Ein Modell zur Signifikanzentscheidung nach CSM-RA bei

Braunschweig, 13.11.2012

DB Systemtechnik GmbH / Deutsche Bahn AG

Marc Geisler / Jürgen Halbekath

Safety in Transportation

Ein Modell zur Signifikanzentscheidung nach CSM-RA bei technischen, betrieblichen und organisatorischen Änderungen

2

3. Signifikanz der Änderung

1. Einführung

2. Sicherheitsrelevanz der Änderung

4. Signifikanzmodell

Inhalt

SiT 2012 - M. Geisler, J. Halbekath

3

Sicherheitsrelevanz prüfen

Signifikanz prüfen

Prozessende

nicht signifikant

nicht sicherheitsrelevant

Änderung des Systems beschreiben

Risiko- management-

verfahren

Eigene Sicherheitsmethode

Unabhängige Bewertung

Gefährdungs- protokoll

Der Einstieg in die CSM-RA wird von einer Reihe unscharfer Begriffe geprägt.


Schärfung der Begriffe Änderung, Sicherheitsrelevanz und Signifikanz im Sinne der CSM-RA

4

Änderung

Sicher-heits-

relevanz

Signifi-kanz

Unsicherheit in der Umsetzung

- Was ist eine Änderung ? - „alle Änderungen des

Eisenbahnsystems“ - Alle Änderungen im

Eisenbahnsystem - Wie wird die Entscheidung

dokumentiert?

- Wie sind die Signifikanzkriterien zu interpretieren und zu handhaben?

- Wie wird das Ziel der CSM-RA realisiert: Beherrschung neuer Risiken mit den Instrumenten des SMS?

Vorgehen in der DB AG

Änderung = Veränderung des durch Sollzustände definierten Systems

Template zur schrittweisen Entscheidungsfindung und Dokumentation

Signifikanzmodell und Dokumentation im Template

Sys

tem

defin

ition


5


1. Einführung



Inhalt


6

Ausgangsbasis: Sicherheit des Systems „Sicherheit ist die Abwesenheit von unvertretbaren Schadensrisiken“ [CSM-RA, Art. 3]

Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung des in der CSM-RA beschriebenen Risikomanagementverfahrens verzichtet werden.

Bezugspunkt für Schaden: menschliche Gesundheit (körperliche Unversehrtheit, direkt und indirekt (Umwelt)

nicht sicherheitsrelevant alle Änderungen, die ersichtlich keinen Personenschaden verursachen können Keine Anwendung der Prozesse der CSM-RA!

Sicherheitsrelevant sind alle Änderungen am System Eisenbahn, die zu Personen- oder Umweltschäden führen könnten


7


1. Einführung



Inhalt


Die additive Wirkung ist kein direktes Bewertungskriterium, sondern dient der (zeitlichen) Abgrenzung der Systemdefinition.

Die Kriterien zur Beurteilung der Signifikanz erläutert die CSM-RA im Artikel 4 Absatz 2

a)Ausfallfolgen im schlechtesten als plausibel anzunehmenden Fall (nicht automatisch „worst case“)

b)Innovative Elemente vergleichbare Erfahrungswerte vorhanden:

in der Organisation, die die Änderung einführen will und/oder im gesamten Eisenbahnsektor

c)Komplexität der Änderung Überschaubarkeit der Anzahl betroffener Elemente / Anzahl betroffener Schnittstellen / Anzahl betroffener

Funktionszusammenhänge

d)Überwachung Möglichkeit rechtzeitigen Eingreifens

e)Umkehrbarkeit Wiederherstellbarkeit in ursprünglichen Zustand (mit vertretbarem Aufwand)

f)additive Wirkung Bezug zu früher eingeführten Änderungen nicht signifikanter Art in demselben System (Zeitgrenze kann sinnvoll sein!)

8 SiT 2012 - M. Geisler, J. Halbekath

9

Die Signifikanzkriterien stehen untereinander in Wechselwirkung

Grundsatz: Es liegt in der Verantwortung des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu bewertende Änderung zu bestimmen.

nicht signifikant signifikant

Ausfall-folgen


10

Innovation

Innovation der Änderung Gering keine oder nur wenige neue Elemente der Änderung

für den Eisenbahnsektor insgesamt und/oder für die Organisation, die die Änderung einführt

hoch wichtige oder mehrere neue Elemente der Änderung für den Eisenbahnsektor insgesamt und/oder für die Organisation, die die Änderung einführt

Der Innovationsgrad (Neuheit) einer Änderung beeinflusst die Sicherheit, mit der Aussagen über die möglichen Auswirkungen der Änderung getroffen werden können. Der Innovationsgrad kann mit zwei möglichen Kriterien abgeschätzt werden. Dabei ist zu berücksichtigen, dass nicht nur der Blickwinkel des Eisenbahnsektors insgesamt hinsichtlich innovativer Elemente in der Änderung verwendet wird, sondern insbesondere der Innovationsgrad aus Sicht der Organisation, die die Änderung einführen will, bewertet wird.


Komplexität

11

Komplexität der Änderung gering keine oder nur wenige komplexe Elemente sind in

der Änderung enthalten, die Änderung ist einfach. hoch viele komplexe Elemente sind in der Änderung

enthalten, die Änderung als solche ist komplex.

Der Komplexität einer Änderung erschwert die Abschätzung möglicher Auswirkungen der Änderung. Die Komplexität wird in zwei Stufen geschätzt:

• Sind wenige oder viele Teilsysteme vom Vorhaben betroffen? • Sind viele verschiedene Gewerke bzw. Akteure am Vorhaben beteiligt? • Sind mit dem Vorhaben wenige oder viele Schnittstellen zum Betrieb, bzw. anderen

Teilsystemen zu realisieren?


Folgen von Ausfällen

12

Folgen von Ausfällen minimal Bei Ausfall des Systems können Personen leichte Verletzungen erleiden.

Bei organisatorischen Änderungen kann es zu einer geringfügigen Beschädigung des Systems (seiner Funktionen) kommen.

gering Bei Ausfall des Systems können einzelne Personen schwere Verletzungen erleiden. In der Regel sind stationäre Krankenhausaufenthalte erforderlich.

Bei organisatorischen Änderungen kann es zu einer schweren Beschädigung des Systems (seiner Funktionen) kommen.

mittel Bei Ausfall des Systems können viele Personen schwere Verletzungen erleiden. In der Regel sind stationäre Krankenhausaufenthalte erforderlich.

Es können auch einzelne Personen durch den Ausfall des Systems getötet werden. Bei organisatorischen Änderungen kann es zum Verlust eines Systems (seiner Funktionen) kommen.

hoch Bei Ausfall des Systems können viele Personen getötet werden. Bei organisatorischen Änderungen kann es zum Verlust eines Systems (seiner Funktionen) kommen.

Die möglichen Ausfallfolgen des geänderten Systems sind für ein Szenario des schlechtesten plausibel anzunehmenden Falls – nicht worst-case - unter Berücksichtigung bestehender Sicherheitsmaßnahmen abzuschätzen. Grundsätzlich gelten die folgenden Klassen:


Überwachbarkeit

13

Überwachbarkeit des geänderten Systems gering keine oder nur unzureichende Überwachbarkeit. Es kann nicht über den gesamten Lebens-

zyklus hinweg überwacht werden; ein geeignetes Eingreifen ist dadurch nicht gewährleistet.

hoch Umfangreiche, umfassende Überwachbarkeit. Es kann über den gesamten Lebenszyklus hinweg überwacht werden; ein geeignetes Eingreifen ist dadurch gegeben.

Die Überwachbarkeit des geänderten Systems (vor, während und nach einer Änderung) ist ein Kriterium, mit dem die Wirkungen einer Änderung im System der Eisenbahn beobachtet und gegebenenfalls eingeschränkt werden können. Folgende Fragestellungen sind für die Einschätzung der Überwachbarkeit hilfreich:

• Sind mit der Umsetzungsphase spezifische Vorgehensweisen oder Aufgaben verbunden, die nicht durch die bewährten Methoden der Qualitätssicherung, bzw. die Überwachungsprozesse des SMS erfasst werden?

• Sind die neuen Funktionen (Sollzustände) auch nach der Inbetriebnahme mit vorhandenen Mitteln überwachbar?

• Ist eine besondere Überwachung der Erfüllung sicherheitlicher Eigenschaften und/oder sicherheitlicher Funktionen möglich und wird diese wenn notwendig durchgeführt?


Umkehrbarkeit

Wenn ein geändertes System in den Zustand vor Einführung der Änderung zurückversetzt werden kann, wird von „Umkehrbarkeit“ gesprochen. Folgende Fragestellungen sind für die Einschätzung der Umkehrbarkeit hilfreich:

• Ist der Zustand vor der Änderung wiederherstellbar? • Ist der Aufwand für die Wiederherstellung des alten Zustandes akzeptabel? • Sind die neuen Funktionen sukzessive einführbar, z.B. temporärer Parallelbetrieb “alt“

und „neu“. • Gibt es einen klar definierten „Point of no return“, dessen Überschreitung durch

Überwachung abgesichert ist?

14

Umkehrbarkeit der Änderung umkehrbar System kann in den Zustand vor Einführung der Änderung zurückgeführt werden. nicht umkehrbar

System kann nicht in den Zustand vor Einführung der Änderung zurückgeführt werden.


15


1. Einführung



Inhalt


16

Zentrales Kriterium für Signifikanzbewertung ist die Ausfallfolge, die anderen Kriterien können die „Signifikanzlinie“ verschieben


17

Die Signifikanzmatrix fokussiert auf die Ausfallfolgen sowie deren Unsicherheit bei der Einschätzung

Schritt 1 - Initialpunkt ermitteln: Mögliche Ausfallfolgen einschätzen:

– Im schlimmsten plausiblen Fall – Incl. Sicherheitsbarrieren außerhalb des

betrachteten Systems. Unsicherheit der Einschätzung bewerten:

– Innovation / Neuerungen – Komplexität

Schritt 2 – Schärfung der Signifikanzgrenze: Unscharfe Felder werden den Bereichen „Signifikanz“

bzw. „Nicht-Signifikanz“ zugeschlagen: – Überwachbarkeit – Umkehrbarkeit

Schritt 3 – Lage des Initialpunktes interpretieren: Im Bereich der Signifikanz (rot): Änderung ist signifikant Außerhalb des Bereiches (grün) Änderung ist nicht

signifikant

Eigenschaften der Matrix: + Direkte Berücksichtigung der Unsicherheit aller Aussagen in dieser

groben Analysephase. + Der Einflussnahme auf die Kriterien Überwachbarkeit und

Umkehrbarkeit ist Rechnung getragen. + Einheitliche Anwendung in verschiedenen Projekten und damit

Transparenz in der Signifikanzbewertung - Flexibilität in der Gewichtung der Kriterien ist eingeschränkt .

hoch

mittel

gering

minimal

minimal gering mittel hoch

Un

sich

erh

eit

der

Au

ssag

e ü

ber

mö

glic

he

Au

sfal

lfo

lgen

mögliche Ausfallfolgen


18 SiT 2012 - M. Geisler, J. Halbekath

Kontakt Marc Geisler DB Systemtechnik GmbH Weserglacis 2 D – 32423 Minden /Westf. Mail: marc.geisler[at]deutschebahn.com

Kontakt Jürgen Halbekath Deutsche Bahn AG Grundsätze Risikomanagement Europaplatz 1 10557 Berlin Mail: juergen.halbekath[at]deutschebahn.com

Documents

Ein Modell zur Signifikanzentscheidung nach CSM-RA bei