Sit 6 Umsetzung der CSM-RA bei der Deutschen...
Transcript of Sit 6 Umsetzung der CSM-RA bei der Deutschen...
Braunschweig, 05.11.2013
Deutsche Bahn AG
Niko Holst
Safety in Transportation 6
Umsetzung der CSM-RA bei der Deutschen BahnSachstand & aktuelle Diskussion im Sektor
2Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
1.
2.
3.
4.
Umsetzung der CSM-RA bei der Deutschen Bahn
Änderungen im Sinne der CSM-RA
(Weiter-) Entwicklung von RAC-TS
Unabhängige Bewertungsstelle (AsBo)
Inhalt
Die Herausforderung besteht darin, risikobasierte Methoden mit regelungsbasierten Vorgehensweisen zu verbinden
3Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Sicherer BetriebSicheres System
Sicherheitsmaßnahmen
Gefährdungen, Risiken
Gefährdungs-management
Anforderungen
Vorgaben
Erfahrung
Inte
gra
tio
n
Inte
gra
tio
n
�Gefährdungen und die damit verbundenen Risiken sind im aktuellen Regelwerk nicht beschrieben
�Keine direkte Verbindung zwischen Regeln und Gefährdungen möglich
�Risikobasierter Vergleich mit Regelwerk fast nicht möglich
�Risikobasierter Vergleich mit Referenzsystem problematisch, da die meisten Referenzsysteme nicht risikobasiert beschrieben sind
Grober Ablauf zur Risikoevaluierung und -bewertung nach CSM-RA
4Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 4
Sicherheitsrelevanz prüfen
Signifikanz prüfen
System definieren
Gefährdungen ermitteln
„anerkannte Regeln der Technik“ anwenden
mit Referenzsystem vergleichen
explizite Risikoabschätzung durchführen
Risiken evaluieren und abschließend bewerten
Gefährdungen managen
unabhängige Bewertung durchführen lassen
Prozessende
formelles Risiko-management-
verfahren nachCSM-RA
„eigene Sicherheits-methode“
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
� Systemdefinition
� Gefährdungs-ermittlung
� Gefährdungs-beherrschung
Vorgehensweise und Methoden zur Umsetzung der CSM-RA sind im Handbuch Riskomanagement beschrieben (Ril451)
5Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 5
Sicherheitsrelevanz prüfen
Signifikanz prüfen
System definieren
Gefährdungen ermitteln
„anerkannte Regeln der Technik“ anwenden
mit Referenzsystem vergleichen
explizite Risikoabschätzung
durchführen
Risiken evaluieren und abschließend bewerten
Gefährdungen managen
unabhängige Bewertung durchführen lassen
Prozessende
formelles Risiko-management-
verfahren nachCSM-RA
„eigene Sicherheits-methode“
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
� System-definition
� Gefährdungs-ermittlung
� Gefährdungs-beherrschung
Template „Signifikanzbewertung“
Ergebnisse− Handbuch Risikomanagement− Moderationshilfe Risikoanalyse- und
bewertung− Schulungsunterlagen
Rahmenbedingungen Bewertungsstellen :− Selbstverständniserklärung− Vorlage Sicherheitsbewertungsbericht− Bewertungsschema
Vorschlag Hazard record
Schulungen für DB Personal
Definition von „Sicherheitsrelevanz“
Grober Ablauf zur Risikoevaluierung und -bewertung nach CSM-RA
6Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 6
Sicherheitsrelevanz prüfen
Signifikanz prüfen
System definieren
Gefährdungen ermitteln
„anerkannte Regeln der Technik“ anwenden
mit Referenzsystem vergleichen
explizite Risikoabschätzung durchführen
Risiken evaluieren und abschließend bewerten
Gefährdungen managen
unabhängige Bewertung durchführen lassen
Prozessende
formelles Risiko-management-
verfahren nachCSM-RA
„eigene Sicherheits-methode“
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
� Systemdefinition
� Gefährdungs-ermittlung
� Gefährdungs-beherrschung
Die Prüfung, ob eine Änderung vorliegt, erlaubt dem Vorschlagenden eine Fokussierung auf neue Risiken
7Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Das Ausschließen von bereits bewerteten Vorgängen aus den Sicherheitsbetrachtungen ermöglicht einen Fokus auf die wesentlichen Risiken.
Viele Vorgänge stellen keine Änderung im Sinne CSM-RA dar
� Die CSM-RA ist anzuwenden, wenn sich „aus geänderten Betriebsbedingungen oder Materialien neue Risiken für den Betrieb oder die Infrastruktur ergeben“.
� Bei vielen Vorgängen im dynamischen System Eisenbahn wurde der Sicherheitsnachweis bereits erbracht. Er ist z.B. in Form von Sollzuständen im Regelwerk festgeschrieben.
� Das umfassende sicherheitsrelevante Regelwerk wurde entwickelt, um Gefährdungen und aus ihnen entstehende Risiken implizit zu beherrschen
� Durch die Anwendung des Regelwerks entstehen keine neuen Risiken. Es liegt somit auch keine Änderung vor.
� Eine ständige Neubewertung gleicher Sachverhalte generiert nur Aufwand, keinen Mehrwert
Was ist eine Änderung im Sinne der CSM-RA?
8Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
� Definierte Sollzustände und Bedingungen für Zustandswechsel sind wesentlicher und fester Bestandteil des Systems Eisenbahn
� Sie sind im Regelwerk zur Gefährdungsbeherrschung detailliert beschrieben
� Das System Eisenbahn wird planmäßig angepasst: z.B. Fahrplanerstellung, Schichtplanerstellung, Einrichtung von Langsamfahrstellen, ad hoc Verlagerung von Zugkreuzungspunkten durch FDL etc.
� Ziel der CSM-RA ist es nicht, bereits bewertete Situationen neu zu bewerten
� Ob eine Änderung vorliegt, hängt demnach maßgeblich damit zusammen, wie detailliert ein Vorgang im Regelwerk beschrieben ist.
� Eine Änderung ist zum Beispiel eine Abweichung vom Regelwerk, eine Anpassung des Regelwerks, eine Anpassung eines Prozesses oder eine Innovation
� Das Regelwerk ist bei EVU/ EIU Bestandteil des Sicherheitsmanagementsystems. Ob Änderungen vorliegen, hängt somit von der Reife und dem Detaillierungsgrad des SMS ab
Im Bereich Bahnbetrieb ist der Begriff der Änderung im Regelwerk des VDV beschrieben
Eine Änderung im Sinne der Verordnung, die im weiteren Verfahren auf die Frage „signifikant“ oder „nicht signifikant“ zu prüfen ist, liegt vor, wenn ein Verfahren oder ein Prozess
– neugestaltet wird,– weiterentwickelt wird oder– entfällt.
Werden vorhandene, bereits bewertete[1] Verfahren oder Prozesse erstmals– unter anderen Systembedingungen– oder in einer neuen Kombination
eingesetzt, liegt ebenfalls eine Änderung im Sinne der Verordnung vor.
Zu berücksichtigen ist, dass das Eisenbahnsystem ein dynamisches System ist, das im Rahmen vorhandener Regelwerke angepasst wird. Daher gelten nicht als Änderung im Sinne der Verordnung (EG) Nr. 352/2009, wenn im täglichen Betrieb im Rahmen des vorhandenen Regelwerks Änderungen im betrieblichen Ablauf auftreten, z. B. Verlegung einer Zugkreuzung oder Ersatz eines Triebfahrzeugführers durch einen anderen Triebfahrzeugführer.
[1] Unter „bewertet“ wird unter anderem alles eingeführte, betriebliche Regelwerk verstanden. Dazu zählt auch alles am 30.06.2012 in Kraft befindliche Regelwerk.
9Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Quelle: VDV-Mitteilung Nr. 7507: Anwendung der Verordnung (EG) Nr. 352/2009 . . . Bei der Änderung betrieblicher Prozesse und Verfahren , 07.06.2012
Eine Vielzahl von Vorgängen stellen keine Änderung des Systems Eisenbahn dar
10Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
z.B.� Instandhaltungsmaßnahmen gemäß Regelwerk
� Entstörung (Herstellung des Sollzustandes)
� Systempflege von Hard- und Software (Herstellen des Sollzustandes, Erhaltung der Funktionsfähigkeit, Fehlerbeseitigung)
� 1:1-Austausch von Komponenten
� Anpassungen im Rahmen standardisierter Verfahren (z.B. Ril 892.0101), Einführung eines neuen Fahrplans
� Beseitigen von Tippfehlern in Regelwerk
z.B.� Anpassen/ neu schreiben von Regelwerk
(Verändern der Sollzustände)
� Abweichungen vom Regelwerk
� Anpassen von Prozessen des SMS
� Neu erstellen von Prozessen des SMS
� Innovationen
� Veränderung des Funktionsumfangs einer Anlage (Erweiterung oder Reduzierung)
� Erstmalige Verwendung von neuen Komponenten
Änderung
Keine Änderung
Grober Ablauf zur Risikoevaluierung und -bewertung nach CSM-RA
11Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 11
Sicherheitsrelevanz prüfen
Signifikanz prüfen
System definieren
Gefährdungen ermitteln
„anerkannte Regeln der Technik“ anwenden
mit Referenzsystem vergleichen
explizite Risikoabschätzung durchführen
Risiken evaluieren und abschließend bewerten
Gefährdungen managen
unabhängige Bewertung durchführen lassen
Prozessende
formelles Risiko-management-
verfahren nachCSM-RA
„eigene Sicherheits-methode“
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
� Systemdefinition
� Gefährdungs-ermittlung
� Gefährdungs-beherrschung
Die Auswahl der Risikoakzeptanzprinzipien trifft der Vorschlagende
12Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
„Anerkannte Regeln der Technik“
Bei Erfüllung der Anforderungen der„anerkannten Regeln der Technik“ wirdein akzeptiertes Sicherheitsniveauerreicht:� Implizite Gefährdungsbeherrschung
Referenzsystem
Bei analoger Vorgehensweise wie imbewährten Referenzsystem wird einakzeptiertes Sicherheitsniveau erreicht:� Vergleich „erwartetes Risiko gegen
Sicherheitsleistung“
Explizite Risikoabschätzung
Durch Vergleich mit einem festgelegtem(„explizitem“) Risikoakzeptanzkriterium wird
ein toleriertes Sicherheitsniveau ermittelt:� Explizite Gefährdungsbeherrschung� Scharfe Grenze der Risikoakzeptanz
Quelle Bilder: Microsoft Cliparts
Bei der (Weiter-) Entwicklung von RAC-TS sind bisher viele methodische Fragen nicht geklärt
13Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Technisches System
Funktion
Funktionsfehler 1
Funktionsfehler 2
Funktionsfehler 3
Gefährdung 1.1
Gefährdung 1.2
Barriere 1 Barriere 2 Barriere 3
Unfallszenario 1.1.1
Unfallszenario 1.1.2
Unfallszenario 1.1.3
Auswirkung 1.1.1.1(typischer Fall)
Auswirkung 1.1.1.2
AkzeptableHäufigkeit des
Funktionsausalls(Zielwert)
Auswirkung desabgeschätzten
Szenarios(Kritischer Pfad)
Akzeptable Häufigkeit
Der unerwünschten Konsequenz
Externe Barrieren
Es sind eine Vielzahl von Annahmen notwendig:� Für welche Funktionsebene wird der Zielwert definiert?� Wie ist die Betriebsstunde dieser Funktion definiert?� Wie werden Systeme betrachtet, die auf Anforderung funktionieren?� Wird eine Vorgabe für die Fehlerrate oder die Gefährdungsrate gemacht?� Welche Arten von Barrieren können angesetzt werden?� Wie wirksam sind diese Barrieren, wie werden sie bewertet?� Was ist der glaubwürdig schlimmste Fall?� Wie erfolgt der Nachweis, dass der Zielwert erreicht wird?
In Abhängigkeit von den getroffenen Annahmen ergeben sich unterschiedliche Sicherheitsanforderungen für das technische System
Grober Ablauf zur Risikoevaluierung und -bewertung nach CSM-RA
14Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 14
Sicherheitsrelevanz prüfen
Signifikanz prüfen
System definieren
Gefährdungen ermitteln
„anerkannte Regeln der Technik“ anwenden
mit Referenzsystem vergleichen
explizite Risikoabschätzung durchführen
Risiken evaluieren und abschließend bewerten
Gefährdungen managen
unabhängige Bewertung durchführen lassen
Prozessende
formelles Risiko-management-
verfahren nachCSM-RA
„eigene Sicherheits-methode“
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
� Systemdefinition
� Gefährdungs-ermittlung
� Gefährdungs-beherrschung
Signifikante Änderungen sind einer unabhängigen Bewertung zu unterziehen
15Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
� AsBo führt unabhängige Bewertung der Eignung und Anwendung des Risikomanagementverfahrens und seiner Ergebnisse durch
� Bewertungsstellen werden anerkannt durch Mitgliedsstaat (direkt) oder NSA (über SMS) oder akkreditiert
� Vorgaben für Sicherheitsbewertungsbericht nach Anhang III
� Die Anforderungen der ISO/IEC 17020 (Inspektionsstellen) müssen erfüllt werden
� Zusätzlich fordert der Anhang II der CSM-RA:� Kompetenz auf dem Gebiet des
Risikomanagements� Einschlägige Fähigkeiten zur Bewertung der
betroffenen Teile des Eisenbahnsystems� Kompetenz bei Anwendung von Sicherheits- und
Qualitätsmanagementsystemen
Die Bewertungsstelle muss unabhängig vom Vorschlagenden sein. Die Anforderungen ergeben sich aus der ISO/IEC 17020
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Inspektionen müssen unparteiisch durchgeführt werden. Die Inspektionsstelle muss unabhängig sein,gegenüber Entwicklung, Herstellung, Vertrieb, Errichtung, Benutzung oder Instandhaltung
von inspizierten Gegenständen
Typ A:unabhängiger Dritter
eigenständige jurist. Person,tätig auf dem Markt
als Dienstleister
TYP B:rechtl. Teil von Hersteller/Betreiber,
organisatorisch abgetrennt und identifizierbar,
tätig nur für Mutterorganisation
Typ C:rechtl. Teil von Hersteller/Betreiber,
organisatorisch Identifizierbar, nicht notwendig abgetrennt,
tätig für Mutterorganisation u. Dritte
Akkreditierung, Anerkennung durch Mitgliedsstaat
Anerkennung durch Bewertung und Überwachung des SMS/Instandhaltungssystems
laufende Überwachungdurch NSA
laufende Überwachung durch die Akkreditierungs-/
Anerkennungsstelle
Aktualität der Fachkenntnisse und Systemkompetenz
17Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013
Vielen Dank für Ihre Aufmerksamkeit