studienarbeit - ifev.rz.tu-bs.deifev.rz.tu-bs.de/dlle/rts/studienarbeit - bewertung der eignung der...

Studienarbeit

im Vertiefungsfach Spurgeführter Verkehr

Bewertung der Eignung der Safety Screening Technique im

Eisenbahnwesen

vorgelegt am

Institut für Eisenbahnwesen und Verkehrssicherung der Technischen Universität Carolo-Wilhelmina zu Braunschweig

von

Herrn cand.-wirtsch.-ing. Nicolas Petrek

Matr.-Nr.: 2795632

Studiengang Wirtschaftsingenieurwesen Fachrichtung Bauingenieurwesen

Betreuung: Prof. Dr. Jens Braband, Dr.-Ing. Jan-Tecker Gayen

Braunschweig im März 2009

Braunschweig, den 27.März 2009

Studienarbeit

im Vertiefungsfach Spurgeführter Verkehr

für

Herrn cand.-wirtsch.-ing. Nicolas Petrek (Matrikelnr. 2795632)

Thema: Bewertung der Eignung der Safety Screening Technique im Eisenbahnwe-

sen

Im Rahmen der Arbeiten bei der ERA spielt der Begriff der signifikanten Änderung eine

entscheidende Rolle. Liegt eine solche vor, müssen die entsprechenden europäischen Verord-

nungen, z.B. die CSM Recommendation, angewendet werden. Dabei ist der Begriff anhand

einiger Anhaltspunkte und Beispiele bisher nur informell definiert. Die von Eurocontrol für

die Zivilluftfahrt entwickelte SST erlaubt eine qualitative, nachvollziehbare Einschätzung der

Bedeutung einer geplanten betrieblichen oder technischen Änderung.

Ziel der Arbeit ist die Bewertung, ob und ggf. wie die SST im Eisenbahnwesen

zur nachvollziehbaren, transparenten Entscheidungsfindung benutzt werden kann. Dabei ist

u.a. zu betrachten:

- probeweise Anwendung der SST auf Eisenbahnszenarien (ERA-Beispiele)

- qualitativer Vergleich der Kriterien CSM vs. SST

- Kriterien zur Entscheidungsfindung mit SST

- Adaptierbarkeit der SST für das Eisenbahnwesen

IfEVInstitut für Eisenbahnwesenund Verkehrssicherung

TU Braunschweig

Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen

27.03.2009 Seite i

Inhalt

1 Einleitung .......................................................................................................................1

2 Common Safety Methods ..............................................................................................2

2.1 Politischer Hintergrund CSM ...................................................................................2

2.2 Einordnung der Entscheidung über eine signifikante Änderung im CSM-Prozess .....3

2.3 Anwendung CSM .....................................................................................................4

3 Safety Screening Technique ..........................................................................................6

3.1 Vorstellung SST .......................................................................................................6

3.2 Einordnung des Screenings in den Sicherheitsbewertungsprozess .............................7

3.3 Anwendung des Exceltools der Safety Screening Technique.....................................8

3.4 Sicherheitsgrundsätze ............................................................................................. 10

3.5 Gewichtung und Ergebnisse ................................................................................... 12

4 Vorstellung der ausgewählten Beispiele ..................................................................... 15

4.1 Organisation ........................................................................................................... 15

4.2 Betrieb ................................................................................................................... 15

4.3 Technik .................................................................................................................. 16

4.4 Übersicht der Beispiele mit Expertenurteil .............................................................. 16

5 CSM-Ergebnisse der Beispiele .................................................................................... 18

5.1 Organisation ........................................................................................................... 18

5.2 Betrieb ................................................................................................................... 21

5.3 Technik .................................................................................................................. 23

6 Ergebnisse der SST-Auswertung ................................................................................ 27

6.1 Organisation ........................................................................................................... 28

6.2 Betrieb ................................................................................................................... 34

6.3 Technik .................................................................................................................. 40

7 Kriterien zur Entscheidungsfindung in der SST ........................................................ 46

8 Vergleich von CSM- und SST-Verfahren ................................................................... 50

8.1 Qualitativer Vergleich des CSM- und des SST-Verfahrens ..................................... 50


27.03.2009 Seite ii

8.2 Vergleich anhand der konkreten Ergebnisse ........................................................... 52

8.3 Eingehende Untersuchung des Beispiels Teilprivatisierung .................................... 53

9 Bewertung der Adaptierbarkeit der SST für das Eisenbahnwesen ........................... 55

10 Fazit .......................................................................................................................... 57

Übersetzungsverzeichnis .................................................................................................... 58

Abkürzungsverzeichnis ...................................................................................................... 61

Abbildungsverzeichnis ....................................................................................................... 62

Tabellenverzeichnis ............................................................................................................ 63

Literaturverzeichnis ........................................................................................................... 64

Anhang ................................................................................................................................ 65

A.1 Beschreibung der Grundsätze und Fragen im Bereich Sicherheitsarchitektur .......... 65

A.2 Beschreibung der Grundsätze und Fragen im Bereich Betriebssicherheit ................ 69

A.3 Beschreibung der Grundsätze und Fragen im Bereich Sicherheitsmanagement ....... 71


27.03.2009 Seite 1

1 Einleitung

Der Eisenbahnverkehr erfährt zurzeit eine Harmonisierung von Vorschriften und Auflagen,

die maßgeblich durch die europäische Eisenbahnbehörde (ERA) vorangebracht werden. Ein

wichtiger Teilbereich ist dabei die Sicherheit. Die ERA bemüht sich, ein einheitliches

Verfahren zu entwickeln, das sogenannte signifikante Änderungen erkennt. Liegt eine solche

signifikante Änderung vor, müssen die Common Safety Methods (CSM) angewendet werden.

Es ist in der Diskussion, dass das Verfahren der ERA zur Bewertung von Änderungen noch

nicht ausgereift ist und unter Umständen keine vergleich- und belastbaren Ergebnisse liefert.

Da in der Luftraumüberwachung für die Zivilluftfahrt ein Verfahren namens Safety Screening

Method (SST) entwickelt und erfolgreich für die Bewertung von Änderungen eingesetzt wird,

entstand die Idee zu evaluieren, inwieweit dieses Verfahren im Eisenbahnverkehr Anwendung

finden könnte und ggf. welche Anpassungen vorzunehmen wären.

In dieser Studienarbeit sollen damit zunächst die beiden Verfahren vorgestellt werden. Zudem

soll erläutert werden, wie die Anwendung der Verfahren und die Sicherheitsbewertung

konkret erfolgt. Im Weiteren werden neun geplante Änderungen, die den drei Bereichen

Organisation, Betrieb und Technik zugeordnet sind und zunächst vorgestellt werden, anhand

der beiden Verfahren hinsichtlich ihrer Sicherheitsauswirkungen verglichen. Darüberhinaus

sollen bei der Auswertung der SST-Ergebnisse mögliche Kriterien entwickelt werden, die

eine Entscheidung zulassen, inwieweit eine signifikante Veränderung vorliegt. Diese Kriteri-

en sollen im Anschluss noch einmal formal beschrieben und hinsichtlich ihrer Relevanz

überprüft werden.

Das Ziel dieses beschriebenen Vorgehens ist, in dem darauf folgenden Abschnitt das CSM-

und das SST-Verfahren sowohl qualitativ als auch anhand der erzielten Ergebnisse zu

vergleichen und eine Einschätzung abzugeben, inwieweit das SST-Verfahren für den Einsatz

im Eisenbahnwesen geeignet ist und welche Anpassungen ggf. vorzunehmen sind.


27.03.2009 Seite 2

2 Common Safety Methods

2.1 Politischer Hintergrund CSM

Das Europäische Parlament hat im Zuge der Vereinheitlichung des europäischen Bahnver-

kehrs am 29. April 2004 die Schaffung der Europäischen Eisenbahnbehörde ERA beschlos-

sen. Die ERA wurde unter der Richtlinie 2004/49/EC dazu beauftragt, die Common Safety

Methods zu entwickeln.1 In dieser Richtlinie wird das CSM als eine Methode beschrieben, die

entwickelt wurde, um zu beschreiben, wie Sicherheitslevels und das Ergebnis von Sicher-

heitszielen und die Einhaltung mit anderen Sicherheitsauflagen bewertet werden. Ein

Hindernis der beschlossenen Vereinheitlichung des europäischen Bahnverkehrs ist die

Tatsache, dass in den einzelnen Mitgliedsländern unterschiedliche Ansätze hinsichtlich der

Spezifikation von Sicherheitslevels sowie Sicherheitsanforderungen und dem Nachweis der

Übereinstimmung mit diesen Anforderungen existierte. Die Festlegung und Harmonisierung

dieser unterschiedlichen Ansätze und Bewertungen wird Aufgabe der zweiten Anlage des

CSM sein.

Darüberhinaus ist in der Präambel 8 der Richtlinie 2004/49/EC vermerkt, dass das CSM

Schritt für Schritt eingeführt werden soll, um ein hohes Sicherheitslevel sicherzustellen und

dieses gegebenenfalls weiter zu verbessern.2 Aus Artikel 9 (1) der Richtlinie 2004/49/EC geht

im Weiteren hervor, dass die Kriterien, um zu entscheiden wann eine Änderung eine Risiko-

einschätzung und -bewertung verlangt, in der zweiten Anlage des CSM entwickelt werden

soll.

Zusammengefasst sind die Aufgaben des CSM:

1.) Harmonisierung des Riskomanagementprozesses

2.) Harmonisierung des Austauschs sicherheitsrelevanter Informationen

3.) Harmonisierung der Aussagen, die aus der Anwendung eines

Riskomanagementprozesses resultieren

Dieser gesamte Prozess der Harmonisierung der Sicherheitsmethoden soll bis spätestens zum

1.Januar 2010 abgeschlossen sein.

1 vgl. Europäisches Parlament/ Europarat, 2004, S.4f.

2 vgl. Jovovic, 2008, S.10.


27.03.2009 Seite 3

2.2 Einordnung der Entscheidung über eine signifikante Ände-

rung im CSM-Prozess

Die Einschätzung ob es sich um eine signifikante Änderung handelt steht ganz am Anfang des

CSM-Prozesses (siehe Abbildung 1). Von dieser Einschätzung hängt damit ab, ob der

folgende Prozess überhaupt zur Anwendung kommt. Bei der Entscheidung, dass keine

signifikante Änderung vorliegt, erfolgt keine weitere Risikobetrachtung. Damit kommt der

Bewertung hinsichtlich der Signifikanz der Änderung eine zentrale Bedeutung zu. Fehler in

dieser Einschätzung haben damit erhebliche Auswirkungen.

Abbildung 1: Übersicht CSM-Prozess3

3 siehe Verslype, 2007, S.20.


27.03.2009 Seite 4

Der bei der Einschätzung, dass eine signifikante Änderung vorliegt, anzuwendende CSM-

Prozess sieht folgendermaßen aus. Zunächst muss im Bereich der Risikobewertung eine

Systemdefinition erfolgen. Mit dieser Systemdefinition erfolgt nun im Bereich der Risikoana-

lyse eine Identifizierung und Klassifizierung der Gefährdung. Daraufhin erfolgt die Entschei-

dung ob ein allgemein zu akzeptierendes Risiko vorliegt, in diesem Fall ist der Risikoanalyse-

prozess beendet und das Verfahren geht direkt über zu dem Management der Gefährdungser-

fassung. Liegt dieses allgemein zu akzeptierende Risiko nicht vor, muss der Risikoanalyse-

prozess fortgesetzt werden und es folgen weitere Prozesse, die der Abbildung 1 zu entnehmen

sind. Zusammenfassend sei gesagt, dass sich an den Prozess der Risikoanalyse der Prozess

der Risikoauswertung anschließt. Hier wird geprüft, ob das vorhandene Risiko akzeptabel ist

oder nicht. Daran schließt sich die Analyse der Sicherheitsanforderungen an und abschließend

muss die Übereinstimmung mit diesen Anforderungen nachgewiesen werden.

2.3 Anwendung CSM

Dem Risikobewertungsprozess des CSM ist wie zuvor beschrieben eine Bewertung vor-

geschaltet, ob es sich um eine signifikante Änderung handelt oder nicht. Nur für Änderungen

die als signifikant eingestuft wurden, muss das CSM angewendet werden. Damit kommt

dieser Bewertung eine zentrale Rolle zu.

Existiert keine nationale Bestimmung, ob eine signifikante Änderung vorliegt, soll anhand

folgender Kriterien eine Expertenentscheidung gefällt werden.4 Diese Entscheidung soll in

einer Diskussion mit den von der Änderung betroffenen Experten getroffen werden. Dazu

sind die Auswirkungen der geplanten Veränderung anhand folgender Kriterien zu diskutieren:

a.) Sicherheitsbeitrag: Der positive Einfluss auf die Sicherheit durch die beabsichtigte

Änderung

b.) Fehlerkonsequenz: Der negative Einfluss auf die Sicherheit des Systems im Falle einer

unsicheren Implementierung der Änderung

c.) Komplexität der Änderung

d.) Überwachung: Die Möglichkeit, die implementierte Änderung über den gesamten

Lebenszyklus zu überwachen

e.) Umkehrbarkeit: Die Möglichkeit, die Änderung rückgängig zu machen und zum Sys-

tem vor dem Wechsel zurück zu kehren

f.) Innovation: die benutzt wurde, um die Änderung zu implementieren

Der Antragsteller muss seine Entscheidung bezüglich der Signifikanz aller seiner Änderungen

dokumentieren.

Diesem Bewertungsprozess ist die Frage hinsichtlich der Sicherheitsrelevanz der beabsichtig-

ten Änderungen vorgeschaltet (siehe Abbildung 2). Kommt das Expertengremium zu der

4 vgl. Cassir, 2008, S.5.


27.03.2009 Seite 5

Einschätzung, dass die beabsichtigte Änderung nicht sicherheitsrelevant ist, muss eine weitere

Bewertung anhand der oben beschriebenen Kriterien gar nicht erst erfolgen. Diese Entschei-

dung hingegen muss dokumentiert werden.

Kommt das Gremium zu der Entscheidung, dass die Änderung zwar sicherheitsrelevant ist

aber es sich nach den beschriebenen Kriterien um keine signifikante Änderung handelt, muss

diese Entscheidung dokumentiert und gerechtfertigt werden. Handelt es sich nach dieser

Einschätzung um eine signifikante Änderung, muss das CSM angewendet werden.

Abbildung 2: Bewertungsprozess einer Änderung im CSM-Verfahren5

5vgl. Cassir, 2008, S.7.


27.03.2009 Seite 6

3 Safety Screening Technique

3.1 Vorstellung SST

Die SST wurde entwickelt, um systematische Überlegungen zu Sicherheitsfragen zu unter-

stützen, welche geplante Änderungen im Air Traffic Management (ATM) betreffen. Die

Anwendung der SST erfolgt über ein Excel-Tool, das über Multiple Choice-Fragen funktio-

niert, die unterschiedlichen Teilgebieten zugeordnet sind. Die dazu gehörige Beschreibung ist

auf den 1.März 2006 datiert, welche von einer Arbeitsgruppe ab Dezember 2004 zusammen

mit dem Excel-Tool entwickelt wurde. 6

Der Anstoß für die Entwicklung der SST waren die Veränderungen, die für das ATM in den

kommenden 15 Jahren erwartet wurden. Dazu zählen die Zunahme des Luftverkehrs und

damit einhergehend ein wachsender Anspruch an die Leistungsfähigkeit des ATM. Des

Weiteren wird mit rapiden Veränderungen in der ATM Technologie gerechnet, die sich

anhand steigender Komplexität, einem höheren Automatisierungs- und Integrationsgrades

sowie steigenden Abhängigkeiten zeigen. Zudem wird sich die öffentliche Wahrnehmung und

Akzeptanz von Risiken innerhalb Europa weiter ändern. Aus diesen Punkten folgt, dass das

ATM nicht nur an der absoluten Zahl an Unfällen sondern auch an der Art der potentiellen

Unfälle gemessen werden wird. Dies erfordert in Zukunft eine proaktive Herangehensweise,

um eine innovative Entwicklung der Sicherheit und der Sicherheitskonzepte zu ermöglichen.

Dabei ist die Definition des Begriffs Sicherheit von entscheidender Bedeutung. Sicherheit ist

allgemein als die Freiheit von unvertretbaren Risiken definiert.7 Im Bereich des ATM,

welches ein durch hohe Abhängigkeiten geprägtes System ist, betrifft die Sicherheit drei

grundlegende Perspektiven: Dies sind das quantitative Ziellevel der Sicherheit, die fundamen-

talen Interessen und Erwartungen der Politik und der Öffentlichkeit und die zugrunde

liegende Sicherheitskultur der Servicedienstleister und der Industrie.

Nur ein gemeinsames Verständnis von Sicherheit führt dazu, dass sie auch von den für

unterschiedliche Konzeptentwicklungen zuständigen Projektmanagern gleich verstanden

wird. Zudem ist ein gemeinsames Verständnis wichtig, um Sicherheitsinteressen mit anderen

Interessen allen voran finanziellen Interessen vereinbaren zu können. Letztendlich benötigt

auch die Entscheidung zwischen zwei oder mehreren möglichen Zielkonzepten hinsichtlich

der drei grundlegenden Sicherheitsperspektiven dieses Verständnis.

Der Prozess der SST-Methode ist eine Herangehensweise, um von Beginn an bei den

Anwendern einen allgemeinen Blick auf die Sicherheit zu schaffen, der zudem das Verständ-

nis für ökonomische Auswirkungen nicht außer acht lässt.8 Dies steht im Gegensatz zu dem

häufig anzutreffenden Verständnis von Sicherheitsüberlegungen bei Konzeptentwicklungen,

6 vgl. Straeter, 2006, S.5.

7 vgl. Braband, 2005, S.12.



27.03.2009 Seite 7

dass Sicherheit nur ein Prozess am Ende der Entwicklung ist, der der Entwicklung das

angestrebte Sicherheitslevel bescheinigt.

3.2 Einordnung des Screenings in den Sicherheitsbewertungs-

prozess

Das Safety Screening ist der Sicherheitsbewertung vorgeschaltet (siehe Abbildung 3). Hier

zeigt sich, dass es der Grundgedanke der SST ist, sich bereits in der Phase der Konzeptdefini-

tion vor der Systemdefinition, dem Systemdesign und der abschließenden Systemimplemen-

tierung ausführlich Gedanken hinsichtlich der Systemsicherheit zu machen. Die SST ist damit

nicht nur ein Analysetool sondern ermöglicht vor allem eine umfangreiche Betrachtung, die

die verschiedenen Sicherheitsaspekte während der Beantwortung der Fragen und der an-

schließenden Auswertung beleuchtet.

Abbildung 3: Einordnung der SST in den Risikobewertungsprozess9

Der nach der SST erfolgende Prozess der Safety Assessment Methods (SAM) befasst sich

dann mit den weiteren Phasen, die nach der Konzeptdefinition folgen. Im Mittelpunkt dieser

gesamten Betrachtung steht, ob das System auch die Zielsetzungen erfüllt.

9 siehe Straeter, 2007, S.28.


27.03.2009 Seite 8

3.3 Anwendung des Exceltools der Safety Screening Technique

Die Anwendung des Exceltools und die damit verbundene Beantwortung der Fragen erfolgt

mit den von der Veränderung betroffenen Experten und Verantwortlichen. Hierbei werden

idealerweise anhand des Exceltools alle Fragen gemeinsam diskutiert und beantwortet. Dies

sorgt zum einen für eine ausführliche und zutreffende Beantwortung, zum anderen kommen

so unterschiedliche Sichtweisen zur Sprache und es findet eine gemeinsame Sensibilisierung

für die Auswirkungen der geplanten Veränderung statt.

Der grundlegende Aufbau des Excel-Tools der Safety Screening Technique ist der Abbildung

4 zu entnehmen. Aus dem oberen Bereich der Seite sowie dem Fragennavigator auf der linken

Seite ist ersichtlich, in welchem Grundsatz welchen Bereichs (beispielsweise im Grundsatz

Transparenz im Bereich Sicherheitsarchitektur) man sich befindet. Die erste Frage eines jeden

Grundsatzes ist eine übergeordnete Frage, von deren Beantwortung es abhängt ob die weiter

unten stehenden untergeordneten Fragen freigeschaltet werden und beantwortet werden

müssen.

Die Beantwortung erfolgt über das Anklicken eines von drei Feldern (i.d.R. Ja/ Möglich/

Nein) und folgt somit dem Multiple-Choice Prinzip. Wird ein Einfluss auf den betreffenden

Grundsatz bei der ersten Frage ausgeschlossen, müssen die untergeordneten Fragen nicht

beantwortet werden. Es ist aber möglich, diese extra zur Beantwortung freizuschalten.

Die Antworten auf die übergeordneten Fragen müssen immer zusätzlich durch einen Text

gerechtfertigt werden. Die untergeordneten Fragen hingegen können mit einem Text zur

Rechtfertigung und Erläuterung versehen werden. Dies dient vor allem dem späteren Ver-

ständnis der gewählten Antworten und ist daher in aller Regel ratsam.


27.03.2009 Seite 9

Abbildung 4: Aufbau des SST-Exceltools

Die Abbildung 5 zeigt die Ergebnisdarstellung mit den Ergebnisdiagrammen im Exceltool.

Eine ausführliche Erläuterung dieser Darstellung sowie die Gewichtung der Ergebnisse

befindet sich im Abschnitt 3.5.


27.03.2009 Seite 10

Abbildung 5: Ergebnisdarstellung im SST-Exceltools

Die Fragen im Exceltool folgen dem Konzept der Sicherheitsgrundsätze, dessen Aufbau im

folgenden Abschnitt erläutert wird.

3.4 Sicherheitsgrundsätze

Die Sicherheitsgrundsätze sind ein Konzept, dass zum Systemdesign in der Atom- und

Chemieindustrie entwickelt und eingesetzt wurde und weiterhin eingesetzt wird. In der

Atomindustrie wird dies als deterministisches Systemdesign bezeichnet. Das deterministische

Design beschreibt grundsätzliche Sicherheitsregeln, wie z.B. dass ein einziger Fehler nicht

das Sicherheitssystem außer Kraft setzen können soll. Diese deterministischen Regeln

versuchen zu verhindern, dass ein großes Maß an potentiell gefährlichen Risiken generiert

wird. Gleichzeitig wird hiermit eine Risikobewertung antizipiert, die im Regelfall nach dem

Systemdesign erfolgt.10

Als großer Vorteil erweist sich der sehr allgemeine Ansatz der Grundsätze. So kann bei-

spielsweise der Punkt Redundanz angewendet werden auf technische Redundanz wie z.B.

zwei Flugzeugturbinen wie auch auf Redundanz bei menschlichen Interaktionen (z.B. bei der

10 Vgl. Straeter, 2006, S.8.


27.03.2009 Seite 11

Bedienung eines technischen Systems durch zwei Personen, die sich gegenseitig in ihren

Handlungen überwachen).

Ein wesentliches Ziel der SST ist, Sicherheitsaspekte in der ATM Konzeptentwicklung

frühzeitig zu antizipieren. Zudem sollen geplante Änderungen eingeschätzt und später

gegebenenfalls detailliertere Sicherheitsbewertungsstudien darauf aufgebaut werden. Dritte

Aufgabe des SST ist es, systematische Betrachtungen von Sicherheitsaspekten zu ermögli-

chen.

Die Sicherheitsgrundsätze sind in verschiedene Bereiche der Sicherheit gegliedert. Es werden

hierbei drei unterschiedliche Perspektiven auf die Sicherheit unterschieden.11

1. Die Leistung der Systemsicherheit (auch statischer Aspekt) beschreibt die Sicherheit

des ganzen Systems und seiner einzelnen Teile wie Ausstattung, Software, Abläufe

und Menschen. Im SST erscheint dieser Punkt als Sicherheitsarchitektur.

2. Das Management der Sicherheitsperformance (auch dynamischer Aspekt) beschreibt

die Rolle der Organisation und seines Management bei dem Erreichen der Sicherheits-

ziele. Im SST heißt dieser Punkt Sicherheitsmanagement.

3. Operationale Sicherheitsaspekte beschreiben die gemeinsame Performance der Punkte

eins und zwei, d.h. des statischen und des dynamischen Aspekts, innerhalb des Sys-

tems in dem die Personen arbeiten. Darin eingeschlossen sind die Abläufe, denen sie

folgen sollen, sowie die Mensch-Maschine-Interaktion mit technischen Systemen. Im

SST heißt dieser Bereich Betriebssicherheit.

Die Fragen des SST-Exceltools befinden sich zusammen mit einer ausführlichen Erläuterung

der einzelnen Grundsätze im Anhang. Auf den Punkt Vorschriften wird dabei nicht eingegan-

gen, da dieser speziell auf die Luftüberwachung und die Luftfahrt zugeschnitten ist. Für einen

sinnvollen Einsatz bei der Bewertung im Schienenverkehr wäre daher erst eine Anpassung auf

die dort geltenden Regelungen notwendig.

11 vgl. Straeter, 2006, S.8f.


27.03.2009 Seite 12

3.5 Gewichtung und Ergebnisse

Das im Anschluss an die Beantwortung im SST dargestellte Ergebnis setzt sich aus zwei

Bestandteilen zusammen. Die Beantwortung der Fragen (mit Nein/ Möglich/ Ja) aus den drei

Bereichen Sicherheitsarchitektur, Betriebssicherheit und Sicherheitsmanagement, die in den

vorherigen Kapiteln vorgestellt wurden, führt zu Punktzahlen zwischen -2 bis +2. Die Höhe

der Punktzahl korrespondiert mit dem Einfluss auf den der Frage zugrunde liegenden Bereich.

Eine positive Bewertung bedeutet mehr Einfluss, ein negatives Rating hingegen korrespon-

diert mit weniger Einfluss. 12

Der zweite Bestandteil ist eine Gewichtung, die den Aufwand abbildet, der benötigt wird, um

die Sicherheitsprobleme in den Grundsätzen zu beheben. Dazu wurde jeder Grundsatz einer

der folgenden drei Kategorien zugeordnet:

-„hart“, dies bedeutet dieser Grundsatz hat einen besonderen Einfluss und Probleme in diesem

Bereich sind im Nachhinein, wenn überhaupt, nur unter großen Anstrengungen zu beheben.

-„weich“, besteht in diesem Grundsatz ein Problem, kann es auch im Nachhinein relativ

problemlos behoben werden.

-„gemischt“, was für eine mittlere Einteilung zwischen hart und weich steht.

Diese Einteilungen werden für eine Gewichtung genutzt, bei der hart den Faktor 2 bekommt,

weich den Faktor 0,5, und gemischt den Faktor 1. Diese werden mit den Punktzahlen aus der

Beantwortung der Fragen multipliziert.

Die Gewichtung der einzelnen Grundsätze und welche Punktzahlen die Antworten in den

einzelnen Grundsätzen haben, ist aufgegliedert nach den drei Bereichen aus Tabelle 1, Tabelle

2 und Tabelle 3 ersichtlich.

Bereich Sicherheitsarchitektur

Grundsatz Bewertung der Antwort

Gewichtung des Grundsatzes Nein Möglich Ja

Transparenz +2 +1 0 Weich (0,5)

Redundanz -1 +1 +2 Hart (2,0)

Abhängigkeit -2 0 +2 Hart (2,0)

Funktionalität +2 0 -2 Weich (0,5)

Integrität -2 0 +2 Hart (2,0)

Wartungsfähigkeit +2 0 -2 Gemischt (1,0)

Tabelle 1: Gewichtung im Bereich Sicherheitsarchitektur13




27.03.2009 Seite 13

Bereich Betriebssicherheit



Verfahren 0 +1 +2 Weich (0,5)

Betriebliches Umfeld -2 0 +2 Hart (2,0)

Kompetenz -2 0 +2 Hart (2,0)

Mensch-Maschine Interakti-

on -2 +1 +2 Weich (0,5)

Organisation -2 +1 +2 Gemischt (1,0)

Kommunikation -1 0 +1 Gemischt (1,0)

Zuverlässigkeit -2 +1 +2 Hart (2,0)

Tabelle 2: Gewichtung im Bereich Betriebssicherheit14

Bereich Sicherheitsmanagement



Richtliniensetzung -2 +1 +2 Hart (2,0)

Planung -1 0 +1 Weich (0,5)

Ausführung -2 0 +2 Hart (2,0)

Sicherung +2 +1 -2 Hart (2,0)

Förderung -1 0 +1 Gemischt (1,0)

Tabelle 3: Gewichtung im Bereich Betriebssicherheit15

Nach Beantwortung der Fragen berechnet das Exceltool eine Ergebnisdarstellung (siehe

Abbildung 6) für jeden der drei Bereiche Sicherheitsarchitektur, Betriebssicherheit und

Sicherheitsmanagement. Jeder Grundsatz der drei Bereiche (hier der Bereich Sicherheitsarchi-

tektur mit den Grundsätzen Integrität, Funktionalität, Unabhängigkeit, Redundanz, Transpa-

renz und Wartungsfähigkeit) ist darin mit einer eigenen Achse vertreten. Dabei repräsentiert

das innere Ende ein negatives Ergebnis. Dies steht dafür, dass keine potentiellen Sicherheits-

probleme bestehen. Das äußere Ende steht folglich für ein positives Ergebnis. Der Kreis, der

diese Achsen umschließt, entspricht einem Ergebnis von Null.

Liegen alle Ergebnisse innerhalb der Kreisbegrenzung und schneiden diese nicht, bedeutet

dies, dass ein normaler Betrag an Aufwand in diesem Bereich in der späteren Sicherheitsbe-

wertung betrieben werden soll. Ist das Ergebnis zu einem gewissen Teil außerhalb des Kreises

14vgl. Straeter, 2007, S.102.



27.03.2009 Seite 14

bedeutet dies, dass dieser Bereich besondere Aufmerksamkeit in der folgenden Sicherheits-

bewertung benötigt.

Abbildung 6: Grafische Ergebnisdarstellung eines Bereichs im SST-Exceltool16

Des Weiteren werden die Ergebnisse auch als Punktwerte im Arbeitsblatt Fundamentals im

Exceltool angezeigt (siehe Abbildung 7). Hier sind alle Grundsätze mit ihrer Punktzahl, im

Exceltool als Score bezeichnet, aufgelistet und ablesbar.

Abbildung 7: Arbeitsblatt Fundamentals im SST-Exceltool



27.03.2009 Seite 15

4 Vorstellung der ausgewählten Beispiele

Die nachfolgend aufgelisteten Beispiele sind den drei Beispielgruppen Organisation, Betrieb

und Technik zu geordnet. Sie sind vorweg in einem Gespräch ausgewählt und hinsichtlich

ihrer zu erwartenden sicherheitsrelevanten Auswirkung bewertet worden.17

Anhand dieser

nun nachfolgend beschriebenen Beispiele soll das Verfahren der ERA mit den Ergebnissen

des Safety Screening Tools verglichen werden.

4.1 Organisation

Beispiel 1 – Führungswechsel

Der Vorstand des Bereichs Infrastruktur eines Eisenbahnunternehmens wechselt und damit

ändern sich zwangsläufig auch der Führungsstil und das vorhandene Wissen des Chefs.

Weitere Änderungen sind möglich und müssen beachtet werden.

Beispiel 2 – Wettbewerbsdruck

Ein Teil der Infrastrukturmanagement Organisation, die Wartungsaufgaben übernehmen

(keine Wartung von Signal- oder Telemetriebereichen), müssen sich nach der beabsichtigen

Änderung gegen konkurrienden Firmen im selben Geschäftsfeld behaupten. Dazu sind eine

Neuordnung sowie ein Verkleinerung der Belegschaft in diesem Bereich notwendig gewor-

den. Eine Auslagerung der Aufgaben wird angedacht.

Beispiel 3 – Teilprivatisierung

Die Deutsche Bundesbahn wird zu 25 % teilprivatisiert und in sechs Teilgesellschaften

aufgeteilt. Die sich dadurch ergebenen Änderungen sollen vollständig durchdacht werden.

4.2 Betrieb

Beispiel 1 – Fahrplanwechsel

Der Betrieb wird durch einen geplanten Fahrplanwechsel geändert. Weitere Änderungen

treten nicht ein.

Beispiel 2 – Einsparung Triebfahrzeugführer

Ein Eisenbahnunternehmen entscheidet sich eine automatische Zugbeeinflussung einzuführen.

Diese Zugbeeinflussung übernimmt teilweise Aufgaben der Triebfahrzeugführer. Der zweite

Triebfahrzeugführer, der in diesem Land ähnliche Aufgaben wie ein CO-Pilot im Flugverkehr

hat, soll nun eingespart werden. Es werden aber nicht alle Aufgaben des zweiten Triebfahr-

zeugführers von der automatischen Zugbeeinflussung übernommen. Beispielsweise über-

nimmt dieser auch Überwachungsaufgaben.

17 Gespräch Braband/ Gayen, Mai 2008.


27.03.2009 Seite 16

Beispiel 3 – Signalversetzung

Ein Signal soll für den Bau eines Zufahrweges fünf Meter nach hinten versetzt werden. Das

Eisenbahnunternehmen hält diese Änderung für marginal und nicht sicherheitsrelevant und

will dies ohne Absegnung der Aufsichtsbehörde durchführen.

4.3 Technik

Beispiel 1 – Komponententausch

Die Komponenten eines ETCS sollen nach der erlaubten Nutzungsdauer gegen günstigere

aber zugelassene Komponenten eines Wettbewerbers getauscht werden. Die technische

Funktion wird durch hierdurch nicht verändert.

Beispiel 2 – Wechsel im Telefonsystem

Im Ausgangssystem wird die Information aus welcher Richtung der Zug kommt automatisch

über unterschiedliche Töne signalisiert. Da das neue Telefonsystem digital sein wird, wird die

Richtungsinformation anders übertragen, da der Klingelton identisch ist ohne Rücksicht von

welchem Stellwerk der Anruf kommt. Deswegen soll folgendes Verfahren eingeführt werden:

a.) Bei Abfahrt des Zuges informiert der Zuständige des einen Stellwerks den des anderen

Stellwerks über die Richtung des Zuges.

b.) Diese Information wird anhand des Fahrplans von den Beteiligten gegengeprüft.

Beispiel 3 – Monitorwechsel

Der Bedienplatz in einem Stellwerk war bisher mit Röhrenmonitoren ausgestattet. Nun sollen

diese durch moderne TFTs ersetzt werden. Diese verfügen aber über eine geringere Farbecht-

heit und Sichtbarkeit bei seitlichem Blickwinkel. Zudem sind die Ausfallraten unten Umstän-

den andere.

4.4 Übersicht der Beispiele mit Expertenurteil

In der folgenden Tabelle 4 sind die einzelnen Beispiele noch einmal im Überblick zu erken-

nen. Zudem ist ersichtlich, wie die Beispiele vorab in einem Expertengespräch eingeschätzt

wurden sind. Für alle drei Bereiche Organisation, Betrieb und Technik wurde jeweils ein

Beispiel gefunden, dass in der Einschätzung vor Anwendung des SST und des CSM als eine

signifikante, eine nicht signifikante oder eine nicht eindeutige Änderung eingestuft wurden

ist.


27.03.2009 Seite 17

Erwartetes Ergebnis

Keine signifikante

Änderung

signifikante

Änderung nicht eindeutig

Org

an

isa

tion

Führungswechsel x

Wettbewerbsdruck

x

Teilprivatisierung

x

Bet

rieb

Fahrplanwechsel x

Einsparung TFF

x

Signalversetzung

x

Tec

hn

ik Komponententausch x

Wechsel im Telefon-

system x

Monitorwechsel

x

Tabelle 4: Übersichtstabelle zu den Expertenurteilen18

18 Gespräch Braband/ Gayen, 2008.


27.03.2009 Seite 18

5 CSM-Ergebnisse der Beispiele

Der folgende Abschnitt beschäftigt sich mit der Auswertung der CSM-Ergebnisse. Die

Bearbeitung erfolgte, abgesehen vom Beispiel Wettbewerbsdruck, anders als für das CSM-

Verfahren vorgesehen nicht mit einer Expertengruppe.

5.1 Organisation


Sicherheitsrelevanz: Die Neubesetzung der Stelle des Vorstands Infrastruktur besitzt unter

gewissen Umständen Sicherheitsrelevanz. Sicherheitsrelevanz würde dann vorliegen, wenn

der neue Vorstand nur begrenzt auf das bestehende Wissen seines Vorgängers und seiner

Führungskräfte bezüglich sicherheitsrelevanter Handlungen zu greifen kann. Dies setzt eine

mangelnde Kommunikation innerhalb der Abteilung und eine schlechte Einarbeitung in die

Aufgaben voraus. Im Regelfall sollte aber von keiner Sicherheitsrelevanz in Folge dieser

Änderung ausgegangen werden. Trotzdem sollen im Folgenden die einzelnen Aspekte

besprochen werden.

Anwendung des Schemas:

a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit durch die Änderung ist

allgemein nicht zu erwarten. Eine Neubesetzung des Vorstandspostens durch sicher-

heitsrelevante Nachlässigkeiten des Vorgängers ist durchaus denkbar, in diesem Fall

ist ein positiver Sicherheitsbeitrag beabsichtigt. Dies wird aber eher die Ausnahme

darstellen.

b. Fehlerkonsequenz: Mangelnde Kommunikation zwischen dem neuen Vorstand und

seinen Führungskräften sowie Spannungen in der Abteilung können zu Sicherheits-

problemen führen. Auch eine mangelnde Einarbeitung durch Zeitdruck kann zu diesen

Problemen führen. Im Regelfall ist davon aber nicht auszugehen, da dem Vorstand

normalerweise genug erfahrene Führungskräfte zur Seite stehen.

c. Komplexität der Änderung: Der Austausch eines Vorstands ist ohne Neuordnung

der Organisation nicht als komplex zu bewerten.

d. Überwachung: Der Vorstandswechsel sollte gut zu überwachen sein, da erfahrene

Führungskräfte in der Abteilung weiter zur Verfügung stehen, die gerade zu Beginn

ein Auge auf die Entscheidungen und Handlungen des neuen Vorstands werfen dürf-

ten und ihm ggf. zur Seite stehen.

e. Umkehrbarkeit: Bei auftretenden Problemen mit dem neuen Vorstand ist in aller

Regel nicht davon auszugehen, dass der Vorgänger für den Posten zu Verfügung ste-

hen wird. Es ist aber zu erwarten, dass der Zustand vor dem Vorstandswechsel zumin-

dest zum Teil dadurch wiedererlangt werden kann, indem eine in der Abteilung ver-

bliebene Führungskraft des alten Vorstands zum neuen Vorstand befördert wird.

f. Innovation: Eine Innovation ist durch die geplante Änderung nicht beabsichtigt und

auch nicht zu erwarten.


27.03.2009 Seite 19

Fazit: Die schwache bis nicht vorhandene negative Ausprägung vor allem des Punkte

Fehlerkonsequenz, die geringe Komplexität der Änderung sowie die gute Möglichkeit der

Überwachung sprechen eindeutig für keinen signifikanten Wechsel.


Sicherheitsrelevanz: Es existieren Beispiele, bei denen Fehler in der Wartung zu Gefährdun-

gen oder Unfällen geführt haben. Damit besitzt das Beispiel Sicherheitsrelevanz, da dieses

Beispiel mögliche Änderungen bei Wartungsarbeiten mit einschließt. Das CSM-Verfahren

wurde für dieses Beispiel in einer Expertengruppe am IfEV durchgeführt. 19


a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit existiert nur, wenn ein

externer Mitbewerber bei gleichem Preis besser ist. Ziel der Umstrukturierung und

ggf. Auslagerung ist aber die Kostensenkung und nicht die Qualitätssteigerung, daher

ist kein positiver Einfluss auf die Sicherheit beabsichtigt oder zu erwarten.

b. Fehlerkonsequenz: Unsachgemäße Wartung durch Kosten- und Zeitdruck oder

schlecht ausgebildete externe Arbeitskräfte kann zu Unfällen führen. Daraus folgt das

Unfälle bei unsicherer Implementierung der Änderung nicht auszuschließen ist.

c. Komplexität der Änderung: Die Aufgaben nach der Umstrukturierung sind die Sel-

ben wie vorher. Die Änderung ist damit nicht komplex auch wenn evtl. eine Neuorga-

nisation nötig wird.

d. Überwachung: Die Überwachung der Qualität der Leistung ist bei einer internen

Abteilung einfacher, da gewachsene Abläufe bestehen. Bei externem Einkauf von

Leistungen ist dies deutlich schwieriger, Abläufe müssen erst angepasst werden und es

bestehen vor allem am Anfang keine bekannten Kommunikationswege. Die Überwa-

chung muss durch die Änderung daher als zumindest erschwert betrachtet werden.

e. Umkehrbarkeit: Bei Verkleinerung der Belegschaft wie auch bei externer Vergabe

der Leistung ist es schwierig, die Änderung rückgängig zu machen. Einmal abgebau-

tes Personal wird nicht unmittelbar sofort wieder zur Verfügung stehen, da es mit an-

deren Aufgaben betreut wurden ist oder schlimmstenfalls das Unternehmen gewech-

selt hat. In allen Fällen ist keine problemlose und schnelle Rückkehr in den Zustand

vor der Änderung zu erwarten.

f. Innovation: Eine Innovation ist durch die beschriebene Änderung nicht beabsichtigt

und auch nicht zu erwarten.

Fazit: Die zu erwartenden negativen Einflüsse der Punkte Fehlerkonsequenz, Überwachung

und Umkehrbarkeit ohne zu erwartende Ausgleiche aus den anderen Bereichen sprechen

dafür, dass es sich bei der beschrieben Änderung eindeutig um einen significant change

handelt.

19 Gespräch Braband/ Gayen, 2009.


27.03.2009 Seite 20


Sicherheitsrelevanz: Da eine Teilprivatisierung durch z.B. neue Zuständigkeiten oder

grundlegenden Veränderungen in der Unternehmensstruktur auch zu Veränderungen in

sicherheitsrelevanten Vorgängen führen kann, ist grundsätzlich davon auszugehen, dass eine

Sicherheitsrelevanz vorliegt bzw. nicht von vorneherein ausgeschlossen werden kann.


a. Sicherheitsbeitrag: Die Teilprivatisierung erfolgt aus Gründen wie z.B. Auflagen der

EU oder aus finanzierungstechnischen Überlegungen. Ein positiver Sicherheitsbeitrag

ist in aller Regel nicht beabsichtigt und auch nicht zu erwarten.

b. Fehlerkonsequenz: Die Fehlerkonsequenz hängt von mehreren Faktoren ab und ist

von Fall zu Fall verschieden. Relevant ist die benötigte und vorhandene Zeit für die

beabsichtigten Veränderungen, sowie deren Umfang und welche Organisationsteile,

Teile mit oder ohne sicherheitsrelevante Aufgaben, betroffen sind. In der Gesamtheit

aller Fälle ist eher von einer geringen Fehlerkonsequenz auszugehen. Eine signifikante

Fehlerkonsequenz würde voraussetzen, dass eine sicherheitsrelevante Aufgabe durch

die Teilprivatisierung betroffen ist, die zudem danach nicht mehr im gleichen Maße

ausgeführt wird oder werden kann bzw. deren Überwachung in gewissem Maße einge-

schränkt ist.

c. Komplexität der Änderung: Die aus der Teilprivatisierung entstandenen Änderun-

gen sind auch bei Umstrukturierungen von Unternehmensteilen eher als nicht komplex

zu betrachten. Die Entscheidung hängt sicherlich zudem vom Einzelfall ab. Je nach

Umfang und Art der Änderungen steigt oder fällt der Grad der Komplexität.

d. Überwachung: Die Überwachung hängt wie das Kriterium Fehlerkonsequenz stark

vom Einzelfall ab. Die Möglichkeit der Überwachung sollte im Regelfall aber als gut

bezeichnet werden können, da die Organisationsteile mit sicherheitsrelevanten Hand-

lungen im Voraus bekannt sind und bei Änderungen in diesen Teilen besonderer Auf-

wand betrieben werden kann, um eine sichere Änderung und im Nachhinein eine

funktionierende Überwachung zu gewährleisten.

e. Umkehrbarkeit: Es ist nicht davon auszugehen, dass die Teilprivatisierung rückgän-

gig gemacht wird oder werden kann. Sollte dies geschehen dann aus anderen Gründen

als der Sicherheit. Die sich aus der Teilprivatisierung ggf. ergebenen sicherheitsrele-

vanten Änderungen sind aber in aller Regel durchaus umkehrbar bzw. adaptierbar,

falls Probleme abzusehen sind oder auftreten.

f. Innovation: Eine Innovation geht von der Teilprivatisierung nicht aus und wird auch

nicht zu erwarten sein.

Fazit: Die schwache Ausprägung der Punkte Fehlerkonsequenz und Komplexität zusammen

mit der im Allgemeinen gegebenen Möglichkeit der Überwachung und Umkehrbarkeit

sprechen für eine nicht signifikante Änderungen. Dieses Ergebnis ist aber stark Einzelfall

abhängig und steht nur für den wahrscheinlichsten und häufigsten zu erwartenden Fall.


27.03.2009 Seite 21

5.2 Betrieb


Sicherheitsrelevanz: Die Konstruktion eines neuen Fahrplans geschieht auf Grundlage

bestimmter Auflagen. Eine Konstruktion eines unsicheren Fahrplans mit z.B. unerlaubten

Kreuzungen ist aufgrund dieser Auflagen nicht möglich. Gleichzeitig sind die Stellwerke eine

weitere Sicherheitsbarriere, die unsichere Zustände z.B. kein Flankenschutz weil die Parallel-

strecke auch befahren wird nicht zulassen wird. Damit wäre die Änderung der Auflagen für

die Fahrplankonstruktion eine sicherheitsrelevante Änderung, ein neuer Fahrplan erfüllt diese

Bedingung aber nicht.

Anwendung des Schemas entfällt.


Sicherheitsrelevanz: Die Einführung einer automatischen Zugbeeinflussung und die damit

verbundene Einsparung des zweiten Triebfahrzeugführers besitzt Sicherheitsrelevanz, da der

eingesparte TFF sicherheitsrelevante Handlungen wie die Überwachung des anderen TFFs

durchgeführt hat und zudem die automatische Zugbeeinflussung Aufgaben des zweiten TFF

teilweise übernimmt.


a. Sicherheitsbeitrag: Die automatische Zugbeeinflussung übernimmt teilweise Aufga-

ben, die der zweite TFF vorher übernommen hat. Bei einwandfreier Funktionsweise

kann dies einen positiven Sicherheitsbeitrag bedeuten, da eine menschliche durch eine

technische Aufgabenbewältigung ersetzt wird. Es ist davon auszugehen, dass es sich

bei der automatischen Zugbeeinflussung um ein erprobtes System handelt, das diesen

positiven Sicherheitsbeitrag auch liefert. Einschränkend ist aber zu sagen, dass der

zweite TFF auch eine Überwachungsfunktion für die Handlungen des ersten TFF

übernommen hat. Der positive Einfluss der automatischen Zugbeeinflussung wird

durch diesen Wegfall zumindest wieder aufgehoben.

b. Fehlerkonsequenz: Kommt es zu Fehlhandlungen des ersten TFF, die durch den nicht

mehr vorhandenen zweiten TFF nicht mehr bemerkt und korrigiert werden können

und durch die automatische Zugbeeinflussung nicht abgedeckt sind, kann es zu gefähr-

lichen Zuständen kommen. Die Fehlerkonsequenz aus der geplanten Einführung ist

damit als hoch zu bezeichnen. Eine vorhandene Sicherheitsbarriere wird entfernt und

durch eine neue ersetzt, die die bestehende aber nicht in allen Punkten ersetzt.

c. Komplexität der Änderung: Die Einführung einer technischen Komponente wie der

automatischen Zugbeeinflussung und dessen Integration in das bestehende System ist

als komplex zu bezeichnen. Das Weglassen des zweiten TFF ist weniger komplex. Es

müssen aber die Aufgaben, die der zweite TFF erfüllt hat und die nicht von der auto-

matischen Zugbeeinflussung übernommen werden, nach der Änderung vom ersten

TFF ausgeführt werden. Da die automatische Zugbeeinflussung in seiner technischen

Ausführung langfristig erprobt ist und zudem auf Erfahrungen bei der Einführung zu-


27.03.2009 Seite 22

rückgegriffen werden kann, ist die Komplexität der Änderung als mittelstark einzu-

schätzen.

d. Überwachung: Die Überwachung der fehlerfreien Funktion der automatischen Zug-

beeinflussung ist technisch geregelt und damit problemlos möglich. Die Einsparung

des zweiten TFF bedeutet aber, dass eine Überwachungsebene wegfällt und damit der

geänderte Betrieb mit nur einem TFF, schwer zu überwachen ist.

e. Umkehrbarkeit: Es ist problemlos möglich, zum einen wieder mit zwei TFF im Be-

trieb zu fahren und zum anderen die automatische Zugbeeinflussung ggf. zusätzlich zu

deaktivieren, um so zum bestehenden Betriebsablauf zurückzukehren. Dies setzt vo-

raus, dass der Bedienplatz des zweiten TFF weiterhin besteht.

f. Innovation: Die Einsparung eines TFF durch die Hinzunahme einer automatischen

Zugbeeinflussung ist innovativ, da ein technisches System einen Menschen ersetzen

soll und dies für diesen Bereich neuartig ist.

Fazit: Die hohe Fehlerkonsequenz und die schlechte Möglichkeit der Überwachung der

Veränderungen bedeuten, dass es sich hierbei um eine signifikante Veränderung handelt, die

eine weitere Überprüfung notwendig macht.


Sicherheitsrelevanz: Die Information, die von dem Signal angezeigt werden, sind sicher-

heitsrelevant. Damit ist das Signal selbst und dessen Standpunkt und Sichtbarkeit auch

sicherheitsrelevant.


a. Sicherheitsbeitrag: Das Signal soll versetzt werden, da der Bau einer Zufahrt dies

notwendig werden lässt. Die Versetzung geschieht damit nicht aus sicherheitstechni-

schen Überlegungen heraus. Damit ist kein erhöhter Sicherheitsbetrag beabsichtigt

und auch nicht zu erwarten.

b. Fehlerkonsequenz: Ist durch die Versetzung das Signal nicht mehr sichtbar oder führt

die Versetzung zu anderen Problemen, die die Informationserkennung erschweren,

kann dies zu möglichen Gefahren wie z.B. das Überfahren eines haltzeigenden Signals

führen.

c. Komplexität der Änderung: Das Versetzen eines Signals ist keine komplexe Ände-

rung.

d. Überwachung: Es ist gut zu überwachen, ob das versetzte Signal trotz des Haltzei-

gens überfahren wird und ob dies signifikant häufiger geschieht als vor der Verset-

zung. Zudem ist die Überwachung der erforderlichen Sichtbarkeit schon bei der Ver-

setzung des Signals gegeben, so dass Probleme schon vor dem wieder aufgenommen

Regelbetrieb zu erkennen sind.

e. Umkehrbarkeit: Der Bau des Zufahrtweges macht es schwierig, das Signal wieder an

die alte Stelle zurückzuversetzen. Trotzdem ist es möglich, das Signal entweder vor

dem Bau des Zufahrtweges in einem Probebetrieb zu versetzen und ggf. dann an die


27.03.2009 Seite 23

alte Stelle zurückzuversetzen oder nach dem Bau nicht mehr an die alte aber an eine

geeignetere Stelle als die neue Position zu versetzen.

f. Innovation: Von dem Versetzen eines Signals geht keine Innovation aus.

Fazit: Die hohe Fehlerkonsequenz bei der Versetzung eines Signals an eine ungeeignete

Stelle und die eingeschränkte Umkehrbarkeit dieser Veränderung durch den Bau der Zufahrt

sprechen für eine signifikante Veränderung. Die gute Möglichkeit der Überwachung der

Tauglichkeit des neuen Signalstandorts vor dem Bau und der Versetzung entkräftet aber diese

beiden Punkte. Die schlechte Sichtbarkeit des Signals wird damit in aller Regel ausgeschlos-

sen und die eingeschränkte Umkehrbarkeit spielt damit nur noch eine untergeordnete Rolle.

5.3 Technik


Sicherheitsrelevanz: Der Austausch der vorhandenen ETCS Komponenten durch günstigere

aber zertifizierte Komponenten eines Wettbewerbers ist nicht eindeutig sicherheitsrelevant.

Da durch den Zertifizierungsprozess davon auszugehen ist, dass die Funktion weiterhin im

gleichen Maße durch die ausgetauschte Komponente geleistet wird, deutet dies eher darauf-

hin, dass keine Sicherheitsrelevanz vorliegt. Da aber eine Funktion betroffen ist, die hohe

Sicherheitsrelevanz besitzt, wird in diesem Fall auch insgesamt eine Sicherheitsrelevanz

unterstellt.


a. Sicherheitsbeitrag: Der Wechsel zu Komponenten des Wettbewerbers erfolgt aus

Gründen der Kostenersparnis, daher ist ein positiver Sicherheitsbeitrag nicht beabsich-

tigt und auch nicht zu erwarten.

b. Fehlerkonsequenz: Sollte die Komponente trotz Zertifizierung ihre Aufgabe nicht

ordnungsgemäß erfüllen, ist mit möglichen Gefährdungen und möglichen Unfällen zu

rechnen. Da das ETCS die Zugsicherung betrifft, sind Fehler als sehr schwerwiegend

zu betrachten.

c. Komplexität der Änderung: Die Komplexität der Änderung ist als gering einzustu-

fen, da ein etabliertes vorhandenes Bauteil durch ein Bauteil mit derselben Funktion

ersetzt wird.

d. Überwachung: Die Überwachung der fehlerfreien Funktion der neuen Komponente

wird genau so durchgeführt wie bei der vorher verbauten Komponente. Dies bedeutet,

dass die neue Komponente in ein System mit funktionierender und etablierter Über-

wachung arbeitet. Damit ist die Möglichkeit der Überwachung als gut einzustufen.

e. Umkehrbarkeit: Da der einfache Komponententausch keine anderen Wechsel im

technischen System nötig macht, sollte bei einem Weiterbestehen des Ursprunganbie-

ters ein Wechsel zurück kein Problem darstellen.

f. Innovation: Eine Innovation geht von einem Komponententausch bei gleichbleiben-

der Funktion nicht aus.


27.03.2009 Seite 24

Fazit: Die geringe Komplexität der Änderung, die gute Möglichkeit der Überwachung, der

einfache Wechsel zur ursprünglichen Komponente und der nicht vorhandene Innovationsgrad

sprechen für eine nicht signifikante Änderung. Dem gegenüber steht, dass es sich um einen

Eingriff in ein stark sicherheitsrelevantes System handelt. Damit handelt es sich hier um einen

Grenzfall, der stark von der subjektiven Einschätzung und vor allem Gewichtung der einzel-

nen Punkte abhängig ist. Aufgrund der Zertifizierung der Komponenten ist aber letztendlich

eher von keiner signifikanten Änderung auszugehen.


Sicherheitsrelevanz: Es besteht eindeutig Sicherheitsrelevanz bei einer Änderung, die die

Art der Informationsübertragung der Fahrtrichtung eines Zuges betrifft. Sollte es zu Fehlern

kommen, ist direkt mit möglichen Unfällen zurechnen.


a. Sicherheitsbeitrag: Ein positiver Einfluss wäre dann zu erwarten, wenn das neue

System der Informationsübertragung zuverlässiger sein sollte als das bestehende. Da-

von ist nicht auszugehen, da eine rein technische Lösung (unterschiedliche Töne)

durch eine Lösung ersetzt wird, die menschliche Handlungen erfordert, die im höheren

Maße fehlerbehaftet sind.

b. Fehlerkonsequenz: Fehler in der Informationsübertragung z.B. durch Verständnis-

probleme zwischen den Beteiligten kann eine fehlerhafte Information über die Fahrt-

richtung des Zuges bedeuten. Dies bedeutet, dass ein Fehler einen möglichen Unfall

als Konsequenz hat und daher die Fehlerkonsequenz als hoch einzuschätzen ist.

c. Komplexität der Änderung: Die Änderung ist nicht als sonderlich komplex zu be-

zeichnen. Die technische Lösung wird durch ein einfach operationales Verfahren er-

setzt.

d. Überwachung: Die Überwachung der Änderung ist daher als gut zu bezeichnen, da

die Fahrtrichtung eines Zuges durch technische Einrichtungen gut zu überprüfen ist

und eine falsche Richtungsangabe im Regelfall bemerkt wird.

e. Umkehrbarkeit: So bald das digitale Telefonsystem eingeführt wurde, ist eine Rück-

kehr zum analogen System als schwierig anzusehen. Der Wechsel zum digitalen Sys-

tem schließt Wechsel der Telefone, der Telefonanlagen und weiterer technischer Sys-

teme mit ein, was eine Rückkehr zumindest sehr kostspielig werden lässt.

f. Innovation: Die beabsichtigte Änderung besitzt nicht die Eigenschaften einer Innova-

tion. Die Änderung greift zum einen auf bewährte Verfahren wie die verbale Informa-

tionsübertragung per Telefon zurück, auch sind keine neuen technischen Systeme für

den Betrieb entwickelt wurden oder werden dafür benötigt.

Fazit: Die geringe Komplexität, die gute Möglichkeit der Überwachung und die geringe

Innovation sprechen eher für eine nicht signifikanten Änderung. Da aber die Fehlerkonse-

quenz als so stark eingeschätzt werden muss und darüber hinaus erhebliche Schwierigkeiten

bestehen, die Änderung rückgängig zu machen, ist in diesem Fall von einer signifikanten

Änderung auszugehen.


27.03.2009 Seite 25


Sicherheitsrelevanz: Der Wechsel von Röhrenmonitoren zu TFT-Monitoren hat durch die

technisch unterschiedliche Funktionsweise zur Folge, dass sich die vom Röhrenmonitor

gewohnte Sichtbarkeit aus seitlichen Positionen verringert und auch die Farbechtheit schlech-

ter sein kann. Die Handlungen, die im Stellwerk an den Monitoren durchgeführt werden,

besitzen sicherheitsrelevanten Charakter. Können diese durch den Wechsel zu TFT-

Monitoren beeinträchtigt werden, liegt Sicherheitsrelevanz vor. Dies ist davon abhängig, wie

viele Monitore ein Benutzer im Stellwerk bedienen muss, wie zeitkritisch die zu erledigenden

Aufgaben sind und wie oft dadurch ein schnelles Erfassen der Informationen auf dem

Bildschirm auch von der Seite notwendig ist. Dies zu klären, wäre eine Aufgabe, die vor der

Einschätzung der Signifikanz der Änderung erfolgen muss. Im Folgenden soll von einer

Sicherheitsrelevanz ausgegangen werden.


a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit ist dann zu erwarten,

wenn die Ausfallrate moderner TFTs unter denen von Röhrenmonitoren liegt. Die

Vorteile von TFTs gegenüber Röhrenmonitoren sind das flimmerfreie Bild, die gerin-

ge Leistungsaufnahme und die geringe Einbautiefe. Eine generell signifikant höhere

Zuverlässigkeit der TFT-Technik existiert nicht. Da zudem die Sichtbarkeit aus seitli-

chen Positionen und die Farbechtheit als schlechter einzuschätzen ist, ist mit keinem

positiven Sicherheitsbetrag zu rechnen.

b. Fehlerkonsequenz: Ein fehlerhaftes Erkennen aus seitlichen Positionen kann Gefähr-

dungen nach sich ziehen, wobei bei einem Stellwerk Sicherungssysteme vor einer feh-

lerhaften Bedienung schützen sollen. Ausfälle eines Monitors sind als weniger prob-

lematisch einzuschätzen, da in diesem Fall zur Not der Betrieb unterbrochen werden

kann. Dies kann zu Verspätungen und weiteren Unannehmlichkeiten führen, sollte

aber Gefährdungen verhindern. Damit ist die Fehlerkonsequenz als mittelstark einzu-

stufen.

c. Komplexität der Änderung: Die Änderung ist als nicht besonders Komplex einzu-

schätzen. An dem eigentlichen Ablesen oder der Bedienung des Monitors ändert sich

nichts. Ein System wird durch ein anderes mit derselben Funktion aber einer anderen

technischen Lösung ersetzt.

d. Überwachung: Die Überwachung der reibungslosen Funktion des TFT-Monitors ist

möglich. Ob es zum falschen oder erschwerten Ablesen von Informationen aus seitli-

chen Positionen kommt, ist auch im Betrieb oder in einem Probebetrieb zu klären. Ei-

ne gute Möglichkeit der Überwachung ist damit gegeben.

e. Umkehrbarkeit: Ein Wechsel zurück zu Röhrenmonitoren erfordert zwar finanzielle

Aufwendungen, ist aber problemlos möglich.

f. Innovation: Eine Innovation geht von dem Einsatz von TFT-Monitoren nicht aus, da

die Funktion der Informationsanzeige weiterhin auf vergleichbare Weise erfolgt und

sich nur die Funktionsweise des Monitors geändert hat.


27.03.2009 Seite 26

Fazit: Die geringe Komplexität der Änderung, die gute Möglichkeit der Überwachung und

vor allem der problemlose Wechsel zum ursprünglichen Monitortyp spricht für keine

signifikante Änderung. Die durchaus vorhandene mittelstark ausgeprägte Fehlerkonsequenz

kann dadurch abgemindert werden, indem eine schrittweise Umstellung des Monitortyps auf

TFT erfolgt. Auch ist es in diesem Fall möglich, einen geeigneten TFT-Monitor zu ermitteln,

der die ermittelten Anforderungen wie Blickwickeln und Farbechtheit erfüllt.


27.03.2009 Seite 27

6 Ergebnisse der SST-Auswertung

Im folgenden Teil sind die Kurzauswertung der SST-Ergebnisse anhand der Punktzahlen der

einzelnen Grundsätze sowie die Darstellung des Ergebnisdiagramms zu sehen. Das SST-

Verfahren ist für eine Anwendung mit einer Expertengruppe ausgelegt. Die Bearbeitung

erfolgte abgesehen von den Beispielen Einsparung TFF und Teilprivatisierung hingegen nicht

innerhalb einer Expertengruppe. Die ausführlichen Antworten und Ergebnisse der einzelnen

Beispiele befinden sich als Exceldatei zusammen mit dem Excel-Tool des SST-Verfahrens im

Ordner SST-Ergebnisse.

Die folgende Darstellung der Ergebnisse ist angelehnt an die Darstellung in der Beschreibung

der SST.20

In der linken Spalte der Tabellen stehen jeweils die einzelnen Grundsätze der drei

Bereiche Sicherheitsarchitektur, Betriebssicherheit und Sicherheitsmanagement. In der

mittleren Spalte ist gegebenenfalls eine kurze Erläuterung zu der Punktzahl gegeben. Die

Punktzahl selbst befindet sich in der rechten Spalte. Es werden ausschließlich die positiven

Punktzahlen kurz erläutert, da diese für die Einschätzung, ob es sich um eine signifikante

Änderung handelt, entscheidend sind.

Im Gegensatz zu dem Ergebnisdiagramm und der Auswertung im SST-Tool werden bei dieser

finalen Auswertung keine Sicherheitsverbesserungen, gleichbedeutend mit einer negativen

Punktzahl, ausgewiesen. Negative Punktzahlen werden hier zu null gesetzt. Dies hat den

Grund, dass in dieser frühen Phase nicht ohne tiefergehende Betrachtung eine zuverlässige

Aussage über eventuelle Verbesserungen getroffen werden kann und soll.21

Ziel ist es

hingegen, mögliche Bereiche zu erkennen, die Probleme machen können und einer weiteren

Betrachtung im Prozess der Implementierung der Änderung bedürfen.

Die Auswertung der Ergebnisse ist als vorläufig anzusehen, da bisher noch keine festen

Kriterien existieren, die anhand der SST-Ergebnisse zu einer eindeutigen Einschätzung

signifikante Änderung bzw. keine signifikante Änderung kommen. Mögliche Kriterien sollen

anhand der nun folgenden Auswertung und dann abschließend im Kapitel 7 entwickelt

werden.


21 vgl. Gespräch Straeter/ Braband/ Gayen, 2009.


27.03.2009 Seite 28

6.1 Organisation


Die Tabelle 5 und die Abbildung 8 zeigen die Ergebnisse der SST-Auswertung des Beispiels

Führungswechsel.

Fundamental Sicherheitsauswirkung der Veränderung Punktzahl

Sicherheitsarchitektur

Transparenz Keine signifikante Veränderung 0

Redundanz Keine signifikante Veränderung 0

Abhängigkeit Keine signifikante Veränderung 0

Funktionalität Keine signifikante Veränderung 0

Integrität Keine signifikante Veränderung 0

Wartungsfähigkeit Keine signifikante Veränderung 0

Betriebssicherheit

Verfahren

Verfahren können sich ändern, falls der neue

Vorstand in einigen Bereichen fehlende Kompeten-

zen hat oder Wert auf eine andere Arbeitsweise legt.

0,5

Betriebliches Umfeld Keine signifikante Veränderung 0

Kompetenz Keine signifikante Veränderung 0

Mensch-Maschine

Interaktion Keine signifikante Veränderung 0

Organisation

Evtl. sorgt neue Führungskraft für Veränderungen,

die Dinge zwischen einzelnen Abteilungen und

Organisationen betreffen.

1

Kommunikation Durch den neuen Vorstand ändert sich u.U. für

bestimmte Angelegenheiten der Ansprechpartner. 1

Zuverlässigkeit Bewährte Prozesse können durch den neuen

Vorstand verändert oder abgeschafft werden. 2

Sicherheitsmanagement

Richtliniensetzung Keine signifikante Veränderung 0

Planung Keine signifikante Veränderung 0

Ausführung Keine signifikante Veränderung 0

Sicherung Keine signifikante Veränderung 0

Förderung Keine signifikante Veränderung 0

Tabelle 5: Ergebnisse des SST-Verfahrens (Beispiel Führungswechsel)


27.03.2009 Seite 29

Abbildung 8: Grafische Ergebnisdarstellung (Beispiel Führungswechsel)

Auswertung der Ergebnisse: In den Bereichen Sicherheitsarchitektur und Sicherheitsmana-

gement sind keine signifikante Änderungen zu erkennen. Im Bereich Betriebssicherheit

hingegen kommt es zu schwach ausgeprägten Sicherheitsauswirkungen im Bereich der

Verfahren, der Organisation sowie der Kommunikation. Die Zuverlässigkeit ist mittelstark

positiv ausgeprägt, da bewährte Prozesse durch den neuen Vorstand verändert oder abge-

schafft werden könnten. Damit handelt es sich bei diesem Beispiel um einen nicht eindeutigen

Fall, der an dieser Stelle kein abschließendes Urteil erlaubt und damit erst nach der weiteren

Festlegung von vorgeschlagenen Kriterien bewertet werden kann. Die endgültige Einschät-

zung ist mit allen anderen Ergebnissen in der Abbildung 30 in Kapitel 8.2 zu finden.


27.03.2009 Seite 30



Wettbewerbsdruck.



Transparenz Es sind u.U. noch nicht alle Abhängigkeiten und

Folgen durchdacht. 0,25

Redundanz

Es muss darauf geachtet werden, dass nicht

Abteilungen eingespart werden, die parallele

Sicherheitsaufgaben übernehmen.

2





Betriebssicherheit

Verfahren Es kommt zu einer Neuordnung des Personals, was

bestehende Abläufe verändert. 1

Betriebliches Umfeld

Der Arbeitsaufwand ist abhängig von der Ver-

kehrsmenge und den Wetterbedingungen. Dieser

evtl. höhere Arbeitsaufwand muss von der verrin-

gerten Belegschaft auch erledigt werden können.

4


Mensch-Maschine


Organisation Die Neuordnung des Personals betrifft direkt die

Organisation. 2

Kommunikation Durch die Personaleinsparung und den Personalum-

bau verändern sich auch Teile der Kommunikation. 1

Zuverlässigkeit Bewährte Arbeitsabläufe werden durch den

Personalumbau geändert. 2


Richtliniensetzung

Durch den Personalumbau kommt es u.U. auch zu

veränderten Zuständigkeiten bei sicherheitsrelevan-

ten Aufgaben.

2


Ausführung

Arbeitsprozesse und Zuständigkeiten ändern sich

durch den Personalumbau. Diese Auswirkungen bei

einer möglichen Auslagerung wären noch größer.

4

Sicherung

Die Überwachung von sicherheitsrelevanten

Handlungen wird durch die Personaleinsparung

erschwert.

2


Tabelle 6: Ergebnisse des SST-Verfahrens (Beispiel Wettbewerbsdruck)


27.03.2009 Seite 31

Abbildung 9: Grafische Ergebnisdarstellung (Beispiel Wettbewerbsdruck)

Auswertung der Ergebnisse: Es sind in allen drei Bereichen Sicherheitsarchitektur, Be-

triebssicherheit und Sicherheitsmanagement Sicherheitsauswirkungen zu erwarten. Damit

muss in all diesen Bereichen eine gewisse Anstrengung aufgebracht werden, um die Auswir-

kungen auf die Sicherheit zu beobachten und ggf. zu beschränken. Dies lässt ein Kriterium in

Betracht kommen, das besagt, dass in dem Fall ein signifikante Änderung vorliegt, wenn in

allen drei Bereichen mindestens ein Grundsatz die Punktzahl zwei oder höher aufweist.

Des Weiteren sind der Grundsatz betriebliches Umfeld im Bereich Betriebssicherheit und der

Grundsatz Ausführung im Bereich Sicherheitsmanagement mit der Punktzahl vier stark

ausgeprägt. Dies spricht allein schon für eine signifikante Veränderung, da hier eine besonde-

re Anstrengung aufgebracht werden muss, um die Sicherheitsauswirkungen im Griff zu

behalten.


27.03.2009 Seite 32



Teilprivatisierung. Die Anwendung des SST-Verfahrens fand in einer Expertengruppe am

IfEV statt.22



Transparenz Die Auswirkungen der Teilprivatisierung sind noch

nicht im vollen Umfang geklärt. 1


Abhängigkeit

Es muss klar sein, wie die Betriebsteile nach der

Veränderung zusammen und wie sich die Abhän-

gigkeiten untereinander ändern.

4



Wartungsfähigkeit

Die Erkennung von Problemen und die Behebung

dieser Probleme werden durch die Teilprivatisierung

erschwert.

2

Betriebssicherheit

Verfahren Bei der Aufteilung der Bereiche könnten Aufgaben

umverteilt werden. 1



Mensch-Maschine


Organisation Durch die Teilprivatisierung verändert sich die

Organisation des Unternehmens. 2

Kommunikation Es ändern sich Kommunikationswege und

Ansprechpartner. 1

Zuverlässigkeit Bewährte Kommunikationswege auch zwischen

Unternehmensteilen verändern sich. 2


Richtliniensetzung Es verändern sich zwangsläufig Zuständigkeiten. 4



Sicherung

Es ist abhängig von der neuen Organisationsform,

inwieweit Probleme erkennbar sind. Dieser Punkt

muss im Auge behalten werden.

2


Tabelle 7: Ergebnisse des SST-Verfahrens (Beispiel Teilprivatisierung)

22 Gespräch Straeter/ Braband/ Gayen, 2009.


27.03.2009 Seite 33

Abbildung 10: Grafische Ergebnisdarstellung (Beispiel Teilprivatisierung)

Auswertung der Ergebnisse: Ähnlich zum vorangegangenen Beispiel sind in allen drei

Bereiche mindestens je ein Grundsatz mit der Ausprägung zwei oder höher zu finden. Des

Weiteren verfügen die Grundsätze Abhängigkeit im Bereich Sicherheitsarchitektur und

Richtliniensetzung im Bereich Sicherheitsmanagement über eine positive Punktzahl von vier.

Jeder dieser Aspekte für sich genommen, würde schon für eine signifikante Veränderung

sprechen, sofern man die Kriterien aus dem vorherigen Beispiel anwendet.


27.03.2009 Seite 34

6.2 Betrieb



Fahrplanwechsel.









Betriebssicherheit

Verfahren Keine signifikante Veränderung 0



Mensch-Maschine


Organisation Durch geänderten Fahrplan könnten im Stellwerk

andere Arbeitspläne notwendig werden. 1

Kommunikation Keine signifikante Veränderung 0

Zuverlässigkeit

Falls sich ein jahrelang in Benutzung gewesener

Fahrplan ändert, ändern sich damit u.U. auch

bewährte Abläufe. Gewohnte Abläufe (z.B. immer

um die volle Stunde kommt ein bestimmter Zug und

macht eine Handlung notwendig) könnten aber

unter dem neuen Fahrplan Probleme hervorrufen,

wenn genau diese Handlung in dem gewohnten

Moment plötzlich falsch ist.

2







Tabelle 8: Ergebnisse des SST-Verfahrens (Beispiel Fahrplanwechsel)


27.03.2009 Seite 35

Abbildung 11: Grafische Ergebnisdarstellung (Beispiel Fahrplanwechsel)

Auswertung der Ergebnisse: Nur in dem Bereich Betriebssicherheit sind bei diesem

Beispiel bei den Grundsätzen Organisation und Zuverlässigkeit positive Punktzahlen zu

beobachten. Diese überschreiten zudem die Punktzahl zwei nicht. Dies sollte anhand der

vorläufigen Kriterien dafür sprechen, dass keine signifikante Veränderung vorliegt.


27.03.2009 Seite 36



Einsparung Triebfahrzeugführer. Die Durchführung des SST-Verfahrens fand mit einer

Expertengruppe im IfEV statt.23



Transparenz

Zugbeeinflussung ist eine erprobte Technik und ist

umfassend beschrieben. Die Änderung durch das

Weglassen des zweiten TFF ist aber noch nicht

umfassend geklärt

0,25

Redundanz

Der eingesparte TFF hat Aufgaben, die durch die

automatische ZB nicht komplett übernommen wird.

Dadurch geht Redundanz verloren.

4





Betriebssicherheit

Verfahren

Arbeitsabläufe verändern sich. Zudem hat der TFF

Aufgaben, die durch die automatische ZB nicht

komplett übernommen werden.

1


Kompetenz

Der erste TFF muss teilweise Aufgaben vom

eingesparten TFF übernehmen und brauch die

notwendige Kompetenz dafür.

4

Mensch-Maschine

Interaktion

Die Bedienung ändert sich u.U., da Aufgaben von

dem zweiten TFF durch die automatische ZB

übernommen werden und diese auch bedient werden

müssen.

1

Organisation

Aufgaben werden teilweise vom zweiten auf den

ersten TFF übertragen und es kommt zu einer

Einsparung des zweiten TFF.

2

Kommunikation Die Kommunikation zwischen ersten und zweiten

TFF entfällt. 1

Zuverlässigkeit Bewährte Verfahren zwischen erstem und zweitem

TFF entfallen. 4

23 Vgl. Braband/ Gayen, August 2008.


27.03.2009 Seite 37


Richtliniensetzung Zuständigkeiten im Betrieb ändern sich. 2


Ausführung Aufgaben des zweiten TFF müssen delegiert

werden. 4

Sicherung

U.U. ist der erste TFF überfordert, wenn er die

Aufgaben des zweiten TFF zum Teil mit überneh-

men muss.

2


Tabelle 9: Ergebnisse des SST-Verfahrens (Beispiel Einsparung Triebfahrzeugführer)

Abbildung 12: Grafische Ergebnisdarstellung (Beispiel Einsparung Triebfahrzeugfüh-

rer)

Auswertung der Ergebnisse: In allen drei Bereichen liegt eine Punktzahl von mindestens

zwei vor. Zudem sind im Bereich Sicherheitsarchitektur mit dem Grundsatz Redundanz, im

Bereich Betriebssicherheit mit dem Grundsatz Kompetenz und im Bereich Sicherheitsmana-

gement mit dem Grundsatz Ausführung drei Grundsätze mit einer Punktzahl von vier

vorhanden. Dies spricht dafür, dass hier eindeutig eine signifikante Veränderung vorliegt.


27.03.2009 Seite 38


Die Tabelle 10 und die Abbildung 13 zeigen die Ergebnisse der SST-Auswertung des

Beispiels Signalversetzung.




Redundanz

Es ist u.U. möglich, dass ein neuer Standort des

Signals zum leichteren Übersehen des Signals führt.

Es existieren aber mehrere Sicherungssysteme –

sollte im Auge behalten werden.

2





Betriebssicherheit




Mensch-Maschine

Interaktion

Die Aufgabe der Signalerkennung des TFF wird

durch die Umsetzung beeinflusst. 1

Organisation Keine signifikante Veränderung 0


Zuverlässigkeit

Es kann zu Problemen kommen, weil TFF sich an

den alten Standpunkt des Signals gewöhnt haben

und das Signal auch weiter dort erwarten.

2







Tabelle 10: Ergebnisse des SST-Verfahrens (Beispiel Signalversetzung)


27.03.2009 Seite 39

Abbildung 13: Grafische Ergebnisdarstellung (Beispiel Signalversetzung)

Auswertung der Ergebnisse: Der Bereich Sicherheitsmanagement weist keine Sicherheits-

auswirkungen auf. Im Bereich Sicherheitsarchitektur ist der Grundsatz Redundanz mit einer

Punktzahl von zwei mittelstark ausgeprägt. Die Grundsätze Mensch-Maschine Interaktion mit

einer Punktzahl von eins und Zuverlässigkeit mit einer Punktzahl von zwei sind auch schwach

bis mittelstark ausgeprägt. Dies lässt zwar an dieser Stelle keine eindeutige Aussage zu, unter

den vorläufigen Kriterien liegt hier aber keine signifikante Veränderung vor.

Gerade dieses Beispiel und das Führungswechsel-Beispiel im Bereich Organisation werfen

aber die Frage nach der Notwendigkeit eines dritten Kriteriums auf. Im ungünstigsten Fall

würde eine geplanter Änderung, der ausschließlich in einem Bereich positive Punktzahlen in

jedem Grundsatz von zwei besitzt als keine signifikante Veränderung durchgehen, da sie von

keinem der beiden Kriterien erfasst wird. Denn hier liegt keine Punktzahl von vier vor und

zudem ist nicht in allen Bereichen eine Ausprägung von mindestens zwei vorhanden. Auf

diese Thematik wird in Kapitel 7 näher eingegangen.


27.03.2009 Seite 40

6.3 Technik



Beispiels Komponententausch.









Betriebssicherheit




Mensch-Maschine




Zuverlässigkeit Keine signifikante Veränderung 0





Sicherung

Sicherheitsprobleme mit der neuen Komponente

sollten zu erkennen sein. Dies ist aber im Verlauf

weiter zu verfolgen.

2


Tabelle 11: Ergebnisse des SST-Verfahrens (Beispiel Komponententausch)


27.03.2009 Seite 41

Abbildung 14: Grafische Ergebnisdarstellung (Beispiel Komponententausch)

Auswertung der Ergebnisse: Da nur im Bereich Sicherheitsmanagement der Grundsatz

Sicherung mit der Punktzahl zwei mittelstark ausgeprägt ist und sonst keine Sicherheitsaus-

wirkungen vorliegen, ist hier davon auszugehen, dass es sich um keine signifikanten Ände-

rung handelt.


27.03.2009 Seite 42



Beispiels Wechsel im Telefonsystem.




Redundanz Es soll per Fahrplan gegengecheckt werden. Ob dies

ausreicht, muss im Auge behalten werden. 2



Integrität Fehler bei der Richtungsangabe der Züge haben fast

automatisch gefährliche Zustände zur Folge. 4


Betriebssicherheit

Verfahren

Durch den Wechsel im Telefonsystem muss ein

neues Verfahren der Richtungsangabe implemen-

tiert werden.

1



Mensch-Maschine

Interaktion

Bedienung des Telefons ändert sich nicht, aber die

Übertragung der Richtungsinformation ändert sich

und erfordert jetzt neues Vorgehen, was das Telefon

mit einschließt.

0,5


Kommunikation

Es erfolgt nun eine Richtungsangabe durch Kom-

munikation über das Telefon. Zudem steigt der

Kommunikationsbedarf.

1

Zuverlässigkeit Bewährte Praxis der Weitergabe der Zugrichtungs-

information ändert sich. 4


Richtliniensetzung Evtl. ändern sich Zuständigkeiten. 2


Ausführung

Das Personal erhält mehr Sicherheitsverantwortung

und damit ändern sich auch entscheidende Arbeits-

prozesse.

4

Sicherung Sicherheitsprobleme sind evtl. erst zu spät zu

erkennen. Dieser Punkt muss beobachtet werden. 2


Tabelle 12: Ergebnisse des SST-Verfahrens (Beispiel Wechsel im Telefonsystem)


27.03.2009 Seite 43

Abbildung 15: Grafische Ergebnisdarstellung (Beispiel Wechsel im Telefonsystem)

Auswertung der Ergebnisse: Hier liegt in jedem Bereich eine Sicherheitsauswirkung von

mindestens zwei vor. Zudem existieren drei Grundsätze mit einer Punktzahl von vier, was für

eine starke Sicherheitsauswirkung in diesem Bereich spricht. Dadurch ist in diesem Beispiel

eindeutig davon auszugehen, dass es sich um eine signifikante Veränderung handelt.


27.03.2009 Seite 44



Beispiels Monitorwechsel.









Betriebssicherheit




Mensch-Maschine

Interaktion

Es handelt sich um eine leichte Veränderung der

Arbeitsplatzbedingungen. 0,5



Zuverlässigkeit Keine signifikante Veränderung 0







Tabelle 13: Ergebnisse des SST-Verfahrens (Beispiel Monitorwechsel)


27.03.2009 Seite 45

Abbildung 16: Grafische Ergebnisdarstellung (Beispiel Monitorwechsel)

Auswertung der Ergebnisse: Bei diesem Beispiel ist nur der Grundsatz Mensch-Maschine

Interaktion aus dem Bereich Betriebssicherheit mit einer Punktzahl von 0,5 schwach ausge-

prägt. Weitere Sicherheitsauswirkungen in anderen Grundsätzen existieren nicht. Damit ist

eindeutig davon auszugehen, dass hier keine signifikante Veränderung vorliegt.


27.03.2009 Seite 46

7 Kriterien zur Entscheidungsfindung in der SST

Die während der Auswertung gefundenen Kriterien sollen nun noch einmal vorgestellt und

zudem hinsichtlich ihrer Relevanz begründet werden. Es bleibt zu bemerken, dass diese

Kriterien nur als Vorschlag zu sehen sind. Grundsätzlich soll gezeigt werden, dass eine

sinnvolle und aussagekräftige Bewertung mit dem SST-Verfahren möglich ist und sinnvolle

Kriterien gefunden werden können.

Das erste Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in

der SST-Bewertung mindestens ein Grundsatz eine Punktzahl von vier oder höher aufweist.

Eine Bewertung von vier besagt, dass erhebliche Anstrengungen unternommen werden

müssen, um die Sicherheitsauswirkungen im Griff zu behalten. Tritt dieser Fall auf, dann ist

es gerechtfertigt, von einer signifikanten Änderung zu sprechen und eine eingehende Untersu-

chung anhand des ausführlichen CSM-Verfahrens notwendig werden zu lassen. Zu Verdeutli-

chung ist in der Tabelle 14 eine SST-Bewertung eines Beispiels zu sehen, dass ausschließlich

dieses erste Kriterium erfüllt.



Transparenz - 0

Redundanz - 0

Abhängigkeit - 0

Funktionalität Starke Sicherheitsauswirkung auf die Funktionalität 4

Integrität - 0

Wartungsfähigkeit - 0

Betriebssicherheit

Verfahren - 0

Betriebliches Umfeld - 0

Kompetenz - 0

Mensch-Maschine

Interaktion - 0

Organisation - 0

Kommunikation - 0

Zuverlässigkeit - 0


Richtliniensetzung - 0

Planung - 0

Ausführung - 0

Sicherung - 0

Förderung - 0

Tabelle 14: Beispielhafte SST-Bewertung zum ersten Kriterium


27.03.2009 Seite 47

Das zweite Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in

der SST-Bewertung in jedem der drei Bereich Sicherheitsarchitektur, Betriebssicherheit und

Sicherheitsmanagement mindestens je ein Grundsatz eine Punktzahl von zwei oder höher

aufweist. Diese Bewertung hat zur Folge, dass in jedem Bereich mindestens bei einem

Grundsatz ein mittelstarker Aufwand bei der Sicherheitsbewertung notwendig ist. Der

gesamte hierfür benötigte Aufwand lässt es sinnvoll erscheinen, in diesem Fall von einer

signifikanten Änderung zu sprechen. Das ausführliche CSM-Verfahren muss damit angewen-

det werden. Zu Verdeutlichung ist in der Tabelle 15 eine SST-Bewertung eines Beispiels zu

sehen, dass ausschließlich dieses zweite Kriterium erfüllt.



Transparenz - 0

Redundanz Mittelstarke Sicherheitsauswirkung auf die Redun-

danz 2

Abhängigkeit - 0

Funktionalität - 0

Integrität - 0


Betriebssicherheit

Verfahren - 0


Kompetenz - 0

Mensch-Maschine

Interaktion - 0

Organisation - 0

Kommunikation Mittelstarke Sicherheitsauswirkung auf die Kom-

munikation 2



Richtliniensetzung Mittelstarke Sicherheitsauswirkung auf die Richtli-

niensetzung 2

Planung - 0

Ausführung - 0

Sicherung - 0

Förderung - 0

Tabelle 15: Beispielhafte SST-Bewertung zum zweiten Kriterium


27.03.2009 Seite 48

Das dritte Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in

der SST-Bewertung mindestens einer der drei Bereiche Sicherheitsarchitektur, Betriebssi-

cherheit und Sicherheitsmanagement eine durchschnittliche Punktzahl seiner Grundsätze von

1,0 oder höher aufweist. Dies bedeutet, dass in einem Bereich durchschnittlich auf jeden

einzigen Grundsatz dieses Bereichs ein geringer Aufwand bei der Sicherheitsbewertung

erfolgen muss. Der Umfang und die Tatsache, dass ein Bereich nahezu vollständig betroffen

ist, spricht für die Einschätzung, dass eine signifikante Veränderung vorliegt. Zu Verdeutli-

chung ist in der Tabelle 16 eine SST-Bewertung eines Beispiels zu sehen, dass ausschließlich

dieses dritte Kriterium erfüllt.



Transparenz - 0

Redundanz - 0

Abhängigkeit - 0

Funktionalität - 0

Integrität - 0


Betriebssicherheit

Verfahren - 0


Kompetenz - 0

Mensch-Maschine

Interaktion - 0

Organisation - 0

Kommunikation - 0



Richtliniensetzung Mittelstarke Sicherheitsauswirkung auf die Richtli-

niensetzung 2

Planung Mittelstarke Sicherheitsauswirkung auf die Planung 2

Ausführung Leichte Sicherheitsauswirkung auf die Ausführung 1

Sicherung - 0

Förderung - 0

Tabelle 16: Beispielhafte SST-Bewertung zum dritten Kriterium

Erfüllt die SST-Auswertung eines Beispiels zwei oder alle drei dieser Kriterien, liegt eine

signifikante Veränderung vor. Welche und wie viele dieser drei Kriterien erfüllt werden,

könnte zur zusätzlichen Beurteilung herangezogen werden. Erfüllt die SST-Auswertung eines

Beispiels hingegen keine dieser oben beschriebenen Kriterien, dann liegt in diesem Fall keine

signifikante Veränderung vor.


27.03.2009 Seite 49


27.03.2009 Seite 50

8 Vergleich von CSM- und SST-Verfahren

In diesem Kapitel sollen die Experteneinschätzung, die CSM-Ergebnisse und die z.T.

vorläufigen SST-Ergebnisse miteinander verglichen werden. Gleichzeitig sollen die vorge-

schlagenen Kriterien aus dem vorherigen Kapitel auf ihre Tauglichkeit überprüft werden.

Problematisch hieran ist, dass keine Beispiele zur Kalibrierung vorliegen. Hierfür müssten

Beispiele vorhanden sein, die als signifikante oder nicht signifikante Einschätzung fest

eingestuft worden wären. Danach hätten Kriterien für das SST-Verfahren dann gefunden und

festgelegt werden können. Die Experteneinschätzung hingegen ist nur als Tendenz und nicht

als feststehenden Einschätzung zu werten, die anhand der CSM- und SST-Bewertung

überprüft werden sollte. Die anhand der Kriterien zu Stande gekommenen SST-

Entscheidungen sollen mit den Ergebnissen der Experteneinschätzung und des CSM-

Verfahrens verglichen und etwaige Abweichungen näher beleuchtet werden. Damit soll

geklärt werden, ob einerseits die gefundenen Kriterien sinnvoll und anwendbar sind und

andererseits worauf die möglichen Unterschiede in den Entscheidungen beruhen.

Damit erhält der nun folgende Vergleich der Ergebnisse aus den drei verschiedenen Verfahren

zentrale Bedeutung. Zuvor soll in Abschnitt 8.1 ein qualitativer Vergleich zwischen dem

CSM- und dem SST-Verfahren gezogen werden. Das Kapitel 8.2 befasst sich im Anschluss

mit dem Vergleich der konkreten Ergebnisse.

8.1 Qualitativer Vergleich des CSM- und des SST-Verfahrens

Beide Verfahren sind dafür ausgelegt, dass sie von mehreren Experten bearbeitet werden und

die Beantwortung und Auswertung mit ihnen erfolgt. Wie aus Abbildung 2 zu erkennen,

erfolgt beim CSM-Verfahren zunächst die Beantwortung der Sicherheitsrelevanz. Nur falls

die geplante Änderung als sicherheitsrelevant eingestuft wird, erfolgt eine weitere Experten-

betrachtung anhand der sechs Kriterien. Obwohl damit der Bewertung der Sicherheitsrelevanz

ein erheblicher Stellenwert zukommt, erfolgt diese Vorabbewertung nicht anhand von

Kriterien und ohne weitere formale Bedingungen. Dies ist ein erheblicher Schwachpunkt des

CSM-Verfahrens. Sollte das CSM-Verfahren so Vorschrift werden, besteht hier eindeutig

weiterer Regelungsbedarf.

Die sechs Kriterien, anhand derer die weitere Bewertung zu erfolgen hat, sind, wie in Kapitel

2.3 zu sehen, kurz im CSM-Handbuch erläutert. Zudem existieren einige Anwendungsbei-

spiele im Anhang des Handbuches. Es existieren keine weiteren Hilfen oder Unterkriterien an

denen eine Orientierung stattfinden kann. Dabei ist nicht zu unterschätzen, dass aufgrund

dieses Sachverhaltes die Kriterien hinsichtlich ihrer Auslegung zwischen den Teilnehmern

einer Expertengruppe, wie auch zwischen verschiedenen Expertengruppen, vollkommen

unterschiedlich aufgefasst werden können. In Kapitel 8.3 wird anhand des Beispiels Teilpri-


27.03.2009 Seite 51

vatisierung deutlich, zu welchen Problemen dies in der konkreten Anwendung führen kann.

Vor allem die Vergleichbarkeit der Ergebnisse leidet darunter, dass kein genaues Vorgehen

bei der Beantwortung der einzelnen Kriterien vorgegeben ist.

Des Weiteren ist fraglich, inwieweit die vorab bewertete Sicherheitsrelevanz unabhängig von

dem Kriterium Fehlerkonsequenz ist. Die Begriffe sind nur schwierig voneinander zu

abzugrenzen. Dies zeigen die CSM-Ergebnisse der Beispiele (vergleich Kapitel 5). In allen

acht Beispielen, in denen die Änderung als sicherheitsrelevant bewertet wurde, wurde auch

eine gewisse Fehlerkonsequenz festgestellt. Außerdem ähnelt sich häufig auch die gefundene

Begründung für diese beiden Aspekte.

Beim SST-Verfahren erfolgt, wie aus Kapitel 3.3 ersichtlich, die Bewertung anhand der

Beantwortung von vorgegebenen Fragen. Diese Fragen sind unterschiedlichen Grundsätzen

zugeordnet, die wiederum in drei Bereiche eingeteilt sind. Die Grundsätze besitzen eine

unterschiedliche Gewichtung, die sich danach richtet, inwieweit auftretende Probleme im

Nachhinein noch behoben werden können. Die Beantwortung erfolgt in einem Excel-Tool,

das neben der Beantwortung auch eine schriftliche Rechtfertigung zu jeder Frage zulässt und

darüber hinaus auch die Auswertung und die Ausgabe eines Ergebnisses übernimmt. Beson-

ders heraus zu stellen ist die Möglichkeit, diese Auswertung am Excel-Tool auch mit deutlich

größeren Arbeitskreisen durchführen zu können. Zum einen erfolgt die Diskussion durch die

sukzessive Bearbeitung der einzelnen Grundsätze und Bereiche sehr strukturiert, zum anderen

lassen sich die Fragen, Antworten und die Texte zur Rechtfertigung über einen Projektor

bequem für alle sichtbar an eine Wand projizieren. Diese Arbeitsweise hat in der Praxis

bewiesen, dass sie zu sehr wertvollen Diskussionen über die geplante Änderung und die damit

verbundenen Sicherheitsauswirkungen führt und so häufig weitere zu beachtende Punkte

erkannt werden.

Für das SST-Verfahren muss für die Sicherheitsbewertung einer Änderung aufgrund des

Umfangs an Fragen und der sich ergebenen Diskussionen mit mehreren Stunden Zeitaufwand

gerechnet werden. Das CSM-Verfahren hingegen lässt keine genaue Abschätzung der Dauer

zu. Der Zeitaufwand ist abhängig von den angestoßenen Diskussionen und inwieweit sich die

Experten auf die jeweiligen Bewertungen der einzelnen Kriterien einigen können.


27.03.2009 Seite 52

8.2 Vergleich anhand der konkreten Ergebnisse

Auffällig ist, dass das CSM-Verfahren in keinem Fall dem Expertenurteil widerspricht (siehe

Tabelle 17). Im Umkehrschluss bedeutet dies, dass abgesehen von den nicht eindeutigen

Beispielen das intuitive Expertenurteil zum gleichen Ergebnis kommt wie das CSM-

Verfahren. Bei den nicht eindeutigen Beispielen ermöglicht das CSM-Verfahren mit den zu

diskutierenden Kriterien hingegen ein eindeutiges Urteil, wo das Expertenurteil keine

Einschätzung zulässt.

Interessant ist das Beispiel Teilprivatisierung. Hierbei lässt das intuitive Expertenurteil keine

eindeutige Einschätzung zu und das CSM- und SST-Verfahren widersprechen sich deutlich.

Dieses Beispiel und die Ergebnisse sollen im folgenden Kapitel 8.3 noch einmal verglichen

werden. Ansonsten ist festzuhalten, dass das SST-Verfahren mit den gefundenen vorläufigen

Kriterien in keinem weiteren Beispiel im Widerspruch zum CSM-Verfahren steht und dies

damit zumindest eine erste positive Einschätzung hinsichtlich der Tauglichkeit dieses

Verfahrens erlaubt.

Ergebnis der Verfahren

Expertenurteil CSM-Verfahren SST-Verfahren

Org

an

isa

tio

n

Führungswechsel nicht signifikant nicht signifikant nicht signifikant

Wettbewerbsdruck signifikant signifikant signifikant

Teilprivatisierung nicht eindeutig nicht signifikant signifikant

Bet

rieb

Fahrplanwechsel nicht signifikant nicht signifikant nicht signifikant

Einsparung TFF signifikant signifikant signifikant

Signalversetzung nicht eindeutig nicht signifikant nicht signifikant

Tec

hn

ik Komponententausch nicht signifikant nicht signifikant nicht signifikant

Wechsel im Telefon-

system signifikant signifikant signifikant

Monitorwechsel nicht eindeutig nicht signifikant nicht signifikant

Tabelle 17: Ergebnisvergleich der Verfahren


27.03.2009 Seite 53

8.3 Eingehende Untersuchung des Beispiels Teilprivatisierung

Die Untersuchung mit dem CSM-Verfahren wurde vor der Untersuchung mit dem SST-

Verfahren durchgeführt. Daher konnten keine Erkenntnisse, die mit dem SST-Verfahren

gewonnen wurden, in die CSM-Bewertung einfließen.

Beim CSM-Verfahren (siehe Kapitel 5.1) kam die Einschätzung, dass es sich um keine

signifikante Änderung handelt, dadurch zu Stande, dass die Fehlerkonsequenz und die

Komplexität der Änderung als weniger stark eingeschätzt wurden. Die Fehlerkonsequenz

wurde aus dem Grund weniger stark eingeschätzt, da davon ausgegangen wurde, dass eine

hohe Fehlerkonsequenz nur dann vorliegt, wenn sicherheitsrelevante Handlungen von der

Teilprivatisierung betroffen sind. Weiter wurde argumentiert, dass dies aber nur in einigen

Fällen der Fall sein wird und auch dann nur eine hohe Fehlerkonsequenz vorliegt, wenn die

Teilprivatisierung unter Zeitdruck stattfinden muss. Zudem wurde die Komplexität einer

solchen Teilprivatisierung als eher gering eingeschätzt, weil die Aufgabe selbst als relativ

eindeutig und klar zu definieren eingeschätzt wurde.

Im Vergleich hierzu kommt das SST-Verfahren (siehe Kapitel 6.1 sowie Tabelle 7 und

Abbildung 10) zu einer vollkommen anderen Bewertung. Im Bereich Sicherheitsarchitektur

ist der Grundsatz Abhängigkeit stark ausgeprägt. Dies bedeutet, dass hier im späteren Prozess

ein besonders großer Aufwand notwendig werden wird, um die Sicherheitsauswirkungen im

Griff zu behalten. Die Begründung für diese starke Ausprägung ist, dass geklärt sein muss,

wie die Betriebsteile nach der Veränderung zusammen und wie sich die Abhängigkeiten

untereinander ändern. Dieser Aspekt würde beim CSM-Verfahren in den Bereich Komplexität

fallen, ist dort aber nicht beachtet wurden. Dies verdeutlicht ein Problem des CSM-Verfahren.

Die Diskussion der Beispiele anhand der sechs Kriterien des CSM-Verfahrens erfolgt im

Vergleich mit dem SST-Verfahren unsystematischer und ist vor allem nicht besonders

tiefgehend. In der Anwendung hat sich gezeigt, dass selbst in der Bearbeitung mit mehreren

Experten, wofür das CSM-Verfahren ausgelegt ist, die Problematik nicht umfassend beleuch-

tet wird und die Gefahr besteht, dass einige Aspekte schlichtweg vergessen werden. Im SST-

Verfahren hingegen werden aufgrund der in Kapitel 8.1 beschriebenen Gründe, deutlich

umfassendere Sicherheitsbewertungsergebnisse gewonnen. Dies zeigt sich nicht nur an

diesem Beispiel, sondern auch an weiteren, die aber in der Abschlussbewertung im Vergleich

der beiden Verfahren nicht unterschiedlich ausgefallen sind. Beispielsweise hat die Auswer-

tung der geplanten Änderung Fahrplanwechsel mit dem SST-Verfahren ergeben, dass in dem

Grundsatz Zuverlässigkeit Sicherheitsprobleme auftauchen können (siehe Tabelle 8). Dadurch

können sie nun im weiteren Änderungsprozess im Auge behalten werden und eventuelle

Probleme werden frühzeitig erkannt. Obwohl die endgültige Einschätzung bei beiden

Verfahren gleich war, hat das SST-Verfahren im Gegensatz zum CSM-Verfahren eine

umfassendere Sicherheitsbetrachtung erlaubt.


27.03.2009 Seite 54

Im Weiteren ist beim SST-Verfahren für das Beispiel Teilprivatisierung im Bereich Betriebs-

sicherheit klar geworden, dass der Aspekt der Kommunikation durch die Teilprivatisierung in

nicht unerheblichem Maße betroffen sein kann. Bisherige Ansprechpartner können durch den

Umbau der Organisation wegfallen. Ähnliches gilt für etablierte und bewährte Arbeitsabläufe.

Zudem verfügt der Grundsatz Richtliniensetzung im Bereich Sicherheitsmanagement über

eine starke Ausprägung, da sich durch die Teilprivatisierung zwangsläufig Zuständigkeiten

ändern. Auch diese Aspekte wurden im CSM-Verfahren nicht berücksichtigt und sind zudem

keinem der sechs Kriterien sofort eindeutig zuzuordnen, so dass im Nachhinein nicht sofort zu

sagen ist, an welcher Stelle diese Aspekte übersehen wurden.

Da viele Einflüsse auf die Sicherheit erst bei der Bewertung mit dem SST-Verfahren erkannt

und berücksichtigt wurden und diese Einflüsse auch in der hier stattfindenden Nachbetrach-

tung als wichtig betrachtet werden, lässt sich die Einschätzung, dass eine signifikante

Veränderung vorliegt, glaubhaft rechtfertigen. Damit hat für dieses Beispiel das CSM-

Verfahren aufgrund seiner beschriebenen Mängel ein falsches Ergebnis geliefert. Das SST-

Verfahren hingegen lag richtig und hat darüberhinaus weitere zu beachtende Einflüsse

geliefert. Einschränkend ist zu sagen, dass die CSM-Bewertung dieses Beispiels nicht in einer

Expertengruppe sondern alleine durchgeführt wurde. Ob diese Bearbeitung in der Gruppe

notwendigerweise zu einem anderen Ergebnis gekommen wäre, ist im Nachhinein schwierig

zu beurteilen. Das SST-Verfahren kam auch bei der alleinigen Bearbeitung zu der Einschät-

zung, dass eine signifikante Veränderung vorliegt. Zumindest lässt dieses Ergebnis die

Aussage zu, dass das CSM-Verfahren anfälliger für das Übersehen von Einflüssen ist.


27.03.2009 Seite 55

9 Bewertung der Adaptierbarkeit der SST für das Eisen-

bahnwesen

Die Bearbeitung der Beispiele in Kapitel 6 und die darauf aufbauende Untersuchung in

Kapitel 8 haben gezeigt, dass das SST-Verfahren grundsätzlich in der Lage ist, sinnvolle

Entscheidungen bei Veränderungen zu treffen. Der Aufbau in die drei Bereiche Sicherheitsar-

chitektur, Betriebssicherheit und Sicherheitsmanagement mit den dazugehörigen Grundsätzen

hat sich auch bei der Bearbeitung der Beispiele aus dem Eisenbahnverkehr als geeignet

gezeigt. Für Beispiele, die keine technischen Veränderungen betreffen, ist es ratsam den

ersten Bereich Sicherheitsarchitektur so zu erläutern, dass die Fragen eindeutig verstanden

werden. So ist jeder Grundsatz in diesem Bereich auch auf Änderungen betrieblicher und

organisatorischer Natur anwendbar. Eine Anpassung der Erläuterung im SST-Tool ist in

diesem Fall sinnvoll. Des Weiteren erscheint es sinnvoll, dass ein Handbuch zur richtigen

Anwendung angefertigt wird. In diesem sollten Beispiele aus den verschiedenen Bereichen

des Eisenbahnwesens dokumentiert und erläutert werden. Gleichzeitig sollte eine Beschrei-

bung der Bereiche und Grundsätze erfolgen, wie es im Dokument für das ATM bereits

vorliegt. Zudem ist es denkbar, dass von der ERA aus Workshops zur Anwendung des SST-

Verfahrens speziell für den Einsatz im Eisenbahnwesen gegeben werden.

Bereits zu Beginn dieser Arbeit wurde festgestellt, dass die im SST-Tool hinterlegten

Vorschriften und Regeln speziell für die Luftfahrt ausgelegt sind und daher einer Anpassung

bedürfen. Dabei ist zu evaluieren, wie das SST-Verfahren mit diesen Vorschriften arbeitet

und welche Auswirkung es auf die Entscheidung hinsichtlich der Signifikanz der Änderung

hat.

Ein weiterer Aufgabenbereich wird die endgültige Definition der Kriterien sein. Dazu sollten

wie bereits beschrieben, weitere Untersuchungen anhand von Beispielen durchgeführt werden

und ggf. theoretische Überlegungen erfolgen. Dazu kann an die Kriterienfindung und

Vorgehensweise dieser Arbeit angeknüpft werden. Erste Grundlagen und Vorschläge für die

Kriterien wurden in Kapitel 7 gemacht.

Es bleibt zu klären, ob die Bearbeitung in allen Mitgliedsländern generell auf Englisch zu

erfolgen hat oder ob eine Übersetzung in die jeweilige Landessprache als sinnvoll erachtet

wird. Hinsichtlich des besseren Verständnisses kann dies durchaus ratsam sein. Eine Überset-

zung ins Deutsche ist im Rahmen dieser Studienarbeit bereits erfolgt.

Als letzte Aufgabe bleibt festzuhalten, dass Überlegungen erfolgen müssen, wie auf die

Erkenntnisse aus dem SST-Verfahren im CSM-Verfahren aufgebaut werden kann und wie

diese genutzt werden. Das SST-Verfahren ist im Risikobewertungsprozess des ATMs nicht

nur ein bloßer Vortest zu Einschätzung, welche Sicherheitsauswirkungen bestehen. Vielmehr

ist es Teil eines umfassenden Sicherheitsverständnisses, das bereits frühzeitig Problematiken


27.03.2009 Seite 56

erkennen lässt und damit wichtige Ideen für das weitere Vorgehen liefert. Dies sollte bei der

Adaptierung berücksichtigt werden.


27.03.2009 Seite 57

10 Fazit

Die Aufgabe dieser Studienarbeit war es zu klären, ob das SST-Verfahren, das sich in der

Bewertung von Sicherheitsauswirkungen im ATM bewährt hat, auch für eine Anwendung im

Eisenbahnwesen geeignet ist. Dazu sollte anhand von ausgewählten Beispielen das CSM- und

das SST-Verfahren angewendet werden, um auf diese Weise einen Vergleich der Anwendung

und der Ergebnisse möglich zu machen. Zudem sollte ein qualitativer Vergleich der beiden

Verfahren erfolgen. Im Weiteren sollte geklärt werden, ob es möglich ist Kriterien zu finden,

die eine Auswertung der SST-Ergebnisse hinsichtlich der Entscheidung zur Signifikanz einer

Veränderung ermöglichen. Abschließend sollte anhand der erzielten Erkenntnisse ein Urteil

zur Adaptierbarkeit der SST für das Bahnwesen abgegeben werden.

Die Bearbeitung erfolgte anhand des oben beschriebenen Vorgehens. Es stellte sich hierbei

als schwierig heraus, dass die Anwendung der beiden Verfahren bis auf wenige Ausnahmen

alleine erfolgte. Da beide Verfahren dafür ausgelegt sind, von Gruppen durchgeführt zu

werden, die zudem noch Experten für die von den Änderungen betroffenen Bereichen sind, ist

davon auszugehen, dass die Ergebnisse bei der Bearbeitung in diesen Gruppen noch aussage-

kräftiger gewesen wären. Im Rahmen dieser Studienarbeit war ein solches Vorgehen nicht

möglich. Da es aber in erster Linie nicht um die exakte Klärung der Beispiele ging, sondern

um die Klärung der Frage, ob das SST-Verfahren im Eisenbahnwesen sinnvoll eingesetzt

werden kann, ist dies als nicht so schwerwiegend anzusehen.

Das zentrale Ergebnis dieser Studienarbeit ist die Erkenntnis, dass das SST-Verfahren zur

nachvollziehbaren Entscheidungsfindung im Eisenbahnwesen genutzt werden kann. Zudem

konnten sinnvolle Kriterien gefunden werden, anhand derer die Entscheidung hinsichtlich der

Signifikanz einer Änderung getroffen werden kann. Zusätzlich konnten gewisse Vorteile der

SST anhand des Vergleichs der Beispiele und einer qualitativen Bewertung der beiden

Verfahren aufgezeigt werden. Hier sind die bessere Vergleichbarkeit der Ergebnisse des SST-

Verfahrens und die umfassendere Problembetrachtung zu nennen. Abschließend konnte in

Kapitel 9 aufgezeigt werden, unter welchen Voraussetzungen ein Einsatz des SST-Verfahrens

im Eisenbahnverkehr stattfinden kann.

Weitere Aufgaben sind die ausführliche Evaluierung von Entscheidungskriterien sowie die

Anpassung des Bereichs Vorschriften an die geltenden Vorschriften im Eisenbahnverkehr.

Zudem bietet sich die Anpassung der Erläuterung und Fragen im SST-Tool und die Ausarbei-

tung eines Handbuchs speziell für die Anwendung im Eisenbahnwesen an, um so ein hohes

Maß an Verständlichkeit und Anwenderfreundlichkeit zu schaffen. Darüberhinaus muss

entschieden werden, ob die Anwendung in Englisch erfolgen soll oder in der jeweiligen

Landessprache. Abschließend sollte das SST-Verfahren nicht einfach nur an den Anfang des

CSM-Prozesses gesetzt sondern sinnvoll in den CSM-Prozess integriert werden.


27.03.2009 Seite 58

Übersetzungsverzeichnis

Übersetzung24

,25

Originalschreibweise

Abhängigkeit Interdependence

Akzeptabel Acceptable

Allgemein Broadly

Ausführung Achievement

Betriebliches Umfeld Operational environment

Betriebssicherheit Operational safety

Bewertung Rating

Dokumentieren Record

Ergonomie Ergonomics

Fehlerkonsequenz Failure consequence

Förderung Promotion

Funktionalität Functionality

Gefährdung Hazard

Gefährdungserfassung Hazard log

Geeignet Fit

Gemischt Mixed

Gesammelte Erfahrungen Lessons-learned

Grundsatz Fundamental

Hart Hard

Identifizierung Identification

Integrität Integrity

Klassifizierung Classification

Kommunikation Communication

Kompetenz Competence

24 Vgl. Duden-Oxford, 2004.

25 Vgl. Langenscheidt Fachwörterbuch, 2004.


27.03.2009 Seite 59

Konzeptdefinition Concept definition

Leistung Performance

Mensch-Maschine Interaktion Human-machine interaction

Nachweis Demonstration

Organisation Organisation

Planung Planning

Rechtfertigen Justify

Redundanz Redundancy

Richtliniensetzung Policy setting

Risiko Risk

Risikoanalyse Risk analysis

Risikoauswertung Risk evaluation

Risikobewertung Risk assessment

Sicherheitsanforderungen Safety requirements

Sicherheitsarchitektur Safety architecture

Sicherheitsbeitrag Safety contribution

Sicherheitsbetrachtung Safety consideration

Sicherheitsgrundsätze Safety fundamentals

Sicherheitsmanagement Safety management

Sicherung Assurance

Signifikante Änderung Significant change

Systemdefinition System definition

Systemdesign System design

Systemimplementierung System implementation

Systemzerlegung System decomposition

Transparenz Transparency

Übereinstimmung Compliance

Übergeordnete Frage High-level question

Überwachung Monitoring


27.03.2009 Seite 60

Untergeordnete Frage Low-level question

Umkehrbarkeit Reversibility

Verfahren Procedures

Vorschriften Regulations

Wartungsfähigkeit Maintainability

Weich Soft

Zielsetzung Purpose

Zuverlässigkeit Reliability


27.03.2009 Seite 61

Abkürzungsverzeichnis

Abkürzung Ausführliche Schreibweise

ATC Air Traffic Control

ATM Air Traffic Management

CSM Common Safety Methods

ERA European Railway Agency

EU Europäische Union

ETCS European Train Control System

IfEV Institut für Eisenbahnwesen und Ver-

kehrssicherung

SAM Safety Assessment Methods

SST Safety Screening Technique

TFF Triebfahrzeugführer

TFT Thin-film transistor

ZB Zugbeeinflussung


27.03.2009 Seite 62

Abbildungsverzeichnis

Abbildung 1: Übersicht CSM-Prozess 3

Abbildung 2: Bewertungsprozess einer Änderung im CSM-Verfahren 5

Abbildung 3: Einordnung der SST in den Risikobewertungsprozess 7

Abbildung 4: Aufbau des SST-Exceltools 9

Abbildung 5: Ergebnisdarstellung im SST-Exceltools 10

Abbildung 6: Grafische Ergebnisdarstellung eines Bereichs im SST-Exceltool 14

Abbildung 7: Arbeitsblatt Fundamentals im SST-Exceltool 14

Abbildung 8: Grafische Ergebnisdarstellung (Beispiel Führungswechsel) 29

Abbildung 9: Grafische Ergebnisdarstellung (Beispiel Wettbewerbsdruck) 31

Abbildung 10: Grafische Ergebnisdarstellung (Beispiel Teilprivatisierung) 33

Abbildung 11: Grafische Ergebnisdarstellung (Beispiel Fahrplanwechsel) 35

Abbildung 12: Grafische Ergebnisdarstellung (Beispiel Einsparung Triebfahrzeugführer) 37

Abbildung 13: Grafische Ergebnisdarstellung (Beispiel Signalversetzung) 39

Abbildung 14: Grafische Ergebnisdarstellung (Beispiel Komponententausch) 41

Abbildung 15: Grafische Ergebnisdarstellung (Beispiel Wechsel im Telefonsystem) 43

Abbildung 16: Grafische Ergebnisdarstellung (Beispiel Monitorwechsel) 45


27.03.2009 Seite 63

Tabellenverzeichnis

Tabelle 1: Gewichtung im Bereich Sicherheitsarchitektur 12

Tabelle 2: Gewichtung im Bereich Betriebssicherheit 13

Tabelle 3: Gewichtung im Bereich Betriebssicherheit 13

Tabelle 4: Übersichtstabelle zu den Expertenurteilen 17

Tabelle 5: Ergebnisse des SST-Verfahrens (Beispiel Führungswechsel) 28

Tabelle 6: Ergebnisse des SST-Verfahrens (Beispiel Wettbewerbsdruck) 30

Tabelle 7: Ergebnisse des SST-Verfahrens (Beispiel Teilprivatisierung) 32

Tabelle 8: Ergebnisse des SST-Verfahrens (Beispiel Fahrplanwechsel) 34

Tabelle 9: Ergebnisse des SST-Verfahrens (Beispiel Einsparung Triebfahrzeugführer) 37

Tabelle 10: Ergebnisse des SST-Verfahrens (Beispiel Signalversetzung) 38

Tabelle 11: Ergebnisse des SST-Verfahrens (Beispiel Komponententausch) 40

Tabelle 12: Ergebnisse des SST-Verfahrens (Beispiel Wechsel im Telefonsystem) 42

Tabelle 13: Ergebnisse des SST-Verfahrens (Beispiel Monitorwechsel) 44

Tabelle 14: Beispielhafte SST-Bewertung zum ersten Kriterium 46

Tabelle 15: Beispielhafte SST-Bewertung zum zweiten Kriterium 47

Tabelle 16: Beispielhafte SST-Bewertung zum dritten Kriterium 48

Tabelle 17: Ergebnisvergleich der Verfahren 52


27.03.2009 Seite 64

Literaturverzeichnis

Braband, J. (2005): Risikoanalysen in der Eisenbahn-Automatisierung, Hamburg.

Braband, J/ Gayen, J. ( Mai 2008): Gespräch im IfEV am 30.Mai 2008, Braunschweig.

Braband, J/ Gayen, J. ( August 2008): Gespräch im IfEV am 20.August 2008, Braunschweig.

Braband, J./Gayen, J. (2009): Gespräch im IfEV am 6:Februar 2009, Braunschweig.

Cassis, C. (2008): Significant changes version 0.3.pdf, Valenciennes.

Duden Oxord (2004): Standardwörterbuch Englisch, 3.Auflage, Mannheim.

Europäisches Parlament/ Europarat (2004): DIRECTIVE 2004/49/EC, http://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:220:0016:0039:EN:PDF, abgerufen

am 10.09.2009.

Jovovic, D. (2008): Guidance for use of the recommendation on the 1st set of csm.pdf,

Valenciennes.

Langenscheidt Fachwörterbuch (2004): Technik und angewandte Wissenschaften Englisch –

Deutsch, 2.Auflage, Leipzig.

Straeter, O./ Braband, J./ Gayen, J. (2009): Gespräch im IfEV am 13.März 2009, Braun-

schweig.

Straeter, O./ Korteweg, H./ Everdij, M./ Smeltink, J./ Burrage, A./ Kovarova, J./ Amar, G.

(2007): Safety Screening Technique v 1-0.pdf, Brüssel.

Straeter, O./ Krastev, A./ Grippa, D./ Janssen, R./ Smeltink, J./Everdij, M./ Spouge, J./

Salmon, D./ Smith, E./ Balfanz, H./ Kuijper, J. (2006): Safety Screening Technique v 0-5.pdf,

Brüssel.

Verslype, M. (2007): Entwurf_ERA-REC-02-2007-SAF.pdf, Valenciennes.


27.03.2009 Seite 65

Anhang

A.1 Beschreibung der Grundsätze und Fragen im Bereich

Sicherheitsarchitektur26

Die Fragen im Bereich Sicherheitsarchitektur gliedern sich in folgende Punkte:

Transparenz: Dies betrifft die Fähigkeit, die Aufgaben des Systems klar zu spezifizieren.

Gleichzeitig zählt ob die Aufgaben wie spezifiziert zuverlässig erfüllt werden.

Der Punkt Transparenz beschreibt die Wichtigkeit, dass die Sicherheit im ATM-Systemdesign

eindeutig und klar ist und dass dessen Leistung vorhersagbar ist.

Die Schlüsselfragen im Bereich Transparenz sind:

Führt der ATM-Systemwechsel zu Änderungen, die die Transparenz von ATM-Systemen

beeinflussen?

Wie umfassend ist das Systemdesign?

Sind die Spezifikationen ausführlich umschrieben?

Wurde die Korrektheit überprüft?

Bestehen Unklarheiten oder Bedenken von Stakeholdern bezüglich der Transparenz der

beabsichtigten Änderungen im ATM-System?

Existieren unterschiedliche Meinungen, wie das geänderte ATM-System im Detail arbeiten

soll?

Wurden Entscheidungen gemacht während Alternativen (noch) nicht ausführlich durchdacht

wurden?

Redundanz: Dies betrifft den Gebrauch unabhängiger Komponenten, die dieselbe Funktion

ausführen, um das System sicherer zu machen.

Der Punkt Redundanz beschreibt eine der wesentlichen Methoden, um hohe Zuverlässigkeit

zu erreichen. Der parallele Gebrauch von unabhängigen Komponenten schützt das System

vorm Versagen durch Ausfall einer einzigen technischen Komponente. Ein Beispiel für

26 Vgl. Straeter, 2006, S.9ff.


27.03.2009 Seite 66

Redundanz ist das Konzept der Diversifikation, bei dem für dieselbe Funktion zwei Systeme

mit unterschiedlicher technischer Ausführung zur Verfügung stehen.

Die Schlüsselfragen im Bereich Redundanz sind:

Beeinflusst der Wechsel im ATM-System die Redundanz gegenüber Systemfehler oder

Unfällen?

Besitzt das Gesamtsystem weiterhin genug Möglichkeiten („Budget“), um eine reduzierte

Sicherheitsleistung im Falle eines Ausfalls einer Komponente zu kompensieren?

Existieren weitere Alternativen im Falle eines Fehlers des Systems?

Bestehen verschiedene Möglichkeiten, dieselbe Funktion sicherzustellen?

Hat das Subjekt irgendeinen Einfluss auf die Redundanzlevel von anderen Elementen des

ATM-Systems (z.B. Reduzierung von Personal bei Einführung eines automatischen Sys-

tems)?

Abhängigkeit: Dies betrifft den Grad, den das System unabhängig ist von Interaktionen mit

anderen Systemen, welche zu abhängigen Fehlern führen können.

Der Punkt Abhängigkeit soll die ungeplanten Abhängigkeiten im ATM-System aufdecken,

die potentiellen Ursache für Fehler sein können. Je komplexer ein System wird, desto größere

Abhängigkeiten können zwischen Komponenten bestehen, die ursprünglich unabhängig sein

sollten.

Die Schlüsselfragen im Bereich Abhängigkeit sind:

Wie abhängig ist die Systemleistung von der Leistung anderer Systeme?

Inwieweit beeinflusst das System die Leistung anderer Systeme?

Ist es möglich, die Änderungen im ATM-System ohne Änderungen in anderen Systemen zu

implementieren?

Beeinflusst die Änderung im ATM-System die Zusammenarbeit oder den Datenaustausch mit

anderen Systemen?

Beeinflusst die Änderung im ATM-System Eingriffe in andere Systeme oder in den Datenaus-

tausch?


27.03.2009 Seite 67

Funktionalität: Dies betrifft den Beitrag, den das System zur Minimierung von Unfällen

macht.

Der Punkt Funktionalität beschreibt, wie gut ein System in der Lage ist in Situationen

einwandfrei zu funktionieren, für die es entwickelt aber auch für die es nicht entwickelt

wurde.

Die Schlüsselfragen im Bereich Funktionalität sind:

Hat das Subjekt einen klar definierten Output für alle operationalen Bedingungen, die in

Frage kommen?

Behält das System in jedem denkbaren Fall seine festgelegte Funktionalität?

Existieren externe Umstände, in denen die Systemleistung nicht garantiert werden kann?

Ist das System in der Lage, flexibel auf Änderungen von Inputs oder seiner Umwelt zu

reagieren?

Beeinflusst das Subjekt den Austausch zwischen Sicherheit und anderen Zielen des Systems

(z.B. Leistungsfähigkeit, Effizienz, Sicherheits- und/oder Umweltverträglichkeit)?

Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der praktischen

Bedienbarkeit des geänderten Systems?

Integrität: Dies betrifft die Vertrauenswürdigkeit von Systemoutputs, wie z.B. deren Freiheit

von Fehlern bei korrekter Eingabe.

Der Punkt Integrität soll Fehler oder Fehlfunktionen bei der Verarbeitung eines Inputs

verdeutlichen, die zu Systemzusammenbrüchen führen können. Dieser Punkt deckt das höhere

potentielle Risiko für fehlende Integrität in zukünftigen ATM-Systemen ab, die noch abhän-

giger von gemeinsamen Daten und damit von einer zuverlässigen Datenverarbeitung sein

werden.

Die Schlüsselfragen im Bereich Integrität sind:

Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Integrität der

Outputs des geänderten ATM-Systems?

Kann ein Fehlverhalten des Systems in einen sicheren Zustand überführt werden?


27.03.2009 Seite 68

Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Fähigkeit des

Systems, in dem Fall in einen sicheren Zustand zurückzufallen, falls die Integrität des

geänderten Systems verletzt wird?

Wartungsfähigkeit: Die Wartungsfähigkeit ist definiert als die Fähigkeit, das System

während seiner Produktlebenszeit zu warten.

Es wird zum einen unterschieden in präventive Wartungsfähigkeit, die als Möglichkeit

definiert ist, zu inspizieren und beginnende Fehler (d.h. in früher Phase) zu erkennen und zu

korrigieren bevor sie in tatsächliche Fehler übergehen, ohne dass es bei der Wartung zu einer

verminderten Systemsicherheit kommt.

Des Weiteren existiert die sogenannte Wartung während des Betriebs. Diese ist als Möglich-

keit definiert, zu inspizieren und beginnende Fehler zu erkennen und zu korrigieren ohne die

Systemoperationen unterbrechen zu müssen.

Schließlich existiert die korrektive Wartungsfähigkeit (auch Reperaturfähigkeit genannt), die

als Möglichkeit definiert ist, das System nachdem ein Fehler aufgetreten ist zu reparieren und

in seinen Arbeitszustand zurückzuversetzen.

Der Punkt Wartungsfähigkeit ist ein wesentlicher Aspekt der Sicherheit eines technischen

Systems und wird häufig im Systemdesign vernachlässigt. Ist das System erst einmal

implementiert, sind notwendig gewordene Änderungen in der Fehlererkennung und/oder im

Wartungsprozess häufig nur sehr schwierig durchführbar und können damit die Sicherheit

negativ beeinflussen.

Die Schlüsselfragen im Bereich Wartungsfähigkeit sind:

Wie abhängig ist die Systemleistung von Aktivitäten, die die notwendigen Wartungen des

Systems betreffen?

Mit welcher Wahrscheinlichkeit wird ein potentieller Fehler während der Wartung entdeckt?

Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Wartungsfähigkeit

des geänderten ATM-Systems?

Ist es möglich, das System einfach zu starten und herunterzufahren?

Kann das betreffende System einfach heruntergefahren werden, ohne das Probleme in anderen

Systemen auftauchen?

Kann das betreffende System einfach heruntergefahren werden, ohne das die Systemleistung

negativ beeinflusst wird?


27.03.2009 Seite 69

A.2 Beschreibung der Grundsätze und Fragen im Bereich Be-

triebssicherheit27

Die Fragen im Bereich Betriebssicherheit betreffen die Fähigkeiten, das System in der Praxis

zu betreiben. Im Folgenden werden die sechs einzelnen Schritte des Konzepts und die

jeweiligen Schlüsselfragen erläutert.

Verfahren: Die menschlichen Operatoren folgen bestimmten Verfahren in der Bedienung des

ATM-Systems, um den ATM-Dienst zur Verfügung zu stellen. Das Verfahren schließt

Definition von Rollen und Verantwortlichkeiten, Verfahrensstruktur, Inhalt, Details sowie

Realismus mit ein.

Schlüsselfragen im Bereich Verfahren sind:

Fordert der ATM-Systemwechsel Veränderungen in Verfahren, Rollen oder in der Art der

Aufgaben?

Bestehen vage Ansätze, wie die Aufgaben aussehen werden?

Sind die Aufgaben bereits in schriftlich festgehaltenen Verfahren gut beschriebenen?

Betriebliches Umfeld: Die Kernfrage im Bereich des betrieblichen Umfelds ist, ob das

Subjekt entwickelt wurde für bestimmte betriebliche Bedingungen wie Wetterbedingungen

oder eine bestimmte Zusammensetzung des Verkehrs.

Schlüsselfragen im Bereich betriebliches Umfeld sind:

Beeinflussen betriebliche Bedingungen das Subjekt?

Ist die Sicherheit des Subjekts abhängig von der Verkehrszusammensetzung?

Ist die Sicherheit des Subjekts abhängig von den Wetterbedingungen?

Ist die Sicherheit des Subjekts abhängig vom Gelände?

Kompetenz: Kompetenz wird benötigt, um das geänderte ATM-System zu bedienen und den

beabsichtigten Service zur Verfügung stellen zu können. Sie beinhaltet Trainingsbedürfnisse,

Trainingsmethoden, Kompetenz- und Wissensstandards, Rollen der Ausbilder und deren

Kompetenz, den Übergang von Ausbildung im Klassenraum zum Training im normalen

Arbeitsumfeld und die Effekte auf die Leistung bei der betrieblichen Aufgabenbewältigung.

Kompetenz geht Hand in Hand mit den Verfahren.

Schlüsselfragen im Bereich Kompetenz sind:



27.03.2009 Seite 70

Macht der Wechsel des ATM-Systems Veränderungen in Kompetenz oder Trainingsanforde-

rungen für ATM-Personal notwendig?

Passt die aktuelle Kompetenz zu dem geänderten System?

Kann die benötigte Kompetenz in der vorhandenen Zeit aufgebaut werden?

Mensch-Maschine Interaktion: Die Qualität der Interaktionen zwischen dem ATM-System

und den Ressourcen, die benötigt werden, um das System zu bedienen und den beabsichtigten

Service zur Verfügung zu stellen. Sie beinhaltet das Arbeitsplatzdesign, die Ergonomie des

Arbeitsplatzsystems, die Gebrauchstauglichkeit des Systems, die Arbeitsumgebung und die

durch die Aufgabe entstehende Ermüdung.

Schlüsselfragen im Bereich Mensch-Maschine Interaktion sind:

Benötigt der ATM-Systemwechsel Veränderungen in der Mensch-System Interaktion

eingeschlossen Ergonomie des Arbeitsplatzsystem oder der Arbeitsumgebung?

Erzeugt der ATM-Systemwechsel Veränderungen im Arbeitsaufwand oder der Komplexität

der Aufgaben im ATM-System selbst oder für andere Personen, die von dem Systemwechsel

betroffen sind?

Führt der Systemwechsel zu ergonomischen Problemen oder Verbesserungen?

Sind die Spezifikationen in Einklang mit den ergonomischen Standards?

Organisation: Organisation ist definiert als die menschliche Ressource, die benötigt ist, um

das geänderte System zu bedienen und den geforderten Service zur Verfügung zu stellen. Sie

beinhaltet die vorhandene Verfügbarkeit von Mitarbeitern, die Auswahlkriterien, die organi-

sationale Struktur, die Schichteinteilung und die Teamstruktur.

Organisation umfasst den zu managenden Aspekt des Arbeitsumfelds.

Schlüsselfragen im Bereich Organisation sind:

Macht der ATM-Systemwechsel Veränderungen in Anforderungen an die Organisation oder

die Stellenbesetzung notwendig?

Sind die Ressourcen, die für den betrieblichen Level benötigt werden, vorhanden?

Ändert sich die statische oder dynamische Struktur des Arbeitsprozesses?

Sind Aspekte innerhalb der Organisation bedacht wurden?

Kommunikation: Betrifft die Verfahren der Kommunikation, die zwischen Kontrollern,

Flugzeugbesatzung, Planern, Systemingenieuren und ATC-Managern erfolgt. Es beinhaltet

Kommunikationsverfahren, Arbeitsaufwand für die Kommunikation, Ausdrucksweise, die

Sprache betreffenden Aspekte, Behinderungsaspekte, Informationsgehalt, Koordination,

Übergabeverfahren, persönliche wechselseitige Beziehungen und organisationale Zusammen-

hänge.


27.03.2009 Seite 71

Die Kommunikation zwischen und innerhalb der verschiedenen Beteiligten am ATM-Prozess

wie der Kontroller, des Wartungspersonals, der Hersteller, des Managements und der

Überwachung ist ein Schlüssel für den sicheren Betrieb.

Schlüsselfragen im Bereich Kommunikation sind:

Führt der Systemwechsel zu Veränderungen in der Kommunikation?

Verändert der Systemwechsel den Kommunikationsweg?

Verändern sich aktuell wichtige Kommunikationswege?

Zuverlässigkeit: Zuverlässigkeit ist definiert als das Potential, sicher und in stabiler Art und

Weise ohne Systemzusammenbrüche oder Unterbrechungen zu funktionieren. Es beinhaltet

die drei Phasen Prävention, Fehlererkennung sowie die Erholung (ggf. Abschwächung).

Zuverlässigkeit verbindet alle Elemente der gesamten Systemleistung. Der Schlüssel zur

Zuverlässigkeit ist das Konzept der Ausfallsicherheit. Dies ist der Grad, um den das Design

des Gesamtsystems den Benutzer mit Hilfe seiner Erfahrung und seiner Fähigkeiten in die

Lage versetzt unter allen möglichen Umständen den Service aufrechtzuerhalten.

Schlüsselfragen im Bereich Zuverlässigkeit sind:

Beeinflusst der Systemwechsel irgendeine gewohnte und akzeptierte Handlungsweise?

Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder bezüglich des Fehlerpotenti-

als des geänderten ATM-Systems?

Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder bezüglich Fehlervermeidung,

-prävention, -regenerierung im geänderten ATM-System?

Ist ein Systemfehler durch menschliche Eingriffe zu kontrollieren? Wie wird ein Mensch mit

unerwarteten Ergebnissen des Systems umgehen? Existieren genug Mittel und Zeit um dies

hinsichtlich von Systemfehlern zu kompensieren?

Führt der ATM-Systemwechsel zu Veränderungen bezüglich der Erkennung und der Regene-

rierung von Systemfehlern?

A.3 Beschreibung der Grundsätze und Fragen im Bereich

Sicherheitsmanagement28

Die Fragen im Bereich Sicherheitsmanagement sind aufgeteilt in fünf Grundsätze. Im

Folgenden werden die fünf einzelnen Grundsätze und die jeweiligen Schlüsselfragen erläutert.



27.03.2009 Seite 72

Richtliniensetzung: Richtliniensetzung ist definiert als der Aufbau eines Sicherheitsengage-

ment durch alle Bereiche der Organisation hindurch verbunden mit der Zielsetzung der

strategischen Ziele der Organisation.

Richtliniensetzung wird als einer der fundamentalen Dinge des Sicherheitsmanagement

verstanden. Ein Wechsel im ATM-Konzept kann zu geänderten relativen Wichtigkeiten der

Sicherheit in Organisationen führen, die auf der Ebene der Richtlinien behandelt werden

müssen.

Schlüsselfragen im Bereich Richtliniensetzung sind:

Besteht ein ausgewogenes Verständnis der Komplexität des Problems?

Sind Ziele, Absichten und Angelegenheiten offen diskutiert wurden, bevor sie festgelegt

wurden?

Führt der Wechsel im ATM-System zu Änderungen in der Verfahrensweise des Sicherheits-

managements?

Erlaubt der Wechsel im ATM-System eine Verdeutlichung der Verfahrensweise des Sicher-

heitsmanagements?

Planung: Planung wird definiert als in welcher Art und Weise die Ziele der Sicherheitspolitik

erreicht werden, wie die benötigten Ressourcen herausgestellt werden und wie die sicherheits-

relevante Managementstruktur definiert ist.

Planung wird als einer der fundamentalen Punkte des Sicherheitsmanagement verstanden. Es

verdeutlicht, dass ein neues ATM-Konzept Änderungen in der Planung des Sicherheitsmana-

gements notwendig machen kann. Wichtig im Bereich Planung ist daher, existierende gut

funktionierende Sicherheitstätigkeiten aus der Zeit vor dem Wechsel in die Zeit danach zu

übertragen und an die veränderte Situation anzupassen.

Schlüsselfragen im Bereich Planung sind:

Ist der anvisierte Wechsel transparent und klar ausgelegt?

Existiert Voreingenommenheit bezüglich der Ziele und der Planung?

Macht der ATM-Systemwechsel ein Wechsel in der Sicherheitsplanung notwendig?

Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder hinsichtlich der Beibehal-

tung von aktuellen etablierten Sicherheitstätigkeiten?

Ermöglicht der ATM-Systemwechsel eine Verdeutlichung in der Sicherheitsplanung?

Ausführung: Die Ausführung ist definiert als die Mittel mit denen der Plan in die Realität

umgesetzt wird.

Der zentrale Aspekt der Ausführung ist die Einteilung der Zuständigkeiten. Weitergehende

Aspekte dieses Punktes sind realisiert im Bereich der nächsten Sektion Operationale Sicher-

heit.


27.03.2009 Seite 73

Schlüsselfragen im Bereich Ausführung sind:

Werden gut funktionierende Arbeitsprozesse nach dem Wechsel in einem neuen Konzept

weitergeführt?

Können Arbeitsprozesse ohne großen Aufwand an den Wechsel angepasst werden?

Ändern sich Zuständigkeiten im Bereich Sicherheit durch den Systemwechsel?

Ist eine eindeutige Einteilung der Zuständigkeiten möglich?

Ist eine Einteilung der Zuständigkeiten bereits erfolgt?

Sicherung: Die Sicherung ist definiert als kontinuierliches Überwachen der Sicherheitsleis-

tung, um falls notwendig korrektive Maßnahmen sowie periodische Bestandaufnahmen zur

Verbesserung und Weiterentwicklung durchführen zu können.

Sicherung wird als einer der zentralen Punkte des Sicherheitsmanagements verstanden.

Schlüsselfragen im Bereich Sicherung sind:

Sind Sicherheitsprobleme überwach- und messbar nach dem Systemwechsel?

Sind potentielle Probleme prinzipiell zu erkennen (z.B. durch Messung wie Sicherheitsindika-

toren)?

Sind Feedbackverfahren eingeführt oder ist es möglich, diese einzuführen (z.B. Datenaus-

tausch zwischen zwei unabhängigen Organisationen)?

Macht der ATM-Systemwechsel eine Verbesserung in der Sicherheitsüberwachung möglich?

Förderung: Förderung ist definiert als die Sicherstellung der Kommunikation der Sicher-

heitskultur, die Verbreitung von gesammelten Erfahrungen und das Ermöglichen eines

kontinuierlichen Verbesserungsprozesses.

Förderung wird als einer der zentralen Punkte des Sicherheitsmanagements verstanden.

Häufig fehlt es an rechtzeitiger Beantwortung von Anfragen, die die Änderung betreffen oder

der Service ist unzureichend definiert. Dies kann zur Folge haben, dass Sicherheitsprobleme

im System für eine lange Zeit bestehen und sich Workarounds entwickeln, die auf lange Sicht

zu Gefahren führen. Wenn das einzuführende System komplex ist und eine große Anzahl von

Stakeholdern betrifft, kann die Zeit, die benötigt wird, um das System zu implementieren,

drastisch ansteigen.

Schlüsselfragen im Bereich Förderung sind:

Ist es möglich das System rechtzeitig zu modifizieren?

Existieren Aspekte, die den Lernprozess oder die Systemmodifikation verlangsam?

Ermöglich der Wechsel im ATM-System eine Verbesserung der Kommunikation in der

Sicherheitskultur?


27.03.2009 Seite 74

Bestehen Unsicherheiten oder Bedenken bezüglich der Flexibilität des geänderten ATM-

Systems?

studienarbeit - ifev.rz.tu-bs.deifev.rz.tu-bs.de/dlle/rts/studienarbeit - bewertung der eignung der...

Documents