A vasúti rendszerek egyik önálló, önállóan értelmezett alrendszere (szakmai területe) a vasúti biztosítóberendezési alrendszer. Talán ezen alrendszer esetében halmozódott fel eddig Magyarországon a vasúti tanúsítások területén a legtöbb szakmai tapasztalat, és a vasúti interoperabilitásnál kötelezően alkalmazandó megfelelésértékelő szervezetek (NoBo-k) közül a jelenleg jogosultsággal rendelkezők is e területet művelik (az e területen Magyarországon elsőként kijelölt és bejelentett Certuniv Kft.), vagy ezen a területen kezdtek és innen bővítették/bővítik tevékenységi körüket (Közlekedéstudományi Intézet Nonprofit Kft.).
Cikkünkben áttekintjük a biztosítóberendezési terület megfelelésértékelési/tanúsítási sajátosságait, és bemutatjuk a tanúsítási eljárásokat.
Igény a tanúsításra, a független szakértők részvételére
A vasúti közlekedés alrendszerei (infrastruktúra, energiaellátás, járművek, biztosítóberendezések stb.) részben a vasúti közlekedés lebonyolíthatóságát szolgálják, de jelentős részben a vasúti közlekedésben rejlő kockázatok csökkentése is feladatuk. Különösen igaz ez a biztosítóberendezésekre, amelyek a forgalomirányítás automatizálása mellett a forgalmi szituációkban rejlő veszélyeket hivatottak felszámolni (vagy az eltűrhető szint alá csökkenteni). Az egyes alrendszerek, az alrendszer részei vagy önálló komponensei feladatra való megfelelésének ellenőrzése a vasúti közlekedés kezdetei, illetve a biztonsági megfontolások megjelenése óta fontos feladat.
A technikai/technológiai rendszerek bonyolultabbá válásával, komplexitásuk növelésével egyre nehézkesebbé válik a tervezési és megvalósítási fázisban elkövetett emberi hibák kiszűrése, már nem elégséges a magas minőségre törekvés, így alkalmazásra kerül a „humán redundancia”: olyan szereplők lépnek be az egyes fázisokba a fázis értékelése céljából, akik a fázisok megvalósításában nem vettek részt, így az addigi folyamatoktól függetlenül képesek átlátni az eredményeket: megjelennek a független szakértők, illetve formalizáltabb munkavégzésük esetén a tanúsítók. A tanúsító tehát olyan szakmai ellenőr, akit nem kötnek a tervezés vagy megvalósítás során létrejövő tervezői, kivitelezői részeredmények és részdöntések, és véleményét a gazdasági következmények mérlegelése nélkül alakítja ki. Bár egy idő- és költségkeret-túllépésekkel terhelt projekt esetében nem feltétlenül jelent örömet egy olyan külső résztvevő, aki a teljes megfelelés érdekében további tevékenységek elvégzésének szükségességére mutat rá, kis és nagy cégek, valamint megrendelőik is felismerték már, hogy hosszabb távon ez a tevékenység mindenképpen előnyös és kívánatos.
Természetesen a tanúsító önmagában nem garancia a teljes megfelelésre, és a rendszerek komplexitásának növelésével előtérbe kerültek egyéb módszerek is, amelyek az elvárt biztonság eléréséhez szükségesek: a teljes tervezési és kivitelezési fázis életciklusfázisokra bontása (és fontos változás, hogy a tervezés és a kivitelezés mellett az életciklusfázisok között megjelenik az üzemeltetés, módosítás és leszerelés is); az életciklusfázisokban végzendő tevékenységek módszertanának előírása (best practice); a résztvevők végzettségének és tapasztalatának előírása (kompetencia); az információáramlás szabályozása (ez többnyire dokumentálást jelent); valamint belső folyamat-ellenőrzések definiálása (verifikáció és validáció), illetve ezen ellenőrzések elvégzéséhez szükséges humán redundancia (részvételi függetlenségek) előírása.
Mindezen tevékenységeket – kiegészítve egy nagyon fontos feladattal, az elvárt biztonsági szint meghatározásával – nevezhetjük biztonságmenedzsmentnek. Bár az elektronikus és programozott elektronikus eszközöket alkalmazó technikai rendszerek biztonságára vonatkozó szabványcsomag (MSZ-EN 61508, Villamos/ elektronikus/programozható elektronikus biztonsági rendszerek működési biztonsága) megjelenése volt az első lépés a formalizált biztonsági elvárások felé, a vasúti szektor hamar specializálta ezen elvárásokat, és megalkotta a maga biztonsági szabványait: a teljes vasúti rendszer biztonságára vonatkozó MSZ-EN 50126-ot (Vasúti alkalmazások. A megbízhatóság, az üzemkészség, a karbantarthatóság és a biztonság [RAMS] előírása és bizonyítása), amely általános elveket tartalmaz, és minden vasúti alrendszernél alkalmazandó; majd az MSZ-EN 50129-et (Vasúti alkalmazások. Távközlési, biztosítóberendezési és adatfeldolgozó rendszerek.
Biztonsági elektronikai rendszerek biztosítóberendezésekhez), amely az előző szabvány elvein alapulva konkretizálja a feladatokat, de már csak elektronikus biztosítóberendezések számára, valamint az MSZ-EN 50128-at (Vasúti alkalmazások. Távközlési, biztosítóberendezési és adatfeldolgozó rendszerek.Szoftverek vasúti vezérlő- és védelmi rendszerekhez), amely a biztosítóberendezési szoftverekre vonatkozik. Ezen szabványok, illetve a bennük lefektetett biztonságmenedzsment-elvek alkalmazása pedig egy újabb tanúsítási területet nyit meg, a szabványossági ellenőr (független biztonságértékelő, independent safety assessor, ISA) szerepét, ahol a független ellenőr (tanúsító) feladata a szabványi követelmények teljesülésének, helyes interpretálásának ellenőrzése. Látható, hogy a vasúti biztosítóberendezési terület – összevetve a többi vasúti alrendszerrel – speciális olyan szempontból, hogy jól alkalmazható, számon kérhető módszerek és eljárások kerültek definiálásra a teljes alrendszerre vagy berendezési életciklusra (az MSZ-EN 50129 és MSZ-EN 50128 által), nem csak általános elvek. Ez a tény hatással van a tanúsítási területekre és a tanúsítás folyamatára is.
A tanúsítás területei
A kölcsönös átjárhatóság, az interoperabilitás elvének és megvalósítási módjainak meghatározása talán a biztosítóberendezési területen (és ez jelentheti a klasszikus pályaoldali biztosítóberendezéseket, de jelentheti a régóta jelen lévő, de nagy jelentőségűvé az interoperabilitási követelményekkel váló járműfedélzeti biztosítóberendezéseket is) jelentette a legnagyobb változást, funkcióbővülést. A pályák vagy akár a járművek kialakítása (jelentős részben az UIC döntvényeknek és szabványoknak köszönhetően) kis egyszerűsítéssel alkalmas volt más vasúttársaságok járműveinek közlekedtetésére vagy pályáinak igénybevételére. Ugyanakkor biztosítóberendezési (és forgalomirányítási) területen meg kellett oldani az egységes jármű-pálya kapcsolatot, és egységes jármű-járművezető interfészt kellett bevezetni: ez a rendszer az ETCS (European Train Control System) és a lehetséges hordozóközegeként is funkcionáló GSM-R, amelyek az ERTMS (European Rail Traffic Management System) részét képezik.
Az ETCS önmaga is biztosítóberendezési funkciókat lát el, de felhasználja, illetve igényli a nemzeti biztosítóberendezési infrastruktúrát is. Ez a tény biztosítóberendezési területen (angolul: CCS) azt eredményezi, hogy két, szorosan együttműködő biztosítóberendezés-rész él szimbiózisban egymással (akár részben funkciócsoportként egy fizikai berendezésben megvalósítva): az interoperabilitás megvalósításáért felelős ETCS, amelyre vonatkozó követelményeket a CCS TSI (TSI: Technical Specification of Interoperability, magyarul ÁME, Átjárhatósági Műszaki Előírások), illetve elsősorban az abban hivatkozott specifikációk határozzák meg, és amely e specifikációkon alapulva szerte Európában azonos funkciókat biztosít, azonos elveken alapulva; valamint a nemzeti biztosítóberendezési rész, amely az ETCS-ben nem szabályozott, de a vasútbiztonság fenntartásához szükséges funkciókat (pl. vágányútállítás, oldalvédelmek, megcsúszások stb.) valósítja meg, és amelyre vonatkozó követelményeket nemzeti specifikációk (Magyarországon: Feltétfüzetek) fektetik le, és amelyek kialakítása, de akár elvei, az alkalmazott biztonsági alapmegközelítés is teljesen eltérőek lehetnek Európa országaiban.
E kettősség miatt talán a biztosítóberendezési terület az, ahol a legtisztábban látszódnak a különböző tanúsítási, megfelelésértékelési feladatok:
- az interoperabilitási követelmények teljesülésének vizsgálata kijelölt és bejelentett szervezet (NoBo) által (mivel a kijelölés Európai jogszabályon alapul, a kijelölt szervezet jogosultsága is összeurópai; és ez logikus is, hiszen az értékelendő megoldások specifikációs alapjai is azonosak Európa-szerte);
- a nemzeti követelmények teljesülésének vizsgálata kijelölt szervezet (DeBo) által (mivel ezen kijelölés nemzeti jogszabályon alapul, és nemzeti specifikumok vizsgálatára szól, e kijelölés természetesen csak Magyarországra érvényes).
Látszik az is, hogy itt mást vizsgál a NoBo és mást a DeBo, tehát pl. egy adott berendezésre vonatkozó NoBo-tanúsítvány nem szól és nem szólhat a nemzeti sajátosságokról és viszont: a DeBo jogosultság alapján kiadott tanúsítvány nem szól és nem szólhat az interoperabilitásról. Értelemszerűen: egy NoBo szervezet jogosultsága csak az interoperabilitási követelmények teljesülésének vizsgálatára vonatkozik, ettől eltérő funkciókról, követelményekről egy NoBo tanúsítványban nem nyilatkozhat.
Ennek az alapja is triviális: a kijelölési eljárás során a kijelölő többek között a kijelölést kérő szervezet személyzeti kompetenciáját (tudását) is vizsgálja, így egy NoBo-s kijelölés esetén nem vizsgálják a nemzeti sajátosságok ismeretét. Természetesen a két biztosítóberendezési rész alapelvei azonosak, a biztonságfilozófiai megközelítés azonos, az alkalmazott biztonságmenedzsment azonos, így nincs akadálya annak, hogy egy független szakértő szervezet mindkét tanúsítási jogot megszerezze. És ismét említeni kell az előzőekben már említett biztonságértékelő (ISA) szerepet is. Mivel a biztosítóberendezésekkel szemben minden esetben van biztonságintegritási elvárás is, ennek teljesülését biztonságértékelőnek kell vizsgálnia.
A biztonságértékelői szerep szabványokon alapul, de ezen szabványok nem beszélnek arról, hogy ki (mely szervezet) lehet biztonságértékelő: csak szervezeti függetlenséget és kompetenciát írnak elő. Mivel a CCS TSI és hivatkozott specifikációi a biztonságintegritást is követelményként támasztják, a CCS NoBo-k az interoperabilitás vonatkozásában biztosan jogosultak az ISA funkció elvégzésére; hasonlóan ehhez, a DeBo-k a hazai biztosítóberendezési funkcionalitás vonatkozásában ISA-ként eljárhatnak. De szerte Európában sok nagy múltú és nagy tudású cég kínál ISA szolgáltatást, akár egyéb, pl. akkreditált státusz birtokában. Az azonban kijelenthető, hogy egy adott biztosítóberendezési projektnél három tanúsítói feladat is keletkezhet (és nagy, interoperabilitási elvárással rendelkező projektnél keletkezik is): NoBo, DeBo feladatok, valamint e két feladatcsoport részeként ISA feladatok. Ezek akár külön is választhatóak, de – különösen integrált projektnél, ahol a fejlesztésnél és kivitelezésnél sem válnak szét az interoperabilitási és a nemzeti követelmények teljesítései – célszerű ezen tanúsítási feladatokat egyszerre, a megfelelő jogosultságokkal együttesen rendelkező tanúsító szervezettel elvégeztetni.
A tanúsítás folyamata
Az interoperabilitási követelmények értékelése történhet rendszerelemekre vagy a teljes biztosítóberendezési alrendszerre (annak egy területileg lehatárolt részére). A rendszerelem definícióját és a rendszerelemek felsorolását a CCS TSI adja meg: Rendszerelem a TSI szerint: „a berendezések olyan elemi rendszerelemei, rendszerelem-csoportjai, szerkezeti részegységei vagy egésze, amelyeket beszereltek vagy beszerelni terveznek a vasúti rendszer kölcsönös átjárhatóságát közvetlenül vagy közvetve meghatározó valamely alrendszerbe. A rendszerelem fogalma materiális és immateriális javakat – például szoftvert – egyaránt magában foglal.” A definiált rendszerelemek: fedélzeti ERTMS/ETCS; úthosszmérő berendezések; külső STM interfész; GSM-R hangkommunikációs rádió; kizárólag adatátvitelre szolgáló GSM-R ETCS rádió; GSM-R SIM kártya; RBC; rádiófeltöltő egység; Eurobalise; Euroloop; LEU Eurobalise; LEU Euroloop. (Megjegyzendő, hogy bizonyos rendszerelem-csoportok is definiálásra kerültek, ezek is lehetnek tanúsítási egységek.) És ismételjük meg a felsorolás után: ami nem rendszerelem (vagy azok definiált csoportja), az csak teljes alrendszerként tanúsítható.
Az értékeléshez (tanúsításhoz) a TSI ún. megfelelésértékelési modulokat rendel, e modulok határozzák meg a megfelelésértékelés módját. Véleményünk szerint a biztosítóberendezések esetében – figyelembe véve a biztonságmenedzsment- követelményeket és az egyébként is előírt folyamatdokumentációt – a legjobban a CH1 (rendszerelem) és SH1 (alrendszer) értékelési modulok alkalmazhatóak, amelyek tervvizsgálatból és a minőségirányítási rendszer vizsgálatából állnak. Természetesen más modulok is választhatók, de vizsgálni kell, az adott rendszerelem vagy alrendszer esetében mely modulok alkalmazása megengedett, illetve ezen engedélyezett modulok közül melyeket implementálta a felkérendő tanúsító (csak példaként: a magyarországi GSM-R NoBo tenderen a kiíró specifikálta az SH1 modult, mint alkalmazandó modult).
A magyarországi követelmények vizsgálatára az interoperabilitásnál bevezetett modulrendszerhez hasonlóan jól és átfogóan megfogalmazott modulrendszer nem áll rendelkezésre; itt a kijelölést kérő feladata a megfelelésértékelési módok összeállítása; majd a kijelölő kompetenciája annak elfogadása vagy visszautasítása. Számunkra triviális megoldásnak tűnik e területen is az interoperabilitási megfelelésértékelési modulrendszer alkalmazása. A tanúsítási folyamat egy megfelelésértékelési folyamat; a megfelelésértékelésre, megfelelésértékelő szervezetekre pedig általános jogszabályok és szabványok is vonatkoznak.
Éppen ezért egy mai tanúsítási folyamat jelentős mértékben formalizált: a tanúsítási folyamatot kérvényezni kell, sok tényről a kérvény benyújtásával együtt nyilatkozni kell a tanúsító felé (pl. máshoz e tárgyban nem nyújtott be kérelmet – nem működik az „egyik majd csak sikerül” elve…), meg kell adni a dokumentációs listát stb. És egy fontos követelmény a tanúsítási folyamattal szemben: a tanúsítási folyamatnak nem lehet eredménykötelme; nem köthető olyan szerződés, amelyben a teljesítés feltétele a sikeres tanúsítás, a tanúsítvány kiadása. A tanúsító szervezet a tanúsítási folyamat elvégzésével teljesít, függetlenül annak pozitív vagy negatív eredményétől.
A Certuniv Kft. mint tanúsító
A Certuniv Kft. ellenőrző és tanúsító típusú megfelelésértékelő szervezetként működik, kijelölve és bejelentve a vasúti interoperabilitás CCS alrendszerének megfelelésértékelésére (NoBo státusz), kijelölve a hazai országos vasúti rendszer biztosítóberendezési és biztonsági elektronikai kérdéseinek megfelelésértékelésére (DeBo státusz), valamint kijelölve a városi kötöttpályás közlekedés biztosítóberendezési és biztonsági elektronikai kérdéseinek megfelelésértékelésére (DeBo státusz).
A kijelölések megtörténte óta már számtalan nagy biztosítóberendezési tanúsítási projektet bonyolítottunk, illetve bonyolítunk le folyamatosan. A tanúsítási tevékenység mellett hangsúlyt helyezünk a tanúsítással, illetve általánosságban a biztonságmenedzsmenttel és a műszaki biztonsággal kapcsolatos módszerek és eljárások tudományos igényű fejlesztésére és kutatására, valamint publikálására is.
Részben e cél érdekében kapcsolatokat építettünk és törekszünk kiépíteni más kijelölt szervezetekkel, és természetesen a Certuniv Kft. is tagja a vasúti Notified Bodykat tömörítő NB-Rail munkacsoportnak, illetve az önállóan megalakuló NB-Rail szervezetnek (www.nb-rail.eu).
Összefoglalás
A biztosítóberendezési tanúsító szervezetek munkája fontos elem lehet a vasútbiztonság elérésében. Hatékony és megrendelői szempontból sikeres munkájuknak azonban feltétele a megfelelő mennyiségű és megfelelő minőségű információ; célszerű a tanúsítót a lehető leghamarabb bevonni a folyamatba, és a számára szükséges információkat átadni.
