STEROWANIE RUCHEM KOLEJOWYM -...

CERTA REVIEWNr 1, kwiecień 2018.

STEROWANIE RUCHEM KOLEJOWYMInteroperacyjność podsystemu

„Sterowanie – urządzenia przytorowe”

2 / Biuletyn Certa review 1 (3)/2018

Jadwiga Wrzesińska

Drodzy Czytelnicy!

Kolejny numer naszego Biuletynu poświęcamy podsystemowi „Sterowanie – urządzenia przytorowe”.

Piszemy o początkach systemów zapewnienia bezpie-czeństwa ruchu kolejowego, perspektywach wyznaczo-

nych nową dyrektywą kolejową, wizji – jak mogłoby ste-rowanie ruchem wyglądać, gdyby wykorzystać powszechnie

dostępne i szybko rozwijające się systemy nawigacji satelitarnej i telefonii komórkowej, zamiast przestarzałego GSM-R. Piszemy też o weryfikacji podsystemu „Sterowanie – urzą-dzenia przytorowe”, roli dowodu bezpieczeństwa i znaczeniu Jednostek Notyfikowanych w zapewnieniu bezpieczeństwa ruchu kolejowego.

Rozpoczęły się nowe kontrakty kolejowe, dla których wymogiem jest stosowanie TSI, zatrudnienie Jednostek Notyfikowanych do weryfikacji podsystemów i uzyskanie zezwoleń na dopuszczenie do eksploatacji podsystemów. Pojawiają się pierwsze problemy, pyta-nia, wątpliwości. Wstępne analizy posiadanych na kontraktach dokumentów projekto-wych i analizy zakresów modernizacji, a co za tym idzie zakresów weryfikacji, pokazują braki i błędy dokumentacji projektowej będącej podstawą realizacji inwestycji i rodzą kolejne pytania, na które chcielibyśmy naszymi artykułami odpowiedzieć. Zachęcamy do dzielenia się z nami swoimi wątpliwościami i problemami pod adresem mejlowym [email protected], na które postaramy się odpowiedzieć w kolejnym numerze.

Życzę ciekawej lektury. W imieniu redakcjiJadwiga Wrzesińska

1 (3)/2018 Biuletyn Certa review / 3

Spis treści

4 O systemach sterowania ruchem kolejowym w ujęciu historycznym, artykuł wpro-wadzający

Redakcja12 Preautoryzacja Europejskiego Systemu Zarządzania Ruchem Kolejowym: nowe

zadanie Agencji Kolejowej Unii Europejskiej Ignacy Góra, Piotr Sieczkowski20 Zaniedbania o charakterze systemowym mogą prowadzić w przyszłości do wy-

padków kolejowych Janusz Dyduch30 Procedura weryfikacji WE podsystemu „Sterowanie – urządzenia przytorowe” –

różnice i podobieństwa w stosunku do weryfikacji innych podsystemów Maciej Śmieszek42 Rola dowodu bezpieczeństwa w procesie weryfikacji WE Aleksandra Grzywak-Gawryś54 Od jazdy „na berło” do niezależności Jednostek Notyfikowanych - czyli jak poru-

szać się po torach bezpieczniej i efektywniej Aleksandra Grzywak-Gawryś62 Umowa z jednostką notyfikowaną w zakresie weryfikacji WE Małgorzata Piechota70 O pewnej wizji systemów sterowania ruchem za, powiedzmy, 10 lat ACh

Komitet Redakcyjny:Jadwiga WrzesińskaSławomir Bukowski

Maciej Śmieszek

Adres redakcji:CERTA sp. z o.o. sp.k.

54-413 Wrocław, ul. Klecińska 125Wrocławski Park Technologiczny

e-mail: [email protected]


Redakcja Fot. archiwum redakcji

O systemach sterowania ruchem kolejowym w ujęciu historycznymSystem kolejowy był pierwszym systemem transportowym, który w sposób zorganizowany mechanizował przemieszczanie towarów i ludzi. Niezależnie od poglądów co do czasu powstania kolei (niektó-re źródła datują jej początek nawet w epoce Imperium Rzymskiego) można przyjąć, że rozwój kolei jako zorganizowanego masowego, zmechanizowanego transportu rozpoczął się w pierwszej połowie XIX wieku. Z biegiem czasu rosły prędkości i obciążenia, a kolej stawała się kręgosłupem narodowych systemów transportowych w wielu państwach świata i symbolem nowoczesności. Wzrost liczby pociągów wyprawianych na szlak w jednostce czasu oraz potrzeba zapewnienia bezpieczeństwa wymusza od początku historii kolei ko-nieczność opracowania metod bezpiecznego i sprawnego prowadze-nia ruchu kolejowego.


Pociąg porusza się po stalowych szynach uniemożliwiających omijanie, wyprzedza-nie i zmianę kierunku w dowolnym miejscu. Tarcie dwóch stalowych powierzchni – koła o szyny jest ośmiokrotnie mniejsze niż w przypadku gumowych opon i bitumicznej na-wierzchni drogi kołowej, a zatem skuteczność hamowania pociągu w porównaniu z sa-mochodem jest odpowiednio mniejsza, co powoduje, że droga hamowania pociągu może znacznie przekraczać zasięg widzenia maszynisty. Również duże masy brutto oraz liczba potencjalnych poszkodowanych i strat materialnych, w przypadku wypadku kolejowe-go jest nie do przecenienia. Z tych powodów opracowano organizacyjne i techniczne systemy prowadzenia ruchu kolejowego mające na celu zapewnienie bezpieczeństwa przewożonym ludziom i towarom oraz zwiększenie przepustowości linii kolejowych. Jako podstawowe środki natury organizacyjnej wprowadzono podział linii na elementarne odcinki drogi, podział sieci kolejowej na rejony oraz rozkład jazdy jako ujęcie procesu przewozowego w cykl czasowy. Bezpieczny ruch pociągu możliwy jest, gdy maszynista prowadzi pociąg z odpowiednią dla danego odcinka prędkością. Zatem system organiza-cji ruchu musi definiować sposób przekazywania informacji maszyniście. Istotą systemu są procedury określające, w jaki sposób odbywa się zezwolenie na ruch pociągu. Można wyróżnić dwie podstawowe kategorie – procedury, w których ruch pociągu odbywa się na rozkaz ustny lub pisemny oraz procedury, w których ruch pociągu odbywa się według wskazań sygnalizatorów. Najogólniej rzecz ujmując system przekazywania informacji przy pomocy wskazań sygnalizatorów przytorowych nazywamy sygnalizacją kolejową.

System sygnalizacyjny musi zatem zapewniać niezawodne przekazanie rozkazów do pojazdu (maszynisty) dotyczących prędkości poruszania się pojazdu lub długości wolnej drogi, jaką pociąg może bezpiecznie przejechać do zatrzymania. Mimo dużej różnorodności systemów sygnalizacji kolejowej w różnych krajach świata można wyróż-nić dwie podstawowe zasady sygnalizacji – sygnalizację prędkości i sygnalizację drogi. W systemach sygnalizacji prędkości przekazywana jest informacja o dozwolonej prędko-ści, której pociąg nie może przekroczyć. W drugim przypadku sygnalizacja podaje drogę, na którą wyprawiany jest pociąg, przy czym maszynista musi znać ograniczenia prędkości

Fot. Jadwiga Wrzesińska


na każdym z odcinków jazdy pociągu. Nowoczesne systemy sygnalizacji stosują sygnali-zację prędkości. Sygnalizację drogi można spotkać w praktyce kolei brytyjskich i północ-noamerykańskich.

Najprostsze systemy sygnalizacjiJeżeli mamy tylko jeden, niewyposażony w żadne urządzenia sygnalizacyjne tor po-

między dwiema stacjami, to na odcinku pomiędzy stacjami może znajdować się tylko jeden pociąg. Sytuacja jest prosta i wymaga rozwiązania technicznego polegającego na poinformowaniu maszynisty mającego zamiar wprowadzić pociąg na dany odcinek, czy na tym odcinku znajduje się inny pociąg. Taką rolę spełniało tzw. berło. Berłem nazy-wano przedmiot określonego kształtu o wyraźnym oznaczeniu, przyporządkowującym go do danego odcinka. W tym systemie sterowania ruchem maszynista wyjeżdżając na szlak ze stacji A zabierał berło. Berło zwracał na stacji B po przejechaniu drogi od stacji A do B. Maszynista pociągu jadącego w przeciwnym kierunku zabierał berło ze stacji B i zwracał na stacji A. Dopóki berło nie powróciło na stację A na szlak ze stacji A nie mógł wjechać żaden pociąg, gdyż groziłoby to zderzeniem czołowym lub najechaniem na tył składu poruszającego się w tym samym kierunku. Rozwiązanie to jest bardzo proste jednak mało efektywne. Zmarnowanym jest czas potrzebny na powrót berła, ponieważ pociąg jadący w przeciwną stronę mógł się pojawić w nieustalonym czasie. Poprawę sytuacji uzyska-no po wprowadzeniu łączności telegraficznej, a później telefonicznej. Dyżurny na stacji A zapowiadał wyprawienie pociągu na stację B, a po przybyciu pociągu na stację B jego kolega ze stacji B potwierdzał przybycie kompletnego pociągu. W ten sposób obie stacje miały pewność co do stanu zajętości szlaku.

System sygnalizacji oparty o berło stosowany był w starych instalacjach kolejowych, w szczególności w Wielkiej Brytanii (token – ang. berło). Rozwój tego systemu doprowa-dził do powstania blokad opartych o berło elektryczne (elektroniczne), gdzie indywidu-alny numer przydziela się każdemu odstępowi. Pociąg podbiera berło o określonym nu-merze, aby wjechać na dany odcinek. Ponowne wydanie tego samego numeru berła może być wykonane dopiero po zwróceniu go przez pociąg na końcu chronionego odcinka. Ponieważ proces odbywa się elektrycznie, następny pociąg jadący w tym samym kierunku nie musi oczekiwać na powrót berła. Tym samym wzrasta przepustowość linii.

Dark Territory (ang. slang.: ciemny obszar) – to linie kolejowe niewyposażone w żaden system sygnalizacji, gdzie występuje bardzo mały ruch pociągów. Zezwolenie na jazdę daje dyspozytor ustnie przy pomocy radia lub telefonu. Załoga pociągu informuje zwrot-nie dyspozytora o aktualnym położeniu pociągu w określonych odstępach czasowych. Bezpieczeństwo systemu polega całkowicie na prawidłowej pracy personelu. Dark Terri-tory można spotkać obecnie na liniach kolejowych przebiegających przez bezkresne ob-szary Australii.

Sterowanie ruchem pociągów bez sygnalizacji. Ten typ regulacji ruchu odbywa się do dziś na około 50% linii kolei północnoamerykańskich. Ruch pociągów jest regulowany przez dyspozytora przez radio lub telefon. W Europie ta metoda jest obecnie niezwykle rzadko spotykana i to na bocznych liniach, o bardzo małym natężeniu ruchu.

Następstwo pociągów na szlakuOdstęp między dwoma pociągami poruszającymi się po tym samym torze, w tym

samym oczywiście kierunku, ma kluczowe znaczenie zarówno dla bezpieczeństwa, jak i dla przepustowości linii. Im mniejszy odstęp, tym większa przepustowość, jed-


nakże wraz z malejącą odległością między pociągami rośnie ryzyko kolizji. Problem przepustowości dotyczy w szczególności szybkich kolei aglomeracyjnych (SKM, metro), gdzie pociągi jadą po sobie w krótkich odstępach czasowych. W pierwotnym ujęciu teoretycznym wyróżnia się trzy podstawowe zasady separacji – odstępów między pocią-gami jadącymi po tym samym torze. Zasady te oparte są o odległość między pociągami zdefiniowaną jako: 1. względna droga hamowania; 2. bezwzględna droga hamowania; 3. stały odcinek blokowy. W pierwszej zasadzie zakłada się, że odległość między pociągami równa się różnicy dróg hamowania pociągów pierwszego i następnego powiększonej o dodatkową odległość ochronną. Uważa się, że jest to metoda teoretyczna, ze względu na ryzyko związane z kolizyjnym zatrzymaniem się pierwszego pociągu, wtedy wyliczo-na droga hamowania dla drugiego pociągu może okazać się niedostateczna. W przy-padku drugim oblicza się bezwzględną drogę hamowania jako sumę drogi hamowania pociągu następnego i drogi ochronnej (na wypadek pogorszenia się warunków hamo-wania). Wadą tej metody jest zagrożenie bezpieczeństwa związane z odczepieniem się wagonów i pozostaniem ich na szlaku. Ryzyko to musi być wyeliminowane przez za-stosowanie odpowiedniej technologii kontroli integralności składu pociągu. Metoda separacji pociągów w oparciu o bezwzględną drogę hamowania nazywa się „ruchomym blokiem”.

W trzecim przypadku, czyli separacji w oparciu o stały odcinek blokowy, linia dzielona jest na odstępy (sekcje). Każdy odstęp może być zajęty tylko przez jeden pociąg. Odległość między jadącymi po sobie pociągami ustala się jako sumę maksymalnej drogi hamowa-nia, długości odstępu blokowego i dodatkowej drogi ochronnej.

Uwarunkowania historyczneProces rozwoju kolei, a wraz z nim rozwoju filozofii bezpieczeństwa ruchu kolejowe-

go, przebiegał w różnych krajach świata różnymi drogami. Wypracowano odmienne kon-cepcje zapewnienia bezpieczeństwa, co powodowało, że procedury sterowania ruchem kolejowym znacząco się różniły. Z perspektywy dzisiejszej wiedzy rozróżniamy podejście



brytyjskie, niemieckie i północnoamerykańskie. W wielu krajach możemy odnaleźć zasady prowadzenia ruchu kolejowego w oparciu o jedną z trzech powyższych filozofii, będącą ich pochodną lub swoistą mieszanką.

Korzenie systemów sterowania ruchem kolejowym sięgają drugiej połowy XIX wieku. W okresie trwającym mniej więcej trzy dekady stworzono podstawy sygnalizacji kolejo-wej. Proces ten zakończył się około 1870 roku i można go nazwać okresem formowania zasad systemu sygnalizacyjnego.

Koleje północnoamerykańskie różnią się istotnie od kolei pozostałej części świata z powodów opisanych powyżej, ale także z powodu braku rozróżnienia torów stacyjnych od torów szlakowych i klasyfikacji ruchu pojazdów kolejowych.

Zasady niemieckie prowadzenia ruchu wypracowały specyficzne reguły dla systemów zależnościowych i blokady liniowej. Zasady niemieckie różnią się istotnie od brytyjskich i północnoamerykańskich.

Rozwój sygnalizacji kolejowej zdeterminowały dwa fundamentalne wynalazki, jakie pojawiły się w podobnym czasie – obwód torowy (William Robinson, 1871) i blok elektro-mechaniczny - niem. Blockfeld (Carl Frischen, 1872), który stał się kluczowym elementem ręcznej blokady w kilku krajach. Od tego czasu filozofia niemieckiej sygnalizacji kolejowej była zdeterminowana przez Blockfeld i polegała na tym, że zwolnienie bloku nie mogło być wykonane przez tę samą stację, która wyprawiała pociąg, a jedynie przez sąsiednią, do której ustawiono drogę przebiegu lub automatycznie przez sam pociąg.

Rozwój systemów sygnalizacji w Ameryce Północnej był natomiast zdeterminowany przez wynalezienie i wdrożenie detekcji pociągu na bazie obwodu torowego. Wynalazek ten pod koniec wieku XIX umożliwił skonstruowanie blokady automatycznej. Blokada ręczna typu niemieckiego nie była tam nigdy zastosowana. Oprócz blokady liniowej ob-wody torowe były bardzo wcześnie stosowane w stacyjnych systemach zależnościowych. Podczas gdy w Europie kontrola niezajętości odbywała się powszechnie poprzez wizual-ne sprawdzenie stanu odcinka, to zastosowanie obwodów torowych do detekcji pociągów w Ameryce Północnej stało się standardem od początku XX wieku.



W Europie z chwilą wynalezienia telegrafu we wczesnych latach 70-tych XIX wieku wdrożono, jako standard, w pierwszej kolejności separację pociągów bazującą na stałym odstępie. Po pewnym czasie wprowadzono sygnalizację przytorową. Blokada wymaga-ła ręcznej obsługi przez lokalnego operatora. Odcinki o długości 1-5 km wymagały za-trudnienia dużej liczby personelu rozmieszczonego wzdłuż linii kolejowej. W Ameryce Północnej, z uwagi na przeważnie małą gęstość zaludnienia zatrudnienie dużej liczby pracowników nie było możliwe. Konsekwencją tego, nawet po wynalezieniu telegrafu, było niewdrożenie systemu opartego na sztywnych odstępach blokowych. Wdrożenie za-sady podziału linii na odstępy blokowe umożliwiło dopiero wynalezienie automatycznej blokady liniowej i to w oparciu o już istniejące obwody torowe. Jednakże na przeważają-cej części linii w Północnej Ameryce fizyczne odstępy pomiędzy pociągami zapewniano przez zdefiniowane w rozkładzie jazdy interwały czasowe. Ruch pociągów nie był stero-wany przez lokalnych operatorów, a przez dyspozytora pracującego w centrum sterowania ruchem. Wynalezienie telegrafu pozwoliło na wprowadzanie zmian w rozkładzie jazdy poprzez generowanie listy następstwa pociągów. Lista następstwa pociągów była prze-syłana telegraficznie z centrum sterowania do obsługi danej stacji i dostarczana zało-gom pociągów. Takie podejście stworzyło zasadę „rozkładu jazdy i następstwa pociągów” (T&TO – ang. Timetable & Train Order), która obowiązywała do lat 80-tych ubiegłego wieku. W latach 80-tych XX wieku do powszechnego użycia wprowadzono system radio-wy, który umożliwił dyspozytorowi wydanie zezwolenia na jazdę bezpośrednio załodze pociągu. W filozofii T&TO sygnały przytorowe były stosowane tylko w niektórych loka-lizacjach wymagających wysokiego poziomu ochrony, np. w obszarach skrzyżowań i od-gałęzień linii. Niektórzy eksperci podkreślają, że podstawową różnicą pomiędzy praktyką europejską a północnoamerykańską jest to, że w systemie europejskim sygnalizatory są integralną częścią systemu, odwrotnie niż w systemie amerykańskim, gdzie są one jedy-nie jego uzupełnieniem.

Sytuacja w PolsceW Polsce po II wojnie światowej utrwalił się podział na urządzenia stacyjne i urzą-

dzenia liniowe. Systemy stacyjne to urządzenia służące do prowadzenia ruchu pocią-gów na stacji – systemy zależnościowe (interloking) lub urządzenia rozrządowe, służące do prowadzenia rozrządu z górki lub rozrządu płaskiego. Do urządzeń liniowych zaliczano blokadę liniową służącą do regulacji odstępów między pociągami, systemy oddziaływa-nia tor – pojazd oraz systemy sygnalizacji przejazdowej. W OSŻD (ОСЖД - Организации сотрудничества железных дорог) opracowano sygnalizację trzystawną, sześciostopnio-wą. Sygnalizacja pozwalała na przekazywanie za pomocą sygnalizatora przytorowego in-formacji o sześciu stopniach prędkości jazdy, przy czym stawnością sygnalizacji przyjęto nazywać właściwość sygnalizacji pozwalającą na przekazywanie za pomocą sygnalizato-ra informacji dla większej niż jeden liczby odcinków. Sygnalizacja jest n-stawna, jeżeli po-zwala na przekazanie przez sygnalizator przytorowy informacji o możliwości jazdy na n-1 odstępach położonych za sygnalizatorem.

W Polsce znane są systemy nastawcze obsługiwane ręcznie, lokalnie, w których uza-leżnienia wykonywane były za pomocą zamków kluczowych. Następnie powstały urzą-dzenia scentralizowane, nastawiane ręcznie z pewnej odległości (z nastawni) za pomocą pędni mechanicznych. Zależności uzyskiwano za pomocą mechanicznego suwaka. Kolej-nym rozwiązaniem są urządzenia elektromechaniczne. Obecnie na niektórych nastaw-niach można jeszcze spotkać urządzenia elektromechaniczne zainstalowane na początku wieku XX.


Na początku lat 90-tych ubiegłego wieku w Polsce rozpoczęto wdrażanie pierwszych systemów skomputeryzowanych. W systemach elektronicznych największym problemem było dowodzenie bezpieczeństwa. Dotychczasowe metody stosowane dla systemów prze-kaźnikowych, polegające na prześledzeniu wszystkich możliwych stanów systemu sta-ły się niemożliwe do zastosowania. Wdrożenie norm europejskich CENELEC EN 50126, 50128 i 50129 wprowadziło nowe podejście do weryfikacji bezpieczeństwa i szersze roz-powszechnienie systemów elektronicznych. Niestety nowoczesne systemy komputerowe wśród wielu zalet mają istotną wadę w stosunku do starych systemów mechanicznych, ciągle jeszcze w przeważającej większości pozostających na wyposażeniu polskiej sieci kolejowej. Wadą tą jest czas życia urządzeń elektronicznych. Sprzęt komputerowy starzeje się moralnie coraz szybciej. Zapewnienie jego utrzymania w okresie 20-25 lat staje się nie lada wyzwaniem. Od zainstalowania pierwszych elektronicznych systemów stacyj-nych na linii E20 minęło 25 lat. Kilka lat temu musiały one zostać wymienione na urzą-dzenia nowszej generacji.

Problem starzenia się systemów dotyczy także Europejskiego Systemu Sterowania Ruchem Kolejowym ERTMS/ETCS. ETCS poziom I wdrożono na linii CMK podczas wpro-wadzenia do eksploatacji pociągów Pendolino. Ambitne plany wdrożenia ERTMS i GSM-R opracowano i zatwierdzono w latach 2006/2007. Poziom II tego systemu (poziom wyko-rzystujący system transmisji GSM-R) doczekał się rozpisania przetargów dopiero w 2017 roku i nie jest jasne, kiedy zostanie przekazany do eksploatacji pierwszy odcinek. Współ-czesnym problemem Zarządcy Infrastruktury Kolejowej jest czas życia systemu GSM-R. Obecny system transmisji danych GSM-R oparty jest de facto o transmisję modemową o niskiej prędkości przesyłu danych. Stał się on przestarzały i na dużych stacjach w Eu-ropie niewydolny. Należy oczekiwać, że w ciągu najbliższych 5-10 lat będzie zastąpiony systemami nowszej generacji, np. LTE-R. Stworzy to nowe wyzwania dla uczestników ryn-ku kolejowego.



Europeizacja systemów sterowania ruchem kolejowymTechniczne Specyfikacje Interoperacyjności podsystemu sterowanie były w ostatniej

dekadzie wielokrotnie zmieniane i uzupełniane. Jednocześnie nic nie wskazuje na to, aby narodowe systemy srk, tzw. systemy klasy B, były szybko i powszechnie zastąpione przez systemy klasy A (ERTMS). Każdy z krajów członkowskich wypracował własne zasady pro-wadzenia ruchu kolejowego i mimo iż bazują one na pierwotnej, XIX-wiecznej filozofii, to mogą różnić się między sobą. Stanowi to podstawową trudność w próbach standary-zacji rozwiązań na poziomie Europy, a także w ocenie i weryfikacji zgodności systemów sterowania – urządzeń przytorowych. Dychotomia polega przede wszystkim na tym, że w większości przypadków oceniane są narodowe urządzenia sterowania ruchem kolejo-wym według odrębnych, krajowych przepisów, natomiast systemy klasy A według TSI CCS.

Dokąd zmierzamyObecnie ważą się losy kierunków rozwoju urządzeń sygnalizacji kolejowej. Rynek tych

urządzeń staje się coraz bardziej niszowy i nie nadąża za rozwojem innych systemów przemysłowych. Poważnym wyzwaniem jest bezpieczeństwo transmisji. Dziś żaden sys-tem radiowy, nawet dedykowany pod konkretne zastosowanie, jak GSM-R, nie może być uznany za zamknięty. Niestety dotyczy to także sieci LAN i WAN stosowanych na dużym obszarze geograficznym, nawet jeżeli są wydzielone. Konieczne jest ciągłe udoskonalanie metod kryptograficznego zabezpieczania informacji i autoryzacji dostępu. W rozwiąza-niach niszowych aktualizacja jest bardzo niewygodna, a nawet, z wielu powodów, może okazać się niemożliwa. Rozwiązaniem problemu będzie najprawdopodobniej system scentralizowany – cyfrowy system nastawczy, w którym dane przetwarzane są w central-nej nastawnicy, niezależnie od położenia urządzeń wykonawczych (napęd, sygnalizator) lub detekcji pociągu (licznik osi lub inne urządzenie). Ultralokalne sterowniki geograficz-ne pełnią funkcję wyłącznie dedykowanych przełączników, w których logika ogranicza się do procesu obsługi wejść/wyjść. Przy takim podejściu łatwiej jest chronić jedną lub co najwyżej kilka nastawnic niż setki. Aktualizacje takiego systemu srk odbywałyby się również centralnie.

Obserwując rozwój technologii informatycznej i telekomunikacyjnej możemy mówić o przyspieszonym, wykładniczym tempie. Kolej przez 100 pierwszych lat swojego istnie-nia była przykładem postępu technologicznego. Jednakże w ostatnim okresie, w szczegól-ności w ostatniej dekadzie, ze względu na niekontrolowalny, dynamiczny rozwój techno-logiczny systemów teleinformatycznych i komputerowych, wkroczyła w czas poważnych wyzwań. Bezpieczeństwo ruchu kolejowego nie zależy już dzisiaj tylko od niezawodności, dostępności, podatności utrzymaniowej i poziomu bezpieczeństwa samych urządzeń, ale zaczyna być uzależnione od odporności systemów na niepożądany dostęp, w tym cybera-taki na masową skalę, mogące nie tylko sparaliżować system kolejowy, ale i doprowadzić do poważnych wypadków. Przed konstruktorami, użytkownikami i weryfikatorami syste-mów srk globalna gospodarka cyfrowa stawia dzisiaj całkowicie nowe zadania.

Źródła1. Pachl J.: Railway Operation and Control, VTD Rail Publishing, 2004.2. Theeg G., Vlasenko S.: Railway Signalling & Interlocking, Eurailpress, 2009.3. Ważyński T.: Sterowanie ruchem kolejowym, WKŁ, 1970.


Ignacy Góra Prezes Urzędu Transportu Kolejowego [email protected]

Piotr Sieczkowski Zastępca Dyrektora Departamentu Techniki i WyrobówUrząd Transportu Kolejowego

Fot. archiwum redakcji

Agencja Kolejowa Unii Europejskiej to specjalistyczna unijna instytucja zajmująca się funkcjonowaniem sektora kolejowego w zakresie bezpieczeństwa i interoperacyjności. Po-wstała w 2004 r. na mocy rozporządzenia [1] – wówczas jako Europejska Agencja Kolejo-wa. Wraz z wejściem w życie rozporządzenia [2] jej nazwa zmieniona została na obecnie obowiązującą. Do najważniejszych zadań Agencji należy przygotowanie projektów Tech-nicznych Specyfikacji Interoperacyjności, wspólnych metod oceny bezpieczeństwa i in-nych aktów prawnych regulujących funkcjonowanie kolei, a następnie monitorowanie ich

Preautoryzacja Europejskiego Systemu Zarządzania Ruchem Kolejowym: nowe zadanie Agencji Kolejowej Unii Europejskiej

Już za nieco ponad rok zaczną być stosowane przepisy tzw. części tech-nicznej czwartego pakietu kolejowego. Dwie unijne dyrektywy oraz jedno rozporządzenie istotnie modyfikują dotychczasowe zasady funkcjonowa-nia systemu kolejowego w zakresie bezpieczeństwa i interoperacyjności. Jedną z najistotniejszych zmian będzie przyznanie Agencji Kolejowej Unii Europejskiej nowego zadania w obszarze Europejskiego Systemu Zarzą-dzania Ruchem Kolejowym – tzw. preautoryzacji ERTMS.


praktycznego stosowania i udzielanie wsparcia w tym zakresie. Agencja jest gospodarzem wielu grup roboczych, w których na bieżąco dochodzi do wymiany doświadczeń pomiędzy uczestnikami rynku kolejowego z państw Unii Europejskiej – krajowymi organami ds. bez-pieczeństwa, krajowymi organami dochodzeniowymi, jednostkami notyfikowanymi czy podmiotami działającymi w obszarze transportu kolejowego. W pracach Agencji na bieżąco uczestniczą przedstawiciele Urzędu Transportu Kolejowego.

Jednym z zadań Agencji jest zapewnienie zharmonizowanego wdrażania ERTMS na ob-szarze Unii Europejskiej. Agencja pełni rolę tzw. organu systemowego ERTMS, który na bie-żąco koordynuje rozwój specyfikacji technicznych systemu, zapewnia ich rozwój oraz mo-nitoruje ich wdrażanie, w tym gromadzi dane o potencjalnych błędach czy niespójnościach w obowiązujących specyfikacjach. W ramach części technicznej czwartego pakietu kolejo-wego, w skład którego wchodzą rozporządzenie [2] oraz dyrektywy [3] i [4], kompetencje Agencji w obszarze ERTMS zostały poszerzone o nowy proces zatwierdzania rozwiązań technicznych przytorowych urządzeń ERTMS.

Zgodnie z art. 19 dyrektywy [3] Agencja będzie zatwierdzała rozwiązania techniczne przytorowych urządzeń ERTMS w celu sprawdzenia, czy są one zgodne z odpowiednimi TSI i czy w związku z powyższym są w pełni interoperacyjne. Ocena Agencji powinna na-stępować na etapie poprzedzającym zaproszenie do składania ofert na budowę systemu. Proces ten jest również określany jako tzw. „preautoryzacja ERTMS”. Warto przy tym zauwa-żyć, że będzie to całkowicie nowa procedura, której odpowiednika próżno szukać w obecnie obowiązujących przepisach. Zanim jednak przejdziemy do przybliżenia szczegółów tego procesu, warto na chwilę skupić się nad źródłem jego powstania.

Geneza procesu preautoryzacji ERTMSZałożeniem przyświecającym budowie ERTMS w Unii Europejskiej jest zapewnienie

pełnej interoperacyjności ruchu pociągów przez granice państwowe i zniesienie dotych-czasowych barier wynikających ze stosowania kilkudziesięciu różnych krajowych systemów sterowania ruchem kolejowym. Niestety w ramach kolejnych wdrożeń ERTMS w poszcze-gólnych państwach członkowskich okazywało się, że do istniejących specyfikacji technicz-nych dodawano nowe funkcjonalności lub modyfikowano je w sposób, który generował konieczność określonego zachowania urządzeń pokładowych systemu. W efekcie system przestawał być w pełni interoperacyjny, a powstawały jego lokalne odmiany, co nie przybli-żało kolei do realizacji wizji jednego spójnego systemu sterowania ruchem na całej sieci kolejowej UE. Przykłady zmian w specyfikacjach ERTMS wpływających na interoperacyjność tego systemu zebrała w ostatnim czasie Komisja Europejska w raporcie [5].

W celu uniknięcia powtórzenia się w przyszłości podobnych sytuacji Komisja Europejska, opracowując pierwsze projekty nowej dyrektywy w sprawie interoperacyjności w ramach czwartego pakietu kolejowego, wyszła z inicjatywą przekazania kompetencji w zakresie zezwalania na dopuszczenie do eksploatacji podsystemu „Sterowanie – urządzenia przyto-rowe” Agencji Kolejowej Unii Europejskiej. Pomysł ten nie zyskał jednak aprobaty państw członkowskich, które w trakcie negocjacji na poziomie Rady Unii Europejskiej zapropono-wały utrzymanie tej kompetencji po stronie krajowych organów ds. bezpieczeństwa. Rolą Agencji byłoby jednak wydanie opinii w zakresie dotyczącym ERTMS. Na kolejnym etapie prac do dyskusji włączył się Parlament Europejski, postulując powrót do rozwiązań pro-ponowanych oryginalnie przez Komisję Europejską. W ostatecznym tekście dyrektywy [3] pojawiło się ostatecznie trzecie, kompromisowe rozwiązanie: co prawda zezwolenie na do-puszczenie do eksploatacji podsystemu strukturalnego „Sterowanie – urządzenia przytoro-


we” będą wydawać krajowe organy ds. bezpieczeństwa, tak jak chciały tego państwa Unii Europejskiej, ale na wcześniejszym etapie projektu zabudowy ERTMS będzie w nim uczest-niczyć Agencja Kolejowa Unii Europejskiej, zgodnie z oczekiwaniami Parlamentu i Komisji Europejskiej. W ten sposób powstała preautoryzacja ERTMS (po angielsku określana jako ERTMS pre-approval). Jak można zauważyć ta skrótowa nazwa procesu nawiązuje do faktu, że ocena Agencji odbywa się na etapie poprzedzającym ostateczną autoryzację projektu, tj. wydanie zezwolenia na dopuszczenie do eksploatacji przez odpowiedni krajowy organ ds. bezpieczeństwa.

Proces preautoryzacjiPodstawowe wymagania dotyczące przebiegu procesu preautoryzacji określa art. 19 dy-

rektywy [3]. Wskazano w nim podstawowe wymagane dokumenty, a także nakreślono ter-miny realizacji wniosków, jednak w ograniczonym stopniu wskazano szczegółowy przebieg procesu. W celu wypełnienia tej luki Komisja Europejska przygotowuje obecnie zalecenie [6], które w większym stopniu przybliży szczegóły procesu preautoryzacji.

Zarówno dyrektywa [3], jak i projektowane zalecenie [6] nie wprowadzają ograniczeń odnośnie podmiotu, który może wystąpić o przeprowadzenie procesu preautoryzacji. Może to być zatem zarówno zarządca infrastruktury, jak i działający na jego zlecenie wykonawca modernizacji. Wniosek będzie składany za pośrednictwem systemu informatycznego Agen-cji – tzw. punktu kompleksowej obsługi (ang. one stop shop), za pomocą którego odbywać się będzie również wszelka korespondencja z wnioskodawcą czy krajowymi organami ds. bezpieczeństwa.

Jak już wspomniano z wnioskiem do Agencji należy wystąpić przed etapem zapro-szenia do składania ofert w przetargu związanym z urządzeniami przytorowymi ERTMS. W takich okolicznościach rozsądnym założeniem wydaje się, aby nastąpiło to jeszcze przed przetargiem dotyczącym zaprojektowania tych urządzeń, dzięki czemu Agencja zo-stanie włączona w daną inwestycję na możliwie wczesnym etapie. Warto także zauważyć,



że wniosek o zatwierdzenie rozwiązań technicznych dla przytorowych urządzeń ERTMS może obejmować zarówno pojedyncze projekty, jak i ich kombinacje, grupy linii kolejo-wych lub nawet całą sieć.

Do wniosku należy dołączyć dokumentację, w której zawarte zostaną informacje m.in. o liniach objętych projektem i ich podstawowej charakterystyce, planowanym wzorcu i wer-sji ERTMS, harmonogramie projektu, wykazie funkcji ERTMS do wdrożenia czy przepisach konstrukcyjnych i scenariuszach prób eksploatacyjnych wymaganych przez TSI Sterowa-nie. Ponadto dokumentacja powinna zawierać wszelkie dostępne na danym etapie dowody świadczące o zgodności z TSI podsystemu i składników interoperacyjności w nim zawartych.

Jednak najważniejszym dokumentem, który będzie wypracowywany wspólnie przez Agencję i wnioskodawcę w ramach procesu preautoryzacji będzie tzw. rejestr problemów (ang. issues log). Na podstawie zgromadzonych dotychczas doświadczeń w projektach dotyczących wdroże-nia ERTMS Agencja będzie proponowała wstępną listę problemów do rejestru, które mogą mieć wpływ na interoperacyjność podsystemu „Sterowanie” poprzez generowanie odstępstw w za-chowaniu urządzeń przytorowych lub wymuszanie odmiennego zachowania podsystemu po-kładowego. Lista ta będzie wcześniej znana, aby umożliwić wnioskodawcom przygotowanie się do procesu preautoryzacji. Rolą wnioskodawcy będzie dostarczenie dowodów, które potwierdzą, że każdy ze zidentyfikowanych problemów został w prawidłowy sposób rozwiązany. Wszystkie problemy będą przyporządkowywane do jednej z czterech kategorii:• w toku,• sprawa zamknięta,• sprawa zamknięta warunkowo,• sprawa zamknięta, ale w sposób niedopuszczalny.

Agencja będzie weryfikować dostarczone przez wnioskodawcę dowody i na tej podsta-wie decydować o statusie poszczególnych problemów, a także na bieżąco ustalać z wnio-skodawcą, jakie dokumenty należy przedłożyć.



Po zamknięciu wszystkich problemów ujętych w rejestrze, Agencja podejmie ostateczną decyzję w zakresie zatwierdzenia lub nie rozwiązań technicznych dla przytorowych urzą-dzeń ERTMS. Warunkiem pozytywnej decyzji Agencji jest uznanie dokumentacji za kom-pletną i spójną, a także pozytywne zamknięcie wszystkich problemów w rejestrze. Jeżeli przynajmniej jeden z problemów został zamknięty warunkowo Agencja wyda decyzję po-zytywną, ale zawierającą określone warunki do wdrożenia w projekcie. W przypadku gdy przynajmniej jeden z problemów ma status zamkniętego, ale w sposób niedopuszczalny, Agencja wyda decyzję negatywną. W takiej sytuacji wnioskodawca ma prawo się odwołać lub ponownie wystąpić o decyzję Agencji po stosownym skorygowaniu dokumentacji.

W ramach procesu preautoryzacji ERTMS przewidziano również rolę dla Prezesa UTK jako krajowego organu ds. bezpieczeństwa. Prezes UTK będzie uprawniony do przekazania Agencji opinii odnośnie danego projektu i jego szczegółów technicznych, a także będzie miał wgląd do przebiegu procedury. W przypadku decyzji pozytywnej warunkowej rolą Pre-zesa UTK będzie dodatkowo weryfikacja realizacji warunków określonych przez Agencję na etapie wydawania zezwolenia na dopuszczenie do eksploatacji podsystemu.



Dyrektywa [3] określa terminy realizacji procesu preautoryzacji – w ciągu miesiąca od złożenia wniosku Agencja jest zobowiązana do poinformowania, czy został on uznany za kompletny lub wskazania terminu uzupełnienia ewentualnych braków. Po skompleto-waniu całej dokumentacji Agencja ma z kolei dwa miesiące na wydanie decyzji. Procedura preautoryzacji będzie również podlegała opłacie na zasadach określonych w przyszłym roz-porządzeniu dotyczącym opłat i honorariów Agencji.

Ryzyka i wątpliwościProces preautoryzacji ERTMS będzie całkowicie nowym procesem realizowanym w ra-

mach inwestycji dotyczących przytorowej części podsystemu „Sterowanie”, co w naturalny sposób przyczynia się do powstawania wątpliwości wśród podmiotów, które będą miały z nim styczność. Warto w tym miejscu zasygnalizować kilka z nich.

Czytając dyrektywę [3] wydawać by się mogło, że proces preautoryzacji ERTMS po-winien zakończyć się w ciągu kilku miesięcy. Warto w tym kontekście jednak zwrócić uwagę, że określając powyższe terminy dyrektywa posługuje się pojęciami nieostry-mi, które pozostawiają swobodę w interpretacji, m.in. warunkują przejście do etapu wydania decyzji od uznania całej dokumentacji za spójną i kompletną oraz uzyskania dowodów dotyczących wszystkich zidentyfikowanych problemów. W świetle powyż-szego istnieje obawa, że etap gromadzenia dokumentacji będzie najsłabszym ogni-wem procesu prowadzącym do nadmiernego przedłużania się realizacji całej proce-dury, co przełożyć się może na sprawność przebiegu inwestycji, a także prowadzić do podwyższenia jej kosztów.

Odrębnym problemem jest również kwestia podejścia do inwestycji realizowanych w formule „projektuj i buduj”, gdzie dokumentacja dostępna na etapie poprzedzającym przetarg może być niewystarczająca dla uzyskania pozytywnej decyzji Agencji.

Nie da się również ukryć, że problemem związanym z procesem preautoryzacji jest nie-jasny podział ról i obowiązków między Agencją i jednostką notyfikowaną, odpowiedzialną za weryfikację podsystemu „Sterowanie – urządzenia przytorowe”. Istnieje ryzyko, że oceny realizowane przez oba te podmioty mogą się nakładać, co może dodatkowo komplikować proces inwestycyjny.

PodsumowanieW niniejszym artykule w syntetyczny sposób zaprezentowane zostały podstawowe infor-

macje dotyczące procesu zatwierdzania rozwiązań technicznych dla urządzeń przytorowych ERTMS (tzw. preautoryzacji ERTMS). Wskazano w nim również na pewne ryzyka i wątpliwo-ści związane z nowym procesem. Niewątpliwie jest to jednak dopiero wstęp do dyskusji dotyczącej tego procesu, którego szczegóły jeszcze są doprecyzowywane i dla którego brak jest doświadczeń co do praktycznego jego stosowania.

Analizując jednak problematykę preautoryzacji ERTMS trzeba zawsze pamiętać o celu, jaki przyświecał europejskiemu ustawodawcy w momencie wprowadzania ta-kiego rozwiązania do przepisów dyrektywy [3]. Jest nim zapewnienie zharmonizowa-nego wdrożenia ERTMS w Unii Europejskiej, tak aby zbudowany system był w pełni interoperacyjny, a także przyczyniał się do podniesienia poziomu bezpieczeństwa systemu kolejowego. Osiągnięcie tego celu jest ze wszech miar pożądane, gdyż w po-zytywny sposób wpłynie na korzyści wynikające z wdrażania nowoczesnego systemu sterowania ruchem kolejowym, jakim jest ERTMS. Należy zatem dążyć do tego, aby wypracowane procedury i przede wszystkim praktyka ich stosowania zminimalizo-


wała wszelkie ryzyka związane z nowym procesem, doprowadzając przy tym do osią-gnięcia maksymalnych korzyści wynikających z zaangażowania w ten proces wysoce kompetentnego aktora w tym specjalistycznym obszarze, jakim jest Agencja Kolejowa Unii Europejskiej.

Źródła1. Rozporządzenie (WE) nr 881/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r.

ustanawiające Europejską Agencję Kolejową, Dz. Urz. UE L 164 z 30 kwietnia 2004 r., s. 1; Polskie wydanie specjalne: Rozdział 07, Tom 008, ss. 214-226.

2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/796 z dnia 11 maja 2016 r. w sprawie Agencji Kolejowej Unii Europejskiej i uchylenia rozporządzenia (WE) nr 881/2004, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 1.

3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/797 z dnia 11 maja 2016 r. w sprawie interoperacyjności systemu kolei w Unii Europejskiej, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 44.

4. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/798 z dnia 11 maja 2016 r. w sprawie bezpieczeństwa kolei, Dz. Urz. UE L 138 z 26 maja 2016 r., s. 102.



StreszczenieAutorzy opisują nowe zadanie nałożone na Agencję Kolejową UE dyrektywą 2016/797. Bę-

dzie nim zatwierdzanie rozwiązań technicznych przytorowych urządzeń ERTMS (preautoryza-cja). Co do zasady powinna się ona odbyć na etapie przedprzetargowym. Zezwolenie na do-puszczenie do eksploatacji podsystemu „Sterowanie – urządzenia przytorowe” nadal pozostanie kompetencją krajowego organu ds. bezpieczeństwa. Przebieg procesu jest opisany w dyrekty-wie, natomiast uszczegółowienie procedury nastąpi w przygotowywanych przez Komisję Euro-pejską zaleceniach. Preautoryzacja będzie się odbywała za pomocą opracowanego przez Agen-cję zamkniętego rejestru problemów, które mogą wpłynąć na interoperacyjność. Wnioskodawca będzie musiał dostarczyć dowody, że każdy ze zidentyfikowanych problemów został w prawidło-wy sposób rozwiązany. Przydzielane będą cztery statusy. Po zamknięciu wszystkich problemów Agencja podejmie decyzję o zakresie zatwierdzenia rozwiązań technicznych dla przytorowych urządzeń ERTMS. Rolą Prezesa UTK w procesie preautoryzacji będzie opiniowanie zgłaszanych projektów oraz weryfikacja spełnienia przez Wnioskodawców zawartych w decyzjach Agencji warunków. Autorzy przedstawiają w artykule również ryzyka i wątpliwości co do opisanego pro-cesu i niejasny podział zadań pomiędzy Agencję a Jednostki Notyfikowane.

Słowa kluczowe Agencja Kolejowa UE, preautoryzacja ERTMS. SummaryThe authors describe the new task imposed on the EU Railway Agency by Directive

2016/797. This will be the approval of technical solutions for track-side ERTMS equipment (pre-approval). It will take place prior to tender stage. The national safety authority will continue to authorise the placing in service of the Control-Command and Signalling Track--side Subsystem. The process is described in the Directive and the details of the procedure will be provided in the Agency’s recommendations. Pre-approval will take place through a closed register, developed by the Agency, of problems which may affect interoperabili-ty. The applicant will have to provide evidence that each of the identified problems has been properly resolved. Four statuses will be assigned. Once all the problems have been resolved, the Agency will decide on the scope of the validation of the technical solutions for track-side ERTMS equipment. The role of the President of the UTK (Office of Railway Transport) in the pre-approval process will be to provide opinions on the submitted pro-jects and to verify that the Applicants fulfil the conditions set out in the Agency’s decisions. The authors also present risks and doubts concerning the described process and unclear division of tasks between the Agency and Notified Bodies.

Keywords EU Railway Agency, ERTMS pre-approval.

5. Examples of variations and rules hindering ERTMS deployment (Przykłady wariacji i przepi-sów utrudniających wdrożenie ERTMS), Komisja Europejska, 21 listopada 2016 r., doku-ment dostępny na stronie internetowej Dyrekcji ds. Mobilności i Transportu KE: https://ec.europa.eu/transport/modes/rail/ertms/ertms_deployment/dmt_en.

6. Zalecenie Komisji w sprawie wytycznych dotyczących zharmonizowanego wdrożenia euro-pejskiego systemu zarządzania ruchem kolejowym w Unii, projekt ze stycznia 2018 r.



Zaniedbania o charakterze systemowym mogą prowadzić w przyszłości do wypadków kolejowychPo wypadku kolejowym pod Szczekocinami na łamach czasopisma „Infrastruktura Transportu” opublikowałem wraz z kolegami artykuł pod znamiennym tytułem „Katastrofa kolejowa pod Szczekocinami skutkiem długoletnich zaniedbań o charakterze systemowym” [1]. Mimo iż od tamtego czasu upłynęło sześć lat i pomimo iż zmieniło się prawo kolejowe, a także zmieniły się instytucje kolejowe, jak i sama ko-lej, wiele opisanych w artykule problemów pozostaje nadal aktualnych.

Prof. dr hab. inż. Janusz DyduchWydział Transportu i ElektrotechnikiUniwersytet Technologiczno-Humanistyczny w Radomiu


Tym bardziej, że przeżywamy bum inwestycji kolejowych, co jest absolutnie zjawi-skiem pozytywnym, lecz niesie za sobą nowe wyzwania związane z bezpieczeństwem ru-chu kolejowego. Przy natłoku zadań zapomina się często o tym, że w fazie projektowania i budowy kształtujemy przyszłe bezpieczeństwo modernizowanych tras i stacji. W niniej-szym artykule znajdują się obszerne cytaty z treści analiz opublikowanych w 2012 roku.

Jako motta do tamtego artykułu użyliśmy przesłania z inskrypcji kamiennej, autorstwa starożytnego mistrza, który powiedział, że ci, którzy wiedzą milczą; ci, którzy mówią, nie wiedzą, a prawdziwej siły nie widać. Skoro więc uważamy, że wiemy, musimy przerwać milczenie i ponownie wskazać na pojawiające się problemy systemowe, które oby nie były w przyszłości przyczyną tragicznych w skutkach wypadków kolejowych.

Wypadek pod Szczekocinami był jedną z największych katastrof kolejowych w Polsce. Podnoszono wtedy fakt, że odcinek linii, na którym doszło do katastrofy, pomiędzy Sta-rzynami i Sprową, o długości 21,5 km, był zmodernizowany [1]. Na tym szlaku zainstalo-wana została półsamoczynna, dwukierunkowa blokada jednoodstępowa, która pozwala na przebywanie tam tylko jednego pociągu. Obecnie instalowanych jest wiele blokad półsamoczynnych, które nie gwarantują odpowiedniego poziomu bezpieczeństwa i prze-pustowości. Gdyby ówcześnie zmodernizowano szlak pomiędzy Starzynami a Sprową w sposób kompletny, odpowiadający nowym standardom i zainstalowano tam blokadę samoczynną, dzieląc go np. na osiem odstępów chronionych semaforami, to nawet gdyby z obu wymienionych wyżej posterunków ruchu wyprawiono pociągi na sygnał zastępczy, nie doszłoby do katastrofy – pociągi zatrzymałyby się najprawdopodobniej daleko przed miejscem, w którym doszło do zderzenia. Jednocześnie blokada samoczynna podniosłaby przepustowość tej części linii magistralnej [1].

Kolejnym problemem systemowym wskazanym w artykule jest prowadzenie ruchu na tzw. sygnał zastępczy. Sygnał zastępczy1 powinien być, jeżeli już, wykorzystywany w wy-jątkowych sytuacjach, ponieważ omija system zależnościowy. Podobna sytuacja dotyczy zużycia moralnego, a w wielu przypadkach i technicznego, urządzeń radiołączności pocią-gowej, która jest częścią systemu bezpieczeństwa poprzez tzw. radio-stop2, umożliwiający zatrzymanie wszystkich pociągów znajdujących się w danym obszarze sterowania.

W Polsce nigdy nie wdrożono skutecznych systemów zabezpieczenia pociągów (ATP3). Skutecznym systemem nie jest ani system SHP (samoczynne hamowanie pociągu), ani czuwak aktywny4, ani radio-stop [1], a wdrożenie systemu ETCS, mimo upływu lat, jest nadal w fazie początkowej.

Jeden z pierwszych na świecie systemów oddziaływania tor-pojazd opracowano i wdrożono w Niemczech w latach trzydziestych ubiegłego wieku [2]. Było to tzw. Indusi5 (obecna nazwa PZB6), czyli punktowy system oddziaływania tor-pojazd. Indusi wykorzystuje indukcję elektromagnetyczną do transmisji informacji z toru do pojazdu – jest oscylatorem (znanym pod nazwą elektromagnesu przytorowego) uzależnionym od semafora poprzez styk przekaźnika. Do dyspozycji są trzy częstotliwości: 500, 1000 i 2000 Hz. Na pokładzie pojazdu trakcyjnego znajdują się trzy obwody aktywne o tych samych częstotliwościach, które połączone są z elektromagnesem pojazdowym. System ma za zadanie kontrolować czy maszynista prawidłowo wdraża informacje wyświetlane na sygnalizatorach przytorowych. Podstawową funkcją systemu jest zabezpieczenie pociągu przed przejechaniem sygnału „Stój”, a tym samym zabezpie-czenie przed potencjalną katastrofą kolejową. Elektromagnes o częstotliwości rezo-nansowej 1000 Hz instalowany jest 1000 m przed semaforem w osi tarczy ostrzegaw-czej, elektromagnes o częstotliwości rezonansowej 500 Hz 250 m przed semaforem,


a rezonator 2000 Hz instalowany jest w osi semafora. Tak usytuowane elektroma-gnesy pozwalają na kontrolę hamowania. Po przejechaniu nad uaktywnionym przez sygnał „Stój” elektromagnesem 1000 Hz w ciągu czterech sekund maszynista musi nacisnąć przycisk czujności. W przeciwnym przypadku następuje wdrożenie hamo-wania nagłego. Dodatkowo system kontroluje proces hamowania. Prędkość pociągu musi przez cały czas być mniejsza od prędkości pozwalającej na zatrzymanie pociągu w zadanej odległości. Zmiana sygnału na zezwalający powoduje, że po przejechaniu rezonatora 500 Hz hamowanie może zostać zwolnione, natomiast niedopuszczalne zwolnienie hamowania przez maszynistę spowoduje wdrożenie hamowania nagłego. Tak więc, gdy semafor ustawiony jest na „Stój” urządzenia pokładowe blokują dalszą jazdę pociągu. W wyniku rozwoju systemów ATP w Niemczech opracowano system LZB7 pozwalający na ciągłe przekazywanie informacji z toru do pojazdu. System opar-ty jest o pętle indukcyjne instalowane w torze.

W latach sześćdziesiątych ubiegłego wieku wdrożono na polskiej sieci kolejowej sys-tem SHP jako zubożoną, jednoczęstotliwościową wersję niemieckiego Indusi. Oscylator (elektromagnes przytorowy) instaluje się 200 m przed tarczami ostrzegawczymi oraz przed semaforami na szlaku, natomiast na stacji umieszcza się go na wysokości sema-forów. Oscylator jest autonomiczny, to znaczy, że nie jest on uzależniony od sygnalizato-ra. Jego zadaniem, teoretycznie, jest wzmocnienie czujności maszynisty przed dojazdem do semafora. W przypadku nie skasowania stanu alarmu wywołanego przez wzbudzone obwody pokładowe, pociąg zatrzyma się automatycznie. Brak uzależnienia od semafora jest jego dyskwalifikującą wadą, gdyż były przypadki uruchomienia przycisku SHP i prze-jechania semafora, na którym był sygnał zabraniający. Niezależnie od sygnałów wyświe-tlanych na semaforze, SHP i czuwak aktywny generują naprzemiennie nieustanny alarm, który musi być kasowany przez maszynistę. Po latach może to powodować niekontrolo-wany odruch, z psychologicznego punktu widzenia niebezpieczny w stanach zmęczenia lub rozkojarzenia maszynisty.

Na przełomie lat osiemdziesiątych i dziewięćdziesiątych ubiegłego wieku ówczesne Centrum Naukowo-Techniczne Kolejnictwa (obecnie Instytut Kolejnictwa) opracowało system kontrolowanego hamowania pociągu – KHP, a przedsiębiorstwo państwowe PKP zainstalowało urządzenia przytorowe tego systemu na północnym odcinku magistrali węglowej i wyposażyło kilka lokomotyw w urządzenia pokładowe. System wykorzystywał istniejące SHP oraz kodowane amplitudowo obwody torowe. Wybór określonej filozofii działania oraz sposobu kodowania sygnałów spowodowały, że system okazał się zawodny i powodował liczne zakłócenia w ruchu. Ostatecznie z szerszego wdrożenia systemu zre-zygnowano, a urządzenia na linii próbnej zdemontowano [1].

W 1993 roku uruchomiono odcinek próbny punktowego systemu oddziaływania tor--pojazd EBICAB-900 na 25-kilometrowym odcinku Centralnej Magistrali Kolejowej. Pod-stawowym elementem systemu był transponder (balisa), instalowany w osi toru i uzależ-niony od sygnałów wyświetlanych na semaforze. Wyposażono w systemy pokładowe kilka lokomotyw EP 09. Mimo iż na owe czasy system był nowoczesny i stał się protoplastą europejskiego systemu ETCS8 (poziom 1) nie został wdrożony do normalnej eksploatacji. W większości krajów Europy jednak opracowano i wdrożono systemy narodowe: Niemcy – PZB, LZB; Włochy – BACC9/SCMT10; Francja – Crocodile, TVM11/KVB12; Belgia, Luksemburg – Crocodile; Szwajcaria – Integra Signum/ZUB; Wielka Brytania – AWS13; Czechy, Słowacja – LS-90 (odmiana PZB); Holandia – ATB14; Rumunia, Austria, Turcja, kraje byłej Jugosławii – PZB; Szwecja – EBICAB; Hiszpania – ASFA.


Trzeba podkreślić, że aby system ATP był efektywny jego stan musi być uzależniony od sytuacji ruchowej, w praktyce oznacza to, że jest on połączony z semaforem lub syste-mem sterowania ruchem (systemem stacyjnym lub blokadą liniową).

Od początku lat dziewięćdziesiątych ubiegłego wieku w Europie rozpoczęto prace nad ponadnarodowym systemem ATP (ETCS), zadaniem którego miało być zastąpienie w przyszłości narodowych systemów. Pierwotną koncepcją było także stworzenie wspól-nego, paneuropejskiego systemu sterowania i zarządzania ruchem kolejowym ERTMS15. Początkowo specyfikacja techniczna zmieniała się co kilka lat tak znacznie, że trudno było mówić o kompatybilności pomiędzy wersjami systemu. Specyfikacje zmieniają się do dziś, a baza komunikacyjna poziomu drugiego GSM-R stała się w międzyczasie przestarzała. Uważa się jednak, że system osiągnął dojrzałość techniczną. Kilkanaście lat temu rozpo-częto jego wdrażanie w wielu krajach Europy, m.in. we Francji (nowa linia TGV do Stras-burga), Niemczech, Holandii, Szwajcarii, Czechach, ale także na Tajwanie, w Południowej Korei, Chinach, Arabii Saudyjskiej, Turcji, Indiach, Australii i Meksyku. W obecnej postaci system ERTMS zasadniczo umożliwia tylko sterowanie ruchem kolejowym. Warstwa za-rządzania systemem kolejowym nie została opracowana.

Pełny system ERTMS składa się z GSM-R (Global System for Mobile Communications – Railway) i ETCS (European Train Control System). Można rozróżnić trzy poziomy rozwoju systemu ERTMS:

Poziom 1Na istniejący system sygnalizacji przytorowej nałożony jest system balis i koderów

będący de facto punktowym systemem oddziaływania tor-pojazd. Detekcja pociągu od-bywa się w sposób klasyczny przez obwody torowe lub liczniki osi. Transmisja do pojazdu realizowana jest za pośrednictwem balis16 – oddziaływanie punktowe lub przy pomocy pętli Euroloop – oddziaływanie quasi-ciągłe. Balisa może być połączona z sygnalizatorem przytorowym przy pomocy kodera lub bezpośrednio do systemu sterowania ruchem kolejowym za pomocą bezpiecznej transmisji.



Poziom 2Transmisja do i z pociągu odbywa się za pośrednictwem systemu GSM-R. Stacje bazowe

montowane są wzdłuż linii kolejowej17 i zapewniają pełne pokrycie linii kolejowej sygna-łem radiowym. W przypadku poziomu 2 nie jest konieczne budowanie klasycznej sygnaliza-cji przytorowej. Konieczne jest jednak stosowanie klasycznych systemów detekcji pociągu w celu kontroli integralności składu. Dokładna informacja o położeniu pociągu jest pozy-skiwana z wiedzy o położeniu balis oraz z odometrów18 pokładowych. Zastosowanie ERTMS poziom 2 na liniach o dużej gęstości ruchu pozwala na dalsze jego zwiększenie o ok. 15%.

Poziom 3Transmisja do i z pociągu odbywa się poprzez GSM-R. System poziomu 3 obejmuje

balisy do celów detekcji pociągu19 oraz pokładowy system kontroli ciągłości składu. Za-kłada się, że ruch pociągów w systemie ERTMS poziomu 3 prowadzony jest wyłącznie przy pomocy radia i urządzeń pokładowych, wypracowujących informacje o wolnej dro-dze przed pociągiem i prędkości pociągu wzdłuż szlaku. Jak dotychczas nie wdrożono żadnego systemu ERTMS o filozofii poziomu 3.

Integralną częścią systemu ERTMS jest GSM-R. GSM-R zapewnia następujące funkcje:• cyfrową transmisję danych – transmisja GSM-R wykorzystywana jest do sterowania

ruchem pociągu, ale także dostępna jest dla innych aplikacji, np. śledzenie pojazdów i ładunków, gromadzenie danych dla potrzeb służb utrzymania,

• cyfrową łączność między dyżurnym ruchu i maszynistą, zapewniającą zarówno połą-czenia głosowe dwóch abonentów, jak i połączenia konferencyjne20,

• adresowanie funkcjonalne (np. numerami pociągów) i zależne od lokalizacji (np. ma-szynista po wybraniu połączenia łączony jest z dyżurnym ruchu właściwym dla aktual-nego położenia pociągu),

• wywołania grupowe i wywołania priorytetowe, w tym możliwość generowania alarmu poprzez wciśnięcie jednego, sprzętowo wyróżnionego przycisku.

Podsumowując system ERTMS umożliwia:• podniesienie poziomu bezpieczeństwa ruchu pociągów,• zwiększenie zdolności przepustowej linii kolejowych,• dostosowanie urządzeń łączności do standardów międzynarodowych,• podniesienie jakości przewozów w związku z możliwością uruchomienia dodatkowych

usług przy wykorzystaniu łączności GSM-R.

Obydwa podsystemy, ETCS i GSM-R, są istotnymi składnikami europejskiej polityki likwidacji barier w transporcie, zarówno w wymiarze technicznym, jak i w zakresie kre-owania wspólnego rynku kolejowego. Zakłada się, że ETCS w Unii Europejskiej (system klasy A) powinien zastąpić w przyszłości systemy narodowe, tzw. systemy klasy B, a GSM-R narodowe systemy łączności pociągowej. Zakłada się również, że ETCS nie wymaga uni-fikacji krajowych przepisów, pozwalając zarządcom narodowych infrastruktur kolejowych na zdefiniowanie dodatkowych własnych parametrów systemu – tzw. zmiennych narodo-wych, zapewniając kompatybilność z lokalnymi przepisami i infrastrukturą.

6 marca 2007 r. Rada Ministrów przyjęła Narodowy Plan Wdrażania Europejskiego Systemu Zarządzania Ruchem Kolejowym (NPW ERTMS). Łącznie nakłady na GSM-R miały wynieść 4,6 mld zł dla wyposażenia około 15 000 km linii kolejowych i ponad 3 777 pojazdów trakcyjnych.


19 grudnia 2008 r. Rada Ministrów podjęła uchwałę w sprawie przyjęcia strategii po-nadregionalnej „Master Planu dla transportu kolejowego w Polsce do 2030 roku”. Ogó-łem, według NPW ERTMS w 2008 i 2009 r. ponad 5 000 km linii miało być już wyposażone w system GSM-R. Jednak do marca 2018 roku nie wdrożono systemu GSM-R. Oznacza to, że ówczesny plan był nierealistyczny, a rozpoczęcie wdrażania GSM-R w Polsce jest opóź-nione w chwili obecnej o ponad 10 lat, przy założeniu, że obecne projekty w wyniku roz-strzyganych przetargów zakończą się sukcesem. Dostawcy elementów już przestarzałego systemu GSM-R gwarantują dostępność podzespołów do roku 2030. Europejska Agencja Kolejowa (ERA21) zapowiada zmianę standardu w najbliższych latach. Nowy standard wy-korzysta najnowsze technologie transmisji danych, obecnie już wdrożone w publicznych sieciach GSM.

Mimo upływu czasu przy prowadzeniu prac modernizacyjnych ciągle zastanawia skłonność do odtwarzania przeszłości bez spojrzenia w przyszłość, co rodzi dodatkowe, przesunięte w czasie, koszty nieprzewidzianych wcześniej zmian (aktualizacji), choć były one w momencie planowania budowy przewidywalne [1].

PKP PLK ma obowiązek wdrożenia na liniach magistralnych systemu ERTMS, mające-go zapewnić interoperacyjność oraz podnieść poziom bezpieczeństwa. Wdrożenie części przytorowej (balisy, stacje bazowe, radioblok) jest warunkiem sine qua non, lecz niewy-starczającym. Konieczne jest wyposażenie taboru w pokładową część systemu. Wysokie koszty doposażenia istniejących pojazdów oraz konieczność ponownej ich homologacji stanowią finansową barierę dla przewoźników. Bez wsparcia państwa nie będzie możliwe wdrożenie rzeczywiście funkcjonującego systemu ERTMS, nawet jeżeli linie zostaną wy-posażone w urządzania przytorowe.

Podejście systemowe [1]Jak wykazano powyżej, znaczenie podejścia systemowego do kolei z punktu widzenia

bezpieczeństwa jest nie do przecenienia, i to w różnych aspektach. W aspekcie modernizacji



sieci należy wdrożyć specyfikację podstawowych wymagań w celu modernizacji i budowy nowych linii, które zapewnią odpowiednie standardy bezpieczeństwa i przepustowości. Postulowaliśmy w 2012 roku, aby to UTK był za to odpowiedzialny jako organ niezależny od zarządcy infrastruktury. Obserwując ostatnie sześć lat jest pewne, że bez wdrożenia takiej specyfikacji nie uniknie się tendencji do „ekstrapolacji przeszłości” to znaczy przy-wracania w nowej technice komputerowej parametrów sieci, jakie obowiązywały kilka-dziesiąt lat temu [1]. Potencjał bezpieczeństwa zawarty jest strukturalnie w sposobie, w jaki podchodzimy do modernizacji linii kolejowych. Jeżeli nawet zastosowane składniki systemu są bezpieczne, nie oznacza to automatycznie, że cały system jest bezpieczny. Przez system rozumiemy tu układ nie tylko techniczny, ale i system organizacji ruchu, utrzymania, itd.

Patrząc jednak z punktu widzenia techniki, nowe problemy rodzą się przy powiąza-niu starych systemów z nowo zabudowywanymi oraz przy wykorzystaniu tzw. „starouży-tecznych” elementów infrastruktury kolejowej przeniesionych do innych lokalizacji, np. samoczynnych sygnalizacji przejazdowych, które zostały kiedyś dopuszczone do stoso-wania, lecz nie spełniają obecnych standardów. Samym problemem staje się tu nowa lokalizacja. Jako kolejny przykład można podać systemy przekaźnikowe typu E. System taki jest indywidualnie opracowywany dla konkretnego zastosowania i powinien posia-dać dowód bezpieczeństwa22 i to w konfiguracji w jakiej pracuje, tzn. ze wszystkimi po-wiązaniami zewnętrznymi. Powinien być budowany z przekaźników kolejowych pierwszej klasy (bezpiecznych). Problem w tym, że w obecnej dobie jest coraz mniej specjalistów znających się na projektowaniu i budowaniu takich systemów, a ci co się jeszcze na tym znają, są przeważnie w podeszłym wieku. Trzeba także wspomnieć o zatrważającej liczbie modernizacji wykonywanych metodą tzw. „łatania” – urządzenia mechaniczne uzupełnia się o rzekomo nową logikę typu E, przy jednoczesnej realizacji części funkcji w nowej komputerowej technologii, np. przez liczniki osi.



Z punktu widzenia oceny bezpieczeństwa i certyfikacji kluczową rolę odgrywają jednost-ki NoBo23, AsBo24 i DeBo25. Linia kolejowa lub stacja, traktowana jako całość (jako system), podlega ocenie czy spełnia wymagania zasadnicze już w fazie projektu. A zatem, najogól-niej rzecz ujmując, od jakości współpracy pomiędzy Jednostką a Wykonawcą (projektantem lub realizatorem) zależy bezpieczeństwo ruchu kolejowego po oddaniu przedmiotowego obiektu do eksploatacji. Nie będzie można mówić o jakości, jeżeli Jednostka jest w jakiś sposób zależna od ocenianego Wykonawcy robót (firmy realizującej lub projektującej). Tym-czasem w Polsce przyjęto model, że za prace Jednostki płaci Wykonawca. W takim układzie można poddać w wątpliwość faktyczną niezależność Jednostki Notyfikowanej. W wyniku nacisków lub wręcz gróźb, że Jednostka Notyfikowana w przyszłości nie otrzyma zlecenia i nie przetrwa na rynku (takie fakty miały już miejsce) może się okazać, że niektóre błędy nie zostaną ujawnione i poprawione. Skutkiem może być poważna katastrofa kolejowa, porównywalna z tą z roku 2012. Za bezpieczeństwo ruchu kolejowego odpowiada zarządca infrastruktury kolejowej i ma on wdrożone odpowiednie procedury SMS26. W przypadku PKP PLK dostawcy elementów infrastruktury kolejowej weryfikowani są przez wewnętrzną procedurę SMS-PW-17. W przypadku budowy podsystemu na gruncie, za wydanie ostatecz-nego zezwolenia odpowiedzialny jest Urząd Transportu Kolejowego, na podstawie ocen przeprowadzonych przez wybraną Jednostkę Notyfikowaną. Trzeba zatem z naciskiem po-wtórzyć, że to od prawidłowej współpracy pomiędzy Jednostką a Wykonawcą zależy jakość podsystemów. Czy zatem system polegający na tym, że to Wykonawca robót torowych płaci Jednostce Notyfikowanej za przeprowadzenie oceny zgodności jest prawidłowy?

Zamiast zakończeniaW 2012 roku pisaliśmy, że właściwy rozwój infrastruktury wymaga rocznej podaży

projektów (przeprowadzonych przetargów i podpisanych umów z wykonawcami) na po-ziomie co najmniej 10 mld złotych (2-3 mld €) [1]. Ten poziom, według oficjalnych in-formacji PKP PLK, będzie osiągnięty w bieżącym roku. Wydatkowanie tak dużych sum musi cechować się jednak ogromną odpowiedzialnością za cały cykl życia systemu – jego aspekty ekonomiczne i bezpieczeństwo. Drogą do zapewnienia właściwych standardów teraz i w przyszłości jest jakość urządzeń i wykonania prac. Miarą jakości systemu kole-jowego jest RAMS27, o którym jest mowa w innych artykułach tego wydania Biuletynu. RAMS zakłada podejście systemowe, na każdym etapie życia produktu.

Prawidłowo przeprowadzona przez Jednostkę Notyfikowaną ocena jest konieczna w celu upewnienia się zarządcy infrastruktury oraz UTK, że wszystkie prace na każdym etapie modernizacji lub budowy nowej linii zostały wykonane zgodnie z wymaganiami zawartymi w europejskich i krajowych standardach technicznych, a system jest bez-pieczny. Dokumentacja certyfikacyjna jest bardzo obszerna i technicznie skomplikowana i może stanowić duże wyzwanie. Prace UTK mogą być wsparte niezależnymi specjalistami technicznymi ze Stowarzyszenia Inżynierów i Techników Komunikacji RP (SITK RP).

Jakość przeprowadzanych ocen leży w interesie wszystkich, ponieważ zapewnie-nie bezpieczeństwa w ruchu kolejowym jest podstawowym wymogiem dla wszystkich uczestników biorących udział w realizacji inwestycji kolejowych.

Źródła1. Dyduch J., Cholewa A., Burak A.: Katastrofa kolejowa pod Szczekocinami skutkiem długolet-

nich zaniedbań o charakterze systemowym, „Infrastruktura Transportu”, 2012, 2, ss. 24-29.2. Theeg G., Vlasenko S.: Railway Signalling & Interlocking, Eurailpress, 2009.


Przypisy1 Sygnał zastępczy (światło białe migające) umożliwia wjazd na tor z pominięciem sys-

temu zależnościowego, wykluczającego przebiegi kolizyjne. Sygnał zastępczy może być zastosowany, gdy systemy detekcji pociągu, np. z powodu awarii lub błędu urzą-dzeń, sygnalizują zajęty tor, chociaż tor ten w rzeczywistości jest wolny. Uważa się, że funkcja sygnału zastępczego jest uwarunkowana historycznie i powstała na skutek niskiej niezawodności systemów detekcji pociągu (przeważnie obwodów torowych). Podanie sygnału zastępczego wiąże się proceduralnie przede wszystkim z upewnie-niem się, czy tor jest wolny, oraz wykonaniem szeregu dodatkowych czynności – jak np. nawiązanie łączności telefonicznej z sąsiednim posterunkiem ruchu. Podanie sygnału zastępczego powinno być automatycznie rejestrowane przez system.

2 Radio-stop – nagłe hamowanie pociągu aktywowane przez radio (analogowe 150 MHz, sygnał alarmowy jest specjalnie uformowany na częstotliwości akustycznej). System służy do nagłego (awaryjnego) zatrzymania wszystkich pociągów w obszarze zasięgu nadajnika generującego sygnał alarmowy. Stosowany jest w przypadku zajścia wydarzeń o charakterze katastroficznym – np. wykolejenie pociągu, pociągi na tym sa-mym torze, uszkodzenie toru. W takich sytuacjach maszynista ma sekundy lub ułamki sekund na wciśniecie przycisku znajdującego się na obudowie radia pociągowego. Dy-żurny ruchu może również aktywować radio-stop. System radio-stopu ma za zadanie ograniczyć skutki zdarzeń nieprzewidywalnych.

3 ATP – ang. Automatic Train Protection – automatyczne zabezpieczenie pociągu.4 Czuwak aktywny jest stochastycznym generatorem sygnału alarmowego. Ma za za-

danie zahamować pociąg w przypadku braku reakcji maszynisty (choroba lub zgon). W innych zarządach kolejowych znany pod angielską nazwą dead man (nieboszczyk)

5 Indusi – niem. Induktive Zugsicherung – indukcyjne zabezpieczenie pociągu.6 PZB – niem. Punktförmige Zugbeeinflussung – system punktowego oddziaływania

na pociąg.7 LZB – niem. Linienförmige Zugbeeinflussung – system ciągłego oddziaływania na pociąg.8 ETCS – ang. European Train Control System – europejski system prowadzenia pociągu

(ATP).9 BACC – wł. Bloco Automatico Correnti Codificati – system tor-pojazd na bazie obwodów

torowych 50 Hz modulowanych przebiegiem 4 Hz pozwalający na transmisję do po-jazdów sygnałów przytorowych.

10 SCMT – wł. Sistema per il Controllo della Marcia del Treno – system oddziaływania tor--pojazd na bazie balis i obwodów torowych.

11 TVM – fr. Transmission Voie Machine – system transmisji tor-pojazd.12 KVB – fr. Contrôle de Vitesse par Balises – kontrola prędkości poprzez balisy.13 AWS – ang. Automatic Warning System – automatyczny system ostrzegania wprowadzo-

ny w Wielkiej Brytanii w 1956 r.14 ATB – nl. Automatische TreinBeïnvloeding – system automatycznego prowadzenia po-

ciągu wprowadzony na kolejach holenderskich (NS) w latach 50. ubiegłego wieku.15 ERTMS – ang. European Train Traffic Management System – Europejski System Zarządza-

nia Ruchem Kolejowym.16 Balisa (lub baliza) to transponder (nadajnik/odbiornik krótkiego zasięgu) montowany

w torze w celu przekazania do przejeżdżającego pojazdu informacji ruchowej. Nada-wanie z pojazdu odbywa się na częstotliwości 27 095 MHz, a odbiór (odpowiedź z ba-lisy) na częstotliwości 4 234 MHz.


17 Można przyjąć, że stacje bazowe instalowane są ok. trzykrotnie gęściej niż w klasycz-nym systemie GSM.

18 Odometr – urządzenie do pomiaru drogi.19 Informacja o swoim położeniu przekazywana jest przez pociąg do systemu zależno-

ściowego przez radio.20 Stosowany obecnie w Polsce system radiokomunikacji kolejowej to system analogowy,

simpleksowy, wymagający od maszynistów ręcznego przełączania kanałów co około 10 kilometrów, zapewniający w poszczególnych komórkach łączność rozgłoszeniową (wszyscy słyszą wszystkich).

21 ERA – ang. European Union Agency for Railways.22 Bezdyskusyjne jest posiadanie świadectwa dopuszczenia typu oraz deklaracji zgodno-

ści z typem wydanymi zgodnie z Rozporządzeniem Ministra Nr 720.23 NoBo – ang. Notyfied Body – jednostka notyfikowana.24 AsBo – ang. Assessment Body – jednostka oceniająca.25 DeBo – ang. Derrogation Body – jednostka uprawniona do przeprowadzania oceny na-

rodowych systemów nieobjętych wymaganiami TSI.26 SMS – ang. Safety Management System – system zarządzania bezpieczeństwem.27 RAMS – ang. Reliability, Availability, Maintanability and Safety – niezawodność, dostęp-

ność techniczna, podatność utrzymaniowa i bezpieczeństwo.

StreszczenieMimo, że od wypadku kolejowego pod Szczekocinami upłynęło 6 lat, wiele problemów

i zaniedbań jest nadal aktualnych. Należą do nich niekompletne modernizacje, nie gwa-rantujące 100% bezpieczeństwa, zbyt częste prowadzenie ruchu na sygnały zastępcze, czy wreszcie brak wdrożonych skutecznych systemów zabezpieczenia pociągów, a wdrażanie ETCS jest dopiero w fazie początkowej. Do modernizacji i zapewnienia bezpieczeństwa ruchu kolejowego należy podejść systemowo, czyli oprócz układów technicznych należy zająć się problemami organizacji ruchu i problemami utrzymania. Drogą do zapewnienia właściwych standardów jest RAMS oraz prawidłowa weryfikacja podsystemu sterowanie przez kompetentne i odpowiedzialne Jednostki Notyfikowane.

Słowa kluczoweSystemy zabezpieczenia pociągów, ETCS, GSM-R, ERTMS, RAMS, Jednostki Notyfikowane.

SummaryAlthough 6 years have passed since the railway accident in Szczekociny, many pro-

blems and negligence remain. These include incomplete upgrades which do not guaran-tee 100% safety, too frequent substitution of traffic for back-up signals and, last but not least, the lack of effective train protection systems in place, and the implementation of ETCS is only at an early stage. Modernisation and safety of railway traffic must be ap-proached in a systemic way, i.e. in addition to technical systems, the problems of traffic organisation and maintenance must be addressed. The means to ensure that the relevant standards are met is with RAMS and the correct verification of the control subsystem by the competent and responsible Notified Bodies.

KeywordsTrain protection systems, ETCS, GSM-R, ERTMS, RAMS, Notified bodies.


Dyrektywa 2008/57/WE o interoperacyjności jest dyrektywą opartą na tzw. nowym i globalnym podejściu do harmonizacji technicznej. Te zasady regulacyjne dotyczą całego jednolitego rynku europejskiego i są wspólne dla wszystkich (ok. trzydziestu) dyrektyw eu-ropejskich opartych na tym podejściu. Nowe podejście dotyczy przede wszystkim sposobu formułowania wymagań dot. danego aspektu lub rodzaju wyrobów. Globalne podejście od-nosi się do formułowania zestawu jednolitych zasad oceny dla poszczególnych dyrektyw.

Maciej ŚmieszekDyrektor Jednostki Certyfikują[email protected]

Procedura weryfikacji WE podsystemu „Sterowanie – urządzenia przytorowe” – różnice i podobieństwa w stosunku do weryfikacji innych podsystemówWeryfikacje WE podsystemów przebiegają według tych samych, określo-nych procedur, opisanych w tzw. modułach oceny zgodności. Mimo to weryfikacje WE poszczególnych podsystemów, zwłaszcza podsystemu „Sterowanie – urządzenia przytorowe”, różnią się od siebie. Znajomość tych różnic pozwala na antycypowanie problemów i sprawniejsze prze-prowadzenie procedur oceny.



Standaryzacja procedur oceny zgodności polegała na określeniu, na podstawie do-tychczasowych doświadczeń, zestawu stałych, skonsolidowanych procedur, tzw. modułów oceny zgodności. Moduły są specyficznymi procedurami oceny, których przeprowadzenie (w niektórych przypadkach kompletny proces oceny wymaga połączenia dwóch modu-łów) pozwala na wykazanie zgodności danego wyrobu z zasadniczymi wymaganiami. Określone przepisy (w przypadku kolei są to Techniczne Specyfikacje Interoperacyjności – TSI) wskazują jakie moduły oceny zgodności mogą być użyte w odniesieniu do poszcze-gólnych wyrobów i/lub etapów oceny.

W roku 2008 w celu zapewnienia właściwej ochrony interesu publicznego związane-go z zapewnieniem bezpieczeństwa produktów wprowadzanych na jednolity rynek we-wnętrzny podjęto decyzję o ustanowieniu tzw. nowych ram prawnych. Nowe ramy prawne (z ang. new legislation framework – NLF) zostały ustanowione poprzez publikację trzech komplementarnych aktów prawnych o charakterze horyzontalnym (wspólnym dla róż-nych dziedzin gospodarki) i komplementarnym względem siebie. Rozporządzenie (WE) nr 765/2008 dotyczy zasad akredytacji i nadzoru rynku. Decyzja 768/2008/WE1 zastąpiła dotychczasową decyzję modułową z 1993 r. wprowadzając aktualizacje do dotychczaso-wych modułów, ale też określając m.in. zasady notyfikacji i autoryzacji jednostek oceny zgodności. Ostatni z przepisów (zasadniczo nie mający zastosowania do rynku kolejowe-go) to Rozporządzenie (WE) nr 764/2008 ustanawiające procedury dotyczące stosowania niektórych krajowych przepisów technicznych do produktów legalnie wprowadzanych do obrotu w innym kraju UE.

Pomimo ustanowienia wspólnych modułów oceny zgodności (tzw. generic modules) dla całego rynku europejskiego, na potrzeby kilku dyrektyw ustanowiono osobne proce-dury oceny, odchodząc tym samym od globalnego podejścia. Tak też stało się w przypadku dyrektywy o interoperacyjności, na potrzeby której w roku 2010 opublikowano Decyzję Komisji WE 2010/713/UE2. Moduły określone w tej decyzji są bardzo podobne do tych, które zostały opisane w decyzji 768/2008/WE, jakkolwiek nie ma pomiędzy nimi prostej, bezpośredniej korelacji, w szczególności na poziomie podsystemów (dokładne korelacje określa załącznik III do decyzji 2010/713/UE).

W decyzji 2010/713/UE (nazywanej w dalszej części artykułu decyzją modułową) okre-ślono w sumie 15 modułów oceny zgodności dla składników interoperacyjności i pod-systemów. Moduły oceny zgodności dotyczące składników interoperacyjności posiadają oznaczenie literowe zaczynające się od litery „C”, co pochodzi od angielskiego constituent, czyli składnik. Moduły dotyczące podsystemów zaczynają się od litery „S”, od angielskiego subsystem, czyli podsystem.

Procedury oceny (weryfikacji WE) poszczególnych podsystemów są takie same, mimo różnic występujących pomiędzy poszczególnymi podsystemami. Różnice te powodują, że ocena poszczególnych podsystemów, nawet w ramach tych samym modułów oceny zgod-ności, prowadzona jest często w nieco odmienny sposób, a treść samych modułów wymaga wielu uzupełnień, założeń i odpowiedniej interpretacji zapisów. Między innymi to jest po-wodem właśnie rozpoczynających się prac nad rewizją dotychczasowej decyzji modułowej.

W celu wykazania różnic w ocenie zgodności w niniejszym artykule skupimy się na porów-naniu oceny podsystemu „Sterowanie – urządzenia przytorowe” z doświadczeniami z oceny podsystemu „Infrastruktura” i „Energia”. Te trzy podsystemy określane są jako podsystemy stałe (z ang. fixed instalations), czyli związane z gruntem – w przeciwieństwie do podsystemów „mo-bilnych”, związanych z pojazdami kolejowymi. Charakter oceny podsystemów stałych jest dość zbliżony. Często są one także przedmiotem tych samych inwestycji kolejowych, które swo-


im zakresem obejmują np. prace w torze kolejowym i peronach (podsystem „Infrastruktura”), wymianę sieci trakcyjnej (podsystem „Energia”) oraz wymianę urządzeń sterowania ruchem kolejowym (podsystem „Sterowanie – urządzenia przytorowe”).

Tab. 1. Moduły stosowane do weryfikacji WE podsystemów stałych

Podsystem Moduł Nazwa modułu

CCT Moduł SB Badanie typu WE

CCT Moduł SD Weryfikacja WE na podstawie systemu zarządzania jakością w procesie produkcji

CCT Moduł SF Weryfikacja WE na podstawie weryfikacji produktu

CCT, ENE, INF Moduł SG Weryfikacja WE w oparciu o weryfikację jednostkową

CCT, ENE, INF Moduł SH1 Weryfikacja WE w oparciu o pełny system zarządzania jakością oraz badanie projektu

Do oceny każdego z trzech tzw. podsystemów stałych może być użyty moduł SG lub moduł SH1, przy czym moduł SG jest stosowany najczęściej w ocenie każdego z tych podsystemów (moduł SH1 nie jest praktycznie w ogóle wykorzystywany), stąd będzie on stanowił podstawę rozważań na temat różnic w ocenie podsystemu „Infrastruktura” (INF) i „Energia” (ENE), względem podsystemu „Sterowanie – urządzenia przytorowe” (CCT).

Świadomość różnic występujących w ocenie podsystemu pozwala na wcześniejszą identyfikację potencjalnych problemów, przyjęcie właściwych interpretacji, ułatwia wza-jemne zrozumienie wymagań oraz dobór najbardziej optymalnych rozwiązań. Dzięki temu przeprowadzenie weryfikacji WE podsystemu „Sterowanie – urządzenia przytorowe” może być sprawniejsze i szybsze.

W dalszej części artykułu zostanie omówionych kilka wybranych aspektów wskazują-cych na znaczne różnice w ocenie podsystemów.

Definicja i charakter podsystemuDefinicje podsystemów określa załącznik II do dyrektywy 2008/57/WE. Podsystemy

„Infrastruktura” i „Energia” są zdefiniowane poprzez określenie zakresu rzeczowego (np. perony, tory, system elektryfikacji) wchodzącego w te podsystemy. Podsystem „Sterowanie – urządzenia przytorowe” zdefiniowano jako: „wszelkie urządzenia niezbędne do zapew-nienia bezpieczeństwa oraz sterowania ruchem pociągów na sieci”.

Tak zdefiniowany podsystem odwołuje się nie tyle do zakresu rzeczowego, co do ob-szaru stosowania. Jednocześnie wyraźnie zostaje podkreślony prymat bezpieczeństwa, który poprzez wymaganie zasadnicze „bezpieczeństwo” jest związany również z innymi podsystemami, jednak nie w tak kategorycznym stopniu.

Realizując inwestycję na linii kolejowej zwykle mamy do czynienia z modernizacją lub odnowieniem podsystemów, co oznacza, że dokonywana jest ingerencja jedynie w część podsystemu. Tym samym niektóre odcinki, urządzenia, czy aspekty nie podlegają ocenie w ramach takiej weryfikacji WE, bowiem zwykle Zamawiający i Wnioskodawca oczekują przeprowadzenia weryfikacji WE w takim zakresie, w jakim jest to związane z prowadzo-nymi przez nich pracami. Przy tak generalnie określonym zakresie podsystemu trudno jest jednak jednoznacznie wyznaczyć granice podsystemu oraz granice oceny. Zbyt wąski zakres oceny oznacza, że nie wszystkie zmienione elementy podsystemu zostały poddane oce-


nie, a tym samym mogą być potencjalnie niezgodne. W szczególności mogą one prowadzić do zagrożenia dla bezpieczeństwa. Jednocześnie zbyt szeroki zakres oceny powoduje ko-nieczność wykazywania zgodności z urządzeniami lub aspektami (funkcjami), które nie ule-gły zmianie, a co za tym idzie, dla których często nie ma dostępnych wymaganych danych, w szczególności aktualnie wymaganych certyfikatów i deklaracji zgodności.

Jednoznaczne definiowanie zakresu prac i ich wpływu na istniejące elementy podsyste-mu (z uwzględnieniem wszystkich powiązań, czyli tzw. interfejsów) jest bardzo ważne, również ze względu na fakt, iż podsystem „Sterowanie – urządzenia przytorowe” obejmuje zarówno oprogramowanie (software), jak i urządzenia (hardware). Szczególnie wpływ zmian w obrębie oprogramowania jest trudny do uchwycenia i zweryfikowania w ramach mo-dułów oceny zgodności. Moduły oceny zgodności obejmują fazy projektowania, produkcji i testów końcowych, których opis wyraźnie odnosi się do hardware i nie zawiera jedno-znacznych odniesień do specyfiki cyklu wytworzenia oprogramowania. Podobnie nie ma odniesienia do zmian związanych np. z przeprogramowaniem, bez ingerencji w hardware. W takim przypadku powstaje wątpliwość, czy deklaracja zgodności WE wydana dla składni-ka interoperacyjności (hardware + software) pozostaje ważna, czy jej treść wymaga zmiany. Jakkolwiek możliwe rozwiązania w tym zakresie zostały określone przez grupę koordynują-cą jednostki notyfikowane NB Rail w dokumencie RFU-CCS-058, to dokument ten nie jest powszechnie znany wszystkim uczestnikom inwestycji kolejowych oraz może nie wyczerpy-wać wszystkich możliwych przypadków ingerencji w podsystem.

Innym istotnie różnym aspektem dotyczącym podsystemu „Sterowanie – urządzenia przytorowe” jest jego postrzeganie wyłącznie przez pryzmat urządzeń sterowania ruchem kolejowym. Istotą podsystemu jest jednak wykazanie powiązań pomiędzy elementami podsystemu i właściwa realizacja funkcji sterowania ruchem kolejowym. Ponadto certy-fikacja urządzeń (składników interoperacyjności i urządzeń typu) jest zasadniczo nieza-leżna od certyfikacji podsystemu i chronologicznie następuje wcześniej. Ocena podsyste-mu skupia się na weryfikacji funkcji realizowanych przez cały podsystem, przy założeniu, że urządzenia wchodzące w jego skład są zgodne (w szczególności poprzez weryfikację odpowiednich certyfikatów i deklaracji) i stąd w ramach oceny podsystemu nie należy wchodzić w ich weryfikację. Przyjęcie w ramach inwestycji wyłącznie optyki urządzeń może prowadzić do pominięcia sprawdzenia funkcji podsystemu lub wejścia w ocenę urządzeń przez podmioty do tego nieuprawnione (ocena urządzeń jest odrębnym proce-sem i wymaga osobnych uprawnień, szczególnie na poziomie urządzeń typu). Jakkolwiek to podejście wydaje się oczywiste, to ciągle jeszcze w ramach weryfikacji WE podsystemu spotykamy się z przenoszeniem ciężaru dyskusji wyłącznie na urządzenia.

Opisane powyżej aspekty wskazują, że w przypadku stosowania modułu oceny zgod-ności SG do podsystemu „Sterowanie – urządzenia przytorowe” konieczne jest bardzo do-kładne definiowanie zakresu inwestycji (zmiany) i jej wpływu na poszczególne elementy podsystemu (łącznie z interfejsami). Klarowne i rzetelne opisanie zakresu zmian oraz za-kresu możliwej do przeprowadzenia oceny pozwala na faktyczne określenie oceny zgod-ności podsystemu. Podnosi to znacząco zaufanie do oceny zgodności, pozwala zidentyfi-kować aspekty, które powinny być zweryfikowane innymi narzędziami (bowiem nie każdy aspekt zmiany może być zweryfikowany w ramach weryfikacji WE, często konieczne jest przeprowadzenie np. oceny i wyceny ryzyka) oraz prowadzi do skompletowania rzetelnej i pełnej dokumentacji technicznej, która jest istotnym elementem wejściowym do kolej-nych procesów inwestycyjnych (pozwala np. zidentyfikować, co już zostało sprawdzone i nie wymaga dalszych weryfikacji).


Ograniczona rola TSI i znaczny udział przepisów krajowychW przypadku oceny podsystemów strukturalnych stosuje się Techniczne Specyfikacje

Interoperacyjności (TSI) oraz związane z nimi normy. W ograniczonych przypadkach (np. punkty otwarte, przypadki szczególne, odstępstwa) zastosowanie znajdują przepisy krajo-we. Jednocześnie zakres stosowania przepisów krajowych do oceny podsystemów „Infra-struktura” i „Energia” jest bardzo ograniczony i sporadyczny. W przypadku weryfikacji WE podsystemu „Infrastruktura” przepisy krajowe stosowane są głównie w przypadku oceny na zgodność z TSI PRM dot. osób o ograniczonej możliwości poruszania się.

Zupełnie inaczej wygląda to w przypadku podsystemu „Sterowanie – urządzenia przytorowe”. TSI dla podsystemów „Sterowanie” (TSI CCS) odnosi się przede wszystkim do systemu ERTMS (Europejski System Sterowania Ruchem Kolejowym). Rozwiązania w warstwie konwencjonalnej/krajowej, stanowiące tzw. system klasy B, podlegają oce-nie na zgodność z przepisami krajowymi. Jednocześnie inwestycje infrastrukturalne re-alizowane na polskiej sieci kolejowej, nawet jeśli dotyczą wdrożenia systemu ERTMS, to zawsze związane są jednocześnie z ingerencją w rozwiązania krajowe. Oznacza to, że przeprowadzenie weryfikacji WE podsystemu „Sterowanie – urządzenia przytorowe” czę-sto wymaga jednoczesnego stosowania TSI (często wyłącznie w odniesieniu do jednego aspektu, tj. detekcji pociągu) i przepisów krajowych.

Z punktu widzenia przepisów europejskich ocena podsystemu w obszarze interope-racyjności względem wymagań TSI powinna być realizowana przez jednostkę notyfiko-waną (z ang. Notified Body – NoBo), podczas gdy ocena podsystemu względem przepisów krajowych powinna być realizowana przez tzw. jednostki wyznaczone (z ang. Designated Body – DeBo). Jednak w polskiej ustawie o transporcie kolejowym ocenę względem prze-pisów krajowych przypisano jednostce notyfikowanej i nie ustanowiono funkcji DeBo (ani podmioty wyznaczone do badań pojazdów niezgodnych z TSI, ani jednostki organizacyjne dokonujące oceny urządzeń typu nie mogą być interpretowane jako DeBo).

TSI określają nie tylko spójny zakres wymagań do oceny podsystemów, ale także określają, które z aspektów (parametrów) powinny być ocenione na danym etapie (projektowanie, bu-dowa, montaż przed oddaniem do eksploatacji/próby końcowe). Ponadto wskazują wyraźnie na moduły oceny zgodności, które mogą być użyte do oceny oraz dostarczają dodatkowych wytycznych do oceny, w tym dotyczących formy i zakresu certyfikatów i deklaracji.

Przepisy krajowe stosowane m.in. do oceny podsystemów strukturalnych zostały okre-ślone w tzw. Liście Prezesa UTK z dnia 19.01.2017 r. w sprawie właściwych krajowych spe-cyfikacji technicznych i dokumentów normalizacyjnych, których zastosowanie umożliwia spełnienie zasadniczych wymagań dotyczących interoperacyjności systemu kolei. Lista Prezesa Urzędu Transportu Kolejowego (LPUTK) przywołuje przepisy (normy, rozporzą-dzenia), dla poszczególnych aspektów (z czym również wiąże się wiele zastrzeżeń), jednak nie definiuje etapów oceny oraz mających zastosowanie procedur. Ponadto wiele z wyma-gań może być spełnionych jedynie na poziomie urządzeń, a nie na poziomie podsystemu, co oznacza, że rozdzielenie oceny urządzeń od oceny podsystemów (o czym była mowa we wcześniejszej części artykułu) jest znacznie utrudnione.

Ocena podsystemu realizowana przez jednostkę notyfikowaną jest prowadzona w ra-mach tych samych modułów i w taki sam sposób, niezależnie od tego, czy dotyczy przepi-sów TSI, czy przepisów krajowych. Oznacza to jednak, iż procedury te wymagają przyjęcia wielu założeń (np. dot. poziomu ingerencji oceny w zgodność urządzeń, czy tego, jakie aspekty będą ocenione na poszczególnych etapach) albo wyjaśnienia sposobu oceny (np. poprzez weryfikację dokumentów dla urządzeń typu).


Dlatego też w przypadku oceny podsystemu „Sterowanie – urządzenia przytorowe”, znacznie bardziej niż w przypadku pozostałych podsystemów, ważne jest dokładne okre-ślenie sposobu prowadzenia oceny oraz treści certyfikatów i deklaracji. Znacznie waż-niejsza staje się zatem komunikacja pomiędzy jednostką notyfikowaną a Wnioskodaw-cą (wykonawcą robót). Dzięki temu procedura oceny powinna być bardziej zrozumiała dla Wnioskodawcy oraz możliwe będzie wcześniejsze określenie dowodów, jakie będą wymagane do przedstawienia w toku realizacji weryfikacji WE.

Ocena na trzech etapach wytworzenia podsystemuTSI dla podsystemów „Infrastruktura” i „Energia” wskazują jednoznacznie, na jakich

etapach powinna odbywać się ocena tych podsystemów. TSI Infrastruktura w tabeli 37 wskazuje, iż ocena określonych parametrów powinna być dokonana na etapie przeglądu projektu i na etapie montażu przed oddaniem do eksploatacji. W TSI PRM w tabeli E.1 określono, że ocena podsystemu „Infrastruktura” jest dokonywana na etapie przeglądu lub badania projektu oraz kontrole na miejscu. Podsystem „Energia” (wg tabeli B.1 za-mieszczonej w tej TSI) jest sprawdzany głównie na etapie przeglądu projektu i montażu przed oddaniem do eksploatacji (w pewnych warunkach ocena może być przeprowadzo-na również na etapie „Konstrukcja, montaż, zamocowanie” oraz „Walidacja w warunkach pełnej eksploatacji).

W przypadku oceny podsystemu „Sterowanie – urządzenia przytorowe” TSI CCS w ta-beli 6.3 definiuje zakres oceny jedynie poprzez określenie aspektów podlegających oce-nie i dowodów, jakie należy pozyskać, nie wskazując wyraźnie etapów oceny. Analiza tych



zapisów wskazuje, iż do oceny podsystemu konieczna jest analiza i ocena dokumentacji, sprawdzenie obliczeń, przeprowadzenie prób i pomiarów.

Etapy oceny w ramach weryfikacji WE podsystemów określa również ustawa o trans-porcie kolejowym, wskazując w art. 25cb ust. 4, iż ocena odbywa się na etapach: projek-towania, budowy i końcowych prób podsystemu.

W przypadku podsystemu „Infrastruktura” i „Energia” ocena na etapie budowy może być zrealizowana jedynie poprzez możliwość prowadzenia obserwacji robót zanikających, czy monitorowanie prac na gruncie. Natomiast w przypadku podsystemu „Sterowanie – urządzenia przytorowe” konieczna jest także weryfikacja zabudowy poszczególnych urzą-dzeń, w tym pod kątem ich prawidłowej konfiguracji i współpracy, także z istniejącymi urządzeniami.

Podobnie jak w przypadku precyzowania sposobów oceny, również w tym aspekcie wyraźnie widać, iż dokładny kształt oceny (pod względem etapów oceny), wynika nie tyle z zapisów modułów oceny zgodności, co z zapisów TSI i zasad przyjętych przez jednostkę notyfikowaną oraz uzgodnień z Wnioskodawcą. Ponownie zatem kluczowa staje się wła-ściwa komunikacja pomiędzy jednostką notyfikowaną i Wnioskodawcą, a w szczególności dokładne uzgodnienie i wyjaśnienie zasad prowadzenia oceny na jak najwcześniejszym etapie współpracy.

Większe znaczenie dowodów przedstawianych przez WnioskodawcęJak wskazano we wcześniejszej części artykułu ocena podsystemu „Infrastruktura”

i „Energia” jest realizowana na podstawie oceny dokumentacji projektowej oraz pomia-rów i oględzin na gruncie. Wszystkie te działania są zwykle realizowane samodzielnie



przez jednostkę notyfikowaną. Wykorzystanie wyników pomiarów Wnioskodawcy, czy da-nych pozyskanych w trakcie odbiorów przez Zamawiającego jest możliwe, ale wymaga ich akceptacji. Przedstawione wyniki pomiarów i sprawdzeń muszą być wykonane przez akredytowany podmiot (co w warunkach polskich praktycznie nigdy nie występuje) bądź muszą być zrealizowane w obecności jednostki notyfikowanej. Możliwa jest też ocena podmiotu wykonującego pomiary przez jednostkę notyfikowaną, ale jest to dość skom-plikowane i prawdopodobnie nie przyniesie oszczędności czasu i kosztu, w porównaniu do samodzielnie przeprowadzonych działań przez jednostkę notyfikowaną.

W przypadku podsystemu „Sterowanie – urządzenia przytorowe” również są wymagane pomiary, jednak mają one bardzo ograniczony charakter. Ważną rolę natomiast odgrywają próby, testy i symulacje, które ze względu na znaczną czasochłonność oraz, przede wszyst-kim, możliwości techniczno-organizacyjne muszą być przeprowadzone przez Wykonawcę. Zaangażowanie jednostki notyfikowanej sprowadza się wówczas głównie do obserwacji niektórych z tych działań oraz akceptacji ich wyników.

Podobnie w znacznie większym zakresie jednostka musi oprzeć się na dowodach przedstawionych przez Wnioskodawcę, również dlatego, że ocena jednostki notyfikowa-nej nie powinna stanowić nadmiernego obciążenia dla Wnioskodawcy oraz nie powinna stanowić powtórzenia działań innych podmiotów. Podobnie jak w przypadku prowadzenia samodzielnych testów, również w przypadku wielu analiz i obliczeń jednostka musi wy-magać przedstawienia określonych dowodów, bo chociażby z punktu widzenia dostępno-ści danych nie byłaby w stanie przeprowadzić tych działań samodzielnie. Należy bowiem pamiętać, że sensem działania jednostki notyfikowanej jest weryfikacja przedstawionych dowodów, a nie ich dostarczanie.

Od jakości (rzetelności, kompletności, czytelności, adekwatności) przedstawianych do-wodów zależy możliwość wykazania zgodności oraz, przede wszystkim, czas oceny oraz liczba zgłaszanych uwag. Jest to widoczne już na etapie oceny dokumentacji projektowej przedstawianej przez Wnioskodawcę. Podobnie na późniejszym etapie weryfikowana jest dokumentacja powykonawcza, gdzie ważnym aspektem jest również określenie zmian wprowadzonych w stosunku do dokumentacji wykonawczej oraz spójność z tym, co fak-tycznie można stwierdzić na obiekcie.

W ramach oceny dokumentacji, ze względu na znaczną liczbę urządzeń oraz wagę ich powiązań, oraz wpływ na charakterystyki podsystemu, istotną rolę odgrywa również kompletność i adekwatność dokumentacji dla urządzeń (certyfikatów, deklaracji, analiz ryzyka, dowodów bezpieczeństwa itp.), które są uznawane za składniki interoperacyjności, czy typy urządzeń. Szczególnie w przypadku wielu z prowadzonych inwestycji, gdzie wy-mianie podlegają tylko niektóre urządzenia, a wiele z nich poddawanych jest zmianom, ważne jest dostarczenie kompletu danych dla urządzeń. Na ich podstawie można ziden-tyfikować faktyczny wpływ poszczególnych zmian na podsystem, potwierdzić zgodność z wymaganiami po wprowadzonej zmianie, czy poprzez potwierdzenie spełnienia wy-magań przez urządzenia wykazać zgodność podsystemu, w tym w zakresie dowodzenia bezpieczeństwa na poziomie aplikacji.

Pamiętać również należy, że zarówno przepisy TSI w odniesieniu do składników in-teroperacyjności, jak i przepisy tzw. „rozporządzenia 720”3 zawierają wymagania doty-czące tego, jakie urządzenia powinny mieć odpowiednie certyfikaty i deklaracje oraz jaka powinna być ich treść. Wszelkie zaniedbania w zakresie przedstawienia wykazów zainstalowanych składników interoperacyjności i urządzeń (w tym oprogramowania) oraz certyfikatów i deklaracji dla nich mogą być zakwestionowane na późniejszym etapie


przez Urząd Transportu Kolejowego. Im później wychwycony błąd, tym trudniej jest go skorygować, szczególnie, iż zastrzeżenia zgłaszane przez UTK obarczone są określonymi terminami i konsekwencjami.

Zasygnalizowane powyżej przykłady danych koniecznych do przedstawienia przez Wnioskodawcę wskazują, iż przeprowadzenie weryfikacji WE podsystemu „Sterowanie – urządzenia przytorowe” nie jest możliwe bez właściwego przygotowania i zaangażowania Wnioskodawcy. Od jakości przedstawianych dowodów zależy w dużej mierze sprawność procesu oceny oraz możliwość jego terminowego wykonania. Warto również pamiętać, że im lepiej uzasadniona i opisana inwestycja, tym mniejsze prawdopodobieństwo zastrze-żeń Urzędu Transportu Kolejowego na etapie udzielania zezwolenia na dopuszczenie do eksploatacji oraz mniejsze prawdopodobieństwo wystąpienia zagrożeń dla bezstron-ności. Dlatego również w tym zakresie trzeba zwrócić uwagę na dobrą komunikację po-między jednostką a Wnioskodawcą oraz jak najwcześniejsze określenie wymagań do oce-ny, w tym w odniesieniu do dowodów, jakie Wnioskodawca zobowiązany jest przedstawić.

Znaczne skrócenie czasu pomiędzy odbiorami a wydaniem certyfikatuOstatnim z aspektów różniących ocenę podsystemu „Sterowanie – urządzenia przy-

torowe” od oceny pozostałych podsystemów instalacji stałych jest waga przypisywana do odbiorów tych podsystemów, co pociąga za sobą w wielu przypadkach konieczność szybszego przeprowadzenia oceny.

Zależności pomiędzy poszczególnymi odbiorami dokonywanymi przez Zamawiającego – szczególnie odbiorem eksploatacyjnym i odbiorem końcowym, wydaniem certyfikatu końcowego przez jednostkę notyfikowaną oraz udzieleniem zezwolenia na dopuszcze-nie do eksploatacji przez Urząd Transportu Kolejowego są przedmiotem wielu dyskusji. Zwykle przyjmuje się, że certyfikat końcowy wydawany przez jednostkę notyfikowaną po-winien być przedstawiony przez Wykonawcę robót podczas odbioru końcowego. Wynika to z faktu, iż wiele z działań jednostki (pomiary, oględziny na miejscu, analiza testów, sy-mulacji i prób końcowych) możliwe jest dopiero po zakończeniu wszystkich prac w pod-systemie związanych z interoperacyjnością. W przypadku podsystemów „Infrastruktura” i „Energia” czas potrzeby na dokonanie tych ocen i wydanie certyfikatu końcowego wynosi zwykle 1-3 miesięcy, w zależności od rozmiaru podsystemu.

W przypadku oceny podsystemu „Sterowanie – urządzenia przytorowe” waga certy-fikatów wydawanych przez jednostki notyfikowane, m.in. ze względu na duże znaczenie bezpieczeństwa w tym podsystemie (o czym była mowa już w niniejszym artykule) jest znacznie wyższa niż w przypadku pozostałych podsystemów. Dlatego też zwykle ocze-kiwaniem Wnioskodawcy jest znacznie wcześniejsze wydanie certyfikatu końcowego dla podsystemu, co ma stanowić jeden z dowodów potwierdzających bezpieczeństwo podsystemu. Presja ta jest tym większa, że zwykle ruch na danym obiekcie jest urucha-miany bezpośrednio po przeprowadzeniu prób końcowych, więc jakiekolwiek późniejsze uwagi wydają się nie mieć znaczenia praktycznego.

Aby faktycznie możliwe było jak najwcześniejsze wydanie certyfikatu wymagane jest jednak dostarczenie wszelkich koniecznych dowodów, w tym dokumentacji dla typów urządzeń i składników interoperacyjności – o czym była mowa we wcześniejszej części artykułu. Niezależnie bowiem od pomyślnych prób końcowych i odbioru prac przez Za-mawiającego jednostka notyfikowana musi najpierw potwierdzić spełnienie wszystkich wymagań, dokonać przeglądu całego procesu przez osobę niezaangażowaną w ocenę i dopiero podjąć decyzję certyfikacyjną. Niestety ciągle jeszcze zdarzają się sytuacje, gdy


pomimo braku zastrzeżeń do działania podsystemu nie jest możliwe wydanie certyfika-tu końcowego z uwagi na brak kompletnych i odpowiednich certyfikatów i deklaracji. W szczególności dotyczy to tzw. urządzeń typu i wymaganych dla nich świadectw typu oraz deklaracji zgodności z typem, o których mowa w tzw. „rozporządzeniu 720”. Zgodnie z art. 25cb ust. 6 pkt 6 ustawy o transporcie kolejowym jednostka notyfikowana w ramach weryfikacji WE podsystemu zobowiązana jest sprawdzić, czy urządzenia określone w tzw. „rozporządzeniu 720” zostały właściwie dopuszczone do eksploatacji.

Warto zwrócić uwagę na ten aspekt od początku realizacji przedsięwzięcia, tak aby projektować zabudowę urządzeń, dla których będzie możliwe przedstawienie właściwych dowodów. Stosowanie rozwiązań (czasem niestety wymaganych przez Zamawiającego), które nie posiadają właściwych dopuszczeń, w tym w odniesieniu do aktualnie obowią-zujących przepisów, może stanowić istotną przeszkodę w pomyślnej realizacji przedsię-wzięcia.

Wnioskodawca powinien również zapewnić odpowiednie kompletowanie wszyst-kich dowodów, w szczególności dla zabudowywanych materiałów i nie odkładać tego obowiązku do zakończenia inwestycji. Z czasem może się okazać, że zebranie dowodów (w tym pozyskanie ich od producentów i dostawców) staje się coraz trudniejsze. Zalecane jest jak najszybsze przekazywanie wykazów i dokumentów materiałowych do jednostki notyfikowanej, aby umożliwić ich jak najwcześniejsze sprawdzenie. Dobrą praktyką jest również poddanie ocenie dokumentów potwierdzających zgodność nawet przed ich zaku-pieniem, w tym w porozumieniu z jednostką notyfikowaną, która zobowiązana jest przed-stawić odpowiednie wymagania.



Oczekiwanie jak najszybszego wydania certyfikatu końcowego przez jednostkę noty-fikowaną jest zrozumiałe w kontekście charakterystyki podsystemu „Sterowanie – urzą-dzenia przytorowe”. Pamiętać jednak należy, że sprawność procedury oceny zależy w du-żej mierze nie tylko od szybkości działań jednostki notyfikowanej, ale przede wszystkim od kompletności, adekwatności i jakości przekazywanych dowodów.

PodsumowanieW artykule przedstawiono kilka aspektów realizacji procedury weryfikacji WE pod-

systemu „Sterowanie – urządzenia przytorowe” wg modułu SG, które wymagają zwrócenia szczególnej uwagi wnioskodawcy i jednostki notyfikowanej. Rozwiązaniem wielu poten-cjalnych problemów jakie mogą pojawić się w toku realizacji tej procedury jest właści-wa współpraca pomiędzy wnioskodawcą a jednostką notyfikowaną, wczesne określenie zasad i sposobów oceny oraz wymagań dotyczących dowodów, jakie zobowiązany jest przedstawić Wnioskodawca.

Dotychczasowe doświadczenia z realizacji procedur oceny wskazują, iż w wielu przy-padkach Wnioskodawcy przyjmują założenie, że zlecenie oceny jednostce notyfikowanej oznacza, iż jest ona odpowiedzialna za przeprowadzenie wszystkich działań, które są konieczne, aby wydać certyfikat dla podsystemu. Należy jednak zwrócić uwagę, iż treść modułów oceny zgodności na wstępie wyraźnie definiuje, iż są to procedury, które stosu-je Wnioskodawca, aby móc wykazać na własną odpowiedzialność zgodność podsystemu z wymaganiami zasadniczymi. Jednostka notyfikowana pełni w tym zakresie ważną rolę niezależnego podmiotu poświadczającego zgodność podsystemu, w dużej mierze na pod-stawie przeglądu dowodów przedstawianych przez Wnioskodawcę. Oznacza to, iż możli-wość realizacji procedur oceny przez jednostkę w znacznej mierze zależy od terminowego i kompletnego przedstawienia danych przez Wnioskodawcę, w tym umożliwienia prze-prowadzenia niezbędnych działań w terenie.

Wspólna świadomość działań wymaganych do przeprowadzenia oceny oraz klarowny po-dział odpowiedzialności pozwala na realizację oceny w sposób sprawny i skuteczny z punktu widzenia zapewnienia bezpieczeństwa (na poziomie związanym z wdrażaniem interopera-cyjności) oraz możliwości dopuszczenia do eksploatacji podsystemu. Pamiętać bowiem na-leży, że po zakończeniu weryfikacji WE często następuje konieczność uzyskania zezwolenia na dopuszczenie do eksploatacji tego podsystemu. W ramach tej procedury Urząd Transportu Kolejowego może zgłaszać pewne zastrzeżenia dot. kompletności i adekwatności oceny. Dla-tego też nie warto przy wyborze jednostki notyfikowanej kierować się wyłącznie ceną, ale należy sobie zadać pytanie, jakie są szanse na sprawną realizację procedur oceny i jakie jest prawdopodobieństwo zgłoszenia uwag po zakończeniu danej inwestycji.

Przypisy1 Decyzja Parlamentu Europejskiego i Rady nr 768/2008/WE z dnia 9 lipca 2008 r. w sprawie

wspólnych ram dotyczących wprowadzania produktów do obrotu, uchylająca decyzję Rady 93/465/EWG.

2 Decyzja Komisji 2010/713/UE z dnia 9 listopada 2010 r. w sprawie modułów procedur oceny zgodności, przydatności do stosowania i weryfikacji WE stosowanych w technicznych specyfikacjach interoperacyjności przyjętych na mocy dyrektywy Parlamentu Europejskie-go i Rady 2008/57/WE.

3 Rozporządzenie Ministra Infrastruktury i Rozwoju z dnia 13 maja 2014 r. w sprawie dopusz-czania do eksploatacji określonych rodzajów budowli, urządzeń i pojazdów kolejowych.


StreszczenieDo oceny poszczególnych podsystemów instalacji stałych („Infrastruktura”, „Energia”,

„Sterowanie – urządzenia przytorowe”) mogą być zastosowane te same procedury, tzw. moduły oceny zgodności. Mimo to specyfika poszczególnych podsystemów wymusza ko-nieczność uzupełnienia ogólnych zapisów modułów oceny zgodności o wymagania zwią-zane z charakterem danego podsystemu. Zakres tych uzupełnień jest znaczący w przy-padku oceny podsystemu „Sterowanie – urządzenia przytorowe”. Ze względu na charakter podsystemu oraz stosowane przepisy konieczne jest dookreślenie etapów i sposobów oceny oraz zwrócenie szczególnej uwagi na właściwe określenie granic podsystemu. Dla efektywnej realizacji procesu oceny ważna jest komunikacja pomiędzy Wnioskodaw-ca a jednostką notyfikowaną oraz właściwe przygotowanie dowodów przez Wnioskodaw-cę. Znajomość tych zagadnień może pozwolić na podniesienie sprawności realizacji oce-ny oraz przyczynić się do wyeliminowania wielu błędów na jak najwcześniejszym etapie.

Słowa kluczoweweryfikacja WE, moduły oceny zgodności, podsystem „Sterowanie – urządzenia przy-

torowe, TSI.

SummaryThe same procedures, so called conformity assessment modules, can be used for the

assessment of each fixed installation subsystems (“Infrastructure”, “Energy”, “Control Com-mand and Signaling”). However, due to the specific character of each subsystem, that ove-rall description of the modules have to be fulfilled by requirements specific for the given subsystem. The scope of such fulfillment is significant in case of “Control Command and Signaling” subsystem. Because of the character of the subsystem and applied provisions the phases of the assessment and methods of the assessment have to be determined more precisely and high attention should be paid to define clearly the borders of the assessment. The communication between Applicant and Notified body and good prepa-ration evidences by the Applicant are very important for effectiveness of the assessment process. The conscious of such issues can allow to improve the efficiency of assessment and many of possible mistakes at a very early phase of realization could be avoided.

KeywordsEC verification, modules for conformity assessment, “Control command and signaling”

subsystem, TSI.




Rola dowodu bezpieczeństwa w procesie weryfikacji WEDowód bezpieczeństwa dla podsystemu „Sterowanie” to nie tylko zbiór dokumentów odbiorowych jakie można znaleźć w operacie ko-laudacyjnym, ale jest to również opis działań organizacyjnych jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bez-pieczeństwa technicznego.

Aleksandra Grzywak-GawryśKierownik ds. oceny podsystemu „Sterowanie”[email protected]


Działania wykonywane przez Jednostki Notyfikowane w zakresie weryfikacji WE pod-systemu Sterowanie są opisane Dyrektywą 2008/57/WE, a uszczegółowione Technicz-nymi Specyfikacjami Interoperacyjności wydanymi dla podsystemu Sterowanie (CCS) w aktualnie obowiązującym dokumencie Unii Europejskiej: Rozporządzeniu 2016/919 z dnia 27 maja 2016 roku. Dokument ten określa wymagania zasadnicze, które muszą być spełnione przez system kolei zabudowany i eksploatowany na terenie krajów należących do Wspólnoty.

Oprócz zdefiniowania wymagań zasadniczych Techniczne Specyfikacje Interoperacyj-ności określają zbiór dokumentów, zwanych specyfikacjami, które są podstawą do two-rzenia systemu sterowania ruchem kolejowym CCS (Control Command and Signalling). Zdefiniowane wymagania dotyczą zarówno samych urządzeń, tzw. składników interopera-cyjności lub grup składników interoperacyjności, jak też zbudowanego na ich bazie pod-systemu „Sterowanie – urządzenia przytorowe” lub „Sterowanie – urządzenia pokładowe”. Wymagania są pogrupowane wg zestawów dokumentów z podaniem ich tytułów, nume-rów i wersji wydania. Poszczególne zestawy stanowią tzw. baseline lub w języku polskim „wzorce”. Obecnie obowiązująca TSI definiuje trzy wzorce wymagań.

Oprócz zestawów dokumentów wymagań skupionych we wspomnianych trzech base-line TSI określa zestaw norm obowiązujących. Są to następujące standardy europejskie:• EN 50126:1999 o tytule: „Zastosowania kolejowe. Specyfikowanie niezawodności, do-

stępności, podatności utrzymaniowej i bezpieczeństwa”,• EN 50128:2011 o tytule: „Zastosowania kolejowe – Systemy łączności, przetwarza-

nia danych i sterowania ruchem – oprogramowanie kolejowych systemów sterowania i zabezpieczenia”,



• EN 50129:2003 o tytule: „Zastosowania kolejowe – Systemy łączności, przetwarzania danych i sterowania ruchem – Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem”,

• EN 50159:2010 o tytule: „Zastosowania kolejowe – Systemy łączności i przetwarzania danych”.

Powyższe normy, zwane też dalej normami RAMS (od angielskich słów: reliability – nieuszkadzalność, availability – dostępność, maintainability – podatność na utrzymanie i safety – bezpieczeństwo), mają swoje wydania polskie o następujących numerach i da-tach wydania:• PN-EN 50126:2002,• PN-EN 50128:2011,• PN-EN 50129:2007,• PN-EN 50159:2011.

Normy te jako jedyne zostały wymienione w TSI CCS. Stanowią one podstawę bezpie-czeństwa i niezawodności dla składników interoperacyjności oraz podsystemów „Stero-wanie” zbudowanych w oparciu o te składniki.

Niestety TSI daje szeroką furtkę do stosowania krajowych rozwiązań identyfikując tzw.: punkty otwarte, przypadki szczególne i systemy klasy B, dla których nie stosuje się wymagań ujętych w TSI i dla których każde państwo członkowskie ustanawia tzw. wyma-gania krajowe.

Wytwórcę, dystrybutora, inwestora, zarządcę operujących na rynku polskim obowiązu-je polskie prawo krajowe i unijne o bezpośredniej stosowalności, jak rozporządzenia czy decyzje. Wszystkie więc obowiązujące w UE akty prawne, które nie spełniają powyższych warunków a powinny być obowiązujące na rynku polskim, muszą zostać wdrożone aktem prawnym krajowym. W przypadku polskiego rynku kolejowego dokumentem, który wdra-ża do prawa krajowego Dyrektywę o interoperacyjności systemu kolei: 2008/57/WE jest Ustawa o Transporcie Kolejowym z 2003 roku z późniejszymi zmianami, wynikające z niej rozporządzenie Ministra Infrastruktury i Budownictwa o interoperacyjności systemu kolei aż wreszcie „Lista Prezesa UTK w sprawie właściwych krajowych specyfikacji technicz-nych i dokumentów normalizacyjnych, zastosowanie których umożliwia spełnienie za-sadniczych wymagań dotyczących interoperacyjności systemu kolei”. W Polsce wymagana jest zgodność z TSI i z Listą Prezesa UTK, zależnie od przedmiotu prac.

Obecnie obowiązująca Lista Prezesa UTK została wprowadzona w życie 19 stycznia 2017 roku i zastąpiła Listę dotychczasową obowiązującą od 26 września 2013 roku.

Powiązania i wzajemne zależności pomiędzy wspomnianymi wymaganiami pokazano na rys. 1.

Podobnie jak jej europejski „odpowiednik” specyfikuje ona dokumenty wymagań, które należy zastosować dla urządzeń typu (poprzez analogię do składników interoperacyjno-ści), na które wymagane jest uzyskanie świadectwa dopuszczenia do eksploatacji typu urządzenia kolejowego przeznaczonego do prowadzenia ruchu kolejowego zgodnie z roz-porządzeniem ministra infrastruktury i rozwoju z dnia 13 maja 2014 roku (Dz.U.2014.720), jak i specyfikuje dokumenty wymagań, które należy zastosować dla podsystemu struktu-ralnego „Sterowanie – urządzenia przytorowe” (CCT) lub „Sterowanie – urządzenia pokła-dowe” (CCO).


Rys. 1. Wymagania europejskie, obowiązujące wymagania krajowe i wymagania zarządcy infrastruktury wobec pod-

systemu CCS instalowanego i przekazywanego do eksploatacji na polskiej sieci kolejowej

Oprócz ww. wymagań Wykonawcę podsystemu obowiązują wymagania określone w SIWZ (Specyfikacja Istotnych Warunków Zamówienia), które zostały określone przez Zamawiającego. Wymagania te mogą, ale nie muszą być wymaganiami prawnymi. Może to być zestaw regulacji wewnętrznych danego zarządcy infrastruktury, np. instrukcje i standardy techniczne PKP PLK, jak też inne dokumenty sporządzone przez Zamawiają-cego. Dokumenty te nie powinny byś sprzeczne z wymaganiami prawnymi. Gdyby tak było, nadrzędnymi wymaganiami są zawsze wymagania prawne.

Jak wspomniano powyżej wymagania zarządcy infrastruktury i inne regulacje wynika-jące z SIWZ nie są wymaganiami prawnymi oraz wymaganiami stanowiącymi podstawę do przeprowadzania procesu weryfikacji WE.

Proces weryfikacji WE przeprowadzany przez akredytowane jednostki notyfikowane wykonywany jest w oparciu o wymagania interoperacyjności ujęte w TSI lub w wymaga-niach krajowych (Lista Prezesa UTK), jeśli podsystem zawiera urządzenia klasy B (nieujęte w TSI), lub też posiada interfejsy do podsystemu zawierającego te urządzenia.

Pomimo zdecydowanych różnic w konstrukcji, w formie wymagań i w ich opisie wy-stępujących pomiędzy TSI CCS i Listą Prezesa UTK jest pewna część wspólna. Stanowią ją przywołane na początku artykułu normy w ich wydaniu polskim:• PN-EN 50126:2002,• PN-EN 50128:2011,• PN-EN 50129:2007,• PN-EN 50159:2011.


Komplet powyższych standardów dotyczy niezawodności i bezpieczeństwa rozwiązań kolejowych związanych z bezpieczeństwem. Dostarczają one zbioru metod technicznych i organizacyjnych, które powinny zapewnić, że wymagany poziom bezpieczeństwa i para-metry niezawodnościowe zostaną osiągnięte.

Proponowane przez normy metody, narzędzia i techniki dotyczą trzech poziomów za-stosowań urządzeń kolejowych: urządzenia ogólnego przeznaczenia (ang. generic product, w skrócie GP), urządzenia ogólnego zastosowania (ang. generic application, w skrócie: GA) dostosowanego do konkretnych wymagań danego rynku kolejowego, przewoźnika, za-rządcy infrastruktury, oraz urządzenia określonego zastosowania, potocznie zwane: apli-kacją (ang. specific application, w skrócie SA), które jest dostosowane do konkretnej lokali-zacji i konkretnego miejsca w terenie lub na konkretnym pojeździe kolejowym.

Rys. 2. Poziomy zastosowań urządzenia sterowania ruchem kolei

Poziomy zastosowania opisane powyżej zostały pokazane na rys. 2. Poziom urządze-nia określonego zastosowania jest najbardziej specyficznym, ale jednocześnie zawiera część bazową (ogólnego przeznaczenia), na podstawie której zostało zbudowane i część ogólnego zastosowania, gdzie zawarta jest logika związana z danym rynkiem kolejowym.

Funkcje odpowiedzialne za bezpieczeństwo systemu sterowania ruchem kolejowym realizowane są na trzech poziomach zastosowań. Popełnienie błędu na którymkolwiek poziomie może zniweczyć cechy bezpieczeństwa „zaszyte” w systemie.

Dodatkowo, mówiąc o parametrach bezpieczeństwa czy niezawodności, odnosimy je do tzw. cyklu życia, który dotyczy zarówno urządzeń ogólnego przeznaczenia, ogólnego zastosowania, jak i określonego zastosowania. Zaczyna się on fazą koncepcji poprzez ana-lizę ryzyka, zdefiniowanie wymagań, alokacji tych wymagań na poszczególne elementy systemu, poprzez projektowanie, produkcję, instalację, walidację gotowego rozwiązania, aż po odbiory, akceptację systemu i jego eksploatację. Wszelkie zmiany w systemie zwią-zanym z bezpieczeństwem, modyfikacje czy odnowienia, są również uwzględnione w fa-zach cyklu życia. Cykl życia kończy się wycofaniem z eksploatacji. Podstawowe zagadnie-nia związane z cyklem życia opisane są normą PN-EN 50126.


Każdy z poziomów zastosowań przechodzi fazy zdefiniowanego powyżej cyklu życia. Dla każdego z etapów cyklu życia normy RAMS dedykują metody, narzędzia i działania techniczne i organizacyjne, które należy zastosować czy podjąć, aby zminimalizować wy-stąpienie błędu krytycznego dla bezpieczeństwa. Działania te mają na celu ograniczenie ryzyka wystąpienia błędów systematycznych (popełnionych przez człowieka) do pozio-mu akceptowalnego. Celem jest minimalizacja prawdopodobieństwa wystąpienia takie-go błędu lub ograniczenia powagi jego skutków, tak aby cel bezpieczeństwa (określony parametrem THR – Tolerable Hazard Rate – tolerowana intensywność zagrożeń) został osiągnięty dla danej funkcji związanej z bezpieczeństwem.

System sterowania ruchem kolejowym może składać się tylko z części sprzętowej (hardware) lub zarówno z części sprzętowej, jak i oprogramowania (software). Dodatko-wo moduły funkcjonalne (hardware i software) komunikują się pomiędzy sobą za pomocą transmisji. Urządzenia łączą się za pomocą interfejsów, tworząc system srk. Interfejsy od-powiadają za bezpieczeństwo w takim samym stopniu jak poszczególne elementy systemu.

Norma PN-EN 50129 narzuca obowiązek opracowania dowodu bezpieczeństwa na wszystkich poziomach zastosowań. Odpowiedzialnym za wykonanie dowodu bezpie-czeństwa jest podmiot odpowiedzialny za urządzenie lub system na danym poziomie zastosowania: GP, GA lub SA.

Celem dowodu bezpieczeństwa jest wykazanie, że wymagania bezpieczeństwa zostały spełnione przy zastosowaniu określonych warunków w dalszych etapach cyklu życia lub na wyższym poziomie zastosowania. Warunki te są zwane warunkami SRAC (safety related application condition) – warunkami bezpiecznego stosowania.



Na poziomie urządzenia ogólnego przeznaczenia literami GP określa się warunki SRAC, które muszą być spełnione podczas opracowywania urządzenia ogólnego za-stosowania GA. Warunki, które nie zostały spełnione (zastosowane) na poziomie urzą-dzenia ogólnego zastosowania GA są przenoszone na poziom urządzenia określonego zastosowania, czyli aplikacji SA. Analogicznie: warunki, które nie mogą być spełnione na poziomie opracowywania aplikacji zostają przeniesione do odpowiedzialności użyt-kownika lub służb utrzymania. Są to wszystkie istotne dla bezpieczeństwa zapisy, które znajdują się w DTR-kach, instrukcjach i wytycznych dla danego urządzenia czy systemu. Z tego powodu tak bardzo istotne jest stosowanie przez projektantów srk, instalatorów czy użytkowników właściwej wersji dokumentacji technicznej opracowanej dla danego urządzenia kolejowego.

Rys. 3. Dowody bezpieczeństwa na trzech poziomach zastosowań: urządzenia ogólnego przeznaczenia (generic pro-

duct – GP); ogólnego zastosowania (generic application – GA) oraz określonego zastosowania (specific application – SA).

Opracowane na podstawie: PN-EN 50129


Dowód bezpieczeństwa, zgodnie z metodologią normy PN-EN 50129 składa się z sze-ściu części:• Część 1: Definicja systemu,• Część 2: Raport zarządzania jakością,• Część 3: Raport zarządzania bezpieczeństwem,• Część 4: Raport bezpieczeństwa technicznego,• Cześć 5: Powiązane dowody bezpieczeństwa,• Część 6: Wniosek.

Pokazano to na rys. 4.Norma PN-EN 50129 precyzuje zawartość każdej z części. Tytuły części oraz tytuły

poszczególnych rozdziałów są jednolite dla trzech poziomów zastosowań, a treść, która powinna być zawarta w danym rozdziale ściśle określona i opisana w normie.

Rys. 4. Części dowodu bezpieczeństwa. Opracowane na podstawie: PN-EN 50129

Najobszerniejszą a jednocześnie najważniejszą częścią dowodu bezpieczeństwa jest Raport Bezpieczeństwa Technicznego (patrz rys. 5). To tutaj opisane są warunki bezpiecz-nego stosowania: te spełnione przez dany poziom zastosowania, jak i te, które muszą być przeniesione wyżej lub przekazane projektantowi srk, instalatorowi czy użytkownikowi urządzenia lub systemu kolejowego.


Rys. 5. Zawartość Raportu Bezpieczeństwa Technicznego. Opracowane na podstawie: PN-EN 50129

Dobrze opracowany dowód bezpieczeństwa jest nie tylko przewodnikiem po zastosowa-nych metodach, narzędziach w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa przez urządzenie czy system srk, ale również jest dowodem na to, że dany podmiot dobrze rozumie swoją rolę w zapewnieniu bezpieczeństwa całego systemu kolejowego oraz że organizacja projektu została właściwie dobrana, a działania odpowiednio nadzorowane.

Dokument ten jest również dowodem na to, że wybrane zostały właściwe metody, że personel był właściwie wykwalifikowany i zastosowano odpowiednią do danego pozio-mu bezpieczeństwa niezależność ról. Dowód bezpieczeństwa dokumentuje, że wykryte niezgodności i hazardy były nadzorowane, a interfejsy przeanalizowano pod kątem bez-pieczeństwa i zgodności technicznej.

Dobrze opracowany dowód bezpieczeństwa definiuje liczbowe parametry RAMS (nie-zawodności i bezpieczeństwa), określa szczegółowo konfigurację systemu – dowodzi, że konfiguracja jest właściwie nadzorowana, wykazuje bezpieczeństwo sprzętu przy wpły-wach zewnętrznych i wewnętrznych i wykazuje bezpieczeństwo zastosowanego w syste-mie (urządzeniu kolejowym) oprogramowania. Sposób zapewnienia jakości oprogramo-wania, zgodnie z normą PN-EN 50128, stanowi fundament dowodzenia bezpieczeństwa oprogramowania.

Reasumując, dowód bezpieczeństwa jest kluczowym elementem potwierdzania po-prawności przyjętych rozwiązań i zapewnienia poprawnego działania w całym cyklu życia urządzenia czy systemu srk.


Podsystem CCS w znaczeniu wymagań europejskich jest pojęciem tożsamym z poję-ciem systemu szczególnego zastosowania – aplikacji (specific application) SA ujmowanym w znaczeniu norm RAMS. Wynika stąd, że podsystem CCS wymaga opracowania dowodu bezpieczeństwa tzw. SASC (Specific Application Safety Case), co pokazano na rys. 3 (s. 48). Dla tego poziomu zastosowania dowód składa się z dwóch gałęzi:• dotyczącej projektu,• dotyczącej implementacji fizycznej.

Podział ten ma poniekąd odzwierciedlenie w procesie weryfikacji WE dla podsystemu CCS. Oceniany jest najpierw etap projektu, a potem jego fizyczna implementacja polega-jąca na zabudowie w terenie i próbach końcowych, które prowadzą do odbiorów i prze-kazania do eksploatacji.

Rys. 6. Zależność pomiędzy operatem kolaudacyjnym a dowodem bezpieczeństwa dla aplikacji (SASC)



Wykonawca podsystemu CCS zobligowany jest wymaganiami SIWZ do opracowania operatu kolaudacyjnego* (który w istocie jest zbiorem dokumentów odbiorowych, zbio-rem deklaracji, świadectw, aprobat materiałowych, raportów i protokołów). Wszystkie te dokumenty są konieczne do wykazania bezpieczeństwa i poprawnego funkcjonowania podsystemu CCS. Natomiast nie są one wystarczającymi elementami dowodzenia bez-pieczeństwa.

Dokumenty operatu kolaudacyjnego, przedstawione w sposób logiczny i we właściwej kolejności powstawania w realizowanej inwestycji stanowią część raportu bezpieczeń-stwa technicznego i to tylko sekcję zawierającą dowody na poprawne działanie. Pokazano to schematycznie na rys. 6 (s. 51).

Natomiast dowód bezpieczeństwa dla podsystemu „Sterowanie” to nie tylko zbiór do-kumentów odbiorowych jakie można znaleźć w operacie kolaudacyjnym, ale jest to rów-nież opis działań organizacyjnych jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bezpieczeństwa technicznego. Zawiera on również warunki bezpiecznego stosowania, których należy przestrzegać w kolejnych fazach cyklu życia.

Aby w procesie weryfikacji WE jednostka notyfikowana mogła stwierdzić zgodność podsystemu sterowanie CCS z wymaganiami TSI czy z wymaganiami krajowymi okre-ślonymi w Liście Prezesa UTK w zakresie wymagań zasadniczych powinna ocenić kom-pletność i adekwatność dowodu bezpieczeństwa dla aplikacji systemu. Aby to ocenić, jednostka musi taki dowód otrzymać od Wykonawcy.

Niestety obecnie ciągle jeszcze bardzo rzadką praktyką jest opracowywanie dowo-dów bezpieczeństwa dla podsystemu CCS, czyli dowodów dla określonych zastosowań SA (tzw. SASC).

Intencją autora tego artykułu było przekonanie czytelnika, jak ważnym elementem procesu inwestycyjnego jest zapewnienie i wykazanie bezpieczeństwa podsystemu CCS poprzez sporządzenie dowodu bezpieczeństwa SASC.

Będąc pod presją czasu, próbując się zmieścić w budżecie i próbując dotrzymać ter-minów napiętego zawsze harmonogramu nie zapominajmy, że ostatnim Klientem, który korzystał będzie z naszej pracy będą pasażerowie: nasze rodziny i nasi bliscy – bezpie-czeństwo nie podlega tu negocjacjom.

*https://pl.wikipedia.org/wiki/Operat_kolaudacyjny: zbiór dokumentów budowy przy-gotowanych przez wykonawcę robót w celu ich przekazania zamawiającemu, stanowią-cy podstawę odbioru i oceny zgodności wykonanych robót z dokumentacją projektową i kosztorysem.

Źródła1. PN-EN 50126:2002/AC:2011: „Zastosowania kolejowe – Specyfikowanie i wykazywanie

Nieuszkadzalności, Gotowości, Obsługiwalności i Bezpieczeństwa (RAMS)” – część 1: Wy-magania podstawowe i procesy ogólnego przeznaczenia”.

2. PN-EN 50129:2007: „Zastosowania kolejowe – Systemy łączności, przetwarzania danych i sterowania ruchem – Elektroniczne systemy sterowania ruchem związane z bezpieczeń-stwem”.


StreszczenieTreścią artykułu jest przedstawienie celu opracowywania dowodu bezpieczeństwa

dla podsystemu sterowanie. Opisano podstawy prawne działań z tym związanych oraz zakres i zawartość tego dokumentu.

Wyjaśniono jaki jest sens poszczególnych części dokumentu o nazwie: dowód bez-pieczeństwa i dlaczego są tak ważne w wykazywaniu bezpieczeństwa podsystemu ste-rowanie.

Opisano również różnicę pomiędzy dowodem bezpieczeństwa i zbiorem dokumentów o nazwie: operat kolaudacyjny, który kompletowany jest dla etapu budowy. W konkluzji wyrażono dezaprobatę z powodu obecnego stanu rzeczy, gdzie wykazywanie bezpieczeń-stwa podsystemu sterowanie za pomocą dowodu bezpieczeństwa jest jeszcze wciąż rzad-ko stosowane.

Słowa kluczowe dowód bezpieczeństwa, RAMS, podsystem sterowanie, normy CENELEC, bezpieczeń-

stwo systemu srk, wykazywanie bezpieczeństwa podsystemu CCS, aplikacja systemu srk, system ogólnego zastosowania, system ogólnego przeznaczenia, system szczególnego zastosowania, bezpieczeństwo, niezawodność.

SummaryThe content of the article is to show the purpose of the safety proof for the control-

command and signalling subsystem. The legal basis of the activities related to it has been described, as well as the scope and content of this document.

It explains the meaning of the different parts of the document named: safety proof and why they are so important for the demonstration of the safety of the control-com-mand and signalling subsystem.

The difference between the safety proof and the set of documents called: terminal inspection report, which is completed for the construction stage, is also described. The conclusion expresses its disapproval of the current situation, where demonstration of the safety of the subsystem by the safety proof is still rare.

Keywords safety proof, RAMS, control subsystem, CENELEC standards, safety of the srk system,

demonstration of the safety of the CCS subsystem, srk system application, system of ge-neral application, system of special purpose, safety, reliability.



Od jazdy „na berło” do niezależności Jednostek Notyfikowanych, czyli jak poruszać się po torach bezpieczniej i efektywniejOd początku istnienia kolei problem bezpieczeństwa i efektywności przewozów spędzał sen z powiek właścicielom infrastruktury i prze-woźnikom. Stąd koniecznością stało się opracowanie metod, proce-dur i wreszcie urządzeń zabezpieczenia ruchu kolei, obecnie zwanych systemami sterowania ruchem kolejowym „srk”.

Aleksandra Grzywak-GawryśKierownik ds. oceny podsystemu „Sterowanie”CERTA [email protected]


W nomenklaturze europejskiej systemy te nazywane są Command Control and Signal-ling, w skrócie CCS, i dzielą się na urządzenia przytorowe i pokładowe.

Pierwszą ze znanych metod zabezpieczenia jazdy pociągu na szlaku było tzw. „berło”. Kto otrzymał berło miał wolną drogę na szlak i mógł bez zagrożenia kolizją z innym pojazdem kolejowym podążać do kolejnej stacji. Niestety berło miało swoje wady: ogra-niczało przepustowość oraz wymagało jazd „tam i z powrotem”, tak aby powróciło do dy-żurnego ruchu danego posterunku. Dodatkową wadą było ograniczenie w zastosowaniu tylko do szlaku. Berło, aczkolwiek skutecznie chroniące przed kolizją z innym pojazdem kolejowym, nie wykluczało wykolejenia pociągu czy kolizji z obiektami infrastruktury lub z użytkownikami dróg na skrzyżowaniach w poziomie szyn. Nie zapewniało też bezpie-czeństwa ruchu na stacjach.

Wraz z rozwojem kolei powstawały nowe urządzenia zabezpieczenia ruchu, w których wykorzystywane były najnowsze technologie. Okazało się jednak, że wykorzystanie no-wych technologii, owszem, zapewniało większą efektywność i sprawiało, że praca na po-sterunkach ruchu była lżejsza, a posterunki obsługiwane przez mniejszą liczbę pracowni-ków kolei, ale niestety zastosowanie najnowszych technologii nie wykluczyło możliwości kolizji, które przy większych prędkościach pociągów były bardziej tragiczne w skutkach.

U schyłku ubiegłego wieku zachłyśnięto się możliwościami techniki cyfrowej, a kom-putery zawładnęły światem. Zaufano bez reszty bitom i bajtom, które napędzały maszyny nie tylko w sferze kolei. Rozwój techniki niebezpiecznie przyspieszył, a ruch pociągów na stacjach i szlakach zaczął w dużej mierze zależeć od oprogramowania komputerów. Te funkcje, które w przeszłości realizowane były przez urządzenia mechaniczne, potem elektromechaniczne i elektryczne, dobrze znane, o stabilnych cechach, teraz realizowane są w większości programowo.

Urządzenia działające w oparciu o oprogramowanie mają niezliczone zalety. Jedną z nich jest „skalowalność” i prostota wprowadzania zmian. Niestety ta zaleta jest również wadą, gdyż bardzo łatwo jest utracić kontrolę nad zmianami w oprogramowaniu i zniwe-czyć pierwotnie wbudowane cechy bezpieczeństwa. Przerażającą jest myśl, że jeden błęd-ny bit lub jeden błędnie przetransmitowany telegram mógłby doprowadzić do katastrofy, w której wielu ludzi poniosłoby śmierć lub doznałoby ciężkich obrażeń.

Faktem jest, że błędów popełnianych przez człowieka, w tym błędów w oprogramowa-niu, nie da się uniknąć, można je najwyżej ograniczać, zmniejszać prawdopodobieństwo ich wystąpienia lub minimalizować ich skutki. Czym bardziej rozwinięte technologie, tym więcej błędów można popełnić i tym bardziej są one nieprzewidywalne.

Dodatkową cechą rozwiniętych technologii jest wysoki stopień specjalizacji perso-nelu, który uczestniczy w powstawaniu, rozwoju, użytkowaniu czy utrzymaniu urządzeń, które z tych technologii korzystają. Innymi słowy: wymagania kwalifikacyjne personelu są coraz wyższe, a wraz z ich wzrostem zawęża się obszar, na którym osoba o danych kom-petencjach, mówiąc kolokwialnie, się zna.

Ponadto czym bardziej rozwinięte technologicznie są urządzenia, tym bardziej wyrafi-nowane i skomplikowane są narzędzia służące ich produkcji, instalowaniu, uruchamianiu, testowaniu i utrzymaniu. Poziom wymaganych kompetencji sprawił, że wszystkie pod-mioty zaangażowane w tzw. cykl życia wyrobu muszą zatrudniać wysokiej klasy specjali-stów z różnych dziedzin.

Wszyscy ci specjaliści różnych branż, mimo różnic w kwalifikacjach, są wciąż potocznie zwani „srk-owcami”. Bardzo trudno jest osiągnąć stan, w którym personel danego przed-siębiorstwa kolejowego kompetencyjnie pokrywa cały obszar jego działania.


Dodatkowym zagrożeniem w stałym rozwijaniu stosowanych technologii jest utrata kompetencji w zakresie tzw. „starych urządzeń”. Powoduje to ryzyko niewłaściwego utrzy-mania tych urządzeń, które od lat pracują na sieci kolejowej i z różnych powodów nie są wymieniane na urządzenia i systemy nowej generacji.

Jak już wspomniano powyżej, rozwój technologii sprawił, że błąd wprowadzony przez człowieka na którymkolwiek etapie cyklu życia wyrobu może nie zostać wykryty w stan-dardowo przebiegającym procesie odbiorów, a sposób sprawdzania urządzeń przed włączeniem do eksploatacji, który wystarczał jeszcze w ubiegłym stuleciu, przestaje być obecnie wystarczający.

Niezależność narzędziem do uzyskania niezawodności i bezpieczeństwaTak doszliśmy w rozważaniach do celu powstania metodologii wykazywania nie-

zawodności i bezpieczeństwa w systemie kolejowym opracowanej w końcu ubiegłego stulecia przez organizację CENELEC i obecnie przyjętej jako obowiązująca w prawie eu-ropejskim i krajowym.

Metodologia opisana jest w trzech głównych normach:• PN-EN 50126,• PN-EN 50128,• PN-EN 50129, dotyczących RAMS (reliability, availability, maintainbility and safety, co w języku polskim

znaczy: nieuszkadzalność, dostępność, podatność na obsługę i utrzymanie oraz bez-pieczeństwo). Dodatkowo uzupełnienie stanowi norma:

• PN-EN 50159, która dotyczy transmisji w systemach związanych z bezpieczeństwem.

Normy te stanowią standard i przewodnik dla osób zajmujących się bezpieczeństwem i niezawodnością kolejowych systemów związanych z bezpieczeństwem.

Podstawową koncepcją metodologii dyktowanej tymi normami jest wdrożenie takich systematycznych działań w całym cyklu życia wyrobu, które zredukują prawdopodobień-stwo wystąpienia błędów systematycznych lub obniżą powagę ich skutków, do tego stopnia, że ryzyko wystąpienia sytuacji niebezpiecznej wywołanej tymi błędami staje się akceptowalne.



Bezpieczeństwo i niezawodność to dwie cechy nierozerwalnie ze sobą związane i wza-jemnie od siebie zależne. Są jednocześnie pierwszymi z sześciu tzw „wymagań zasadni-czych”, które są fundamentem dyrektywy UE nr 2008/57/WE o interoperacyjności systemu kolei we Wspólnocie.

Idea interoperacyjności opiera się na zapewnieniu niezakłóconego i efektywnego ru-chu pociągów przez terytoria krajów należących do Unii Europejskiej, przy jednoczesnym spełnieniu przez dany podsystem kolejowy wymagań zasadniczych. Z tego też powodu normy dotyczące RAMS zostały zharmonizowane z tą dyrektywą.

Spełnienie wymagań zasadniczych i wykazanie ich spełnienia jest obowiązkiem Wy-konawcy danego podsystemu kolejowego lub podmiotu wprowadzającego zmiany wsku-tek modernizacji lub odnowienia podsystemu i jest warunkiem uzyskania przez zarządcę tego podsystemu, w przypadku jego modernizacji, zezwolenia na dopuszczenie do eks-ploatacji wydawanego każdorazowo przez Prezesa Urzędu Transportu Kolejowego.

Bazując na metodologii norm CENELEC, Dyrektywa 2008/57/WE narzuca obowiązek przeprowadzenia dla nowego lub zmienianego podsystemu strukturalnego niezależnej weryfikacji WE, w tym potwierdzenia spełnienia wymagań zasadniczych, przez powołane do tego Jednostki Notyfikowane.

Wspomnieć należy, że według norm CENELEC jedną z metod ograniczenia wystąpienia błędów systematycznych jest szeroko pojęta „niezależność”. Dotyczy ona sprzętu, opro-gramowania, funkcji, a także ról osób zaangażowanych w proces.

Podążając za wymaganiami dotyczącymi RAMS-u dywersyfikacja (zróżnicowanie) jest stosowana w szerokim zakresie: niezależni od siebie konstruktorzy projektują zdywersy-fikowane kanały sprzętowe urządzeń, których funkcje mają wpływ na bezpieczeństwo; podobnie niezależni od siebie programiści tworzą do nich oprogramowanie.

Idąc dalej tym tropem weryfikator, który nie uczestniczy w procesie wytwarzania, sprawdza poprawność wyników danego etapu w procesie, a niezależny od zespołu pro-jektowego walidator potwierdza właściwość i adekwatność rozwiązań, tak aby wymagany



dla danego wyrobu stopień nienaruszalności bezpieczeństwa (SIL – ang. Safety Integrity Level – poziom nienaruszalności bezpieczeństwa) został osiągnięty. Zgodnie z metodolo-gią norm CENELEC ostateczne bezpieczeństwo realizowanych przez urządzenie funkcji potwierdza niezależny asesor wyznaczony do tej roli.

Sens niezależności ról polega na domniemaniu, że każdy człowiek myśli w inny sposób i nie powieli błędów swojego poprzednika. Co więcej: myśląc w inny sposób ma szanse wykryć błędy, które wcześniej zostały popełnione i nie zostały do tej pory wykryte. Sku-teczność tej metody jest tym większa, im większy zapewnimy poziom niezależności. Wro-giem niezależności jest podległość służbowa, wzajemne konsultacje w zespole osób two-rzących wyrób lub jakiekolwiek inne powiązania, w tym naciski lub zależności finansowe.

Wracając do wymagań europejskich dotyczących interoperacyjności i do działań Jed-nostek Notyfikowanych, celem tych działań jest potwierdzenie osiągnięcia wymagań interoperacyjności przez podsystem przy spełnieniu wymagań zasadniczych. Podobnie jak w metodologii norm CENELEC, podstawą weryfikacji WE wynikającej z dyrektywy 2008/57/WE jest domniemanie, że niezależna Jednostka w sposób wolny od sugestii, stronniczości, interesowności przeprowadzi niezależną weryfikację pod kątem spełnienia wymagań interoperacyjności.

Jednak w obecnie przyjętej metodzie podziału ról w procesie inwestycyjnym, zlece-niodawcą i sponsorem wykonania weryfikacji WE przez Jednostkę Notyfikowaną jest Wy-konawca inwestycji, a więc ktoś, komu bezwzględnie zależy na terminowym wykonaniu robót przy minimalnym obciążeniu budżetu.

Jednostka Notyfikowana, która w system wartości ma wpisaną niezależność, bezstron-ność i brak konfliktu interesów, w rzeczywistości finansowo zależy od Wykonawcy pod-systemu. Wykonawca zostaje zobligowany poprzez zapisy SIWZ (Specyfikacja Istotnych Warunków Zamówienia) do zlecenia weryfikacji WE podsystemu do Jednostki Notyfiko-wanej, a więc jej praca jest pozycją w kosztach Wykonawcy, choć w założeniu Jednostka Notyfikowana nie powinna być podwykonawcą w realizowanej inwestycji a stroną trzecią.

Kryterium wyboru Jednostki Notyfikowanej do przeprowadzenia weryfikacji WE podsyste-mu powinny być w pierwszej kolejności kompetencje i rzetelność, a więc jakość wykonanej pracy, gdyż daje to gwarancję Wykonawcy, Inwestorowi, Zarządcy Infrastruktury oraz Urzędowi



Transportu Kolejowego, że potwierdzenie zgodności z wymaganiami interoperacyjności jest miarodajne i wiarygodne, a w konsekwencji oznacza to, że oceniany podsystem jest bezpiecz-ny. W rzeczywistości jednak kryterium wyboru Jednostki Notyfikowanej do wykonania weryfi-kacji WE stał się czynnik finansowy, co może być powodem uchybień w zakresie niezależności.

Wnioskiem z tych rozważań powinna być zachęta twórców SIWZ do ponownego prze-analizowania sposobu realizacji wymagań dyrektywy o interoperacyjności w odniesieniu do właściwego przydziału odpowiedzialności za zlecanie weryfikacji WE. Pisząc wprost: to nie Wykonawca podsystemu powinien „chcieć być ocenianym”, ale Zamawiający powi-nien „chcieć, aby ktoś niezależny ocenił Wykonawcę”. Różnica w intencjach jest zasadnicza i zmienia koncepcję „niezależności” z „papierowej” na „rzeczywistą”.

Jakość pracy Jednostki NotyfikowanejNawiązując do wspomnianej wcześniej „jakości” działań wykonanych przez Jednostkę

Notyfikowaną, rozważmy od czego ona zależy.Podstawowymi czynnikami wpływającym na jakość są trzy aspekty:

• kompetencje Jednostki Notyfikowanej,• odpowiedni czas na wykonanie oceny,• efektywna współpraca z Wnioskodawcą.

Kompetencje Jednostki Notyfikowanej zależą od kwalifikacji i doświadczenia perso-nelu wykonującego ocenę oraz od dostępności źródeł wiedzy, w tym szkoleń, udziału w konferencjach i spotkaniach branżowych, wymiany doświadczeń pomiędzy samymi jednostkami.

Podobnie jak trudno jest przedsiębiorcy podejmującemu rolę Wykonawcy inwestycji kolejowej zgromadzić wszystkich niezbędnych specjalistów branży srk i branż towarzyszą-cych, aby sprostać wymaganiom prawnym i wymaganiom kontraktowym, tak też trudno jest Jednostce Notyfikowanej pozyskać specjalistów posiadających całe spektrum wiedzy w zakresie sterowania ruchem kolejowym. Wspomnieć tu należy, że różnorodność urządzeń wchodzących w skład podsystemu CCS dotyczy nie tylko technologii ich wykonania, co już powoduje potrzebę posiadania specjalizacji inżynierskich: od mechaników, poprzez auto-matyków, elektroników czy specjalistów telekomunikacji aż do informatyków, ale również dotyczy przeznaczenia urządzeń – realizowanych przez nie funkcji: od urządzeń konwen-cjonalnych (warstwy podstawowej), takich jak: urządzenia stacyjne, urządzenia liniowe, urządzenia przejazdowe, urządzenia łączności, urządzenia systemów detekcji pociągu itd. (należy wymienić tu wszystkie rozwiązania akceptowalne według tzw. Listy Prezesa UTK), aż do urządzeń systemu ERTMS, dla którego znów można zalokować kompetencje w zakresie ETCS czy GSM-R; na specjalizację w zakresie zagadnień RAMS, w zakresie oprogramowania czy sprzętu, jak również na specjalizację w zakresie danego poziomu ERTMS czy etapu jego cyklu życia. Jak widać potrzebna różnorodność kwalifikacji jest ogromna.

Nie bez znaczenia jest fakt, że głównym źródłem posiadanej wiedzy jest nie tylko kierunek czy stopień ukończonych studiów, ale doświadczenie zdobyte w pracy w firmach wykonawczych, firmach produkcyjnych, w centrach badawczo-rozwojowych, w ośrodkach naukowych czy innych podmiotach bezpośrednio zaangażowanych w projektowanie, wy-twarzanie, instalowanie czy utrzymanie urządzeń srk.

Stąd wniosek, że Jednostka Notyfikowana musi zatrudniać wielu specjalistów o szerokiej wiedzy i doświadczeniu, a więc takich, których niewielu jest do pozyskania z rynku pracy. Stwarza to oczywiście poważny problem konkurencyjności warunków, jakie Jednostka musi zaoferować. Aby pozyskać dobrych fachowców musi ich odpowiednio zachęcić i motywować.


Drugim czynnikiem, jaki wpływa na jakość wykonanej oceny jest niewątpliwie czas, który może być poświęcony przedmiotowej ocenie. Czym później Jednostka Notyfikowana otrzyma dane do oceny i czym później zostanie do tej oceny zaangażowana, tym mniej czasu będzie można poświęcić na wnikliwe przeanalizowanie budowanego podsystemu. Naciski ze strony Wykonawcy, presja terminów czy opóźnień Wykonawcy nie wpływa do-brze na jakość przeprowadzonej oceny.

Paradoksem jest również fakt, że w obecnie obowiązującej procedurze realizacji kontraktu kluczem do wejścia Wykonawcy na obiekt i rozpoczęcia budowy jest zatwierdzenie projektu przez Zespół Opiniowania Projektów Inwestycyjnych (ZOPI), natomiast podobnego znaczenia nie ma wystawiona przez Wykonawcę pośrednia deklaracja weryfikacji WE na etapie projek-towania. W konsekwencji Wykonawca może zrealizować obiekt według zatwierdzonego przez ZOPI projektu, który w ocenie Jednostki Notyfikowanej może okazać się niezgodny z przepisa-mi Technicznych Specyfikacji Interoperacyjności czy Listy Prezesa UTK. Istnieje więc poważ-ne ryzyko, że wybudowany podsystem „sterowanie”, zaakceptowany przez Zamawiającego, nie uzyska pośredniego certyfikatu weryfikacji WE z powodu stwierdzonych niezgodności, a więc niemożliwe będzie również wystawienie przez Jednostkę Notyfikowaną certyfikatu weryfikacji WE na etapie prób końcowych podsystemu.

Trzeba mieć nadzieję, że w rzeczywistości takie sytuacje nie zdarzają się często, na-tomiast na pewno powszechną praktyką jest nerwowe wnoszenie zmian i uzupełnień w projekcie, który już doczekał się realizacji. Atmosfera niezadowolenia i niezrozumie-nia ze strony Wykonawcy, który jest klientem Jednostki Notyfikowanej ponieważ płaci za usługę a otrzymuje, w jego mniemaniu, „niezadowalający” produkt w postaci stwier-dzanych niezgodności, nie wpływa dodatnio na jakość pracy Jednostki.

Tu płynnie przechodzimy do kolejnego czynnika wpływającego na jakość wykonanej oceny zgodności. Jest nim dobra współpraca z Wnioskodawcą. Jak już wielokrotnie wspo-mniano w tym artykule, Wnioskodawcą weryfikacji WE jest, zgodnie z zapisami SIWZ, sam Wykonawca. W interesie zatem Wykonawcy wydaje się być sprawna i owocna współpraca pomiędzy nim a Jednostką od samego początku trwania inwestycji. W przypadku podsyste-mu „sterowanie” kluczowym jest, aby od początku tej współpracy wytypowany został przed-stawiciel Wykonawcy odpowiedzialny za ten podsystem, który rozumie rolę Wykonawcy w dostarczeniu Zamawiającemu podsystemu „sterowanie” zgodnego z wymaganiami.



Doświadczenie pokazuje, że znajomość obowiązującego prawa w zakresie wymagań Dyrektywy 2008/57/WE dotyczącej interoperacyjności systemu kolei w Unii Europejskiej i wynikających z niej wymagań TSI czy Listy Prezesa UTK jest wciąż niewielka i to zarówno wśród projektantów srk, jak i firm produkcyjnych czy instalacyjnych. W konsekwencji znajo-mość wymagań zasadniczych, sposobu ich spełnienia oraz metod wykazania ich spełnienia jest wciąż niewystarczająca. Logiczną wydaje się więc potrzeba dobrej współpracy z Jed-nostką Notyfikowaną, która tę wiedzę posiada. Szczególny nacisk należy położyć na inte-grację budowanego podsystemu „sterowanie” z istniejącym i eksploatowanym systemem. Doświadczenie uczy, że bezpieczna integracja tych dwóch bytów stanowi niemały problem.

Podsumowując powyższe rozważania należy podkreślić, że wymagane są znaczne, pra-wie rewolucyjne, zmiany w podejściu do realizacji inwestycji w kontekście wymagań inte-roperacyjności. Konieczny jest wzrost świadomości dotyczący związanych z nimi regulacji prawnych i co za tym idzie wdrożenie nowego podejścia do projektowanego i budowanego systemu srk, gdzie kluczowym jest spełnienie wymagań zasadniczych i potwierdzenie ich spełnienia poprzez testy i analizy, szczególnie w odniesieniu do integracji z istniejącym podsystemem. Brak takiego podejścia, opóźnienia czy zaniechania wdrożenia określonych działań są poważnym uchybieniem systemowym i mogą doprowadzić, nawet po latach, do podobnego w tragicznych skutkach wypadku kolejowego, jaki zdarzył się w 2012 roku pod Szczekocinami. W interesie zatem wszystkich interesariuszy procesu certyfikacji leży jej jakość, gdyż proces certyfikacji jest ostatnią „bramką”, gdzie wychwycić można poten-cjalne zagrożenie dla bezpieczeństwa ruchu kolejowego.

StreszczenieNiniejszy artykuł przedstawia genezę metodologii zapewniającej bezpieczeństwo

systemów sterowania ruchem kolejowym. Jednym z narzędzi tej metodologii jest nieza-leżność. Dodatkowym czynnikiem, który podnosi zaufanie do systemów sterowania ru-chem kolejowym jest realizowana przez Jednostki Notyfikowane ocena spełnienia przez podsystem „Sterowanie” wymagań zasadniczych. Niezależność Jednostek Notyfikowanych jest fundamentalną cechą zapewniającą wiarygodność oceny. Autor artykułu podkreśla wagę procesu weryfikacji WE i opisuje czynniki, jakie wpływają na jakość tego procesu.

Słowa kluczoweniezależność Jednostek Notyfikowanych, berło, bezpieczeństwo, niezawodność, urzą-

dzenia sterowania ruchem kolejowym.

SummaryThe aim of this article is to present the genesis of Control Command and Signalling

systems safety methodology. One of the tools used in this methodology is independen-ce. Assessment of essential requirements fulfilment, provided by notified bodies is an additional factor which improves Control Command and Signalling Subsystem trustwor-thiness. The independence of notified bodies is a fundamental feature of ensuring the re-liability of the assessment. The author emphasizes the importance of the WE verification process and describes the factors that influence the quality of this process.

KeywordsNotified body independence, Sceptre, Safety, Reliability, Control Command and Signal-

ling equipment.



Umowa z jednostką notyfikowaną w zakresie weryfikacji WE

Rozpoczęcie procedury weryfikacji WE następuje w momencie zawar-cia umowy wykonawcy z jednostką notyfikowaną. Doświadczenie po-kazuje, że przed nawiązaniem współpracy tych podmiotów występuje szereg problemów mających swoje źródło w niedostatecznym zrozu-mieniu i poznaniu charakteru działania jednostki notyfikowanej. Niniej-szy artykuł ma przedstawić te problemy i wyjaśnić, że tak naprawdę nie istnieją.

Małgorzata PiechotaKierownik ds. Administracji i [email protected]


Wybór jednostki notyfikowanej do przeprowadzenia oceny zgodności podsystemu to kluczowa decyzja, która nie powinna opierać się jedynie na oferowanej przez jednostkę cenie za daną usługę. Przede wszystkim wykonawca powinien zapoznać się z kompeten-cjami danej jednostki, szukając informacji na ten temat w niezależnych i potwierdzonych źródłach. Bezwzględnie należy się upewnić, czy dana jednostka ma status jednostki no-tyfikowanej oraz sprawdzić, czy posiada odpowiedni zakres akredytacji. W dalszej części artykułu podpowiadam, gdzie można znaleźć te niezbędne dane oraz postaram się przy-bliżyć i pozwolić zrozumieć charakter pracy jednostek notyfikowanych. Często bowiem zdarza się, że firmy wykonawcze, przed i w trakcie realizacji prac, które wykonują w ra-mach zadania inwestycyjnego, traktują jednostki notyfikowane jak swoich podwykonaw-ców, co jest oczywiście błędem i źródłem powstawania niepotrzebnych nieporozumień na drodze do zawarcia umowy między wykonawcą a jednostką notyfikowaną.

Ponadto w artykule poruszam temat odpowiedniego momentu do rozpoczęcia pro-cesu weryfikacji WE oraz przedmiotu umowy – czyli określenia zakresu certyfikacji oraz dokumentów odniesienia, na podstawie których będzie przeprowadzona ocena danego podsystemu.

Uwagę czytelnika zwrócę również na obowiązek zgłoszenia do UTK wszczęcia proce-dury weryfikacji WE jaki jest nałożony na wykonawcę prac.

Jednostka notyfikowana nie jest podwykonawcąNa samym początku warto zapoznać się z definicją jednostki notyfikowanej. Jednostka

notyfikowana to instytucja niezależna i bezstronna w stosunku do podmiotu lub wyro-bu, który ocenia, działająca w sposób obiektywny, zgodnie z wymaganiami określonymi w dotyczącej jej dyrektywie. Stanowi ona stronę trzecią w procesie dopuszczania do eks-ploatacji podsystemów i składników interoperacyjności.


Przy okazji przytoczenia powyższej definicji warto wyraźnie zaznaczyć, że błędne jest traktowanie jednostek notyfikowanych, które biorą udział w procesach inwestycyjnych, jak podwykonawców robót budowlanych.

Jednostki notyfikowane działają pod nadzorem krajowych organów administracji pu-blicznej. W Polsce nad prawidłową działalnością jednostek notyfikowanych czuwa Pol-skie Centrum Akredytacji oraz Prezes UTK, który udziela autoryzacji na podstawie ustawy o systemach oceny zgodności i nadzoru rynku [1] w związku z ustawą o transporcie ko-lejowym [2] i to właśnie na tym prawnym gruncie badane są działania jednostek no-tyfikowanych – odrębnym w stosunku do przepisów dotyczących udzielania zamówień publicznych [3]. Usługi związane z oceną zgodności nie mogą być realizowane przez wykonawcę czy też jego podwykonawców. Jednostka notyfikowana musi być bezstronna i niezależna od tych podmiotów, a także od zamawiającego. Przy okazji warto zwrócić uwagę na granice odpowiedzialności. Wykonawca zlecając prace swojemu podwykonaw-cy bierze za nie pełną odpowiedzialność przed zamawiającym, tak jakby sam je wykonał, natomiast w przypadku usługi weryfikacji WE realizowanej przez jednostkę notyfikowaną nie może jej wziąć na siebie, ponieważ przeczyłoby to niezależności jednostki oraz pro-wadziło de facto do samooceny.

Zamawiający nie jest wnioskodawcą wobec jednostki notyfikowanej i nie bierze bez-pośredniego udziału w procedurze weryfikacji WE, a zatem w świetle wymagań akredyta-cyjnych nie może ingerować w treść umów zawieranych pomiędzy wykonawcą a wybraną przez niego jednostką notyfikowaną. Zgodnie z SIWZ, zamawiający ma prawo do weryfi-kacji i akceptacji podstawy oceny (przedmiotu umowy).

Powyższe zasady mają również odzwierciedlenie przy zobowiązaniu dotyczącym skła-dania jednolitego europejskiego dokumentu zamówienia (JEDZ), o którym mowa w roz-porządzeniu wykonawczym Komisji (UE) [4] ustanawiającym standardowy formularz jed-nolitego europejskiego dokumentu zamówienia, do którego składania zobowiązani są wykonawcy i podwykonawcy ubiegający się o udzielenie zamówienia − obowiązek ten nie dotyczy jednostek notyfikowanych.

Wybór jednostki notyfikowanejPrzed podjęciem decyzji dotyczącej wyboru jednostki, wykonawca powinien dokonać

sprawdzenia, czy dana jednostka notyfikowana, która oferuje usługę weryfikacji WE, po-siada odpowiednie uprawnienia do przeprowadzenia oceny zgodności w wymaganym zakresie.

Pierwszym krokiem jest sprawdzenie zakresu akredytacji. Zakres ten obejmuje infor-macje dotyczące objętych akredytacją podsystemów, modułów oceny oraz wydania TSI, według których jednostka może przeprowadzać ocenę zgodności. Status akredytacji oraz aktualność zakresu akredytacji można potwierdzić na stronie internetowej PCA.

Kolejnym krokiem przed dokonaniem wyboru jednostki jest sprawdzenie, czy dana jednostka oceniająca zgodność ma status jednostki notyfikowanej. Notyfikacji dokonuje Prezes UTK po wydaniu decyzji o udzieleniu autoryzacji. Autoryzacji dokonuje również Prezes UTK. Do złożenia wniosku o udzielenie autoryzacji uprawnione są jednostki cer-tyfikujące, jednostki kontrolujące oraz laboratoria, które uprzednio uzyskały akredyta-cję Polskiego Centrum Akredytacji w zakresie umożliwiającym przeprowadzanie oceny zgodności z zasadniczymi wymaganiami dotyczącymi interoperacyjności systemu kolei dla składników interoperacyjności i/lub weryfikacji WE podsystemów strukturalnych. Po udzieleniu autoryzacji Prezes UTK notyfikuje daną jednostkę, a następnie kieruje zgło-


szenie o jej notyfikacji do Komisji Europejskiej oraz pozostałych państw członkowskich Unii Europejskiej, które mają prawo wnosić swoje uwagi w przeciągu 14 dni (jeśli jed-nostka posiada akredytację w tym zakresie) od daty notyfikacji jednostki. Po tym terminie, gdy nie wniesiono żadnych uwag, jednostka zostaje wpisana do bazy NANDO (ang. New Approach Notified and Designated Organisations) − europejskiego wykazu jednostek noty-fikowanych, który ma charakter jedynie informacyjny (zgodnie z informacją opublikowaną na stronie UTK). W przypadku jakichkolwiek wątpliwości należy zwrócić się do danej jed-nostki o potwierdzenie notyfikacji (w tym okazanie autoryzacji). W razie dalszych niepew-ności można prosić o informację UTK.

Kiedy czas na umowę?Zawarcie umowy z jednostką notyfikowaną często traktuje się drugoplanowo, a na-

wet marginalnie. Zło konieczne? Niezupełnie. Oczekiwanym przez wykonawcę wynikiem współpracy z jednostką notyfikowaną jest uzyskanie certyfikatu weryfikacji WE dla mo-dernizowanego lub odnawianego podsystemu, który poświadcza spełnienie wymogów interoperacyjności. Rzeczywistość pokazuje natomiast, że mimo realizacji projektu zgod-nie z przyjętymi wymogami nie zawsze udaje się je wszystkie spełnić. Są tego różne po-wody: od błędnej interpretacji przepisów czy braku wiedzy, do błędów, a nawet zaniedbań, których źródłem jest najczęściej czynnik ludzki. Jednostka notyfikowana, jako weryfikator, ma możliwość wychwycenia wszystkich tych niedociągnięć. Wskazanie pewnych niezgod-ności lub braków ma na celu zwrócenie uwagi na punkty newralgiczne projektu na etapie projektowania i budowy, które wskazują na niespełnienie wymogów interoperacyjności.



Wskazane przez jednostkę braki lub niezgodności nie przekreślają uzyskania przez wyko-nawcę certyfikatu. Wykonawca w trakcie oceny powinien dokonać uzupełnień oraz usunąć nieprawidłowości projektu, co otworzy mu drogę do celu – wydania certyfikatu weryfika-cji WE przez jednostkę notyfikowaną.

Kiedy już wiemy, że jednostka notyfikowana jest swego rodzaju wsparciem wykonawcy (niemającym żadnego powiązania z konsultingiem) na drodze do osiągnięcia interopera-cyjności, śmiało możemy wrócić do pytania: kiedy czas na umowę? Zamawiający zgodnie z SIWZ wymaga:• „Wykonawca jest zobowiązany podjąć współpracę z jednostką notyfikowaną na samym

początku procesu projektowania oraz poinformować Prezesa UTK o podpisaniu umo-wy z jednostką notyfikowaną, zgodnie z obowiązującymi przepisami prawa.”

Powyższe wymaganie jest jak najbardziej zasadne, ponieważ ma na celu dbałość o prawidłowy przebieg procedury weryfikacji WE. W rzeczywistości jednak nie jest to ta-kie łatwe do spełnienia. Problem dotyczy przede wszystkim inwestycji realizowanych w systemie „projektuj i buduj”, gdzie prace projektowe tylko nieznacznie wyprzedzają realizację budowy. Ze względu na złożoność procesu projektowania, który charakteryzuje się częstym wprowadzaniem modyfikacji, w przypadku przeprowadzenia oceny zgodności na tym etapie umowę zaleca się podpisać przed rozpoczęciem tego procesu. Współpraca z jednostką notyfikowaną powinna rozpocząć się od klarownego przedstawienia procesu certyfikacji: wyjaśnieniu, na czym polega ocena, jakie parametry będą poddane ocenie, na podstawie jakich przepisów oraz jakie dowody będą konieczne do przedstawienia. Im szybciej jednostka uzyska prawo do rozmowy z wnioskodawcą i projektantem, tym więk-sze jest prawdopodobieństwo sporządzenia odpowiedniej dokumentacji już od początku projektowania. Podstawą do rozpoczęcia procedury weryfikacji WE na etapie projektowa-nia, która kończy się uzyskaniem pośredniego certyfikatu weryfikacji WE (w przypadku pozytywnej decyzji certyfikacyjnej), jest posiadanie przez wykonawcę skończonej i kom-pletnej dokumentacji projektowej (projektu wykonawczego) dla samodzielnej funkcjo-nalnie części podsystemu. Oceniany projekt powinien być ostateczną wersją, na podsta-wie której wykonawca realizuje budowę. Umowę z jednostką notyfikowaną bezwzględnie należy zawrzeć przed rozpoczęciem bezpośrednich prac na gruncie. Weryfikacja projektu wykonawczego pozwoli na wyeliminowanie ewentualnych niezgodności, które mogą po-jawić się przy ocenie etapu budowy. Często naprawienie błędu na etapie budowy wiąże się z dodatkowymi kosztami i opóźnieniami w dotrzymaniu umownych terminów przez wykonawcę względem zamawiającego.

Przedmiot umowy – zakres certyfikacji i dokumenty odniesieniaPrzedmiotem umowy zawieranej przez wykonawcę z jednostką notyfikowaną jest

przeprowadzenie weryfikacji WE podsystemu, który jest wskazany przez zamawiające-go do modernizacji lub odnowienia. Weryfikacja WE zwykle zostaje przeprowadzona w odniesieniu do wszystkich części podsystemu objętych zakresem prac, uzgodnionych z wykonawcą na podstawie zapisów w SIWZ. W umowie zostaje wyszczególniony rodzaj podsystemu, jego nazwa oraz dokumenty odniesienia, które wskazują podstawę prawną wymagań, według których zostanie przeprowadzona procedura weryfikacji WE − w tym odpowiednie wydania TSI oraz Listy Prezesa (jeżeli dotyczy). Dokumenty odniesienia po-winny być opisane datą wydania oraz wyraźnie wskazywać, którego z ocenianych pod-systemów dotyczą. Nazwa podsystemu ma trafnie opisywać zakres planowanej oceny,


tak aby jasno wskazywała jego lokalizację (w tym początek i koniec). Zakres weryfikacji i ostateczna nazwa podsystemu, która zostanie umieszczona w raportach z oceny oraz na certyfikacie weryfikacji WE, już w trakcie oceny jest uszczegóławiana i uzgadniana przez obie strony – tak jak wskazuje zamawiający w SIWZ:• „Dokładny zakres weryfikacji, wynikający z zakresu robót w podsystemie, zostanie usta-

lony między Wykonawcą a jednostką notyfikowaną zaraz po podjęciu współpracy mię-dzy ww. i będzie podlegał akceptacji Zamawiającego.”

Przedmiot umowy określa także etapy weryfikacji, na których zostanie przeprowadzo-na ocena danego podsystemu. Wyszczególnia się weryfikację na etapie projektowania (projekty wykonawcze) oraz weryfikację na etapie budowy i prób końcowych (sprawdze-nia, pomiary i badania na gruncie). W przedmiocie umowy winna również znaleźć się in-formacja dot. zastosowanego modułu do przeprowadzenia weryfikacji WE. Zwykle proces oceny podsystemów strukturalnych realizowany jest według modułu SG.

Wymagania akredytacji a zapisy umowneJednostka notyfikowana ze względu na swój charakter pracy, który podlega stałej ob-

serwacji Polskiego Centrum Akredytacji, oraz ze względu na obowiązujące normy oraz wymagania akredytacyjne, często posługuje się własnym szablonem umowy dot. usługi certyfikacji, który przedstawia wnioskodawcy w celu zawarcia współpracy. Umowa o cer-tyfikację powinna uwzględniać odpowiedzialności jednostki i jej klienta wymienione w normie dotyczącej oceny zgodności [5].



Wykonawca często chce narzucić jednostce wzór umowy, który stosuje wobec swo-ich podwykonawców (o błędnym traktowaniu jednostki notyfikowanej jako podwyko-nawcy wspomniano już wcześniej) lub wprowadzić do umowy zaproponowanej przez jednostkę zapisy, które naruszają jej prawa. Głównym źródłem nieporozumień są za-pisy dotyczące stosowania przez wykonawcę wszelkiego rodzaju zabiegów kontrolu-jących działania i decyzje jednostki, oczekiwanie od jednostki konsultacji lub chęć uzyskania praw autorskich do raportów, a nawet certyfikatów. Jednostki oceniające zgodność działają jako strona trzecia i z założenia muszą być bezstronne i niezależne od zamawiającego i wykonawcy. Wykonawca nie może w żaden sposób naruszać praw jednostki notyfikowanej.

Zgłoszenie do UTK – obowiązek wykonawcyZgodnie z obowiązującymi przepisami (art. 25cb ust. 3 ustawy o transporcie kolejo-

wym [2]) wykonawca jako producent podsystemu, na rzecz którego wykonywana jest pro-cedura weryfikacji WE, jest obowiązany powiadomić Urząd Transportu Kolejowego o fak-cie wszczęcia takiej procedury w terminie 14 dni od dnia zawarcia umowy z jednostką notyfikowaną. Zgłoszenie powinno zawierać dokładne wskazanie TSI, w oparciu o które będzie przebiegać weryfikacja. Dane zgłoszenie można przesłać do UTK poprzez interak-tywny formularz dostępny na stronie internetowej UTK lub pisemnie.

PodsumowanieObecność jednostek notyfikowanych w procesie dopuszczania do eksploatacji podsyste-

mów jest kluczowa i niezbędna. Są one częścią procedur ukierunkowanych na zapewnienie bezpieczeństwa oraz interoperacyjności systemu kolejowego. Zasady współpracy wykonaw-cy z jednostką notyfikowaną powinny być jasno opisane oraz oparte o obowiązujące przepi-sy dotyczące praw i obowiązków jednostek oceniających zgodność, a traktowanie jednostki notyfikowanej jako podwykonawcy pozostaje w całkowitym oderwaniu od przepisów re-gulujących podwykonawstwo robót i usług budowlanych. Jednostka notyfikowana jest bez wątpienia niezastąpioną częścią trybów związanych z weryfikacją projektów, którą również dokonują Komisje Oceny Projektów Inwestycyjnych czy Zespoły Opinii Przedsięwzięć Inwe-stycyjnych. Podsumowując − zaufajmy jednostkom notyfikowanym.

Źródła1. Ustawa z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, tj. Dz.U.

z 2017 r., poz. 1398.2. Ustawa z dnia 28 marca 2003 r. o transporcie kolejowym, Dz.U. z 2017 r., poz. 2117 z późn. zm.3. Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, Dz.U. z 2017 r., poz. 1579.4. Rozporządzenie wykonawcze Komisji (UE) 2016/7 z dnia 5 stycznia 2016 r. ustanawia-

jące standardowy formularz jednolitego europejskiego dokumentu zamówienia, EUR-Lex − 32016R0007 – EN.

5. Norma PN-EN ISO/IEC 17065:2013-03. Ocena zgodności − Wymagania dla jednostek cer-tyfikujących wyroby, procesy i usługi.

StreszczenieKonieczność zawarcia umowy z jednostką notyfikowaną budzi nadal wiele pytań

i niejasności wśród wykonawców inwestycji modernizowanych lub odnawianych linii kolejowych. Artykuł poświęcony został istotnym kwestiom dotyczącym nawiązania tej


współpracy. Przedstawiono w nim jednostkę notyfikowaną i charakter jej pracy oraz na-świetlono ważne części umowy o przeprowadzenie weryfikacji WE.

Słowa kluczoweumowa, weryfikacja WE, jednostka notyfikowana.

SummaryThe need to conclude an agreement with a Notified Body still raises many questions

and uncertainties among contractors of investments for modernized or renewed railways. The article is devoted to important issues regarding the establishment of this coopera-tion. It presents the Notified Body and the nature of its work, and highlights important parts of the contract for EC Verification.

KeywordsAgreement, EC Verification, Notified Body.




O pewnej wizji systemów sterowania ruchem za, powiedzmy, 10 lat

Systemy sterowania ruchem kolejowym należą do krytycznych ele-mentów infrastruktury kolejowej, od których zależy bezpieczeństwo kolei. Jakość instalowanych systemów srk determinuje także prze-pustowość linii i stacji.

Warto wymienić te systemy, od których szczególnie zależy bezpieczeństwo podróżu-jących ludzi i transportowanych ładunków. Zaliczamy do nich systemy nastawcze (zależ-nościowe), blokady liniowe oraz automatyczną sygnalizację przejazdową (ssp). Również urządzenia przytorowe, w części urządzenia wykonawcze – sygnalizatory, napędy zwrotni-cowe, a także urządzenia detekcji pociągu (np. liczniki osi). Do systemów krytycznych na-leżą także systemy pokładowe i przytorowe ATP/ATC1, w tym m.in. balisy2, stacje bazowe GSM-R3, transpondery typu „indusi”4, pętle transmisji danych tor − pojazd.

Od prawie trzydziestu lat systemy te wykonywane są w technice elektronicznej – mikroprocesorowej lub na bazie komputerów przemysłowych, np. typu PLC5. Wyko-nanie systemów bezpiecznych w takiej technologii wymagało wówczas całkowicie no-

ACh


wego podejścia. Trzeba przypomnieć, że w systemie srk żaden błąd związany, na przykład, z błędem oprogramowania, zjawiskami elektromagnetycznymi czy uszkodzeniem elementów elektronicznych nie może skutkować stanem systemu, który doprowadzi do zagrożenia bezpie-czeństwa. Do najbardziej drastycznych błędnych stanów systemu należą między innymi wy-świetlenie na semaforze zamiast sygnału czerwonego – stój, sygnału zezwalającego na jazdę, jak również przestawienie się rozjazdu pod jadącym taborem. To ostatnie będzie skutkowało nieuchronnie wykolejeniem się pociągu. W przypadku pojedynczego procesora (komputera) z pojedynczym oprogramowaniem nie ma żadnej pewności, że takie lub inne niebezpieczne wydarzenie nie nastąpi. Należało zatem tak skonstruować system, aby wypracowanie niebezpiecznego stanu przez system komputerowy ograniczyć do akceptowalnego poziomu ryzyka, załóżmy − jedno niebezpieczne zdarzenie raz na milion lat.

Zatem w początkowej fazie rozwoju komputerowych systemów nastawczych wymy-ślono, że w jednym dedykowanym komputerze będą pracowały dwa różnie skonstruowa-ne programy, których wyniki obliczeń będą porównywane przez bezpieczny komparator. Oba programy musiały dawać ten sam wynik, aby można było zmienić stan urządzeń przytorowych i zezwolić na jazdę, w przeciwnym przypadku system zgłaszał błąd i prze-chodził w stan bezpieczny6. W następnym okresie ulepszono metodę zapewnienia bez-pieczeństwa przez zastosowanie pełnej dywersyfikacji, zarówno hardware’u, jak i softwa-re’u. Tak więc w dwóch komputerach (w przypadku niektórych dostawców systemów srk w trzech komputerach7) instalowano oprogramowanie, które było pisane przez niezależ-ne zespoły programistów. Sposoby kodowania8 były różne, jak również alokacja portów wyjściowych była odmienna. W następnym kroku zaczęto stosować różne systemy ope-racyjne, aby podnieść prawdopodobieństwo wykrycia błędów systematycznych w opro-gramowaniu komercyjnym komputerów. Przyjmuje się bowiem fundamentalne założenie, że nie istnieje oprogramowanie bez błędów. Kolejny krok w rozwoju systemów to wpro-wadzenie tak zwanej „gorącej rezerwy”. Cały system złożony jest, przykładowo, z dwóch zestawów komputerowych A i B, z których każdy zbudowany jest z dwóch kanałów (dwóch sterowników) wzajemnie się kontrolujących i każdy zdolny jest wykonać niezależnie tę



samą pracę. Gdy jeden z systemów faktycznie steruje ruchem, drugi pozostaje w rezerwie. Jeżeli procesem steruje system A, to w przypadku jego błędu lub awarii sterowanie pro-cesem przejmuje system B lub odwrotnie, gdy procesem sterował system B, w przypadku wykrycia problemu (niezgodności kanałów) następuje automatyczne przełączenie na sys-tem A. Jeżeli system jest zrealizowany co do zasady bezpieczeństwa dwukanałowo (dwa komputery z dwoma różnymi programami), to w przypadku gorącej rezerwy mamy cztery komputery w dwóch identycznych zestawach dwukanałowych.

Dowodzenie bezpieczeństwa dla systemów komputerowych jest trudne i wymaga zastosowania odpowiednich technik opisanych między innymi w normach EN-50126, EN-50128, EN-50129. Dodatkowym problemem jest krótki czas życia systemów kompu-terowych. Już po 5, 10 latach są one przestarzałe, a najpóźniej po 20 należy je wymienić na nowe z powodu tak prozaicznej kwestii jak brak części zamiennych, ale przede wszyst-kim ze względu na brak kompatybilności z nowymi systemami, chociażby komputerami PC, potrzebnymi do celów utrzymaniowych. Ciągłe odmładzanie sprzętu jest ekonomicz-nie nieefektywne, zwłaszcza w wielu, często małych, lokalizacjach. Proces starzenia się nie jest stabilny − czas życia standardowych systemów skraca się. Jednak najpoważniej-szym problemem ostatnich lat, związanym z wiekiem systemów, jest narastający problem bezpieczeństwa danych.

Kiedy wdrażano pierwsze systemy komputerowe wiele elementów było projektowa-nych pod kątem konkretnego zastosowania. Były one powiązane co najwyżej dedykowa-nymi systemami transmisji, nie połączonymi z globalną siecią, która w obecnym kształcie nie istniała. Brak kompatybilności ze światem zapewniał bezpieczeństwo danych.

Z biegiem czasu stosowano coraz więcej rozwiązań „z półki”, chociaż ciągle jeszcze z punktu widzenia rynkowego systemy srk tworzą pewną niedostępną, dla klasycznych automatyków i informatyków, niszę. Nowe technologie, szczególnie w telekomunikacji i teleinformatyce, wdrażane są coraz szybciej, a szybkość wprowadzania na rynek musi przecież skutkować obniżeniem jakości, wzrastającą liczbą błędów, w tym krytycznych. Nowe technologie wymuszają kompatybilność rozwiązań niszowych, przyspieszając ich śmierć techniczną.



Wygląda zatem na to, że przemysł kolejowy już został postawiony przed nowymi wy-zwaniami – konieczną zmianą dotychczasowego paradygmatu unikalności, rozumianej tu jako synonim bezpieczeństwa ruchu. Choć na razie mało się mówi o tym, że bezpie-czeństwo ruchu może być również zagrożone przez niepowołany dostęp do systemu srk, i to w dodatku z dowolnego miejsca na świecie, przez przeciętnego hakera.

Kreując wizję przyszłości systemów srk trzeba wyraźnie zdefiniować nowe założenia rozwiązujące obecne problemy, związane z bezpieczeństwem danych, szybkim moralnym starzeniem się sprzętu – koniecznością częstej aktualizacji oprogramowania i wymiany hardware’u, przede wszystkim komputerów stosowanych w systemach zależnościowych. Nowe wymagania muszą uwzględniać ciągłe naciski na obniżanie kosztów, w szczegól-ności bardzo niebezpieczne zjawisko jakim jest obniżanie kosztów utrzymania. Ponadto nowe wymagania muszą uwzględniać konieczność ustawicznego unowocześniania me-tod zabezpieczeń przed nieautoryzowanym dostępem do systemów.

A gdyby tak…Spróbujmy przeprowadzić pewien myślowy eksperyment, wychodząc nie od kom-

puterów, a od toru kolejowego i poruszającego się po nim pociągu. Idealnym rozwią-zaniem byłoby, gdyby urządzeń przytorowych srk w ogóle nie trzeba było instalować. Nie zakładamy tutaj, że będzie to „dark territory” – obszar kolejowy w ogóle pozbawiony urządzeń sterowania. System komunikacji z pociągiem dla nowego taboru mógłby być zintegrowany z taborem, tak jak to jest w przypadku obecnego ETCS. Dla starego taboru, ze względów ekonomicznych, mogłyby być instalowane autonomiczne systemy transmisji informacji z i do pociągu, częściowo zintegrowane z pojazdem (anteny oraz, ewentualnie, zawory hamowania awaryjnego).

W dobie nadmiaru różnorodnych systemów teletransmisyjnych i lokalizacji, przezna-czonych do zastosowań cywilnych, pojawia się pytanie, czy wykorzystując obecną wiedzę dotyczącą niezawodności i bezpieczeństwa nie można by zbudować efektywnego i bez-piecznego systemu srk korzystającego z sieci publicznych? Żaden pojedynczy sterownik PLC czy komputer nie jest stuprocentowo niezawodny, a zatem i nie jest bezpieczny. Nie jest także bezpieczny, ze względu na potencjalny nieautoryzowany dostęp, żaden poje-dynczy system transmisji danych. Dla przykładu, jeżeli system GSM-R przynajmniej od kil-ku lat jest przestarzały, ujawniając swoją niewydolność w dużych aplikacjach, to należy się zastanowić, czy nie jest on także przestarzały w sensie kryptograficznym – bezpieczeń-stwa danych, co może urzeczywistnić poważne zagrożenia dla bezpieczeństwa ruchu ko-lejowego. Bazując na teorii niezawodności i bezpieczeństwa, dowolny system bezpieczny możemy zbudować z odpowiedniej liczby systemów, kolokwialnie mówiąc, niebezpiecz-nych – to znaczy takich, których nie zaprojektowano jako systemy bezpieczne, czyli w któ-rych możliwe są pojedyncze błędy mogące prowadzić do zagrożenia. Można więc sformu-łować pytanie czy dedykowany do kolejowych aplikacji, choć w gruncie rzeczy otwarty, system transmisji danych nie może być zastąpiony kilkoma odpowiednio powiązanymi systemami publicznymi (także otwartymi)? Pytanie wydaje się retoryczne, a odpowiedź oczywista. Wyobraźmy sobie, że jeżeli podzielimy odpowiednio pakiety danych i zgodnie z pewnym algorytmem kryptograficznym będziemy wysyłać je różnymi drogami, a kon-kretnie wysyłać je korzystając z różnych sieci teletransmisyjnych, a następnie te pojedyn-cze pakiety na serwerze docelowym połączymy tak, aby odtworzyć pierwotną informację, to znacznie zredukujemy prawdopodobieństwo przechwycenia danych i ich manipulacji, ponieważ w żadnej sieci nie będzie kompletu potrzebnego do ich odtworzenia, a także


algorytmu ich podziału. Jeżeli taka platforma, nazwijmy ją umownie platformą integracji teletransmisji9, będzie wyposażona w odpowiednią redundancję, np. zamiast dwóch sieci wykorzystujemy cztery, to dodatkowo zwiększamy efektywność (dostępność techniczną) takiego systemu.

Kontynuując eksperyment myślowy w kontekście systemów lokalizacji wyobraźmy sobie, że mamy więcej niż jeden system pozwalający na określenie położenia. Zgodnie z wymaganiami bezpieczeństwa stosowanymi w lotnictwie10 system nawigacyjny musi dostarczać informacji o pozycji z wymaganą dokładnością lub musi generować informa-cję, że nie jest w stanie jej dostarczyć w sposób wiarygodny. To podejście jest całkowicie spójne z podejściem do bezpieczeństwa w ruchu kolejowym. Im częściej system zapewnia wiarygodną informację, tym lepiej. Na podstawie takiego podejścia można zbudować al-gorytm do oszacowania pozycji i pomiaru wiarygodności. Definiuje się miarę jakości jako wysoko wiarygodne oszacowanie górnej granicy błędu oszacowania pozycji, co nazywa się poziomem wiarygodności11. W tym przypadku poziom wiarygodności definiuje się jako błąd pozycji, który ma być mniejszy od poziomu wiarygodności, odpowiednio małego, zdefiniowanego przez użytkownika parametru.

Systemy nawigacji satelitarnej, pierwotnie do celów wojskowych, zbudowały i w prak-tyce przekazały do eksploatacji na razie dwa państwa − USA i Rosja. Unia Europejska i Chiny pracują nad własnymi systemami. System amerykański − GPS i rosyjski – GLO-NASS częściowo oddano nieodpłatnie do celów cywilnych, jednak z mniejszą dokładno-ścią. W tabeli 1 podano dokładności systemów według założeń projektowych.

Tab. 1. Dokładności poziome GPS i GLONASS według założeń projektowych

System Błąd poziomy (x, y)

50% 95%

GPS (S/A wyłączone) 7 m 18 m

GPS (S/A załączone) 27 m 72 m

GLONASS 10 m 26 m

GPS + GLONASS 9 m 20 m

Źródło: Parkinson B.W., Spilker J.J. Jr.: Global Positioning System: Theory and Applications, American Institute of Aeronautics, Inc. 1996, Volume II, s. 267.

W przypadku nawigacji satelitarnej, aby otrzymać dobry poziom wiarygodności wy-maga się widoczności przynajmniej pięciu satelitów o satysfakcjonujących wymaganiach co do geometrii i parametrach sygnału zgodnych ze specyfikacją.

BNS (ang. Beidou Navigation System)12 to chiński satelitarny system nawigacyjny, które-go dokładność wyznaczania pozycji udostępniona komercyjnym użytkownikom wynosić będzie 10 metrów, a dokładność prędkości 0.2 m/s. Przeznaczony jest on jednak dla te-rytorium Azji.

W przyszłości Europejski System Nawigacji Satelitarnej GNSS pozwoli uniezależnić się od amerykańskiego GPS czy rosyjskiego GLONASS. W ramach europejskiego systemu GNSS Galileo planowane są różne poziomy, m.in.: serwis otwarty – darmowy serwis prze-znaczony do wyznaczania współrzędnych horyzontalnych z dokładnością do 4 m, serwis bezpieczeństwa życia, serwis komercyjny – będzie oferował większą dokładność, do 0.8


m w poziomie, serwis regulowany publicznie przeznaczony dla wybranych użytkowników wymagających bardzo wysokiej dokładności i wiarygodności danych.

Możliwa jest znacząca korekta błędów w systemach nawigacji satelitarnej przez zasto-sowanie systemów różnicowych13 lub zastosowanie dodatkowych naziemnych pseudosa-telitów (pseudolitów), a także wykorzystanie dwóch systemów nawigacji satelitarnej jed-nocześnie. Literatura podaje przykłady zastosowań GPS do lądowania automatycznego samolotów Boeing. Oznacza to uzyskanie dokładności centymetrowych i odpowiednich poziomów bezpieczeństwa − prawdopodobieństwo niewykrycia błędu na poziomie 10-9. Wykorzystanie dwóch systemów nawigacji satelitarnej, np. GPS i GLONASS, przybliża nas do rozwiązania bezpiecznego – RAIM14, co daje szansę nowym możliwościom w konstru-owaniu systemów sterowania ruchem kolejowym w przyszłości (por. tabela 1). W zasto-sowaniach kolejowych możemy ograniczyć zagadnienie pozycjonowania do obliczenia dwóch współrzędnych horyzontalnych15. W przypadku zastosowań lotniczych krytyczne jest dokładne wyznaczenie pozycji w przestrzeni, a zatem potrzebne są trzy współrzędne.

Pozycjonowanie można uzyskać także metodą triangulacji, którą umożliwia telefonia komórkowa. Sygnały z 2-3 stacji bazowych pozwalają na uzyskanie przybliżonej informa-cji o położeniu obiektu. Dokładność pozycjonowania można zwiększyć korzystając z sy-gnałów z większej liczby stacji, także różnych operatorów.

Całkowicie pewną i dokładną informację o położeniu pociągu, tam gdzie wysoka dokładność jest niezbędna, można uzyskać za pomocą pasywnych balis, instalowanych wprawdzie w torach, lecz niepodłączonych fizycznie do żadnego systemu i nie wymaga-jących zasilania energią elektryczną16. Informacja w centralnym systemie o położeniu po-ciągu może znaleźć się za pomocą transmisji radiowej, metodami omówionymi powyżej.

Kolejnym pytaniem, jakie należy zadać jest, w jaki sposób ma się odbywać regulacja następstwa pociągów, gdy linie nie są wyposażone w urządzenia przytorowe. Przydat-na wydaje się być koncepcja berła elektronicznego. Logika berła wirtualnego oznacza, że generuje się dla każdego pociągu wiadomość charakterystyczną (niepowtarzalny numer) wymienianą z pociągiem, umożliwiającą wjazd na określony odcinek linii. Berło



może być przydzielane dla danego odcinka globalnie przez centralny serwer zależno-ściowy i przesyłane drogą radiową. Serwery zależnościowe, w tej wizji przyszłości, będą instalowane dla znacznego obszaru sterowania ruchem kolejowym. Urządzenia wyko-nawcze, takie jak napędy w rozjazdach, będą podłączone jedynie do „przezroczystych” urządzeń wejścia – wyjścia, bez jakiejkolwiek logiki zależnościowej. Rozkaz przestawienia rozjazdu przekazywany będzie wieloma drogami w celu uzyskania niezbędnego poziomu bezpieczeństwa. Koncepcja kilku serwerów centralnych umożliwi łatwą aktualizację zarówno softwere’u, jak i wymianę modułów elektronicznych, a także umożliwi wynajęcie wysokiej klasy specjalistów do całodobowego nadzoru i utrzymania.

Kolej nie jest jedynym użytkownikiem systemów bezpiecznych. Z bezpieczeństwem systemów mamy do czynienia również w innych branżach, przede wszystkim w aeronau-tyce i lotnictwie. Przyszłość systemów sterowania ruchem kolejowym będzie wyznaczona faktem, jak szybko firmy kolejowe będą się uczyć od innych. Stany systemów określone jako bezpieczne mogą być w przypadkach zastosowań pozakolejowych inaczej definiowa-ne, lecz metody zapewnienia bezpieczeństwa będą podobne. Spojrzenie na inne branże, wykorzystanie ich osiągnięć, będzie z pewnością warunkiem niezbędnym przystosowania się do coraz większej dynamiki zmian technologicznych w najbliższych latach. Koniecz-ność przewartościowań dotyczyć będzie zarówno samej kolei, jak i firm wytwarzających urządzenia sterowania ruchem. Obecny paradygmat nie będzie do obronienia.

Korzystając z otwartych sieci publicznych – telefonii komórkowej oraz systemów na-wigacji satelitarnej, dla zdefiniowanego uprzednio czasu następstwa pociągów, można zbudować system bezpieczny, legitymujący się poziomem bezpieczeństwa SIL-417. Ko-nieczna jest jednak odpowiednia redundancja. Odpowiednią nadmiarowość, poprawia-jąc jednocześnie dokładność, w systemach pozycjonowania mogą zapewnić dodatkowe naziemne „radiolatarnie” (pseudolity). Bezpieczne wykorzystanie publicznej infrastruktu-ry telekomunikacyjnej, nasyconej stacjami bazowymi – BTS18, jest już dziś możliwe po-przez zastosowanie metody jednoczesnego przesyłania informacji poprzez sieci należące do różnych operatorów.



Przypisy1 ATP/ATC – ang. Automatic Train Protection/Automatic Train Control – systemy pokładowe

i przytorowe oddziaływania tor − pojazd.2 Balisa – płaska antena – transponder instalowany w osi toru, służy do transmisji da-

nych z toru do pojazdu.3 GSM-R – ang. GSM for Railways, system oparty na standardzie GSM dostosowany do po-

trzeb kolei. Oprócz transmisji głosu jest głównym medium transmisyjnym przesyłania danych ruchowych z toru do pojazdu w systemie ERTMS poziom 2.

4 Indusi – system opracowany pierwotnie w Niemczech, szeroko stosowany na niektó-rych kolejach, na sieci DB znany jako PZB (punktowe oddziaływanie tor – pojazd). W Polsce stosowany jest jeden element tego systemu pod nazwą SHP (samoczynne hamowanie pociągu).

5 PLC – ang. Programmable Logic Controller – programowalny sterownik przemysłowy.6 Stan bezpieczny – wszystkie sygnalizatory ustawione na stój lub przynajmniej ciemne.7 Gdy stosuje się system trzykanałowy wystarczy aby dwa wyniki obliczeń dwóch kana-

łów były zgodne.8 Dywersyfikacja w sposobie kodowania może być realizowana np. poprzez zastosowa-

nie odmiennej postaci wewnętrznych słów w procesorze – najprostsza metoda to za-negowanie wszystkich bitów oraz lustrzane odbicie znaczenia poszczególnych bitów w słowie w kanale B w stosunku do kanału A. Ma to na celu eliminację systematycz-nych błędów w elementach elektronicznych.

9 Takie systemy zostały już skonstruowane i zastosowane w innych branżach.10 Parkinson B.W., Spilker J.J. Jr.: Global Positioning System: Theory and Applications, Ameri-

can Institute of Aeronautics, Inc. 1996, Volume II, s. 268.11 Sformułowanie poziom wiarygodności − ang. Integrity level – w zależności od kontek-

stu może być tłumaczone jako „poziom bezpieczeństwa”. W kolejnictwie operuje się skrótem SIL – ang. System Integrity Level, np. SIL-2.



12 System Beidou (Wielka Niedźwiedzica) będzie złożony z 5 satelitów geostacjonarnych i 30 poruszających się po orbitach o średniej wysokości i przeznaczony będzie zarów-no do użytku wojskowego, jak i cywilnego.

13 Takim systemem jest EGNOS − ang. European Geostationary Navigation Overlay Service – wybudowany przez Europejską Agencję Kosmiczną, Komisję Europejską i EUROCON-TROL. Jest to europejski system satelitarny wspomagający systemy GPS i GLONASS, a w przyszłości Galileo. Najważniejsze zadania to transmisja poprawek różnicowych i informowanie o awariach systemu GPS. System znacznie zwiększa dokładność i wia-rygodność pozycji uzyskiwanej z GPS. Segment naziemny systemu składa się z 34 sta-cji pomiarowo-obserwacyjnych. Jedna z tych stacji znajduje się w Warszawie.

14 RAIM – ang. Receiver Autonomous Integrity Monitoring – odbiornik zdolny do wykrywa-nia błędów prowadzących do błędnych wskazań (poza tolerancją).

15 Z tego powodu pominięto w artykule błędy wyznaczania pozycji w pionie. Błąd ten nota bene jest znacznie większy od błędów oszacowania pozycji w poziomie.

16 Energia do wysłania wiadomości do pociągu pozyskana jest z energii fali elektroma-gnetycznej wysyłanej przez antenę umieszczoną pod ramą pojazdu.

17 SIL-4 – ang. System Integrity Level − poziom nienaruszalności bezpieczeństwa, liczba która wskazuje stopień zaufania, że system spełni określone funkcje bezpieczeństwa w odniesieniu do uszkodzeń systematycznych. Nienaruszalność bezpieczeństwa jest określona jako jeden z czterech poziomów. Najwyższy poziom nienaruszalności bez-pieczeństwa to poziom 4. Najniższy – 1. Poziom 0 oznacza, że nie ma wymagań doty-czących bezpieczeństwa. Źródło: PN-EN 50129: Zastosowania kolejowe. Systemy łączno-ści, przetwarzania danych i sterowania ruchem. Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem.

18 BTS – ang. Base Transceiver Station – stacja naziemna telefonii komórkowej. Podstawą filozoficzną systemu GSM jest struktura komórkowa. Każda komórka posiada jedną stację bazową − BTS. Stacje bazowe komunikują się ze stacjami ruchomymi (użytkow-nikami) i łączą użytkowników z częścią stałą systemu i dalej z innymi sieciami.




StreszczenieAutor opisuje sposoby zapewnienia bezpieczeństwa ruchu kolejowego w dobie kom-

puteryzacji i podłączenia wszystkich komputerów do globalnej sieci. Zwraca uwagę na wprowadzanie już przestarzałego systemu GSM-R, niewydolnego w dużych aplika-cjach, nie gwarantującego „odporności” na ataki hakerskie.

W artykule autor kreśli wizję przyszłości bezpieczeństwa sterowania ruchem kole-jowym w oparciu o lokalizację pociągu z wykorzystaniem danych z co najmniej dwóch powszechnie dostępnych systemów nawigacji satelitarnej, pozwalających na określenie położenia pociągu z wymaganą 62-dokładnością i z wykorzystaniem berła elektronicz-nego przydzielanego dla danego odcinka globalnie przez centralny serwer zależnościo-wy drogą radiową. Zdaniem autora, korzystając z otwartych sieci publicznych – telefonii komórkowej oraz systemów nawigacji satelitarnej, dla zdefiniowanego uprzednio czasu następstwa pociągów, można zbudować system bezpieczny, legitymujący się poziomem bezpieczeństwa SIL-4.

Słowa kluczowe bezpieczeństwo ruchu kolejowego, GSM-R, systemy nawigacji satelitarnej, publiczna

telefonia komórkowa, poziom bezpieczeństwa SIL-4.

SummaryThe author describes the ways to ensure the safety of railway traffic in the era of com-

puterization and connection of all computers to the global network. It draws attention to the introduction of the already obsolete GSM-R system, which is inefficient in large applications and does not guarantee „resistance” to hackers’ attacks.

In the article, the author outlines a vision of the future of railway traffic control safety based on the location of a train using data from at least two widely available satellite na-vigation systems, allowing to determine the location of a train with the required accuracy, using an electronic sceptre assigned for a given section globally by a central dependency server via radio. According to the author, using public open networks - mobile telephony and satellite navigation systems - for a predefined time of train sequences, it is possible to build a safe system with a safety level of SIL-4.

KeywordsRailway traffic safety, GSM-R, Satellite navigation systems, Public mobile telephony,

SIL-4 safety level.


Notatki:

STEROWANIE RUCHEM KOLEJOWYM -...

Documents

Transcript of STEROWANIE RUCHEM KOLEJOWYM -...