciu produkuje różne urządzenia zdefiniowane tymi specyfikacjami. Domeną poszczególnych producentów pozostaje technologia produkcji, ale interfejsy są zdefiniowane od fizycznej reprezentacji wartości pojedynczego bitu do algorytmów działania poszczególnych funkcji i relacji pomiędzy nimi. 2.2.2. Pokładowe urządzenia i systemy srk i bkjp Po stronie pokładowej oprócz interfejsów z urządzeniami przytorowymi wyzwaniem pozostają interfejsy z samym taborem, o których mowa już była w rozdziale 2.1.2. Niestety nie są one jedynym wyzwaniem technicznym. Mimo precyzyjnego zdefiniowania systemu ETCS publicznie dostępnymi dokumentami istnieje szereg różnić pomiędzy wyposażeniem poszczególnych linii. Przedstawiciele użytkowników końcowych (zarządców i przewoźników) oczekiwali systemu oferującego wszystkie funkcje udostępniane przez istniejące bardzo zróżnicowane systemy bkjp oraz pewnej elastyczności czy skalowalności systemu tak aby wdrożenia mogły być dostosowywane do potrzeb poszczególnych linii kolejowych. Przemysł prowadząc uzgodnienia zabiegał zaś o zachowanie pewnego obszaru technicznej konkurencji pomiędzy dostawcami i zapewnienie otwartości systemu na rozwój technologii transmisji, technologii przetwarzania danych, technologii określania położenia i prędkości, itp. Istnieją trzy poziomy wyposażenia toru i trzy poziomy wyposażenia taboru oraz pierwsze wdrożenia zgodnie ze specyfikacjami w wersji 2.2.2, większość obecnie eksploatowanych i wszystkie obecnie budowane zgodnie ze specyfikacjami w wersji 2.3.0.d, a planowane zgodnie z już oficjalnie przyjętymi i opublikowanymi, jako powszechnie dostępne specyfikacjami w wersji 3.4.0. Pojedynczy system staje się więc złożoną mozaiką. Aby temu przeciwdziałać uzgodniono i uwzględniono w dokumentach reguły technicznej zgodności w dół. Pojazdy wyposażone w pierwszy poziom ETCS poruszają się bez ograniczeń po liniach wyposażonych w pierwszy poziom ETCS. Pojazdy wyposażone w drugi poziom ETCS poruszają się bez ograniczeń zarówno po liniach wyposażonych w drugi poziom ETCS jak i po liniach wyposażonych w pierwszy poziom ETCS. Pojazdy wyposażone w trzeci poziom ETCS poruszają się bez ograniczeń zarówno po liniach wyposażonych w trzeci poziom ETCS jak i po liniach wyposażonych w drugi poziom ETCS jak i po liniach wyposażonych w pierwszy poziom ETCS. Przewoźnicy z reguły kupują tabor wyposażony w ETCS poziomu 2, gdyż obecnie żadne linie nie są wyposażone w ETCS poziomu trzeciego, a nieliczne są w ten poziom aktualnie wyposażane np. Thameslink stanowiące bardzo obciążone ruchem połączenie o charakterze aglomeracyjnym łączące linie kolejowe wychodzące w różnych kierunkach z Londynu. W poprzek Londynu budowana jest jeszcze druga linia o podobnym charakte-

308 Marek Pawlik rze. Zarówno tory jak i tabor są tam wyposażone przez tego samego dostawcę na zlecenie tego samego zamawiającego w jednolity indywidualnie zdefiniowany system bkjp. Realizacją wszystkich prac zajmuje się Crossrail Ltd. będąca własnością Zarządu Transportu Londynu i Ministerstwa Transportu. Uzgodniono i zapisano w specyfikacjach także zgodność w dół wersji systemu [6], [7]. Pojazdy wyposażane w urządzenia pokładowe w wersji 3.4.0 mają bez przeszkód poruszać się po liniach wyposażonych w urządzenia przytorowe w wersji 2.3.0.d. Przewoźnicy będą więc za chwilę kupować wyłącznie pojazdy wyposażone w ETCS w wersji 3.4.0 nie czekając na upgrade infrastruktury. Uzgodnione zasady zarządzania wersjami przewidują zgodność w dół tylko z jedną wersją bazową. Będzie to stanowiło wyzwanie w przyszłości. Szeroki wachlarz funkcji oferowanych przez ETCS, o który zabiegali zarządcy i przewoźnicy, stanowi podczas wdrożeń dodatkowe wyzwanie niezależne od zarządzania poziomami systemu i wersjami specyfikacji. Piętą achillesową jest kodowanie informacji o niezabezpieczonych przejazdach kolejowych. Bezpośrednio dedykowaną funkcję uwzględniono w specyfikacjach w wersji 3.4.0, ale linie już wyposażone korzystając ze specyfikacji w wersji 2.3.0.d. przekazują tą informację w różny sposób. To tylko jeden przykład niekonsekwencji, ale wskazać ich można więcej. 2.3. OSOBNE WDROŻENIA NA LINII I W TABORZE ORAZ NIEZALEŻNA BUDOWA MEDIUM TRANSMISYJNEGO Różne potrzeby linii zdecydowano się zaspokajać różnymi poziomami wdrożenia systemu. Poziom pierwszy opiera się na punktowej transmisji informacji. Poziomy drugi i trzeci na transmisji ciągłej. Poziom pierwszy, jako główne medium transmisyjne wykorzystuje transpondery instalowane w osi toru zgodne ze specjalnie opracowaną specyfikacją definiującą tzw. eurobalisy. Poprzez grupy eurobalis przekazywane są wszelkie dane konieczne do zapewnienia bezpieczeństwa ruchu. Transmisja ma miejsce tylko podczas przejazdu pojazdu nad eurobalisą. Poziom drugi, jako główne medium transmisyjne wykorzystuje cyfrowy kanał transmisji danych w systemie radio-łączności. Pojazdy wyposażone w poziom drugi muszą mieć antenę do odbioru informacji z eurobalis dla zapewnienia założonej zgodności poziomów. Eurobalisy i anteny są jednak wykorzystywane także w drugim poziomie, gdyż cyfrowy kanał transmisji danych w systemie radio-łączności nie zapewnia możliwości definiowania punktów odniesienia dla obliczania odległości pojazdów od ograniczeń prędkości i końców zezwolenia na jazdę. Kompetencje i środki techniczne konieczne do budowy radiołączności w standardzie zgodnym ze zunifikowanymi europejskimi specyfikacjami posiadają inne podmioty gospodarcze. System radiowy oparty na standardzie GSM w wersji R (railway kolej) także zdefiniowany jest publicznie dostępnymi dokumentami. Obecnie nie ma on różnych wersji, ale szybki rozwój technologii transmisji nie pozostawia złudzeń. Za pięć lub siedem lat rynek telekomunikacyjny wymusi wymianę tych urządzeń na rozwiązania nowej generacji. Radiołączność kolejowa to pojedyncze promile rynku telekomunikacyjnego. Ciągłe medium transmisyjne oparte na technologii GSM to dwuwarstwowa struktura. W warstwie podstawowej wzdłuż linii kolejowej instalowane są radiowe stacje bazowe, których anteny muszą zapewnić pokrycie torów kolejowych sygnałem radiowym. Stacje te

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 309 sterowane są przez kontrolery, które powiązane są z warstwą nadrzędną. Jeden kontroler obsługuje nawet kilkaset stacji. Warstwę nadrzędną stanowią centrale telekomunikacyjne. Dla zapewnienia redundancji w Polsce funkcjonują dwie takie centrale mimo, że z punktu widzenia ilości abonentów jedna centrala jest aż nadto wystarczająca. Redundancja jest jednak konieczna ze względów bezpieczeństwa. Centrale znajdują się w różnych miastach i stanowią dla siebie nawzajem gorącą rezerwę. 2.4. WDROŻENIA INDYWIDUALNYCH SYSTEMÓW i URZĄDZEŃ Systemy aktywnego bezpieczeństwa są wykorzystywane w transporcie kolejowym od początku jego istnienia. Zapewnienie bezpieczeństwa transportu kolejowego nie jest możliwe bez systemów srk ponieważ długość drogi hamowania jest większa niż odległość na jaką maszynista może obserwować szklak nawet wówczas, gdy pociąg jedzie po prostej linii przy dobrych warunkach widoczności. Systemy aktywnego bezpieczeństwa oparte na cyfrowej transmisji danych z urządzeń przytorowych do urządzeń pokładowych wykorzystywane są od blisko siedemdziesięciu lat. Są one stosowane na głównych liniach z dużym ruchem i są bardzo zróżnicowane zarówno pod względem funkcji jak i rozwiązań technicznych. Wdrażanie nowego zunifikowanego systemu odbywa się niemal zawsze na istniejącej linii równolegle do jej eksploatacji. Jako pierwsze wyposażane są w wielu przypadkach właśnie te linie, które eksploatowane są z wykorzystaniem wcześniejszych systemów, przy czym poziom bezpieczeństwa nie może spaść ani po uruchomieniu nowego systemu ani podczas jego instalowania i uruchamiania. 2.4.1. Migracja do nowego systemu bkjp moduł STM dla ETCS Zgodnie ze specyfikacjami ETCS za główne narzędzie migracji od istniejących systemów do ETCS uznano tzw. specyficzne moduły transmisyjne (STM). Ze stosowaniem tych modułów wiąże się jednak szereg wyzwań technicznych. Moduł STM to urządzenie elektroniczne wyposażone w urządzenia komunikacyjne istniejącego (zastępowanego) systemu bkjp odbierające dane przekazywane z toru, przetwarzające te dane na format zgodny ze specyfikacjami ETCS i przekazujący je do głównego komputera pokładowego ETCS poprzez w pełni zdefiniowany w publicznie dostępnych dokumentach interfejs tak, aby jazda pociągu była nadzorowana tak jakby odbierał on informacje z przytorowych urządzeń ETCS. Niestety większość systemów istniejących nie dostarcza części danych koniecznych dla ETCS lub dostarcza wartości nieprecyzyjne. Są systemy na przykład stosowany w Czechach system LS, które informują pojazd, a za jego pośrednictwem maszynistę, o ilości odstępów blokowych dostępnych dla kontynuowania jazdy. Od maszynisty wymaga się znajomości szlaku, ale główny komputer pokładowy nie posiada takiej wiedzy. Informacja, że dwa odstępy są dostępne w połączeniu z faktem, że najkrótsze odstępy mają około 800 metrów a najdłuższe ponad dwa kilometry nie pozwala na nadzorowanie zatrzymania pociągu przed końcem zezwolenia na jazdę. W takich sytuacjach moduł STM może wyłącz-

310 Marek Pawlik nie służyć do wyświetlenia na pulpicie maszynisty obrazu, jaki pokazywał maszyniście system, z którego pochodzą dane. Dodatkowo istniejące systemy, udostępniające dane, często nie spełniają szczegółowych wymagań, których spełnienie jest konieczne, aby system można było uznać za bezpieczny. Przykładowo w przypadku systemów przekaźnikowych dotyczyłoby to systemów, które nie stosują kryterium Fail-safe a w przypadku programowalnych systemów elektronicznych systemów, dla których nie zastosowano rozwiązań pozwalających na zapewnienie poziomu integralności bezpieczeństwa SIL 4. Systemem takim był na przykład system Kontroli Hamowania Pociągu KHP zbudowany w Polsce i testowany na linii Warszawa Gdańsk w latach dziewięćdziesiątych. Innego rodzaju wyzwanie związane jest z systemami, które odniosły sukces komercyjny. Systemem takim jest niemiecki system Indusi. Został on wdrożony w kilku krajach, przy czym poszczególne koleje narodowe wymagały jego dostosowywania do definiowanych przez nich wymagań. W takich przypadkach w różnych lokalizacjach są takie same urządzenia i na przykład takie same sygnały, ale podlegające innej interpretacji. System Indusi jest eksploatowany od kilkudziesięciu lat. Dostępne technologie podlegały w tym czasie szeregu zmianom. System także był udoskonalany. W takich przypadkach w różnych lokalizacjach są różne wersje, które tylko częściowo zachowują zgodność rozwiązań. Zbudowanie modułu STM wymaga uzupełnienia danych transmitowanych z urządzeń przytorowych o informacje pozwalające na identyfikację wersji systemu. Zabudowywanie zewnętrznych modułów STM (modułów przekazujących odebrane i przetworzone dane do głównego komputera pokładowego ETCS poprzez w pełni zdefiniowany w publicznie dostępnych dokumentach interfejs), jest droższe od korzystania z wewnętrznych modułów STM (korzystania z programów zaszytych w głównych komputerach pokładowych współpracujących bezpośrednio ze starego typu pokładowymi urządzeniami transmisyjnymi). To argument przemysłu. Koszt jest niewątpliwie niższy, ale czy cena także. Wewnętrzny moduł STM oznacza, że jego wymianę lub rozbudowę będzie mógł przeprowadzić tylko dostawca pokładowego wyposażenia ETCS. W przypadku korzystania z pojazdu dostosowanego dzięki STM do jazd po sieci kolejowej X wyposażonej w system BKJP-A1, rozpoczęcie jazd po sieci Y wyposażonej w zmodyfikowaną wersję systemu BKJP-A2 prawdopodobnie wiązać się będzie z bardzo dużymi kosztami ze względu na całkowity brak konkurencji. Gdyby STM był zewnętrzny koszty związane byłyby tylko z wymianą jednego modułu elektronicznego na drugi lub wręcz jego przeprogramowaniem. Migracja pokładowym modułem STM jest w praktyce wdrażaniem nowego systemu przy zachowaniu podwójnego wyposażenia pokładowego. Koszty migracji w takiej sytuacji są ponoszone przez przewoźników czy właścicieli taboru, podczas gdy zarządcy infrastruktury mogą eksploatować istniejące systemy do momentu ich całkowitego wyeksploatowania. Alternatywą takiego modelu migracji jest podwójne wyposażanie torów. Koszty są wówczas ponoszone przez zarządców a przewoźnicy i właściciele taboru mogą eksploatować pokładowe urządzenia bkjp po minimalnej modyfikacji do momentu ich całkowitego wyeksploatowania.

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 311 2.4.2. Migracja do nowego systemu bkjp moduł STM dla istniejącego systemu bkjp Model taki przyjęty został w Szwajcarii dla migracji od systemu ZUB do systemu ETCS. Linie kolejowe, po których ma miejsce ruch tranzytowy wyposażono w urządzenia ETCS poziomu pierwszego. Wykorzystano fakt, że w ramach systemu ETCS zdefiniowano pakiet danych o numerze 44, który służy do przekazania danych dla aplikacji pozostającej poza systemem ETCS [6]. Dane o obrazach sygnałowych pobierane są z interfejsów stanowiących integralną część sygnalizatorów świetlnych, czyli integralną część warstwy podstawowej srk i są przekazywane do koderów ETCS. Kompletne dane przekazywane z systemu ETCS wykorzystywane są przez pojazdy wyposażone w system ETCS. Jednocześnie z tych samych eurobalis przekazywany jest pakiet o numerze 44. Jak wszystkie dane z ETCS i ten pakiet odbierany jest przez antenę do odbioru informacji z eurobalis na pojazdach wyposażonych w ETCS. Pojazdy te ignorują jednak te dane, bo pakiet 44 podlega przekazaniu do systemu zewnętrznego o określonym identyfikatorze a taki na tych pojazdach nie jest montowany. Jednocześnie pojazdy wyposażone w pokładowe urządzenia ZUB doposażone zostały w moduł STM. Jest to jednakże urządzenie elektroniczne wyposażone w antenę do odbioru informacji z eurobalis systemu ETCS odbierające dane przekazywane z toru, przetwarzające te dane na format zgodny ze specyfikacjami systemu ZUB i przekazujący je do głównego komputera pokładowego ZUB poprzez interfejs pozostający własnością dostawcy systemu ZUB, tak aby jazda pociągu była nadzorowana tak jakby odbierał on informacje z przytorowych urządzeń systemu ZUB. 2.4.3. Zmiana mediów transmisyjnych Funkcjonalnie podobne wyzwanie będzie towarzyszyło zmianie medium transmisyjnego wykorzystywanego do przekazywania danych o zezwoleniu na jazdę. Przejście z przekazywania zezwoleń poprzez eurobalisy do przekazywania zezwoleń za pośrednictwem cyfrowego kanału transmisji danych w systemie radio-łączności to migracja od poziomu pierwszego do poziomu drugiego. Wymaga ona podjęcia po analizie technicznej i eksploatacyjnej decyzji, których skutki będą wiążące i dla zarządcy i dla przewoźników ze względu na potencjalny jednoczesny wpływ na infrastrukturę i na tabor. Instalacje przytorowe poziomu pierwszego wymagają łączenia eurobalis kablami informacyjnymi z sygnalizatorami bądź nastawnicami. Instalacja przytorowa poziomu drugiego wymaga nie tylko cyfrowego kanału transmisji danych w systemie radio-łączności, ale także przytorowej centralizacji przetwarzania danych o sytuacji ruchowej. W tym celu wykorzystuje się kable, najczęściej światłowodowe, od nastawnic do lokalnych centrów sterowania LCS, w których instaluje się Centrale Sterowania Radiowego RBC. Niestety obszarem LCS często objęte są nastawnice stacyjne, blokady liniowe i samoczynne systemy zabezpieczenia przejazdów kolejowo-drogowych od różnych producentów, w różnych technologiach instalowane w różnych okresach czasu. Problem bezpiecznego pobierania danych z zachowaniem bezpieczeństwa systemów, od których dane pochodzą i zapewnieniem jakości danych odpowiedniej dla danych krytycznych dla bezpieczeństwa jest wówczas najważniejszym wyzwaniem. Technicznie można połączyć dowolne technologie, ale zagwarantowanie odpo-

312 Marek Pawlik wiedniego poziomu integralności bezpieczeństwa przy połączeniu różnych technologii jest niekiedy bardzo drogie. Łączenie technologii jest w niektórych przypadkach na tyle kosztowne, że uwzględniając wiek urządzeń i ich stan techniczny zarządcy infrastruktury podejmują niekiedy decyzję o wymianie systemów źródłowych na spójne technologicznie z ETCS systemy nowej generacji. Wielokrotnie poważniejszym wyzwaniem technicznym, które już pojawia się na horyzoncie będzie zastąpienie eurobalis balisami wirtualnymi generowanymi w oparciu o transmisję satelitarną. Barierą w tym zakresie nie jest sama technika a spełnienie przez nią wymagań, jakie stawia się systemom aktywnego bezpieczeństwa jako systemom bezpiecznym. Nie ulega jednak wątpliwości, że wirtualne balisy będą wykorzystywane. O wprowadzenie takiej możliwości zabiegają w szczególności koleje z Indii i RPA. 3. AGREGACJA SYSTEMÓW AKTYWNEGO BEZPIECZEŃSTWA UWARUNKOWANIA PRAWNE Pokonanie wyzwań technicznych nie gwarantuje przekazania systemów do eksploatacji. W odniesieniu do urządzeń i systemów stosowanych w transporcie kolejowym zastosowanie mają nie tylko przepisy ogólne na przykład budowlane, ale także dedykowane przepisy kolejowe definiujące reguły akceptacji nowych rozwiązań oraz reguły akceptacji nowych instalacji [2], [4], [5]. Dotyczy to w sposób szczególny systemów aktywnego bezpieczeństwa a więc przytorowych i pokładowych urządzeń sterowania i łączności. Prawo kolejowe definiuje sześć wymagań zasadniczych, które mają zastosowanie do wszystkich instalacji kolejowych. Są to: bezpieczeństwo, niezawodność i dostępność, brak zagrożenia dla życia i zdrowia, ochrona środowiska, zgodność techniczna oraz dostosowanie kolei do potrzeb osób niepełnosprawnych. Z punktu widzenia systemów aktywnego bezpieczeństwa kluczowe są bezpieczeństwo, niezawodność i zgodność techniczna [3]. Są one oceniane wedle ściśle zdefiniowanych reguł przez niezależne podmioty posiadające potwierdzone kompetencje. Aspekty bezpieczeństwa, niezawodności i zgodności technicznej w przypadku przytorowych i pokładowych urządzeń sterowania i łączności ściśle się ze sobą wiążą. Przykładem może być poziom integralności bezpieczeństwa [8]. Wymaganie dla urządzeń sterowania poziomu integralności bezpieczeństwa SIL 4 oznacza, że prawdopodobieństwo uszkodzenia losowego stwarzającego zagrożenie bezpieczeństwa na funkcję na godzinę musi być mniejsze od 10-9 (10E-09), a zastosowana metodologia prac musi w odpowiedni sposób minimalizować potencjalne zagrożenia wynikające z błędów ludzkich. Oceniane w tym zakresie są poszczególne systemy, ale także system jako całość. Poziom SIL 4 musi mieć nastawnica, poziom SIL 4 musi mieć przytorowa instalacja ETCS, poziom SIL 4 musi mieć pokładowe wyposażenie ETCS. Muszą go mieć także systemy gromadzenia informacji z urządzeń srk warstwy podstawowej, systemy przetwarzania danych takie jak koder czy RBC, systemy przesyłania danych takie jak transmisja światłowodowa czy radiowa, interfejsy pomiędzy głównym komputerem pokładowym i systemem hamowania i wiele innych. Nie wystarczy jednak, aby wszystkie urządzenia i systemy były

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 313 bezpieczne. Konieczne jest udowodnienie, że cały system spełnia takie wymaganie na odpowiednim poziomie. Tymczasem kompletny system aktywnego bezpieczeństwa powstaje w wielu niezależnych projektach. 3.1. ŚWIADECTWO DOPUSZCZENIA DO EKSPLOATACJI TYPU I CERTYFIKATY ZGODNOŚCI WE Wiele urządzeń współtworzących system aktywnego bezpieczeństwa w warstwie podstawowej srk musi posiadać świadectwa dopuszczenia do eksploatacji typu [5]. Takiego formalnego upoważnienia do stosowania wydawanego przez organ krajowy, jakim jest Prezes Urzędu Transportu Kolejowego wymaga się od: a) stacyjnych urządzeń sterowania ruchem kolejowym, b) urządzeń sterowania rozrządem, w tym hamulca torowego, c) urządzeń blokady liniowej, d) systemu zabezpieczenia ruchu na przejazdach kolejowych, e) urządzeń do wykrywania stanów awaryjnych pojazdów kolejowych podczas biegu pociągu oraz nieprawidłowości załadunku wagonów, f) urządzeń kontroli niezajętości torów i rozjazdów: obwodów torowych, liczników osi, g) urządzeń do przestawiania lub kontrolowania ruchomych elementów rozjazdu kolejowego, h) sygnalizatora kolejowego, i) urządzeń łączności przewodowej i bezprzewodowej, w tym zapowiadawczej, strażnicowej i stacyjno-ruchowej, j) urządzeń łączności bezprzewodowej, w tym pociągowej, manewrowej, drogowej i utrzymania, k) rejestratora rozmów związanych z prowadzeniem ruchu kolejowego, l) urządzeń oddziaływania tor pojazd, m) urządzeń kontroli prowadzenia pociągu, n) systemu telewizji użytkowej przeznaczonej do prowadzenia ruchu kolejowego, o) systemu zdalnego sterowania ruchem kolejowym. Wiele urządzeń współtworzących system aktywnego bezpieczeństwa w warstwie nadrzędnej, czyli w ramach systemu zunifikowanego europejskiego systemu bkjp, musi posiadać certyfikaty zgodności WE [4]. Takiego formalnego upoważnienia do stosowania wydawanego przez upoważnione jednostki notyfikowane wymaga się od: - w zakresie urządzeń pokładowych: a) pokładowego ERTMS/ETCS, b) urządzenia odometrycznego, c) interfejsu zewnętrznego STM, d) radiotelefonu kabinowego GSM-R, e) radia GSM-R na potrzeby transmisji danych ETCS, f) kart SIM GSM-R;

314 Marek Pawlik - w zakresie urządzeń przytorowych: g) Central Sterowania Radiowego (RBC), h) urządzeń do radiowego przesyłania informacji uaktualniających, i) eurobalis, j) europętli, k) koderów eurobalis, oraz l) koderów europętli. Komplet świadectw dopuszczenia do eksploatacji typu oraz certyfikatów zgodności WE dla wszystkich elementów zastosowanych na określonej linii lub stacji nie przesądza o spełnieniu wymagań przez cały system aktywnego bezpieczeństwa. Konieczna jest jeszcze w szczególności ocena całościowa [4]. Wyzwaniem będzie jednak nie tylko ocena całościowa, ale także dobór narzędzi prawnych. Przykładowo moduł STM z jednej strony musi być zgodny z wymaganiami dla interfejsu do zewnętrznego STM i powinien legitymować się certyfikatem zgodności WE. Jednak z drugiej strony musi spełniać wymagania dla urządzeń oddziaływania tor pojazd i legitymować się świadectwem dopuszczenia do eksploatacji typu. W obu przypadkach ocena musi być przeprowadzona przez niezależną jednostkę. Są to jednak różne jednostki, inaczej sprawdzane, inaczej umocowane prawnie i wedle innych przepisów sprawdzające spełnianie wymagań zarówno, jeśli chodzi o źródło wymagań jak i proces weryfikacji ich spełnienia. Każde pojedyncze urządzenie objęte świadectwem dopuszczenia do eksploatacji typu lub certyfikatem zgodności WE musi mieć wystawioną przez producenta odpowiednio deklarację zgodności z typem lub deklarację zgodności WE. Warunki, na jakich producent może wystawiać takie deklaracje są ściśle zdefiniowane. Przykładowo wykonawca modernizacji urządzeń srk zabudowuje obwody torowe objęte świadectwem dopuszczenia do eksploatacji typu. Może dla nich wystawić deklaracje zgodności z typem odwołując się do świadectwa jeśli w świadectwie widnieje jako producent i jeśli odpowiednio nadzoruje proces ich budowy. Jeśli świadectwo jest wystawione dla innego podmiotu gospodarczego podstawą wystawienia deklaracji zgodności z typem musi być certyfikat zgodności z typem wystawiony przez niezależną stosownie umocowaną jednostkę. 3.2. CERTYFIKAT I DEKLARACJA WERYFIKACJI WE Jak zostało to już pokazane powyżej, z faktu spełnienia wymagań bezpieczeństwa przez poszczególne urządzenia nie wynika spełnienie wymagań bezpieczeństwa przez system aktywnego bezpieczeństwa, jako całość. Tymczasem system aktywnego bezpieczeństwa musi nie tylko być systemem bezpiecznym, ale także spełniać wszystkie wymagania zasadnicze [10]. Weryfikacja kompletnego systemu sterowania i łączności prowadzona jest dla trzech w pewnym sensie osobnych systemów przytorowych: warstwy podstawowej srk, przytorowej części warstwy nadrzędnej bkjp i dla przytorowego wyposażenia w system łączności oraz dla pokładowej części warstwy nadrzędnej bkjp wraz z urządzeniami cyfrowego kanału transmisji danych w systemie radio-łączności. Pokładowe urządzenia zapewniające łącz-

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 315 ność głosową podlegają ocenie wraz z pojazdem podobnie jak czuwak aktywny, czy hamulce awaryjne w przedziałach dla pasażerów. Dla warstwy podstawowej srk, części przytorowej warstwy nadrzędnej i przytorowej części systemu łączności (dla transmisji głosu i transmisji danych) wydawane są niezależne certyfikaty pośrednie WE na etapie projektu, na etapie budowy i certyfikaty WE będące niejako certyfikatami końcowymi. Dla konkretnego odcinka linii dla urządzeń sterowania i łączności nie może jednak w mocy być wiele końcowych certyfikatów WE. Dlatego jeśli już jest wydany na przykład certyfikat WE dla urządzeń srk warstwy podstawowej i instalowany i oceniany jest system bkjp oparty na transmisji punktowej, to razem z końcowym certyfikatem WE dla przytorowej części warstwy nadrzędnej bkjp wydawany musi być zbiorczy końcowy certyfikat WE powołujący oba certyfikaty WE. Ma to swoje uzasadnienie także techniczne. Jednostka oceniająca jest zawsze prawnie zobligowana do oceny interfejsów. Ocena ta jest tym głębsza im mniej wiadomo o systemach i urządzeniach, z którymi wymieniane są dane i polecenia. Trudno więc sobie wyobrazić, żeby niezależna jednostka oceniając wdrożenie bkjp nie analizowała w szczegółach warstwy podstawowej srk włącznie z dokumentami na podstawie których urządzenia tej warstwy były przekazane do eksploatacji. Oczywiście jeśli wdrażany jest system bkjp na linii na której warstwa podstawowa srk została przekazana do eksploatacji wiele lat temu w innym reżimie prawnym istnieje ryzyko braku dostępu do stosownych dokumentów, ale także w takim przypadku analiza musi bezpośrednio odpowiedzieć na przykład na pytania dotyczące wpływu pobierania danych z warstwy podstawowej na bezpieczeństwo warstwy podstawowej. Czy system aktywnego bezpieczeństwa jakim jest warstwa podstawowa sterowania ruchem kolejowym po zabudowie i uruchomieniu systemu aktywnego bezpieczeństwa jakim jest część przytorowa warstwy nadrzędnej czyli bezpiecznej kontroli jazdy pociągu jest nadal systemem bezpiecznym to znaczy takim, który w przypadku uszkodzenia nie spowoduje zagrożenia bezpieczeństwa. Do każdego certyfikatu weryfikacji WE informującego o pozytywnym wyniku oceny przeprowadzonej przez niezależną jednostkę wykonawca wystawia deklarację weryfikacji WE. Wprawdzie wykonawca musi na własną odpowiedzialność zadeklarować zgodność z wszystkimi wymaganiami zasadniczymi, ale do certyfikatu weryfikacji WE załączona jest dokumentacja z procesu weryfikacji WE zarówno zbiorcza w postaci załączników jak i indywidualna zwykle w postaci raportów z prac. Tak więc w przypadku modernizacji urządzeń sterowania na linii kolejowej wraz z zabudową systemu ETCS poziomu pierwszego: obwody torowe, napędy zwrotnicowe, kontrolery położenia iglic, sygnalizatory, nastawnice itd. muszą mieć świadectwa typu i deklaracje zgodności z typem. Ocena jest prowadzona według prawa polskiego przez jednostki upoważnione na poziomie krajowym. Razem warstwa podstawowa srk musi mieć certyfikat weryfikacji WE i deklarację weryfikacji WE. Wymagania w tym zakresie definiuje prawo polskie, ale procedurę oceny definiuje prawo europejskie i ocena ta jest prowadzona przez europejskie jednostki notyfikowane. Eurobalisy, kodery, centrale RBC muszą mieć certyfikaty zgodności WE i deklaracje zgodności WE. Przytorowa część warstwy nadrzędnej bkjp musi być oceniona w całości wraz z interfejsami z warstwą podstawową srk. Musi posiadać certyfikat weryfikacji WE i deklarację weryfikacji WE. Wreszcie certyfikaty WE warstwy podstawowej srk i warstwy nadrzędnej bkjp muszą być uwzględnione w całościowym końcowym certyfikacie WE. Do tego certyfikatu także musi być wystawiona deklaracja. Jest to niekiedy obszar sporów pomiędzy prawnikami. Wystawiając deklarację

316 Marek Pawlik wykonawcy biorą odpowiedzialność za zgodność systemu z wymaganiami zasadniczymi i pojawia się pytanie czy przejmują odpowiedzialność za kogoś, kto wyprodukował bądź zabudował urządzenia, których oni z jakiś powodów nie tylko nie wymieniali, ale nawet nie powiązali interfejsami. Dotyczy to na przykład autonomicznych samoczynnych sygnalizacji przejazdowych. Jednakże decyzja o ich niewłączaniu była przez nich podejmowana. Innego rodzaju wyzwanie prawne towarzyszy systemowi radiołączności. Urządzenia dla kolejnych odcinków i linii kolejowych podłącza się do central telekomunikacyjnych. W centralach tych wprowadza się pewne zmiany w szczególności poprzez ich rozbudowę. Kluczowe staje się pytanie czy centrale powinny podlegać ponownemu pełnemu procesowi niezależnej oceny oraz czy powinny uzyskać nowy certyfikat weryfikacji WE. 3.3. RAPORT Z NIEZALEŻNEJ OCENY BEZPIECZEŃSTWA I ZEZWOLENIE NA PRZEKAZANIE DO EKSPLOATACJI Podmiot wprowadzający zmiany w istniejących urządzeniach i systemach zobowiązany jest do przeprowadzenia analizy zmian oraz oceny i wyceny ryzyka. Jeśli zmiany mają wpływ na bezpieczeństwo to ocenia się je z punktu widzenia skutków możliwej awarii, zastosowanej innowacji, złożoności wprowadzonych zmian, możliwości monitorowania zmian i przywrócenia do stanu sprzed zmiany oraz nawarstwiania się zmian wcześniej ocenionych, jako nieznaczące. Jeśli zmiana zostanie uznana po takiej analizie za znaczącą wówczas przeprowadzona musi być ocena i wycena ryzyka według reguł precyzyjnie zdefiniowanych w prawie europejskim. Raport z oceny i wyceny ryzyka podlega ocenie przez jednostkę niezależną wydającą raport oceny bezpieczeństwa. Raport taki razem z certyfikatami i deklaracjami składany jest z wnioskiem do Prezesa Urzędu Transportu Kolejowego o zezwolenie na przekazanie do eksploatacji. 4. WNIOSKI I ROZSĄDNE SCENARIUSZE Przygotowując opis przedmiotu zamówienia należy zaplanować kolejność uzyskiwania dokumentów potwierdzających zgodność z wymaganiami zasadniczymi. Kolejnym etapom realizacji prac będą towarzyszyły coraz bardziej rozbudowane dokumenty formalne. Powiązania pomiędzy nimi są trudne do zdefiniowania, jeśli stosowna analiza i dokumentacja nie są prowadzone na bieżąco. Prawo pozwala, aby ocena prowadzona była na zlecenie wykonawcy albo na zlecenie inwestora. Brak takiej świadomości po stronie podmiotu zamawiającego modernizację i rozbudowę urządzeń sterowania ruchem kolejowym prowadzi potencjalnie do paraliżu w eksploatacji. Zgodnie z literą prawa zmodernizowany system nie może być eksploatowany bez zezwolenia na przekazanie do eksploatacji. Wykonawcy robót modernizacyjnych podzlecając wybrane prace czy też zamawiając dostawy urządzeń i systemów muszą żądać stosownych dokumentów. Zabudowanie na

Wyzwania techniczne oraz ograniczenia prawne podczas odbierania i przekazywania 317 przykład urządzeń, dla których wymaga się świadectw dopuszczenia do eksploatacji typu bez takiego świadectwa naraża wykonawcę na olbrzymie koszty. Urządzenia trzeba będzie wymienić lub poddać certyfikacji typu przed weryfikacją ich zgodności z typem. Taka certyfikacja typu zwykle trwa ponad rok czasu. Złe zdefiniowanie projektów przez zamawiających może uniemożliwić pozyskanie przez wykonawcę certyfikatu weryfikacji WE. Dzieje się tak, gdy system jest niekompletny. Wykonawca stara się wówczas zamknąć projekt dowodząc, że w wymiarze technicznym go zrealizował a w wymiarze prawnym zrobił wszystko to co było możliwe. Niestety dla zamawiającego może to oznaczać olbrzymi problem przy rozliczaniu środków publicznych na przykład środków z funduszy europejskich rozliczanych krótko przed końcem europejskiej perspektywy budżetowej. Za rozsądne należy więc uznać projekty modernizacji sterowania ruchem kolejowym o odpowiednio wysokiej kompleksowości pozwalającej na uzyskanie certyfikatów weryfikacji WE. Rozsądne będzie więc zlecenie: budowy urządzeń stacyjnych wraz z kompletem urządzeń zewnętrznych (np. liczniki osi, napędy, sygnalizatory, ) oraz powiązaniem z systemami srk obsługującymi sąsiednie posterunki ruchowe oraz z uzyskaniem zezwolenia na przekazanie do eksploatacji warstwy podstawowej srk, a kłopotliwe będzie zamknięcie stosownymi dokumentami prawnymi: wymiany samych urządzeń zależnościowych czy rozbudowy urządzeń zależnościowych przy dobudowie dodatkowego toru na stacji. Rozsądne będzie zlecenie: wyposażenia linii w system radio-łączności wraz z połączeniem z centralami telekomunikacyjnymi ze wskazaniem czy ma on służyć w przyszłości do udostępnienia cyfrowego kanału transmisji danych czy tylko do przekazywania głosu, a kłopotliwe do zamknięcia stosownymi dokumentami prawnymi będą projekty ograniczone na przykład do: opracowania planów pokrycia radiowego i uzyskania decyzji budowlanych, postawienia masztów dla potrzeb radio-łączności, ułożenia światłowodów. Rozsądne będzie zlecenie: wyposażenia linii w przytorową część warstwy nadrzędnej bkjp wraz z powiązaniem z warstwą podstawową srk na linii oraz powiązaniem z urządzeniami srk w tym urządzeniami bkjp na wszystkich stycznych szlakach i posterunkach, oczywiście wraz z uzyskaniem dokumentów pozwalających na uzyskanie zezwolenia na przekazanie do eksploatacji, a kłopotliwe do zamknięcia stosownymi dokumentami prawnymi będą projekty ograniczone na przykład do: dostosowania urządzeń stacyjnych do współpracy z urządzeniami bkjp, czy centralizacji danych o sytuacji ruchowej dla potrzeb przyszłego wdrożenia bkjp.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres