Problematika bezpečnosti je jedním z velmi sledovaných témat současného vývoje automatizace dopravy ve vyspělých průmyslových zemích. Při provozování dopravy na železnici mohou vznikat velká rizika, která by mohla ve svém důsledku ohrozit osoby nebo životní prostředí. Takové riziko v železniční dopravě nelze připustit, píše ve své analýze nezávislý železniční expert Josef Schrötter.
Pokud takovéto riziko existuje, je nutné příčiny vedoucí k jejich vzniku omezit tak, aby byly splněny bezpečnostní požadavky, jinými slovy jej eliminovat na stanovenou přijatelnou úroveň. Proto byla na železnici (a nejen u ní) vytipována technická zařízení ovlivňující provozuschopnost a bezpečnost, která jsou označována jako „Určená technická zařízení“ (UTZ).
Mezi určená technická zařízení na železnici patří také železniční zabezpečovací zařízení. Z hlediska posuzování bezpečnosti u něj rozlišujeme „funkční bezpečnost“, což znamená, že zařízení v provozním bezporuchovém stavu neprovede žádnou akci, která by ohrozila bezpečnost dopravy. Současně ale u těchto zařízení musí být zajištěna ještě „technická bezpečnost“ – safety integrity. To znamená, že zařízení se musí chovat bezpečně i při všech uvažovaných poruchách za stanovených provozních podmínek.
V návaznosti na určené úrovně rizik plynoucích z povahy zařízení a způsobů jejich provozování bylo normováno několik úrovní „integrity bezpečnosti“ označované jako SIL (Safety Integrity Level). Ukazatel SIL kvantifikuje rizika (pravděpodobnost vzniku x četnost vzniku) při provozování určeného technického zařízení. Úroveň SIL proto představuje klíčový prvek funkční i technické bezpečnosti. SIL se ve výchozím stavu vždy vztahuje k funkci, resp. stanovení eliminace rizika její nesprávné nebezpečné funkce. To znamená, že jde o konstatování z hlediska konstrukce zařízení nebo zapojení elektrických obvodů, že možné riziko je sníženo na určitou úroveň.
Výsledná úroveň SIL zařízení se vztahuje na celý systém, přičemž definuje, do jaké úrovně rizik garantuje bezpečnou funkci včetně zajištění přechodu do bezpečného stavu (tj. ukončení činnosti systému za zajištění přechodu všech jeho výstupů do stavu, které zajišťují bezpečný stav celého řízeného systému) v případě selhání. Jsou stanoveny čtyři úrovně integrity bezpečnosti SIL 1 až SIL 4. Pro stanovení úrovně SIL je třeba si uvědomit, že každý vyšší stupeň SIL přináší při vývoji řádově větší úsilí a náklady. Takže je třeba navrhnout zařízení vždy tak, aby eliminace rizika, které se tímto získá, co nejvíce odpovídala požadované úrovni bezpečnosti vycházející z bezpečnostních požadavků a podmínek použití konečného systému. Samozřejmě, že nepostačuje pouze kvantifikace pravděpodobnosti selhání ochranného zařízení k dosažení určité úrovně integrity bezpečnosti, ale je třeba také přijmout primární opatření prevence a řešení poruch. Normy, které řeší tuto problematiku, vyžadují zejména použití speciálního systému řízení kvality – systém řízení bezpečnosti pokrývající návrh, výrobu, instalaci, provoz a údržbu. Pro jednotlivé úrovně SIL byly stanoveny následující tolerance intenzity nebezpečí na hodinu a na funkci (THR):
SIL 1 – 10-6≤THR<10-5
SIL 2 – 10-7≤THR<10-6
SIL 3 – 10-8≤THR<10-7
SIL 4 – 10-9≤THR<10-8
V současné době jsou v zabezpečovací železniční technice využívány počítače a telekomunikační prostředky. Ty na rozdíl od dříve používaných disktrétních prvků a prvků s vnitřní bezpečností (relé) pracují s matematickým modelováním a kombinují při svém návrhu techniky pracující s náhodnými a systematickými poruchami. Zatímco systematické poruchy jsou pokryty primárně promyšleným návrhem a aplikací systémů řízení kvality, oblast náhodných prvků poruch je řešena matematickým modelováním chování jednotlivých prvků velmi vysoké integrace (elektronických součástek a integrovaných obvodů).
Pro zajištění bezpečnosti a požadované úrovně SIL u počítačově orientovaných elektronických železničních zabezpečovacích systémů, přičemž pro tyto systémy je striktně požadována nejvyšší úroveň SIL 4, jsou používány konstrukce s bezpečností založenou na využití redundance, tj. násobným shodným zpracováním a trvalým porovnáváním dosažených výsledků a mezivýsledků. Redundance představuje tedy nadbytečnost, to znamená, že do systému musím dodat něco navíc, aby bylo například možné vyhodnocovat odchylky od jednotlivých zpracování, a tedy identifikovat poruchy. Od toho se tedy odvíjí větší složitost a cena zařízení.
U těchto systémů máme mimo hardwaru také příslušný software, většinou též částečně či plně zpracovávaný v několika variantách určených pro každou redundantní větev systému. To samozřejmě zvyšuje složitost systému a zkomplikovalo problematiku bezpečnosti. Na druhou stranu počítačové systémy velmi zvyšují funkční možnosti zařízení a také komfort pro uživatele. To vedlo samozřejmě také ke změnám při zpracování podkladů a způsobů hodnocení bezpečnosti elektronických zabezpečovacích zařízení. Postupy a podmínky jsou uvedeny v normách: ČSN EN 50126 – Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS), ČSN EN 50129 – Elektronické zabezpečovací systémy, ČSN EN 50128 – Software pro drážní řídicí a ochranné systémy a ČSN EN 50159 – Komunikace v přenosových zabezpečovacích systémech, a řadě norem navazujících v oblasti stanovení podmínek provozu, komunikací, ale i též oblasti kvality či nově kybernetické bezpečnosti.
Výrobci zabezpečovacích zařízení dodávají zařízení dle požadavku dopravců nebo provozovatele dráhy. Nebo také zajišťují dopředu nezadaný vývoj nových aplikací v generické podobě nebo systémů, které vedou k větší automatizaci řízení provozu a zvýšení bezpečnosti. Vývoj těchto zařízení není levný a velmi náročný je hlavně schvalovací proces. Železniční zabezpečovací zařízení musí také v rámci schvalování projít ověřovacím provozem v reálných podmínkách, obvykle se zajištěním bezpečnosti provozu dalším, paralelně provozovaným zařízením. Takže jsou zde mnohé obtíže, které vedou k vysokým nákladům pro výrobce, a proto tato zařízení nejsou levná.
Toto vše se projevuje též v současné době velmi diskutovaném tématu mobilních částí ETCS a jejich zástavby hlavně pak do starších typů vozidel, která nikdy nebyla pro něj připravována a nepočítala s nimi. Z důvodu vysoké poptávky po mobilních systémech ETCS se tlak větší konkurence mezi výrobci nekoná a nemění se ani dodavatelské ceny. Problém u mobilních systémů ETCS je také v tom, že u našich dopravců je v současnosti mnoho řad lokomotiv s malým počtem kusů, což vede k tomu, že náklady na zástavbu do hnacího vozidla rostou z důvodu nutnosti zpracovat samostatný projekt, konfiguraci a schválení samostatně pro každou řadu s malým počtem následného opakování. Současně projekčních a vývojových kapacit není dostatek a termínová poptávka v návaznosti na velmi ambiciózní plán přechodu na výhradní provoz pod dohledem ETCS v ČR (NIP počítá na nejdůležitějších páteřních tratích s výhradním provozem k 1. 1. 2025, což si vyžaduje dostupnost přibližně 1.000 mobilními částmi vybavených vozidel) je na hranici realizovatelnosti (očekávaná doba na zástavbu byla mezi 2 a 3 týdny mezi přistavením lokomotivy a jejím vrácením do běžného provozu). Je třeba nezapomínat na to, že počet systémů, které se na vozidlo instaluje, je velké množství počínaje snímači otáček na nápravách, doplnění o Dopplerovský radar, zdvojený radiový systém GSM-R, čtečka balíz, vlastní jádro OBU ETCS (On Board Unit) a u řady řad vozidel též úprava pultu strojvedoucího včetně zásahu do řídicího systému vozidla.
Železniční zabezpečovací zařízení vyžaduje to, že jejich spolehlivost a hlavně bezpečnost musí být prioritním parametrem před pouhým posouzením pohledem ceny. Řada nových zabezpečovacích systémů přináší úsporu provozních zaměstnanců a zvyšuje bezpečnost dopravy, a proto není na místě honba za mnohdy nevýznamnými ekonomickými úsporami. Dnes se pohybuje cena hnacího vozidla okolo 100 mil. Kč a celý vlak má pak obrovskou hodnotu, kterou je potřeba chránit. V každém případě stojí za to, na základě ekonomické analýzy rozhodnout, zda není vhodnější pronájem nových hnacích vozidel, které jsou již vybaveny OBU ETCS, než vybavování hnacích vozidel starších 15 let.