Braunschweig, 13.11.2012
DB Systemtechnik GmbH / Deutsche Bahn AG
Marc Geisler / Jürgen Halbekath
Safety in Transportation
Ein Modell zur Signifikanzentscheidung nach CSM-RA bei technischen, betrieblichen und organisatorischen Änderungen
2
3. Signifikanz der Änderung
1. Einführung
2. Sicherheitsrelevanz der Änderung
4. Signifikanzmodell
Inhalt
SiT 2012 - M. Geisler, J. Halbekath
3
Sicherheitsrelevanz prüfen
Signifikanz prüfen
Prozessende
nicht signifikant
nicht sicherheitsrelevant
Änderung des Systems beschreiben
Risiko- management-
verfahren
Eigene Sicherheitsmethode
Unabhängige Bewertung
Gefährdungs- protokoll
Der Einstieg in die CSM-RA wird von einer Reihe unscharfer Begriffe geprägt.
SiT 2012 - M. Geisler, J. Halbekath
Schärfung der Begriffe Änderung, Sicherheitsrelevanz und Signifikanz im Sinne der CSM-RA
4
Änderung
Sicher-heits-
relevanz
Signifi-kanz
Unsicherheit in der Umsetzung
- Was ist eine Änderung ? - „alle Änderungen des
Eisenbahnsystems“ - Alle Änderungen im
Eisenbahnsystem - Wie wird die Entscheidung
dokumentiert?
- Wie sind die Signifikanzkriterien zu interpretieren und zu handhaben?
- Wie wird das Ziel der CSM-RA realisiert: Beherrschung neuer Risiken mit den Instrumenten des SMS?
Vorgehen in der DB AG
Änderung = Veränderung des durch Sollzustände definierten Systems
Template zur schrittweisen Entscheidungsfindung und Dokumentation
Signifikanzmodell und Dokumentation im Template
Sys
tem
defin
ition
SiT 2012 - M. Geisler, J. Halbekath
5
3. Signifikanz der Änderung
1. Einführung
2. Sicherheitsrelevanz der Änderung
4. Signifikanzmodell
Inhalt
SiT 2012 - M. Geisler, J. Halbekath
6
Ausgangsbasis: Sicherheit des Systems „Sicherheit ist die Abwesenheit von unvertretbaren Schadensrisiken“ [CSM-RA, Art. 3]
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung des in der CSM-RA beschriebenen Risikomanagementverfahrens verzichtet werden.
Bezugspunkt für Schaden: menschliche Gesundheit (körperliche Unversehrtheit, direkt und indirekt (Umwelt)
nicht sicherheitsrelevant alle Änderungen, die ersichtlich keinen Personenschaden verursachen können Keine Anwendung der Prozesse der CSM-RA!
Sicherheitsrelevant sind alle Änderungen am System Eisenbahn, die zu Personen- oder Umweltschäden führen könnten
SiT 2012 - M. Geisler, J. Halbekath
7
3. Signifikanz der Änderung
1. Einführung
2. Sicherheitsrelevanz der Änderung
4. Signifikanzmodell
Inhalt
SiT 2012 - M. Geisler, J. Halbekath
Die additive Wirkung ist kein direktes Bewertungskriterium, sondern dient der (zeitlichen) Abgrenzung der Systemdefinition.
Die Kriterien zur Beurteilung der Signifikanz erläutert die CSM-RA im Artikel 4 Absatz 2
a)Ausfallfolgen im schlechtesten als plausibel anzunehmenden Fall (nicht automatisch „worst case“)
b)Innovative Elemente vergleichbare Erfahrungswerte vorhanden:
in der Organisation, die die Änderung einführen will und/oder im gesamten Eisenbahnsektor
c)Komplexität der Änderung Überschaubarkeit der Anzahl betroffener Elemente / Anzahl betroffener Schnittstellen / Anzahl betroffener
Funktionszusammenhänge
d)Überwachung Möglichkeit rechtzeitigen Eingreifens
e)Umkehrbarkeit Wiederherstellbarkeit in ursprünglichen Zustand (mit vertretbarem Aufwand)
f)additive Wirkung Bezug zu früher eingeführten Änderungen nicht signifikanter Art in demselben System (Zeitgrenze kann sinnvoll sein!)
8 SiT 2012 - M. Geisler, J. Halbekath
9
Die Signifikanzkriterien stehen untereinander in Wechselwirkung
Grundsatz: Es liegt in der Verantwortung des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu bewertende Änderung zu bestimmen.
nicht signifikant signifikant
Ausfall-folgen
SiT 2012 - M. Geisler, J. Halbekath
10
Innovation
Innovation der Änderung Gering keine oder nur wenige neue Elemente der Änderung
für den Eisenbahnsektor insgesamt und/oder für die Organisation, die die Änderung einführt
hoch wichtige oder mehrere neue Elemente der Änderung für den Eisenbahnsektor insgesamt und/oder für die Organisation, die die Änderung einführt
Der Innovationsgrad (Neuheit) einer Änderung beeinflusst die Sicherheit, mit der Aussagen über die möglichen Auswirkungen der Änderung getroffen werden können. Der Innovationsgrad kann mit zwei möglichen Kriterien abgeschätzt werden. Dabei ist zu berücksichtigen, dass nicht nur der Blickwinkel des Eisenbahnsektors insgesamt hinsichtlich innovativer Elemente in der Änderung verwendet wird, sondern insbesondere der Innovationsgrad aus Sicht der Organisation, die die Änderung einführen will, bewertet wird.
SiT 2012 - M. Geisler, J. Halbekath
Komplexität
11
Komplexität der Änderung gering keine oder nur wenige komplexe Elemente sind in
der Änderung enthalten, die Änderung ist einfach. hoch viele komplexe Elemente sind in der Änderung
enthalten, die Änderung als solche ist komplex.
Der Komplexität einer Änderung erschwert die Abschätzung möglicher Auswirkungen der Änderung. Die Komplexität wird in zwei Stufen geschätzt:
• Sind wenige oder viele Teilsysteme vom Vorhaben betroffen? • Sind viele verschiedene Gewerke bzw. Akteure am Vorhaben beteiligt? • Sind mit dem Vorhaben wenige oder viele Schnittstellen zum Betrieb, bzw. anderen
Teilsystemen zu realisieren?
SiT 2012 - M. Geisler, J. Halbekath
Folgen von Ausfällen
12
Folgen von Ausfällen minimal Bei Ausfall des Systems können Personen leichte Verletzungen erleiden.
Bei organisatorischen Änderungen kann es zu einer geringfügigen Beschädigung des Systems (seiner Funktionen) kommen.
gering Bei Ausfall des Systems können einzelne Personen schwere Verletzungen erleiden. In der Regel sind stationäre Krankenhausaufenthalte erforderlich.
Bei organisatorischen Änderungen kann es zu einer schweren Beschädigung des Systems (seiner Funktionen) kommen.
mittel Bei Ausfall des Systems können viele Personen schwere Verletzungen erleiden. In der Regel sind stationäre Krankenhausaufenthalte erforderlich.
Es können auch einzelne Personen durch den Ausfall des Systems getötet werden. Bei organisatorischen Änderungen kann es zum Verlust eines Systems (seiner Funktionen) kommen.
hoch Bei Ausfall des Systems können viele Personen getötet werden. Bei organisatorischen Änderungen kann es zum Verlust eines Systems (seiner Funktionen) kommen.
Die möglichen Ausfallfolgen des geänderten Systems sind für ein Szenario des schlechtesten plausibel anzunehmenden Falls – nicht worst-case - unter Berücksichtigung bestehender Sicherheitsmaßnahmen abzuschätzen. Grundsätzlich gelten die folgenden Klassen:
SiT 2012 - M. Geisler, J. Halbekath
Überwachbarkeit
13
Überwachbarkeit des geänderten Systems gering keine oder nur unzureichende Überwachbarkeit. Es kann nicht über den gesamten Lebens-
zyklus hinweg überwacht werden; ein geeignetes Eingreifen ist dadurch nicht gewährleistet.
hoch Umfangreiche, umfassende Überwachbarkeit. Es kann über den gesamten Lebenszyklus hinweg überwacht werden; ein geeignetes Eingreifen ist dadurch gegeben.
Die Überwachbarkeit des geänderten Systems (vor, während und nach einer Änderung) ist ein Kriterium, mit dem die Wirkungen einer Änderung im System der Eisenbahn beobachtet und gegebenenfalls eingeschränkt werden können. Folgende Fragestellungen sind für die Einschätzung der Überwachbarkeit hilfreich:
• Sind mit der Umsetzungsphase spezifische Vorgehensweisen oder Aufgaben verbunden, die nicht durch die bewährten Methoden der Qualitätssicherung, bzw. die Überwachungsprozesse des SMS erfasst werden?
• Sind die neuen Funktionen (Sollzustände) auch nach der Inbetriebnahme mit vorhandenen Mitteln überwachbar?
• Ist eine besondere Überwachung der Erfüllung sicherheitlicher Eigenschaften und/oder sicherheitlicher Funktionen möglich und wird diese wenn notwendig durchgeführt?
SiT 2012 - M. Geisler, J. Halbekath
Umkehrbarkeit
Wenn ein geändertes System in den Zustand vor Einführung der Änderung zurückversetzt werden kann, wird von „Umkehrbarkeit“ gesprochen. Folgende Fragestellungen sind für die Einschätzung der Umkehrbarkeit hilfreich:
• Ist der Zustand vor der Änderung wiederherstellbar? • Ist der Aufwand für die Wiederherstellung des alten Zustandes akzeptabel? • Sind die neuen Funktionen sukzessive einführbar, z.B. temporärer Parallelbetrieb “alt“
und „neu“. • Gibt es einen klar definierten „Point of no return“, dessen Überschreitung durch
Überwachung abgesichert ist?
14
Umkehrbarkeit der Änderung umkehrbar System kann in den Zustand vor Einführung der Änderung zurückgeführt werden. nicht umkehrbar
System kann nicht in den Zustand vor Einführung der Änderung zurückgeführt werden.
SiT 2012 - M. Geisler, J. Halbekath
15
3. Signifikanz der Änderung
1. Einführung
2. Sicherheitsrelevanz der Änderung
4. Signifikanzmodell
Inhalt
SiT 2012 - M. Geisler, J. Halbekath
16
Zentrales Kriterium für Signifikanzbewertung ist die Ausfallfolge, die anderen Kriterien können die „Signifikanzlinie“ verschieben
SiT 2012 - M. Geisler, J. Halbekath
17
Die Signifikanzmatrix fokussiert auf die Ausfallfolgen sowie deren Unsicherheit bei der Einschätzung
Schritt 1 - Initialpunkt ermitteln: Mögliche Ausfallfolgen einschätzen:
– Im schlimmsten plausiblen Fall – Incl. Sicherheitsbarrieren außerhalb des
betrachteten Systems. Unsicherheit der Einschätzung bewerten:
– Innovation / Neuerungen – Komplexität
Schritt 2 – Schärfung der Signifikanzgrenze: Unscharfe Felder werden den Bereichen „Signifikanz“
bzw. „Nicht-Signifikanz“ zugeschlagen: – Überwachbarkeit – Umkehrbarkeit
Schritt 3 – Lage des Initialpunktes interpretieren: Im Bereich der Signifikanz (rot): Änderung ist signifikant Außerhalb des Bereiches (grün) Änderung ist nicht
signifikant
Eigenschaften der Matrix: + Direkte Berücksichtigung der Unsicherheit aller Aussagen in dieser
groben Analysephase. + Der Einflussnahme auf die Kriterien Überwachbarkeit und
Umkehrbarkeit ist Rechnung getragen. + Einheitliche Anwendung in verschiedenen Projekten und damit
Transparenz in der Signifikanzbewertung - Flexibilität in der Gewichtung der Kriterien ist eingeschränkt .
hoch
mittel
gering
minimal
minimal gering mittel hoch
Un
sich
erh
eit
der
Au
ssag
e ü
ber
mö
glic
he
Au
sfal
lfo
lgen
mögliche Ausfallfolgen
SiT 2012 - M. Geisler, J. Halbekath
18 SiT 2012 - M. Geisler, J. Halbekath
Kontakt Marc Geisler DB Systemtechnik GmbH Weserglacis 2 D – 32423 Minden /Westf. Mail: marc.geisler[at]deutschebahn.com
Kontakt Jürgen Halbekath Deutsche Bahn AG Grundsätze Risikomanagement Europaplatz 1 10557 Berlin Mail: juergen.halbekath[at]deutschebahn.com