Sit 6 Umsetzung der CSM-RA bei der Deutschen...

Braunschweig, 05.11.2013

Deutsche Bahn AG

Niko Holst

Safety in Transportation 6

Umsetzung der CSM-RA bei der Deutschen BahnSachstand & aktuelle Diskussion im Sektor

2Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013

1.

2.

3.

4.

Umsetzung der CSM-RA bei der Deutschen Bahn

Änderungen im Sinne der CSM-RA

(Weiter-) Entwicklung von RAC-TS

Unabhängige Bewertungsstelle (AsBo)

Inhalt

Die Herausforderung besteht darin, risikobasierte Methoden mit regelungsbasierten Vorgehensweisen zu verbinden


Sicherer BetriebSicheres System

Sicherheitsmaßnahmen

Gefährdungen, Risiken

Gefährdungs-management

Anforderungen

Vorgaben

Erfahrung

Inte

gra

tio

n

Inte

gra

tio

n

�Gefährdungen und die damit verbundenen Risiken sind im aktuellen Regelwerk nicht beschrieben

�Keine direkte Verbindung zwischen Regeln und Gefährdungen möglich

�Risikobasierter Vergleich mit Regelwerk fast nicht möglich

�Risikobasierter Vergleich mit Referenzsystem problematisch, da die meisten Referenzsysteme nicht risikobasiert beschrieben sind

Grober Ablauf zur Risikoevaluierung und -bewertung nach CSM-RA

4Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 4

Sicherheitsrelevanz prüfen

Signifikanz prüfen

System definieren

Gefährdungen ermitteln

„anerkannte Regeln der Technik“ anwenden

mit Referenzsystem vergleichen

explizite Risikoabschätzung durchführen

Risiken evaluieren und abschließend bewerten

Gefährdungen managen

unabhängige Bewertung durchführen lassen

Prozessende

formelles Risiko-management-

verfahren nachCSM-RA

„eigene Sicherheits-methode“

nicht signifikant

nicht sicherheitsrelevant

Änderung des Systems beschreiben

� Systemdefinition

� Gefährdungs-ermittlung

� Gefährdungs-beherrschung

Vorgehensweise und Methoden zur Umsetzung der CSM-RA sind im Handbuch Riskomanagement beschrieben (Ril451)



Signifikanz prüfen

System definieren




explizite Risikoabschätzung

durchführen




Prozessende




nicht signifikant



� System-definition



Template „Signifikanzbewertung“

Ergebnisse− Handbuch Risikomanagement− Moderationshilfe Risikoanalyse- und

bewertung− Schulungsunterlagen

Rahmenbedingungen Bewertungsstellen :− Selbstverständniserklärung− Vorlage Sicherheitsbewertungsbericht− Bewertungsschema

Vorschlag Hazard record

Schulungen für DB Personal

Definition von „Sicherheitsrelevanz“




Signifikanz prüfen

System definieren








Prozessende




nicht signifikant






Die Prüfung, ob eine Änderung vorliegt, erlaubt dem Vorschlagenden eine Fokussierung auf neue Risiken


Das Ausschließen von bereits bewerteten Vorgängen aus den Sicherheitsbetrachtungen ermöglicht einen Fokus auf die wesentlichen Risiken.

Viele Vorgänge stellen keine Änderung im Sinne CSM-RA dar

� Die CSM-RA ist anzuwenden, wenn sich „aus geänderten Betriebsbedingungen oder Materialien neue Risiken für den Betrieb oder die Infrastruktur ergeben“.

� Bei vielen Vorgängen im dynamischen System Eisenbahn wurde der Sicherheitsnachweis bereits erbracht. Er ist z.B. in Form von Sollzuständen im Regelwerk festgeschrieben.

� Das umfassende sicherheitsrelevante Regelwerk wurde entwickelt, um Gefährdungen und aus ihnen entstehende Risiken implizit zu beherrschen

� Durch die Anwendung des Regelwerks entstehen keine neuen Risiken. Es liegt somit auch keine Änderung vor.

� Eine ständige Neubewertung gleicher Sachverhalte generiert nur Aufwand, keinen Mehrwert

Was ist eine Änderung im Sinne der CSM-RA?


� Definierte Sollzustände und Bedingungen für Zustandswechsel sind wesentlicher und fester Bestandteil des Systems Eisenbahn

� Sie sind im Regelwerk zur Gefährdungsbeherrschung detailliert beschrieben

� Das System Eisenbahn wird planmäßig angepasst: z.B. Fahrplanerstellung, Schichtplanerstellung, Einrichtung von Langsamfahrstellen, ad hoc Verlagerung von Zugkreuzungspunkten durch FDL etc.

� Ziel der CSM-RA ist es nicht, bereits bewertete Situationen neu zu bewerten

� Ob eine Änderung vorliegt, hängt demnach maßgeblich damit zusammen, wie detailliert ein Vorgang im Regelwerk beschrieben ist.

� Eine Änderung ist zum Beispiel eine Abweichung vom Regelwerk, eine Anpassung des Regelwerks, eine Anpassung eines Prozesses oder eine Innovation

� Das Regelwerk ist bei EVU/ EIU Bestandteil des Sicherheitsmanagementsystems. Ob Änderungen vorliegen, hängt somit von der Reife und dem Detaillierungsgrad des SMS ab

Im Bereich Bahnbetrieb ist der Begriff der Änderung im Regelwerk des VDV beschrieben

Eine Änderung im Sinne der Verordnung, die im weiteren Verfahren auf die Frage „signifikant“ oder „nicht signifikant“ zu prüfen ist, liegt vor, wenn ein Verfahren oder ein Prozess

– neugestaltet wird,– weiterentwickelt wird oder– entfällt.

Werden vorhandene, bereits bewertete[1] Verfahren oder Prozesse erstmals– unter anderen Systembedingungen– oder in einer neuen Kombination

eingesetzt, liegt ebenfalls eine Änderung im Sinne der Verordnung vor.

Zu berücksichtigen ist, dass das Eisenbahnsystem ein dynamisches System ist, das im Rahmen vorhandener Regelwerke angepasst wird. Daher gelten nicht als Änderung im Sinne der Verordnung (EG) Nr. 352/2009, wenn im täglichen Betrieb im Rahmen des vorhandenen Regelwerks Änderungen im betrieblichen Ablauf auftreten, z. B. Verlegung einer Zugkreuzung oder Ersatz eines Triebfahrzeugführers durch einen anderen Triebfahrzeugführer.

[1] Unter „bewertet“ wird unter anderem alles eingeführte, betriebliche Regelwerk verstanden. Dazu zählt auch alles am 30.06.2012 in Kraft befindliche Regelwerk.


Quelle: VDV-Mitteilung Nr. 7507: Anwendung der Verordnung (EG) Nr. 352/2009 . . . Bei der Änderung betrieblicher Prozesse und Verfahren , 07.06.2012

Eine Vielzahl von Vorgängen stellen keine Änderung des Systems Eisenbahn dar


z.B.� Instandhaltungsmaßnahmen gemäß Regelwerk

� Entstörung (Herstellung des Sollzustandes)

� Systempflege von Hard- und Software (Herstellen des Sollzustandes, Erhaltung der Funktionsfähigkeit, Fehlerbeseitigung)

� 1:1-Austausch von Komponenten

� Anpassungen im Rahmen standardisierter Verfahren (z.B. Ril 892.0101), Einführung eines neuen Fahrplans

� Beseitigen von Tippfehlern in Regelwerk

z.B.� Anpassen/ neu schreiben von Regelwerk

(Verändern der Sollzustände)

� Abweichungen vom Regelwerk

� Anpassen von Prozessen des SMS

� Neu erstellen von Prozessen des SMS

� Innovationen

� Veränderung des Funktionsumfangs einer Anlage (Erweiterung oder Reduzierung)

� Erstmalige Verwendung von neuen Komponenten

Änderung

Keine Änderung




Signifikanz prüfen

System definieren








Prozessende




nicht signifikant






Die Auswahl der Risikoakzeptanzprinzipien trifft der Vorschlagende


„Anerkannte Regeln der Technik“

Bei Erfüllung der Anforderungen der„anerkannten Regeln der Technik“ wirdein akzeptiertes Sicherheitsniveauerreicht:� Implizite Gefährdungsbeherrschung

Referenzsystem

Bei analoger Vorgehensweise wie imbewährten Referenzsystem wird einakzeptiertes Sicherheitsniveau erreicht:� Vergleich „erwartetes Risiko gegen

Sicherheitsleistung“

Explizite Risikoabschätzung

Durch Vergleich mit einem festgelegtem(„explizitem“) Risikoakzeptanzkriterium wird

ein toleriertes Sicherheitsniveau ermittelt:� Explizite Gefährdungsbeherrschung� Scharfe Grenze der Risikoakzeptanz

Quelle Bilder: Microsoft Cliparts

Bei der (Weiter-) Entwicklung von RAC-TS sind bisher viele methodische Fragen nicht geklärt


Technisches System

Funktion

Funktionsfehler 1

Funktionsfehler 2

Funktionsfehler 3

Gefährdung 1.1

Gefährdung 1.2

Barriere 1 Barriere 2 Barriere 3

Unfallszenario 1.1.1



Auswirkung 1.1.1.1(typischer Fall)

Auswirkung 1.1.1.2

AkzeptableHäufigkeit des

Funktionsausalls(Zielwert)

Auswirkung desabgeschätzten

Szenarios(Kritischer Pfad)

Akzeptable Häufigkeit

Der unerwünschten Konsequenz

Externe Barrieren

Es sind eine Vielzahl von Annahmen notwendig:� Für welche Funktionsebene wird der Zielwert definiert?� Wie ist die Betriebsstunde dieser Funktion definiert?� Wie werden Systeme betrachtet, die auf Anforderung funktionieren?� Wird eine Vorgabe für die Fehlerrate oder die Gefährdungsrate gemacht?� Welche Arten von Barrieren können angesetzt werden?� Wie wirksam sind diese Barrieren, wie werden sie bewertet?� Was ist der glaubwürdig schlimmste Fall?� Wie erfolgt der Nachweis, dass der Zielwert erreicht wird?

In Abhängigkeit von den getroffenen Annahmen ergeben sich unterschiedliche Sicherheitsanforderungen für das technische System




Signifikanz prüfen

System definieren








Prozessende




nicht signifikant






Signifikante Änderungen sind einer unabhängigen Bewertung zu unterziehen


� AsBo führt unabhängige Bewertung der Eignung und Anwendung des Risikomanagementverfahrens und seiner Ergebnisse durch

� Bewertungsstellen werden anerkannt durch Mitgliedsstaat (direkt) oder NSA (über SMS) oder akkreditiert

� Vorgaben für Sicherheitsbewertungsbericht nach Anhang III

� Die Anforderungen der ISO/IEC 17020 (Inspektionsstellen) müssen erfüllt werden

� Zusätzlich fordert der Anhang II der CSM-RA:� Kompetenz auf dem Gebiet des

Risikomanagements� Einschlägige Fähigkeiten zur Bewertung der

betroffenen Teile des Eisenbahnsystems� Kompetenz bei Anwendung von Sicherheits- und

Qualitätsmanagementsystemen

Die Bewertungsstelle muss unabhängig vom Vorschlagenden sein. Die Anforderungen ergeben sich aus der ISO/IEC 17020

Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013

Inspektionen müssen unparteiisch durchgeführt werden. Die Inspektionsstelle muss unabhängig sein,gegenüber Entwicklung, Herstellung, Vertrieb, Errichtung, Benutzung oder Instandhaltung

von inspizierten Gegenständen

Typ A:unabhängiger Dritter

eigenständige jurist. Person,tätig auf dem Markt

als Dienstleister

TYP B:rechtl. Teil von Hersteller/Betreiber,

organisatorisch abgetrennt und identifizierbar,

tätig nur für Mutterorganisation

Typ C:rechtl. Teil von Hersteller/Betreiber,

organisatorisch Identifizierbar, nicht notwendig abgetrennt,

tätig für Mutterorganisation u. Dritte

Akkreditierung, Anerkennung durch Mitgliedsstaat

Anerkennung durch Bewertung und Überwachung des SMS/Instandhaltungssystems

laufende Überwachungdurch NSA

laufende Überwachung durch die Akkreditierungs-/

Anerkennungsstelle

Aktualität der Fachkenntnisse und Systemkompetenz


Vielen Dank für Ihre Aufmerksamkeit

Sit 6 Umsetzung der CSM-RA bei der Deutschen...

Documents

Transcript of Sit 6 Umsetzung der CSM-RA bei der Deutschen...