Jeżeli pominąć wypadki kolejowe (także śmiertelne), których przyczyną jest przebywanie osób na torach w miejscach niedozwolonych i które przynoszą największą liczbę ofiar, to pozostałe typowe wypadki kolejowe kojarzą się przede wszystkim z uszkodzeniem mechanicznym: pękniętą szyną, zniekształconym torem, uszkodzeniem kół lub osi wagonu, pęknięciem sprzęgu pomiędzy wagonami lub techniczną awarią hamulca.
Tymczasem coraz lepsza i stosowana w wielu różnych miejscach diagnostyka pozwala wykrywać takie zjawiska, zanim przybiorą niebezpieczne rozmiary. Dla przykładu: pomiar przegrzania łożysk oraz dynamicznych nacisków kół na szyny pozwala zauważyć nadciągające uszkodzenie już na etapie przyczyn – zanim te zjawiska wystąpią i staną się przyczyną nadmiernego zużycia szyn lub wykolejenia.
W związku z tym tego rodzaju wypadki są coraz rzadsze i widać, że za szereg najpoważniejszych katastrof odpowiada coś, co moglibyśmy nazwać warstwą informacyjną. Informacje o zajętości torów czy położeniu zwrotnic i innych składników drogi przebiegu, po której ma jechać pociąg, trzeba zebrać, a następnie na ich podstawie można stwierdzić, że gwarantują bezpieczny przejazd oraz że nie ma innych przebiegów – sprzecznych już ułożonych, dla których przekazano pozwolenie na jazdę (telefonicznie, pisemnie, sygnałem na semaforze lub komputerowo).
Przez długi czas podstawą były działania ludzi, ale stopniowo wprowadzano urządzenia elektromechaniczne przekaźnikowe, wykonane w technologii zbliżonej do telefonicznych central przekaźnikowych. Warto podkreślić, że to właśnie kolej – obok telegrafu i telefonu stacjonarnego – była pionierem w tej dziedzinie. Potem wprowadzano urządzenia elektroniczne i wreszcie komputerowe (w tym względzie kolej była ostrożna i raczej konserwatywna). Zwiększenie roli komputerów, ich oprogramowania i teletransmisji opartej na światłowodach usunęło niektóre zagrożenia, ale stworzyło nowe, związane z szeroko pojętym obszarem cyberbezpieczeństwa.
Nadal jednak warto pamiętać, że niedostatki „konwencjonalnych” metod mogą prowadzić do nieszczęścia. Ważnymi czynnikami wpływającymi na bezpieczeństwo są jakość i powszechność łączności pomiędzy posterunkami, ale także z załogami pociągów. Łączność ta wykorzystywana jest do przekazywania ostrzeżeń, wiadomości i poleceń głosowo, ale także sygnałem elektronicznym. Dotyczy to zwłaszcza alarmowego sygnału radio-stop, który umożliwia zdalne zatrzymanie pociągu.
Tor zajęty czy wolny? Czy pociąg dojechał w całości?
Z perspektywy bezpieczeństwa podstawowa informacja dotyczy tego, czy tor (jego część zwana odstępem), na który ma wjechać pociąg, jest wolny (tzn. czy nie ma na nim innego pociągu lub innych pojazdów). Jest to zasada, która pozwala bezpiecznie rozwinąć prędkość większą niż ta, która wynikałaby z widoczności toru i drogi hamowania. Zasada ta zdecydowanie zmniejsza uzależnienie poziomu bezpieczeństwa od uwagi maszynisty.
Pierwotnym narzędziem kontroli niezajętości toru jest wzrok dyżurnych ruchu i nastawniczych, którzy widzą konkretne odcinki torów na stacji i mogą to stwierdzić, zanim podadzą sygnał wolnej drogi lub przekażą innej nastawni zgodę na określony przebieg pociągu. Do tego dochodzi ręczne zapisywanie i wykreślanie numerów pociągów, które na dłużej zajmują tor. W przypadku torów szlakowych łączących stacje zadanie jest trudniejsze, bo oczywiście w takich sytuacjach większy odcinek toru nie jest widoczny z żadnego posterunku.
Podstawą jest wtedy stwierdzenie, czy pociąg wyprawiony z jednej stacji dojechał do kolejnej w całości. Tarcze z czerwonymi trójkątami lub czerwone latarnie na końcu (sygnały końcowe) służyły nie tylko temu, aby lepiej było widać ostatni wagon i w razie wjazdu kolejnego pociągu jego maszynista miał większe szanse na zauważenie poprzednika, ale aby pracownik posterunku mógł stwierdzić, że pociąg wjechał w całości. Aby to działało, załoga pociągu i pracownicy służby ruchu muszą dopilnować, by każdy pociąg wyjeżdżał na trasę wyposażony w sygnały końcowe.
Jeżeli pociąg wjechał bez sygnałów końcowych, to dalsze czynności podejmuje się z założeniem, że doszło do rozerwania pociągu i jakiś fragment taboru pozostał na szklaku. Zasadniczo w przypadku rozerwania dochodzi do samoczynnego hamowania obu części i maszynista jest świadom tego faktu. Jeżeli w dobie braku radiołączności połączenie rozerwanego składu nie było możliwe, wówczas istniał bezwzględny obowiązek zatrzymania się w pobliżu posterunku, zanim cały pociąg wjechał na stację, i poinformowania dyżurnego ruchu, że na szlaku pozostały wagony, aby rutynowo nie potwierdził on przyjazdu. Informacja była więc zdublowana: skład wjeżdżał bez sygnału końcowego, a poza tym pojawiała się ustna informacja od maszynisty.
W miarę upływu czasu coraz większą rolę odgrywają zespoły trakcyjne, przy których niezamierzony podział pociągu na kilka części jest raczej niemożliwy. Raczej, bo znany jest incydent na dworcu centralnym, kiedy przy małej prędkości doszło do rozprzęgnięcia (prawdopodobnie samoczynnego) pociągu złożonego z dwu zespołów trakcyjnych. Incydent nie był niebezpieczny i nikomu nie zagroził, ale pokazał, że także w dobie nowoczesnych sprzęgów kwestia integralności pociągu jest wciąż aktualna.
W Europie nie słychać o próbie wykorzystania do kontroli integralności pociągu systemu geolokalizacji satelitarnej (popularnie określanej jako GPS – od ang. Global Positioning System). Obecnie istnieje kilka systemów satelitów (w tym amerykański GPS i europejski Galileo), które umożliwiają ustalenie współrzędnych geodezyjnych przy pomocy odbiornika o niewielkich rozmiarach, mieszczącego się w typowym telefonie komórkowym, z dokładnością do kilku metrów. Lokalizacja początku i końca pociągu umożliwia zatem ciągłe badanie odległości i natychmiastowe ustalenie, gdzie znajduje się pociąg i czy się porusza, czy też stoi w całości.
Próby zastąpienia sygnału końcowego przez GPS miały miejsce w USA, natomiast szersze stosowanie geolokalizacji do sterowania ruchem kolejowym w Unii Europejskiej było przewidywane w ramach ETCS poziomu 3, który jest rzadkością. Warto w tym miejscu dodać, że na tym poziomie kontrola zajętości toru nie musi już opierać się na sprawdzaniu integralności pociągu.
Tradycyjne metody opierały się i opierają na uwadze ludzi, a zatem łatwo o pomyłkę, a poza tym wymagały czasami zatrudnienia dodatkowych osób. W każdym miejscu, w którym kończył się szlak, a więc na każdej głowicy stacyjnej, ktoś musiał obserwować pociąg i jego sygnały końcowe.
Paradoksalnie zdarzało się więc, że stacja była wyposażona we względnie nowoczesne urządzenia przekaźnikowe, wszystkie zwrotnice oraz sygnały były obsługiwane z jednej nastawni, usytuowanej na ogół na którejś głowicy stacyjnej, a na przeciwległej głowicy musiał być posterunek, którego jedynym zdaniem było stwierdzanie końca pociągu.
Jeżeli w celu zwiększenia przepustowości szlak był dzielony na odstępy, to na ich granicach musiały funkcjonować posterunki odstępowe z obsługą, która potwierdzała przejazd pociągu z sygnałem końcowym i jego „osłonięcie” semaforem wskazującym „stój”, który zabraniał wjazdu na zajęty przezeń odstęp. Informacja przekazana przy pomocy blokady liniowej, telefonu lub telegrafu poprzedniemu posterunkowi pozwalała mu na bezpieczne wyprawienie kolejnego pociągu.
Na tym tle przekłamanie informacji lub rutynowe działanie według rozkładu jazdy bez zwrócenia uwagi na brak potwierdzenia przyjazdu poprzedniego (spóźnionego) pociągu prowadziło do katastrofy, gdy wysłano pociąg na odstęp, na którym wolniej jechał lub stał poprzedni pociąg.
Wprowadzenie zautomatyzowanej kontroli niezajętości toru znacznie przyczyniło się do poprawy poziomu bezpieczeństwa. Pierwszym i nadal obecnym na wielu liniach sposobem była samoczynna blokada liniowa oparta na izolowanych odcinkach torów, a właściwie szyn. W tym celu na granicy odstępu szyny były łączone w taki sposób, aby były izolowane dla przepływu prądu elektrycznego. Drewniane lub betonowe podkłady stanowiły natomiast izolację (choć nie najlepszą) pomiędzy tokami szyn tego samego toru.
W przypadku podkładów stalowych konieczne były podkładki izolacyjne, jednak takie przerwy kolidowały oczywiście z przepływem prądu zasilającego (wraz z przewodami napowietrznymi) elektrowozy. Poza tym uniemożliwiały spawanie szyn na całej długości dla unikania nadmiarowego zużycia szyn i kół w miejscu przerwy.
Dlatego wszystkie te przerwy były łączone przy pomocy dławików – uzwojeń, które stanowiły istotną przeszkodę (dużą impedancję, zawadę) dla przepływu prądu przemiennego, ale stawiały minimalny opór prądowi stałemu zasilającemu pojazdy trakcyjne. Szyny były natomiast zasilane prądem przemiennym (czyli takim, jaki występuje w zwykłej sieci energetycznej) o częstotliwości 50 Hz – w środku lub na początku odstępu.
Na końcu lub na obu końcach szyny były łączone z przekaźnikiem czułym wyłącznie na prąd przemienny (indukcyjnym). Gdy tor był wolny, przekaźnik był pobudzony i powodował wyświetlanie na semaforze sygnału zezwalającego na wjazd na odstęp lub przekazywał odpowiednią informację do urządzeń stacyjnych, umożliwiając ustawienie semaforów wyjazdowych. Najechanie pociągu na odstęp zwierało szyny i powodowało, że przekaźnik nie miał zasilania i przechodził w stan bierny. Gdy pociąg dojechał do końca odstępu i przejechał obok semafora, następowało odłączenie zasilania i wznowienie – dopiero po opuszczeniu odstępu, ale także po wyświetleniu sygnału stój (czerwonego) osłaniającego ten pociąg.
Dzięki temu, że powszechnie dostępna sieć energetyczna jest trójfazowa, operując fazami, można było bez dodatkowego okablowania przekazać nie tylko informację, że dany tor jest już wolny, ale także informację o rodzaju sygnału na semaforze na końcu odstępu. Typowy semafor podawał więc sygnał „stój” (czerwone), „wolna droga, następny stój” (pomarańczowe) i „wolna droga, następny wolna droga” (zielone). Ten prosty sposób odpowiadał i nadal odpowiada za ruch pociągów i dobrą przepustowość wielu linii dwutorowych. Długość odstępów odpowiada drodze hamowania pociągów – w zależności od dopuszczalnej prędkości, ale na ogół wynosi ona ok. 1 km. Pewna modyfikacja polegała na impulsowaniu zasilania.
Wraz z wprowadzeniem odcinków izolowanych nastąpiło podwyższenie poziomu bezpieczeństwa i zmniejszenie roli czynnika ludzkiego, ale zaczął się problem pewności działania urządzeń tworzących i przesyłających informację. Konieczne było ustalenie minimalnego oporu, jaki przepływowi prądu stawia zestaw kół. Wszak odpowiadał on za zwarcie szyn, które jest pierwotnym symptomem zajętości toru. Pojawiały się problemy w przypadku pojedynczych wagonów motorowych (niewiele osi), w których stosowano smarowanie obręczy koła (gorszy styk).
Podstawowym problemem były jednak zwarcia szyn pomimo nieobecności pociągu na skutek zwiększenia wilgotności (śnieg, deszcz) czy położenia metalowego przedmiotu. Poza tym łubki izolujące odcinki szyn ulegały niekiedy wyciśnięciu (np. wtedy, gdy szyny wydłużały się w wyniku upałów). Wszelkie urządzenia sterowania ruchem kolejowym muszą być tak budowane, aby powstające stany niepewne były interpretowane w sposób niezagrażający bezpieczeństwu, np. ustawienie odpowiedniego semafora na „stój”.
Prawdopodobieństwo pojawienia się usterki z odwrotnym skutkiem – czyli zmniejszającej bezpieczeństwo i tworzącej zagrożenia (np. wadliwy sygnał „wolna droga”) – jest określone w TSI na najniższym stosowanym poziomie. Jeśli maszynista widzi semafor nieoświetlony, to ma obowiązek zatrzymania pociągu. W związku z tym, że nie ma nikogo, kto mógłby w takiej sytuacji potwierdzić, że odstęp jest wolny, dozwolona jest wtedy jazda na widoczność, a więc z taką prędkością, aby można było w istniejących okolicznościach zahamować w razie zauważenia przeszkody (np. poprzedniego pociągu), z tym, że górna granica prędkości wynosiła do niedawna 20 km/h, a obecnie wynosi 40 km/h.
Aby było wiadomo, że taka jazda jest dopuszczalna, słupy semaforów samoczynnej blokady liniowej malowane są na biało, a nie w biało-czerwone pasy.
Taki system generuje już sytuacje, w których bezpieczeństwo zależy od sprawności i poprawnej eksploatacji urządzeń, a nie tylko od ludzi. Pojawiają się też możliwości świadomego zakłócania pracy urządzeń. Panuje pogląd, że nie jest możliwa przypadkowa kombinacja uszkodzeń, zwarć i przerw, która prowadziłaby do pobudzenia przekaźnika samoczynnej blokady liniowej i podania fałszywego sygnału wolnej drogi.
Maszynistom, którzy przejechali obok semafora i twierdzili, że wskazywał on wolną drogę pomimo zajętości toru, na ogół nikt poza związkiem zawodowym nie dawał wiary, a czasy kamer i nagrywania tego, co widać przed lokomotywą, dopiero nadeszły. Jednak w Pruszkowie w roku 1990 doszło do katastrofy, w której maszynista pierwszego pociągu, widząc sygnał „stój”, zatrzymał się, a potem kontynuował jazdę z prędkością 20 km/h, natomiast maszynista następnego pociągu – wedle jego zeznań – miał sygnał „wolna droga”, a zatem dogonił poprzednika, we mgle stosunkowo późno rozpoczął hamowanie i najechał na jadący wolno skład.
Katastrofa ta pochłonęła 16 ofiar śmiertelnych. Stwierdzono, że urządzenia są sprawne, i ani komisja badająca przyczyny katastrofy, ani sąd nie dali wiary maszyniście. Jednak po dwu latach zdarzył się podobny incydent. Na szczęście dzięki dobrej widoczności nie doszło wówczas do kolizji, ale w efekcie tego incydentu ponowiono analizę katastrofy w Pruszkowie. Kolejne analizy wykazały, że przy tej specyficznej blokadzie (impulsowej typu CNII) może dojść do zwarcia, które spowoduje podanie fałszywego sygnału „wolna droga”.
Maszynistę uniewinniono, a ten typ blokady był następnie wymieniany na inny. Nie spełniał on podstawowej zasady budowy wszelkich urządzeń – każda awaria, niejednoznaczność itp. powinna powodować podanie sygnału bardziej bezpiecznego dla ruchu – na ogół sygnału „stój”. Tak jest bezpieczniej, aczkolwiek stosunkowo duża liczba sytuacji, w których dochodziło do konieczności jazdy na widoczność lub unieważniania semaforów blokady powiązanego ze zwiększeniem odstępów pomiędzy pociągami do odległości pomiędzy obsługiwanymi stacjami, obniża zaufanie do systemu. Prowadzi to do zbyt łatwego uznawania, że pomimo iż urządzenia sygnalizują, że tor jest zajęty, w rzeczywistości jest wolny. Informacja o zajętości toru służy nie tylko maszynistom, ale także dyżurnym ruchu nastawiającym semafory inne niż samoczynne.
Warto przypomnieć, że jedną z przyczyn katastrofy w Szczekocinach1 na szlaku Starzyny – Sprowa była nieprawidłowa reakcja dyżurnej ruchu w Sprowie na poprawną informacje z pulpitu (czerwone oświetlenie kreski reprezentującej tor). Dyżurna w ten sygnał nie uwierzyła, gdyż doświadczenie podpowiadało jej, że informacja ta jest fałszywa i tor jest wolny.
Tymczasem dyżurny ruchu ze Starzyn – nie mając informacji o położeniu zwrotnicy – wyprawił pociąg po lewym torze, nie pytając dyżurnej ze Sprowy o zgodę. W tej konkretnej sytuacji był on głównym, chociaż nie jedynym winowajcą. W wyniku tego system kontroli zajętości toru – nowocześniejszy i bardziej odporny na przekłamania, jak myślała dyżurna ruchu, pokazał, że to tor jest zajęty.
Mimo to dyżurna ruchu założyła, że pociąg jedzie do niej normalnie prawnym torem, i wydała przy pomocy sygnału zastępczego (nieuzależnionego od kontroli zajętości torów i położenia zwrotnic, ale opartego wyłącznie na odpowiedzialności dyżurnego ruchu) polecenie jazdy po tym torze dla innego pociągu, co doprowadziło do czołowego zderzenia. Dyżurna nie zauważyła albo nie wzięła pod uwagę, że pulpit wcale nie pokazywał zajętości prawego toru, po którym powinien przecież jechać do niej pociąg ze Starzyn. Nowy, mniej zawodny system kontroli zajętości toru został tam zainstalowany krótko przed katastrofą, ale szkolenie z obsługi tego systemu nie odmieniło rutynowego myślenia dyżurnej ruchu.
Ewolucja metod kontroli zajętości toru
Metody kontroli zajętości toru ulegały istotnej ewolucji. Najpierw w miejsce odcinków izolowanych, których obwody zasilane były prądem przemiennym pochodzącym bezpośrednio z sieci o częstotliwości 50 Hz, wprowadzono obwody pracujące na częstotliwościach rzędu 1000 Hz, różnych dla sąsiednich odstępów (obwodów torowych). Dzięki odpowiedniej konfiguracji tych obwodów można było uniknąć fizycznych przerw pomiędzy szynami przynależnymi od różnych odstępów, pominąć dławiki konieczne dla przepływu prądu stałego, które były wyjątkowo atrakcyjnym towarem dla złodziei (miedź), a pomimo to udało się osiągnąć kontrolę zajętości poszczególnych odstępów z potrzebną dokładnością.
Konieczne były bardziej zaawansowane urządzenia rozpoznające napięcie o określonej częstotliwości, ale nie zmieniało to decydującego czynnika kontroli, jakim było zwarcie toków szynowych przez pociąg. Wciąż nierozwiązany pozostawał problem podatności na inne czynniki. Pól elektromagnetycznych o takich częstotliwościach w pobliżu toru w zasadzie być nie powinno, ale okazało się, że instalacje elektryczne niektórych wagonów, które przekształcają prąd stały z akumulatora na przemienny – wykorzystywany do zasilania instalacji wagonowych, generują także pola o wyższych częstotliwościach.
Zdarzało się więc oddziaływanie na obwody zakłócające ich działanie, a stwierdzenie, że to jest właśnie przyczyną problemu, zajęło sporo czasu. Uniknięto tych kłopotów, nakazując odpowiednie ekranowanie urządzeń w wagonie. Ewentualność emitowania przed tabor pól elektromagnetycznych szkodliwych dla obwodów torowych jest przedmiotem badania przy dopuszczaniu pojazdów do ruchu na sieci. Zaletą obwodów opartych na przepływie prądu było wykrywanie (niejako „przy okazji”) poważnych pęknięć szyn, które przerywały obwód i powodowały podanie sygnału „stój” na semaforze.
Pomimo to jednak większą pewność działania osiągnięto, wprowadzając liczniki osi, czyli urządzenia punktowe, które liczą, ile osi (a ściślej rzecz ujmując: kół na danej szynie) wjechało i wyjechało z odstępu, odcinka toru itp. Urządzenia te są oparte na pomiarze pola elektromagnetycznego wokół szyny, a więc nie odrywają kwestii stwierdzania zajętości toru od zakłóceń płynących od pól elektromagnetycznych, ale oczywiście są rozwiązaniem znacznie pewniejszym od obwodów torowych.
W przypadku mniej ruchliwych linii stosowanie liczników osi pozwala na kontrolę całego szlaku bez podziału na odstępy, co nie było możliwe w przypadku odcinków izolowanych i obwodów torowych (1 km lub 2 km). Wymagają one natomiast stosowania urządzeń elektronicznych i połączeń kablowych lub światłowodowych pomiędzy poszczególnymi punktami i zasadniczo są przeznaczone do współpracy z urządzeniami komputerowymi. Przypadkowe zakłócenie ich pracy jest mniej prawdopodobne niż w przypadku odcinków izolowanych, natomiast świadome działania wymagają kwalifikacji wyższych niż te, które są potrzebne do zwarcia szyn łańcuchem.
Ustawienie zwrotnic
Sterowanie ruchem kolejowym i zapewnienie bezpieczeństwa nie ograniczają się do badania zajętości torów. Podstawą jest ustawianie zwrotnic dla odpowiedniego kierunku jazdy. Samo przestawienie zwrotnicy obejmuje odryglowanie jej położenia, przesunięcie iglic (ruchomych szyn wchodzących w skład rozjazdu) i zaryglowanie ich w nowym położeniu. Napędy ręczne wyposażone są nie tylko w dźwignie, ale także w masywne obciążenie, które ułatwia zwrotniczemu przesunięcie zwrotnicy. Od ponad stu lat do przestawiania zwrotnic używa się jednak napędów zdalnych, tak aby wszystkie zwrotnice na pewnym obszarze mogły być nastawiane z jednego miejsca – z nastawni. Jedynie na najmniej ruchliwych liniach lub w sytuacjach tymczasowych nadal spotyka się obsługę ręczną, która wymaga od zwrotniczego (lub innego pracownika nastawni) dojścia do rozjazdu.
Były to najpierw pędnie mechaniczne, łączące – przy pomocy pędni sztywnej lub elastycznej złożonej z drutów i linek, urządzeń do napinania i licznych bloków prowadzących pędnię – dźwignię w nastawni z napędem przy rozjeździe. Wymagały one sporej siły fizycznej ze strony nastawniczego. Scentralizowane urządzenia mechaniczne, w których stosowano takie napędy, oparte były na konstrukcji opracowanej dla kolei pruskich i przyjętej w okresie międzywojennym do stosowania na ujednolicanej stopniowo sieci kolejowej w Polsce.
W latach 60. zaprzestano budowy nowych urządzeń tego typu, co nie znaczy, że nie można ich nadal spotkać. Podstawą stają się jednak napędy elektryczne, dla których nie ma ograniczenia odległości, co umożliwia obsługę nie tylko jednej, ale kilku sąsiadujących ze sobą stacji z jednego miejsca. Napędy mechaniczne wymuszały budowę co najmniej dwu nastawni na każdej stacji. Warto wspomnieć, że stosowano także (raczej nieznane w Polsce) napędy pneumatyczne, które uważny obserwator wypatrzy nie tylko w muzeum, ale i w pracy w londyńskim metrze. W każdym przypadku celem jednak jest nie tylko fizyczne przestawienie zwrotnicy. Przede wszystkim, zanim przestawi się zwrotnicę, warto wiedzieć, czy na rozjeździe nie ma pociągu lub innego taboru. Gdy pracę tę wykonuje na miejscu zwrotniczy, jest to mało prawdopodobne, chociaż i takie przypadki miały miejsce. W przypadku urządzeń scentralizowanych, gdy zwrotnica nie była widoczna z nastawni, stosowano krótki odcinek izolowany, który wykrywał obecność taboru; następnie odpowiedni obwód elektryczny blokował możliwość użycia dźwigni w nastawni.
Odrębnym zabezpieczeniem jest tzw. zamykanie i utwierdzanie przebiegu pociągu, co powinno uniemożliwić przestawienie zwrotnic, dopóki pociąg nie przejdzie całej drogi. Jednak – w wyniku błędu lub chęci przyspieszenia pracy nad przebiegiem kolejnego pociągu – zdarza się przedwczesne rozwiązanie przebiegu przez dyżurnego lub nastawniczego i próba przestawienia zwrotnicy, która kończy się wykolejeniem pociągu, a czasem dodatkowo odniesieniem groźnych urazów przez pracownika obsługującego dźwignię. Zabezpieczenie jest oczywiste w przypadku urządzeń przekaźnikowych lub komputerowych, które z zasady są wyposażone w kontrole zajętości poszczególnych torów i rozjazdów.
Kolejnym problemem natury informacyjnej jest posiadanie pewnej informacji o ustawieniu zwrotnicy i jej zaryglowaniu w określonym położeniu. Ten poziom kontroli ma swoją długą historię i czasami urządzenia natury – wydawałoby się – muzealnej wciąż są przydatne. Są to dwa zamki mechaniczne (osobny zamek dla każdego położenia), które po otwarciu zatrzymują klucz i uniemożliwiają jego wyjmowanie; dopiero po zamknięciu tych zamków klucz zostaje uwolniony. Zamknięcie uniemożliwia nie tylko zmianę nastawienia zwrotnicy, ale także odkręcenie zamka od szyny. W obrębie stacji każdy klucz ma inny wzór i oznaczenie, dzięki któremu wiadomo, której zwrotnicy i jakiego jej położenia dotyczy. Posiadanie takiego klucza w nastawni jest dowodem ustawienia konkretnej zwrotnicy w określonym położeniu i gwarancją, że do momentu otwarcia zamka przez osobę upoważnioną ta zwrotnica pozostaje zamknięta.
Najbardziej prymitywne rozwiązanie polegało na tym, że w nastawni umieszczona była tablica z gniazdami na poszczególne klucze i ich umieszczenie w tych gniazdach pokazywało, jak ustawione są zwrotnice. Było to przydatne przy podawaniu sygnału dla pociągu, chociaż oczywiście za zweryfikowanie, czy droga ułożona jest poprawnie, odpowiadał człowiek. W praktyce najczęściej stosowane były jednak skrzynie kluczowe, w których także znajdowały się zamki i klucze. Układ suwaków przesuwanych przez te klucze otwierał możliwość wyjęcia klucza do semafora lub umożliwiał podanie sygnału dla pociągu w inny sposób, a jednocześnie uniemożliwiał wyjęcie kluczy do czasu rozwiązania przebiegu (cofnięcia semafora lub stwierdzenia przejazdu pociągu w jakiś inny sposób). Niewątpliwie było to mechaniczne urządzenie realizujące funkcje logiczne, działające na podobnej zasadzie jak komputer, ale najbardziej odległe od komputera w sensie technologii i rozmiarów pojedynczej „bramki” logicznej.
Jednak nawet w przypadku nowoczesnych urządzeń na nastawni znajdują się zamki, klucze i tablica, które w razie awarii urządzeń można przykręcić do rozjazdu i tym sposobem – po ewentualnym ręcznym przestawieniu – zagwarantować określone położenie zwrotnicy. Posiadanie takiego klucza nadal jest potwierdzeniem, że zwrotnica znajduje się w takim położeniu, w jakim została zamknięta, i nikt jej nie przestawi do momentu, gdy klucz z powrotem nie trafi do zamka. Oczywiście to na pracowniku spoczywa odpowiedzialność za to, że zwrotnica jest ustawiona poprawnie i pociąg może jechać, ale nie ma konieczności pilnowania zwrotnicy na miejscu.
Oczywiście w przypadku scentralizowanych napędów mechanicznych oraz elektrycznych pędnie mechaniczne i obwody przekazują nie tylko energię potrzebną do przestawnia zwrotnicy, ale też – w drugą stronę – informację, że przestawienie powiodło się i zwrotnica jest zaryglowana w tym nowym położeniu. Konstrukcja urządzeń mechanicznych i konfiguracja obwodów elektrycznych i ewentualnie elektroniki działają tak, aby ani obsłudze, ani urządzeniom sterującym nie podawać informacji o jakimkolwiek położeniu zwrotnicy – tak długo, jak długo nie ma pewności co do położenia i zaryglowania zwrotnicy. Powinno to zapobiegać poruszaniu się pociągu po zwrotnicy znajdującej się w położeniu niepewnym (być może niebezpiecznym) albo w niewiadomym kierunku.
Wadliwe rozpoznanie tego rodzaju informacji było podstawową przyczyną wspomnianej już katastrofy w Szczekocinach. Zwrotnica, której położenie decydowało, czy pociąg ze Starzyn pojedzie po torze dla niego lewym lub prawym, po nastawieniu nie zwróciła informacji o swym położeniu. Przyczyną było częściowe rozregulowanie napędu, które jeszcze nie czyniło jazdy niebezpieczną, ale powodowało, że napęd elektryczny nie przekazywał informacji do nastawni. Dyżurny chciał zatem dobrze nastawić zwrotnicę, ale nie miał podstaw, aby uznawać, że przyjęła ona położenie, jakiego oczekiwał. Nie miał też podstaw, aby ocenić, czy jej położenie jest bezpieczne.
W tej sytuacji dyżurny ruchu powinien sprawdzić położenie zwrotnicy na miejscu, a ewentualnie zmienić je ręcznie, czyli: założyć zamek przyniesiony z nastawni, zamknąć zamek i zwrotnice w poprawnym położeniu (jazdy na prawy tor w kierunku Sprowy), a następnie wrócić z kluczem na nastawnię. Wymagałoby to pokonania łącznie kilkuset metrów. Taka sytuacja uprawniałaby go do wydania sygnału zastępczego dla pociągu jadącego w kierunku Sprowy, gdyż ten tor był wolny. Tymczasem – pomimo braku jakikolwiek informacji o położeniu zwrotnicy – dyżurny ruchu wydał dla pociągu sygnał zastępczy, bezpodstawnie zakładając, że pociąg pojedzie prawym torem (czyli tak, jak chciał ustawić zwrotnicę, ale tego nie zrobił). Potem nie zaobserwował, że pociąg jedzie na tor lewy. Tymczasem jechał on ku zderzeniu z pociągiem ze Sprowy, jadącym swoim prawidłowym (dla niego prawym) torem.
Wydaje się więc, że w przypadku położenia zwrotnic przekłamanie z powodu awarii urządzeń jest nieprawdopodobne – tak długo, jak długo pracownicy przestrzegają procedur. Teoretycznie napędy są skonstruowane w taki sposób, że nie jest możliwe potwierdzenie położenia, jeżeli jest ono niepewne, zwłaszcza gdy rozjazd – niezależnie od napędu zwrotnicowego – wyposażony jest w dodatkowe suwaki i czujniki ryglujące iglice niezalenie od napędu.
Cały artykuł dostępny na stronie
