studienarbeit - ifev.rz.tu-bs.deifev.rz.tu-bs.de/dlle/rts/studienarbeit - bewertung der eignung der...
TRANSCRIPT
Studienarbeit
im Vertiefungsfach Spurgeführter Verkehr
Bewertung der Eignung der Safety Screening Technique im
Eisenbahnwesen
vorgelegt am
Institut für Eisenbahnwesen und Verkehrssicherung der Technischen Universität Carolo-Wilhelmina zu Braunschweig
von
Herrn cand.-wirtsch.-ing. Nicolas Petrek
Matr.-Nr.: 2795632
Studiengang Wirtschaftsingenieurwesen Fachrichtung Bauingenieurwesen
Betreuung: Prof. Dr. Jens Braband, Dr.-Ing. Jan-Tecker Gayen
Braunschweig im März 2009
Braunschweig, den 27.März 2009
Studienarbeit
im Vertiefungsfach Spurgeführter Verkehr
für
Herrn cand.-wirtsch.-ing. Nicolas Petrek (Matrikelnr. 2795632)
Thema: Bewertung der Eignung der Safety Screening Technique im Eisenbahnwe-
sen
Im Rahmen der Arbeiten bei der ERA spielt der Begriff der signifikanten Änderung eine
entscheidende Rolle. Liegt eine solche vor, müssen die entsprechenden europäischen Verord-
nungen, z.B. die CSM Recommendation, angewendet werden. Dabei ist der Begriff anhand
einiger Anhaltspunkte und Beispiele bisher nur informell definiert. Die von Eurocontrol für
die Zivilluftfahrt entwickelte SST erlaubt eine qualitative, nachvollziehbare Einschätzung der
Bedeutung einer geplanten betrieblichen oder technischen Änderung.
Ziel der Arbeit ist die Bewertung, ob und ggf. wie die SST im Eisenbahnwesen
zur nachvollziehbaren, transparenten Entscheidungsfindung benutzt werden kann. Dabei ist
u.a. zu betrachten:
- probeweise Anwendung der SST auf Eisenbahnszenarien (ERA-Beispiele)
- qualitativer Vergleich der Kriterien CSM vs. SST
- Kriterien zur Entscheidungsfindung mit SST
- Adaptierbarkeit der SST für das Eisenbahnwesen
IfEVInstitut für Eisenbahnwesenund Verkehrssicherung
TU Braunschweig
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite i
Inhalt
1 Einleitung .......................................................................................................................1
2 Common Safety Methods ..............................................................................................2
2.1 Politischer Hintergrund CSM ...................................................................................2
2.2 Einordnung der Entscheidung über eine signifikante Änderung im CSM-Prozess .....3
2.3 Anwendung CSM .....................................................................................................4
3 Safety Screening Technique ..........................................................................................6
3.1 Vorstellung SST .......................................................................................................6
3.2 Einordnung des Screenings in den Sicherheitsbewertungsprozess .............................7
3.3 Anwendung des Exceltools der Safety Screening Technique.....................................8
3.4 Sicherheitsgrundsätze ............................................................................................. 10
3.5 Gewichtung und Ergebnisse ................................................................................... 12
4 Vorstellung der ausgewählten Beispiele ..................................................................... 15
4.1 Organisation ........................................................................................................... 15
4.2 Betrieb ................................................................................................................... 15
4.3 Technik .................................................................................................................. 16
4.4 Übersicht der Beispiele mit Expertenurteil .............................................................. 16
5 CSM-Ergebnisse der Beispiele .................................................................................... 18
5.1 Organisation ........................................................................................................... 18
5.2 Betrieb ................................................................................................................... 21
5.3 Technik .................................................................................................................. 23
6 Ergebnisse der SST-Auswertung ................................................................................ 27
6.1 Organisation ........................................................................................................... 28
6.2 Betrieb ................................................................................................................... 34
6.3 Technik .................................................................................................................. 40
7 Kriterien zur Entscheidungsfindung in der SST ........................................................ 46
8 Vergleich von CSM- und SST-Verfahren ................................................................... 50
8.1 Qualitativer Vergleich des CSM- und des SST-Verfahrens ..................................... 50
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite ii
8.2 Vergleich anhand der konkreten Ergebnisse ........................................................... 52
8.3 Eingehende Untersuchung des Beispiels Teilprivatisierung .................................... 53
9 Bewertung der Adaptierbarkeit der SST für das Eisenbahnwesen ........................... 55
10 Fazit .......................................................................................................................... 57
Übersetzungsverzeichnis .................................................................................................... 58
Abkürzungsverzeichnis ...................................................................................................... 61
Abbildungsverzeichnis ....................................................................................................... 62
Tabellenverzeichnis ............................................................................................................ 63
Literaturverzeichnis ........................................................................................................... 64
Anhang ................................................................................................................................ 65
A.1 Beschreibung der Grundsätze und Fragen im Bereich Sicherheitsarchitektur .......... 65
A.2 Beschreibung der Grundsätze und Fragen im Bereich Betriebssicherheit ................ 69
A.3 Beschreibung der Grundsätze und Fragen im Bereich Sicherheitsmanagement ....... 71
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 1
1 Einleitung
Der Eisenbahnverkehr erfährt zurzeit eine Harmonisierung von Vorschriften und Auflagen,
die maßgeblich durch die europäische Eisenbahnbehörde (ERA) vorangebracht werden. Ein
wichtiger Teilbereich ist dabei die Sicherheit. Die ERA bemüht sich, ein einheitliches
Verfahren zu entwickeln, das sogenannte signifikante Änderungen erkennt. Liegt eine solche
signifikante Änderung vor, müssen die Common Safety Methods (CSM) angewendet werden.
Es ist in der Diskussion, dass das Verfahren der ERA zur Bewertung von Änderungen noch
nicht ausgereift ist und unter Umständen keine vergleich- und belastbaren Ergebnisse liefert.
Da in der Luftraumüberwachung für die Zivilluftfahrt ein Verfahren namens Safety Screening
Method (SST) entwickelt und erfolgreich für die Bewertung von Änderungen eingesetzt wird,
entstand die Idee zu evaluieren, inwieweit dieses Verfahren im Eisenbahnverkehr Anwendung
finden könnte und ggf. welche Anpassungen vorzunehmen wären.
In dieser Studienarbeit sollen damit zunächst die beiden Verfahren vorgestellt werden. Zudem
soll erläutert werden, wie die Anwendung der Verfahren und die Sicherheitsbewertung
konkret erfolgt. Im Weiteren werden neun geplante Änderungen, die den drei Bereichen
Organisation, Betrieb und Technik zugeordnet sind und zunächst vorgestellt werden, anhand
der beiden Verfahren hinsichtlich ihrer Sicherheitsauswirkungen verglichen. Darüberhinaus
sollen bei der Auswertung der SST-Ergebnisse mögliche Kriterien entwickelt werden, die
eine Entscheidung zulassen, inwieweit eine signifikante Veränderung vorliegt. Diese Kriteri-
en sollen im Anschluss noch einmal formal beschrieben und hinsichtlich ihrer Relevanz
überprüft werden.
Das Ziel dieses beschriebenen Vorgehens ist, in dem darauf folgenden Abschnitt das CSM-
und das SST-Verfahren sowohl qualitativ als auch anhand der erzielten Ergebnisse zu
vergleichen und eine Einschätzung abzugeben, inwieweit das SST-Verfahren für den Einsatz
im Eisenbahnwesen geeignet ist und welche Anpassungen ggf. vorzunehmen sind.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 2
2 Common Safety Methods
2.1 Politischer Hintergrund CSM
Das Europäische Parlament hat im Zuge der Vereinheitlichung des europäischen Bahnver-
kehrs am 29. April 2004 die Schaffung der Europäischen Eisenbahnbehörde ERA beschlos-
sen. Die ERA wurde unter der Richtlinie 2004/49/EC dazu beauftragt, die Common Safety
Methods zu entwickeln.1 In dieser Richtlinie wird das CSM als eine Methode beschrieben, die
entwickelt wurde, um zu beschreiben, wie Sicherheitslevels und das Ergebnis von Sicher-
heitszielen und die Einhaltung mit anderen Sicherheitsauflagen bewertet werden. Ein
Hindernis der beschlossenen Vereinheitlichung des europäischen Bahnverkehrs ist die
Tatsache, dass in den einzelnen Mitgliedsländern unterschiedliche Ansätze hinsichtlich der
Spezifikation von Sicherheitslevels sowie Sicherheitsanforderungen und dem Nachweis der
Übereinstimmung mit diesen Anforderungen existierte. Die Festlegung und Harmonisierung
dieser unterschiedlichen Ansätze und Bewertungen wird Aufgabe der zweiten Anlage des
CSM sein.
Darüberhinaus ist in der Präambel 8 der Richtlinie 2004/49/EC vermerkt, dass das CSM
Schritt für Schritt eingeführt werden soll, um ein hohes Sicherheitslevel sicherzustellen und
dieses gegebenenfalls weiter zu verbessern.2 Aus Artikel 9 (1) der Richtlinie 2004/49/EC geht
im Weiteren hervor, dass die Kriterien, um zu entscheiden wann eine Änderung eine Risiko-
einschätzung und -bewertung verlangt, in der zweiten Anlage des CSM entwickelt werden
soll.
Zusammengefasst sind die Aufgaben des CSM:
1.) Harmonisierung des Riskomanagementprozesses
2.) Harmonisierung des Austauschs sicherheitsrelevanter Informationen
3.) Harmonisierung der Aussagen, die aus der Anwendung eines
Riskomanagementprozesses resultieren
Dieser gesamte Prozess der Harmonisierung der Sicherheitsmethoden soll bis spätestens zum
1.Januar 2010 abgeschlossen sein.
1 vgl. Europäisches Parlament/ Europarat, 2004, S.4f.
2 vgl. Jovovic, 2008, S.10.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 3
2.2 Einordnung der Entscheidung über eine signifikante Ände-
rung im CSM-Prozess
Die Einschätzung ob es sich um eine signifikante Änderung handelt steht ganz am Anfang des
CSM-Prozesses (siehe Abbildung 1). Von dieser Einschätzung hängt damit ab, ob der
folgende Prozess überhaupt zur Anwendung kommt. Bei der Entscheidung, dass keine
signifikante Änderung vorliegt, erfolgt keine weitere Risikobetrachtung. Damit kommt der
Bewertung hinsichtlich der Signifikanz der Änderung eine zentrale Bedeutung zu. Fehler in
dieser Einschätzung haben damit erhebliche Auswirkungen.
Abbildung 1: Übersicht CSM-Prozess3
3 siehe Verslype, 2007, S.20.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 4
Der bei der Einschätzung, dass eine signifikante Änderung vorliegt, anzuwendende CSM-
Prozess sieht folgendermaßen aus. Zunächst muss im Bereich der Risikobewertung eine
Systemdefinition erfolgen. Mit dieser Systemdefinition erfolgt nun im Bereich der Risikoana-
lyse eine Identifizierung und Klassifizierung der Gefährdung. Daraufhin erfolgt die Entschei-
dung ob ein allgemein zu akzeptierendes Risiko vorliegt, in diesem Fall ist der Risikoanalyse-
prozess beendet und das Verfahren geht direkt über zu dem Management der Gefährdungser-
fassung. Liegt dieses allgemein zu akzeptierende Risiko nicht vor, muss der Risikoanalyse-
prozess fortgesetzt werden und es folgen weitere Prozesse, die der Abbildung 1 zu entnehmen
sind. Zusammenfassend sei gesagt, dass sich an den Prozess der Risikoanalyse der Prozess
der Risikoauswertung anschließt. Hier wird geprüft, ob das vorhandene Risiko akzeptabel ist
oder nicht. Daran schließt sich die Analyse der Sicherheitsanforderungen an und abschließend
muss die Übereinstimmung mit diesen Anforderungen nachgewiesen werden.
2.3 Anwendung CSM
Dem Risikobewertungsprozess des CSM ist wie zuvor beschrieben eine Bewertung vor-
geschaltet, ob es sich um eine signifikante Änderung handelt oder nicht. Nur für Änderungen
die als signifikant eingestuft wurden, muss das CSM angewendet werden. Damit kommt
dieser Bewertung eine zentrale Rolle zu.
Existiert keine nationale Bestimmung, ob eine signifikante Änderung vorliegt, soll anhand
folgender Kriterien eine Expertenentscheidung gefällt werden.4 Diese Entscheidung soll in
einer Diskussion mit den von der Änderung betroffenen Experten getroffen werden. Dazu
sind die Auswirkungen der geplanten Veränderung anhand folgender Kriterien zu diskutieren:
a.) Sicherheitsbeitrag: Der positive Einfluss auf die Sicherheit durch die beabsichtigte
Änderung
b.) Fehlerkonsequenz: Der negative Einfluss auf die Sicherheit des Systems im Falle einer
unsicheren Implementierung der Änderung
c.) Komplexität der Änderung
d.) Überwachung: Die Möglichkeit, die implementierte Änderung über den gesamten
Lebenszyklus zu überwachen
e.) Umkehrbarkeit: Die Möglichkeit, die Änderung rückgängig zu machen und zum Sys-
tem vor dem Wechsel zurück zu kehren
f.) Innovation: die benutzt wurde, um die Änderung zu implementieren
Der Antragsteller muss seine Entscheidung bezüglich der Signifikanz aller seiner Änderungen
dokumentieren.
Diesem Bewertungsprozess ist die Frage hinsichtlich der Sicherheitsrelevanz der beabsichtig-
ten Änderungen vorgeschaltet (siehe Abbildung 2). Kommt das Expertengremium zu der
4 vgl. Cassir, 2008, S.5.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 5
Einschätzung, dass die beabsichtigte Änderung nicht sicherheitsrelevant ist, muss eine weitere
Bewertung anhand der oben beschriebenen Kriterien gar nicht erst erfolgen. Diese Entschei-
dung hingegen muss dokumentiert werden.
Kommt das Gremium zu der Entscheidung, dass die Änderung zwar sicherheitsrelevant ist
aber es sich nach den beschriebenen Kriterien um keine signifikante Änderung handelt, muss
diese Entscheidung dokumentiert und gerechtfertigt werden. Handelt es sich nach dieser
Einschätzung um eine signifikante Änderung, muss das CSM angewendet werden.
Abbildung 2: Bewertungsprozess einer Änderung im CSM-Verfahren5
5vgl. Cassir, 2008, S.7.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 6
3 Safety Screening Technique
3.1 Vorstellung SST
Die SST wurde entwickelt, um systematische Überlegungen zu Sicherheitsfragen zu unter-
stützen, welche geplante Änderungen im Air Traffic Management (ATM) betreffen. Die
Anwendung der SST erfolgt über ein Excel-Tool, das über Multiple Choice-Fragen funktio-
niert, die unterschiedlichen Teilgebieten zugeordnet sind. Die dazu gehörige Beschreibung ist
auf den 1.März 2006 datiert, welche von einer Arbeitsgruppe ab Dezember 2004 zusammen
mit dem Excel-Tool entwickelt wurde. 6
Der Anstoß für die Entwicklung der SST waren die Veränderungen, die für das ATM in den
kommenden 15 Jahren erwartet wurden. Dazu zählen die Zunahme des Luftverkehrs und
damit einhergehend ein wachsender Anspruch an die Leistungsfähigkeit des ATM. Des
Weiteren wird mit rapiden Veränderungen in der ATM Technologie gerechnet, die sich
anhand steigender Komplexität, einem höheren Automatisierungs- und Integrationsgrades
sowie steigenden Abhängigkeiten zeigen. Zudem wird sich die öffentliche Wahrnehmung und
Akzeptanz von Risiken innerhalb Europa weiter ändern. Aus diesen Punkten folgt, dass das
ATM nicht nur an der absoluten Zahl an Unfällen sondern auch an der Art der potentiellen
Unfälle gemessen werden wird. Dies erfordert in Zukunft eine proaktive Herangehensweise,
um eine innovative Entwicklung der Sicherheit und der Sicherheitskonzepte zu ermöglichen.
Dabei ist die Definition des Begriffs Sicherheit von entscheidender Bedeutung. Sicherheit ist
allgemein als die Freiheit von unvertretbaren Risiken definiert.7 Im Bereich des ATM,
welches ein durch hohe Abhängigkeiten geprägtes System ist, betrifft die Sicherheit drei
grundlegende Perspektiven: Dies sind das quantitative Ziellevel der Sicherheit, die fundamen-
talen Interessen und Erwartungen der Politik und der Öffentlichkeit und die zugrunde
liegende Sicherheitskultur der Servicedienstleister und der Industrie.
Nur ein gemeinsames Verständnis von Sicherheit führt dazu, dass sie auch von den für
unterschiedliche Konzeptentwicklungen zuständigen Projektmanagern gleich verstanden
wird. Zudem ist ein gemeinsames Verständnis wichtig, um Sicherheitsinteressen mit anderen
Interessen allen voran finanziellen Interessen vereinbaren zu können. Letztendlich benötigt
auch die Entscheidung zwischen zwei oder mehreren möglichen Zielkonzepten hinsichtlich
der drei grundlegenden Sicherheitsperspektiven dieses Verständnis.
Der Prozess der SST-Methode ist eine Herangehensweise, um von Beginn an bei den
Anwendern einen allgemeinen Blick auf die Sicherheit zu schaffen, der zudem das Verständ-
nis für ökonomische Auswirkungen nicht außer acht lässt.8 Dies steht im Gegensatz zu dem
häufig anzutreffenden Verständnis von Sicherheitsüberlegungen bei Konzeptentwicklungen,
6 vgl. Straeter, 2006, S.5.
7 vgl. Braband, 2005, S.12.
8 vgl. Straeter, 2006, S.6.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 7
dass Sicherheit nur ein Prozess am Ende der Entwicklung ist, der der Entwicklung das
angestrebte Sicherheitslevel bescheinigt.
3.2 Einordnung des Screenings in den Sicherheitsbewertungs-
prozess
Das Safety Screening ist der Sicherheitsbewertung vorgeschaltet (siehe Abbildung 3). Hier
zeigt sich, dass es der Grundgedanke der SST ist, sich bereits in der Phase der Konzeptdefini-
tion vor der Systemdefinition, dem Systemdesign und der abschließenden Systemimplemen-
tierung ausführlich Gedanken hinsichtlich der Systemsicherheit zu machen. Die SST ist damit
nicht nur ein Analysetool sondern ermöglicht vor allem eine umfangreiche Betrachtung, die
die verschiedenen Sicherheitsaspekte während der Beantwortung der Fragen und der an-
schließenden Auswertung beleuchtet.
Abbildung 3: Einordnung der SST in den Risikobewertungsprozess9
Der nach der SST erfolgende Prozess der Safety Assessment Methods (SAM) befasst sich
dann mit den weiteren Phasen, die nach der Konzeptdefinition folgen. Im Mittelpunkt dieser
gesamten Betrachtung steht, ob das System auch die Zielsetzungen erfüllt.
9 siehe Straeter, 2007, S.28.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 8
3.3 Anwendung des Exceltools der Safety Screening Technique
Die Anwendung des Exceltools und die damit verbundene Beantwortung der Fragen erfolgt
mit den von der Veränderung betroffenen Experten und Verantwortlichen. Hierbei werden
idealerweise anhand des Exceltools alle Fragen gemeinsam diskutiert und beantwortet. Dies
sorgt zum einen für eine ausführliche und zutreffende Beantwortung, zum anderen kommen
so unterschiedliche Sichtweisen zur Sprache und es findet eine gemeinsame Sensibilisierung
für die Auswirkungen der geplanten Veränderung statt.
Der grundlegende Aufbau des Excel-Tools der Safety Screening Technique ist der Abbildung
4 zu entnehmen. Aus dem oberen Bereich der Seite sowie dem Fragennavigator auf der linken
Seite ist ersichtlich, in welchem Grundsatz welchen Bereichs (beispielsweise im Grundsatz
Transparenz im Bereich Sicherheitsarchitektur) man sich befindet. Die erste Frage eines jeden
Grundsatzes ist eine übergeordnete Frage, von deren Beantwortung es abhängt ob die weiter
unten stehenden untergeordneten Fragen freigeschaltet werden und beantwortet werden
müssen.
Die Beantwortung erfolgt über das Anklicken eines von drei Feldern (i.d.R. Ja/ Möglich/
Nein) und folgt somit dem Multiple-Choice Prinzip. Wird ein Einfluss auf den betreffenden
Grundsatz bei der ersten Frage ausgeschlossen, müssen die untergeordneten Fragen nicht
beantwortet werden. Es ist aber möglich, diese extra zur Beantwortung freizuschalten.
Die Antworten auf die übergeordneten Fragen müssen immer zusätzlich durch einen Text
gerechtfertigt werden. Die untergeordneten Fragen hingegen können mit einem Text zur
Rechtfertigung und Erläuterung versehen werden. Dies dient vor allem dem späteren Ver-
ständnis der gewählten Antworten und ist daher in aller Regel ratsam.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 9
Abbildung 4: Aufbau des SST-Exceltools
Die Abbildung 5 zeigt die Ergebnisdarstellung mit den Ergebnisdiagrammen im Exceltool.
Eine ausführliche Erläuterung dieser Darstellung sowie die Gewichtung der Ergebnisse
befindet sich im Abschnitt 3.5.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 10
Abbildung 5: Ergebnisdarstellung im SST-Exceltools
Die Fragen im Exceltool folgen dem Konzept der Sicherheitsgrundsätze, dessen Aufbau im
folgenden Abschnitt erläutert wird.
3.4 Sicherheitsgrundsätze
Die Sicherheitsgrundsätze sind ein Konzept, dass zum Systemdesign in der Atom- und
Chemieindustrie entwickelt und eingesetzt wurde und weiterhin eingesetzt wird. In der
Atomindustrie wird dies als deterministisches Systemdesign bezeichnet. Das deterministische
Design beschreibt grundsätzliche Sicherheitsregeln, wie z.B. dass ein einziger Fehler nicht
das Sicherheitssystem außer Kraft setzen können soll. Diese deterministischen Regeln
versuchen zu verhindern, dass ein großes Maß an potentiell gefährlichen Risiken generiert
wird. Gleichzeitig wird hiermit eine Risikobewertung antizipiert, die im Regelfall nach dem
Systemdesign erfolgt.10
Als großer Vorteil erweist sich der sehr allgemeine Ansatz der Grundsätze. So kann bei-
spielsweise der Punkt Redundanz angewendet werden auf technische Redundanz wie z.B.
zwei Flugzeugturbinen wie auch auf Redundanz bei menschlichen Interaktionen (z.B. bei der
10 Vgl. Straeter, 2006, S.8.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 11
Bedienung eines technischen Systems durch zwei Personen, die sich gegenseitig in ihren
Handlungen überwachen).
Ein wesentliches Ziel der SST ist, Sicherheitsaspekte in der ATM Konzeptentwicklung
frühzeitig zu antizipieren. Zudem sollen geplante Änderungen eingeschätzt und später
gegebenenfalls detailliertere Sicherheitsbewertungsstudien darauf aufgebaut werden. Dritte
Aufgabe des SST ist es, systematische Betrachtungen von Sicherheitsaspekten zu ermögli-
chen.
Die Sicherheitsgrundsätze sind in verschiedene Bereiche der Sicherheit gegliedert. Es werden
hierbei drei unterschiedliche Perspektiven auf die Sicherheit unterschieden.11
1. Die Leistung der Systemsicherheit (auch statischer Aspekt) beschreibt die Sicherheit
des ganzen Systems und seiner einzelnen Teile wie Ausstattung, Software, Abläufe
und Menschen. Im SST erscheint dieser Punkt als Sicherheitsarchitektur.
2. Das Management der Sicherheitsperformance (auch dynamischer Aspekt) beschreibt
die Rolle der Organisation und seines Management bei dem Erreichen der Sicherheits-
ziele. Im SST heißt dieser Punkt Sicherheitsmanagement.
3. Operationale Sicherheitsaspekte beschreiben die gemeinsame Performance der Punkte
eins und zwei, d.h. des statischen und des dynamischen Aspekts, innerhalb des Sys-
tems in dem die Personen arbeiten. Darin eingeschlossen sind die Abläufe, denen sie
folgen sollen, sowie die Mensch-Maschine-Interaktion mit technischen Systemen. Im
SST heißt dieser Bereich Betriebssicherheit.
Die Fragen des SST-Exceltools befinden sich zusammen mit einer ausführlichen Erläuterung
der einzelnen Grundsätze im Anhang. Auf den Punkt Vorschriften wird dabei nicht eingegan-
gen, da dieser speziell auf die Luftüberwachung und die Luftfahrt zugeschnitten ist. Für einen
sinnvollen Einsatz bei der Bewertung im Schienenverkehr wäre daher erst eine Anpassung auf
die dort geltenden Regelungen notwendig.
11 vgl. Straeter, 2006, S.8f.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 12
3.5 Gewichtung und Ergebnisse
Das im Anschluss an die Beantwortung im SST dargestellte Ergebnis setzt sich aus zwei
Bestandteilen zusammen. Die Beantwortung der Fragen (mit Nein/ Möglich/ Ja) aus den drei
Bereichen Sicherheitsarchitektur, Betriebssicherheit und Sicherheitsmanagement, die in den
vorherigen Kapiteln vorgestellt wurden, führt zu Punktzahlen zwischen -2 bis +2. Die Höhe
der Punktzahl korrespondiert mit dem Einfluss auf den der Frage zugrunde liegenden Bereich.
Eine positive Bewertung bedeutet mehr Einfluss, ein negatives Rating hingegen korrespon-
diert mit weniger Einfluss. 12
Der zweite Bestandteil ist eine Gewichtung, die den Aufwand abbildet, der benötigt wird, um
die Sicherheitsprobleme in den Grundsätzen zu beheben. Dazu wurde jeder Grundsatz einer
der folgenden drei Kategorien zugeordnet:
-„hart“, dies bedeutet dieser Grundsatz hat einen besonderen Einfluss und Probleme in diesem
Bereich sind im Nachhinein, wenn überhaupt, nur unter großen Anstrengungen zu beheben.
-„weich“, besteht in diesem Grundsatz ein Problem, kann es auch im Nachhinein relativ
problemlos behoben werden.
-„gemischt“, was für eine mittlere Einteilung zwischen hart und weich steht.
Diese Einteilungen werden für eine Gewichtung genutzt, bei der hart den Faktor 2 bekommt,
weich den Faktor 0,5, und gemischt den Faktor 1. Diese werden mit den Punktzahlen aus der
Beantwortung der Fragen multipliziert.
Die Gewichtung der einzelnen Grundsätze und welche Punktzahlen die Antworten in den
einzelnen Grundsätzen haben, ist aufgegliedert nach den drei Bereichen aus Tabelle 1, Tabelle
2 und Tabelle 3 ersichtlich.
Bereich Sicherheitsarchitektur
Grundsatz Bewertung der Antwort
Gewichtung des Grundsatzes Nein Möglich Ja
Transparenz +2 +1 0 Weich (0,5)
Redundanz -1 +1 +2 Hart (2,0)
Abhängigkeit -2 0 +2 Hart (2,0)
Funktionalität +2 0 -2 Weich (0,5)
Integrität -2 0 +2 Hart (2,0)
Wartungsfähigkeit +2 0 -2 Gemischt (1,0)
Tabelle 1: Gewichtung im Bereich Sicherheitsarchitektur13
12 Vgl. Straeter, 2007, S.101.
13 Vgl. Straeter, 2007, S.102.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 13
Bereich Betriebssicherheit
Grundsatz Bewertung der Antwort
Gewichtung des Grundsatzes Nein Möglich Ja
Verfahren 0 +1 +2 Weich (0,5)
Betriebliches Umfeld -2 0 +2 Hart (2,0)
Kompetenz -2 0 +2 Hart (2,0)
Mensch-Maschine Interakti-
on -2 +1 +2 Weich (0,5)
Organisation -2 +1 +2 Gemischt (1,0)
Kommunikation -1 0 +1 Gemischt (1,0)
Zuverlässigkeit -2 +1 +2 Hart (2,0)
Tabelle 2: Gewichtung im Bereich Betriebssicherheit14
Bereich Sicherheitsmanagement
Grundsatz Bewertung der Antwort
Gewichtung des Grundsatzes Nein Möglich Ja
Richtliniensetzung -2 +1 +2 Hart (2,0)
Planung -1 0 +1 Weich (0,5)
Ausführung -2 0 +2 Hart (2,0)
Sicherung +2 +1 -2 Hart (2,0)
Förderung -1 0 +1 Gemischt (1,0)
Tabelle 3: Gewichtung im Bereich Betriebssicherheit15
Nach Beantwortung der Fragen berechnet das Exceltool eine Ergebnisdarstellung (siehe
Abbildung 6) für jeden der drei Bereiche Sicherheitsarchitektur, Betriebssicherheit und
Sicherheitsmanagement. Jeder Grundsatz der drei Bereiche (hier der Bereich Sicherheitsarchi-
tektur mit den Grundsätzen Integrität, Funktionalität, Unabhängigkeit, Redundanz, Transpa-
renz und Wartungsfähigkeit) ist darin mit einer eigenen Achse vertreten. Dabei repräsentiert
das innere Ende ein negatives Ergebnis. Dies steht dafür, dass keine potentiellen Sicherheits-
probleme bestehen. Das äußere Ende steht folglich für ein positives Ergebnis. Der Kreis, der
diese Achsen umschließt, entspricht einem Ergebnis von Null.
Liegen alle Ergebnisse innerhalb der Kreisbegrenzung und schneiden diese nicht, bedeutet
dies, dass ein normaler Betrag an Aufwand in diesem Bereich in der späteren Sicherheitsbe-
wertung betrieben werden soll. Ist das Ergebnis zu einem gewissen Teil außerhalb des Kreises
14vgl. Straeter, 2007, S.102.
15 vgl. Straeter, 2007, S.103.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 14
bedeutet dies, dass dieser Bereich besondere Aufmerksamkeit in der folgenden Sicherheits-
bewertung benötigt.
Abbildung 6: Grafische Ergebnisdarstellung eines Bereichs im SST-Exceltool16
Des Weiteren werden die Ergebnisse auch als Punktwerte im Arbeitsblatt Fundamentals im
Exceltool angezeigt (siehe Abbildung 7). Hier sind alle Grundsätze mit ihrer Punktzahl, im
Exceltool als Score bezeichnet, aufgelistet und ablesbar.
Abbildung 7: Arbeitsblatt Fundamentals im SST-Exceltool
16 vgl. Straeter, 2007, S.104.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 15
4 Vorstellung der ausgewählten Beispiele
Die nachfolgend aufgelisteten Beispiele sind den drei Beispielgruppen Organisation, Betrieb
und Technik zu geordnet. Sie sind vorweg in einem Gespräch ausgewählt und hinsichtlich
ihrer zu erwartenden sicherheitsrelevanten Auswirkung bewertet worden.17
Anhand dieser
nun nachfolgend beschriebenen Beispiele soll das Verfahren der ERA mit den Ergebnissen
des Safety Screening Tools verglichen werden.
4.1 Organisation
Beispiel 1 – Führungswechsel
Der Vorstand des Bereichs Infrastruktur eines Eisenbahnunternehmens wechselt und damit
ändern sich zwangsläufig auch der Führungsstil und das vorhandene Wissen des Chefs.
Weitere Änderungen sind möglich und müssen beachtet werden.
Beispiel 2 – Wettbewerbsdruck
Ein Teil der Infrastrukturmanagement Organisation, die Wartungsaufgaben übernehmen
(keine Wartung von Signal- oder Telemetriebereichen), müssen sich nach der beabsichtigen
Änderung gegen konkurrienden Firmen im selben Geschäftsfeld behaupten. Dazu sind eine
Neuordnung sowie ein Verkleinerung der Belegschaft in diesem Bereich notwendig gewor-
den. Eine Auslagerung der Aufgaben wird angedacht.
Beispiel 3 – Teilprivatisierung
Die Deutsche Bundesbahn wird zu 25 % teilprivatisiert und in sechs Teilgesellschaften
aufgeteilt. Die sich dadurch ergebenen Änderungen sollen vollständig durchdacht werden.
4.2 Betrieb
Beispiel 1 – Fahrplanwechsel
Der Betrieb wird durch einen geplanten Fahrplanwechsel geändert. Weitere Änderungen
treten nicht ein.
Beispiel 2 – Einsparung Triebfahrzeugführer
Ein Eisenbahnunternehmen entscheidet sich eine automatische Zugbeeinflussung einzuführen.
Diese Zugbeeinflussung übernimmt teilweise Aufgaben der Triebfahrzeugführer. Der zweite
Triebfahrzeugführer, der in diesem Land ähnliche Aufgaben wie ein CO-Pilot im Flugverkehr
hat, soll nun eingespart werden. Es werden aber nicht alle Aufgaben des zweiten Triebfahr-
zeugführers von der automatischen Zugbeeinflussung übernommen. Beispielsweise über-
nimmt dieser auch Überwachungsaufgaben.
17 Gespräch Braband/ Gayen, Mai 2008.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 16
Beispiel 3 – Signalversetzung
Ein Signal soll für den Bau eines Zufahrweges fünf Meter nach hinten versetzt werden. Das
Eisenbahnunternehmen hält diese Änderung für marginal und nicht sicherheitsrelevant und
will dies ohne Absegnung der Aufsichtsbehörde durchführen.
4.3 Technik
Beispiel 1 – Komponententausch
Die Komponenten eines ETCS sollen nach der erlaubten Nutzungsdauer gegen günstigere
aber zugelassene Komponenten eines Wettbewerbers getauscht werden. Die technische
Funktion wird durch hierdurch nicht verändert.
Beispiel 2 – Wechsel im Telefonsystem
Im Ausgangssystem wird die Information aus welcher Richtung der Zug kommt automatisch
über unterschiedliche Töne signalisiert. Da das neue Telefonsystem digital sein wird, wird die
Richtungsinformation anders übertragen, da der Klingelton identisch ist ohne Rücksicht von
welchem Stellwerk der Anruf kommt. Deswegen soll folgendes Verfahren eingeführt werden:
a.) Bei Abfahrt des Zuges informiert der Zuständige des einen Stellwerks den des anderen
Stellwerks über die Richtung des Zuges.
b.) Diese Information wird anhand des Fahrplans von den Beteiligten gegengeprüft.
Beispiel 3 – Monitorwechsel
Der Bedienplatz in einem Stellwerk war bisher mit Röhrenmonitoren ausgestattet. Nun sollen
diese durch moderne TFTs ersetzt werden. Diese verfügen aber über eine geringere Farbecht-
heit und Sichtbarkeit bei seitlichem Blickwinkel. Zudem sind die Ausfallraten unten Umstän-
den andere.
4.4 Übersicht der Beispiele mit Expertenurteil
In der folgenden Tabelle 4 sind die einzelnen Beispiele noch einmal im Überblick zu erken-
nen. Zudem ist ersichtlich, wie die Beispiele vorab in einem Expertengespräch eingeschätzt
wurden sind. Für alle drei Bereiche Organisation, Betrieb und Technik wurde jeweils ein
Beispiel gefunden, dass in der Einschätzung vor Anwendung des SST und des CSM als eine
signifikante, eine nicht signifikante oder eine nicht eindeutige Änderung eingestuft wurden
ist.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 17
Erwartetes Ergebnis
Keine signifikante
Änderung
signifikante
Änderung nicht eindeutig
Org
an
isa
tion
Führungswechsel x
Wettbewerbsdruck
x
Teilprivatisierung
x
Bet
rieb
Fahrplanwechsel x
Einsparung TFF
x
Signalversetzung
x
Tec
hn
ik Komponententausch x
Wechsel im Telefon-
system x
Monitorwechsel
x
Tabelle 4: Übersichtstabelle zu den Expertenurteilen18
18 Gespräch Braband/ Gayen, 2008.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 18
5 CSM-Ergebnisse der Beispiele
Der folgende Abschnitt beschäftigt sich mit der Auswertung der CSM-Ergebnisse. Die
Bearbeitung erfolgte, abgesehen vom Beispiel Wettbewerbsdruck, anders als für das CSM-
Verfahren vorgesehen nicht mit einer Expertengruppe.
5.1 Organisation
Beispiel 1 – Führungswechsel
Sicherheitsrelevanz: Die Neubesetzung der Stelle des Vorstands Infrastruktur besitzt unter
gewissen Umständen Sicherheitsrelevanz. Sicherheitsrelevanz würde dann vorliegen, wenn
der neue Vorstand nur begrenzt auf das bestehende Wissen seines Vorgängers und seiner
Führungskräfte bezüglich sicherheitsrelevanter Handlungen zu greifen kann. Dies setzt eine
mangelnde Kommunikation innerhalb der Abteilung und eine schlechte Einarbeitung in die
Aufgaben voraus. Im Regelfall sollte aber von keiner Sicherheitsrelevanz in Folge dieser
Änderung ausgegangen werden. Trotzdem sollen im Folgenden die einzelnen Aspekte
besprochen werden.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit durch die Änderung ist
allgemein nicht zu erwarten. Eine Neubesetzung des Vorstandspostens durch sicher-
heitsrelevante Nachlässigkeiten des Vorgängers ist durchaus denkbar, in diesem Fall
ist ein positiver Sicherheitsbeitrag beabsichtigt. Dies wird aber eher die Ausnahme
darstellen.
b. Fehlerkonsequenz: Mangelnde Kommunikation zwischen dem neuen Vorstand und
seinen Führungskräften sowie Spannungen in der Abteilung können zu Sicherheits-
problemen führen. Auch eine mangelnde Einarbeitung durch Zeitdruck kann zu diesen
Problemen führen. Im Regelfall ist davon aber nicht auszugehen, da dem Vorstand
normalerweise genug erfahrene Führungskräfte zur Seite stehen.
c. Komplexität der Änderung: Der Austausch eines Vorstands ist ohne Neuordnung
der Organisation nicht als komplex zu bewerten.
d. Überwachung: Der Vorstandswechsel sollte gut zu überwachen sein, da erfahrene
Führungskräfte in der Abteilung weiter zur Verfügung stehen, die gerade zu Beginn
ein Auge auf die Entscheidungen und Handlungen des neuen Vorstands werfen dürf-
ten und ihm ggf. zur Seite stehen.
e. Umkehrbarkeit: Bei auftretenden Problemen mit dem neuen Vorstand ist in aller
Regel nicht davon auszugehen, dass der Vorgänger für den Posten zu Verfügung ste-
hen wird. Es ist aber zu erwarten, dass der Zustand vor dem Vorstandswechsel zumin-
dest zum Teil dadurch wiedererlangt werden kann, indem eine in der Abteilung ver-
bliebene Führungskraft des alten Vorstands zum neuen Vorstand befördert wird.
f. Innovation: Eine Innovation ist durch die geplante Änderung nicht beabsichtigt und
auch nicht zu erwarten.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 19
Fazit: Die schwache bis nicht vorhandene negative Ausprägung vor allem des Punkte
Fehlerkonsequenz, die geringe Komplexität der Änderung sowie die gute Möglichkeit der
Überwachung sprechen eindeutig für keinen signifikanten Wechsel.
Beispiel 2 – Wettbewerbsdruck
Sicherheitsrelevanz: Es existieren Beispiele, bei denen Fehler in der Wartung zu Gefährdun-
gen oder Unfällen geführt haben. Damit besitzt das Beispiel Sicherheitsrelevanz, da dieses
Beispiel mögliche Änderungen bei Wartungsarbeiten mit einschließt. Das CSM-Verfahren
wurde für dieses Beispiel in einer Expertengruppe am IfEV durchgeführt. 19
Anwendung des Schemas:
a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit existiert nur, wenn ein
externer Mitbewerber bei gleichem Preis besser ist. Ziel der Umstrukturierung und
ggf. Auslagerung ist aber die Kostensenkung und nicht die Qualitätssteigerung, daher
ist kein positiver Einfluss auf die Sicherheit beabsichtigt oder zu erwarten.
b. Fehlerkonsequenz: Unsachgemäße Wartung durch Kosten- und Zeitdruck oder
schlecht ausgebildete externe Arbeitskräfte kann zu Unfällen führen. Daraus folgt das
Unfälle bei unsicherer Implementierung der Änderung nicht auszuschließen ist.
c. Komplexität der Änderung: Die Aufgaben nach der Umstrukturierung sind die Sel-
ben wie vorher. Die Änderung ist damit nicht komplex auch wenn evtl. eine Neuorga-
nisation nötig wird.
d. Überwachung: Die Überwachung der Qualität der Leistung ist bei einer internen
Abteilung einfacher, da gewachsene Abläufe bestehen. Bei externem Einkauf von
Leistungen ist dies deutlich schwieriger, Abläufe müssen erst angepasst werden und es
bestehen vor allem am Anfang keine bekannten Kommunikationswege. Die Überwa-
chung muss durch die Änderung daher als zumindest erschwert betrachtet werden.
e. Umkehrbarkeit: Bei Verkleinerung der Belegschaft wie auch bei externer Vergabe
der Leistung ist es schwierig, die Änderung rückgängig zu machen. Einmal abgebau-
tes Personal wird nicht unmittelbar sofort wieder zur Verfügung stehen, da es mit an-
deren Aufgaben betreut wurden ist oder schlimmstenfalls das Unternehmen gewech-
selt hat. In allen Fällen ist keine problemlose und schnelle Rückkehr in den Zustand
vor der Änderung zu erwarten.
f. Innovation: Eine Innovation ist durch die beschriebene Änderung nicht beabsichtigt
und auch nicht zu erwarten.
Fazit: Die zu erwartenden negativen Einflüsse der Punkte Fehlerkonsequenz, Überwachung
und Umkehrbarkeit ohne zu erwartende Ausgleiche aus den anderen Bereichen sprechen
dafür, dass es sich bei der beschrieben Änderung eindeutig um einen significant change
handelt.
19 Gespräch Braband/ Gayen, 2009.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 20
Beispiel 3 – Teilprivatisierung
Sicherheitsrelevanz: Da eine Teilprivatisierung durch z.B. neue Zuständigkeiten oder
grundlegenden Veränderungen in der Unternehmensstruktur auch zu Veränderungen in
sicherheitsrelevanten Vorgängen führen kann, ist grundsätzlich davon auszugehen, dass eine
Sicherheitsrelevanz vorliegt bzw. nicht von vorneherein ausgeschlossen werden kann.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Die Teilprivatisierung erfolgt aus Gründen wie z.B. Auflagen der
EU oder aus finanzierungstechnischen Überlegungen. Ein positiver Sicherheitsbeitrag
ist in aller Regel nicht beabsichtigt und auch nicht zu erwarten.
b. Fehlerkonsequenz: Die Fehlerkonsequenz hängt von mehreren Faktoren ab und ist
von Fall zu Fall verschieden. Relevant ist die benötigte und vorhandene Zeit für die
beabsichtigten Veränderungen, sowie deren Umfang und welche Organisationsteile,
Teile mit oder ohne sicherheitsrelevante Aufgaben, betroffen sind. In der Gesamtheit
aller Fälle ist eher von einer geringen Fehlerkonsequenz auszugehen. Eine signifikante
Fehlerkonsequenz würde voraussetzen, dass eine sicherheitsrelevante Aufgabe durch
die Teilprivatisierung betroffen ist, die zudem danach nicht mehr im gleichen Maße
ausgeführt wird oder werden kann bzw. deren Überwachung in gewissem Maße einge-
schränkt ist.
c. Komplexität der Änderung: Die aus der Teilprivatisierung entstandenen Änderun-
gen sind auch bei Umstrukturierungen von Unternehmensteilen eher als nicht komplex
zu betrachten. Die Entscheidung hängt sicherlich zudem vom Einzelfall ab. Je nach
Umfang und Art der Änderungen steigt oder fällt der Grad der Komplexität.
d. Überwachung: Die Überwachung hängt wie das Kriterium Fehlerkonsequenz stark
vom Einzelfall ab. Die Möglichkeit der Überwachung sollte im Regelfall aber als gut
bezeichnet werden können, da die Organisationsteile mit sicherheitsrelevanten Hand-
lungen im Voraus bekannt sind und bei Änderungen in diesen Teilen besonderer Auf-
wand betrieben werden kann, um eine sichere Änderung und im Nachhinein eine
funktionierende Überwachung zu gewährleisten.
e. Umkehrbarkeit: Es ist nicht davon auszugehen, dass die Teilprivatisierung rückgän-
gig gemacht wird oder werden kann. Sollte dies geschehen dann aus anderen Gründen
als der Sicherheit. Die sich aus der Teilprivatisierung ggf. ergebenen sicherheitsrele-
vanten Änderungen sind aber in aller Regel durchaus umkehrbar bzw. adaptierbar,
falls Probleme abzusehen sind oder auftreten.
f. Innovation: Eine Innovation geht von der Teilprivatisierung nicht aus und wird auch
nicht zu erwarten sein.
Fazit: Die schwache Ausprägung der Punkte Fehlerkonsequenz und Komplexität zusammen
mit der im Allgemeinen gegebenen Möglichkeit der Überwachung und Umkehrbarkeit
sprechen für eine nicht signifikante Änderungen. Dieses Ergebnis ist aber stark Einzelfall
abhängig und steht nur für den wahrscheinlichsten und häufigsten zu erwartenden Fall.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 21
5.2 Betrieb
Beispiel 1 – Fahrplanwechsel
Sicherheitsrelevanz: Die Konstruktion eines neuen Fahrplans geschieht auf Grundlage
bestimmter Auflagen. Eine Konstruktion eines unsicheren Fahrplans mit z.B. unerlaubten
Kreuzungen ist aufgrund dieser Auflagen nicht möglich. Gleichzeitig sind die Stellwerke eine
weitere Sicherheitsbarriere, die unsichere Zustände z.B. kein Flankenschutz weil die Parallel-
strecke auch befahren wird nicht zulassen wird. Damit wäre die Änderung der Auflagen für
die Fahrplankonstruktion eine sicherheitsrelevante Änderung, ein neuer Fahrplan erfüllt diese
Bedingung aber nicht.
Anwendung des Schemas entfällt.
Beispiel 2 – Einsparung Triebfahrzeugführer
Sicherheitsrelevanz: Die Einführung einer automatischen Zugbeeinflussung und die damit
verbundene Einsparung des zweiten Triebfahrzeugführers besitzt Sicherheitsrelevanz, da der
eingesparte TFF sicherheitsrelevante Handlungen wie die Überwachung des anderen TFFs
durchgeführt hat und zudem die automatische Zugbeeinflussung Aufgaben des zweiten TFF
teilweise übernimmt.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Die automatische Zugbeeinflussung übernimmt teilweise Aufga-
ben, die der zweite TFF vorher übernommen hat. Bei einwandfreier Funktionsweise
kann dies einen positiven Sicherheitsbeitrag bedeuten, da eine menschliche durch eine
technische Aufgabenbewältigung ersetzt wird. Es ist davon auszugehen, dass es sich
bei der automatischen Zugbeeinflussung um ein erprobtes System handelt, das diesen
positiven Sicherheitsbeitrag auch liefert. Einschränkend ist aber zu sagen, dass der
zweite TFF auch eine Überwachungsfunktion für die Handlungen des ersten TFF
übernommen hat. Der positive Einfluss der automatischen Zugbeeinflussung wird
durch diesen Wegfall zumindest wieder aufgehoben.
b. Fehlerkonsequenz: Kommt es zu Fehlhandlungen des ersten TFF, die durch den nicht
mehr vorhandenen zweiten TFF nicht mehr bemerkt und korrigiert werden können
und durch die automatische Zugbeeinflussung nicht abgedeckt sind, kann es zu gefähr-
lichen Zuständen kommen. Die Fehlerkonsequenz aus der geplanten Einführung ist
damit als hoch zu bezeichnen. Eine vorhandene Sicherheitsbarriere wird entfernt und
durch eine neue ersetzt, die die bestehende aber nicht in allen Punkten ersetzt.
c. Komplexität der Änderung: Die Einführung einer technischen Komponente wie der
automatischen Zugbeeinflussung und dessen Integration in das bestehende System ist
als komplex zu bezeichnen. Das Weglassen des zweiten TFF ist weniger komplex. Es
müssen aber die Aufgaben, die der zweite TFF erfüllt hat und die nicht von der auto-
matischen Zugbeeinflussung übernommen werden, nach der Änderung vom ersten
TFF ausgeführt werden. Da die automatische Zugbeeinflussung in seiner technischen
Ausführung langfristig erprobt ist und zudem auf Erfahrungen bei der Einführung zu-
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 22
rückgegriffen werden kann, ist die Komplexität der Änderung als mittelstark einzu-
schätzen.
d. Überwachung: Die Überwachung der fehlerfreien Funktion der automatischen Zug-
beeinflussung ist technisch geregelt und damit problemlos möglich. Die Einsparung
des zweiten TFF bedeutet aber, dass eine Überwachungsebene wegfällt und damit der
geänderte Betrieb mit nur einem TFF, schwer zu überwachen ist.
e. Umkehrbarkeit: Es ist problemlos möglich, zum einen wieder mit zwei TFF im Be-
trieb zu fahren und zum anderen die automatische Zugbeeinflussung ggf. zusätzlich zu
deaktivieren, um so zum bestehenden Betriebsablauf zurückzukehren. Dies setzt vo-
raus, dass der Bedienplatz des zweiten TFF weiterhin besteht.
f. Innovation: Die Einsparung eines TFF durch die Hinzunahme einer automatischen
Zugbeeinflussung ist innovativ, da ein technisches System einen Menschen ersetzen
soll und dies für diesen Bereich neuartig ist.
Fazit: Die hohe Fehlerkonsequenz und die schlechte Möglichkeit der Überwachung der
Veränderungen bedeuten, dass es sich hierbei um eine signifikante Veränderung handelt, die
eine weitere Überprüfung notwendig macht.
Beispiel 3 – Signalversetzung
Sicherheitsrelevanz: Die Information, die von dem Signal angezeigt werden, sind sicher-
heitsrelevant. Damit ist das Signal selbst und dessen Standpunkt und Sichtbarkeit auch
sicherheitsrelevant.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Das Signal soll versetzt werden, da der Bau einer Zufahrt dies
notwendig werden lässt. Die Versetzung geschieht damit nicht aus sicherheitstechni-
schen Überlegungen heraus. Damit ist kein erhöhter Sicherheitsbetrag beabsichtigt
und auch nicht zu erwarten.
b. Fehlerkonsequenz: Ist durch die Versetzung das Signal nicht mehr sichtbar oder führt
die Versetzung zu anderen Problemen, die die Informationserkennung erschweren,
kann dies zu möglichen Gefahren wie z.B. das Überfahren eines haltzeigenden Signals
führen.
c. Komplexität der Änderung: Das Versetzen eines Signals ist keine komplexe Ände-
rung.
d. Überwachung: Es ist gut zu überwachen, ob das versetzte Signal trotz des Haltzei-
gens überfahren wird und ob dies signifikant häufiger geschieht als vor der Verset-
zung. Zudem ist die Überwachung der erforderlichen Sichtbarkeit schon bei der Ver-
setzung des Signals gegeben, so dass Probleme schon vor dem wieder aufgenommen
Regelbetrieb zu erkennen sind.
e. Umkehrbarkeit: Der Bau des Zufahrtweges macht es schwierig, das Signal wieder an
die alte Stelle zurückzuversetzen. Trotzdem ist es möglich, das Signal entweder vor
dem Bau des Zufahrtweges in einem Probebetrieb zu versetzen und ggf. dann an die
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 23
alte Stelle zurückzuversetzen oder nach dem Bau nicht mehr an die alte aber an eine
geeignetere Stelle als die neue Position zu versetzen.
f. Innovation: Von dem Versetzen eines Signals geht keine Innovation aus.
Fazit: Die hohe Fehlerkonsequenz bei der Versetzung eines Signals an eine ungeeignete
Stelle und die eingeschränkte Umkehrbarkeit dieser Veränderung durch den Bau der Zufahrt
sprechen für eine signifikante Veränderung. Die gute Möglichkeit der Überwachung der
Tauglichkeit des neuen Signalstandorts vor dem Bau und der Versetzung entkräftet aber diese
beiden Punkte. Die schlechte Sichtbarkeit des Signals wird damit in aller Regel ausgeschlos-
sen und die eingeschränkte Umkehrbarkeit spielt damit nur noch eine untergeordnete Rolle.
5.3 Technik
Beispiel 1 – Komponententausch
Sicherheitsrelevanz: Der Austausch der vorhandenen ETCS Komponenten durch günstigere
aber zertifizierte Komponenten eines Wettbewerbers ist nicht eindeutig sicherheitsrelevant.
Da durch den Zertifizierungsprozess davon auszugehen ist, dass die Funktion weiterhin im
gleichen Maße durch die ausgetauschte Komponente geleistet wird, deutet dies eher darauf-
hin, dass keine Sicherheitsrelevanz vorliegt. Da aber eine Funktion betroffen ist, die hohe
Sicherheitsrelevanz besitzt, wird in diesem Fall auch insgesamt eine Sicherheitsrelevanz
unterstellt.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Der Wechsel zu Komponenten des Wettbewerbers erfolgt aus
Gründen der Kostenersparnis, daher ist ein positiver Sicherheitsbeitrag nicht beabsich-
tigt und auch nicht zu erwarten.
b. Fehlerkonsequenz: Sollte die Komponente trotz Zertifizierung ihre Aufgabe nicht
ordnungsgemäß erfüllen, ist mit möglichen Gefährdungen und möglichen Unfällen zu
rechnen. Da das ETCS die Zugsicherung betrifft, sind Fehler als sehr schwerwiegend
zu betrachten.
c. Komplexität der Änderung: Die Komplexität der Änderung ist als gering einzustu-
fen, da ein etabliertes vorhandenes Bauteil durch ein Bauteil mit derselben Funktion
ersetzt wird.
d. Überwachung: Die Überwachung der fehlerfreien Funktion der neuen Komponente
wird genau so durchgeführt wie bei der vorher verbauten Komponente. Dies bedeutet,
dass die neue Komponente in ein System mit funktionierender und etablierter Über-
wachung arbeitet. Damit ist die Möglichkeit der Überwachung als gut einzustufen.
e. Umkehrbarkeit: Da der einfache Komponententausch keine anderen Wechsel im
technischen System nötig macht, sollte bei einem Weiterbestehen des Ursprunganbie-
ters ein Wechsel zurück kein Problem darstellen.
f. Innovation: Eine Innovation geht von einem Komponententausch bei gleichbleiben-
der Funktion nicht aus.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 24
Fazit: Die geringe Komplexität der Änderung, die gute Möglichkeit der Überwachung, der
einfache Wechsel zur ursprünglichen Komponente und der nicht vorhandene Innovationsgrad
sprechen für eine nicht signifikante Änderung. Dem gegenüber steht, dass es sich um einen
Eingriff in ein stark sicherheitsrelevantes System handelt. Damit handelt es sich hier um einen
Grenzfall, der stark von der subjektiven Einschätzung und vor allem Gewichtung der einzel-
nen Punkte abhängig ist. Aufgrund der Zertifizierung der Komponenten ist aber letztendlich
eher von keiner signifikanten Änderung auszugehen.
Beispiel 2 – Wechsel im Telefonsystem
Sicherheitsrelevanz: Es besteht eindeutig Sicherheitsrelevanz bei einer Änderung, die die
Art der Informationsübertragung der Fahrtrichtung eines Zuges betrifft. Sollte es zu Fehlern
kommen, ist direkt mit möglichen Unfällen zurechnen.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Ein positiver Einfluss wäre dann zu erwarten, wenn das neue
System der Informationsübertragung zuverlässiger sein sollte als das bestehende. Da-
von ist nicht auszugehen, da eine rein technische Lösung (unterschiedliche Töne)
durch eine Lösung ersetzt wird, die menschliche Handlungen erfordert, die im höheren
Maße fehlerbehaftet sind.
b. Fehlerkonsequenz: Fehler in der Informationsübertragung z.B. durch Verständnis-
probleme zwischen den Beteiligten kann eine fehlerhafte Information über die Fahrt-
richtung des Zuges bedeuten. Dies bedeutet, dass ein Fehler einen möglichen Unfall
als Konsequenz hat und daher die Fehlerkonsequenz als hoch einzuschätzen ist.
c. Komplexität der Änderung: Die Änderung ist nicht als sonderlich komplex zu be-
zeichnen. Die technische Lösung wird durch ein einfach operationales Verfahren er-
setzt.
d. Überwachung: Die Überwachung der Änderung ist daher als gut zu bezeichnen, da
die Fahrtrichtung eines Zuges durch technische Einrichtungen gut zu überprüfen ist
und eine falsche Richtungsangabe im Regelfall bemerkt wird.
e. Umkehrbarkeit: So bald das digitale Telefonsystem eingeführt wurde, ist eine Rück-
kehr zum analogen System als schwierig anzusehen. Der Wechsel zum digitalen Sys-
tem schließt Wechsel der Telefone, der Telefonanlagen und weiterer technischer Sys-
teme mit ein, was eine Rückkehr zumindest sehr kostspielig werden lässt.
f. Innovation: Die beabsichtigte Änderung besitzt nicht die Eigenschaften einer Innova-
tion. Die Änderung greift zum einen auf bewährte Verfahren wie die verbale Informa-
tionsübertragung per Telefon zurück, auch sind keine neuen technischen Systeme für
den Betrieb entwickelt wurden oder werden dafür benötigt.
Fazit: Die geringe Komplexität, die gute Möglichkeit der Überwachung und die geringe
Innovation sprechen eher für eine nicht signifikanten Änderung. Da aber die Fehlerkonse-
quenz als so stark eingeschätzt werden muss und darüber hinaus erhebliche Schwierigkeiten
bestehen, die Änderung rückgängig zu machen, ist in diesem Fall von einer signifikanten
Änderung auszugehen.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 25
Beispiel 3 – Monitorwechsel
Sicherheitsrelevanz: Der Wechsel von Röhrenmonitoren zu TFT-Monitoren hat durch die
technisch unterschiedliche Funktionsweise zur Folge, dass sich die vom Röhrenmonitor
gewohnte Sichtbarkeit aus seitlichen Positionen verringert und auch die Farbechtheit schlech-
ter sein kann. Die Handlungen, die im Stellwerk an den Monitoren durchgeführt werden,
besitzen sicherheitsrelevanten Charakter. Können diese durch den Wechsel zu TFT-
Monitoren beeinträchtigt werden, liegt Sicherheitsrelevanz vor. Dies ist davon abhängig, wie
viele Monitore ein Benutzer im Stellwerk bedienen muss, wie zeitkritisch die zu erledigenden
Aufgaben sind und wie oft dadurch ein schnelles Erfassen der Informationen auf dem
Bildschirm auch von der Seite notwendig ist. Dies zu klären, wäre eine Aufgabe, die vor der
Einschätzung der Signifikanz der Änderung erfolgen muss. Im Folgenden soll von einer
Sicherheitsrelevanz ausgegangen werden.
Anwendung des Schemas:
a. Sicherheitsbeitrag: Ein positiver Einfluss auf die Sicherheit ist dann zu erwarten,
wenn die Ausfallrate moderner TFTs unter denen von Röhrenmonitoren liegt. Die
Vorteile von TFTs gegenüber Röhrenmonitoren sind das flimmerfreie Bild, die gerin-
ge Leistungsaufnahme und die geringe Einbautiefe. Eine generell signifikant höhere
Zuverlässigkeit der TFT-Technik existiert nicht. Da zudem die Sichtbarkeit aus seitli-
chen Positionen und die Farbechtheit als schlechter einzuschätzen ist, ist mit keinem
positiven Sicherheitsbetrag zu rechnen.
b. Fehlerkonsequenz: Ein fehlerhaftes Erkennen aus seitlichen Positionen kann Gefähr-
dungen nach sich ziehen, wobei bei einem Stellwerk Sicherungssysteme vor einer feh-
lerhaften Bedienung schützen sollen. Ausfälle eines Monitors sind als weniger prob-
lematisch einzuschätzen, da in diesem Fall zur Not der Betrieb unterbrochen werden
kann. Dies kann zu Verspätungen und weiteren Unannehmlichkeiten führen, sollte
aber Gefährdungen verhindern. Damit ist die Fehlerkonsequenz als mittelstark einzu-
stufen.
c. Komplexität der Änderung: Die Änderung ist als nicht besonders Komplex einzu-
schätzen. An dem eigentlichen Ablesen oder der Bedienung des Monitors ändert sich
nichts. Ein System wird durch ein anderes mit derselben Funktion aber einer anderen
technischen Lösung ersetzt.
d. Überwachung: Die Überwachung der reibungslosen Funktion des TFT-Monitors ist
möglich. Ob es zum falschen oder erschwerten Ablesen von Informationen aus seitli-
chen Positionen kommt, ist auch im Betrieb oder in einem Probebetrieb zu klären. Ei-
ne gute Möglichkeit der Überwachung ist damit gegeben.
e. Umkehrbarkeit: Ein Wechsel zurück zu Röhrenmonitoren erfordert zwar finanzielle
Aufwendungen, ist aber problemlos möglich.
f. Innovation: Eine Innovation geht von dem Einsatz von TFT-Monitoren nicht aus, da
die Funktion der Informationsanzeige weiterhin auf vergleichbare Weise erfolgt und
sich nur die Funktionsweise des Monitors geändert hat.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 26
Fazit: Die geringe Komplexität der Änderung, die gute Möglichkeit der Überwachung und
vor allem der problemlose Wechsel zum ursprünglichen Monitortyp spricht für keine
signifikante Änderung. Die durchaus vorhandene mittelstark ausgeprägte Fehlerkonsequenz
kann dadurch abgemindert werden, indem eine schrittweise Umstellung des Monitortyps auf
TFT erfolgt. Auch ist es in diesem Fall möglich, einen geeigneten TFT-Monitor zu ermitteln,
der die ermittelten Anforderungen wie Blickwickeln und Farbechtheit erfüllt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 27
6 Ergebnisse der SST-Auswertung
Im folgenden Teil sind die Kurzauswertung der SST-Ergebnisse anhand der Punktzahlen der
einzelnen Grundsätze sowie die Darstellung des Ergebnisdiagramms zu sehen. Das SST-
Verfahren ist für eine Anwendung mit einer Expertengruppe ausgelegt. Die Bearbeitung
erfolgte abgesehen von den Beispielen Einsparung TFF und Teilprivatisierung hingegen nicht
innerhalb einer Expertengruppe. Die ausführlichen Antworten und Ergebnisse der einzelnen
Beispiele befinden sich als Exceldatei zusammen mit dem Excel-Tool des SST-Verfahrens im
Ordner SST-Ergebnisse.
Die folgende Darstellung der Ergebnisse ist angelehnt an die Darstellung in der Beschreibung
der SST.20
In der linken Spalte der Tabellen stehen jeweils die einzelnen Grundsätze der drei
Bereiche Sicherheitsarchitektur, Betriebssicherheit und Sicherheitsmanagement. In der
mittleren Spalte ist gegebenenfalls eine kurze Erläuterung zu der Punktzahl gegeben. Die
Punktzahl selbst befindet sich in der rechten Spalte. Es werden ausschließlich die positiven
Punktzahlen kurz erläutert, da diese für die Einschätzung, ob es sich um eine signifikante
Änderung handelt, entscheidend sind.
Im Gegensatz zu dem Ergebnisdiagramm und der Auswertung im SST-Tool werden bei dieser
finalen Auswertung keine Sicherheitsverbesserungen, gleichbedeutend mit einer negativen
Punktzahl, ausgewiesen. Negative Punktzahlen werden hier zu null gesetzt. Dies hat den
Grund, dass in dieser frühen Phase nicht ohne tiefergehende Betrachtung eine zuverlässige
Aussage über eventuelle Verbesserungen getroffen werden kann und soll.21
Ziel ist es
hingegen, mögliche Bereiche zu erkennen, die Probleme machen können und einer weiteren
Betrachtung im Prozess der Implementierung der Änderung bedürfen.
Die Auswertung der Ergebnisse ist als vorläufig anzusehen, da bisher noch keine festen
Kriterien existieren, die anhand der SST-Ergebnisse zu einer eindeutigen Einschätzung
signifikante Änderung bzw. keine signifikante Änderung kommen. Mögliche Kriterien sollen
anhand der nun folgenden Auswertung und dann abschließend im Kapitel 7 entwickelt
werden.
20 vgl. Straeter, 2007, S.69.
21 vgl. Gespräch Straeter/ Braband/ Gayen, 2009.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 28
6.1 Organisation
Beispiel 1 – Führungswechsel
Die Tabelle 5 und die Abbildung 8 zeigen die Ergebnisse der SST-Auswertung des Beispiels
Führungswechsel.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz Keine signifikante Veränderung 0
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren
Verfahren können sich ändern, falls der neue
Vorstand in einigen Bereichen fehlende Kompeten-
zen hat oder Wert auf eine andere Arbeitsweise legt.
0,5
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion Keine signifikante Veränderung 0
Organisation
Evtl. sorgt neue Führungskraft für Veränderungen,
die Dinge zwischen einzelnen Abteilungen und
Organisationen betreffen.
1
Kommunikation Durch den neuen Vorstand ändert sich u.U. für
bestimmte Angelegenheiten der Ansprechpartner. 1
Zuverlässigkeit Bewährte Prozesse können durch den neuen
Vorstand verändert oder abgeschafft werden. 2
Sicherheitsmanagement
Richtliniensetzung Keine signifikante Veränderung 0
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung Keine signifikante Veränderung 0
Förderung Keine signifikante Veränderung 0
Tabelle 5: Ergebnisse des SST-Verfahrens (Beispiel Führungswechsel)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 29
Abbildung 8: Grafische Ergebnisdarstellung (Beispiel Führungswechsel)
Auswertung der Ergebnisse: In den Bereichen Sicherheitsarchitektur und Sicherheitsmana-
gement sind keine signifikante Änderungen zu erkennen. Im Bereich Betriebssicherheit
hingegen kommt es zu schwach ausgeprägten Sicherheitsauswirkungen im Bereich der
Verfahren, der Organisation sowie der Kommunikation. Die Zuverlässigkeit ist mittelstark
positiv ausgeprägt, da bewährte Prozesse durch den neuen Vorstand verändert oder abge-
schafft werden könnten. Damit handelt es sich bei diesem Beispiel um einen nicht eindeutigen
Fall, der an dieser Stelle kein abschließendes Urteil erlaubt und damit erst nach der weiteren
Festlegung von vorgeschlagenen Kriterien bewertet werden kann. Die endgültige Einschät-
zung ist mit allen anderen Ergebnissen in der Abbildung 30 in Kapitel 8.2 zu finden.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 30
Beispiel 2 – Wettbewerbsdruck
Die Tabelle 6 und die Abbildung 9 zeigen die Ergebnisse der SST-Auswertung des Beispiels
Wettbewerbsdruck.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Es sind u.U. noch nicht alle Abhängigkeiten und
Folgen durchdacht. 0,25
Redundanz
Es muss darauf geachtet werden, dass nicht
Abteilungen eingespart werden, die parallele
Sicherheitsaufgaben übernehmen.
2
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren Es kommt zu einer Neuordnung des Personals, was
bestehende Abläufe verändert. 1
Betriebliches Umfeld
Der Arbeitsaufwand ist abhängig von der Ver-
kehrsmenge und den Wetterbedingungen. Dieser
evtl. höhere Arbeitsaufwand muss von der verrin-
gerten Belegschaft auch erledigt werden können.
4
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion Keine signifikante Veränderung 0
Organisation Die Neuordnung des Personals betrifft direkt die
Organisation. 2
Kommunikation Durch die Personaleinsparung und den Personalum-
bau verändern sich auch Teile der Kommunikation. 1
Zuverlässigkeit Bewährte Arbeitsabläufe werden durch den
Personalumbau geändert. 2
Sicherheitsmanagement
Richtliniensetzung
Durch den Personalumbau kommt es u.U. auch zu
veränderten Zuständigkeiten bei sicherheitsrelevan-
ten Aufgaben.
2
Planung Keine signifikante Veränderung 0
Ausführung
Arbeitsprozesse und Zuständigkeiten ändern sich
durch den Personalumbau. Diese Auswirkungen bei
einer möglichen Auslagerung wären noch größer.
4
Sicherung
Die Überwachung von sicherheitsrelevanten
Handlungen wird durch die Personaleinsparung
erschwert.
2
Förderung Keine signifikante Veränderung 0
Tabelle 6: Ergebnisse des SST-Verfahrens (Beispiel Wettbewerbsdruck)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 31
Abbildung 9: Grafische Ergebnisdarstellung (Beispiel Wettbewerbsdruck)
Auswertung der Ergebnisse: Es sind in allen drei Bereichen Sicherheitsarchitektur, Be-
triebssicherheit und Sicherheitsmanagement Sicherheitsauswirkungen zu erwarten. Damit
muss in all diesen Bereichen eine gewisse Anstrengung aufgebracht werden, um die Auswir-
kungen auf die Sicherheit zu beobachten und ggf. zu beschränken. Dies lässt ein Kriterium in
Betracht kommen, das besagt, dass in dem Fall ein signifikante Änderung vorliegt, wenn in
allen drei Bereichen mindestens ein Grundsatz die Punktzahl zwei oder höher aufweist.
Des Weiteren sind der Grundsatz betriebliches Umfeld im Bereich Betriebssicherheit und der
Grundsatz Ausführung im Bereich Sicherheitsmanagement mit der Punktzahl vier stark
ausgeprägt. Dies spricht allein schon für eine signifikante Veränderung, da hier eine besonde-
re Anstrengung aufgebracht werden muss, um die Sicherheitsauswirkungen im Griff zu
behalten.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 32
Beispiel 3 – Teilprivatisierung
Die Tabelle 7 und die Abbildung 10 zeigen die Ergebnisse der SST-Auswertung des Beispiels
Teilprivatisierung. Die Anwendung des SST-Verfahrens fand in einer Expertengruppe am
IfEV statt.22
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Die Auswirkungen der Teilprivatisierung sind noch
nicht im vollen Umfang geklärt. 1
Redundanz Keine signifikante Veränderung 0
Abhängigkeit
Es muss klar sein, wie die Betriebsteile nach der
Veränderung zusammen und wie sich die Abhän-
gigkeiten untereinander ändern.
4
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit
Die Erkennung von Problemen und die Behebung
dieser Probleme werden durch die Teilprivatisierung
erschwert.
2
Betriebssicherheit
Verfahren Bei der Aufteilung der Bereiche könnten Aufgaben
umverteilt werden. 1
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion Keine signifikante Veränderung 0
Organisation Durch die Teilprivatisierung verändert sich die
Organisation des Unternehmens. 2
Kommunikation Es ändern sich Kommunikationswege und
Ansprechpartner. 1
Zuverlässigkeit Bewährte Kommunikationswege auch zwischen
Unternehmensteilen verändern sich. 2
Sicherheitsmanagement
Richtliniensetzung Es verändern sich zwangsläufig Zuständigkeiten. 4
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung
Es ist abhängig von der neuen Organisationsform,
inwieweit Probleme erkennbar sind. Dieser Punkt
muss im Auge behalten werden.
2
Förderung Keine signifikante Veränderung 0
Tabelle 7: Ergebnisse des SST-Verfahrens (Beispiel Teilprivatisierung)
22 Gespräch Straeter/ Braband/ Gayen, 2009.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 33
Abbildung 10: Grafische Ergebnisdarstellung (Beispiel Teilprivatisierung)
Auswertung der Ergebnisse: Ähnlich zum vorangegangenen Beispiel sind in allen drei
Bereiche mindestens je ein Grundsatz mit der Ausprägung zwei oder höher zu finden. Des
Weiteren verfügen die Grundsätze Abhängigkeit im Bereich Sicherheitsarchitektur und
Richtliniensetzung im Bereich Sicherheitsmanagement über eine positive Punktzahl von vier.
Jeder dieser Aspekte für sich genommen, würde schon für eine signifikante Veränderung
sprechen, sofern man die Kriterien aus dem vorherigen Beispiel anwendet.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 34
6.2 Betrieb
Beispiel 1 – Fahrplanwechsel
Die Tabelle 8 und die Abbildung 11 zeigen die Ergebnisse der SST-Auswertung des Beispiels
Fahrplanwechsel.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz Keine signifikante Veränderung 0
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren Keine signifikante Veränderung 0
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion Keine signifikante Veränderung 0
Organisation Durch geänderten Fahrplan könnten im Stellwerk
andere Arbeitspläne notwendig werden. 1
Kommunikation Keine signifikante Veränderung 0
Zuverlässigkeit
Falls sich ein jahrelang in Benutzung gewesener
Fahrplan ändert, ändern sich damit u.U. auch
bewährte Abläufe. Gewohnte Abläufe (z.B. immer
um die volle Stunde kommt ein bestimmter Zug und
macht eine Handlung notwendig) könnten aber
unter dem neuen Fahrplan Probleme hervorrufen,
wenn genau diese Handlung in dem gewohnten
Moment plötzlich falsch ist.
2
Sicherheitsmanagement
Richtliniensetzung Keine signifikante Veränderung 0
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung Keine signifikante Veränderung 0
Förderung Keine signifikante Veränderung 0
Tabelle 8: Ergebnisse des SST-Verfahrens (Beispiel Fahrplanwechsel)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 35
Abbildung 11: Grafische Ergebnisdarstellung (Beispiel Fahrplanwechsel)
Auswertung der Ergebnisse: Nur in dem Bereich Betriebssicherheit sind bei diesem
Beispiel bei den Grundsätzen Organisation und Zuverlässigkeit positive Punktzahlen zu
beobachten. Diese überschreiten zudem die Punktzahl zwei nicht. Dies sollte anhand der
vorläufigen Kriterien dafür sprechen, dass keine signifikante Veränderung vorliegt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 36
Beispiel 2 – Einsparung Triebfahrzeugführer
Die Tabelle 9 und die Abbildung 12 zeigen die Ergebnisse der SST-Auswertung des Beispiels
Einsparung Triebfahrzeugführer. Die Durchführung des SST-Verfahrens fand mit einer
Expertengruppe im IfEV statt.23
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz
Zugbeeinflussung ist eine erprobte Technik und ist
umfassend beschrieben. Die Änderung durch das
Weglassen des zweiten TFF ist aber noch nicht
umfassend geklärt
0,25
Redundanz
Der eingesparte TFF hat Aufgaben, die durch die
automatische ZB nicht komplett übernommen wird.
Dadurch geht Redundanz verloren.
4
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren
Arbeitsabläufe verändern sich. Zudem hat der TFF
Aufgaben, die durch die automatische ZB nicht
komplett übernommen werden.
1
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz
Der erste TFF muss teilweise Aufgaben vom
eingesparten TFF übernehmen und brauch die
notwendige Kompetenz dafür.
4
Mensch-Maschine
Interaktion
Die Bedienung ändert sich u.U., da Aufgaben von
dem zweiten TFF durch die automatische ZB
übernommen werden und diese auch bedient werden
müssen.
1
Organisation
Aufgaben werden teilweise vom zweiten auf den
ersten TFF übertragen und es kommt zu einer
Einsparung des zweiten TFF.
2
Kommunikation Die Kommunikation zwischen ersten und zweiten
TFF entfällt. 1
Zuverlässigkeit Bewährte Verfahren zwischen erstem und zweitem
TFF entfallen. 4
23 Vgl. Braband/ Gayen, August 2008.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 37
Sicherheitsmanagement
Richtliniensetzung Zuständigkeiten im Betrieb ändern sich. 2
Planung Keine signifikante Veränderung 0
Ausführung Aufgaben des zweiten TFF müssen delegiert
werden. 4
Sicherung
U.U. ist der erste TFF überfordert, wenn er die
Aufgaben des zweiten TFF zum Teil mit überneh-
men muss.
2
Förderung Keine signifikante Veränderung 0
Tabelle 9: Ergebnisse des SST-Verfahrens (Beispiel Einsparung Triebfahrzeugführer)
Abbildung 12: Grafische Ergebnisdarstellung (Beispiel Einsparung Triebfahrzeugfüh-
rer)
Auswertung der Ergebnisse: In allen drei Bereichen liegt eine Punktzahl von mindestens
zwei vor. Zudem sind im Bereich Sicherheitsarchitektur mit dem Grundsatz Redundanz, im
Bereich Betriebssicherheit mit dem Grundsatz Kompetenz und im Bereich Sicherheitsmana-
gement mit dem Grundsatz Ausführung drei Grundsätze mit einer Punktzahl von vier
vorhanden. Dies spricht dafür, dass hier eindeutig eine signifikante Veränderung vorliegt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 38
Beispiel 3 – Signalversetzung
Die Tabelle 10 und die Abbildung 13 zeigen die Ergebnisse der SST-Auswertung des
Beispiels Signalversetzung.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz
Es ist u.U. möglich, dass ein neuer Standort des
Signals zum leichteren Übersehen des Signals führt.
Es existieren aber mehrere Sicherungssysteme –
sollte im Auge behalten werden.
2
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren Keine signifikante Veränderung 0
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion
Die Aufgabe der Signalerkennung des TFF wird
durch die Umsetzung beeinflusst. 1
Organisation Keine signifikante Veränderung 0
Kommunikation Keine signifikante Veränderung 0
Zuverlässigkeit
Es kann zu Problemen kommen, weil TFF sich an
den alten Standpunkt des Signals gewöhnt haben
und das Signal auch weiter dort erwarten.
2
Sicherheitsmanagement
Richtliniensetzung Keine signifikante Veränderung 0
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung Keine signifikante Veränderung 0
Förderung Keine signifikante Veränderung 0
Tabelle 10: Ergebnisse des SST-Verfahrens (Beispiel Signalversetzung)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 39
Abbildung 13: Grafische Ergebnisdarstellung (Beispiel Signalversetzung)
Auswertung der Ergebnisse: Der Bereich Sicherheitsmanagement weist keine Sicherheits-
auswirkungen auf. Im Bereich Sicherheitsarchitektur ist der Grundsatz Redundanz mit einer
Punktzahl von zwei mittelstark ausgeprägt. Die Grundsätze Mensch-Maschine Interaktion mit
einer Punktzahl von eins und Zuverlässigkeit mit einer Punktzahl von zwei sind auch schwach
bis mittelstark ausgeprägt. Dies lässt zwar an dieser Stelle keine eindeutige Aussage zu, unter
den vorläufigen Kriterien liegt hier aber keine signifikante Veränderung vor.
Gerade dieses Beispiel und das Führungswechsel-Beispiel im Bereich Organisation werfen
aber die Frage nach der Notwendigkeit eines dritten Kriteriums auf. Im ungünstigsten Fall
würde eine geplanter Änderung, der ausschließlich in einem Bereich positive Punktzahlen in
jedem Grundsatz von zwei besitzt als keine signifikante Veränderung durchgehen, da sie von
keinem der beiden Kriterien erfasst wird. Denn hier liegt keine Punktzahl von vier vor und
zudem ist nicht in allen Bereichen eine Ausprägung von mindestens zwei vorhanden. Auf
diese Thematik wird in Kapitel 7 näher eingegangen.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 40
6.3 Technik
Beispiel 1 – Komponententausch
Die Tabelle 11 und die Abbildung 14 zeigen die Ergebnisse der SST-Auswertung des
Beispiels Komponententausch.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz Keine signifikante Veränderung 0
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren Keine signifikante Veränderung 0
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion Keine signifikante Veränderung 0
Organisation Keine signifikante Veränderung 0
Kommunikation Keine signifikante Veränderung 0
Zuverlässigkeit Keine signifikante Veränderung 0
Sicherheitsmanagement
Richtliniensetzung Keine signifikante Veränderung 0
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung
Sicherheitsprobleme mit der neuen Komponente
sollten zu erkennen sein. Dies ist aber im Verlauf
weiter zu verfolgen.
2
Förderung Keine signifikante Veränderung 0
Tabelle 11: Ergebnisse des SST-Verfahrens (Beispiel Komponententausch)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 41
Abbildung 14: Grafische Ergebnisdarstellung (Beispiel Komponententausch)
Auswertung der Ergebnisse: Da nur im Bereich Sicherheitsmanagement der Grundsatz
Sicherung mit der Punktzahl zwei mittelstark ausgeprägt ist und sonst keine Sicherheitsaus-
wirkungen vorliegen, ist hier davon auszugehen, dass es sich um keine signifikanten Ände-
rung handelt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 42
Beispiel 2 – Wechsel im Telefonsystem
Die Tabelle 12 und die Abbildung 15 zeigen die Ergebnisse der SST-Auswertung des
Beispiels Wechsel im Telefonsystem.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz Es soll per Fahrplan gegengecheckt werden. Ob dies
ausreicht, muss im Auge behalten werden. 2
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Fehler bei der Richtungsangabe der Züge haben fast
automatisch gefährliche Zustände zur Folge. 4
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren
Durch den Wechsel im Telefonsystem muss ein
neues Verfahren der Richtungsangabe implemen-
tiert werden.
1
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion
Bedienung des Telefons ändert sich nicht, aber die
Übertragung der Richtungsinformation ändert sich
und erfordert jetzt neues Vorgehen, was das Telefon
mit einschließt.
0,5
Organisation Keine signifikante Veränderung 0
Kommunikation
Es erfolgt nun eine Richtungsangabe durch Kom-
munikation über das Telefon. Zudem steigt der
Kommunikationsbedarf.
1
Zuverlässigkeit Bewährte Praxis der Weitergabe der Zugrichtungs-
information ändert sich. 4
Sicherheitsmanagement
Richtliniensetzung Evtl. ändern sich Zuständigkeiten. 2
Planung Keine signifikante Veränderung 0
Ausführung
Das Personal erhält mehr Sicherheitsverantwortung
und damit ändern sich auch entscheidende Arbeits-
prozesse.
4
Sicherung Sicherheitsprobleme sind evtl. erst zu spät zu
erkennen. Dieser Punkt muss beobachtet werden. 2
Förderung Keine signifikante Veränderung 0
Tabelle 12: Ergebnisse des SST-Verfahrens (Beispiel Wechsel im Telefonsystem)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 43
Abbildung 15: Grafische Ergebnisdarstellung (Beispiel Wechsel im Telefonsystem)
Auswertung der Ergebnisse: Hier liegt in jedem Bereich eine Sicherheitsauswirkung von
mindestens zwei vor. Zudem existieren drei Grundsätze mit einer Punktzahl von vier, was für
eine starke Sicherheitsauswirkung in diesem Bereich spricht. Dadurch ist in diesem Beispiel
eindeutig davon auszugehen, dass es sich um eine signifikante Veränderung handelt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 44
Beispiel 3 – Monitorwechsel
Die Tabelle 13 und die Abbildung 16 zeigen die Ergebnisse der SST-Auswertung des
Beispiels Monitorwechsel.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz Keine signifikante Veränderung 0
Redundanz Keine signifikante Veränderung 0
Abhängigkeit Keine signifikante Veränderung 0
Funktionalität Keine signifikante Veränderung 0
Integrität Keine signifikante Veränderung 0
Wartungsfähigkeit Keine signifikante Veränderung 0
Betriebssicherheit
Verfahren Keine signifikante Veränderung 0
Betriebliches Umfeld Keine signifikante Veränderung 0
Kompetenz Keine signifikante Veränderung 0
Mensch-Maschine
Interaktion
Es handelt sich um eine leichte Veränderung der
Arbeitsplatzbedingungen. 0,5
Organisation Keine signifikante Veränderung 0
Kommunikation Keine signifikante Veränderung 0
Zuverlässigkeit Keine signifikante Veränderung 0
Sicherheitsmanagement
Richtliniensetzung Keine signifikante Veränderung 0
Planung Keine signifikante Veränderung 0
Ausführung Keine signifikante Veränderung 0
Sicherung Keine signifikante Veränderung 0
Förderung Keine signifikante Veränderung 0
Tabelle 13: Ergebnisse des SST-Verfahrens (Beispiel Monitorwechsel)
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 45
Abbildung 16: Grafische Ergebnisdarstellung (Beispiel Monitorwechsel)
Auswertung der Ergebnisse: Bei diesem Beispiel ist nur der Grundsatz Mensch-Maschine
Interaktion aus dem Bereich Betriebssicherheit mit einer Punktzahl von 0,5 schwach ausge-
prägt. Weitere Sicherheitsauswirkungen in anderen Grundsätzen existieren nicht. Damit ist
eindeutig davon auszugehen, dass hier keine signifikante Veränderung vorliegt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 46
7 Kriterien zur Entscheidungsfindung in der SST
Die während der Auswertung gefundenen Kriterien sollen nun noch einmal vorgestellt und
zudem hinsichtlich ihrer Relevanz begründet werden. Es bleibt zu bemerken, dass diese
Kriterien nur als Vorschlag zu sehen sind. Grundsätzlich soll gezeigt werden, dass eine
sinnvolle und aussagekräftige Bewertung mit dem SST-Verfahren möglich ist und sinnvolle
Kriterien gefunden werden können.
Das erste Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in
der SST-Bewertung mindestens ein Grundsatz eine Punktzahl von vier oder höher aufweist.
Eine Bewertung von vier besagt, dass erhebliche Anstrengungen unternommen werden
müssen, um die Sicherheitsauswirkungen im Griff zu behalten. Tritt dieser Fall auf, dann ist
es gerechtfertigt, von einer signifikanten Änderung zu sprechen und eine eingehende Untersu-
chung anhand des ausführlichen CSM-Verfahrens notwendig werden zu lassen. Zu Verdeutli-
chung ist in der Tabelle 14 eine SST-Bewertung eines Beispiels zu sehen, dass ausschließlich
dieses erste Kriterium erfüllt.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz - 0
Redundanz - 0
Abhängigkeit - 0
Funktionalität Starke Sicherheitsauswirkung auf die Funktionalität 4
Integrität - 0
Wartungsfähigkeit - 0
Betriebssicherheit
Verfahren - 0
Betriebliches Umfeld - 0
Kompetenz - 0
Mensch-Maschine
Interaktion - 0
Organisation - 0
Kommunikation - 0
Zuverlässigkeit - 0
Sicherheitsmanagement
Richtliniensetzung - 0
Planung - 0
Ausführung - 0
Sicherung - 0
Förderung - 0
Tabelle 14: Beispielhafte SST-Bewertung zum ersten Kriterium
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 47
Das zweite Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in
der SST-Bewertung in jedem der drei Bereich Sicherheitsarchitektur, Betriebssicherheit und
Sicherheitsmanagement mindestens je ein Grundsatz eine Punktzahl von zwei oder höher
aufweist. Diese Bewertung hat zur Folge, dass in jedem Bereich mindestens bei einem
Grundsatz ein mittelstarker Aufwand bei der Sicherheitsbewertung notwendig ist. Der
gesamte hierfür benötigte Aufwand lässt es sinnvoll erscheinen, in diesem Fall von einer
signifikanten Änderung zu sprechen. Das ausführliche CSM-Verfahren muss damit angewen-
det werden. Zu Verdeutlichung ist in der Tabelle 15 eine SST-Bewertung eines Beispiels zu
sehen, dass ausschließlich dieses zweite Kriterium erfüllt.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz - 0
Redundanz Mittelstarke Sicherheitsauswirkung auf die Redun-
danz 2
Abhängigkeit - 0
Funktionalität - 0
Integrität - 0
Wartungsfähigkeit - 0
Betriebssicherheit
Verfahren - 0
Betriebliches Umfeld - 0
Kompetenz - 0
Mensch-Maschine
Interaktion - 0
Organisation - 0
Kommunikation Mittelstarke Sicherheitsauswirkung auf die Kom-
munikation 2
Zuverlässigkeit - 0
Sicherheitsmanagement
Richtliniensetzung Mittelstarke Sicherheitsauswirkung auf die Richtli-
niensetzung 2
Planung - 0
Ausführung - 0
Sicherung - 0
Förderung - 0
Tabelle 15: Beispielhafte SST-Bewertung zum zweiten Kriterium
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 48
Das dritte Kriterium besagt, dass eine Änderung dann als signifikant zu bewerten ist, falls in
der SST-Bewertung mindestens einer der drei Bereiche Sicherheitsarchitektur, Betriebssi-
cherheit und Sicherheitsmanagement eine durchschnittliche Punktzahl seiner Grundsätze von
1,0 oder höher aufweist. Dies bedeutet, dass in einem Bereich durchschnittlich auf jeden
einzigen Grundsatz dieses Bereichs ein geringer Aufwand bei der Sicherheitsbewertung
erfolgen muss. Der Umfang und die Tatsache, dass ein Bereich nahezu vollständig betroffen
ist, spricht für die Einschätzung, dass eine signifikante Veränderung vorliegt. Zu Verdeutli-
chung ist in der Tabelle 16 eine SST-Bewertung eines Beispiels zu sehen, dass ausschließlich
dieses dritte Kriterium erfüllt.
Fundamental Sicherheitsauswirkung der Veränderung Punktzahl
Sicherheitsarchitektur
Transparenz - 0
Redundanz - 0
Abhängigkeit - 0
Funktionalität - 0
Integrität - 0
Wartungsfähigkeit - 0
Betriebssicherheit
Verfahren - 0
Betriebliches Umfeld - 0
Kompetenz - 0
Mensch-Maschine
Interaktion - 0
Organisation - 0
Kommunikation - 0
Zuverlässigkeit - 0
Sicherheitsmanagement
Richtliniensetzung Mittelstarke Sicherheitsauswirkung auf die Richtli-
niensetzung 2
Planung Mittelstarke Sicherheitsauswirkung auf die Planung 2
Ausführung Leichte Sicherheitsauswirkung auf die Ausführung 1
Sicherung - 0
Förderung - 0
Tabelle 16: Beispielhafte SST-Bewertung zum dritten Kriterium
Erfüllt die SST-Auswertung eines Beispiels zwei oder alle drei dieser Kriterien, liegt eine
signifikante Veränderung vor. Welche und wie viele dieser drei Kriterien erfüllt werden,
könnte zur zusätzlichen Beurteilung herangezogen werden. Erfüllt die SST-Auswertung eines
Beispiels hingegen keine dieser oben beschriebenen Kriterien, dann liegt in diesem Fall keine
signifikante Veränderung vor.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 50
8 Vergleich von CSM- und SST-Verfahren
In diesem Kapitel sollen die Experteneinschätzung, die CSM-Ergebnisse und die z.T.
vorläufigen SST-Ergebnisse miteinander verglichen werden. Gleichzeitig sollen die vorge-
schlagenen Kriterien aus dem vorherigen Kapitel auf ihre Tauglichkeit überprüft werden.
Problematisch hieran ist, dass keine Beispiele zur Kalibrierung vorliegen. Hierfür müssten
Beispiele vorhanden sein, die als signifikante oder nicht signifikante Einschätzung fest
eingestuft worden wären. Danach hätten Kriterien für das SST-Verfahren dann gefunden und
festgelegt werden können. Die Experteneinschätzung hingegen ist nur als Tendenz und nicht
als feststehenden Einschätzung zu werten, die anhand der CSM- und SST-Bewertung
überprüft werden sollte. Die anhand der Kriterien zu Stande gekommenen SST-
Entscheidungen sollen mit den Ergebnissen der Experteneinschätzung und des CSM-
Verfahrens verglichen und etwaige Abweichungen näher beleuchtet werden. Damit soll
geklärt werden, ob einerseits die gefundenen Kriterien sinnvoll und anwendbar sind und
andererseits worauf die möglichen Unterschiede in den Entscheidungen beruhen.
Damit erhält der nun folgende Vergleich der Ergebnisse aus den drei verschiedenen Verfahren
zentrale Bedeutung. Zuvor soll in Abschnitt 8.1 ein qualitativer Vergleich zwischen dem
CSM- und dem SST-Verfahren gezogen werden. Das Kapitel 8.2 befasst sich im Anschluss
mit dem Vergleich der konkreten Ergebnisse.
8.1 Qualitativer Vergleich des CSM- und des SST-Verfahrens
Beide Verfahren sind dafür ausgelegt, dass sie von mehreren Experten bearbeitet werden und
die Beantwortung und Auswertung mit ihnen erfolgt. Wie aus Abbildung 2 zu erkennen,
erfolgt beim CSM-Verfahren zunächst die Beantwortung der Sicherheitsrelevanz. Nur falls
die geplante Änderung als sicherheitsrelevant eingestuft wird, erfolgt eine weitere Experten-
betrachtung anhand der sechs Kriterien. Obwohl damit der Bewertung der Sicherheitsrelevanz
ein erheblicher Stellenwert zukommt, erfolgt diese Vorabbewertung nicht anhand von
Kriterien und ohne weitere formale Bedingungen. Dies ist ein erheblicher Schwachpunkt des
CSM-Verfahrens. Sollte das CSM-Verfahren so Vorschrift werden, besteht hier eindeutig
weiterer Regelungsbedarf.
Die sechs Kriterien, anhand derer die weitere Bewertung zu erfolgen hat, sind, wie in Kapitel
2.3 zu sehen, kurz im CSM-Handbuch erläutert. Zudem existieren einige Anwendungsbei-
spiele im Anhang des Handbuches. Es existieren keine weiteren Hilfen oder Unterkriterien an
denen eine Orientierung stattfinden kann. Dabei ist nicht zu unterschätzen, dass aufgrund
dieses Sachverhaltes die Kriterien hinsichtlich ihrer Auslegung zwischen den Teilnehmern
einer Expertengruppe, wie auch zwischen verschiedenen Expertengruppen, vollkommen
unterschiedlich aufgefasst werden können. In Kapitel 8.3 wird anhand des Beispiels Teilpri-
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 51
vatisierung deutlich, zu welchen Problemen dies in der konkreten Anwendung führen kann.
Vor allem die Vergleichbarkeit der Ergebnisse leidet darunter, dass kein genaues Vorgehen
bei der Beantwortung der einzelnen Kriterien vorgegeben ist.
Des Weiteren ist fraglich, inwieweit die vorab bewertete Sicherheitsrelevanz unabhängig von
dem Kriterium Fehlerkonsequenz ist. Die Begriffe sind nur schwierig voneinander zu
abzugrenzen. Dies zeigen die CSM-Ergebnisse der Beispiele (vergleich Kapitel 5). In allen
acht Beispielen, in denen die Änderung als sicherheitsrelevant bewertet wurde, wurde auch
eine gewisse Fehlerkonsequenz festgestellt. Außerdem ähnelt sich häufig auch die gefundene
Begründung für diese beiden Aspekte.
Beim SST-Verfahren erfolgt, wie aus Kapitel 3.3 ersichtlich, die Bewertung anhand der
Beantwortung von vorgegebenen Fragen. Diese Fragen sind unterschiedlichen Grundsätzen
zugeordnet, die wiederum in drei Bereiche eingeteilt sind. Die Grundsätze besitzen eine
unterschiedliche Gewichtung, die sich danach richtet, inwieweit auftretende Probleme im
Nachhinein noch behoben werden können. Die Beantwortung erfolgt in einem Excel-Tool,
das neben der Beantwortung auch eine schriftliche Rechtfertigung zu jeder Frage zulässt und
darüber hinaus auch die Auswertung und die Ausgabe eines Ergebnisses übernimmt. Beson-
ders heraus zu stellen ist die Möglichkeit, diese Auswertung am Excel-Tool auch mit deutlich
größeren Arbeitskreisen durchführen zu können. Zum einen erfolgt die Diskussion durch die
sukzessive Bearbeitung der einzelnen Grundsätze und Bereiche sehr strukturiert, zum anderen
lassen sich die Fragen, Antworten und die Texte zur Rechtfertigung über einen Projektor
bequem für alle sichtbar an eine Wand projizieren. Diese Arbeitsweise hat in der Praxis
bewiesen, dass sie zu sehr wertvollen Diskussionen über die geplante Änderung und die damit
verbundenen Sicherheitsauswirkungen führt und so häufig weitere zu beachtende Punkte
erkannt werden.
Für das SST-Verfahren muss für die Sicherheitsbewertung einer Änderung aufgrund des
Umfangs an Fragen und der sich ergebenen Diskussionen mit mehreren Stunden Zeitaufwand
gerechnet werden. Das CSM-Verfahren hingegen lässt keine genaue Abschätzung der Dauer
zu. Der Zeitaufwand ist abhängig von den angestoßenen Diskussionen und inwieweit sich die
Experten auf die jeweiligen Bewertungen der einzelnen Kriterien einigen können.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 52
8.2 Vergleich anhand der konkreten Ergebnisse
Auffällig ist, dass das CSM-Verfahren in keinem Fall dem Expertenurteil widerspricht (siehe
Tabelle 17). Im Umkehrschluss bedeutet dies, dass abgesehen von den nicht eindeutigen
Beispielen das intuitive Expertenurteil zum gleichen Ergebnis kommt wie das CSM-
Verfahren. Bei den nicht eindeutigen Beispielen ermöglicht das CSM-Verfahren mit den zu
diskutierenden Kriterien hingegen ein eindeutiges Urteil, wo das Expertenurteil keine
Einschätzung zulässt.
Interessant ist das Beispiel Teilprivatisierung. Hierbei lässt das intuitive Expertenurteil keine
eindeutige Einschätzung zu und das CSM- und SST-Verfahren widersprechen sich deutlich.
Dieses Beispiel und die Ergebnisse sollen im folgenden Kapitel 8.3 noch einmal verglichen
werden. Ansonsten ist festzuhalten, dass das SST-Verfahren mit den gefundenen vorläufigen
Kriterien in keinem weiteren Beispiel im Widerspruch zum CSM-Verfahren steht und dies
damit zumindest eine erste positive Einschätzung hinsichtlich der Tauglichkeit dieses
Verfahrens erlaubt.
Ergebnis der Verfahren
Expertenurteil CSM-Verfahren SST-Verfahren
Org
an
isa
tio
n
Führungswechsel nicht signifikant nicht signifikant nicht signifikant
Wettbewerbsdruck signifikant signifikant signifikant
Teilprivatisierung nicht eindeutig nicht signifikant signifikant
Bet
rieb
Fahrplanwechsel nicht signifikant nicht signifikant nicht signifikant
Einsparung TFF signifikant signifikant signifikant
Signalversetzung nicht eindeutig nicht signifikant nicht signifikant
Tec
hn
ik Komponententausch nicht signifikant nicht signifikant nicht signifikant
Wechsel im Telefon-
system signifikant signifikant signifikant
Monitorwechsel nicht eindeutig nicht signifikant nicht signifikant
Tabelle 17: Ergebnisvergleich der Verfahren
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 53
8.3 Eingehende Untersuchung des Beispiels Teilprivatisierung
Die Untersuchung mit dem CSM-Verfahren wurde vor der Untersuchung mit dem SST-
Verfahren durchgeführt. Daher konnten keine Erkenntnisse, die mit dem SST-Verfahren
gewonnen wurden, in die CSM-Bewertung einfließen.
Beim CSM-Verfahren (siehe Kapitel 5.1) kam die Einschätzung, dass es sich um keine
signifikante Änderung handelt, dadurch zu Stande, dass die Fehlerkonsequenz und die
Komplexität der Änderung als weniger stark eingeschätzt wurden. Die Fehlerkonsequenz
wurde aus dem Grund weniger stark eingeschätzt, da davon ausgegangen wurde, dass eine
hohe Fehlerkonsequenz nur dann vorliegt, wenn sicherheitsrelevante Handlungen von der
Teilprivatisierung betroffen sind. Weiter wurde argumentiert, dass dies aber nur in einigen
Fällen der Fall sein wird und auch dann nur eine hohe Fehlerkonsequenz vorliegt, wenn die
Teilprivatisierung unter Zeitdruck stattfinden muss. Zudem wurde die Komplexität einer
solchen Teilprivatisierung als eher gering eingeschätzt, weil die Aufgabe selbst als relativ
eindeutig und klar zu definieren eingeschätzt wurde.
Im Vergleich hierzu kommt das SST-Verfahren (siehe Kapitel 6.1 sowie Tabelle 7 und
Abbildung 10) zu einer vollkommen anderen Bewertung. Im Bereich Sicherheitsarchitektur
ist der Grundsatz Abhängigkeit stark ausgeprägt. Dies bedeutet, dass hier im späteren Prozess
ein besonders großer Aufwand notwendig werden wird, um die Sicherheitsauswirkungen im
Griff zu behalten. Die Begründung für diese starke Ausprägung ist, dass geklärt sein muss,
wie die Betriebsteile nach der Veränderung zusammen und wie sich die Abhängigkeiten
untereinander ändern. Dieser Aspekt würde beim CSM-Verfahren in den Bereich Komplexität
fallen, ist dort aber nicht beachtet wurden. Dies verdeutlicht ein Problem des CSM-Verfahren.
Die Diskussion der Beispiele anhand der sechs Kriterien des CSM-Verfahrens erfolgt im
Vergleich mit dem SST-Verfahren unsystematischer und ist vor allem nicht besonders
tiefgehend. In der Anwendung hat sich gezeigt, dass selbst in der Bearbeitung mit mehreren
Experten, wofür das CSM-Verfahren ausgelegt ist, die Problematik nicht umfassend beleuch-
tet wird und die Gefahr besteht, dass einige Aspekte schlichtweg vergessen werden. Im SST-
Verfahren hingegen werden aufgrund der in Kapitel 8.1 beschriebenen Gründe, deutlich
umfassendere Sicherheitsbewertungsergebnisse gewonnen. Dies zeigt sich nicht nur an
diesem Beispiel, sondern auch an weiteren, die aber in der Abschlussbewertung im Vergleich
der beiden Verfahren nicht unterschiedlich ausgefallen sind. Beispielsweise hat die Auswer-
tung der geplanten Änderung Fahrplanwechsel mit dem SST-Verfahren ergeben, dass in dem
Grundsatz Zuverlässigkeit Sicherheitsprobleme auftauchen können (siehe Tabelle 8). Dadurch
können sie nun im weiteren Änderungsprozess im Auge behalten werden und eventuelle
Probleme werden frühzeitig erkannt. Obwohl die endgültige Einschätzung bei beiden
Verfahren gleich war, hat das SST-Verfahren im Gegensatz zum CSM-Verfahren eine
umfassendere Sicherheitsbetrachtung erlaubt.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 54
Im Weiteren ist beim SST-Verfahren für das Beispiel Teilprivatisierung im Bereich Betriebs-
sicherheit klar geworden, dass der Aspekt der Kommunikation durch die Teilprivatisierung in
nicht unerheblichem Maße betroffen sein kann. Bisherige Ansprechpartner können durch den
Umbau der Organisation wegfallen. Ähnliches gilt für etablierte und bewährte Arbeitsabläufe.
Zudem verfügt der Grundsatz Richtliniensetzung im Bereich Sicherheitsmanagement über
eine starke Ausprägung, da sich durch die Teilprivatisierung zwangsläufig Zuständigkeiten
ändern. Auch diese Aspekte wurden im CSM-Verfahren nicht berücksichtigt und sind zudem
keinem der sechs Kriterien sofort eindeutig zuzuordnen, so dass im Nachhinein nicht sofort zu
sagen ist, an welcher Stelle diese Aspekte übersehen wurden.
Da viele Einflüsse auf die Sicherheit erst bei der Bewertung mit dem SST-Verfahren erkannt
und berücksichtigt wurden und diese Einflüsse auch in der hier stattfindenden Nachbetrach-
tung als wichtig betrachtet werden, lässt sich die Einschätzung, dass eine signifikante
Veränderung vorliegt, glaubhaft rechtfertigen. Damit hat für dieses Beispiel das CSM-
Verfahren aufgrund seiner beschriebenen Mängel ein falsches Ergebnis geliefert. Das SST-
Verfahren hingegen lag richtig und hat darüberhinaus weitere zu beachtende Einflüsse
geliefert. Einschränkend ist zu sagen, dass die CSM-Bewertung dieses Beispiels nicht in einer
Expertengruppe sondern alleine durchgeführt wurde. Ob diese Bearbeitung in der Gruppe
notwendigerweise zu einem anderen Ergebnis gekommen wäre, ist im Nachhinein schwierig
zu beurteilen. Das SST-Verfahren kam auch bei der alleinigen Bearbeitung zu der Einschät-
zung, dass eine signifikante Veränderung vorliegt. Zumindest lässt dieses Ergebnis die
Aussage zu, dass das CSM-Verfahren anfälliger für das Übersehen von Einflüssen ist.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 55
9 Bewertung der Adaptierbarkeit der SST für das Eisen-
bahnwesen
Die Bearbeitung der Beispiele in Kapitel 6 und die darauf aufbauende Untersuchung in
Kapitel 8 haben gezeigt, dass das SST-Verfahren grundsätzlich in der Lage ist, sinnvolle
Entscheidungen bei Veränderungen zu treffen. Der Aufbau in die drei Bereiche Sicherheitsar-
chitektur, Betriebssicherheit und Sicherheitsmanagement mit den dazugehörigen Grundsätzen
hat sich auch bei der Bearbeitung der Beispiele aus dem Eisenbahnverkehr als geeignet
gezeigt. Für Beispiele, die keine technischen Veränderungen betreffen, ist es ratsam den
ersten Bereich Sicherheitsarchitektur so zu erläutern, dass die Fragen eindeutig verstanden
werden. So ist jeder Grundsatz in diesem Bereich auch auf Änderungen betrieblicher und
organisatorischer Natur anwendbar. Eine Anpassung der Erläuterung im SST-Tool ist in
diesem Fall sinnvoll. Des Weiteren erscheint es sinnvoll, dass ein Handbuch zur richtigen
Anwendung angefertigt wird. In diesem sollten Beispiele aus den verschiedenen Bereichen
des Eisenbahnwesens dokumentiert und erläutert werden. Gleichzeitig sollte eine Beschrei-
bung der Bereiche und Grundsätze erfolgen, wie es im Dokument für das ATM bereits
vorliegt. Zudem ist es denkbar, dass von der ERA aus Workshops zur Anwendung des SST-
Verfahrens speziell für den Einsatz im Eisenbahnwesen gegeben werden.
Bereits zu Beginn dieser Arbeit wurde festgestellt, dass die im SST-Tool hinterlegten
Vorschriften und Regeln speziell für die Luftfahrt ausgelegt sind und daher einer Anpassung
bedürfen. Dabei ist zu evaluieren, wie das SST-Verfahren mit diesen Vorschriften arbeitet
und welche Auswirkung es auf die Entscheidung hinsichtlich der Signifikanz der Änderung
hat.
Ein weiterer Aufgabenbereich wird die endgültige Definition der Kriterien sein. Dazu sollten
wie bereits beschrieben, weitere Untersuchungen anhand von Beispielen durchgeführt werden
und ggf. theoretische Überlegungen erfolgen. Dazu kann an die Kriterienfindung und
Vorgehensweise dieser Arbeit angeknüpft werden. Erste Grundlagen und Vorschläge für die
Kriterien wurden in Kapitel 7 gemacht.
Es bleibt zu klären, ob die Bearbeitung in allen Mitgliedsländern generell auf Englisch zu
erfolgen hat oder ob eine Übersetzung in die jeweilige Landessprache als sinnvoll erachtet
wird. Hinsichtlich des besseren Verständnisses kann dies durchaus ratsam sein. Eine Überset-
zung ins Deutsche ist im Rahmen dieser Studienarbeit bereits erfolgt.
Als letzte Aufgabe bleibt festzuhalten, dass Überlegungen erfolgen müssen, wie auf die
Erkenntnisse aus dem SST-Verfahren im CSM-Verfahren aufgebaut werden kann und wie
diese genutzt werden. Das SST-Verfahren ist im Risikobewertungsprozess des ATMs nicht
nur ein bloßer Vortest zu Einschätzung, welche Sicherheitsauswirkungen bestehen. Vielmehr
ist es Teil eines umfassenden Sicherheitsverständnisses, das bereits frühzeitig Problematiken
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 56
erkennen lässt und damit wichtige Ideen für das weitere Vorgehen liefert. Dies sollte bei der
Adaptierung berücksichtigt werden.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 57
10 Fazit
Die Aufgabe dieser Studienarbeit war es zu klären, ob das SST-Verfahren, das sich in der
Bewertung von Sicherheitsauswirkungen im ATM bewährt hat, auch für eine Anwendung im
Eisenbahnwesen geeignet ist. Dazu sollte anhand von ausgewählten Beispielen das CSM- und
das SST-Verfahren angewendet werden, um auf diese Weise einen Vergleich der Anwendung
und der Ergebnisse möglich zu machen. Zudem sollte ein qualitativer Vergleich der beiden
Verfahren erfolgen. Im Weiteren sollte geklärt werden, ob es möglich ist Kriterien zu finden,
die eine Auswertung der SST-Ergebnisse hinsichtlich der Entscheidung zur Signifikanz einer
Veränderung ermöglichen. Abschließend sollte anhand der erzielten Erkenntnisse ein Urteil
zur Adaptierbarkeit der SST für das Bahnwesen abgegeben werden.
Die Bearbeitung erfolgte anhand des oben beschriebenen Vorgehens. Es stellte sich hierbei
als schwierig heraus, dass die Anwendung der beiden Verfahren bis auf wenige Ausnahmen
alleine erfolgte. Da beide Verfahren dafür ausgelegt sind, von Gruppen durchgeführt zu
werden, die zudem noch Experten für die von den Änderungen betroffenen Bereichen sind, ist
davon auszugehen, dass die Ergebnisse bei der Bearbeitung in diesen Gruppen noch aussage-
kräftiger gewesen wären. Im Rahmen dieser Studienarbeit war ein solches Vorgehen nicht
möglich. Da es aber in erster Linie nicht um die exakte Klärung der Beispiele ging, sondern
um die Klärung der Frage, ob das SST-Verfahren im Eisenbahnwesen sinnvoll eingesetzt
werden kann, ist dies als nicht so schwerwiegend anzusehen.
Das zentrale Ergebnis dieser Studienarbeit ist die Erkenntnis, dass das SST-Verfahren zur
nachvollziehbaren Entscheidungsfindung im Eisenbahnwesen genutzt werden kann. Zudem
konnten sinnvolle Kriterien gefunden werden, anhand derer die Entscheidung hinsichtlich der
Signifikanz einer Änderung getroffen werden kann. Zusätzlich konnten gewisse Vorteile der
SST anhand des Vergleichs der Beispiele und einer qualitativen Bewertung der beiden
Verfahren aufgezeigt werden. Hier sind die bessere Vergleichbarkeit der Ergebnisse des SST-
Verfahrens und die umfassendere Problembetrachtung zu nennen. Abschließend konnte in
Kapitel 9 aufgezeigt werden, unter welchen Voraussetzungen ein Einsatz des SST-Verfahrens
im Eisenbahnverkehr stattfinden kann.
Weitere Aufgaben sind die ausführliche Evaluierung von Entscheidungskriterien sowie die
Anpassung des Bereichs Vorschriften an die geltenden Vorschriften im Eisenbahnverkehr.
Zudem bietet sich die Anpassung der Erläuterung und Fragen im SST-Tool und die Ausarbei-
tung eines Handbuchs speziell für die Anwendung im Eisenbahnwesen an, um so ein hohes
Maß an Verständlichkeit und Anwenderfreundlichkeit zu schaffen. Darüberhinaus muss
entschieden werden, ob die Anwendung in Englisch erfolgen soll oder in der jeweiligen
Landessprache. Abschließend sollte das SST-Verfahren nicht einfach nur an den Anfang des
CSM-Prozesses gesetzt sondern sinnvoll in den CSM-Prozess integriert werden.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 58
Übersetzungsverzeichnis
Übersetzung24
,25
Originalschreibweise
Abhängigkeit Interdependence
Akzeptabel Acceptable
Allgemein Broadly
Ausführung Achievement
Betriebliches Umfeld Operational environment
Betriebssicherheit Operational safety
Bewertung Rating
Dokumentieren Record
Ergonomie Ergonomics
Fehlerkonsequenz Failure consequence
Förderung Promotion
Funktionalität Functionality
Gefährdung Hazard
Gefährdungserfassung Hazard log
Geeignet Fit
Gemischt Mixed
Gesammelte Erfahrungen Lessons-learned
Grundsatz Fundamental
Hart Hard
Identifizierung Identification
Integrität Integrity
Klassifizierung Classification
Kommunikation Communication
Kompetenz Competence
24 Vgl. Duden-Oxford, 2004.
25 Vgl. Langenscheidt Fachwörterbuch, 2004.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 59
Konzeptdefinition Concept definition
Leistung Performance
Mensch-Maschine Interaktion Human-machine interaction
Nachweis Demonstration
Organisation Organisation
Planung Planning
Rechtfertigen Justify
Redundanz Redundancy
Richtliniensetzung Policy setting
Risiko Risk
Risikoanalyse Risk analysis
Risikoauswertung Risk evaluation
Risikobewertung Risk assessment
Sicherheitsanforderungen Safety requirements
Sicherheitsarchitektur Safety architecture
Sicherheitsbeitrag Safety contribution
Sicherheitsbetrachtung Safety consideration
Sicherheitsgrundsätze Safety fundamentals
Sicherheitsmanagement Safety management
Sicherung Assurance
Signifikante Änderung Significant change
Systemdefinition System definition
Systemdesign System design
Systemimplementierung System implementation
Systemzerlegung System decomposition
Transparenz Transparency
Übereinstimmung Compliance
Übergeordnete Frage High-level question
Überwachung Monitoring
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 60
Untergeordnete Frage Low-level question
Umkehrbarkeit Reversibility
Verfahren Procedures
Vorschriften Regulations
Wartungsfähigkeit Maintainability
Weich Soft
Zielsetzung Purpose
Zuverlässigkeit Reliability
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 61
Abkürzungsverzeichnis
Abkürzung Ausführliche Schreibweise
ATC Air Traffic Control
ATM Air Traffic Management
CSM Common Safety Methods
ERA European Railway Agency
EU Europäische Union
ETCS European Train Control System
IfEV Institut für Eisenbahnwesen und Ver-
kehrssicherung
SAM Safety Assessment Methods
SST Safety Screening Technique
TFF Triebfahrzeugführer
TFT Thin-film transistor
ZB Zugbeeinflussung
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 62
Abbildungsverzeichnis
Abbildung 1: Übersicht CSM-Prozess 3
Abbildung 2: Bewertungsprozess einer Änderung im CSM-Verfahren 5
Abbildung 3: Einordnung der SST in den Risikobewertungsprozess 7
Abbildung 4: Aufbau des SST-Exceltools 9
Abbildung 5: Ergebnisdarstellung im SST-Exceltools 10
Abbildung 6: Grafische Ergebnisdarstellung eines Bereichs im SST-Exceltool 14
Abbildung 7: Arbeitsblatt Fundamentals im SST-Exceltool 14
Abbildung 8: Grafische Ergebnisdarstellung (Beispiel Führungswechsel) 29
Abbildung 9: Grafische Ergebnisdarstellung (Beispiel Wettbewerbsdruck) 31
Abbildung 10: Grafische Ergebnisdarstellung (Beispiel Teilprivatisierung) 33
Abbildung 11: Grafische Ergebnisdarstellung (Beispiel Fahrplanwechsel) 35
Abbildung 12: Grafische Ergebnisdarstellung (Beispiel Einsparung Triebfahrzeugführer) 37
Abbildung 13: Grafische Ergebnisdarstellung (Beispiel Signalversetzung) 39
Abbildung 14: Grafische Ergebnisdarstellung (Beispiel Komponententausch) 41
Abbildung 15: Grafische Ergebnisdarstellung (Beispiel Wechsel im Telefonsystem) 43
Abbildung 16: Grafische Ergebnisdarstellung (Beispiel Monitorwechsel) 45
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 63
Tabellenverzeichnis
Tabelle 1: Gewichtung im Bereich Sicherheitsarchitektur 12
Tabelle 2: Gewichtung im Bereich Betriebssicherheit 13
Tabelle 3: Gewichtung im Bereich Betriebssicherheit 13
Tabelle 4: Übersichtstabelle zu den Expertenurteilen 17
Tabelle 5: Ergebnisse des SST-Verfahrens (Beispiel Führungswechsel) 28
Tabelle 6: Ergebnisse des SST-Verfahrens (Beispiel Wettbewerbsdruck) 30
Tabelle 7: Ergebnisse des SST-Verfahrens (Beispiel Teilprivatisierung) 32
Tabelle 8: Ergebnisse des SST-Verfahrens (Beispiel Fahrplanwechsel) 34
Tabelle 9: Ergebnisse des SST-Verfahrens (Beispiel Einsparung Triebfahrzeugführer) 37
Tabelle 10: Ergebnisse des SST-Verfahrens (Beispiel Signalversetzung) 38
Tabelle 11: Ergebnisse des SST-Verfahrens (Beispiel Komponententausch) 40
Tabelle 12: Ergebnisse des SST-Verfahrens (Beispiel Wechsel im Telefonsystem) 42
Tabelle 13: Ergebnisse des SST-Verfahrens (Beispiel Monitorwechsel) 44
Tabelle 14: Beispielhafte SST-Bewertung zum ersten Kriterium 46
Tabelle 15: Beispielhafte SST-Bewertung zum zweiten Kriterium 47
Tabelle 16: Beispielhafte SST-Bewertung zum dritten Kriterium 48
Tabelle 17: Ergebnisvergleich der Verfahren 52
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 64
Literaturverzeichnis
Braband, J. (2005): Risikoanalysen in der Eisenbahn-Automatisierung, Hamburg.
Braband, J/ Gayen, J. ( Mai 2008): Gespräch im IfEV am 30.Mai 2008, Braunschweig.
Braband, J/ Gayen, J. ( August 2008): Gespräch im IfEV am 20.August 2008, Braunschweig.
Braband, J./Gayen, J. (2009): Gespräch im IfEV am 6:Februar 2009, Braunschweig.
Cassis, C. (2008): Significant changes version 0.3.pdf, Valenciennes.
Duden Oxord (2004): Standardwörterbuch Englisch, 3.Auflage, Mannheim.
Europäisches Parlament/ Europarat (2004): DIRECTIVE 2004/49/EC, http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:220:0016:0039:EN:PDF, abgerufen
am 10.09.2009.
Jovovic, D. (2008): Guidance for use of the recommendation on the 1st set of csm.pdf,
Valenciennes.
Langenscheidt Fachwörterbuch (2004): Technik und angewandte Wissenschaften Englisch –
Deutsch, 2.Auflage, Leipzig.
Straeter, O./ Braband, J./ Gayen, J. (2009): Gespräch im IfEV am 13.März 2009, Braun-
schweig.
Straeter, O./ Korteweg, H./ Everdij, M./ Smeltink, J./ Burrage, A./ Kovarova, J./ Amar, G.
(2007): Safety Screening Technique v 1-0.pdf, Brüssel.
Straeter, O./ Krastev, A./ Grippa, D./ Janssen, R./ Smeltink, J./Everdij, M./ Spouge, J./
Salmon, D./ Smith, E./ Balfanz, H./ Kuijper, J. (2006): Safety Screening Technique v 0-5.pdf,
Brüssel.
Verslype, M. (2007): Entwurf_ERA-REC-02-2007-SAF.pdf, Valenciennes.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 65
Anhang
A.1 Beschreibung der Grundsätze und Fragen im Bereich
Sicherheitsarchitektur26
Die Fragen im Bereich Sicherheitsarchitektur gliedern sich in folgende Punkte:
Transparenz: Dies betrifft die Fähigkeit, die Aufgaben des Systems klar zu spezifizieren.
Gleichzeitig zählt ob die Aufgaben wie spezifiziert zuverlässig erfüllt werden.
Der Punkt Transparenz beschreibt die Wichtigkeit, dass die Sicherheit im ATM-Systemdesign
eindeutig und klar ist und dass dessen Leistung vorhersagbar ist.
Die Schlüsselfragen im Bereich Transparenz sind:
Führt der ATM-Systemwechsel zu Änderungen, die die Transparenz von ATM-Systemen
beeinflussen?
Wie umfassend ist das Systemdesign?
Sind die Spezifikationen ausführlich umschrieben?
Wurde die Korrektheit überprüft?
Bestehen Unklarheiten oder Bedenken von Stakeholdern bezüglich der Transparenz der
beabsichtigten Änderungen im ATM-System?
Existieren unterschiedliche Meinungen, wie das geänderte ATM-System im Detail arbeiten
soll?
Wurden Entscheidungen gemacht während Alternativen (noch) nicht ausführlich durchdacht
wurden?
Redundanz: Dies betrifft den Gebrauch unabhängiger Komponenten, die dieselbe Funktion
ausführen, um das System sicherer zu machen.
Der Punkt Redundanz beschreibt eine der wesentlichen Methoden, um hohe Zuverlässigkeit
zu erreichen. Der parallele Gebrauch von unabhängigen Komponenten schützt das System
vorm Versagen durch Ausfall einer einzigen technischen Komponente. Ein Beispiel für
26 Vgl. Straeter, 2006, S.9ff.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 66
Redundanz ist das Konzept der Diversifikation, bei dem für dieselbe Funktion zwei Systeme
mit unterschiedlicher technischer Ausführung zur Verfügung stehen.
Die Schlüsselfragen im Bereich Redundanz sind:
Beeinflusst der Wechsel im ATM-System die Redundanz gegenüber Systemfehler oder
Unfällen?
Besitzt das Gesamtsystem weiterhin genug Möglichkeiten („Budget“), um eine reduzierte
Sicherheitsleistung im Falle eines Ausfalls einer Komponente zu kompensieren?
Existieren weitere Alternativen im Falle eines Fehlers des Systems?
Bestehen verschiedene Möglichkeiten, dieselbe Funktion sicherzustellen?
Hat das Subjekt irgendeinen Einfluss auf die Redundanzlevel von anderen Elementen des
ATM-Systems (z.B. Reduzierung von Personal bei Einführung eines automatischen Sys-
tems)?
Abhängigkeit: Dies betrifft den Grad, den das System unabhängig ist von Interaktionen mit
anderen Systemen, welche zu abhängigen Fehlern führen können.
Der Punkt Abhängigkeit soll die ungeplanten Abhängigkeiten im ATM-System aufdecken,
die potentiellen Ursache für Fehler sein können. Je komplexer ein System wird, desto größere
Abhängigkeiten können zwischen Komponenten bestehen, die ursprünglich unabhängig sein
sollten.
Die Schlüsselfragen im Bereich Abhängigkeit sind:
Wie abhängig ist die Systemleistung von der Leistung anderer Systeme?
Inwieweit beeinflusst das System die Leistung anderer Systeme?
Ist es möglich, die Änderungen im ATM-System ohne Änderungen in anderen Systemen zu
implementieren?
Beeinflusst die Änderung im ATM-System die Zusammenarbeit oder den Datenaustausch mit
anderen Systemen?
Beeinflusst die Änderung im ATM-System Eingriffe in andere Systeme oder in den Datenaus-
tausch?
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 67
Funktionalität: Dies betrifft den Beitrag, den das System zur Minimierung von Unfällen
macht.
Der Punkt Funktionalität beschreibt, wie gut ein System in der Lage ist in Situationen
einwandfrei zu funktionieren, für die es entwickelt aber auch für die es nicht entwickelt
wurde.
Die Schlüsselfragen im Bereich Funktionalität sind:
Hat das Subjekt einen klar definierten Output für alle operationalen Bedingungen, die in
Frage kommen?
Behält das System in jedem denkbaren Fall seine festgelegte Funktionalität?
Existieren externe Umstände, in denen die Systemleistung nicht garantiert werden kann?
Ist das System in der Lage, flexibel auf Änderungen von Inputs oder seiner Umwelt zu
reagieren?
Beeinflusst das Subjekt den Austausch zwischen Sicherheit und anderen Zielen des Systems
(z.B. Leistungsfähigkeit, Effizienz, Sicherheits- und/oder Umweltverträglichkeit)?
Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der praktischen
Bedienbarkeit des geänderten Systems?
Integrität: Dies betrifft die Vertrauenswürdigkeit von Systemoutputs, wie z.B. deren Freiheit
von Fehlern bei korrekter Eingabe.
Der Punkt Integrität soll Fehler oder Fehlfunktionen bei der Verarbeitung eines Inputs
verdeutlichen, die zu Systemzusammenbrüchen führen können. Dieser Punkt deckt das höhere
potentielle Risiko für fehlende Integrität in zukünftigen ATM-Systemen ab, die noch abhän-
giger von gemeinsamen Daten und damit von einer zuverlässigen Datenverarbeitung sein
werden.
Die Schlüsselfragen im Bereich Integrität sind:
Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Integrität der
Outputs des geänderten ATM-Systems?
Kann ein Fehlverhalten des Systems in einen sicheren Zustand überführt werden?
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 68
Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Fähigkeit des
Systems, in dem Fall in einen sicheren Zustand zurückzufallen, falls die Integrität des
geänderten Systems verletzt wird?
Wartungsfähigkeit: Die Wartungsfähigkeit ist definiert als die Fähigkeit, das System
während seiner Produktlebenszeit zu warten.
Es wird zum einen unterschieden in präventive Wartungsfähigkeit, die als Möglichkeit
definiert ist, zu inspizieren und beginnende Fehler (d.h. in früher Phase) zu erkennen und zu
korrigieren bevor sie in tatsächliche Fehler übergehen, ohne dass es bei der Wartung zu einer
verminderten Systemsicherheit kommt.
Des Weiteren existiert die sogenannte Wartung während des Betriebs. Diese ist als Möglich-
keit definiert, zu inspizieren und beginnende Fehler zu erkennen und zu korrigieren ohne die
Systemoperationen unterbrechen zu müssen.
Schließlich existiert die korrektive Wartungsfähigkeit (auch Reperaturfähigkeit genannt), die
als Möglichkeit definiert ist, das System nachdem ein Fehler aufgetreten ist zu reparieren und
in seinen Arbeitszustand zurückzuversetzen.
Der Punkt Wartungsfähigkeit ist ein wesentlicher Aspekt der Sicherheit eines technischen
Systems und wird häufig im Systemdesign vernachlässigt. Ist das System erst einmal
implementiert, sind notwendig gewordene Änderungen in der Fehlererkennung und/oder im
Wartungsprozess häufig nur sehr schwierig durchführbar und können damit die Sicherheit
negativ beeinflussen.
Die Schlüsselfragen im Bereich Wartungsfähigkeit sind:
Wie abhängig ist die Systemleistung von Aktivitäten, die die notwendigen Wartungen des
Systems betreffen?
Mit welcher Wahrscheinlichkeit wird ein potentieller Fehler während der Wartung entdeckt?
Bestehen Unwägbarkeiten oder Bedenken von Stakeholdern bezüglich der Wartungsfähigkeit
des geänderten ATM-Systems?
Ist es möglich, das System einfach zu starten und herunterzufahren?
Kann das betreffende System einfach heruntergefahren werden, ohne das Probleme in anderen
Systemen auftauchen?
Kann das betreffende System einfach heruntergefahren werden, ohne das die Systemleistung
negativ beeinflusst wird?
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 69
A.2 Beschreibung der Grundsätze und Fragen im Bereich Be-
triebssicherheit27
Die Fragen im Bereich Betriebssicherheit betreffen die Fähigkeiten, das System in der Praxis
zu betreiben. Im Folgenden werden die sechs einzelnen Schritte des Konzepts und die
jeweiligen Schlüsselfragen erläutert.
Verfahren: Die menschlichen Operatoren folgen bestimmten Verfahren in der Bedienung des
ATM-Systems, um den ATM-Dienst zur Verfügung zu stellen. Das Verfahren schließt
Definition von Rollen und Verantwortlichkeiten, Verfahrensstruktur, Inhalt, Details sowie
Realismus mit ein.
Schlüsselfragen im Bereich Verfahren sind:
Fordert der ATM-Systemwechsel Veränderungen in Verfahren, Rollen oder in der Art der
Aufgaben?
Bestehen vage Ansätze, wie die Aufgaben aussehen werden?
Sind die Aufgaben bereits in schriftlich festgehaltenen Verfahren gut beschriebenen?
Betriebliches Umfeld: Die Kernfrage im Bereich des betrieblichen Umfelds ist, ob das
Subjekt entwickelt wurde für bestimmte betriebliche Bedingungen wie Wetterbedingungen
oder eine bestimmte Zusammensetzung des Verkehrs.
Schlüsselfragen im Bereich betriebliches Umfeld sind:
Beeinflussen betriebliche Bedingungen das Subjekt?
Ist die Sicherheit des Subjekts abhängig von der Verkehrszusammensetzung?
Ist die Sicherheit des Subjekts abhängig von den Wetterbedingungen?
Ist die Sicherheit des Subjekts abhängig vom Gelände?
Kompetenz: Kompetenz wird benötigt, um das geänderte ATM-System zu bedienen und den
beabsichtigten Service zur Verfügung stellen zu können. Sie beinhaltet Trainingsbedürfnisse,
Trainingsmethoden, Kompetenz- und Wissensstandards, Rollen der Ausbilder und deren
Kompetenz, den Übergang von Ausbildung im Klassenraum zum Training im normalen
Arbeitsumfeld und die Effekte auf die Leistung bei der betrieblichen Aufgabenbewältigung.
Kompetenz geht Hand in Hand mit den Verfahren.
Schlüsselfragen im Bereich Kompetenz sind:
27 Vgl. Straeter, 2006, S.21ff.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 70
Macht der Wechsel des ATM-Systems Veränderungen in Kompetenz oder Trainingsanforde-
rungen für ATM-Personal notwendig?
Passt die aktuelle Kompetenz zu dem geänderten System?
Kann die benötigte Kompetenz in der vorhandenen Zeit aufgebaut werden?
Mensch-Maschine Interaktion: Die Qualität der Interaktionen zwischen dem ATM-System
und den Ressourcen, die benötigt werden, um das System zu bedienen und den beabsichtigten
Service zur Verfügung zu stellen. Sie beinhaltet das Arbeitsplatzdesign, die Ergonomie des
Arbeitsplatzsystems, die Gebrauchstauglichkeit des Systems, die Arbeitsumgebung und die
durch die Aufgabe entstehende Ermüdung.
Schlüsselfragen im Bereich Mensch-Maschine Interaktion sind:
Benötigt der ATM-Systemwechsel Veränderungen in der Mensch-System Interaktion
eingeschlossen Ergonomie des Arbeitsplatzsystem oder der Arbeitsumgebung?
Erzeugt der ATM-Systemwechsel Veränderungen im Arbeitsaufwand oder der Komplexität
der Aufgaben im ATM-System selbst oder für andere Personen, die von dem Systemwechsel
betroffen sind?
Führt der Systemwechsel zu ergonomischen Problemen oder Verbesserungen?
Sind die Spezifikationen in Einklang mit den ergonomischen Standards?
Organisation: Organisation ist definiert als die menschliche Ressource, die benötigt ist, um
das geänderte System zu bedienen und den geforderten Service zur Verfügung zu stellen. Sie
beinhaltet die vorhandene Verfügbarkeit von Mitarbeitern, die Auswahlkriterien, die organi-
sationale Struktur, die Schichteinteilung und die Teamstruktur.
Organisation umfasst den zu managenden Aspekt des Arbeitsumfelds.
Schlüsselfragen im Bereich Organisation sind:
Macht der ATM-Systemwechsel Veränderungen in Anforderungen an die Organisation oder
die Stellenbesetzung notwendig?
Sind die Ressourcen, die für den betrieblichen Level benötigt werden, vorhanden?
Ändert sich die statische oder dynamische Struktur des Arbeitsprozesses?
Sind Aspekte innerhalb der Organisation bedacht wurden?
Kommunikation: Betrifft die Verfahren der Kommunikation, die zwischen Kontrollern,
Flugzeugbesatzung, Planern, Systemingenieuren und ATC-Managern erfolgt. Es beinhaltet
Kommunikationsverfahren, Arbeitsaufwand für die Kommunikation, Ausdrucksweise, die
Sprache betreffenden Aspekte, Behinderungsaspekte, Informationsgehalt, Koordination,
Übergabeverfahren, persönliche wechselseitige Beziehungen und organisationale Zusammen-
hänge.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 71
Die Kommunikation zwischen und innerhalb der verschiedenen Beteiligten am ATM-Prozess
wie der Kontroller, des Wartungspersonals, der Hersteller, des Managements und der
Überwachung ist ein Schlüssel für den sicheren Betrieb.
Schlüsselfragen im Bereich Kommunikation sind:
Führt der Systemwechsel zu Veränderungen in der Kommunikation?
Verändert der Systemwechsel den Kommunikationsweg?
Verändern sich aktuell wichtige Kommunikationswege?
Zuverlässigkeit: Zuverlässigkeit ist definiert als das Potential, sicher und in stabiler Art und
Weise ohne Systemzusammenbrüche oder Unterbrechungen zu funktionieren. Es beinhaltet
die drei Phasen Prävention, Fehlererkennung sowie die Erholung (ggf. Abschwächung).
Zuverlässigkeit verbindet alle Elemente der gesamten Systemleistung. Der Schlüssel zur
Zuverlässigkeit ist das Konzept der Ausfallsicherheit. Dies ist der Grad, um den das Design
des Gesamtsystems den Benutzer mit Hilfe seiner Erfahrung und seiner Fähigkeiten in die
Lage versetzt unter allen möglichen Umständen den Service aufrechtzuerhalten.
Schlüsselfragen im Bereich Zuverlässigkeit sind:
Beeinflusst der Systemwechsel irgendeine gewohnte und akzeptierte Handlungsweise?
Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder bezüglich des Fehlerpotenti-
als des geänderten ATM-Systems?
Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder bezüglich Fehlervermeidung,
-prävention, -regenerierung im geänderten ATM-System?
Ist ein Systemfehler durch menschliche Eingriffe zu kontrollieren? Wie wird ein Mensch mit
unerwarteten Ergebnissen des Systems umgehen? Existieren genug Mittel und Zeit um dies
hinsichtlich von Systemfehlern zu kompensieren?
Führt der ATM-Systemwechsel zu Veränderungen bezüglich der Erkennung und der Regene-
rierung von Systemfehlern?
A.3 Beschreibung der Grundsätze und Fragen im Bereich
Sicherheitsmanagement28
Die Fragen im Bereich Sicherheitsmanagement sind aufgeteilt in fünf Grundsätze. Im
Folgenden werden die fünf einzelnen Grundsätze und die jeweiligen Schlüsselfragen erläutert.
28 Vgl. Straeter, 2006, S.16ff.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 72
Richtliniensetzung: Richtliniensetzung ist definiert als der Aufbau eines Sicherheitsengage-
ment durch alle Bereiche der Organisation hindurch verbunden mit der Zielsetzung der
strategischen Ziele der Organisation.
Richtliniensetzung wird als einer der fundamentalen Dinge des Sicherheitsmanagement
verstanden. Ein Wechsel im ATM-Konzept kann zu geänderten relativen Wichtigkeiten der
Sicherheit in Organisationen führen, die auf der Ebene der Richtlinien behandelt werden
müssen.
Schlüsselfragen im Bereich Richtliniensetzung sind:
Besteht ein ausgewogenes Verständnis der Komplexität des Problems?
Sind Ziele, Absichten und Angelegenheiten offen diskutiert wurden, bevor sie festgelegt
wurden?
Führt der Wechsel im ATM-System zu Änderungen in der Verfahrensweise des Sicherheits-
managements?
Erlaubt der Wechsel im ATM-System eine Verdeutlichung der Verfahrensweise des Sicher-
heitsmanagements?
Planung: Planung wird definiert als in welcher Art und Weise die Ziele der Sicherheitspolitik
erreicht werden, wie die benötigten Ressourcen herausgestellt werden und wie die sicherheits-
relevante Managementstruktur definiert ist.
Planung wird als einer der fundamentalen Punkte des Sicherheitsmanagement verstanden. Es
verdeutlicht, dass ein neues ATM-Konzept Änderungen in der Planung des Sicherheitsmana-
gements notwendig machen kann. Wichtig im Bereich Planung ist daher, existierende gut
funktionierende Sicherheitstätigkeiten aus der Zeit vor dem Wechsel in die Zeit danach zu
übertragen und an die veränderte Situation anzupassen.
Schlüsselfragen im Bereich Planung sind:
Ist der anvisierte Wechsel transparent und klar ausgelegt?
Existiert Voreingenommenheit bezüglich der Ziele und der Planung?
Macht der ATM-Systemwechsel ein Wechsel in der Sicherheitsplanung notwendig?
Bestehen Unsicherheiten oder Bedenken seitens der Stakeholder hinsichtlich der Beibehal-
tung von aktuellen etablierten Sicherheitstätigkeiten?
Ermöglicht der ATM-Systemwechsel eine Verdeutlichung in der Sicherheitsplanung?
Ausführung: Die Ausführung ist definiert als die Mittel mit denen der Plan in die Realität
umgesetzt wird.
Der zentrale Aspekt der Ausführung ist die Einteilung der Zuständigkeiten. Weitergehende
Aspekte dieses Punktes sind realisiert im Bereich der nächsten Sektion Operationale Sicher-
heit.
Bewertung der Eignung der Safety Screening Technique im Eisenbahnwesen
27.03.2009 Seite 73
Schlüsselfragen im Bereich Ausführung sind:
Werden gut funktionierende Arbeitsprozesse nach dem Wechsel in einem neuen Konzept
weitergeführt?
Können Arbeitsprozesse ohne großen Aufwand an den Wechsel angepasst werden?
Ändern sich Zuständigkeiten im Bereich Sicherheit durch den Systemwechsel?
Ist eine eindeutige Einteilung der Zuständigkeiten möglich?
Ist eine Einteilung der Zuständigkeiten bereits erfolgt?
Sicherung: Die Sicherung ist definiert als kontinuierliches Überwachen der Sicherheitsleis-
tung, um falls notwendig korrektive Maßnahmen sowie periodische Bestandaufnahmen zur
Verbesserung und Weiterentwicklung durchführen zu können.
Sicherung wird als einer der zentralen Punkte des Sicherheitsmanagements verstanden.
Schlüsselfragen im Bereich Sicherung sind:
Sind Sicherheitsprobleme überwach- und messbar nach dem Systemwechsel?
Sind potentielle Probleme prinzipiell zu erkennen (z.B. durch Messung wie Sicherheitsindika-
toren)?
Sind Feedbackverfahren eingeführt oder ist es möglich, diese einzuführen (z.B. Datenaus-
tausch zwischen zwei unabhängigen Organisationen)?
Macht der ATM-Systemwechsel eine Verbesserung in der Sicherheitsüberwachung möglich?
Förderung: Förderung ist definiert als die Sicherstellung der Kommunikation der Sicher-
heitskultur, die Verbreitung von gesammelten Erfahrungen und das Ermöglichen eines
kontinuierlichen Verbesserungsprozesses.
Förderung wird als einer der zentralen Punkte des Sicherheitsmanagements verstanden.
Häufig fehlt es an rechtzeitiger Beantwortung von Anfragen, die die Änderung betreffen oder
der Service ist unzureichend definiert. Dies kann zur Folge haben, dass Sicherheitsprobleme
im System für eine lange Zeit bestehen und sich Workarounds entwickeln, die auf lange Sicht
zu Gefahren führen. Wenn das einzuführende System komplex ist und eine große Anzahl von
Stakeholdern betrifft, kann die Zeit, die benötigt wird, um das System zu implementieren,
drastisch ansteigen.
Schlüsselfragen im Bereich Förderung sind:
Ist es möglich das System rechtzeitig zu modifizieren?
Existieren Aspekte, die den Lernprozess oder die Systemmodifikation verlangsam?
Ermöglich der Wechsel im ATM-System eine Verbesserung der Kommunikation in der
Sicherheitskultur?