Bezpieczeństwo systemów sterowania ruchem kolejowym zapewnia odpowiednio dobrana technologia.
System sterowania ruchem kolejowym (srk) jest odpowiedzialny za bezpieczny ruch pociągów po sieci kolejowej, tzn. wykluczający ich niekontrolowane przemieszczanie się oraz kolizje. Z technicznego punktu widzenia jest to zbiór urządzeń komputerowych, przekaźnikowych czy mechanicznych. W technice srk można wyróżnić m.in. systemy stacyjne (sterujące przemieszczaniem się pojazdów w obszarze pojedynczego posterunku ruchu lub wielu powiązanych posterunków), systemy liniowe (kontrolujące poprawną sekwencję przemieszczania się pojazdów między posterunkami – stacjami) czy systemy specjalnego przeznaczenia. Wymienione systemy komunikują się między sobą za pomocą standardów transmisji zamkniętej i otwartej, tworząc sieci komputerowe. Systemy sterowania ruchem kolejowym mają budowę hierarchiczną. Dyspozytorzy i dyżurni ruchu kontrolują i sterują ruchem pociągów w całym obszarze (np. poprzez centra dyspozytorskie), mając podgląd na monitorach o sytuacji ruchowej na szlaku i na poszczególnych stacjach. Nowoczesne centrum dyspozytorskie produkcji Kombud SA w Radomiu pokazano na fot. 1.
Fot. 1 Nowoczesne centrum dyspozytorskie produkcji Kombud w Radomiu
Warunki ruchowe wymagają nadzoru i operatywnego kierowania systemem. Przyjęcie hierarchicznej struktury kierowania w połączeniu z odpowiednim kierowaniem powoduje wprowadzenie dodatkowych procesów związanych z wymianą informacji o ruchu, dokumentacją i archiwizacją zdarzeń oraz wydawaniem poleceń specjalnych. Strukturę hierarchiczną i główne zadania systemu kierowania ruchem przedstawia rys. 1.
Rys. 1 Struktura hierarchiczna głównych zadań systemu sterowania ruchem
Rozwój technik komputerowych oraz ich implementacja w zastosowaniach kolejowych spowodowały pojawienie się wielu rozwiązań opartych na technice mikroprocesorowej. Zastosowanie nowoczesnych technik pozwala na autodiagnostykę, rejestrację uszkodzeń i ułatwienia w obsłudze urządzeń. Według raportu PLK za 2012 r. komputerowe systemy sterowania ruchem kolejowym zainstalowane były w 126 okręgach nastawczych (w 2008 r. było 68 takich okręgów nastawczych), a skrzyżowania dróg kolejowych i drogowych były wyposażone w 902 nowoczesne systemy komputerowe (w 2008 r. było 859 takich systemów). Widać zatem znaczący wzrost liczby zainstalowanych nowoczesnych systemów srk.
Priorytetowym zadaniem przy wprowadzaniu nowych urządzeń sterowania ruchem kolejowym jest zachowanie odpowiedniego poziomu bezpieczeństwa. Zgodnie z klasyfikacją UIC (ang. International Union of Railways) i CENELEC (fr. Comité Européen de Normalisation Electrotechnique) dla systemów kolejowych wprowadzono cztery poziomy bezpieczeństwa systemu SIL (ang. Safety Integrity Level). W Polsce, podobnie jak w innych państwach Unii Europejskiej, poszczególne systemy srk zostały przyporządkowane do poziomów bezpieczeństwa. Dwa najwyższe poziomy (SIL 3 i 4) oznaczają, że w konsekwencji błędu systemu może dojść do śmierci człowieka lub utraty zdrowia. Systemy odpowiedzialne za prowadzenie pociągu na szlaku kolejowym lub stosowane na skrzyżowaniach dróg kolejowych z samochodowymi należą do najwyższego 3 i 4 poziomu bezpieczeństwa. Nowo projektowany i wprowadzany do eksploatacji system musi posiadać certyfikaty bezpieczeństwa. W tym celu wprowadza się odpowiednie procedury analizy systemu. Obecnie podstawowym liczbowym kryterium oceny systemu jest wskaźnik THR (ang. Tolerable Hazard Rate). Podany wskaźnik został określony w następujący sposób
gdzie: li – intensywność uszkodzeń dla kanału i, tdi-1 – czas reakcji systemu na błąd od czasu powstania dla kanału i.
Wskaźnik ten uwzględnia takie parametry, jak: czas reakcji systemu na błąd od czasu wykrycia, czas reakcji systemu na błąd od czasu powstania, czas cyklicznego testowania elementu systemu. Dla systemów z poziomu 3 i 4 wskaźnik ten przyjmuje wartości pokazane w tabeli.
Tabl. Wartości THR dla poziomu SIL 3 i 4
THR (na godzinę na funkcję) |
SIL (Safety Integrity Level)
|
10-9 ≤ THR < 10-8
|
4
|
10-8 ≤ THR < 10-7
|
3
|
Jak widać ze wzoru, dla systemów wielokanałowych o wartości THR decyduje relatywnie niska wartość czasu diagnostyki (dla systemów omawianych w dalszej części jest to ok. 1 s). W systemach z jednym kanałem przetwarzania wartość THR odpowiada intensywności uszkodzeń l. W takim przypadku osiągnięcie odpowiedniego poziomu THR (SIL 3 i 4) jest praktycznie bardzo trudne do uzyskania.
Koncepcja bezpiecznych systemów komputerowych stosowanych w kolejnictwie zakłada bardzo małą liczbę usterek, co przy całkowitej niezależności kanałów przetwarzania (2 lub 3) gwarantuje znikome prawdopodobieństwo wystąpienia usterki podwójnej lub wielokrotnej – decydującej o uszkodzeniu katastroficznym. W obecnie stosowanych systemach komputerowych zastosowano nadmiarowość na poziomie sprzętu i oprogramowania oraz samotestowanie, co wprowadziło wielokanałowe, nadmiarowe przetwarzanie danych. Zarys dwukanałowego przetwarzania przedstawia rys. 2.
Rys. 2 Zarys dwukanałowego przetwarzania danych
Rysunek 3 pokazuje ogólną strukturę współczesnego systemu zarządzania i sterowania ruchem kolejowym.
Rys. 3 Ogólna struktura współczesnego systemu zarządzania i sterowania ruchem kolejowym
System nadrzędny
System nadrzędny jest to zbiór odpowiednio skonfigurowanych i oprogramowanych urządzeń wspomagających pracę dyspozytora i realizujących funkcje niezbędne dla właściwej kontroli dyspozytorskiej, przy jednoczesnym spełnieniu wszystkich wymagań formalnych i technicznych stawianych tego typu systemom. Oprócz funkcji śledzenia i kierowania ruchem system ten ma za zadanie także wykrywanie konfliktów, a w razie potrzeby korekcję ruchu. Integracja systemów na poziomie centrum sterowania pozwala na wykonanie, analizę, podgląd i przesył wszelkich informacji oraz realizację zadań związanych ze sterowaniem i nadzorowaniem ruchu. W systemie z rys. 3 funkcję systemu nadrzędnego spełnia pulpit komputerowy EbiScreen. Pełni on funkcję interfejsu między operatorem a systemem zależnościowym. EbiScreen jest systemem sterowania miejscowego i zdalnego, zrealizowanym na komputerach przemysłowych.
Kolejnym przykładem systemu nadrzędnego jest ILTOR-2. Jest to system nadrzędny, bezpośrednio pracujący z systemem SIMIS (system ten, produkcji firmy Siemens, jest zainstalowany m.in. na stacji Żywiec). System ILTOR-2 jest wielofunkcyjnym systemem komputerowym stworzonym do kompleksowego sterowania i nadzorowania ruchem kolejowym na odcinkach obejmujących wiele posterunków ruchu. ILTOR-2 działa w czasie rzeczywistym. W celu zwiększenia niezawodności zastosowano konfigurację sprzętową i oprogramowanie pozwalające na zapewnienie dostępności systemu w przypadku uszkodzenia niektórych komputerów. ILTOR-2 jest komputerowym systemem rozproszonym o budowie modułowej. Większość modułów tego systemu może pracować samodzielnie. W system ILTOR-2 wchodzą następujące podsystemy:
– ILTOR-ZS, zdalne i miejscowe sterowanie ruchem kolejowym;
– ILTOR-KR, kierowanie ruchem;
– ILTOR-DIAG, system diagnostyczny.
Na rys. 4 przedstawiono strukturę warstwową systemu ILTOR-2. Struktura składa się z następujących warstw:
– Centrum Kierowania Ruchem (CKR),
– Lokalne Centrum Sterowania (LCS),
– Obiekty Sterowane (OS).
Rys. 4 Struktura warstwowa systemu ILTOR-2
System ten może być stosowany zarówno w wersji przeznaczonej do zainstalowania na pojedynczym posterunku ruchu, jak również jako system obsługujący wiele posterunków ruchu na odcinku linii kolejowej. ILTOR-2 może być w zakresie funkcjonalności dostosowany do realizacji funkcji indywidualnych użytkownika. System został tak skonstruowany, aby każdorazowa konfiguracja systemu, lokalizacja poszczególnych urządzeń oraz połączenia między nimi mogły być projektowane indywidualnie. Komputery w systemie połączone są siecią komputerową wykonaną w standardzie ETHERNET w technologii 10/100/1000 BaseT, w której skład wchodzą skrętka lub światłowody. W przypadku komputera centralnego pracuje on w konfiguracji gorącej rezerwy. Obydwa komputery mają taką samą konfigurację. Urządzenia sieciowe posiadają odpowiednią sygnalizację w celu diagnozowania stanu działania.
Systemy scentralizowane
Systemy scentralizowane stanowią n-kanałową (przeważnie 2 lub 3) strukturę wielomodułową o odpowiednio dobranej konfiguracji, realizującą w czasie rzeczywistym funkcję nastawiania przebiegów zgodnie z obowiązującymi wymaganiami bezpieczeństwa. Bezpieczeństwo takich systemów zapewnia odpowiednio dobrana technologia, w tym struktura oprogramowania, realizująca zasadę fail-safe*. Ze względów bezpieczeństwa stosuje się konfigurację sprzętową umożliwiającą porównywanie wyników, najczęściej „2z2”. Odpowiedni poziom bezpieczeństwa można uzyskać przez zastosowanie jednego komputera głównego i tzw. gorącej rezerwy, wprowadzając odpowiednie oprogramowanie (przetwarzanie dwóch różnych programów napisanych przez różne zespoły). Systemy scentralizowane należą do grupy urządzeń stacyjnych.
SIMIS-W
Nowoczesnym systemem scentralizowanym zainstalowanym w stacji Żywiec jest system SIMIS-W (Sicheres Mikrocomputersystem von Siemens für den Weltmarkt). System ten należy do generacji elektronicznych urządzeń nastawczych firmy Siemens. Zainstalowany w Żywcu system SIMIS-W pracuje w układzie konfiguracji „2z3”. Poziom zależnościowy realizuje podstawowe funkcje przetwarzania i sterowania. Jednostka CPU zainstalowana w systemie przyjmuje polecenia nastawcze wydawane przez obsługę, następnie przetwarza je i przekazuje dalej do pakietów transmisyjnych: wejścia – INOM, i wyjścia – UNOM. Z pakietów wejście/wyjście przetworzone polecenia i meldunki przekazywane są przez dwukanałowe linie transmisji danych do/z urządzeń zewnętrznych, np. zwrotnica, semafor. Dane wejściowe przetwarzane są przez trzy komputery jednocześnie, a następnie są porównywane z wynikami dwóch pozostałych. W wyniku niezgodności danych jednego z komputerów zostaje on odłączony, a pozostałe dwa kanały zapewniają prawidłowe funkcjonowanie modułu. Przykładową konfigurację urządzeń pokazuje rys. 5.
Rys. 5 System SIMIS, konfiguracja „2z3”
Do transmisji informacji stosowane są dwa różne systemy magistrali. W przypadku wystąpienia uszkodzenia komponentu systemu następuje reakcja lokalizacji uszkodzenia przez komputer serwisująco-diagnozujący. Na fot. 2 pokazano wybrane elementy systemu SIMIS-W zainstalowanego na stacji Żywiec.
Fot. 2 Elementy systemu SIMIS-W, stacja Żywiec
Ebilock 950
Dużym systemem scentralizowanym pracującym na kolejach polskich jest system Ebilock 950 (rys. 3). Podstawą systemu Ebilock 950 zamontowanego na stacji Częstochowa Stradom jest rodzina nowoczesnych elektroniczno-komputerowych sterowników obiektowych STC opracowanych w Bombardier Transportation ZWUS, dzięki czemu cała aparatura komputerowa może znajdować się w jednym miejscu. Z punktu widzenia zastosowanych sieci transmisyjnych w systemie zastosowano sieci μLAN, LAN i WAN. W systemie tym na poziomie operatorskim wydawane są odpowiednie polecenia, które z kolei są transmitowane do poziomu zależnościowego. Na poziomie operatorskim następuje także pobieranie informacji o sytuacji ruchowej, stanie urządzeń oraz ich zobrazowanie na monitorach (wspomniany EbiScreen). System Ebilock składa się z podwójnego komputera zależnościowego oraz z podwójnego układu transmisji i komunikacji. W przypadku wykrycia uszkodzenia system przełącza się z komputera niesprawnego na drugi komputer sprawny, o czym zostaje również powiadomiony operator systemu. Główny komputer zależnościowy jest odpowiedzialny za wysyłanie rozkazów oraz pobieranie informacji ze sterowników obiektowych pracujących w terenie. W przypadku sterowników obiektowych zastosowano wspomnianą zasadę fail-safe, gdzie uszkodzenie powoduje przejście w stan bezpieczny, co może się objawić np. sygnałem stój na semaforze.
MOR-3
Nowoczesnym wielokomputerowym systemem służącym do sterowania ruchem kolejowym jest system MOR-3 produkcji Kombud SA w Radomiu. Podstawowym jego zadaniem jest nastawianie przebiegów pociągów, automatyczne ich zwalnianie, nastawianie i zwalnianie sygnałów, nastawianie i zwalnianie zwrotnic i blokad. Na rys. 6 pokazano uproszczony schemat zależności w systemie.
Rys. 6 Schemat zależności w systemie MOR-3
W celu zapewnienia właściwego funkcjonowania system MOR-3 (fot. 3) jest wyposażony w urządzenia diagnostyczne (pełny podgląd bieżącej sytuacji pracy systemu, w tym sprzętu i oprogramowania). Obsługa systemu może odbywać się zdalnie lub miejscowo. System został opracowany jako układ nadmiarowy „2z2”. Dwa komputery sterujące o różnym kodzie wynikowym realizują funkcje zależnościowe. Sygnały wyjściowe obu komputerów są na bieżąco porównywane w bezpiecznym komparatorze. Układ nie wygeneruje sygnału sterującego w przypadku braku zgodności sygnałów z obu komputerów. W razie braku zgodności następuje przejście w tryb bezpieczny systemu, np. zatrzymanie ruchu.
Fot. 3 Elementy systemu MOR-3
Systemy liniowe
Systemy pracujące na szlakach kolejowych, których zadaniem jest regulacja ruchu pociągów między posterunkami, nazywa się systemami liniowymi. Przykładem jest system samoczynnej sygnalizacji przejazdowej typu RASP-4F firmy Kombud Radom, który służy przede wszystkim do zabezpieczenia przejazdów kategorii „B” i „C” oraz dodatkowo przejazdów kategorii „A” (fot. 4).
Fot. 4 Podstawowe elementy systemu RASP-4
Do wykrywania zajętości toru zastosowano nowoczesny układ liczników osi pociągu. Schemat blokowy samoczynnej sygnalizacji przejazdowej RASP-4F przedstawia rys. 7. W skład systemu wchodzi m.in. kontener główny (RASP-KG), szafy aparatowe (RASP-SA1, RASP-SA2) oraz urządzenie zdalnej kontroli (RASP-UZK). Samoczynna sygnalizacja przejazdowa RASP-4F jest urządzeniem, w którym zastosowano rozwiązanie nadmiarowe typu „2z2”. W celu uzyskania wysokiego stopnia bezpieczeństwa systemu RASP-4 zastosowano redundancję urządzeń:
– kontrolno-sterujących wraz z funkcją samotestowania,
– wykonawczych wraz z funkcją samotestowania,
– zasilających.
Rys. 7 Schemat blokowy samoczynnej sygnalizacji przejazdowej RASP-4F
W kontenerze głównym RASP-KG umieszczono m.in. dwa sterowniki PLC, terminal operatorski oraz zespół bloków wejścia/wyjścia.
Aparatura sterująco-kontrolna odbiera i analizuje sygnały pochodzące od urządzeń oddziaływania pociągu oraz steruje urządzeniami zewnętrznymi, takimi jak sygnalizatory drogowe, napędy rogatkowe czy przejazdowe tarcze ostrzegawcze. Jednostki centralne sterowników CPU1 i CPU2 pracują synchronicznie, wzajemnie sprawdzają swoją obecność oraz prowadzą wymianę informacji dotyczącą stanów awarii. Samoczynne działanie urządzeń jest nadzorowane przez urządzenie zdalnej kontroli RASP-UZK stanowiące nadrzędny sterownik. Nadzoruje on pracę do ośmiu sygnalizacji przejazdowych. Do zdalnej kontroli z sygnalizatorami zastosowano modemy telekomunikacyjne. System RASP-4F może współpracować z różnymi stacyjnymi urządzeniami srk. Wnętrze kontenera pokazano na fot. 5.
Fot. 5 Przykładowy układ przetwarzania „2z2” oraz wnętrze kontenera
Podsumowanie
Przedstawione w artykule systemy stanowią tylko wybraną część infrastruktury kolejowej. Obecnie stosowane rozwiązania – przede wszystkim systemy komputerowe związane z zarządzaniem i sterowaniem ruchem kolejowym – spełniają wszystkie wymagania bezpieczeństwa, a rozwiązania techniczne są na poziomie europejskim, światowym.
W artykule wykorzystano zdjęcia: ze źródeł własnych, Laboratorium Systemów Sterowania Ruchem Kolejowym – Wydział Transportu i Elektrotechniki Uniwersytet Technologiczno-Humanistycznego w Radomiu, Kombud S.A. Autorzy pragną podziękować firmie Konsbud S.A. z Radomia za udostępnienie materiałów i zdjęć.
prof. dr hab. inż. Andrzej Lewiński
dr inż. Tomasz Perzyński
Uniwersytet Technologiczno-Humanistyczny im. K. Pułaskiego w Radomiu
Wydział Transportu i Elektrotechniki
Bibliografia
1. M. Dąbrowa-Bajon, Podstawy sterowania ruchem kolejowym. Funkcje, wymagania, zarys techniki, wyd. II, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2007.
2. A. Lewiński, T. Perzyński, L. Bester, Komputerowe wspomaganie analizy bezpieczeństwa w systemach sterowania ruchem kolejowym, Journal of KONBiN nr 2(26)/2013, Safety and Reliability Systems, Warszawa 2013.
3. A. Lewiński, T. Perzyński, M. Siergiejczyk, A. Toruń, Niezawodność w transporcie szynowym i możliwości jej zwiększenia, Międzynarodowa Konferencja Naukowa, Instytut Kolejnictwa, Warszawa 2013.
4. A. Lewiński, Nowoczesne systemy telematyki kolejowej, Wydawnictwo Politechniki Radomskiej, Radom 2012.
5. T. Perzyński, M. Siergiejczyk, Otwarty rynek kolejowy w Polsce – niezawodność systemów sterowania ruchem wykorzystujących technologie komputerowe, konferencja SITK, Warszawa 2013.
6. PKP Polskie Linie Kolejowe SA, raport roczny za 2008 oraz 2012.
7. Materiały firmy Kombud SA w Radomiu i materiały firmy Siemens.
*W myśl tej zasady żadna pojedyncza usterka nie może być przyczyną sytuacji niebezpiecznej (katastroficznej), dodatkowo powinna być wykrywana w możliwie najkrótszym czasie, po którym powinna zostać zainicjowana reakcja bezpieczeństwa prowadząca do sterowania awaryjnego (w systemach srk jest to osiągnięcie stanu zapewniającego w ograniczonym zakresie ruch pociągów).