Klucz do bezpieczeństwa. Materia czy informacja? Cz. 7

Łączność stacja i tory – pociąg

Wszystkie działania posterunków ruchu wieńczy przekazanie decyzji załodze pociągu o możliwości jazdy, maksymalnej prędkości w głowicy stacyjnej albo konieczności zatrzymania się. Podstawą jest system sygnalizacji i semafory, na których odpowiednie sygnały nastawia dyżurny ruchu. Wciąż najczęściej decydującym ogniwem jest maszynista i poprawne odczytanie przez niego sygnału na semaforze lub innym urządzeniu sygnalizacyjnym oraz informacji/ostrzeżeń na licznych wskaźnikach. Pominięcie semafora wskazującego „stój” jest takim zagrożeniem, że nawet jeżeli nie ma żadnych skutków, prowadzi się postepowanie wyjaśniające. Wszystkie nowoczesne złożone i niezwodne urządzenia są niewiele warte, jeżeli końcowy efekt – czyli sygnał – zostanie zignorowany. W tym miejscu postęp przebiegał w Polsce stosunkowo wolno. Jeszcze w latach 80. XX wieku, gdy radiotelefon nie był przecież szczytem nowoczesności, nie było radiołączności obejmującej załogi pociągów i służby ruchu. Nie było żadnej możliwości kontaktu innego niż sygnały na semaforach i syreny lokomotyw. Gdy z do dziś nieznanych przyczyn w Otłoczynie w 1980 roku pociąg towarowy ruszył ze stacji pomimo sygnału stój, wjechał na lewy tor (bo tak akurat były ustawione zwrotnice) i jechał na zderzenie z pociągiem pasażerskim, dyżurny ruchu mógł rozmawiać z dróżnikami przejazdowymi i z dyżurnym sąsiedniej stacji, ale nie miał możliwości kontaktu z maszynistami. Nawet jeśli ten maszynista, którego zachowanie do dziś pozostaje niewyjaśnione (poza zmęczeniem ponad 25 godzinami pracy na lokomotywie), nie reagowałby, to ostrzeżenie drugiego maszynisty pozwoliłoby uniknąć lub zmniejszyć skalę katastrofy, w której zginęło 67 osób (najwięcej w Polsce, nie licząc czasów wojny). Szkoda, że dopiero ta katastrofa zainspirowała PKP do instalacji sytemu radiołączności na lokomotywach i posterunkach, w kilku pasmach częstotliwości, bez kodowania. Wjazd na odcinek obsługiwany pewną częstotliwością jest oznaczony wskaźnikiem z numerem kanału (pasma), który maszynista powinien ustawić. Następnie maszynista powinien nawiązać (dla sprawdzenia) łączność z pierwszym posterunkiem na tym odcinku.

Wcześniej wprowadzono system kontrolujący czujność maszynistów. Przy torze w wybranych miejscach montowane są obwody (cewki) o określonej częstotliwości rezonansowej, bez zasilania (bierne), natomiast na lokomotywach generatory pola magnetycznego, które w chwili, gdy znajdą się ponad tym urządzeniem przytorowym, wykrywają jego obecność dzięki zmianie indukcji magnetycznej spowodowanej tym obwodem. Uruchamiają wówczas brzęczek w kabinie maszynisty, a przy braku reakcji (naciśnięcia przez maszynistę przycisku czuwaka) w ciągu kilku sekund uruchamiają samoczynne hamowanie. Jest to skuteczne badanie przytomności maszynisty, ale niekoniecznie poprawnej reakcji na sygnały. Niewiele bardziej kosztowny byłby system Indusi wprowadzany w Niemczech. Podobne bierne urządzenie przytorowe może przyjmować dwie częstotliwości rezonansowe, przełączane obwodem zasilonym z tarczy ostrzegawczej semafora, która znajduje się w odległości drogi hamowania od tego semafora. Tym sposobem urządzenie na lokomotywie może wykryć stan tarczy i semafora, a układy na lokomotywie sprawdzają nie tylko to, czy maszynista czuwa, ale także czy uruchomił hamowanie. Jeżeli semafor wskazuje „stój”, a maszynista nie hamuje, włącza się hamowanie samoczynne. Jednak spółka PKP pominęła ten etap, a obecnie instalowany jest stopniowo bardziej rozbudowany, ale i wymagający system ETCS. W praktyce współpracuje on z urządzeniami komputerowymi, wyposażenie lokomotywy w odpowiedni usprzętowienie taboru jest kosztowne, a więc procesy wdrożeniowe będą zapewne trwać latami.

Specyfiką (w pozytywnym tego słowa znaczeniu) kolei w Polsce jest system radio-stop. Wykorzystuje on klasyczny system radiołączności i nie wymaga instalowania kosztownych urządzeń. Aparaty nadawczo-odbiorcze radiołączności są wyposażone w możliwość nadania kombinacji tonów (sygnału „alarm”) oraz wykrywania tej kombinacji tonów. Do nadania sygnału radio-stop służy charakterystyczny, zaplombowany, czerwony przycisk na lokomotywach i w nastawniach. Jego zasięg jest taki, jak obszar zastosowania określonej częstotliwości radiołączności (obejmuje on odcinek kilkudziesięciu kilometrów linii kolejowej). Sygnał radio-stop może być nadany przez każdego maszynistę i każdy posterunek. Odebranie sygnału powoduje automatycznie włączenie hamowania, a więc unieruchamia wszystkie pociągi na odcinku kilkudziesięciu kilometrów. Kilka razy w roku zdarza się, że dyżurny ruchu, widząc pociąg mijający sygnał „stój”, a czasem wręcz zmierzający ku zderzeniu z innym pociągiem, zapobiega katastrofie, zatrzymując pociągi sygnałem radio-stop. Znanych jest kilka przypadków, gdy dzięki temu rozwiązaniu uniknięto poważnych katastrof. Skutki zastosowania sygnału radio-stop są radykalne, bo zatrzymanie – bez udziału maszynisty – obejmuje nie tylko pociągi zmierzające do kolizji. Przyciski są plombowane, a więc wiadomo, kto danego przycisku użył i na ile jego zastosowanie wpisuje się w legalne użytkowanie systemu. Generalnie zakłada się, że dyżurni i maszyniści nie powinni nadmiernie obawiać się odpowiedzialności i gdy mają wątpliwości, czy data sytuacja jest bezpieczna, powinni decydować się na użycie przycisku. Problemem nie jest jednak nadużywanie przycisku radio-stop przez osoby uprawnione. Prostota, analogowy charakter sygnału i częstotliwości, dla których skonstruowanie odpowiedniego nadajnika z dostępnych materiałów jest czynnością prostą nawet dla radioamatora, czynią ten element systemu sterowania ruchem i łączności bardzo podatnym na ingerencje zewnętrzne. Z drugiej strony wykrycie ludzi niefrasobliwych, którzy w ramach szkolenia lub testowania taboru w warsztatach zatrzymali ruch na pobliskiej linii kolejowej, osób specyficznie dowcipnych, robiących to dla rozrywki, ale też – w przypadku masowych działań na pewnym obszarze, które paraliżują ruch – po prostu dywersantów, nie jest łatwe. Radiolokacja nie ma zbyt wiele czasu. Nie wiadomo, czy odnotowano użycie systemu radio-stop przez złodziei, którzy chcieli na chwilę zatrzymać pociąg, aby móc ukraść węgiel. Wadą jest brak kodowania i „podpisu” określającego źródło sygnału oraz możliwości jego dokładniejszego adresowania. Nadużycie systemu radio-stop nie generuje ryzyka zderzenia itp., ale każda sytuacja, w której pojawia się zbyt dużo fałszywych alarmów, sprawia, że w końcu alarmy te są na różnych szczeblach ignorowane. Mimo wszystko to rozwiązanie jest przedmiotem zazdrości kolei zagranicznych.

Postęp w zakresie komputeryzacji urządzeń sterowania ruchem i równoczesny rozwój łączności bezprzewodowej i zarazem mobilnej (znanej każdemu telefonii komórkowej) – przekazującej nie tylko dźwięk i rozmowę, ale dowolnie skomplikowane dane – umożliwiły skokową zmianę w zakresie możliwości przekazania sygnału z semafora i wielu innych informacji na pokład lokomotywy. Balisy przekazujące zdecydowanie więcej niż alarmowy nakaz zatrzymania jak radio-stop czy stan najbliższego semafora jak Indusi lub bardziej złożone systemy przekazujące szerszą informację nadal działają punktowo. Jeżeli jest to tylko przeniesienie sygnału do kabiny maszynisty, ale bez oddziaływania automatycznego, to takie rozwiązania w niewielkim stopniu podwyższają bezpieczeństwo. Jeżeli wymuszają hamowanie jak ETCS poziomu 1, to… zmniejszają przepustowość linii kolejowych. Informacja o tym, że za 1 km jest semafor wskazujący „stój”, która wymusza hamowanie, może być uchylona dopiero pod tym semaforem, gdzie będzie kolejna balisa (chyba że balisy te są rozmieszczane gęściej, co zwiększa koszty). Jeżeli sygnał zmieni się na „wolną drogę” zaraz po minięciu przez pociąg tarczy ostrzegawczej i balisy, to hamowanie i tak się rozpocznie (pomimo że już kilkaset metrów przed semaforem zmiana będzie widoczna i gdyby nie automatyzm hamowania, to można by powracać do pełnej prędkości). Pociąg pojedzie dłużej i w dodatku zwolni odstęp dla kolejnego pociągu z niepotrzebnym opóźnieniem. Sekundowe opóźnienie w pokazaniu sygnału „wolna droga” przekształca się w ponad minutowe opóźnienie pociągu. Pierwszym sposobem nadania przekazowi charakteru ciągłego były pętle indukcyjne – para przewodów na całej długości toru. Były one jednak kosztowne i podatne na kradzieże, a zatem mogły być stosowane raczej w metrze, gdzie dostęp osób postronnych jest zdecydowanie ograniczony.

Rozwiązanie radykalne przynosi ETCS (od ang. European Train Control System) poziomu 2, który do przekazywania danych pomiędzy pociągiem a systemem sterowania ruchem wykorzystuje system łączności GSM-R (identyczny jak ten wykorzystywany w tradycyjnej telefonii komórkowej, ale oddzielony od sieci komercyjnych). Niestety jego przepustowość jest niska, bo standard ustanowiono dawno, natomiast wymogi dot. ciągłości działania i niezawodności są bardzo wysokie. Przy stosowaniu ERTMS (czyli ETCS + GSM-R) systemy komputerowe odgrywają znacznie większą rolę niż kontrola uzależnień w obrębie stacji. Do systemu komputerowego na bieżąco wprowadzane są dane o sytuacji odpowiadające sygnałom na semaforach, a ponadto można tam także umieścić nawet dane o doraźnych ograniczeniach prędkości. Balisy służą głownie do przekazywania informacji o lokalizacji pociągu. Taki system zasadniczo współpracuje z komputerowymi urządzeniami na stacjach, a jego połączenie ze starszymi technologiami jest wątpliwe. Jeżeli wszystkie pociągi są odpowiednio wyposażone, można zrezygnować z semaforów.

Oznacza to, że sprawność, ale i bezpieczeństwo ruchu kolejowego zależą przede wszystkim od komputerów i ich oprogramowania. Dobrze zaprogramowane urządzenia są całkowicie bezpieczne, ale też problemy wspomniane już w puncie dotyczącym drogi przebiegu występują w nich ze zdwojoną siłą. Wypracowanie zasad udostępniania struktur sprzętu i oprogramowania oraz wytworzenie własnej kompetencji w tym zakresie przez zarządcę infrastruktury wydaje się więc nieodzowne.

Systemy komputerowe pracujące w centrach sterowania ruchem kolejowym nie są tak podatne na zewnętrzne ingerencje jak przeciętny komputer podłączony do Internetu i korzystający z wielu aplikacji różnego pochodzenia. Jednak nawet przeciętny użytkownik Windowsa jest świadom, że autorzy złożonych systemów sami nie są w stanie do końca panować nad ich rozwojem i powstawaniem zagrożeń, o czym świadczy konieczność dość częstych aktualizacji likwidujących błędy. Eliminacja błędów w systemach kolejowych czasami powoduje wielogodzinne przerwy w ruchu. W miarę zwiększania liczby osób pracujących nad oprogramowaniem pojawia się także zagrożenie wewnętrzne. Do dziś nie wyjaśniono do końca sprawy dotyczącej komputerów pokładowych pociągów firmy NEWAG – istnieje tam istotne podejrzenie włączenia do oprogramowania procedur nieujawnionych nabywcy, a wymuszających skorzystanie z usług serwisowych sprzedawcy. Ustalenie tego, czy i kto za to odpowiada, okazuje się skomplikowane. Analogiczny problem w systemach sterowania ruchem jak na razie nie został odnotowany, ale koszty niektórych urządzeń oraz trudności przy łączeniu systemów różnego typu pokazują, że w tej branży pogłębia się monopolizacja. Jakże dalece te rozwiązania odbiegają od czasów ogólnie odstępnych schematów i albumów rysunków technicznych każdego elementu systemów elektromechanicznych i przekaźnikowych.

Dr inż. Tadeusz Syryjczyk
Przedsiębiorca, minister przemysłu w rządzie Tadeusza Mazowieckiego, minister transportu
i gospodarki morskiej w rządzie Jerzego Buzka, partner w Zespole Doradców Gospodarczych TOR