Umsetzung der CSM-RA bei der Deutschen Bahn - Sachstand & aktuelle Diskussion im Sektor
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Umsetzung der CSM-RA bei der Deutschen Bahn
Sachstand & aktuelle Diskussion im Sektor
Deutsche Bahn AG
Niko Holst
Safety in Transportation 6
Braunschweig, 05.11.2013Inhalt 1. Umsetzung der CSM-RA bei der Deutschen Bahn 2. Änderungen im Sinne der CSM-RA 3. (Weiter-) Entwicklung von RAC-TS 4. Unabhängige Bewertungsstelle (AsBo) Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 2
Die Herausforderung besteht darin, risikobasierte Methoden mit
regelungsbasierten Vorgehensweisen zu verbinden
Erfahrung
Gefährdungen, Gefährdungen und die damit
Risiken verbundenen Risiken sind im aktuellen
Regelwerk nicht beschrieben
Anforderungen
Keine direkte Verbindung zwischen
Integration
Integration
Regeln und Gefährdungen möglich
Sicherheitsmaßnahmen
Risikobasierter Vergleich mit
Regelwerk fast nicht möglich
Vorgaben
Risikobasierter Vergleich mit
Gefährdungs- Referenzsystem problematisch, da
management die meisten Referenzsysteme nicht
Sicherer Betrieb risikobasiert beschrieben sind
Sicheres System
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 3Grober Ablauf zur Risikoevaluierung und -bewertung
nach CSM-RA
Änderung des Systems beschreiben
nicht sicherheitsrelevant
Sicherheitsrelevanz prüfen Prozessende
nicht signifikant
Signifikanz prüfen
formelles Risiko- „eigene
System definieren Sicherheits-
management-
verfahren nach methode“
Gefährdungen
CSM-RA ermitteln
Systemdefinition
„anerkannte Regeln der mit Referenzsystem explizite Risikoabschätzung Gefährdungs-
Technik“ anwenden vergleichen durchführen ermittlung
Gefährdungs-
beherrschung
Risiken evaluieren und
abschließend bewerten
unabhängige Bewertung
durchführen lassen
Gefährdungen managen
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 4Vorgehensweise und Methoden zur Umsetzung der CSM-RA
sind im Handbuch Riskomanagement beschrieben (Ril451)
Änderung des Systems
Definition von „Sicherheitsrelevanz“ beschreiben
nicht sicherheitsrelevant
Sicherheitsrelevanz
Prozessende
prüfen
nicht signifikant
Template „Signifikanzbewertung“ Signifikanz prüfen
formelles Risiko- „eigene
management- Sicherheits-
System definieren methode“
verfahren nach
Ergebnisse CSM-RA
− Handbuch Risikomanagement Gefährdungen
− Moderationshilfe Risikoanalyse- und ermitteln
bewertung System-
definition
− Schulungsunterlagen „anerkannte Regeln der mit Referenzsystem
explizite
Risikoabschätzung Gefährdungs-
Technik“ anwenden vergleichen ermittlung
durchführen
Gefährdungs-
Rahmenbedingungen Bewertungsstellen : beherrschung
Risiken evaluieren und
− Selbstverständniserklärung abschließend bewerten
− Vorlage Sicherheitsbewertungsbericht
− Bewertungsschema unabhängige Bewertung
durchführen lassen
Gefährdungen managen
Vorschlag Hazard record
Schulungen für DB Personal
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 5Grober Ablauf zur Risikoevaluierung und -bewertung
nach CSM-RA
Änderung des Systems beschreiben
nicht sicherheitsrelevant
Sicherheitsrelevanz prüfen Prozessende
nicht signifikant
Signifikanz prüfen
formelles Risiko- „eigene
System definieren Sicherheits-
management-
verfahren nach methode“
Gefährdungen
CSM-RA ermitteln
Systemdefinition
„anerkannte Regeln der mit Referenzsystem explizite Risikoabschätzung Gefährdungs-
Technik“ anwenden vergleichen durchführen ermittlung
Gefährdungs-
beherrschung
Risiken evaluieren und
abschließend bewerten
unabhängige Bewertung
durchführen lassen
Gefährdungen managen
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 6Die Prüfung, ob eine Änderung vorliegt, erlaubt dem
Vorschlagenden eine Fokussierung auf neue Risiken
Die CSM-RA ist anzuwenden, wenn sich „aus geänderten Betriebsbedingungen oder Materialien
neue Risiken für den Betrieb oder die Infrastruktur ergeben“.
Bei vielen Vorgängen im dynamischen System Eisenbahn wurde der Sicherheitsnachweis bereits
erbracht. Er ist z.B. in Form von Sollzuständen im Regelwerk festgeschrieben.
Das umfassende sicherheitsrelevante Regelwerk wurde entwickelt, um Gefährdungen und aus
ihnen entstehende Risiken implizit zu beherrschen
Durch die Anwendung des Regelwerks entstehen keine neuen Risiken. Es liegt somit auch keine
Änderung vor.
Eine ständige Neubewertung gleicher Sachverhalte generiert nur Aufwand, keinen Mehrwert
Das Ausschließen von bereits bewerteten Vorgängen aus den
Sicherheitsbetrachtungen ermöglicht einen Fokus auf die wesentlichen Risiken.
Viele Vorgänge stellen keine Änderung im Sinne CSM-RA dar
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 7Was ist eine Änderung im Sinne der CSM-RA?
Definierte Sollzustände und Bedingungen für Zustandswechsel sind wesentlicher und fester
Bestandteil des Systems Eisenbahn
Sie sind im Regelwerk zur Gefährdungsbeherrschung detailliert beschrieben
Das System Eisenbahn wird planmäßig angepasst: z.B. Fahrplanerstellung,
Schichtplanerstellung, Einrichtung von Langsamfahrstellen, ad hoc Verlagerung von
Zugkreuzungspunkten durch FDL etc.
Ziel der CSM-RA ist es nicht, bereits bewertete Situationen neu zu bewerten
Ob eine Änderung vorliegt, hängt demnach maßgeblich damit zusammen, wie detailliert ein
Vorgang im Regelwerk beschrieben ist.
Eine Änderung ist zum Beispiel eine Abweichung vom Regelwerk, eine Anpassung des
Regelwerks, eine Anpassung eines Prozesses oder eine Innovation
Das Regelwerk ist bei EVU/ EIU Bestandteil des Sicherheitsmanagementsystems. Ob
Änderungen vorliegen, hängt somit von der Reife und dem Detaillierungsgrad des SMS ab
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 8Im Bereich Bahnbetrieb ist der Begriff der Änderung im
Regelwerk des VDV beschrieben
Eine Änderung im Sinne der Verordnung, die im weiteren Verfahren auf die Frage „signifikant“ oder
„nicht signifikant“ zu prüfen ist, liegt vor, wenn ein Verfahren oder ein Prozess
– neugestaltet wird,
– weiterentwickelt wird oder
– entfällt.
Werden vorhandene, bereits bewertete[1] Verfahren oder Prozesse erstmals
– unter anderen Systembedingungen
– oder in einer neuen Kombination
eingesetzt, liegt ebenfalls eine Änderung im Sinne der Verordnung vor.
Zu berücksichtigen ist, dass das Eisenbahnsystem ein dynamisches System ist, das im Rahmen
vorhandener Regelwerke angepasst wird. Daher gelten nicht als Änderung im Sinne der Verordnung
(EG) Nr. 352/2009, wenn im täglichen Betrieb im Rahmen des vorhandenen Regelwerks Änderungen im
betrieblichen Ablauf auftreten, z. B. Verlegung einer Zugkreuzung oder Ersatz eines
Triebfahrzeugführers durch einen anderen Triebfahrzeugführer.
[1] Unter „bewertet“ wird unter anderem alles eingeführte, betriebliche Regelwerk verstanden. Dazu zählt
auch alles am 30.06.2012 in Kraft befindliche Regelwerk.
Quelle: VDV-Mitteilung Nr. 7507: Anwendung der Verordnung (EG) Nr. 352/2009 . . . Bei der Änderung betrieblicher Prozesse und
Verfahren , 07.06.2012
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 9Eine Vielzahl von Vorgängen stellen keine Änderung des
Systems Eisenbahn dar
z.B. Keine Änderung
Anpassen/ neu schreiben von Regelwerk
(Verändern der Sollzustände)
z.B.
Abweichungen vom Regelwerk Instandhaltungsmaßnahmen gemäß Regelwerk
Anpassen von Prozessen des SMS Entstörung (Herstellung des Sollzustandes)
Neu erstellen von Prozessen des SMS Systempflege von Hard- und Software
Innovationen (Herstellen des Sollzustandes, Erhaltung der
Veränderung des Funktionsumfangs einer Funktionsfähigkeit, Fehlerbeseitigung)
Anlage (Erweiterung oder Reduzierung) 1:1-Austausch von Komponenten
Erstmalige Verwendung von neuen Anpassungen im Rahmen standardisierter
Komponenten Verfahren (z.B. Ril 892.0101), Einführung eines
neuen Fahrplans
Beseitigen von Tippfehlern in Regelwerk
Änderung
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 10Grober Ablauf zur Risikoevaluierung und -bewertung
nach CSM-RA
Änderung des Systems beschreiben
nicht sicherheitsrelevant
Sicherheitsrelevanz prüfen Prozessende
nicht signifikant
Signifikanz prüfen
formelles Risiko- „eigene
System definieren Sicherheits-
management-
verfahren nach methode“
Gefährdungen
CSM-RA ermitteln
Systemdefinition
„anerkannte Regeln der mit Referenzsystem explizite Risikoabschätzung Gefährdungs-
Technik“ anwenden vergleichen durchführen ermittlung
Gefährdungs-
beherrschung
Risiken evaluieren und
abschließend bewerten
unabhängige Bewertung
durchführen lassen
Gefährdungen managen
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 11Die Auswahl der Risikoakzeptanzprinzipien
trifft der Vorschlagende
„Anerkannte Regeln Referenzsystem Explizite Risikoabschätzung
der Technik“
Quelle Bilder: Microsoft Cliparts
Bei Erfüllung der Anforderungen der Bei analoger Vorgehensweise wie im Durch Vergleich mit einem festgelegtem
„anerkannten Regeln der Technik“ wird bewährten Referenzsystem wird ein („explizitem“) Risikoakzeptanzkriterium wird
ein akzeptiertes Sicherheitsniveau akzeptiertes Sicherheitsniveau erreicht: ein toleriertes Sicherheitsniveau ermittelt:
erreicht: Vergleich „erwartetes Risiko gegen Explizite Gefährdungsbeherrschung
Implizite Gefährdungsbeherrschung Sicherheitsleistung“ Scharfe Grenze der Risikoakzeptanz
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 12Bei der (Weiter-) Entwicklung von RAC-TS sind bisher viele
methodische Fragen nicht geklärt
Externe Barrieren
Akzeptable Auswirkung des Akzeptable
Häufigkeit des abgeschätzten Häufigkeit
Funktionsausalls Szenarios Der unerwünschten
(Zielwert) (Kritischer Pfad) Konsequenz
Funktionsfehler 1 Gefährdung 1.1
Funktion Auswirkung 1.1.1.1
Gefährdung 1.2 Unfallszenario 1.1.1
(typischer Fall)
Funktionsfehler 2 Barriere 1 Barriere 2 Barriere 3
Unfallszenario 1.1.2
Auswirkung 1.1.1.2
Unfallszenario 1.1.3
Funktionsfehler 3
Es sind eine Vielzahl von Annahmen notwendig:
Technisches Für welche Funktionsebene wird der Zielwert definiert?
System
Wie ist die Betriebsstunde dieser Funktion definiert?
Wie werden Systeme betrachtet, die auf Anforderung funktionieren?
Wird eine Vorgabe für die Fehlerrate oder die Gefährdungsrate gemacht?
Welche Arten von Barrieren können angesetzt werden?
Wie wirksam sind diese Barrieren, wie werden sie bewertet?
Was ist der glaubwürdig schlimmste Fall?
Wie erfolgt der Nachweis, dass der Zielwert erreicht wird?
In Abhängigkeit von den getroffenen Annahmen ergeben sich unterschiedliche
Sicherheitsanforderungen für das technische System
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 13Grober Ablauf zur Risikoevaluierung und -bewertung
nach CSM-RA
Änderung des Systems beschreiben
nicht sicherheitsrelevant
Sicherheitsrelevanz prüfen Prozessende
nicht signifikant
Signifikanz prüfen
formelles Risiko- „eigene
System definieren Sicherheits-
management-
verfahren nach methode“
Gefährdungen
CSM-RA ermitteln
Systemdefinition
„anerkannte Regeln der mit Referenzsystem explizite Risikoabschätzung Gefährdungs-
Technik“ anwenden vergleichen durchführen ermittlung
Gefährdungs-
beherrschung
Risiken evaluieren und
abschließend bewerten
unabhängige Bewertung
durchführen lassen
Gefährdungen managen
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 14Signifikante Änderungen sind einer unabhängigen Bewertung
zu unterziehen
AsBo führt unabhängige Bewertung der Eignung und Anwendung des
Risikomanagementverfahrens und seiner Ergebnisse durch
Bewertungsstellen werden anerkannt durch Mitgliedsstaat (direkt) oder NSA (über SMS) oder
akkreditiert
Vorgaben für Sicherheitsbewertungsbericht nach
Anhang III
Die Anforderungen der ISO/IEC 17020
(Inspektionsstellen) müssen erfüllt werden
Zusätzlich fordert der Anhang II der CSM-RA:
Kompetenz auf dem Gebiet des
Risikomanagements
Einschlägige Fähigkeiten zur Bewertung der
betroffenen Teile des Eisenbahnsystems
Kompetenz bei Anwendung von Sicherheits- und
Qualitätsmanagementsystemen
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 15Die Bewertungsstelle muss unabhängig vom Vorschlagenden sein.
Die Anforderungen ergeben sich aus der ISO/IEC 17020
Inspektionen müssen unparteiisch durchgeführt werden. Die Inspektionsstelle muss unabhängig sein,
gegenüber Entwicklung, Herstellung, Vertrieb, Errichtung, Benutzung oder Instandhaltung
von inspizierten Gegenständen
Typ A: Typ C:
TYP B:
unabhängiger Dritter rechtl. Teil von Hersteller/Betreiber,
rechtl. Teil von Hersteller/Betreiber,
eigenständige jurist. Person, organisatorisch Identifizierbar,
organisatorisch abgetrennt
tätig auf dem Markt nicht notwendig abgetrennt,
und identifizierbar,
als Dienstleister tätig für Mutterorganisation u. Dritte
tätig nur für Mutterorganisation
Aktualität der Fachkenntnisse und Systemkompetenz
Akkreditierung, Anerkennung Anerkennung durch Bewertung und Überwachung des
durch Mitgliedsstaat SMS/Instandhaltungssystems
laufende Überwachung durch die laufende Überwachung
Akkreditierungs-/ durch NSA
Anerkennungsstelle
Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013Vielen Dank für Ihre Aufmerksamkeit Deutsche Bahn AG | Niko Holst | Safety in Transportation 6 | Braunschweig, 05.11.2013 17
Sie können auch lesen
