Zabezpečovací zařízení fungovalo bez závad

Featured Image

Větu tvořící nadpis tohoto článku slýcháme skoro pravidelně za jedné specifické příležitosti. Když auto vjede pod vlak.

Upřímně řečeno, už i moje žena s tím má problém. Díváte se na televizi, tam ukazují nějaké hrozně zdemolované auto. Oběti nehody, většinou tedy posádka automobilu, ještě ani nestačily vychladnout a SŽDC už sděluje médiím, že zabezpečovací zařízení fungovalo bez závad. Zajímalo by mě, jak to mohou tak rychle vědět.

Proč mám pochybnosti?

Prvě, předpokládám, že výsledky prověření funkce zabezpečovacího zařízení musejí být provedeny tak, aby je bylo možné přezkoumat, v případě potřeby například soudem. To také znamená, že je dopředu stanoveno, jaké kroky analýzy budou provedeny, pak ji někdo autorizovaný provede a nakonec o tom někdo sepíše zprávu, kde bude stát, kdo co jak prověřoval co a zjistil. Protože zabezpečení přejezdu je nepochybně bezpečnostně relevantní systém, očekávám logicky, že bude naplněn princip běžný v komeční sféře a veškerá zjištění budou posuzována tzv. principem čtyř očí (proč mají letadla od určité kategorie dva piloty?).

Dále pro rozsah těch analýz. Pokud tedy neexistuje záznam z kamer nebo svědecké výpovědi, který by prokázaly přímo výsledek činnosti zabezpečovacího zařízení, je podle mě prakticky nemožné, aby někdo zodpovědně prověřil funkci přejezdového zabezpečovacího zařízení během pár hodin mezi nehodou a televizním natáčením.

Za třetí, hraje se o velkou věc. Na jedné straně stojí značně standardizovaný bezpečnostní systém, jehož zpochybnění v jednom místě by automaticky mělo za následek jeho zpochybnění všude, obrovské náklady a soudní spory. Na druhé straně stojí posádka vozidla, která je mrtvá a nikdo si na ní nic nevezme, nějaký tlak veřejnosti a nespokojení příbuzní. To nejsou příliš dobré výchozí podmínky pro objektivní vyšetřování. Zkoušeli jste někdy reklamovat skrytou vadu výrobku nějaké velké korporaci?

Za čtrvrté, každý technický systém se jednou porouchá. Neexistuje technický systém, který by závady neměl. Ačkoli se vyšetřující orgány celkem úspěšně snaží vytvořit dojem, že zabezpečovací zařízení přejezdů je zcela bezchybné, a ačkoli věřím tomu, že je velmi spolehlivé, nevěřím tomu, že je 100% spolehlivé, protože to není možné.

Z mého pohledu je to zařízení ve dvou ohledech vadné přímo z principu.

Asi se shodneme na tom, že zabezpečovací zařízení přejezdu je bezpečnostně relevantní systém. Určují to zákony, které říkají, že když světla svítí, nelze na přejezd vjíždět a vice versa. Základní vlastností všech takových systému je inherentní bezpečnost, tedy musejí samy v  případě poruchy dosáhnout bezpečného stavu. V případě závor je failsafe, že závory sjedou dolů a rozsvítí se světelná signalizace. To je ovšem failsafe toho technického systému, ale zabezpečovací zařízení zahrnuje i lidský prvek. Jaká je reakce systému, když člověk zabezpečení vypne, ale přesto pošle na koleje vlak? Jak ukázala nedávná tragédie v Golčově Jeníkově, nereaguje vůbec nijak. Z mého pohledu jednoznačně návrhová chyba, kterou nelze vykompenzovat tím, že strojvedoucí dostanou nařízeno jezdit pomalu a houkat. To není rovnocenné, jak se rovněž ukázalo, protože se může stát, že za strojvedoucího bude právě zaskakovat jiný, informace si nepředají nebo ten zástupce bude mít napito dvě promile, protože má rád pivo a současně rád řídí mašinku.

Další obvyklou vlastností bezpečnostně relevantních systémů je, že uživatelům signalizují svůj status. Například když brzdám v autě dojde kapalina, rozsvítí se kontrolka, ta se současně rozsvěcí i při zapnutí klíčku, abyste věděli, že hlídání hladiny kapaliny „žije“. Na vypnutých semaforech bliká žlutá (takových je čím dál méně, protože lokální autority přišly na to, že je lepší nechat je přes noc zapnuté a otravovat tak řidičům život). Určitý (čím dál menší) počet přejezdů má bílé světlo, které sice má jinou funkci, ale mimo ni také řidiči signalizuje, že přejezd „je naživu“. Přejezdy kromě několika málo z nich, které zahrnují přejezdník, nesignalizují nic ani strojvedoucím. Z mého pohledu jednoznačně další návrhová chyba, kdy se mrtvý přejezd a přejezd bez výstrahy chovají vizuálně stejně.

Dále existují skutečnosti, které staví základní principy drážního zabezpečovacího systému v potaz.

K rozeznání vlaku se používají induktivní počítače náprav nebo kolejové obvody. Druhý uvedený princip počítá s tím, že nápravy vlaku spojí obě koleje. To se však za určitých okolností nemusí stát. Doporučuji prostudovat nějaká fakta k nehodě v Moravanech. Kolem závěrů vyšetřovací zprávy z této nehody se skutečně usilovně mlžilo a průběh šetření byl zpochybňován mezinárodními orgány. Z vyšetřování nehody vyplynuly mnohé zajímavé věci. Jednak že existují kolejová vozidla nekompatibilní s kolejovými obvody (prý se mělo jednat o lokomotivy a vagóny s kotoučovými brzdami, kde brzdové špalky pravidelně „nečistí“ kola. To dokonce nepřímo potvrdily České dráhy, které pak začaly zařazovat do souprav s kotoučovými brzdami nejméně jedno vozidlo s klasickými brzdami) a pak že i vozidla kompatibilní s kolejovými obvody nemusejí být kompatibilní, pokud sypou pod kola písek. Písek je izolant a kola už obě koleje nemohou spojit. Při určité kombinaci nastavení pískovacího zařízení a rychlosti jízdy vozidla je pískovací zařízení s to odizolovat kolejové vozidlo od koleje.  Podmínky pro pískování jsou stanoveny technickými specifikacemi, a to tak, že pro zlepšení brzdných a trakčních technických parametrů je přípustné použít na koleje písek. Přitom povolené množství písku na písečník za 30 sekund je pro rychlosti do 140 km/h 400 g. V rámci televizního šotu u příležitosti tiskové konference Drážní inspekce zaznělo, že místo 400 g za 30 s padalo na kolejnici 3 kg za 30 s. Prověřovaly se všechny lokomotivy a jejich pískovací zařízení, jak vypadají pískovací trubice a jaké je nastavení ovládacích ventilů. Ztráta shuntu je prý dosud považována v podstatě za „normální“ jev. Není mi jasné, jakým způsobem drážní systém detekuje ztrátu shuntu, co se stane po její detekci a nemyslím si, že prověření těchto věcí je možné za jedno odpoledne. Kromě toho, doneslo se mi, že na některých usecích jsou kombinovány počítače náprav a kolejové obvody. To sice vypadá jako dvojí jištění ve smyslu kšandy + pásek, ale podle mě to způsobuje ještě větší dilema. Který z obou systémů má pak prioritu a proč?  Konečně třetí zajímavou věcí, která vyšla při nehodě v Moravanech navenek bylo, že zabezpečovací systém od firmy AŽD správně nereagoval na to, kdy vlak z jednoho oddílu trati zmizel, ale v druhém se neobjevil. AŽD se obhajovalo tím, že „mizení vlaků“ je v souladu se specifikací zadavatele (!), to je trochu zneklidňující. Pracovník drážní inspekce, který vedl vyšetřování a tuto skutečnost v závěrečné zprávě uvedl, byl ze strany AŽD označen za nekompetentního. To je nepochybně čtvrtá zajímavá věc, říká se tomu managerial root cause. Nejen že systém nereagoval na mizení vlaků, ale dokonce jeho dodavatel, uživatel a vyšetřující orgán nedovedou vyšetřování vést tak, aby našli skutečnou příčinu problému.

Když jsme tedy konstatovali, že přejezd je bezpečnostně relevantní, můžeme také konstatovat, že pro takové systémy v komerčním světě a nestátním sektoru musí existovat analýza zvaná FMEA. Je to analýza chyb a jejich následků. Kdyby existovala, musel by se někdo nutně zabývat tím, jaký je bezpečnostní koncept železničního přejezdu v případě, že na něj vjede silniční vozidlo, ale nemůže z něj odjet. Taková závada by měla vysoké hodnocení, protože a) může se to stát b) nelze to odhalit c) rezultuje to s jistotou ve srážku. Jak ukázala nehoda ve Studénce, žádný takový koncept neexistuje.

Dokonce se v nedávné době vyslovil tým expertů, že přejezdy by zařízením detekujícím takový stav vůbec neměly být vybavovány a místo toho je třeba nakoupit kamery a rozdávat pokuty. Takže nejen že nic takového není, dokonce ani znalci nechápou, k čemu by to bylo. Podle mě jednoznačný projev odborné zaslepenosti a nesystémového myšlení, nebo snaha zamaskovat vlastní nečinnost. V minulosti totiž došlo k jinému takovému případu, při kterém mimochodem státní složky i železnice selhaly v důsledku zcela chaotické komunikace a z tohoto případu se nikdo nepoučil natolik, aby se tím nějak hlouběji zabýval, takže bylo jen otázkou času, kdy se to zase zopakuje.

Po dočtení tohoto článku jsem k signalizaci na světelných přejezdech získal zvláštní druh (dis)respektu, protože mi došlo, že problematiku silniční a drážní dopravy v ČR ovlivňují z vysokých pozic velmi hloupí a zcela neschopní lidé, kteří žijí ve světě norem, zákazů, příkazů a nevidí přes strom les. To se někde musí projevit, nejspíš přímo na těch přejezdech. Začal jsem na zabezpečovací zařízení přejezdů nahlížet jako na hezká blikající a cinkající světýlka a to je všechno. Moje letitá praxe s výrobky a systémy, které navrhli fachidioti říká, že to jedním průserem nikdy nekončí a vždy „je tam toho víc“.

Lidskou hloupost a nerespektování jakýchkoliv pravidel vyřeší represe. Vždy je to jen o lidské nezodpovědnosti, protože téměř za všechny nehody na přejezdech mohou řidiči aut,“ přidal se Miroslav Vančura z brněnského Centra dopravního výzkumu.

Tohle je přece koncentrovaná idiocie. Ten pán je tak zaslepený, že ho vůbec ani nenapadlo, že se nějaké vozidlo nebo jeho náklad může ocitnout na přejezdu i mimo vůli nebo dokonce proti vůli jeho řidiče. Nakonec právě přejezd ve Studénce je důkaz toho, že kamery jako zabezpečovací zařízení nejsou s to žádné nehodě zabránit, protože při té nehodě tam již byly instalovány a úspěšně se používaly pro pokutování. Jinak byly úplně k ničemu.

„Experti“ dokonce tak omezení, že je ani nenapadlo prověřit, zda by se náhodou ty kamery nedaly použít k něčemu jinému než skenování espézetek pro rozdávání pokut provozovatelům, kteří navíc ještě ani nemuseli být řidiči. Ona by ta kamera totiž mohla to vozidlo detekovat a spustit nějakou akci, nikoli pouze odeslat espézetku úřadu, aby si nakrmil pokladnu. Ale s tím nic nenaděláte. Když jste idiot, mozek vám jede po jiné koleji a v jiných dimenzích prostě neuvažuje. Pro úplnost, přístup zmíněných expertů, který by v některých firmách a pozicích spolehlivě postačoval na vyhazov za nekompetentnost, se někteří žurnalisté pokoušejí proměnit ve společenskou normu, viz například tento článek redaktora Honzejka, taky exemplárního blba, ale to je zase jiné téma.

Co horšího. „Experti“ evidentně nerozlišují mezi pojmy „vina“ a „chyba“. I když se podaří ukázat prstem na nějakého chudáka a udělat z něj viníka (nejlepší je, když je současně mrtvý, protože se nebude bránit), neznamená to automaticky, že je problém vyřešen. Když nějaký dělník z Pákistánu špatně smontuje autorádio, které pak přestane hrát, je to sice jeho vina, ale současně chyba toho, kdo mu nevytvořil odpovídající pracovní podmínky, nedostatečně ho zaškolil nebo ho vůbec pro tu práci vybral. Moc špatný.

Tím se dostáváme k poslednímu tématu, a to jsou principy, podle kterých je infrastruktura navrhována. Inženýři navrhující zabezepečovací zařízení přejezdů si totiž počínají, jako by vůbec nebrali v potaz, že je zabezpečují proti lidem. Lidé mají například omezenou trpělivost, sem tam něco přehlédnou a jejich reakce na nenadálou situaci nejsou strojové, ale reflexivní. Je to tím, že příslušní inženýři jsou zcela uvěznění ve světě relátek a odporů a nějak zapomněli na to, že tady nejsou lidé kvůli infrastruktuře, ale infrastruktura kvůli lidem. Na průsery na přejezdech sami zadělávají svým způsobem myšlení, kdy se dětinsky a zcela hloupě spoléhají, že se lidé budou chovat stejně jako jejich relátka, obvody a shunty, tedy zcela předvídatelně. Mám nyní na mysli takové ty „vychytávky“ jako zastávky a návěstidla v přibližovacím úseku, předčasné nastavení zelené na výjezdu ze stanice, aby vlak nemusel čekat na nastavení výstrahy na přejezdu a podobně. To sice dělá železničářům život snazší, ale současně to vytváří motivaci k tomu, aby se jejich systém široce obcházel nebo je nepřímo nutí hrát ruskou ruletu, přičemž si nad tím alibisticky myje ruce, protože „je to přece zakázané“. To je i případ přejezdu ve Studénce, kde projede denně 240 vlaků. Pokud jedna výstraha včetně spuštění a zvednutí trvala 3 minuty, vychází z toho, že půl dne jsou ty závory dole. Ať se proto nikdo nediví, že tam lidi jezdí na červenou. Ten úrovňový přejezd tam vůbec neměl být a jakákoli jiná argumentace je alibismus.

Osobně si myslím, že železniční přejezdy skýtají ohromný potenciál ke zlepšení jejich bezpečnosti a kolem jejich úrovně bezpečnosti se nemluví úplně otevřeně. Praktický dopad pro váš nebo můj život může být pouze jeden. Že to nebliká neznamená, že nejede vlak. Může to taky znamenat, že nějaký expert neměl svůj den.

 


10.4.2016 D-FENS

12345 (421x hodnoceno, průměr: 1,37 z 5)
26 991x přečteno
Updatováno: 10.4.2016 — 23:33
D-FENS © 2016