Teil 1 - FIR

Schlussbericht
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses
Anhang 2: Dokumente zu AP 2000 – Optimierung des Zulassungs-prozesses
Anhang 2.1: Ergebnisdokumente der Arbeitsgruppe 1 „Anerkannte Regeln der Technik“
1. Positionspapier „Entwicklung von Anerkannten Regeln der Technik“
2. Sammlung zu „Definition Betriebsbewährtheit“
Anhang 2.2: Teilberichte der Arbeitsgruppe 2 „Effiziente Umsetzung CSM-VO“
1. Signifikanzbewertung von Änderungen an technischen Systemen auf
Grundlage Ausfallfolgen-Unsicherheits-Matrix
2. Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
3. Allgemein vertretbares Risiko
4. Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen”
bei Anwendung der CSM-VO
5. Semi-quantitative Verfahren zur expliziten Risikoabschätzung
6. Unabhängige Bewertung
7. Schulungsfolien zur Einführung in die "CSM-VO"
8. Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang 2.3: Dokumentationsumfang bei der Zulassung gemäß CENELEC
1. Vorarbeiten und Unterarbeitspaket 2200.3
2. Beispielhafte Dokumentenlisten ('Best Practice')
Anhang 2.4: Teilberichte der Arbeitsgruppe 5 „Umgang mit Komponenten nach IEC
61508 (COTS) / Hybriden“
1. Vergleich der Zulassungsbedingungen IEC 61508 – CENELEC
2. Prozess der RAMS-Nachweisführung und unterstützende Werkzeuge
3. Ansätze zur Optimierung toolgestützter Teststrategien
4. Feinkonzept und Prototyp für eine RAMS-Diagnoseplattform
5. Projektierung von COTS-Produkten

Schlussbericht
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses
Anhang 2.1:
Ergebnisdokumente der Arbeitsgruppe 1 „Anerkannte Regeln
der Technik“
1. Positionspapier „Entwicklung von Anerkannten Regeln der Technik“
2. Sammlung zu „Definition Betriebsbewährtheit“

Neue Generation Signaltechnik - NeGSt
Positionspapier
Entwicklung von Anerkannten Regeln der Technik
NeGSt
AP 2100, Arbeitsgruppe 1
„Anerkannte Regeln der Technik“
19. Juni 2013
Datei: NeGSt_Positionspapier_AG1_V3-00_2013-07-30

Inhaltsverzeichnis
1 Positionspapier 6
1.1 Ziel 6
1.2 Abgrenzung des Betrachtungsfokus 6
1.3 Beteiligte Unternehmen 7
2 Ausgangssituation 8
2.1 Juristische Grundlagen 9
2.1.1 EG-Verordnungen 9
2.1.2 EG-Richtlinien 9
2.2 Technische Grundlagen 10
2.2.1 Normen 10
2.2.2 Konzern-Richtlinien (Ril) DB AG 10
2.2.3 Fachliteratur 10
2.2.4 Literaturhinweise in Normen 12
2.3 Qualitätsorientierte Prozesse in Unternehmen 12
2.4 Sicherheitsmanagementsystem 12
2.4.1 EG-Richtlinie 2004/49/EG 12
2.4.2 Sicherheitsmanagementsystem bei EdB 13
3 Anerkannte Regeln der Technik 14
3.1 Rahmenbedingung 14
3.2 Definitionen Anerkannte Regeln der Technik 14
3.2.1 CSM RA Verordnung [1], [5] 14
3.2.2 Eisenbahn- Bau- und Betriebsordnung [18] 15
3.2.3 VV BAU-STE [19] 15
3.2.4 Allgemein übliche Norm-Definition 15
3.3 Definition Regelwerk 16
3.4 Gesetzlich vorgegebene Ziele 16
3.5 Identifizierte Methoden durch die Arbeitsgruppe 17
3.5.1 Geeignete Methoden 17
3.5.2 Ungeeignete Methoden 18
3.6 Vorschläge für Methoden zur Etablierung Anerkannter Regeln der Technik 18
3.6.1 Allgemein 18
3.6.2 Etablierung über Schutzziele 18
3.6.3 Betriebsbewährtheit und Analogie zu Grundnormen 18
3.6.4 Etablierung von Regelwerken 19
3.7 Zugang zu Normen und technischen Regeln 19
2

4 Alttechniken 20
4.1 Alttechnik im Produktauslauf 20
4.2 Alttechnik im Produktlebenszyklus 21
4.3 Bestandsschutz 21
4.3.1 Definition 21
4.3.2 Kriterien zur Beurteilung 21
4.4 Lebensdauer von Produkten und Systemen 22
4.4.1 Allgemein 22
4.4.2 Fallbetrachtungen unverlierbare Eigenschaften 22
4.4.3 Instandhaltung 23
4.4.4 Betrachtung bei Änderungen 23
5 Techniken im Einsatz – Regelwerkslandkarte 24
5.1 Allgemein 24
5.2 Regelwerkslandkarte 24
5.3 Bewertungsgrundlagen 25
5.4 Übersicht der Priorisierung in der Regelwerkslandkarte 26
6 Schritte der Qualifizierung zu Anerkannten Regeln der Technik 29
6.1 Allgemein 29
6.2 Notifizierung 29
6.3 Etablierung vom Lenkungskreis Infrastruktur 30
6.3.1 Beweggründe 30
6.3.2 Strukturvorschlag für Lenkungskreis Infrastruktur 30
6.4 Ablauf im nicht geregelten nationalen Bereich 32
7 Zusammenfassung 33
7.1 Empfehlung der Arbeitsgruppe 33
7.1.1 Zusammenfassung der Empfehlungen in den Kapiteln 1 bis 6 33
7.1.2 Empfehlungen 34
7.2 Stellungnahme durch EBA 34
8 Anhang 35
8.1 Literaturverzeichnis 35
8.2 Glossar 36
3

Abbildungsverzeichnis
Abbildung 1 Regelwerkspyramide 8
Abbildung 2 Zusammenhänge zwischen den Lenkungskreisen und LAEB 30
Abbildung 3 Vorschlag der Struktur für Lenkungskreis Infrastruktur 31
Abbildung 4 Vorgeschlagener Ablauf zur Anerkennung von Regeln der Technik 32
Tabellenverzeichnis
Tabelle 1 Gegenüberstellung Definition in CSM RA 14
Tabelle 2 Priorisierung der Techniken für Stellwerke 26
Tabelle 3 Priorisierung der Techniken bei Rangierstellwerken 26
Tabelle 4 Priorisierung der Techniken bei Bahnübergangen 27
Tabelle 5 Priorisierung der Techniken für die Zugbeeinflussung 27
Tabelle 6 Priorisierung der Techniken für Blöcke 27
Tabelle 7 Priorisierung der Techniken für Übertragung LST 27
Tabelle 8 Priorisierung der Techniken für Fernsteuerung 27
Tabelle 9 Priorisierung der Techniken für dispositiver Einrichtungen/TK 28
Tabelle 10 Priorisierung der Außenanlagen 28
Tabelle 11 Mitglieder und Tagungsfrequenz 30
Änderungsvermerke:
Version Durchgeführt von Änderung / Anmerkung
V0-00g C. Hilgers, 2012-12-06 Formatierungsänderungen an Abbildungen sind
nicht komplett umgesetzt, da zunächst weitere
Rü abgewartet werden.
Kommentierungen von Funkwerk: redaktionelle
Anpassungen (Schreibfehler, etc.) und Konkretisierung
zur ISO9001
V0-00h C. Hilgers Unterlage als Grundlage Besprechung am 17.
Januar 2013
Neu eingefügte Kapitel: 2.5, 4 Ergänzung: Kapitel
5.5 mit Tabelleninhalt Kommentare Frau
Strahl eingefügt (11.Jan 2013)
Kommentare Hr. Anders eingefügt (14. Jan 2013
V1-00 Arbeitsgruppe Treffen vom
17.01.2013
Bearbeitung der eingegangenen Kommentare
und Korrekturvorschläge
Alle akzeptierten Änderungen sind im word Bearbeitungsmodus
als akzeptiert übernommen
worden. Änderungen während des Treffens sind
im Änderungsmodus markiert.
V1-01 C. Hilgers Einfügen der eingegangenen Kommentare und
Korrekturvorschläge. In direkter Diskussion zwischen
Hr. Hilgers eingefügt: Q-Themen: Hr.
Nicol, Kap 4: Hr. Anders
V1-02 C. Hilgers Einfügung eingegangener Kommentare und Korrekturvorschläge
Fr. Strahl vom 22.03.2013
V1-03 C. Hilgers Eingefügt sind die Kommentare von Hr. Zoworka
und Hr. Nicol vom 08.04.2013, Firmenlogo
4

V1-04
Erarbeitung
in AGR Runde
Arbeitsgruppe Treffen vom
11.04.2013
Funkwerk aktualisiert.
Kommentare sind in Kapitel 1 bis 3 diskutiert und
freigegeben worden.
Änderungen ab Kapitel 4 sind im Änderungsmodus
enthalten. Konzept für Summary der Regelwerkslandkarte
wird erarbeitet. Aufgaben im
Kommentarmodus eingefügt.
V1-05 C. Hilgers Anpassungen sowie Ergänzungen wie in Treffen
der Arbeitsgruppe besprochen.
V1-06 C. Hilgers Anpassungen und Ergänzungen der Kommentare
zur Version 1-05, Eingang bis 24. April 2013
sowie editorielle Bearbeitung
V1-07 C. Hilgers Anpassungen der Rückmeldungen zu Version
V1-06
V1-08 C. Hilgers Aufnahme Verordnung EU Nr. 402/2013
Editorielle Anpassungen
V2-00 Hr. Anders, Hr. Hilgers;
Hr. Nicol; Hr. Schwencke;
Hr. Stalp; Hr. Wolthaus
Arbeitsgruppe Treffen vom
19.06.2013
Inhaltlich abgestimmte Fassung und Abgleich mit
der Regelwerkslandkarte
V2-01 C. Hilgers Editorielle Anpassungen und Berücksichtigung
der Anmerkungen von Hr. Schwenke
V3-00 Arbeitsgruppe Final freigegeben
5

1 Positionspapier
1.1 Ziel
Mobilität und Verkehr sind zentrale Bestandteile unserer Wirtschafts- und Gesellschaftsordnung.
Sie beeinflussen entscheidend die Lebensqualität sowie die Leistungs- und Wettbewerbsfähigkeit
der Wirtschaft. Im Fokus des vom BMWi geförderten Projekts NeGSt (Neue Generation Signaltechnik)
steht der Schienenverkehr. Er wird als besonders umweltfreundlich eingestuft und spielt
eine entscheidende Rolle, um zukünftig die Verlagerung des Verkehrs von der Straße auf andere
Verkehrsträger zu stärken. Eine erfolgreiche Verlagerung auf die Schiene setzt jedoch eine leistungsfähige,
sichere und zuverlässige Eisenbahninfrastruktur voraus. Dies gilt insbesondere für
die Eisenbahn-Leit- und -Sicherungstechnik (LST), die sich einer Vielzahl an wirtschaftlichen und
technischen Herausforderungen gegenüber sieht.
Ziel des Projektes NeGSt ist es, für drängende Herausforderungen, die für den gesamten deutschen
Sektor von Bedeutung sind, Lösungen zu entwickeln, die zur Sicherung der Zukunftsfähigkeit
der LST beitragen und somit Mobilität und Verkehr nachhaltig attraktiver und wettbewerbsfähiger
gestalten.
Das Projekt NeGSt ist ein Forschungsprojekt, das durch das BMWi gefördert wird. Im Rahmen
des Projekts NeGSt ist u.a. die Arbeitsgruppe „Anerkannte Regeln der Technik“ eingerichtet worden
mit dem Ziel, dieses Thema umfassend zu beleuchten. Im nationalen und europäischen Kontext
ist hier ein Handlungsbedarf durch die beteiligten Akteure identifiziert worden.
Mit diesem Positionspapier stellt die Arbeitsgruppe den Sachverhalt dar und unterbreitet Vorschläge
zur Umsetzung.
Der Fokus liegt auf
der Identifikation relevanter Regelwerke und
der Identifikation der Spezifikationen und Dokumentationen von Technologien und
Verfahren der einzelnen Hersteller
der Darstellung eines Prozesses zur Erlangung Anerkannter Regeln der Technik, für die
im Bereich der Eisenbahnen des Bundes (EdB) derzeit eingesetzte Leit- und
Sicherungstechnik
mit der Zielstellung, diese zu „Anerkannten Regeln der Technik“ weiterzuentwickeln.
1.2 Abgrenzung des Betrachtungsfokus
Das Positionspapier beschränkt sich in der Betrachtung auf den Bereich der Leit- und Sicherungstechnik.
Der Betrachtungsfokus begrenzt sich jedoch nicht nur auf die Zulassungsprozesse,
sondern bezieht auch den Bereich Bau und Betrieb ein.
6

1.3 Beteiligte Unternehmen
Dieses Positionspapier ist das Ergebnis der intensiven Diskussion zwischen Unternehmen im Eisenbahnsektor,
der DB Netz AG als Betreiber von Infrastruktureinrichtungen sowie Forschungseinrichtungen.
Liste der beteiligten Projektpartner:
Hersteller
Bombardier Transportation (Signal) Germany GmbH
Funkwerk AG Traffic & Control Communication
Pintsch Bamag Antriebs- und Verkehrstechnik GmbH
Scheidt & Bachmann
Siemens AG
Thales Transportation Systems GmbH
Betreiber von Infrastruktureinrichtungen
DB Netz AG
Forschungseinrichtungen
Deutsches Zentrum für Luft- und Raumfahrt e.V. (DLR)
RWTH Aachen
7

2 Ausgangssituation
Der Eisenbahnverkehr soll durch Anforderungen an die Interoperabilität europaweit erleichtert
werden. Das Ziel wird von der europäischen Kommission durch EG-Richtlinien 1 und EG-
Verordnungen zur Harmonisierung der Märkte (in diesem Fall Eisenbahnsektor) und Abbau von
Handelshemmnissen im freien Warenhandel umgesetzt. Als Folge dessen ist auch zum Thema
Sicherheit die EG-Verordnung Nr. 352/2009 [1] (CSM RA) 2 erlassen worden.
Mit der Einführung von gemeinsamen Sicherheitsmethoden auf europäischer Ebene wird deutlich,
dass sich die bisher angewendete Praxis nicht umfänglich mit dem Ansatz der CSM RA
deckt. Die CSM RA fordert eine umfängliche Betrachtung der Gefährdungen bei technischen, betrieblichen
und organisatorischen Änderungen im System Bahn. Der bisher in Deutschland übliche
Ansatz „Nachweis gleicher Sicherheit“ deckt dies nur teilweise ab.
Es ändert sich somit die Betrachtungsweise, jedoch nicht der Grundsatz, das System Bahn auf
einem sehr hohen Sicherheitsniveau zu betreiben. Auf Grund der geänderten Betrachtungsweise
nach CSM RA ist es notwendig, Verfahren und Techniken als Anerkannte Regeln der Technik im
Sinne der EU-Verordnung zu etablieren. Besteht nicht die Möglichkeit, die Sicherheit über Anerkannte
Regeln der Technik oder Referenzsysteme nachzuweisen, so erfordert CSM RA eine explizite
Risikoanalyse.
Bereits vor der Einführung von CSM RA wurden Anlagen der Leit- und Sicherungstechnik auf einem
sehr hohen Sicherheitsniveau entwickelt und betrieben. Es ist das Ziel, die hierauf beruhenden
Regeln und Techniken derart zu qualifizieren, dass sie im Rahmen von CSM RA weiterhin in
Übereinstimmung mit den Grundregeln guter Ingenieurtätigkeit im Hinblick auf die Sicherheit zur
Konstruktion und Betrieb eingesetzt werden können.
europäisch
EG-
Verordnungen
(unmittelbar
wirksam)
EG-Richtlinien
(Umsetzung durch
Mitgliedstaat erforderlich)
Beispiel für EG-Verordnung:
402/2013/EG (CSM RA)
Beispiele für EG-Richtlinien:
2004/49/EG (Sicherheits-RL)
2008/57/EG (Interoperabilitäts-RL)
2002/731/EG (TSI ZZS HS)
2002/735/EG (TSI RST HS)
2006/679/EG (TSI ZZS KV)
national
Nationale
Gesetze
Nationale
Rechtsverordnungen
Normen
(Verwaltungs-) Vorschriften
Beispiel für Nationales Gesetz:
AEG, VwVfG
Beispiele für Nationale Rechtsverordnung:
TEIV, EBO, ESO
Beispiele für Normen:
ISO 9001, DIN EN 50126, DIN EN 61508
Beispiele für (Verwaltungs-) Vorschriften:
VV BAU-STE, VV IST, VV BAU, VV NTZ ÜGR 1
unternehmensbezogen
(Prozess-) Regelungen,
Anweisungen, Mitteilungen,
Vorschriften, Richtlinien
Beispiele:
Ril 301, Ril 408, Ril 819
Abbildung 1 Regelwerkspyramide
1 Seit 2010 werden die neu veröffentlichten Dokumente als EU-Richtlinie bzw. EU-Verordnung gekennzeichnet.
2 Mit dem 15.Mai 2013 ist die Nachfolge-Verordnung EU Nr. 402/2013 [5] in Kraft getreten.
8

Generell lassen sich die Regelwerke hierarchisch einordnen, wie es in Abbildung 1 dargestellt
wird.
Der Rahmen der Beurteilung von Regelwerken und technischen Dokumenten mit der Zielstellung,
diese auf ihre Eignung als Anerkannte Regeln der Technik zu prüfen, wird durch unternehmensbezogene,
nationale und europäische Vorgaben und Prozesse beschrieben.
Unternehmensintern werden die Vorgaben des Gesetzgebers durch Prozesse und Regelungen
abgebildet. Mit Hilfe von Anweisungen, Mitteilungen und Vorschriften werden diese Prozesse, die
im Rahmen eines Qualitätsmanagementsystems in Kraft gesetzt werden, gesteuert. Im Bereich
der DB AG werden diese zudem durch Richtlinien, kurz Ril, unterstützt.
Die Vorgaben durch den Gesetzgeber beruhen auf nationalen und europäischen Regeln. Im Laufe
der Entwicklung zu einem europäischen Eisenbahnsystem werden vielfach nationale Regelungen
durch europäische Richtlinien und Verordnungen verändert bzw. erweitert.
2.1 Juristische Grundlagen
2.1.1 EG-Verordnungen
Seit dem 1. Juli 2012 sind die Methoden zur Risikobewertung (CSM RA nach [1], ab 15.Mai 2013
[5]) verbindlich in Deutschland eingeführt.
Mit der CSM RA ergibt sich die Möglichkeit, durch die Anwendung von Anerkannten Regeln der
Technik neue bzw. geänderte Techniken einer sicherheitlichen Bewertung im Rahmen der Risikobewertung
zu unterziehen.
Der Begriff „Code of Practice“ wird mit „Anerkannten Regeln der Technik“ 3 übersetzt und in der
nationalen deutschen Umsetzung der EBO [17] abweichend zur CSM RA definiert. Dies bedeutet
für die Akteure im Eisenbahnsektor in Deutschland bei der europäischen Umsetzung des Interoperabilitätsgedanken
eine zusätzliche Hürde, die es zu beseitigen gilt.
2.1.2 EG-Richtlinien
EG-Richtlinien (RL) sind die Basis für das europäische Eisenbahnsystem, insbesondere mit Blick
auf die Interoperabilität. Sie werden, jedoch nicht immer unmittelbar, in nationales Recht integriert.
Auf Grund der Besonderheit im Bereich des Systems Bahn sind nationale Vorschriften, wie
z.B. das Allgemeine Eisenbahngesetz (AEG), anzupassen.
Um die Ziele einer EG-Richtlinie zu erfüllen, werden den europäischen Normungsgremien (CEN,
CENELEC und ETSI) Mandate zur Erstellung von Normen erteilt. Anschließend werden diese als
harmonisierte Normen gelistet und von der EU Kommission in dem sogenannten „Official Journal
(OJ)“ [6] 4 veröffentlicht. Dies führt dazu, dass durch die Anwendung dieser Normen die Vermutungswirkung
gilt, dass die Ziele einer EG-Richtlinie erfüllt sind. Ein gesonderter Nachweis der
Übereinstimmung mit den Zielen ist in diesem Fall nicht mehr erforderlich.
Insbesondere bei älteren Technologien im ausgereiften Lebenszyklus kann verständlicherweise
nicht auf diese harmonisierten Normen zurückgegriffen werden.
3 In Verordnung EU NR. 402/2013 [5] wird übersetzt: “Code of Practice” mit “Regelwerk”
4 im Falle der Richtlinie 2008/57/EG
9

2.2 Technische Grundlagen
2.2.1 Normen
In den letzten Jahren wird die Normung auf europäischer Ebene vorangetrieben, so dass die
wichtigste Grundlage die Normreihe EN 50126 mit den Teilen 1, 2, 4 und 5 sein wird. Hier werden
die Methoden der RAMS beschrieben. Im Selbstverständnis der Norm werden juristische Begriffe
der EG-Richtlinien und Verordnungen nicht verwendet.
Somit können Definitionen zu „Anerkannten Regeln der Technik“ im Sinne der Normung nicht
zwingend mit den rechtlichen Definitionen gleichgesetzt werden.
2.2.2 Konzern-Richtlinien (Ril) DB AG
Die Richtlinien (Ril) der DB AG beruhen auf den technischen Grundlagen und den Erkenntnissen
aus dem Betrieb des Systems Eisenbahn der Eisenbahnen des Bundes. Mit dem klar definierten
Aufbau und der Freigaberegelung wird die Aussagekraft der Konzern-Richtlinien der DB AG unterstrichen.
Der jeweils verantwortliche Fachautor verfügt als federführender Experte über die umfassende
Fachkompetenz und wird von allen im betrieblichen Zusammenhang beteiligten Personen
unterstützt.
Aus diesem Grund sieht die Arbeitsgruppe die Konzern-Richtlinien (Ril) der DB AG als Dokumente
im Sinne der Anerkannten Regeln der Technik.
Die Richtlinien sind in der Zentralen Regelwerksdatenbank der DB AG hinterlegt. Sie können in
vielen Fällen auch durch Externe auf der Homepage der DB AG eingesehen werden.
2.2.3 Fachliteratur
Zu den Themen der Leit- und Sicherungstechnik wurden bereits in der Vergangenheit Fachbücher
durch die DB AG sowie wissenschaftliche Veröffentlichungen und Lehrbriefe von Universitäten
und Forschungseinrichtungen publiziert.
Die Fachliteratur basiert auf dem technischen und wissenschaftlichen Erkenntnisstand und
kann als Anerkannte Regeln der Technik bei sicherheitlichen Betrachtungen berücksichtigt
werden.
Eine nicht abschließende Beispielsammlung ist in den nachfolgenden Kapiteln gegeben.
2.2.3.1 DB Fachbücher
DB Fachbuch Das mechanische Stellwerk, Eisenbahnfachverlag Heidelberg, Mainz,
Band 8/5 4. Auflage
DB Fachbuch Das DrS2-Stellwerk, Helmut Scherz, Eisenbahnfachverlag Heidelberg,
Mainz, Band 8/52, 1979
DB Fachbuch Das DrS60-Stellwerk, Jürgen Ernst, Eisenbahnfachverlag Heidelberg,
Mainz, Band 8/53, 1979
DB Fachbuch Sicherer Fahrweg - sichere Zugfahrt (Teil I), Ferdinand Hein, Eisenbahn-
Fachverlag Heidelberg, Mainz, Band 4/16, 1980, ISBN: 978-3-943214-09-3
10

Eisenbahn-Lehrbücherrei der Deutschen Bundesbahn Das elektromechanische
Stellwerk, H. Warnighoff, Band 87/II, 2.Auflage 1972 Josef Keller Verlag, Starnberg
2.2.3.2 Verlagsveröffentlichung
Mechanisches Stellwerk, OL Dipl.-Gwl. Ing. Jürgen Stapf, 4. Durchgesehene Auflage,
transpress VEB Verlag für Verkehrswesen Berlin 1987, ISBN 3-344-00186-8
Schriftreihe für Verkehr und Bahntechnik, Peter Naumann, Jörn Pachl, Leit- und
Sicherungstechnik im Bahnbetrieb – Fachlexikon, Band 2, herausgegeben vom VDEI,
Tetzlaff Verlag
Handbuch Eisenbahninfrastruktur, Lothar Fendrich (Hrsg.), 2006, Springer Verlag, isbn-
10 3-540-29581-X Berlin Heidelberg New York
W. Fenner, P. Naumann, J. Trinckauf "Bahnsicherungstechnik - Steuern, Sichern und
Überwachen von Fahrwegen und Fahrgeschwindigkeiten im Schienenverkehr"
Herausgeber: Siemens AG, Publics Corporate Publishing, ISBN 3-89578-177-0
Autorenkollektiv unter Leitung von Hans-Jürgen Arnold " Eisenbahnsicherungstechnik"
Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1987, ISBN 3-344-00152-3
Joachim Fiedler " Bahnwesen - Planung, Bau und Betreib von Eisenbahnen, S-, U-,
Stadt- und Straßenbahnen Herausgeber: Werner-Verlag, ISBN 3-8041-1612-4
Wolfgang Kusche "Stellwerks- und Blockanlagen - Gleisbildstellwerke"
Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1986, ISBN-10:
3344000209
Wolfgang Kusche "Stellwerks- und Blockanlagen - Zugbeeinflussung und automatischer
Streckenblock"; Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1987,
ISBN-10: 3344001876
Jörn Pachl: "Systemtechnik des Schienenverkehrs", Teubner-Verlag
Hans-Joachim Zoeller: "Handbuch der ESTW-Funktionen", Edition Signal+Draht,
Tetzlaff Verlag
Ulrich Maschek: Sicherung des Schienenverkehrs - Grundlagen und Planung der Leitund
Sicherungstechnik. Springer Vieweg, 2. Auflage 2013
Peter Stanley (Editor): "ETCS for Engineers". Eurailpress, 2011
Ajitha Rajan and Thomas Wahl (Editors): "Cost-Efficient Methods and Processes for
Safety Relevant Embedded Systems — The CESAR Project Book —", Springer-Verlag
Wien, 2013
2.2.3.3 Lehrbriefe
Lehrbriefe der Ingenieurschule für Eisenbahnwesen, Dresden: Gleisbildstellwerk
Bauform WSSB I, 8. Lehrbrief 2. Auflage
11

2.2.4 Literaturhinweise in Normen
Ferner wird in den aktuell gültigen, relevanten Normen im Kapitel „Literaturhinweise“ auf Dokumentationen
hingewiesen.
Beispiel EN 50129:2003 [11]
„Die folgenden Dokumente wurden während der Erstellung dieser Norm zu Rate gezogen
(zusätzlich zu den im Abschnitt 3 aufgeführten normativen Verweisen):
…
CLC/SC9XA(sec)114 Calculation with Mü8004 formulas, August 1994
…
Deutsche Bundesbahn Mü8004 Grundsätze für die technische Zulassung in der Signal- und
Nachrichtentechnik (Januar 1991)“
Es gibt in der Mü8004 [24] Teil 10 500 und Teil 10 510E Verweise auf die Normen, um Systeme
aus der Mü8004 Welt in die CENELEC Welt bzw. umgekehrt zu transformieren.
2.3 Qualitätsorientierte Prozesse in Unternehmen
Es ist in allen an diesem Projekt beteiligten Unternehmen ein Qualitätsmanagementsystem auf
Basis der Normenreihe der ISO 9001 [12] eingeführt. Dies ist gängige Praxis, wie sie auch durch
europäische Normen der Reihe EN 50126 sowie im Rahmen der EG-Richtlinien und Verordnungen
gefordert wird.
Bereits vor der Etablierung der Normreihe ISO 9000 in den 1990-iger Jahren zur Schaffung internationaler
Maßstäbe für ein Qualitätsmanagementsystem haben die Unternehmen, die Produkte
der Leit- und Sicherungstechnik entwickeln und herstellen, hohe Qualitätsanforderungen an ihre
Entwicklungs- und Fertigungsprozesse definiert. Letztlich hat die Einführung der ISO 9001 bestätigt,
dass die bereits bestehende Praxis den hohen Anforderungen genügt.
Somit sind unternehmensinterne Prozessregelungen und Arbeitsanweisungen immer schon der
kritischen Bewertung unterzogen gewesen, die effektiv Einfluss auf die Qualität und Sicherheit
der Produkte im Produktlebenszyklus hatten. Die Erfahrung und Fachkompetenz spiegelt sich in
den Qualitätshandbüchern der beteiligten Unternehmen wieder. Der Erhalt der Qualität und Sicherheit
der Produkte im Produktlebenszyklus wird durch die ständige Kontrolle im Rahmen von
Auditierungen sichergestellt. Über die externen Auditierungen wird abgesichert, dass die unternehmensinternen
Prozessregelungen und Arbeitsanweisungen auch jeweils den aktuellen Stand
der Normung berücksichtigen.
2.4 Sicherheitsmanagementsystem
2.4.1 EG-Richtlinie 2004/49/EG
Das Sicherheitsmanagementsystem (SMS) gibt es nicht erst seit Einführung der EG-Richtlinie
2004/49/EG [2]. Bereits vor diesem Zeitpunkt wurde im sicherheitlichen Ermessen gehandelt.
Sicherheitliches Ermessen liegt vor, wenn keine Anerkannten Regeln der Technik vorliegen oder
von diesen abgewichen wird (siehe auch VV NTZ ÜGR Stufe 1 [10]).
Die EG-Richtlinie beschreibt letztlich das bereits praktizierte Verfahren und stellt es in den europäischen
Zusammenhang.
12

2.4.2 Sicherheitsmanagementsystem bei EdB
Umgesetzt wird bei den EdB das Sicherheitsmanagementsystem durch die Abbildung des Integrierten
Management Systems (IMS) im Prozessportal. Hier werden die Prozesse beschrieben
und die Wirksamkeit der Verfahren, Produkte und Prozesse durch Audits überprüft. Deren Ergebnisse
finden Berücksichtigung in den kontinuierlichen Verbesserungsprozessen.
Das Sicherheitsmanagementsystem ist vergleichbar mit den Qualitätsmanagementsystemen entsprechend
der ISO 9001 [12].
Das Sicherheitsmanagementsystem ist in allen Bereichen der EdB eingeführt.
13

3 Anerkannte Regeln der Technik
3.1 Rahmenbedingung
Die Definition des Begriffes „Anerkannte Regeln der Technik“ muss sich zukünftig nicht mehr an
der EBO [17], sondern an der Definition der CSM RA Verordnung EG Nr. 352/2009 [1] orientieren.
Dies gilt auch für die überarbeitete Fassung EU Nr. 402/2013 [5] dieser Verordnung.
Die Weiterentwicklungen im europäischen Eisenbahnsystem zeigen, dass dies notwendig ist, um
die Zukunftsfähigkeit der Leit- und Sicherungstechnik sicher zu stellen.
3.2 Definitionen Anerkannte Regeln der Technik
Mit der nachfolgenden Auflistung der unterschiedlichen Definitionen für Anerkannte Regeln der
Technik wird die Komplexität deutlich.
3.2.1 CSM RA Verordnung [1], [5]
Artikel 3, Nummer 19
Tabelle 1 Gegenüberstellung Definition in CSM RA
EG-Verordnung Nr. 352/2009 [1] EU-Verordnung Nr. 402/2013 [5]
deutsch
englisch
„Anerkannte Regeln der Technik:
die schriftlich festgelegten Regeln,
die bei ordnungsgemäßer Anwendung
dazu dienen können, eine oder
mehrere spezifische Gefährdungen
zu kontrollieren.“
„‘code of practice’ means a written
set of rules that, when correctly applied,
can be used to control one or
more specific hazards;”
„Regelwerk: die schriftlich festgelegten
Regeln, die bei ordnungsgemäßer
Anwendung dazu dienen können, eine
oder mehrere spezifische Gefährdungen
zu beherrschen;“
„‘code of practice’ means a written
set of rules that, when correctly applied,
can be used to control one or
more specific hazards;”
Anmerkung:
Mit der neuen Fassung der CSM RA wird in der deutschen Fassung trotz gleichem Inhalt in der englischen
Fassung der Begriff „code of practice“ nun mit „Regelwerk“ übersetzt.
Die Änderung in der deutschen Übersetzung der Verordnung zur CSM RA ändert an den Aussagen
dieses Positionspapiers nichts.
14

3.2.2 Eisenbahn- Bau- und Betriebsordnung [17]
EBO § 2 Abs. 1
Bisher wurde für den Begriff „Anerkannte Regeln der Technik “ die Definition im Kommentar der
EBO verwendet:
„Unter anerkannten Regeln der Technik sind alle auf Erkenntnissen und Erfahrungen beruhenden
technischen Regeln zu verstehen, deren Befolgung notwendig ist, um Gefahren auszuschließen
und die in betreffenden Fachkreisen bekannt und mehrheitlich als richtig anerkannt
sind.“
3.2.3 VV BAU-STE [18]
Im Anhang 1.1 „Definitionen und Begriffe“ wird der Begriff „Anerkannte Regeln der Technik“ erläutert:
„Der Begriff der Anerkannten Regeln der Technik hat seine rechtliche Grundlage für den Bereich
der EdB im § 2 Abs. 1 EBO [17] und wird wie folgt definiert:
„Anerkannte Regeln der Technik sind alle auf Erkenntnissen und Erfahrungen beruhenden
geschriebenen und ungeschriebenen Regeln der Technik, deren Befolgung beachtet werden
muss, um Gefahren auszuschließen, und die in den betreffenden Fachkreisen bekannt sind
und als richtig anerkannt werden.“
Als Anerkannte Regeln der Technik auf dem Gebiet der STE-Anlagen sind u.a. technische
Normen (EN, DIN, DIN VDE) und Regelwerke der EdB zu bezeichnen.“
3.2.4 Allgemein übliche Norm-Definition
In EN 45020 5 werden die anerkannten Regeln der Technik wie folgt definiert:
„EN 45020, Kapitel 1.5 anerkannte Regel der Technik
Technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe
des Standes der Technik angesehen wird.
ANMERKUNG Ein normatives Dokument zu einem technischen Gegenstand wird zum Zeitpunkt seiner Annahme
als der Ausdruck einer anerkannten Regel der Technik anzusehen sein, wenn es in Zusammenarbeit
der betroffenen Interessen durch Umfrage- und Konsensverfahren erzielt wurde.
...
EN 45020, Kapitel 3.2.1 Für die Öffentlichkeit zugängliche Normen
ANMERKUNG Dank ihres Status als Normen, ihrer öffentlichen Zugänglichkeit und ihrer Änderung oder
Überarbeitung, soweit dies nötig ist, um mit dem Stand der Technik Schritt zu halten, besteht die Vermutung,
dass internationale, regionale, nationale oder Provinznormen (3.2.1.1, 3.2.1.2, 3.2.1.3 und 3.2.1.4) anerkannte
Regeln der Technik sind.“
5 Wikipedia Zitat aus DIN EN 45020:2006 - Normung und damit zusammenhängende Tätigkeiten - Allgemeine
Begriffe (ISO/IEC Guide 2:2004); dreisprachige Fassung EN 45020:2006
15

3.3 Definition Regelwerk
Regelwerke, welche als Grundlage für die Betrachtung von Anerkannten Regeln der Technik dienen
sollen, müssen allgemein anerkannt und öffentlich zugänglich sein sowie vollständig in
schriftlicher Form vorliegen. Wenn sie (teilweise) in anderen Formen existieren, sind sie in die
schriftliche Form zu bringen. Dies trifft auch auf einzelne Teile von Regelwerken zu.
Für die unterschiedlichen Regelwerke ist zu definieren, wie und in welchem Umfang diese Bedingungen
erfüllt werden. Dabei ist für jedes Regelwerk (insbesondere bei solchen für ältere Techniken)
zu prüfen, was unter allgemein anerkannt und unter öffentlich zugänglich zu verstehen ist.
Hier kann es eventuell unterschiedliche Stufen geben.
3.4 Gesetzlich vorgegebene Ziele
Zitat aus „Handbuch der Rechtsförmlichkeit“ [4]:
„Die Generalklausel „allgemein anerkannte Regeln der Technik" wird für Fälle mit vergleichsweise
geringem Gefährdungspotenzial oder für Fälle verwendet, die auf Grund gesicherter
Erfahrungen technisch beherrschbar sind. Allgemein anerkannte Regeln der Technik sind
schriftlich fixierte oder mündlich überlieferte technische Festlegungen für Verfahren, Einrichtungen
und Betriebsweisen, die nach herrschender Auffassung der beteiligten Kreise (Fachleute,
Anwender, Verbraucher und öffentliche Hand) geeignet sind, das gesetzlich vorgegebene
Ziel zu erreichen und die sich in der Praxis allgemein bewährt haben oder deren Bewährung
nach herrschender Auffassung in überschaubarer Zeit bevorsteht.
Das Anforderungsniveau bei der Generalklausel „Stand der Technik" liegt zwischen dem Anforderungsniveau
der Generalklausel „allgemein anerkannte Regeln der Technik" und dem
Anforderungsniveau der Generalklausel „Stand von Wissenschaft und Technik". Stand der
Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen,
der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich
vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen
oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis
bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit
Erfolg erprobt worden sein.
Im Recht der Europäischen Union wird auch die Formulierung „die besten verfügbaren Techniken“
verwendet. Dies entspricht weitgehend der Generalklausel „Stand der Technik“ 6 .
Die Generalklausel „Stand von Wissenschaft und Technik“ umschreibt das höchste Anforderungsniveau
und wird daher in Fällen mit sehr hohem Gefährdungspotenzial verwendet.
Stand von Wissenschaft und Technik ist der Entwicklungsstand fortschrittlichster Verfahren,
Einrichtungen und Betriebsweisen, die nach Auffassung führender Fachleute aus Wissenschaft
und Technik auf der Grundlage neuester wissenschaftlich vertretbarer Erkenntnisse im
Hinblick auf das gesetzlich vorgegebene Ziel für erforderlich gehalten werden und das Erreichen
dieses Ziels gesichert erscheinen lassen.“
6 Allgemein auch als „state of the art“ bekannt.
16

3.5 Identifizierte Methoden durch die Arbeitsgruppe
3.5.1 Geeignete Methoden
Im Expertenkreis der Arbeitsgruppe werden nachfolgende Kriterien als Grundlage für „Anerkannte
Regeln der Technik“ angesehen.
a) Wesentlich ist, dass die im Sektor tätigen Experten die Prinzipien und Techniken als etabliert
ansehen. Basis hierfür ist, dass den Experten die Methodik der Anwendung zugänglich und
nachvollziehbar ist. Dies kann dadurch geschehen, dass die technischen Kenntnisse in
freizugänglichen Regelwerken (z.B. EBO [17], VV BAU-STE [18]) aufgenommen werden.
b) Alle angewendeten Techniken sind transparent und schriftlich niedergelegt.
c) Ein weiterer Ansatz liegt darin, Methoden und allgemeingültige Ansätze zur Betrachtung aus
bestehenden Zulassungen (erteilt durch EBA) abzuleiten und als „Best Practice“ im
Eisenbahnsektor abgestimmt zu etablieren. Vorteil dieser Methode ist, dass diese Methoden
und Ansätze durch die mehrstufige fachliche Prüfung als akzeptabel angesehen werden
können. Die fachliche Bewertung wurde sowohl unternehmensintern als auch
unternehmensextern durchgeführt.
d) Für alle unternehmensinternen Prüfungen können sicherheitstechnische Bewertungsschritte
bezogen auf ihre Richtigkeit und unabhängige Prüfung durch ein funktionierendes
Qualitätsmanagementsystem nachgewiesen werden. Grundgedanke im
Qualitätsmanagement ist der kontinuierliche Verbesserungsprozess, der insbesondere durch
die Zulassungsprozesse durch unabhängige Stellen, wie auch das EBA, ständig neue
Impulse erhält.
e) Zudem behandeln die Prozessbeschreibungen der Managementsysteme der beteiligten
Akteure die Lebenszyklusphasen von Konzeptphase bis zur Entsorgung der Systeme bzw.
Komponenten.
f) Bei Alt-Techniken kann die angewendete Methodik durch die Betriebsbewährtheit auf
Zuverlässigkeit und Sicherheit geprüft werden. Sowohl auf Seiten der Hersteller als auch auf
Seiten des Betreibers können damit alle sicherheitsrelevanten Funktionen nachgewiesen
werden. Zudem wird es meist möglich sein, das Sicherheitsziel durch andere Methoden zu
bestätigen. Viele technische Lösungen wurden in den letzten 100 Jahren weiterentwickelt und
sind noch heute vielfach Basis der aktuell eingesetzten Technik.
g) Schnittstellenbeschreibungen und Architekturgrundsätze, wie z.B. durch NeuPro 7 , entstehen
auf der Basis der sektorweiten Fachexpertise. Dies führt dazu, dass diese Dokumente als
Anerkannte Regeln der Technik etabliert werden können. Bei technischen Dokumentationen
ist zu prüfen, ob dies ebenfalls zutrifft.
h) Lastenhefte sind auf ihre Anwendbarkeit hin zu überprüfen. Beispielsweise im Fall von
Bahnübergängen der Bauform EBÜT80 kann durchaus eine allgemein gültige Grundlage
abgeleitet werden. Diese Lastenhefte wurden von der DB AG erstellt und verschiedene
Unternehmen haben nach diesem Konzept die Bahnübergangsanlagen entwickelt. Da so
eine unabhängige Prüfung auf Richtigkeit der Lastenhefte stattfand, kann man daraus die
Anerkennung durch sektorweite Fachexperten annehmen.
7 NeuPro steht für die Neuausrichtung der Produktionssteuerung sowie die Standardisierung der Stellwerkstechnik
bei der DB AG.
17

i) Ein umfangreiches Werk an Regeln und Vorgaben bieten die Richtlinien der DB AG. Sie
beschreiben die Anforderungen, werden durch die Fachkenntnis gestützt und unterliegen
einer strengen Prüfung auf Richtigkeit aller im Sektor tätigen Fachkreise. Als Beispiel sind
hier die Ril 408 „Züge fahren und Rangieren“ [19] oder Ril 819 „LST Anlagen planen“ [20] zu
nennen.
3.5.2 Ungeeignete Methoden
Eher ungeeignet sind Dokumente, die Entwicklungsprozesse innerhalb eines Unternehmens
unterstützen.
Unternehmensintern werden in der Regel Leitfäden für den Entwicklungsprozess angewendet.
Diese „Kochrezepte“ erleichtern unternehmensinterne Abläufe, können jedoch nicht, auch wenn
diese unter Berücksichtigung von qualitätssichernden Anforderungen (z.B. Vier-Augen-Prinzip)
erstellt werden, als Anerkannte Regeln der Technik im Eisenbahnsektor genutzt werden.
Wenn möglich, wird von der Arbeitsgruppe für solche Dokumente vorgeschlagen, in verallgemeinerter
Form diese Unterlagen unternehmensneutral in Form von technischen Berichten über
Normungsgremien (z.B. CENELEC) zu etablieren.
3.6 Vorschläge für Methoden zur Etablierung Anerkannter Regeln der Technik
3.6.1 Allgemein
Um Anerkannte Regeln der Technik zu schaffen, die im Sektor Eisenbahn anerkannt werden,
schlägt die Arbeitsgruppe verschiedene Methoden vor.
Abhängig von der Komplexität und dem Umfang der bestehenden Dokumente und Regelungen
lassen sich die Methoden anwenden und anschließend etablieren.
3.6.2 Etablierung über Schutzziele
Der Ansatz beschreibt die Möglichkeit, Schutzziele aus den anzuwendenden EG-Richtlinien und
Verordnungen sowie nationalen Gesetzen und Verwaltungsvorschriften zu identifizieren. Der
Nachweis zur Erfüllung kann nicht unmittelbar geführt werden, da die Zuordnung von technischen
Anforderungen aus diesen Dokumenten oder durch harmonisierte Normen nicht möglich ist.
Die Produkte oder Systeme haben im Rahmen der Entwicklung definierte Schutzziele als Grundlage.
Der Nachweis, diese zu erfüllen wurde geführt, basiert jedoch in der Regel auf Grund zum
Zeitpunkt der Entwicklung fehlender spezifischer Normen, auf unternehmensinternen Untersuchungen
oder ableitbaren Normen.
Ziel ist es, die technisch realisierten Schutzziele denen der EG-Richtlinien oder andere Regelwerke
(siehe Abbildung 1) zuzuordnen und zu bewerten. Kann der Nachweis geführt werden,
dass mit den angewendeten Techniken die gesetzlichen Schutzziele erreicht werden, so sind daraus
Anerkannte Regeln der Technik abzuleiten.
3.6.3 Betriebsbewährtheit und Analogie zu Grundnormen
Insbesondere bei Alttechniken liegen sowohl durch den Betreiber als auch den Hersteller umfangreiche
Daten zu Störungen und Ausfällen von leit- und sicherungstechnischen Applikationen und
Anlagen vor. Mit Hilfe dieser Daten kann eine zuverlässige Aussage zur Betriebsbewährtheit getroffen
werden.
18

Als Hilfestellung werden die Aussagen der Normreihe EN 50126 [21] sowie Grundnormen der Sicherheitstechnik
angewendet. Die Analogie insbesondere zur Norm EN 61508 [22] / EN 61511
[23] und die Anleihe aus dem Bereich der Sicherheit von Maschinen sind hilfreich und schließen
mögliche Lücken in der technischen Argumentationskette.
Der Nachweis von Betriebsbewährtheit, wie er in der EN 61511 [23] gefordert wird, ist ebenfalls
gegeben. Damit kann man diese Vorgehensweise als allgemein in der Technik anerkannt ansehen
und als Basis zur Risikobewertung nutzen.
3.6.4 Etablierung von Regelwerken
Die identifizierten Regelwerke sind auf ihre weitere, gemeinsame Anwendung hin zu prüfen. Daraus
ableitend klären die Hersteller und Betreiber, welche Regelwerke wo angewendet werden
und welche veraltet sind, aber trotzdem noch gefordert werden. Das Ziel ist es, einen Vorschlag
für neue Regelwerke bzw. Ergänzung zu unterbreiten.
Es sollte der Grundsatz gelten, dass die Regelwerke für ältere LST-Anlagen unverändert bleiben,
solange die zugehörigen Anlagen in Betrieb sind. Veränderungen erfolgen nur, wenn Rechtsvorschriften
dies bindend vorschreiben oder technische Gesichtspunkte dies als zwingend erscheinen
lassen.
Erscheint ein neues Regelwerk, so sind die Veränderungen gegenüber bestehenden Regelwerken
zu beschreiben und durch die Fachexperten einer Bewertung zu unterziehen. Es wird dargestellt,
ob die Änderung eine Sicherheitslücke schließt oder eine Weiterentwicklung ist.
Sicherheitslücken bedeuten, dass bestehende Anlagen auf Basis älterer Regelwerke nachgerüstet
werden müssen.
Weiterentwicklung bedeutet, dass Verbesserungen ohne sicherheitliche Lücken vorgenommen
wurden. Es ist die Mindestanforderung mit Blick auf die Sicherheit uneingeschränkt weiterhin
durch die alte Ausgabe gegeben.
3.7 Zugang zu Normen und technischen Regeln
Ein systematischer Zugang zu Normen (sowie technischer Regeln) und deren Verwaltung innerhalb
des Unternehmens unterstützt die Umsetzung von Anerkannten Regeln der Technik.
Die Basis ist ein Normenmanagementsystem mit einem Normenverzeichnis. Hier werden Informationen
über relevante Normen zusammengetragen und gepflegt. Die technische Realisierung
eines solchen Verzeichnisses hängt von der Zahl der zu verwaltenden Normen und der Häufigkeit
der Zugriffe und Änderungen ab. Zur Implementation eines Normenmanagementsystems gibt es
vielfältige Lösungsansätze, die in der NeGSt Arbeitsgruppe AP 2100 als „Empfehlung zum Umgang
mit Normen“ [16] erarbeitet wurden.
Hinweis:
Details sind in dem Teilbericht NeGSt AP 2100 – Empfehlung zum Umgang mit Normen [16] dargestellt.
19

4 Alttechniken
Im Eisenbahnsektor sind die Produktlebenszyklen lang. Somit gibt es in der Leit- und Sicherungstechnik
eine große Bandbreite von Techniken im Einsatz, die jedoch zu sehr unterschiedlichen
Zeiten entwickelt wurden. Diese Alttechniken sind oftmals Basis für neue Entwicklungen. Die
übernommenen Grundlagen bei Neuentwicklungen sind auf Basis des jeweiligen Stands der
Technik bewertet worden. Wären hier Risiken erkannt worden, hätte dies zum Ausschluss der
Anwendung geführt. Daraus lässt sich eine Vermutungswirkung in Bezug auf Anerkannte Regeln
der Technik ableiten.
Unter Fachleuten im Bereich Leit- und Sicherungstechnik werden sogenannte Hebelstellwerke
(mechanische und elektromechanische Stellwerke) als Alttechnik bezeichnet. Selbst Relaisstellwerke,
die oftmals nur betriebswirtschaftlich abgeschrieben, aber technisch nicht verschlissen
sind, werden gelegentlich in diese Kategorie gezählt.
Unter Alttechnik versteht die Arbeitsgruppe folgendes:
Produktentwicklung und Zulassung erfolgten auf Basis der Mü8004 oder auf
Regelwerken, die vor Einführung der Mü8004 zur Anwendung kamen.
Die Produktentwicklung ist abgeschlossen, es werden nur noch
Instandhaltungsarbeiten an dem Produkt vorgenommen.
Im Zusammenhang mit Alttechniken sieht die Arbeitsgruppe es als erforderlich an, Aussagen
zu Betriebsbewährtheit (Kapitel 4.1) Bestandsschutz (Kapitel 4.3), der Instandhaltung (Kapitel
4.4.3) und zur Lebensdauer (Kapitel 4.4) zu treffen.
4.1 Alttechnik im Produktauslauf
Alttechniken im Produktauslauf basieren auf einem Entwicklungsstand, der nicht mehr aktualisiert
wird. Sie erfüllen jedoch die wesentlichen Anforderungen an die Sicherheit, so dass ein Betrieb
der Anlage möglich ist. Es gilt in diesen Fällen ein Bestandsschutz.
Die Schaffung neuer Regelwerke erscheint nicht verhältnismäßig. Geeigneter ist es, über die Betriebsbewährtheit
bei Änderungen den Nachweis zu führen, dass die Sicherheitsanforderungen
erfüllt sind.
Definition Betriebsbewährtheit nach EN 61511-1:2012 Kap. 3.2.55 [23]
„Betriebsbewährt (en: prior use)
dokumentierte Beurteilung, beruhend auf Betriebserfahrungen in einer ähnlichen Umgebung,
dass ein Gerät für die Verwendung in einem sicherheitstechnischen Systems (SIS) geeignet
ist und die Anforderungen hinsichtlich der Funktionen und der Sicherheitsintegrität erfüllen
kann
ANMERKUNG Um ein Gerät für ein sicherheitstechnisches System auf der Grundlage einer Betriebsbewährung
zu qualifizieren, sollte der Anwender dokumentieren, dass das Gerät eine befriedigende Leistung in einer
ähnlichen Betriebsumgebung erreicht hat. Das Verständnis dafür, wie sich das Betriebsmittel in einer bestimmten
Betriebsumgebung verhält, ist erforderlich, um mit hoher Gewissheit annehmen zu können, dass
der beabsichtigte Entwurf, die beabsichtigte Sichtprüfung, Prüfung, Instandhaltung und die beabsichtigten betrieblichen
Praktiken angemessen sind.“
Hinweis: In dem Dokument Sammlung „Definition Betriebsbewährtheit“ [25] sind aus unterschiedlichen Normen und Technologiefeldern
Definitionen zusammengestellt.
20

Daher wird es von der Arbeitsgruppe als sinnvoll angesehen, Methoden zur Betrachtung der
Betriebsbewährtheit als Anerkannte Regeln der Technik zu betrachten. Zusammen mit den Instandhaltungsmaßnahmen
kann so eine Risikobetrachtung durchgeführt werden.
4.2 Alttechnik im Produktlebenszyklus
Bei lediglich betriebswirtschaftlich abgeschriebenen Techniken werden keine Weiterentwicklungen
betrieben, jedoch wird durch den laufenden Betrieb die Zuverlässigkeit und Sicherheit ständig
überwacht.
Durch das Sicherheitsmanagementsystem werden Instandhaltungsarbeiten geregelt. Mit diesem
System werden sicherheitsrelevante Ereignisse erfasst, so dass man diese Erkenntnisse bei der
Risikoanalyse nach CSM RA berücksichtigen kann. Sind keine Auffälligkeiten festzustellen, sollte
die technische Realisierung als Anerkannte Regel der Technik betrachtet werden können.
4.3 Bestandsschutz
Bestandsschutz ist in der Leit- und Sicherungstechnik relevant, da sich der Entwicklungs- und
Lebenszyklus der Teilsysteme unterschiedlich gestaltet. Dazu ist eine Festlegung sinnvoll, in welchen
Fällen Änderungen den Bestandsschutz beeinflussen.
Beispiel:
Die Innenanlage eines ESTW hat im Vergleich zur Außenanlage ein um mindestens 10 bis 20 Jahre kürzeren Lebenszyklus.
4.3.1 Definition
Größere Änderungen:
Der Eingriff ist so intensiv, dass eine Neuplanung notwendig wird und die Sicherheit erneut nachzuweisen
ist.
Anpassung bestehender Anlagen:
Bei Änderungen an in Betrieb befindlichen Systemen, die notwendig sind, um angrenzende (neu
zu errichtende) Systeme zu betreiben, beschränkt sich die Betrachtung auf die Schnittstellen und
die Rückwirkungsfreiheit der Änderung auf den Rest des Systems. Die restlichen Teile eines Systems
sind dann nicht betroffen.
4.3.2 Kriterien zur Beurteilung
Kriterien zur Beurteilung des Bestandsschutzes können sein:
Vorliegende Erkenntnisse aus Herstellung und Betrieb: Betriebsanleitungen,
Arbeitsanweisungen, Anforderung an Personal, betriebliche Erfahrungswerte,
Störungen, Unfälle
Angaben und Umfang der Instandhaltung sowie Instandhaltungsintervalle
Umfang der Veränderung am System bzw. Produkt: gering –> nicht sicherheitsrelevante
Teile –> groß
21

4.4 Lebensdauer von Produkten und Systemen
4.4.1 Allgemein
Die Lebensdauer von Produkten und Systemen ist bei sicherheitsrelevanten Aspekten von Bedeutung.
Die Annahme, dass nach einer bestimmten Zeit ein Produkt bzw. System nicht mehr
zuverlässig in Bezug auf seine Sicherheitsfunktion betrieben werden kann, kann abhängig vom
jeweiligen Stand der Technik sein.
Bei Neuentwicklungen können Einschätzungen durch theoretische Betrachtungen und Alterungsversuche
im Labor ermittelt werden. Mit der Dauer des praktischen Einsatzes lassen sich diese
durch die betriebliche Analyse festigen oder ggf. korrigieren.
So ist es empfehlenswert, differenziert die Lebensdauer zu betrachten. Eine generelle Festlegung
wird als kritisch angesehen. Es ist notwendig, auf Basis der Betriebsbewährtheit bei Änderungen
eine Bewertung durchzuführen. Führt dies zu einem positiven Ergebnis, so sollte die
Technik als anerkannt gelten und nicht einer detaillierten Risikobetrachtung unterzogen werden.
4.4.2 Fallbetrachtungen unverlierbare Eigenschaften
Während der Entwicklung von Produkten bzw. von Systemen werden Annahmen getroffen, die zu
diesem Zeitpunkt als erwiesen gegolten haben. Hierzu zählen auch die unverlierbaren Eigenschaften
eines Produktes bzw. Systems, so dass man in der Fehlerbetrachtung einige Fälle ausschließt.
Da dieser Betrachtung eine definierte Lebensdauer zugrunde liegt, sind bei Altanlagen,
die über diesen Zeitpunkt hinaus in Betrieb sind, diese Eigenschaften bei der Betrachtung zu berücksichtigen
und zu bewerten. Das Konstruktionsprinzip als solches ist jedoch nicht grundsätzlich
in Frage zu stellen. Können so diese Eigenschaften sichergestellt werden, sollten die Inspektionsintervalle
auch als Anerkannte Regeln der Technik angesehen werden. Eine Prüfung aller
Fälle kann so ausgeschlossen werden.
Fallbeispiele:
Relaisbaugruppen
Kabel/Leitungen
Leiterplatten
Nach EN 50129:2003 Anhang C (normativ) [11] kann folgende Aussage Anwendung finden:
„C.4 Das Verfahren für Bauteile mit unverlierbaren physikalischen Eigenschaften
Es ist nicht notwendig, bereits in der Vergangenheit erstellte Begründungen zu wiederholen;
es genügt, eine Referenz auf frühere Berichte anzugeben. Sollten jedoch diese Begründungen
bestimmte Bedingungen enthalten (z. B. spezielle Befestigungsvorkehrungen oder Mittel
zur Verhinderung von Überlastung), so muss die Erfüllung dieser Bedingungen im Sicherheitsnachweis
enthalten sein.“
Es wird von der Arbeitsgruppe als sinnvoll angesehen, die Kriterien für die Bewertung der unverlierbaren
Eigenschaften durch Untersuchungen zu stützen, um so allgemein gültige Regeln
bei diesen Produkten bzw. Systemen ableiten zu können. Eine wichtige Rolle spielen hier die
Inspektionsintervalle der optischen, mechanischen und elektrischen Prüfung. Diese allgemein
gültigen Regeln können dann als Anerkannte Regeln der Technik gelten.
22

4.4.3 Instandhaltung
Instandhaltungsanforderungen können im Zusammenhang mit diesen Produkten als Teil der Anerkannten
Regeln der Technik gewertet werden. Grund ist, dass zum einen Hersteller als auch
Betreiber diese definieren und auf ihre Wirksamkeit hin überwachen. Zum anderen sind diese in
Betriebsanleitungen und in der Dokumentation zum Produkt hinterlegt und können als allgemein
zugänglich angesehen werden.
4.4.4 Betrachtung bei Änderungen
Werden Änderungen an bestehenden Anlagen vorgenommen, so sollte folgende Vorgehensweise
als Basis der Betrachtungen angesehen werden. Für die Teilsysteme, die nicht verändert werden,
gilt:
Instandhaltungsmaßnahmen werden in den festgelegten Intervallen durchgeführt.
Die Zuverlässigkeit und Sicherheit der Funktion wird durch die systematische
Auswertung von Störungen an der Anlage erfasst und ausgewertet. Daraus abgeleitet
werden, falls notwendig, Instandhaltungsmaßnahmen und –intervalle verändert.
Mit den Instandhaltungsmaßnahmen werden unverlierbare Eigenschaften des Systems
erhalten.
Beispiel:
Unverlierbare Eigenschaft Kabel/Leitung wird vorausgesetzt. Der festgelegte Zeitpunkt des Austausches der jeweiligen
Kabel/Leitung stellt sicher, dass diese Eigenschaft weiterhin erhalten bleibt. Somit bleiben die unverlierbaren
Eigenschaften erhalten und können als uneingeschränkt gültig angesehen werden.
Wichtig bei dieser Betrachtung ist, dass die Instandhaltung stattfindet. Solange an den Intervallen
keine Änderung stattfindet, können das jeweilige Teilsystem als sicher und die hier geltenden
Regeln als Anerkannte Regeln der Technik angesehen werden.
Für Teilsysteme, die geändert werden, gilt:
Die zu ändernden Teilsysteme werden auf Basis der aktuellen Anerkannten Regeln der
Technik bewertet.
Die benachbarten Teilsysteme werden nur auf die Beeinflussung hin überprüft, jedoch
selber nicht in ihrer Sicherheit in Frage gestellt.
Die möglichen Gefahren in den benachbarten Teilsystemen werden nicht im Rahmen der Gefahrenanalyse
ermittelt. Man kann deren Beherrschung durch Anerkannte Regeln der Technik als
abgedeckt betrachten.
23

5 Techniken im Einsatz – Regelwerkslandkarte
5.1 Allgemein
Mit Hilfe der in der Arbeitsgruppe erstellten Regelwerkslandkarte [13] werden die im Bereich der
Eisenbahnen des Bundes eingesetzten Techniken der Leit- und Sicherungstechnik erfasst und
den einzelnen Unternehmen zugeordnet.
Ziel ist, einen Überblick der wesentlichen Systeme und Komponenten zu erhalten, um vorhandene
bzw. noch notwendige Regelungswerke und technische Regeln zu identifizieren.
5.2 Regelwerkslandkarte
Die Regelwerkslandkarte [13] betrachtet die leit- und sicherungstechnischen Anlagen in Deutschland.
Die einzelnen Anlagenformen werden anhand des Einsatzes bei den EdB und der Bedeutung
für die Unternehmen gewichtet, um die Priorität für die Analyse zu setzen.
Mit diesem Dokument wird ersichtlich, in welchen Bereichen Regelwerke unterschiedlicher Ausprägung
vorhanden sind. Auch werden die Bereiche mit Handlungsbedarf identifiziert, bei denen
Anerkannte Regeln der Technik geschaffen werden sollten.
Die Unterteilung erfolgt in Themenblöcken:
Technik
Leit- und Bedienebene
Stellwerke
Außenanlagen der Stellwerke
Rangierstellwerke
Bahnübergänge
Außenanlagen der Bahnübergänge
Zugbeeinflussung
Außenanlagen der Zugbeeinflussung
Block
Bauformgruppe
Dispositive Einrichtungen / TK
Hebelstellwerk
Drucktastenstellwerk
ESTW
Bauformbezeichnung
Bezeichnung der Hersteller
Bezeichnung der EdB
Relevanz für die Betrachtung im Fokus dieser Arbeitsgruppe
Aus Herstellersicht
Aus Betreibersicht
24

Grundlagen der Technik und Realisierung
Normen
Angewendetes Regelwerk
Zulassung
Als Ergebnis aus der Diskussion innerhalb der Arbeitsgruppe zur Regelwerkslandkarte werden
die Kernaussagen in diesem Positionspapier übernommen.
Die Zusammenfassung wird in Kapitel 5.4 dargestellt.
5.3 Bewertungsgrundlagen
In der Regelwerkslandkarte wird dargestellt, welche Systeme schriftlich festgelegte Anerkannte
Regeln der Technik benötigen, um weiterhin unter Beachtung der Kriterien der CSM RA geändert
bzw. weiterentwickelt werden zu können. Des Weiteren kann die Regelwerkslandkarte auch als
Basis einer Neuentwicklung zur Anwendung kommen.
Es wird identifiziert, ob die vorhandene Technik im Fokus von Herstellern und Betreibern
steht.
‣ Die Priorisierung erfolgt mit
o
o
o
o
Prio 1 = zwingend zu betrachten
Prio 2 = starke Relevanz
Prio 3 = geringe Relevanz
Prio 4 = nicht relevant
‣ Grundlagen der Priorisierung seitens der Hersteller sind Produktkataloge, Produktportfolios
und Unternehmensstrategien.
‣ Grundlagen der Priorisierung seitens der DB Netz AG sind u.a. die Anzahl in Betrieb befindlichen
Anlagen, durchschnittliche Instandhaltungskosten und strategische Ausrichtung
der Leit- und Scherungstechnik.
Die Grundlagen für die Hersteller und den Betreiber werden aufgezeigt:
‣ Bewertungsgrundlage für die Zulassung:
o Regelwerke vor Mü 8004 [24]
o Regelwerk Mü 8004 [24]
o Norm EN 50126 [21], EN 50128 [15] und EN 50129 [11]
o
Interoperabilitätsrichtlinie 2008/57/EG [3] bzw. Vorgänger-EG-Richtlinien
Anwendbare Dokumente von
‣ Herstellern,
‣ Betreibern und
‣ EBA
25

5.4 Übersicht der Priorisierung in der Regelwerkslandkarte
In der Arbeitsgruppe wurde eine umfassende Analyse der in Deutschland im Einsatz befindlichen
Technik durchgeführt. Daraus abgeleitet geben die nachfolgenden Tabellen eine Übersicht
mit der Priorität aus Sicht der Arbeitsgruppe. Die Unterscheidung zwischen Hersteller
und Betreiber soll die unterschiedlichen Bewertungen aus der jeweiligen Sichtrichtung darstellen.
Hinweis:
Details können in der Regelwerkslandkarte [13] entnommen werden. Diese ist ein separat von der Arbeitsgruppe erarbeitetes
Dokument.
Die Regelwerkslandkarte liefert die Basis für die nachfolgend vorgenommene Darstellung der
Techniken, bei denen die höchste Priorität und Notwendigkeit besteht, Anerkannte Regeln der
Technik zu schaffen bzw. Regelwerke dorthin weiterzuentwickeln.
Anmerkung: Um die in der Regelwerkslandkarte enthaltenen firmeninternen Aspekte vertraulich zu halten, ist diese nicht als Anlage
zu diesem Positionspapier enthalten.
Die Priorisierung erfolgt entsprechend der Festlegungen in Kapitel 5.3.
Die Werte in den nachfolgenden Tabellen ergeben sich aus den Mittelwerten der einzelnen technischen
Lösungen der Hersteller zur jeweiligen Bauform. Damit kann die Tendenz in der jeweiligen
Technik erkannt werden.
Nachfolgend erscheinen nur diejenigen Techniken, die sowohl seitens Hersteller als auch Betreiber
mit einer Priorität 1 oder 2 versehen sind. Zusätzlich werden seitens Hersteller und/oder Betreiber
relevante Einzelbauformen mit niedrigerer Priorität in die Betrachtung einbezogen.
Tabelle 2 Priorisierung der Techniken für Stellwerke
Stellwerke Hersteller Betreiber
Drucktastenstellwerke 8 2,9 3,1
Drucktastenstellwerk auf Basis Mikrocontroller 2,3 2,5
ESTW 2,0 3,1
Tabelle 3 Priorisierung der Techniken bei Rangierstellwerken
Rangiertechnik Hersteller Betreiber
EOW Technik 2,0 2,0
8 Einzelne Bauformen sind herstellerseitig noch zu berücksichtigen.
26

Tabelle 4 Priorisierung der Techniken bei Bahnübergangen
Bahnübergang Hersteller Betreiber
BÜ BÜS 2000 1,0 1,0
BÜ EBÜT 80 2,0 2,0
BÜ RBÜT 1,0 1,0
BÜ RBUEP 1,0 1,0
BÜ Simis LC 1,0 1,0
Tabelle 5 Priorisierung der Techniken für die Zugbeeinflussung
Zugbeeinflussung Hersteller Betreiber
Eigenständige nationale Systeme 1,0 1,0
ETCS mit nationalen Komponenten 1,0 1,0
ETCS L2 1,0 1,0
LZB 1,0 1,9
PZB 2,0 1,9
Komponente Eurobalise 1,0 1,0
Komponente LEU 1,0 1,0
Tabelle 6 Priorisierung der Techniken für Blöcke
Block Hersteller Betreiber
Selbstblock 9 3,1 3,5
Tabelle 7 Priorisierung der Techniken für Übertragung LST
Übertragungstechnik LST Hersteller Betreiber
Vitales21 und DTS 1,0 1,0
Tabelle 8 Priorisierung der Techniken für Fernsteuerung
Fernsteuerung Hersteller Betreiber
2,5 3,2
9 Einzelne Bauformen sind herstellerseitig noch zu berücksichtigen.
27

Tabelle 9 Priorisierung der Techniken für dispositiver Einrichtungen/TK
Dispositive Einrichtungen / TK Hersteller Betreiber
Steuerbezirk 1,0 1,0
Zugnummernmeldeanlage 1,0 2,2
Zuglenkung 1,0 1,9
Tabelle 10 Priorisierung der Außenanlagen
Außenanlagen Hersteller Betreiber
Achszähler 1,0 1,5
Zählpunkte 1,0 2,9
Radsensoren 2,0 2,5
Fahrzeugschleifen 2,0 2,0
Weichenantrieb 2,0 2,0
Gefahrraumüberwachung 2,0 1,0
Gefahrraumfreimeldung 2,0 3,0
Lichtzeichen für Straßenverkehr 2,0 2,0
Schrankenantriebe 2,0 2,0
Handschaltmittel 2,0 2,0
28

6 Schritte der Qualifizierung zu Anerkannten Regeln der Technik
6.1 Allgemein
Die Arbeitsgruppe sieht es als notwendig an, die Schließung von Regelwerkslücken bzw. die
Weiterentwicklung von Regelwerken in einem Sektorlenkungskreis Infrastruktur mit unterlagertem
Arbeitskreis und Arbeitsgruppen zu etablieren. So wird das Ziel erreicht, die derzeit bestehende
Problematik auf die Schultern des Sektors und des EBA zu legen und derzeit nicht
vorhandene Anerkannte Regeln der Technik zu schaffen.
Das bedeutet, das notwendige Umfeld aller Regelwerke (z.B. ESTW) und technischen Dokumente
zu betrachten. Bei der Analyse sind dann auf generischer Ebene die anwendbaren Regelwerke
zu qualifizieren und auf Grund ihrer Art zu entscheiden, inwiefern sie als Anerkannte Regeln der
Technik genutzt werden können.
Bei der Betrachtung wird es als sinnvoll angesehen, auch außerhalb des Sektors andere Industriebereiche
einzubeziehen. So kann dieses Know-how möglicherweise auch für den Eisenbahnsektor
sinnvoll genutzt werden.
Zur weiteren Qualifizierung werden wissenschaftliche Betrachtungen an Universitäten und
Forschungseinrichtungen als unterstützende Maßnahme als zielführend angesehen.
Das Ziel liegt darin, Zustimmung durch das EBA für die Regelwerke und technischen Dokumente
mit dem Potential zu Anerkannten Regeln der Technik zu erhalten. Auf Grund der Besonderheit
im Sektor Eisenbahn durch Verordnungen und Verwaltungsvorschriften ist die Einbeziehung
des EBA geboten.
6.2 Notifizierung
Mit diesem Positionspapier wird ein Weg zur Notifizierung der identifizierten Anerkannten Regeln
der Technik aufgezeigt.
Die Grundlage der Notifizierung ist durch die EG-Richtlinie 2004/49/EG [2] in Artikel 8 Absatz 2
gegeben. Dabei bezeichnet Artikel 3 Buchstabe h) dieser Richtlinie als nationale Sicherheitsvorschriften
alle auf Ebene der Mitgliedstaaten erlassenen Vorschriften, die Anforderungen an die
Eisenbahnsicherheit enthalten und für mehr als ein Eisenbahnunternehmen gelten, unabhängig
davon, welche Stelle diese Vorschriften erlässt. Somit müssen national Anerkannte Regeln der
Technik über die Bundesrepublik Deutschland der Europäischen Kommission gemeldet und
durch diese als einschlägige nationale Vorschriften für das Eisenbahnsystem in Deutschland notifiziert,
d.h. bestätigt, werden.
Als eine erhebliche Hemmschwelle bei der Anpassung an die technische Entwicklung wird von
Herstellern und Betreibern die Notifizierung aller Anerkannten Regeln der Technik angesehen.
Bei der umfänglichen Notifizierung ist bei jeder Änderung der Notifizierungsprozess erneut zu
durchlaufen.
29

6.3 Etablierung vom Lenkungskreis Infrastruktur
6.3.1 Beweggründe
Wie bereits bei den Eisenbahn-Fahrzeugen eingeführt, soll der Lenkungskreis Infrastruktur als
Gremium dienen, identifizierte und beschriebene Regeln der Technik als notifizierte nationale
Regeln anzuerkennen und für den Sektor als Grundlage bereitzustellen.
Länderausschuss
für Eisenbahnen
und Bergbahnen
(LAEB)
Lenkungskreis
Fahrzeuge
Vorsitz: Sektor
Lenkungskreis
Infrastruktur
Vorsitz: N.N.
Lenkungskreis
Safety & Interoperabilität
Abbildung 2 Zusammenhänge zwischen den Lenkungskreisen und LAEB
Die in Abbildung 2 dargestellten vier Gruppen setzen sich wie in Tabelle 10 dargestellt zusammen.
In Bezug auf den Lenkungskreis Infrastruktur werden hier Vorschläge aus der Arbeitsgruppe
beschrieben.
Tabelle 11 Mitglieder und Tagungsfrequenz
Lenkungskreis Fahrzeuge
Mitglieder: EBA, EBC, VDV, VDB, DB
Tagungsfrequenz: > 4 x pro Jahr
(Programm) + nach aktuellem Bedarf
Lenkungskreis Safety & Interoperabilität
Mitglieder: Länder, BMVBS, EBA,
VDV, DB, VDB, EBC, VPI
Lenkungskreis Infrastruktur
Mitglieder: EBA, EBC, VDV, VDB, DB
Tagungsfrequenz: > 3 x pro Jahr
(Programm) + nach aktuellem Bedarf
Länderausschuss für Eisenbahnen und
Bergbahnen (LAEB)
Mitglieder: Länder, BMVBS, EBA,
VDV, DB
Tagungsfrequenz: 1 bis 2 x pro Jahr
6.3.2 Strukturvorschlag für Lenkungskreis Infrastruktur
Der Vorschlag für den Lenkungskreis Infrastruktur ist in Analogie zum Modell aus dem Fahrzeugsektor
entwickelt worden.
Für die Schaffung und Änderung von Regelwerken werden Arbeitsgruppen eingerichtet und darüber
ein koordinierender Arbeitskreis installiert.
In den Arbeitsgruppen und in dem Arbeitskreis sind die Hersteller (VDB) und die Deutsche Bahn
AG vertreten. Diese Gremien bilden die Kompetenz des Sektors zu einem bestimmten Problem /
einer aktuellen Frage ab. Das EBA sollte sich in wichtigen Fällen an der Arbeit in den Arbeitsgruppen
und im Arbeitskreis beteiligen. Die Definition für „wichtige Fälle“ sollte im Rahmen der
Einrichtung des Lenkungskreises Infrastruktur vereinbart werden.
30

Arbeitsgruppe besteht aus Fachexperten (Anzahl je nach Notwendigkeit)
‣ Erarbeitung neuer Regelwerke
‣ Änderung vorhandener Regelwerke
‣ Überführung von Einzelentscheidungen in Regelwerke
Arbeitskreis ist technisch fachkundig (Anzahl je nach Notwendigkeit)
‣ Koordination der Arbeiten
‣ Bewertungen
‣ Entscheidungen über Vorlagen beim LK Infrastruktur
‣ Der Arbeitskreis erhält von dem Akteur einen detaillierten Vorschlag zum Abweichen
von dem bestehenden Regelwerk mit allen für die Beurteilung erforderlich Nachweisen.
‣ Der Arbeitskreis kann den vorschlagenden Akteur auffordern, auf seine Kosten ein ergänzendes
Gutachten beizubringen.
LK Infrastruktur
‣ Die von der Arbeitsgruppe vorbereiteten und von dem Arbeitskreis festgelegten
Entscheidungen werden:
o
o
im Falle von Anerkannten Regeln der Technik durch das EBA im Internet
veröffentlicht und
im Falle von Interpretationen zu Anerkannten Regeln der Technik und anderen
Festlegungen (keine Regelwerke oder Anerkannte Regeln der Technik) ins
Sektorhandbuch für die Zulassung aufgenommen.
Lenkungskreis
Fahrzeuge
Abstimmung
Lenkungskreis
Safety & Interoperabilität
Lenkungskreis Infrastruktur
Arbeitskreis 1 Arbeitskreis 2
…
Arbeitsgruppe 1 Arbeitsgruppe 2 … Arbeitsgruppe 1 Arbeitsgruppe 2
…
Abbildung 3 Vorschlag der Struktur für Lenkungskreis Infrastruktur
31

6.4 Ablauf im nicht geregelten nationalen Bereich
Mit der Etablierung der Struktur, wie in Kapitel 6.3.2 beschrieben, können im zurzeit nicht geregelten
nationalen Bereich Anerkannte Regeln der Technik eingeführt werden, die auf einem gemeinsamen
Verständnis aller Stakeholder im Sektor Eisenbahn in Deutschland beruhen.
Im Anschluss daran ist durch das EBA als nationale Sicherheitsbehörde zu prüfen, ob diese
technischen Regeln im europäischen Rahmen bei der EU-Kommission zur Notifizierung einzureichen
sind.
Als mögliche Vorgehensweise kann ein Modell genutzt werden, wie es hier beschrieben wird.
Stufenmodell
[1] Antrag /Anstoß zur „Schließung einer Regelungslücke“ bzw. Entscheidung mit SiErm.
[2] Entscheidung und Beauftragung einer AG zur Ausarbeitung eines Vorschlages
[3] Entwurf zu technischen Regeln (A.R.d.T.)
[4] Optional: Beauftragung von Messreihen, Untersuchungen usw.
[5] Konsol. der Untersuchungen; Festschreibung Regelwerk auf Basis 4-Augen-Prinzip
[6] Bewertung/Beurteilung der Untersuchungen
[7] Entscheidung über neue A.R.d.T.; Prüfung, ob Notifizierung erforderlich ist
[8] Veröffentlichung auf Homepage des EBA -> „gültig“
[9] EBA reicht bei EU-Kommission ein
Abbildung 4 Vorgeschlagener Ablauf zur Anerkennung von Regeln der Technik
Inwiefern eine Notifizierung notwendig bzw. hilfreich ist, ist im Einzelfall zu klären.
Mit der Veröffentlichung der „neuen“ Anerkannten Regeln der Technik entsprechend des beschriebenen
Ablaufs auf der Website des EBA kann der Forderung nach schriftlicher Festlegung
und Zugänglichkeit für die Öffentlichkeit Rechnung getragen werden.
32

7 Zusammenfassung
7.1 Empfehlung der Arbeitsgruppe
Die Arbeitsgruppe empfiehlt, eine Vereinbarung zwischen allen beteiligten Akteuren zur Anerkennung
von Anerkannten Regeln der Technik zu schließen. Dies wird für notwendig angesehen,
um diese innerhalb des Eisenbahnsektors als allgemein anerkannt zu etablieren. In dieser
Vereinbarung soll auch der zu etablierende Lenkungskreis Infrastruktur beschrieben sein.
Das stärkt die allgemeine Akzeptanz.
7.1.1 Zusammenfassung der Empfehlungen in den Kapiteln 1 bis 6
Die Empfehlungen der Arbeitsgruppe der Kapiteln 1 bis 6 in der Übersicht:
Das Positionspapier stellt den Sachverhalt dar und gibt Umsetzungsvorschläge (siehe Kapitel
1.1).
Die Definitionen in der Normung sind unterschiedlich zu denen im juristischen Sinne (siehe
Kapitel 2.2.1).
Konzern-Richtlinien der DB AG werden als Anerkannte Regeln der Technik angesehen (siehe
Kapitel 2.2.2).
Fachliteratur wird als Anerkannte Regeln der Technik angesehen (siehe Kapitel 2.2.3).
Die Änderung in der deutschen Übersetzung der Verordnung zur CSM RA ändert an den
Aussagen dieses Positionspapiers nichts (siehe Kapitel 3.2.1).
Kriterien für Anerkannte Regeln der Technik werden aufgezeigt (siehe Kapitel 3.5.1).
Methoden zur Anerkennung von Anerkannte Regeln der Technik werden beschrieben (siehe
Kapitel 3.6.1).
Der Begriff „Betriebsbewährtheit“ ist im Zusammenhang mit Anerkannten Regeln der Technik
wichtig (siehe Kapitel 4).
Methoden der Betrachtung der Betriebsbewährtheit als Anerkannte Regeln der Technik
notwendig (siehe Kapitel 4.1).
Differenzierte Lebensdauerbetrachtung ist notwendig (siehe Kapitel 4.4.1).
Bewertung der unverlierbaren Eigenschaften durch Kriterien für Bewertung untermauern
(siehe Kapitel 4.4.2).
Priorisierung der Techniken für Schaffung von Anerkannten Regeln der Technik notwendig
(siehe Kapitel 5.4).
Schließung von Regelwerkslücken notwendig (siehe Kapitel 6.1).
Zustimmung vom EBA für Regelwerke und technische Dokumentation wird angestrebt (siehe
Kapitel 6.1).
Wege der Notifizierung werden aufgezeigt (siehe Kapitel 6.2).
Die Veröffentlichung auf Webseite EBA schafft öffentlichen Zugang (siehe Kapitel 6.4).
33

7.1.2 Empfehlungen
Mit Hilfe der Regelwerkslandkarte (siehe Kapitel 5) sind von der Arbeitsgruppe Lücken bei Anerkannten
Regeln der Technik verdeutlicht worden. Ziel soll es sein, diese entsprechend der Priorisierung
zu schließen.
Um Sicherheit bei der Entwicklung und im Zulassungsprozess zu erhalten, sollen alle Akteure
über die Gültigkeit von Anerkannten Regeln der Technik klare Vorgaben vereinbaren. Eine Möglichkeit
ist, ähnlich wie im Fall der Normung, mit der Veröffentlichung einer neuen Fassung einer
Anerkannten Regel der Technik einen Übergangszeitraum zu definieren. Dieser Zeitraum sollte
mindestens ein Jahr nach Veröffentlichung betragen. In diesem Übergangszeitraum wäre dann
die Anwendung der zu ersetzenden Regelwerke zulässig.
Grundsätzlich sollen in neuen Ausgaben (bzw. nächsten Ausgabe) eines Dokuments zu Anerkannten
Regel der Technik die vorgenommenen Änderungen aufgeführt werden. Die Änderungen
sollten in die folgenden Gruppen unterteilt werden:
a) Editorielle Änderungen
b) Erweiterungen
c) Schließen von erkannten Sicherheitslücken
So ist die Beurteilung möglich, ob Modifikationen bei einem Produkt, Teil-System oder System erforderlich
sind. Aktiv werden muss der Hersteller bzw. Betreiber auf jeden Fall dann, wenn Sicherheitslücken
geschlossen werden. In den Fällen a) und b) ist dies in der Regel nicht zwingend
erforderlich. Damit erhalten Hersteller und Betreiber bei längeren Entwicklungs- und Zulassungszeiträumen
eine kalkulierbare Basis, um technologische und wirtschaftliche Interessen abwägen
zu können.
Wird durch den Lenkungskreis Infrastruktur festgestellt, dass eine europaweite Regelung zu einer
bestimmten Technologie erforderlich ist, so wird von der Arbeitsgruppe empfohlen, dies über die
Normungsgremien CEN, CENELEC bzw. ETSI in den Eisenbahnsektor einzuführen. Auf die
Details zu diesem Verfahren soll hier nicht weiter eingegangen werden, da es entsprechende
Regeln von den Normungsgremien für ein derartiges Verfahren gibt.
Es ist das Ziel, die Zustimmung durch das EBA für die Regelwerke und technischen Dokumente
mit dem Potential zu Anerkannten Regeln der Technik zu erhalten. Auf Grund der Besonderheit
im Sektor Eisenbahn durch Verordnungen und Verwaltungsvorschriften ist die Einbeziehung des
EBA geboten. Vor diesem Hintergrund wäre die Mitarbeit des EBA in der Arbeitsgruppe sinnvoll
und hilfreich gewesen. Seitens des EBA wurde allerdings kein Vertreter benannt.
7.2 Stellungnahme durch EBA
Eine Stellungnahme durch das EBA zu diesem Positionspapier ist aus Sicht der Arbeitsgruppe
notwendig.
Die Stellungnahme soll dazu führen, dass das EBA seine Zustimmung zum skizzierten Prozess
zur Erlangung von Anerkannten Regeln der Technik gibt.
34

8 Anhang
8.1 Literaturverzeichnis
[1] Verordnung (EG) Nr. 352/2009 „Common Safety Method (CSM RA) – gemeinsame Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Abs. 3
Buchstabe a der Richtlinie 2004/49/EG“
[2] EG-Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April
2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie
95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen
und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn,
die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung
(„Richtlinie über die Eisenbahnsicherheit“)
[3] EG-Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni
2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft (Neufassung)
[4] Bundesministerium der Justiz, Handbuch der Rechtsförmlichkeit, 3. Auflage, Kapitel 4.5,
RNr. 255 – 257
[5] Durchführungsverordnung (EU) Nr. 402/2013 der Kommission vom 30. April 2013 über die
gemeinsame Sicherheitsmethode für die Evaluierung und Bewertung von Risiken und zur
Aufhebung der Verordnung (EG) Nr. 352/2009
[6] Mitteilung der Kommission im Rahmen der Durchführung der Richtlinie 2008/57/EG des
Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des
Eisenbahnsystems in der Gemeinschaft (Neufassung) (auch OJ genannt)
[7] CENELEC Guide 26 Coordinated approach for the handling of proposals for the interpretation
of CENELEC standards, Edition 1, 2002-06
[8] Geschäftsordnung Teil 3: Regeln für den Aufbau und die Abfassung von CEN/CENELEC-
Publikationen (ISO/IEC-Direktiven – Teil 2, modifiziert) 2009-08 berichtigte Fassung
[9] DKE-Leitfaden Beteiligung der DKE an der Erstellung und Bewertung von Normungsaufträgen
der Europäischen Kommission (Mandate); 18.03.2010
[10] Verwaltungsvorschrift für die Neue Typzulassung (NTZ) von Signal-, Telekommunikations-
und Elektrotechnischen Anlagen; (Stufe 1: Übergangsregelung für Sicherungsanlagen
zur Anwendung im Projekt VDE 8.1/8.2); Ausgabe 0.80b, gültig ab 01.01.2013
[11] EN 50129:2003; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik
[12] ISO 9001:2008; Qualitätsmanagementsysteme - Anforderungen
[13] Datei der Regelwerkslandkarte der NeGSt Arbeitsgruppe „Anerkannte Regeln der Technik“
[14] EN 50126:1999 und Berichtigungen; Bahnanwendungen - Spezifikation und Nachweis
der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS);
[15] EN 50128:2011; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme
35

[16] NeGSt Teilbericht AP 2100 – Empfehlung zum Umgang mit Normen mit Technisches
Memo inkl. referenzierte technisches Memo „jNMS Anforderungsanalyse“ sowie Teilbericht
„NMS Umsetzung mit Polarion ALM“
[17] Eisenbahn-Bau- und Betriebsordnung (EBO); Ausfertigungsdatum: 08.05.1967; Zuletzt
geändert durch Art. 1 V v. 25.7.2012 I 1703
[18] VV BAU-STE Ausgabe 4.51, gültig ab 01.06.2010
[19] Ril 408 „Züge fahren und Rangieren“
[20] Ril 819 „LST Anlagen planen“
[21] EN 50126 Reihe: prEN 50126-1, -2, -4 und -5, Entwurf 2012
Zusammenführung der EN 50126, EN 50128 und EN 50129
[22] EN 61508 Europäische Norm; Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer
elektronischer Systeme
[23] EN 61511 Europäische Norm; Funktionale Sicherheit - Sicherheitstechnische Systeme
für die Prozessindustrie mit EN 61511-1:2012
[24] Mü8004 Technische Grundsätze für die Zulassung von Sicherungsanlagen; Ausgabe
01.02.2007
[25] Sammlung „Definition Betriebsbewährtheit“, Erarbeitet von AP 2100, Arbeitsgruppe 1
„Anerkannte Regeln der Technik“, V1-00
8.2 Glossar
A.R.d.T.
AEG
AP
BMVBS
BMWi
BÜ
CEN
CENELEC
CSM RA
DB
DIN
DLR
EBA
EBC
EBO
Anerkannte Regeln der Technik
Allgemeines Eisenbahngesetz
Arbeitspaket
Bundesministerium für Verkehr, Bau und Stadtentwicklung
Bundesministerium für Wirtschaft
Bahnübergang
Comité Européen de Normalisation (engl.: European Committee for Standardisation,
dt.:Europäische Komitee für Normung)
Comité Européen de Normalisation Électrotechnique (engl.: European Committee
for Electrotechnical Standardization, dt.: Europäische Komitee für elektrotechnische
Normung)
Gemeinsame Sicherheitsmethoden für die Evaluierung und Bewertung von Risiken
Deutsche Bahn
Deutsche Industrie Norm
Deutsches Zentrum für Luft- und Raumfahrt
Eisenbahn-Bundesamt
Eisenbahn-CERT (Zertifizierungs- und Inspektionsstelle für komplexe Eisenbahnsysteme
und Komponenten)
Eisenbahn- Bau- und Betriebsordnung
36

EdB
EN
EOW
ESO
ESTW
ETCS
ETSI
EU
IEC
IMS
ISO
LAEB
LEU
LK
LST
LZB
Mü 8004
NeGSt
NeuPro
NTZ
OJ
PZB
RAMS
Ril
RL
RWTH
SiErm
SIS
SMS
STE-Anlagen
TEIV
TK
TSI
Eisenbahnen des Bundes
Europäische Norm
Elektrisch Ortsgestellte Weichen
Eisenbahnsignalordnung
Elektronisches Stellwerk
European Train Controll System (dt.: Europäisches Zugsicherungssystem)
European Telecommunications Standards Institute (dt.: Europäisches Institut für
Telekomunikationsnormen)
Europäische Union
International Electrotechnical Commission
Integrierten Management Systems
International Organization for Standardization
Länderausschuss für Eisenbahnen und Bergbahnen
Streckenseitige elektronische Einheit
Lenkungskreis
Leit- und –Sicherungstechnik
Linienförmige Zugbeeinflussung
EBA: Technische Grundsätze für die Zulassung von Sicherungsanlagen [München
1980, im April (04)]
Neue Generation Signaltechnik
Neuausrichtung Produktionssteuerung, Standardisierung der Stellwerkstechnik
Neue Typzulassung
Official Journal zu EG-Richtlinie (Liste der harmonisierten Normen)
Punktförmige Zugbeeinflussung
Reliability, Availability, Maintainability and Safety (deutsch: Zuverlässigkeit,
Verfügbarkeit, Instandhaltbarkeit und Sicherheit)
Richtlinie der DB AG
Richtlinie oder auch als EG-RL abgekürzt. Damit gemeint sind EG-Richtlinien.
Rheinisch-Westfälische Technische Hochschule
Sicherheitliches Ermessen
Sicherheitstechnisches System
Sicherheitsmanagementsystem
Signal-,Telekomunikations- und Elektrotechnische Anlagen
Transeuropäische Interoperabilitätsverordnung
Telekommunikation
Technische Spezifikation für die Interoperabilität
37

VDB
VDV
VPI
VV BAU
VV BAU-STE
VV NTZ ÜGR
Stufe 1
VwVfG
Verband der Bahnindustrie
Verband Deutscher Verkehrsunternehmen
Vereinigung der Prüfingenieure
Verwaltungsvorschrift über die Bauaufsicht im Ingenieurbau, Oberbau und
Hochbau
Verwaltungsvorschrift für die Bauaufsicht über Signal-, Telekommunikationsund
Elektrotechnische Anlagen
Verwaltungsvorschrift für die Neue Typzulassung (NTZ) von Signal-, Telekommunikations-
und Elektrotechnischen Anlagen; (Stufe 1: Übergangsregelung für
Sicherungsanlagen zur Anwendung im Projekt VDE 8.1/8.2); Ausgabe 0.80b,
gültig ab 01.01.2013
Verwaltungsverfahrensgesetz
38

Neue Generation Signaltechnik - NeGSt
Sammlung zu
„Definition Betriebsbewährtheit“
NeGSt
AP 2100, Arbeitsgruppe 1
„Anerkannte Regeln der Technik“
31. Juli 2013
Datei: NeGSt_ARdT_Sammlung_Betriebsbewaehrt_V1-
00_20130731

Inhaltsverzeichnis
1 Vorwort 3
2 Sammlung Definition Betriebsbewährtheit 4
2.1 Funktionale Sicherheit elektrotechnischer Komponenten - Ein Leitfaden für Anwender
[A] 4
2.2 IEC 61508 4
2.3 IEC 61511 (Prozessindustrie) 5
2.4 Diskussion innerhalb der Normenfachexperten IEC 61508/61511 6
2.5 DIN EN 5012x (Bahn) 6
2.5.1 DIN EN 50126:2000 6
2.5.2 DIN EN 50128:2001 / EN 50128:2011 6
2.5.3 DIN EN 50129:2003 6
2.6 ISO 26262 (Automotive) 7
2.7 EN 13849 ( Anlagen-/Maschinensicherheit) 7
2.8 Im Kontext der (Chemie-)Anlagensicherheit 8
2.9 Im Kontext elektrotechnischer Komponenten 8
2.10 Im Software-Kontext 9
3 Anhang 10
3.1 Literaturverzeichnis 10
3.2 Quellenverzeichnis Internet 11
3.3 Glossar 11
Änderungsvermerke:
Version Durchgeführt von Anmerkung
V0-00 C. Hilgers Veröffentlichte Fassung
2

1 Vorwort
Mit diesem Dokument werden Definitionen und Aussagen zum Begriff „Betriebsbewährtheit“ zusammengefasst.
Es ist eine Zusammenstellung, die nicht den Anspruch auf Vollständigkeit erhebt.
Im Rahmen des Projektes NeGSt AP 2100, Arbeitsgruppe 1 „Anerkannte Regeln der Technik“
wird der Begriff „Betriebsbewährtheit“ diskutiert und führte zu einer Sammlung von Definitionen.
Dieses Dokument ergänzt somit das Positionspapier „Positionspapier Entwicklung von anerkannten
Regeln der Technik“, insbesondere die Aussagen zur Betriebsbewährtheit in Kapitel 4.1.
3

2 Sammlung Definition Betriebsbewährtheit 1
2.1 Funktionale Sicherheit elektrotechnischer Komponenten - Ein Leitfaden für Anwender
[A]
„Die IEC 61508 ist die Grundnorm und damit die Basis für die Sicherheitsnormierung. Daneben
gibt es noch sektorspezifische Normen auf Basis der IEC 61508, die besonders für Planer und
Betreiber wichtig sind. Für die Prozessindustrie gilt die IEC 61511. Mögliche Anwendungen und
Validierungen für sicherheitsrelevante Schutzfunktionen sowie Regeln für (betriebs-)bewährte
Technik werden durch europäische und internationale Normen (zum Beispiel DIN EN 50116 oder
DIN ISO 13849-2) definiert.
…
In der IEC 61511 wird „betriebsbewährt“ definiert, jedoch kann nur der Betreiber eine Betriebsbewährung
aussprechen, der Hersteller nicht. Betriebsbewährte Geräte werden zumeist durch die
Anwender in Standardgerätelisten festgehalten. Betriebsbewährungen müssen lückenlos dokumentiert
werden und in hinreichendem Maße die Einsatzerfahrungen über einen längeren Zeitraum
wiedergeben.“
Quelle [A]:
http://www.namur.de/fileadmin/media/Pressespiegel/atp/atp_01_02_2011_Funktionale_Sicherheit_Knit
tel_Namur.pdf
2.2 IEC 61508
Zitat aus IEC 61508-2:2000 [15]:
„7.4.7.6 Eine Komponente oder ein Teilsystem kann dann als betriebsbewährt (Proven in
Use) angesehen … Komponente ausreichende Nachweise … Einsatz in einem sicherheitstechnischen
System eignet.
….“
Die weiteren Abschnitte 7.4.7.7 bis 7.4.7.12 der Norm beschreiben die Anwendungsbedingungen
für das Kriterium „proven in use“.
In der EN 61508-2:2010 [5] sind geändert diese Aussagen zu finden:
„7.4.10 Anforderungen an betriebsbewährte Elemente
Anmerkung Siehe 7.4.2.2. c) für Einzelheiten, wann die Anforderungen dieses Unterabschnitts gelten.
7.4.10.1 Ein Element darf nur als betriebsbewährt betrachtet werden, wenn es eine klar beschränkte
und festgelegte Funktionalität hat und wenn ein angemessener dokumentarischer
Nachweis vorliegt, um zu zeigen, dass die Wahrscheinlichkeit aller gefahrbringenden systematischen
Fehler gering genug ist, …“
Zitat aus IEC 61508-7:2000 [16] der Norm:
„B.5.4 Felderfahrung
Anmerkung 1 Siehe auch C.2.10 für eine ähnliche Maßnahme und Anhang D für einen
statistischen Ansatz, beides im Zusammenhang mit Software.
1 engl. „proven in use“
4

Anmerkung 2 Dieses Verfahren/Maßnahme ist in den Tabellen B.3 und B.5 der IEC
61508-2 aufgeführt.
Ziel: Verwendung von Felderfahrungen …
Beschreibung: Verwendung von Bauteilen oder Untersystemen, … über ausreichend lange
Zeit in zahlreichen verschiedenen Anwendungen keine oder nur unbedeutende Fehler …
Für die Angabe ,,Felderfahrung“ müssen die folgenden Bedingungen erfüllt sein:
unveränderte Spezifikation;
10 Systeme in verschiedenen Anwendungen;
10 5 Betriebsstunden und mindestens ein Jahr Betriebsaufzeichnung.
Die Felderfahrung wird durch Dokumentation des Herstellers und/oder der betreibenden Firma
nachgewiesen.
… “
In der EN 61508-7:2010 [17] sind ähnliche Aussagen zu finden:
„…
Ziel: Verwendung von Felderfahrungen …
Beschreibung: Verwendung von Bauteilen oder Teilsystemen, … über ausreichend lange Zeit
in zahlreichen verschiedenen Anwendungen keine oder nur unbedeutende Fehler gezeigt
haben …
Für die Angabe ,,Felderfahrung“ müssen die folgenden Bedingungen erfüllt sein:
unveränderte Spezifikation;
10 Systeme in verschiedenen Anwendungen;
10 5 Betriebsstunden und mindestens ein Jahr Betriebsaufzeichnung.
…
Die Felderfahrung wird durch Dokumentation des Herstellers und/oder der betreibenden Firma
nachgewiesen.
…“
2.3 IEC 61511 (Prozessindustrie)
Definition Betriebsbewährtheit nach E DIN EN 61511-1:2012-10 Kap. 3.2.55 [6]:
„Betriebsbewährt (en: prior use)
dokumentierte Beurteilung, beruhend auf Betriebserfahrungen in einer ähnlichen Umgebung,
…“
„11.5.3 Anforderung hinsichtlich der auf Basis einer früheren Verwendung erfolgenden Auswahl
von Komponenten und Teilsystemen
5

11.5.3.1 Es muss in geeigneter Weise nachgewiesen werden, dass die Komponenten und
Teilsysteme für den Einsatz im sicherheitstechnischen System geeignet sind.
…
11.5.3.2 Der Nachweis muss Folgendes beinhalten:
Berücksichtigung des Qualitätsmanagements …
…
den Umfang der Betriebserfahrung;
…“
EN 61511-1:2004 [15]:
„3.2.60 Eine Komponente ist dann betriebsbewährt, … für den Einsatz in einem sicherheitstechnischen
System geeignet …“
2.4 Diskussion innerhalb der Normenfachexperten IEC 61508/61511
Anpassung der Definitionen zur früheren Nutzung und der Bedingungen, unter denen diese herangezogen
werden kann. Die Benennung „frühere Nutzung“ wird in der zur Zeit gültigen DIN EN
61511 (VDE 0810):2004 für die Benennung „prior use“ nach IEC 61511 verwendet. DKE/GK 914
berät jedoch darüber, für die Neuausgabe der DIN EN 61511 (VDE 0810) diese Benennung
„frühere Nutzung“ durch die in der deutschen Fachöffentlichkeit übliche Benennung „betriebsbewährt“
zu ersetzen.
Eine vom Hersteller festgestellte Betriebsbewährung (proven in use) wird in der künftigen IEC
61511 voraussichtlich nicht mehr beschrieben werden.
Quelle (Meldung vom 14.1.2013) [B]: http://www.dke.de/de/DKE-
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx
Eine Diskussion der unterschiedlichen Aussagen der IEC 61508 und IEC 61511 zur Betriebsbewährtheit
sowie einer möglichen Umsetzung erfolgt im englischsprachigen Artikel [13].
2.5 DIN EN 5012x (Bahn)
2.5.1 DIN EN 50126:2000
Keine Verwendung; in B5. ist ohne weitere Erläuterung die Rede von „erprobten Verfahren/Werkzeugen“
2.5.2 DIN EN 50128:2001 / EN 50128:2011
„Betriebsbewährter Übersetzer“ (Compiler) in Abschnitt B.65 der Norm von 2001 beschrieben; in
der Norm von 2011 wurde der Abschnitt offensichtlich entfernt
2.5.3 DIN EN 50129:2003
Verwendung im Kontext der Verwendung betriebsbewährter Computertools für SIL3/SIL4
in Tabelle E.7, vierte Zeile. Keine Definition des Begriffs.
6

„Bei SIL3 / 4: R: Verwendung von betriebsbewährten oder validierten Werkzeugen, allgemeine
computerunterstützte Entwicklung“
Die hier relevantere Verwendung ist diejenige als empfohlene Methode (Einstufung R =
recommended) für die Verifikation und Validation von Systemen/Produktentwürfen in Tabelle
E.9, zwölfte Zeile:
"10.000 Betriebsstunden über mindestens 1 Jahr" für SIL 1/2-Systeme sowie "1 Million
Betriebsstunden über mindestens 2 Jahre mit unterschiedlichen Einrichtungen, einschließlich
Sicherheitsanalyse, detaillierte Dokumentation auch von kleineren Änderungen
während der Betriebszeit" für SIL 3/4-Systeme.
2.6 ISO 26262 (Automotive)
Proven-in-Use, Betriebsbewährtheit: Wenn Komponenten eines Systems wiederverwendet werden
sollen oder einige Zeit vor Inkrafttreten der Norm erfolgreich und fehlerfrei von Kunden verwendet
wurden, kann man mit dieser Erfahrung den Entwicklungsaufwand bei Wiederverwendung
reduzieren. Je nach Bedeutung können von der Norm geforderte Nachweise oder Maßnahmen
entfallen. Voraussetzung ist eine Produktbeobachtung 2 und die Analyse der Ausfälle, die
in der Hand des Kunden aufgetreten sind[6]. Komponenten können Hardwarekomponenten und
Softwaremodule sein, aber auch Teile der früher erarbeiteten Dokumentation, die selbst nur dem
Nachweis einer sicheren Entwicklung dient.
Quelle [C]: http://de.wikipedia.org/wiki/ISO_26262
Schließlich wird in der Leitnorm für die Risikobeurteilung (ISO 12100) ausdrücklich erwähnt, dass
bei den notwendigerweise hypothetischen Analysen real existierende Praxisbefunde berücksichtigt
werden sollen. Dies tut z. B. die funktionale Sicherheitsnorm ISO 26262 für Kraftfahrzeuge im
Teil 8 Abschnitt 14 mit statistisch begründeten Methoden zum Nachweis der Betriebsbewährtheit.
Quelle [D]: http://www.industrieforum.net/de/konstruktionentwicklungde/april042011/rubrik/betriebsbewaehrtheitberuecksichtigen/;jsessionid=aT_fUTwaOMVdZig42f
Die aktuelle Dissertationsschrift [14] setzt sich ausführlich mit Theorie und Praxis der Betriebsbewährtheit
im Automobilbereich auseinander.
2.7 EN 13849 ( Anlagen-/Maschinensicherheit)
EN 13849-1: Betriebsbewährte Bauteile als eine Maßnahme (unter vielen) gegen CCF-Ausfälle
Quelle [E]: www.hs-augsburg.de/~gilles/.../Steuerungen%20EN%2013849-1.ppt
Betriebsbewährte Bauteile. In ähnlichen Anwendungen bereits eingesetzt (vgl. DIN EN ISO 13849-2 B.4)
Quelle [F]: http://www.festo.com/net/SupportPortal/Files/26977/Sicherheitstechnik%20135241%2003-
2013%20DE.pdf
2 http://de.wikipedia.org/wiki/Produktbeobachtung
7

Zitate aus EN ISO 13849-1:2008 [7]:
„4.5.1 Performance Level P
…
Dies kann erreicht werden durch Erhöhung der Zuverlässigkeit der Bauteile, z. B. durch Auswahl
von bewährten Bauteilen und/oder die Anwendung von bewährten Sicherheitsprinzipien,
…
6.2.4 Kategorie 1
… Ein bewährtes Bauteil für eine sicherheitsbezogene Anwendung ist ein Bauteil, das entweder:
a) in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen …
b) unter Anwendung von Prinzipien hergestellt und verifiziert …
…“
Zitat aus EN ISO 13849-2:2003 [17]:
„8 Validierung der Umgebungsanforderungen
Die Anwendung von Betriebszuverlässigkeitsdaten … können den Validierungsprozess unterstützen.“
2.8 Im Kontext der (Chemie-)Anlagensicherheit
Als betriebsbewährt gelten Ausrüstungsteil, die bereits in einer Mindeststückzahl über einen definierten
Zeitraum in gleichem oder zumindest vergleichbarem Einsatzbereich betrieben werden
und als sicher in ihrer Funktion gelten. Die IEC 61511 beziffert hier die Summe der Einsatzzeit
auf mindestens 30 Mio. Stunden (Einbeziehung aller eingesetzten Geräte). Neben der IEC 61511
behandelt auch die Namur-Empfehlung NE 93 die Kriterien für die Betriebsbewährtheit.
Quelle [G]: http://www.industrie.de/industrie/live/index2.php?set=goarticle&object_id=30095748
2.9 Im Kontext elektrotechnischer Komponenten
„Betriebsbewährtheit
Proven in Use (zur Konfiguration sicherheitsbezogener Systeme werden u. a. betriebsbewährte
[proven-in-use] Bauteile verwendet. Das heißt Bauteile, die sich bereits in größerer
Stückzahl über einen längeren Zeitraum unter gleichen oder ähnlichen Einsatzbedingungen
bezüglich ihrer Funktionssicherheit bewährt haben. Die konkreten Kriterien für die Betriebsbewährtheit
sind dabei in den verschiedenen Branchen nicht exakt gleich definiert. Nach der
DIN EN 61511 (VDE 0810) beispielsweise werden in der Prozessindustrie unter Einbeziehung
aller betrachteten Geräte mindestens 30 Mio. Stunden Betriebszeit vorausgesetzt. Im
Bereich des Maschinenbaus dagegen werden Bauteile oder Komponenten als betriebsbewährt
angesehen, wenn zehn Systeme in unterschiedlichen Anwendungen während 10 000
Betriebsstunden oder wenigstens einem Jahr Betriebsdauer keine sicherheitsrelevanten Fehlfunktionen
gezeigt haben)“
Quelle [H]: http://www.etz.de/1111-0-Fachlexikon.html?alpha=B
8

2.10 Im Software-Kontext
„Der Begriff ,,Betriebsbewährtheit'' und der Begriff ,,Erprobtheit'' kommen eigentlich aus dem
Gebiet der Hardware, vor allem in Bezug auf Bauelemente. Sie sind im Regelwerk festgelegt
(siehe z.B. DIN 50116 und DIN 0801).
Der Beurteilung, ob eine Software betriebsbewährt ist (Es kann sich auch um ein einzelnes
Modul oder z.B. um einen kompletten Compiler handeln), liegen drei Kriterien zugrunde:
Zeitraum des Einsatzes mindestens zwei Jahre
Große Anzahl von Installationen
Unterschiedliche Anwendungen
Die Spezifikation darf nicht verändert werden, nur um diese Kriterien zu erfüllen. Außerdem
dürfen keine oder nur unwesentliche Versagensfälle auftreten. Der Einsatz betriebsbewährter
Software ist - wie bei Hardware - eine Maßnahme, die Verfügbarkeit und Zuverlässigkeit des
Gesamtsystems erhöht.
Bei manchen Software-Produkten bedeutet das Zutreffen der obigen drei Kriterien nicht unbedingt
das das Produkt ,,Betriebsbewährt'' ist. So kann es sich bei einem Betriebssystem einer
bekannten Firma aus Redmond nicht um eine ,,Betriebsbewährte'' Software handelt, da
auftretende Fehler meistens nicht selten und unwesentlich sind. Zwar überwiegt die Anzahl
der Installation und die der Unterschiedlichen Anwendungen sicher denen anderer Hersteller,
aber trotzdem sollte dieses Produkt nicht als ,,Betriebsbewährt'' angesehen werden.“
Quelle [I]: http://www.fh-wedel.de/archiv/wol/seminar/gruppe9-10/definition.html
9

3 Anhang
3.1 Literaturverzeichnis
[1] EN 50129:2003; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme
- Sicherheitsrelevante elektronische Systeme für Signaltechnik
[2] EN 50126:1999 und Berichtigungen; Bahnanwendungen - Spezifikation und Nachweis der
Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS);
[3] EN 50128:2008; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme
- Software für Eisenbahnsteuerungs- und Überwachungssysteme
[4] EN 50126 Reihe: prEN 50126-1, -2, -4 und -5, Entwurf 2012
Zusammenführung der EN 50126, EN 50128 und EN 50129
[5] EN 61508-2:2010 Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer/programmierbarer
elektronischer Systeme – Teil 2: Anforderungen an sicherheitsbezogene
elektrische/elektronische/programmierbare elektronische Systeme
[6] E DIN EN 61511-1:2012-10: Europäische Norm; Funktionale Sicherheit - Sicherheitstechnische
Systeme für die Prozessindustrie
[7] EN 13849 Europäische Norm; Sicherheit von Maschinen - Sicherheitsbezogene Teile von
Steuerungen
[8] ISO 26262 Internationale Norm; Straßenfahrzeuge - Funktionale Sicherheit
[9] ISO 12100 Internationale Norm; Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze
- Risikobeurteilung und Risikominderung
[10] NE 93
[11] DIN 50116 Prüfung von Zink und Zinklegierungen; Schlagbiegeversuch
[12] DIN 0801 Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben.
[13] R. Amkreutz and I. Van Beurden: What does proven in use imply? Houston, TX, United
States, 2004.
[14] Marco Heinz Schlummer: Beitrag zur Entwicklung einer alternativen Vorgehensweise für
eine Proven-in-Use-Argumentation in der Automobilindustrie. Bergische Universität Wuppertal,
2012
[15] IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related
systems - Part 2
[16] IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related
systems - Part 7
[17] EN 61508-7:2010 Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer/programmierbarer
elektronischer Systeme – Teil 7: Überblick über Verfahren und
Maßnahmen
10

3.2 Quellenverzeichnis Internet
[A] http://www.namur.de/fileadmin/media/Pressespiegel/atp/atp_01_02_2011_Funktionale_Si
cherheit_Knittel_Namur.pdf
[B] http://www.dke.de/de/DKE-
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx
[C] http://www.dke.de/de/DKE-
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx
[D] http://www.industrieforum.net/de/konstruktionentwicklungde/april042011/rubrik/betriebsbewaehrtheitberuecksichtigen/;jsessionid=aT_fUTwaOMVdZig42f
[E] www.hs-augsburg.de/~gilles/.../Steuerungen%20EN%2013849-1.ppt
[F] http://www.festo.com/net/SupportPortal/Files/26977/Sicherheitstechnik%20135241%2003-
2013%20DE.pdf
[G] http://www.industrie.de/industrie/live/index2.php?set=goarticle&object_id=30095748
[H] http://www.etz.de/1111-0-Fachlexikon.html?alpha=B
[I] http://www.fh-wedel.de/archiv/wol/seminar/gruppe9-10/definition.html
3.3 Glossar
AP
CCF
DIN
DKE
E/E/PES
EN
GK
IEC
ISO
NeGSt
PL
SIL
SIS
VDE
Arbeitspaket
Common Cause Failure
Deutsche Industrienorm
Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und
VDE
Elektrische/Elektronische/Programmierbare Elektronische Systeme
Europäische Norm
Gemeinschaftskomitee
International Electrotechnical Commission
International Organization for Standardization
Neue Generation Signaltechnik
Performance Level
Safety Integrity Level
Sicherheitstechnisches System
Verband der Elektrotechnik Elektronik Informationstechnik e.V.
11

Schlussbericht
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses
Anhang 2.2:
Teilberichte der Arbeitsgruppe 2 „Effiziente Umsetzung
CSM-VO“
1. Signifikanzbewertung von Änderungen an technischen Systemen auf Grundlage Ausfallfolgen-Unsicherheits-Matrix
2. Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
3. Allgemein vertretbares Risiko
4. Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen” bei
Anwendung der CSM-VO
5. Semi-quantitative Verfahren zur expliziten Risikoabschätzung
6. Unabhängige Bewertung
7. Schulungsfolien zur Einführung in die "CSM-VO"
8. Erfüllung der CSM VO durch Anwendung der CENELEC-Normen

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Signifikanzbewertung von Änderungen an technischen
Systemen auf Grundlage Ausfallfolgen-
Unsicherheits-Matrix
18.04.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger: TÜV Rheinland Consulting GmbH

AP 2100 – Signifikanzbewertung
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
29.06.2012 Braband (Siemens AG) V01 Erstellung
17.07.2012 Braband (Siemens AG) V02 Einarbeitung von Anmerkungen nach dem AG-
Treffen 2012-07-02
14.08.2012 Brinkmann (PINTSCH V03 Änderung nach Inspektion
BAMAG GmbH)
28.08.2012 Braband (Siemens AG) V04 Abschließendes Review im AG-Treffen 2012-08-
28
16.04.2013 Braband (Siemens AG) V05 Einarbeitung weiterer Aspekte und Beispiele
18.04.2013 Beck (DB AG), Brinkmann
(PINTSCH BA-
MAG GmbH),
Schwencke (DLR)
V06
Einarbeitung von Korrekturen und Kommentaren
Seite 2 von 15

AP 2100 – Signifikanzbewertung
Inhaltsverzeichnis
1 Einleitung .......................................................................................................................... 4
2 Zum Begriff der Änderung .............................................................................................. 4
3 Vorgaben der CSM VO ..................................................................................................... 5
4 AUM-Verfahren ................................................................................................................ 5
5 Diskussion der Signifikanzkriterien ................................................................................ 6
5.1 Allgemeine Überlegungen .......................................................................................... 6
5.2 Sicherheitsrelevanz ..................................................................................................... 7
5.3 Folgen von Ausfällen .................................................................................................. 7
5.4 Innovative Elemente in der Implementierung der Änderung .................................. 7
5.5 Komplexität der Änderung ......................................................................................... 8
5.6 Überwachung .............................................................................................................. 8
5.7 Umkehrbarkeit ............................................................................................................. 9
5.8 Additive Wirkung ........................................................................................................ 9
5.9 Gesamtbewertung ....................................................................................................... 9
6 Beispielanwendungen ................................................................................................... 10
6.1 Typische Beispiele aus der Praxis ............................................................................. 10
6.2 Beispiel Schnittstellenänderung ............................................................................... 11
6.3 Diskussion .................................................................................................................. 12
7 Zusammenfassung ......................................................................................................... 13
8 Anhang ........................................................................................................................... 14
8.1 Vergleich mit qualitativen Signifikanzkriterien ...................................................... 14
8.2 Referenzen ................................................................................................................. 14
8.3 Abkürzungen ............................................................................................................. 15
Seite 3 von 15

AP 2100 – Signifikanzbewertung
Einleitung
1 Einleitung
Die Signifikanzbewertung von Änderungen hat bei der Umsetzung der EG Verordnung
352/2009 zu einigen Diskussionen geführt. Dies liegt unter anderem an teilweise den Sinn der
Verordnung verändernden Übersetzungen aus dem englischen Original, aber auch an unklaren
oder unvollständigen Formulierungen.
Hinderlich ist aber vor allem, dass es bisher kein einheitliches Verfahren zur Signifikanzbewertung
gibt. Es gibt zwar allgemeine Vorschläge z. B. seitens ORR und darauf aufbauend Vorschläge
des VDV bzw. der DB AG, ein ähnliches Verfahren, die sog. Ausfallfolgen-Unsicherheits-
Matrix (AUM), insbesondere zur Bewertung organisatorischer, betrieblicher oder baulicher Änderungen
einzusetzen, bisher gibt es aber keine Ausprägung der AUM zur Bewertung von Änderungen
an signaltechnischen Systemen.
In diesem Bericht wird für eine Änderung an signaltechnischen Systemen diskutiert, ob und wie
die Bewertung der Signifikanz mit einer AUM-Variante sinnvoll durchgeführt werden kann. Dies
hätte den Vorteil, dass man dann im deutschen Eisenbahnsektor eine einheitliche Methode zur
Signifikanzbewertung verabschieden könnte, die je nach Einsatzzweck mit unterschiedlichen
Kriterien untersetzt werden könnte
Um das Ergebnis abzusichern, wird die Variante an typischen Beispielen pilotiert und mit den
Ergebnissen einer bereits erarbeiteten qualitativen Signifikanzbewertung bei Durchführung von
Änderungen auf Grundlage von Regelwerken abgeglichen.
2 Zum Begriff der Änderung
Bevor eine Signifikanzbewertung erfolgt, sollte zunächst überlegt werden, ob überhaupt eine
Änderung im Sinne der EG Verordnung 352/2009 vorliegt. Leider wird in der Verordnung selbst
der Begriff der Änderung nicht definiert, so dass man in einer weiten Auslegung des Begriffes
auch davon ausgehen könnte, dass jede Änderung im Eisenbahnsystem auf Signifikanz zu bewerten
wäre, z. B. Umlauf einer Weiche, Eingabe einer Langsamfahrstelle oder Änderung einer
Projektierung. Dies ist aber sicherlich nicht Sinn der EG Verordnung 352/2009 und wurde auch
von der ERA so bestätigt.
In EG Verordnung 352/2009 kann man aber unter Erwägung (4) implizit schließen, welche Änderungen
überhaupt einer Signifikanzbewertung unterzogen werden sollten:
Gemäß Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG hat das Sicherheitsmanagementsystem
Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung
von Maßnahmen zur Risikokontrolle zu umfassen für den Fall, dass sich aus geänderten Betriebsbedingungen
oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben.
Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.
Hieraus kann man insbesondere schließen, dass explizit geänderte Betriebsbedingungen oder
neues Material Änderungen im Sinn der Verordnung sind, und dass es insbesondere um die Bewertung
neuer Risiken geht, nämlich solche, die durch die Änderung hervorgerufen werden. Im
weiteren Sinn sind also Änderungen nach EG Verordnung 352/2009 solche, bei denen neue
Gefährdungen oder Risiken entstehen oder Risiken so verändert werden, dass diese Risiken die
Anwendung eines Sicherheits- oder Risikomanagementverfahrens bedürfen. Diese Interpretation
ist auch schlüssig in dem Sinne, dass die CSM VO ein harmonisiertes Risikomanagementverfahren
beschreibt. Werden Risiken aber nicht verändert oder entstehen keine neuen Risiken, so ist
auch kein Risikomanagementverfahren nötig, auch nicht nach CSM VO.
In der Regel handelt es sich daher bei wiederholter Anwendung von eingeführten Prozeduren
nicht um Änderungen im Sinne der CSM VO, allenfalls bei Änderungen an den Prozeduren bzw.
deren erstmaliger Anwendung.
Seite 4 von 15

AP 2100 – Signifikanzbewertung
Vorgaben der CSM VO
3 Vorgaben der CSM VO
Die wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:
(1) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung
in einem Mitgliedstaat signifikant ist oder nicht, prüft der Vorschlagende die potenziellen Auswirkungen
der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems.
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung
des in Artikel 5 beschriebenen Risikomanagementverfahrens verzichtet werden.
(2) Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, entscheidet der Vorschlagende
auf der Grundlage eines Sachverständigenurteils über die Signifikanz der Änderung, wobei er folgende
Kriterien berücksichtigt:
a) Folgen von Ausfällen: Szenario des schlechtesten anzunehmenden Falls („credible worst-case
scenario“) bei einem Ausfall des zu bewertenden Systems unter Berücksichtigung etwaiger außerhalb
des Systems bestehender Sicherheitsvorkehrungen;
b) innovative Elemente in der Implementierung der Änderung; dabei geht es nicht nur darum, ob es
sich um eine Innovation für den Eisenbahnsektor als Ganzes handelt, sondern auch darum, ob es sich
aus der Sicht der Organisation, die die Änderung einführt, um eine Innovation handelt;
c) Komplexität der Änderung;
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den gesamten Lebenszyklus des
Systems hinweg zu überwachen und in geeigneter Weise einzugreifen;
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung bestehenden System zurückzukehren;
f) additive Wirkung: Bewertung der Signifikanz der Änderung unter Berücksichtigung aller sicherheitsrelevanten
Änderungen des zu bewertenden Systems, die in jüngster Zeit vorgenommen und nicht als
signifikant beurteilt wurden.
4 AUM-Verfahren
Hier soll ein kurzer Überblick über das Grundverfahren gegeben werden, dass in geringen Variationen
den Vorschlägen von ORR, VDV und DB AG zugrunde liegt. Abbildung 1 zeigt die grundsätzliche
Matrix, die auf den beiden Achsen eine Ausfallfolgenkategorisierung in Anlehnung an
EN 50126 bzw. eine gemeinsame Einschätzung der Unsicherheit der Durchführung der Änderung
auf Grundlage der Kriterien Innovation und Komplexität vorsieht
Seite 5 von 15

AP 2100 – Signifikanzbewertung
Diskussion der Signifikanzkriterien
Abbildung 1: AUM
Wenn die beiden Einschätzungen vorgenommen werden, so erhält man folgende Entscheidungen
Grün bedeutet „in jedem Fall nicht signifikant“
Rot bedeutet „in jedem Fall signifikant“
Gelb bedeutet, dass zusätzlich die Kriterien der Umkehrbarkeit und Überwachung zur
abschließenden Beurteilung herangezogen werden müssen, die jeweils lediglich zwei
Ausprägungen (gegeben/nicht gegeben) besitzen
Bei der Beschreibung der AUM fällt auf, dass statt einer Matrix auch alle Kriterien in Form von
Tabellen (mit Punktbewertungen wie bei Risikoprioritätszahlen) beschrieben werden können und
dass die Entscheidung von der Summe der Punkte abhängig gemacht werden kann. Dies beschreibt
dasselbe Verfahren und führt zu identischen Entscheidungen, führt aber zu einer kompakteren
Darstellung, insbesondere da man die beschreibenden Tabellen sowieso zusätzlich zur
Matrix benötigt. Aus diesem Grund wird die Tabellendarstellung für dieses Dokument gewählt.
Bei der DB AG kommt das AUM-Verfahren mittels Matrix zur Bewertung organisatorischer, betrieblicher
oder baulicher Änderungen zum Einsatz.
5 Diskussion der Signifikanzkriterien
5.1 Allgemeine Überlegungen
Bei der CSM VO geht es um einen risikoorientierten Ansatz, der immer bei signifikanten Änderungen
anzuwenden ist. Die Signifikanzprüfung soll insbesondere sicherstellen, dass Änderungen,
deren Durchführung bzw. fehlerhafte Durchführung ein erhöhtes oder zusätzliches Risiko
mit sich bringen, durch ein harmonisiertes Risikomanagement-Verfahren abgesichert werden. D.
h. generell ist bei einer summarischen Beurteilung der Änderung auch immer einzubeziehen, ob
es sich um eine Änderung handelt, die ein großes Risikopotenzial beinhaltet.
Seite 6 von 15

AP 2100 – Signifikanzbewertung
Diskussion der Signifikanzkriterien
5.2 Sicherheitsrelevanz
Es wird innerhalb dieser Betrachtung davon ausgegangen, dass die Änderung als sicherheitsrelevant
eingestuft wird.
5.3 Folgen von Ausfällen
In der ERA Guidance heißt es dazu: „Das Kriterium der Folgenabschätzung von Ausfällen könnte
beispielsweise eingesetzt werden, um zu prüfen, ob die Folgen eines sicherheitsrelevanten
Fehlers der am zu bewertenden System vorgenommenen Änderung durch bestehende Maßnahmen
außerhalb des zu bewertenden Systems gemindert werden. Dieses Kriterium kann dann
in Kombination mit den anderen Kriterien zu der Beurteilung führen, dass eine sicherheitsbezogene
Änderung sich ohne Verwendung der CSM noch in sicherer Weise verwalten ließe. Es liegt
in der Verantwortung des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu
bewertende Änderung zu bestimmen.“
Auch ist wichtig, zu berücksichtigen, dass es hier im engeren Sinn nicht die Folgen von Ausfällen
des betrachteten Systems geht, sondern um Folgen von Fehlern bei der Durchführung der Änderung,
vergleiche dazu auch die Ausführungen zu Erwägung (2) oben. Für LST ist beides als alleiniges
Kriterium nicht sinnvoll, denn in der Regel können sicherheitsrelevante Systeme bzw. Änderungen
an diesem in einem worst-case Szenario immer zu kritischen oder katastrophalen Folgen
führen, d. h. Änderungen an LST wären immer signifikant.
Bei Änderungen an signaltechnischen Systemen könnte zur Bewertung der Ausfallfolgen der SIL
zu Grunde gelegt werden (falls bekannt), da dieser in der Regel auf Grund einer Risikoanalyse
ermittelt wurde, die sowohl die Ausfallfolgen als auch Risikoreduktionsfaktoren (Barrieren im
Sinne von „etwaiger außerhalb des Systems bestehender Sicherheitsvorkehrungen“) beinhaltet.
Handelt es sich um ein neues System, so kann man eine Ausfallfolgenabschätzung nach EN
50126 vornehmen, muss sich aber bewusst sein, dass dies in der Regel immer zu sehr konservativen
Abschätzungen führen wird.
Ausfallfolgen der Änderung SIL 4 Katastrophal 4 Punkte
SIL 3 Kritisch 3 Punkte
SIL 2 Marginal 2 Punkt
SIL 1 Unbedeutend 1 Punkt
Tabelle 1: Bewertung der Ausfallfolgen
Es muss dabei unbedingt beachtet werden, dass diese Tabelle NICHT aussagt, dass SIL und Ausfallfolgen
nach EN 50126 gleichgesetzt werden können. Die adäquate Einschätzung ist der SIL,
ersatzweise kann die Kategorie nach EN 50126 gewählt werden, wenn kein SIL bekannt ist.
5.4 Innovative Elemente in der Implementierung der Änderung
Die Innovation muss nicht nur auf die Technik bezogen werden, sondern auch auf die Erfahrung
des Vorschlagenden bzw. dessen Organisation mit der Durchführung der Änderung. Dabei
spannt sich ein Bogen auf zwischen Änderungen, die z. B. mittels spezifischen Regelwerks
durchgeführt werden können bis zu Änderungen, bei denen der Vorschlagende keine Erfahrung
hat.
Seite 7 von 15

AP 2100 – Signifikanzbewertung
Diskussion der Signifikanzkriterien
Innovation der Änderung
Der Vorschlagende hat keine Erfahrung
mit Technik bzw. Prozess zur Durchführung
der Änderung
Der Vorschlagende hat in einzelnen Aspekten
keine Erfahrung mit Technik bzw.
Prozess zur Durchführung der Änderung
Der Vorschlagende hat Erfahrung mit
Technik bzw. Prozess zur Durchführung
der Änderung, oder es gibt spez. Regelwerke
für die Durchführung der Änderung
2 Punkte
1 Punkt
0 Punkte
Tabelle 2: Bewertung der Innovation
Formal wird mit der mittleren Kategorie eine abweichende Bewertungsmöglichkeit im Vergleich
zu Abbildung 1 eingeführt, diese bleibt in der Gesamtklassifikation aber kompatibel dazu, vgl.
Tabelle 4.
5.5 Komplexität der Änderung
Bei Änderungen an technischen Systemen spielt insbesondere die Anzahl der betroffenen Teilsysteme
bzw. Schnittstellen (auch organisatorisch) eine Rolle.
Komplexität der Änderung
Die Änderung bezieht sich auf mehrere
Systeme mit vielen Schnittstellen und
vielen Abhängigkeiten zu anderen Systemen
Die Änderung bezieht sich auf ein einzelnes
System mit wenigen Schnittstellen
und es gibt wenige Abhängigkeiten zu
anderen Systemen
1 Punkt
0 Punkte
Tabelle 3: Bewertung der Komplexität
Zum Vergleich mit der AUM ist es sinnvoll, als Zwischenschritte die Kombination der Bewertung
der Innovation und Komplexität zu betrachten (Summer der Punkte).
Unsicherheit der Folgenabschätzung
Hoch
Mittel
Gering
Minimal
3 Punkte
2 Punkte
1 Punkt
0 Punkte
Tabelle 4: Bewertung der Innovation und Komplexität
Im Ergebnis der Tabelle 4 erkennt man insbesondere die Kompatibilität der Punktebewertung
mit der AUM, siehe Abbildung 1.
5.6 Überwachung
Bei Änderung an technischen Systemen ist das System bereits erfolgreich implementiert und in
Betrieb gesetzt worden, dazu gehört auch die Betrachtung aller Aspekte über den gesamten
Lebenszyklus, der für die Änderung relevant ist. Insbesondere bei Neuzulassungen und großen
Änderungszulassungen werden die neuen Komponenten in einer Sicherheits- und Betriebserprobung
intensiv überwacht. Abweichungen werden entweder über technische Diagnoseeinrichtungen
oder betrieblich über das Instandhaltungs- bzw. Sicherheitsmanagement des Betrei-
Seite 8 von 15

AP 2100 – Signifikanzbewertung
Diskussion der Signifikanzkriterien
bers entdeckt und behandelt. Diese Prozesse greifen grundsätzlich auch bei neuen Systemen, so
dass in der Signaltechnik in der Regel von ausreichender Überwachung ausgegangen werden
kann.
Überwachbarkeit der Änderung
Die Erfüllung sicherheitsrelevanter Eigenschaften
der Änderung ist mit bewährten
Prozessen bzw. Methoden der Qualitätssicherung
möglich
Zur Überwachung müssen Prozesse oder
Methoden der Qualitätssicherung neu
geschaffen werden oder es sind Teilaspekte
der Änderung nicht überwachbar
0 Punkte
1 Punkt
Tabelle 5: Bewertung der Überwachung
5.7 Umkehrbarkeit
Bei Änderungen an technischen Systemen ist das System bereits erfolgreich eingeführt worden,
d. h. es ist als sehr unwahrscheinlich einzustufen, dass die durchgeführten Änderungen in ihrer
Gesamtheit rückgängig gemacht werden müssen. Außerdem ist bei LST-Anwendungen in der
Regel schon aus Verfügbarkeitsgründen eine Rückfallebene definiert, die zumindest temporär
eingesetzt werden könnte, wenn ein Rückbau o. ä. notwendig wäre. Nach einer erfolgten
Typzulassung kann bei Änderungen häufig mit vertretbarem Aufwand zu dem vorherigen Zustand
zurückgekehrt werden oder es können betriebliche Ersatzmaßnahmen festgelegt werden.
Nur bei neuen Systemen bei denen es keine sinnvollen betrieblichen oder technischen Rückfallebenen
gibt, wäre die Umkehrbarkeit der Änderung nicht gegeben.
Umkehrbarkeit der Änderung
Gegeben, z. B. wenn ein Vorzustand
wieder hergestellt werden kann oder es
eine angemessene betriebliche Rückfallebene
gibt
Nicht gegeben, z. B. wenn ein neues
System eingesetzt wird, ohne das der
Betrieb nicht durchgeführt werden kann
0 Punkte
1 Punkt
Tabelle 6: Bewertung der Unkehrbarkeit
5.8 Additive Wirkung
Die additive Wirkung ist bei einer Änderung an einem technischen System bei der Beurteilung
aller der o. a. Kriterien zu betrachten, d. h. als Änderung ist immer die Änderung im Vergleich
mit der letzten als signifikant beurteilten Änderung aufzufassen. Ist das technische System neu
oder hat es noch keine signifikante Änderung gegeben, so sind die o. a. Kriterien so auszulegen
wie für ein neues System.
5.9 Gesamtbewertung
Die Gesamtbewertung besteht darin, die Summe der Punkte der Einzelbewertungen zu bilden
und mit einem Grenzwert zu vergleichen, den man durch Vergleich mit der AUM, siehe Abbildung
1, gewinnen kann. Z. B. führt dort die Kombination „katastrophal“ und „mittlere Unsicherheit“
zur Grenze, dies entspricht nach Tabelle 1 und Tabelle 4 genau 6 Punkten, d. h. ab
diesem Wert sind Änderungen signifikant, darunter nicht signifikant.
Seite 9 von 15

AP 2100 – Signifikanzbewertung
Beispielanwendungen
Gesamtbewertung 6 oder mehr Punkte Änderung signifikant
Weniger als 6 Punkte
Änderung nicht signifikant
Tabelle 7: Gesamtbewertung
Bei der Beurteilung spielen die Kriterien Umkehrbarkeit und Überwachung keine Rolle mehr,
wenn die Beurteilung aufgrund der anderen Kriterien schon 6 oder mehr Punkte ergibt (da es
keine negativen Punktzahlen gibt) oder weniger als 4 Punkte (da die Kriterien höchstens 2 Punkte
beitragen). Aus Gründen der Vereinfachung der Vorgehensweise und der Vergleichbarkeit der
Ergebnisse wird jedoch empfohlen, diese Bewertung immer mit durchzuführen.
6 Beispielanwendungen
6.1 Typische Beispiele aus der Praxis
In Tabelle 8 sind einige beispielhafte Signifikanzbewertungen vorgenommen worden, insbesondere
um Plausibilität und Praktikabilität der Methode an bekannten Beispielen zu testen.
Änderungen an technischen Systemen
Signifikanzbewertung
LH-Änderung
RA-Änderung
Technik Art der Änderung
Signifikanz
1 ESTW Fehlerbehebung nein nein 4 0 0 0 0 4 NEIN
2 geänderte Technik nein nein 4 2 0 0 0 6 JA
3 geänderte Funktion ja nein 4 0 1 0 0 5 NEIN
4 geänderte Funktion ja ja 4 2 1 0 0 7 JA
5 neue Funktion ja ja 4 2 0 0 0 6 JA
6 BÜSA Fehlerbehebung nein nein 3 0 0 0 0 3 NEIN
7 geänderte Funktion ja nein 3 0 1 0 0 4 NEIN
8 geänderte Funktion ja ja 3 2 1 0 0 6 JA
9 neue Funktion ja ja 3 2 0 0 0 5 NEIN
10 Rangiertechnik neue Funktion ja ja 2 2 0 0 0 4 NEIN
11 PZB neue Funktion ja ja 1 2 1 1 0 5 NEIN
12 BÜ-Fzg-Schleife geänderte Funktion ja ja 3 2 0 0 0 5 NEIN
13 Signale geänderte Technik ja ja 4 2 0 0 0 6 JA
Tabelle 8: Beispielhafte Signifikanzbewertungen
Natürlich ist jede konkrete Bewertung ein Einzelfall, aber es lassen sich auch aus den generischen
Bewertungen einige Erkenntnisse gewinnen.
Betrachtet man z. B. ein ESTW, das nur SIL 2 Anforderungen erfüllen muss, was z. B. im Einsatzgebiet
Industrie- oder Regionalbahnen oder bei Rangierstellwerken vorkommen kann, so kann
man aufgrund der Abschätzung in Tabelle 9 erkennen, dass Änderungen an einem solchen
ESTW in der Regel nicht signifikant sind, es sei denn, es gäbe anderslautende nationale Vorschriften.
Ausfallfolgen
Innovation
Komplexität
Umkehrbahrkeit
Überwachung
Summe
Seite 10 von 15

AP 2100 – Signifikanzbewertung
Beispielanwendungen
Kriterium
Bewertungsgrenzen Bewertung für SIL2 Stellwerk
Ausfallfolgen 2 Bewertung = 2
Innovation 0 – 2
Komplexität 0 – 1
Überwachung 0 In der Regel Bewertung für LST-Anwendung =
0
Umkehrbarkeit 0 In der Regel Bewertung für LST-Anwendung =
0
Summe 2 – 5
Tabelle 9: Signifikanzbewertung für typische SIL2 Stellwerke
6.2 Beispiel Schnittstellenänderung
Weiter wurde das Beispiel „Schnittstellenänderung“, das sich z. B. bei der Standardisierung von
Schnittstellen – wie von DB Netz AG vorgeschlagen- ergeben kann, im Detail betrachtet. Allgemein
sieht die Aufgabenstellung wie in Abbildung 2 aus. Dabei ist insbesondere anzumerken:
1. Vorschlagender im Sinne CSM VO ist die DB Netz AG
2. Die Schnittstellen SCI-x selber enthalten keine Funktion, sondern nur die Telegrammdefinitionen.
3. Diese ermöglichen der Anwendung, die Dienste des Sicherheitsprotokolls anwendungsspezifisch
zu nutzen.
4. Das Sicherheitsprotokoll RaSTA ist eine herstellerunabhängige Fortschreibung des
SAHARA-Protokolls, mit dem die DB Netz AG, aber auch die Herstellerfirmen, die
es implementiert haben, jahrelange Erfahrung besitzen. Die Spezifikation und deren
Implementierung wurden bereits mehrfach geändert.
5. Für RaSTA gelten dieselben Sicherheitsanforderungen wie für SAHARA. Diese
Änderung kann ohne Änderung einer Risikoanalyse implementiert werden.
6. Das Sicherheitsprotokoll erfüllt die DIN EN 50159 und ist unabhängig vom jeweiligen
Transportmedium
Applikation
Anwendungsdaten
Applikation
Schnittstelle SCI-X
Schnittstelle SCI-X
RaSTA-Protokoll
Sicherheitsprotokoll
RaSTA-Protokoll
Transportmedium (Ethernet)
Abbildung 2: Beispiel Schnittstellenänderung
Seite 11 von 15

AP 2100 – Signifikanzbewertung
Beispielanwendungen
Für die Signifikanzbewertung wird die generische Schnittstelle SCI-x inkl. der darunter liegenden
Implementierung betrachtet, unabhängig von der Applikation wie z. B. ILS, RBC oder LX. Für die
Signifikanzbewertung mit AUM bedeutet dies:
Ausfallfolgen: in der Regel handelt es sich um Daten, die mit Integrität SIL 4 transportiert
werden müssen ‐> 4 Punkte
Innovation: Der Vorschlagende hat Erfahrungen mit der Durchführung der Änderung und es
gibt relevantes Regelwerk ‐> 0 Punkte
Komplexität: Die Änderung besteht in einer Delta‐Implementierung und ist damit wenig
komplex ‐>0 Punkte
Überwachbarkeit: Es stehen bewährte Prozesse und QM‐Methoden zur Überwachung bereit
‐>0 Punkte
Umkehrbarkeit: Es gibt betriebliche Rückfallebenen und es kann ggf. auf Vorgängerversionen
zurückgegriffen werden. Außerdem kann das System komplett in Labortests auf Einsatztauglichkeit
getestet werden‐>0 Punkte
Additivität: nicht gegeben, da erste Änderung nach CSM VO
Zur Überprüfung wurde noch eine qualitative Signifikanzbewertung durchgeführt. Diese ist
statthaft, da die Änderung komplett auf Grundlage bestehenden und relevanten Regelwerk wie
DIN EN 50128, 50129 und 50159 durchgeführt wird:
Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?
Nein, die Sicherheitsanforderungen können direkt von SAHARA übernommen werden
Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung
des Regelwerks? Ja, sowohl DB Netz AG als auch die beteiligten Hersteller haben eine solche
Änderung bereits auf Basis dieses Regelwerks durchgeführt.
Beide Analysen ergeben übereinstimmend, dass die Standardisierung dieser Schnittstellen nicht
signifikant nach CSM VO ist. Es muss allerdings angemerkt werden, dass diese Bewertung nur
die Schnittstellen und nicht die jeweilige Anwendung betrachtet hat. Änderungen in den Anwendungen
müssen ggf. gesondert bewertet werden.
6.3 Diskussion
Die Bewertung der Ausfallfolgen mittels SIL ist praktikabel und führt zu eindeutigen Zuordnungen.
Wo kein expliziter SIL ausgewiesen ist, kann man diesen aus Empfehlungen substituieren
(z. B. wird SIL 4 für Entwicklungen nach Mü8004 in der Regel angenommen) oder man benutzt
die Einstufung der Schadensfolgen nach EN 50126.
Ein guter Indikator für weitere Kriterien ist, ob das Lastenheft oder die Risikoanalyse zur Durchführung
der Änderung geändert werden muss. Muss weder Lastenheft noch Risikoanalyse angepasst
werden, z. B. bei Fehlerbehebung (Zeile 1 und 6), so spricht dies häufig für geringen
Innovationsgrad und geringe Komplexität, d. h. in der Regel resultiert keine signifikante Änderung.
Es gibt jedoch Einzelfälle, z. B. wenn eine bestehende Komponente durch eine neue ersetzt
wird, für die der Vorschlagende weder Erfahrungen mit der Technik noch den Prozessen
hat, in denen hohe Ausfallfolgen im Zusammenspiel mit hoher Innovation sofort zu einer signifikanten
Änderung führen (Zeile 2). Wird dagegen eine Funktion geändert (in der Regel mit Änderung
des Lastenhefts verbunden, aber ohne Anpassung der Risikoanalyse), so kann dies auch bei
komplexen Änderungen, aber in der Regel geringem Innovationsgrad, zu nicht signifikanten
Änderungen führen (Zeile 3 und 7). Muss dagegen die Risikoanalyse angepasst werden, weil
eine Funktion radikal geändert wird oder neu dazukommt, führt dies in der Regel bei SIL 4 immer
zu signifikanten Änderungen (Zeile 4 und 5), während bei geringerem SIL die Entscheidung
von den weiteren Kriterien abhängt, z. B. Komplexität (Zeile 9-11).
Seite 12 von 15

AP 2100 – Signifikanzbewertung
Zusammenfassung
Es bleibt abschließend zu diskutieren, ob eine mittlere Einstufung für den Innovationsgrad sinnvoll
ist. Dafür spricht, dass sonst jede Innovation bei SIL4 sofort zu einer signifikanten Änderung
führt. Insbesondere im Fall von technischen Änderungen ohne funktionale Änderungen könnte
eine mittlere Einstufung sinnvoll sein, z. B. wenn eine Standardtechnik eingesetzt werden soll,
die für die Eisenbahnsignaltechnik zwar neu ist, die aber in anderen Bereichen schon eingesetzt
wird. Hier könnte es nachvollziehbar sein, dass man nur bei Vorliegen weiterer Indikatoren wie
z. B. hohe Komplexität, auf eine signifikante Änderung entscheidet.
7 Zusammenfassung
In diesem Bericht wird das allgemeine AUM-Verfahren zur Signifikanzbewertung um konkrete
Interpretationen der Kriterien für Änderungen an technischen Systemen ergänzt. Es wird dabei
eine alternative tabellarische Beschreibung benutzt, die eine vereinfachte und kompaktere Darstellung
erlaubt, aber voll kompatibel zum allgemeinen AUM-Verfahren bleibt. Insbesondere
wird dasselbe Entscheidungskriterium bez. Signifikanz benutzt. Daher wird vorgeschlagen, diese
Variante als AUM-T zu bezeichnen.
Weiter wird AUM-T anhand von typischen Beispielen plausibilisiert und getestet und mit anderen
Vorschlägen verglichen. Es zeigt sich, dass man mit AUM-T zu konsistenten und differenzierten
Signifikanzbewertungen gelangt
Dies stellt im Vergleich zu den originalen Signifikanzkriterien der CSM VO und alternativen Vorschlägen
zur allgemeinen Signifikanzprüfung einen erheblichen Fortschritt dar, insb. da insgesamt
mit diesem Vorschlag eine Reihe von schon vorhandenen Vorschlägen zu Signifikanzbewertungsmethoden
zu einer einheitlichen Familie von Methoden zur Signifikanzbewertung für
den Eisenbahnsektor komplettiert werden könnte.
Seite 13 von 15

AP 2100 – Signifikanzbewertung
Anhang
8 Anhang
8.1 Vergleich mit qualitativen Signifikanzkriterien
Im NeGSt-Ergebnisbericht „Signifikanz von Änderungen auf Grundlage relevanter Regelwerke“
wurde versucht, einfache qualitative Signifikanzkriterien zu finden. Dabei wird die Signifikanzprüfung
auf zwei Fragen reduziert
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung
des Regelwerks?“
Allerdings muss man dazu sagen, dass diese Vorgehensweise voraussetzte, dass relevante Regelwerke
vorhanden sind und damit schon eine große Einschränkung der Änderungen z. B. bezüglich
Innovationsgrad macht. Außerdem besteht bei einer einfachen qualitativen Vorgehensweise
immer die Gefahr, dass die zu konservativ ist, d. h. Änderungen als signifikant klassifiziert,
die es bei genauerer Betrachtung evt. nicht sind.
Im Vergleich zur AUM-Vorgehensweise betrachtet die qualitative Signifikanzprüfung nur Fälle,
bei denen das Regelwerk, d. h. auch das Lastenheft nicht geändert wird, d. h. nur die Fälle 1, 2
und 6 aus Tabelle 7. Die Fälle 1 und 6 würden auch als nicht signifikant klassifiziert werden und
Fall 2 immer als signifikant, da die Organisation keine ausreichenden Erfahrungen mit der innovativen
Technik hat. In der AUM könnte z. B. Fall 2 bei niedrigem SIL auch als nicht signifikant
klassifiziert werden, d. h. die qualitative Signifikanzprüfung ist wie erwartet konservativer, aber
die Ergebnisse sind konsistent.
Betrachtet man umgekehrt die Fälle, die qualitative Signifikanzprüfung als signifikant klassifiziert,
d. h. Änderungen, mit denen die Organisation keine ausreichende Erfahrung hat oder bei
denen eine (Änderung der) Risikoanalyse erforderlich ist, so ergeben sich ebenfalls konsistente
Resultate. Bei hohem SIL führt ein hoher Innovationsgrad, der auch bei Änderung der Risikoanalyse
in der Regel unterstellt wird, bei der AUM-Vorgehensweise immer zu einer signifikanten
Änderung, aber es sind Abstufungen und eine genauere Differenzierung mittels der anderen
Parameter möglich.
8.2 Referenzen
DB AG Signifikanzprüfung, Foliensatz, DN Netz AG, 18.04.2012
EN 50 126 DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03
CSM VO VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über
die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und
Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen
Union, L 108/4, 29.4.2009
CSM GUI ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,
ERA/GUI/01-2008/SAF
CSM EX ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF
Mü8004 Mü8004: Technische Grundsätze für die Zulassung von Sicherungsanlagen,
Eisenbahn-Bundesamt, Ausgabe vom 01.02.2007
Seite 14 von 15

AP 2100 – Signifikanzbewertung
Anhang
NeGSt
ORR
VDV
Ergebnisbericht „Signifikanz von Änderungen auf Grundlage relevanter Regelwerke“
ORR guidance on the application of the common safety method (CSM) on risk
assessment and evaluation, ORR, 2010
Anwendung der Verordnung (EG) Nr. 352/2009 – CSM – gemeinsame Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6
Absatz 3 Buchstabe a der Richtlinie 2004/49/EG bei der Änderung betrieblicher
Prozesse und Verfahren, Ausschuss für Eisenbahnbetrieb (AEB), VDV, Februar
2009
8.3 Abkürzungen
Abk. Langform / Erläuterung
AUM Ausfallfolgen-Unsicherheits-Matrix
AUM-T AUM-Technik
BÜ Bahnübergang
BÜSA Bahnübergangs-Sicherungsanlage
CSM Common Safety Method
DB AG Deutsche Bahn AG
DIN Deutsches Institut für Normung
EG Europäische Gemeinschaft
EN Europäische Norm
ERA European Railway Agency
ESTW Elektronisches Stellwerk
Fzg Fahrzeug
ILS Interlocking System
LST Leit- und Sicherungstechnik
LX Level Crossing
NeGSt Neue Generation Signaltechnik
ORR Office of the Rail Regulator
PZB Punktförmige Zugbeeinflussung
QM Qualitätsmanagement
RaSTA Rail Safe Transport Application
RBC Radio Bock Center
SAHARA Safe High Available and Redundant Communication Protocol
SCI Standard Communication Interface
SIL Safety Integrity Level
Seite 15 von 15

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter
Regelwerke
28.08.2012
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger:
TÜV Rheinland Consulting GmbH

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
17.04.2012 Braband (Siemens AG) V01 Erstellung
27.04.2012 Braband (Siemens AG) V02 Änderung nach Diskussion in AG2
28.08.2012 Braband (Siemens AG) V03 Änderungen nach formalem Review in AG2
Seite 2 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Inhaltsverzeichnis
1 Einleitung......................................................................................................................... 4
2 Vorgaben der CSM VO ...................................................................................................... 4
3 Fallstudie ......................................................................................................................... 5
4 Diskussion der Signifikanzkriterien....................................................................................6
4.1 Allgemeine Überlegungen ............................................................................................6
4.2 Sicherheitsrelevanz......................................................................................................6
4.3 Folgen von Ausfällen ....................................................................................................6
4.4 Innovative Elemente in der Implementierung der Änderung .......................................... 7
4.5 Komplexität der Änderung ........................................................................................... 7
4.6 Überwachung............................................................................................................... 7
4.7 Umkehrbarkeit............................................................................................................. 7
4.8 Additive Wirkung .........................................................................................................8
5 Beispiel ............................................................................................................................8
6 Zusammenfassung ...........................................................................................................9
7 Anhang .......................................................................................................................... 10
7.1 Verifizierung des gefundenen Ansatzes durch die SSM ................................................ 10
7.1.1 Beschreibung der Beispiele und Ergebnisauswertung.................................................. 10
7.1.2 Rückschlüsse für den im Report gefundenen Ansatz.................................................... 13
7.2 Referenzen ................................................................................................................ 14
7.3 Abkürzungen ............................................................................................................. 14
Seite 3 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Einleitung
1 Einleitung
Der Umgang mit Änderungen, die vollständig auf Grundlage von Regelwerken durchgeführt werden,
hat bei der Durchführung der EG Verordnung 352/2009 zu einigen Diskussionen geführt. Dies
liegt unter anderem an teilweise den Sinn der Verordnung verändernden Übersetzungen aus dem
englischen Original, aber auch an unklaren oder unvollständigen Formulierungen.
Man kann zunächst verschiedene Ansätze des Umgangs mit der CSM Verordnung unterscheiden
1) Ansatz über Definition der „Änderung des Eisenbahnsystems“: Wenn keine Änderung vorliegt,
2) Ansatz über Signifikanzkriterien: Wenn die Änderung nicht signifikant ist, wird die CSM Verordnung
nicht angewendet
3) Ansatz über effiziente Anwendung der CSM: Anwendung in jedem Fall ohne Berücksichtigung
von 1) und 2)
Die Ansätze sind alternativ zu verstehen, d. h. sie ergänzen sich und konkurrieren nicht miteinander.
In diesem Teilbericht wird nur der Ansatz 2) verfolgt, und auch nur für einen Spezialfall.
In der Verordnung wird der Begriff der Änderung nicht definiert, aber unter Erwägung (4) ausgeführt:
Gemäß Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG hat das Sicherheitsmanagementsystem
Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung
von Maßnahmen zur Risikokontrolle zu umfassen für den Fall, dass sich aus geänderten Betriebsbedingungen
oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben. Dieser
wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.
Hieraus kann man insbesondere schließen, dass explizit geänderte Betriebsbedingungen oder neues
Material Änderungen im Sinn der Verordnung sind, und dass es insbesondere um die Bewertung
neuer Risiken geht, nämlich solche, die durch die Änderung hervorgerufen werden.
In diesem Bericht wird für eine Änderung, die komplett auf Grundlage von bewährtem Regelwerk
durchgeführt wird, diskutiert, in wie weit die Signifikanzkriterien generisch angewendet werden
können und ggf. zu welchen Fragestellung in Bezug auf die Änderung bzw. das Regelwerk dies führt.
Dies soll die Interpretation der Verordnung zu schärfen, indem die Änderung statt nach den Kriterien
der CSM VO durch abgeleitete, spezifisch für diesen Fall passende Kriterien vereinfacht werden
kann.
Der VDV hat für den Fall der Änderung betrieblicher Prozesse und Verfahren, d. h. Änderung des
betrieblichen Regelwerks, Methoden zur Signifikanzentscheidung als Entwurf vorgelegt. Auch die
englische Aufsichtsbehörde ORR hat einen ähnlichen Vorschlag vorgelegt, allerdings ohne Beschränkung
des Anwendungsfalls. Auch die DB AG hat einen allgemeinen Vorschlag zur Signifikanzprüfung
vorgestellt.
Um das Ergebnis abzusichern, wird eine Methode aus der zivilen Luftfahrt eingesetzt, die sog. Safety
Scanning Technique, mit der einige typische Beispiele analysiert werden.
2 Vorgaben der CSM VO
Die wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:
Seite 4 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Fallstudie
(1) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung
in einem Mitgliedstaat signifikant ist oder nicht, prüft der Vorschlagende die potenziellen Auswirkungen
der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems.
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung
des in Artikel 5 beschriebenen Risikomanagementverfahrens verzichtet werden.
(2) Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, entscheidet der Vorschlagende
auf der Grundlage eines Sachverständigenurteils über die Signifikanz der Änderung, wobei er folgende
Kriterien berücksichtigt:
a) Folgen von Ausfällen: Szenario des schlechtesten anzunehmenden Falls („credible worst-case
scenario“) bei einem Ausfall des zu bewertenden Systems unter Berücksichtigung etwaiger außerhalb
des Systems bestehender Sicherheitsvorkehrungen;
b) innovative Elemente in der Implementierung der Änderung; dabei geht es nicht nur darum, ob es
sich um eine Innovation für den Eisenbahnsektor als Ganzes handelt, sondern auch darum, ob es sich
aus der Sicht der Organisation, die die Änderung einführt, um eine Innovation handelt;
c) Komplexität der Änderung;
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den gesamten Lebenszyklus des
Systems hinweg zu überwachen und in geeigneter Weise einzugreifen;
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung bestehenden System zurückzukehren;
f) additive Wirkung: Bewertung der Signifikanz der Änderung unter Berücksichtigung aller sicherheitsrelevanten
Änderungen des zu bewertenden Systems, die in jüngster Zeit vorgenommen und nicht als
signifikant beurteilt wurden.
2.3.2. Die anerkannten Regeln der Technik müssen mindestens folgende Anforderungen erfüllen:
a) Sie müssen im Eisenbahnsektor allgemein anerkannt sein. Ist dies nicht der Fall, müssen sie begründet
werden und für die Bewertungsstelle akzeptabel sein.
b) Sie müssen für die Kontrolle der betreffenden Gefährdungen in dem System, das der Bewertung
unterzogen wird, relevant sein.
c) Sie müssen für alle Akteure, die sie anwenden wollen, öffentlich zugänglich sein. …
In der für die Public Consultation verteilte Fassung der Revision der CSM VO wurde das folgende
Kriterium vorgeschlagen, um die Relevanz des Regelwerks zu beurteilen: „Successful application of
a code of practice for similar cases to manage changes and control effectively the identified hazards
of a system in the sense of this regulation is sufficient to be considered as relevant“.
3 Fallstudie
Wir betrachten eine sicherheitsrelevante Änderung des Eisenbahnsystems, die bisher komplett
durch Anwendung von Regelwerk durchgeführt wurde. Es wird angenommen, dass das Regelwerk
im obigen Sinn relevant für die Änderung ist, d. h. es ist bewährt und wurde auf diesen Typ von Änderungen
bereits erfolgreich angewendet.
Beispiele für solchen Änderungen:
Änderung an einem nach Mü8004 zugelassenem LST-System
Errichtung eines Signalmasts
…
Seite 5 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Diskussion der Signifikanzkriterien
4 Diskussion der Signifikanzkriterien
4.1 Allgemeine Überlegungen
Bei der CSM VO geht es um einen risikoorientierten Ansatz, der immer bei signifikanten Änderungen
anzuwenden ist. Die Signifikanzprüfung soll insbesondere sicherstellen, dass Änderungen, deren
Durchführung bzw. fehlerhafte Durchführung ein erhöhtes oder zusätzliches Risiko mit sich bringen,
durch ein harmonisiertes Risikomanagement-Verfahren abgesichert werden. D. h. generell ist
bei einer summarischen Beurteilung der Änderung auch immer einzubeziehen, ob es sich um eine
Änderung handelt, die ein großes Risikopotenzial beinhaltet.
4.2 Sicherheitsrelevanz
Es wird davon ausgegangen, dass die Änderung als sicherheitsrelevant eingestuft wird.
4.3 Folgen von Ausfällen
In der ERA Guidance heißt es dazu: „Das Kriterium der Folgenabschätzung von Ausfällen könnte
beispielsweise eingesetzt werden, um zu prüfen, ob die Folgen eines sicherheitsrelevanten Fehlers
der am zu bewertenden System vorgenommenen Änderung durch bestehende Maßnahmen außerhalb
des zu bewertenden Systems gemindert werden. Dieses Kriterium kann dann in Kombination
mit den anderen Kriterien zu der Beurteilung führen, dass eine sicherheitsbezogene Änderung sich
ohne Verwendung der CSM noch in sicherer Weise verwalten ließe. Es liegt in der Verantwortung
des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu bewertende Änderung zu bestimmen.“
Dies bedeutet, dass das Kriterium nicht für sich alleine zur Entscheidung führt, sondern gemeinsam
mit anderen Kriterien berücksichtigt werden soll.
Auch ist wichtig, zu berücksichtigen, dass es hier im engeren Sinn nicht die Folgen von Ausfällen des
betrachteten Systems geht, sondern um Folgen von Fehlern bei der Durchführung der Änderung,
vergleiche dazu auch die Ausführungen zu Erwägung (4) der Verordnung. Für LST ist beides als alleiniges
Kriterium nicht sinnvoll, denn in der Regel können sicherheitsrelevante Systeme bzw. Änderungen
an diesem in einem worst-case Szenario immer zu katastrophalen Folgen führen, d. h. Änderungen
an LST wären immer signifikant.
Um zu einer vernünftigen Beurteilung zu gelangen, ist es sinnvoll, sich die Risikomanagementverfahren
der CSM VO noch mal im Zusammenhang anzuschauen: Bei innovativen Systemen wird man
dort, wo es noch kein Referenzsystem gibt, in der Regel eine explizite Risikobewertung durchführen,
in deren Verlauf auch die Folgen von Ausfällen risikoorientiert bewertet werden. Eine erfolgreiche
Pilotierung kann dann ein Referenzsystem darstellen, an dem man z. B. technische Änderungen
auch durch Vergleich mit eben diesem Referenzsystem vornehmen darf, unter Beibehaltung der
Sicherheitsanforderungen der expliziten Risikoanalyse. Hat sich das technische System bewährt, so
kann dies z. B. dazu führen, dass die Sicherheitsanforderungen für dieses und ggf. ähnliche Systeme
Teil des Regelwerks werden. Bei der Erstellung von Regelwerken hat der Sicherheitsgedanke schon
immer eine große Rolle gespielt und es wurden von jeher Risiken bewertet, traditionell eher qualitativ
als quantitativ, eher implizit, z. B. durch Expertenurteile, als explizit. Aber man kann davon ausgehen,
dass grundsätzlich Sicherheits- bzw. Risikobetrachtungen von kompetenten Fachleuten
durchgeführt wurden.
Bei der Anwendung des Regelwerks kann daher eine explizite Risikoanalyse, also auch eine explizite
Bewertung der Folgen von Ausfällen, unterbleiben. Daher ist das Kriterium der Folgenabschätzung
von Ausfällen für Änderungen, die komplett durch Regelwerk durchgeführt werden können, nicht
relevant bzw. implizit schon bei der Erstellung des Regelwerks berücksichtigt worden.
Seite 6 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Diskussion der Signifikanzkriterien
4.4 Innovative Elemente in der Implementierung der Änderung
Ein Regelwerk wird in der Regel erstellt, wenn eine Innovation oder Pilotanwendung in der Breite
eingesetzt werden soll, insofern handelt es sich hier um keine Innovation für den Eisenbahnsektor.
Es könnte allerdings sein, dass die Organisation, die die Änderung durchführt, noch keine Erfahrung
mit der Änderung bzw. Regelwerk besitzt. In der Regel ist davon auszugehen, dass die Organisation
ausreichende Erfahrung besitzt, wenn sie ihr eigenes Regelwerk anwendet.
D. h. die Frage der Innovation kann hier geändert werden zu: „Besitzt die Organisation Erfahrung
mit der Durchführung der Änderung bzw. Anwendung des Regelwerks?“
4.5 Komplexität der Änderung
Die Anwendung von Regelwerk soll gerade helfen, die Komplexität in kleine überschaubare Unteraspekte
aufzuteilen. Insofern ist das Vorhandensein von relevantem Regelwerk ein Indikator dafür,
dass die Komplexität der Änderung beherrschbar ist.
Hier ist allerdings zu berücksichtigen, ob es sich bei dem Regelwerk um eines handelt, das selbst die
Durchführung von expliziten Risikoanalysen vorsieht oder nicht. Im ersten Fall liegt zwar ein Regelwerk
vor, das Regelwerk fordert aber erst eine explizite Risikoanalyse zur Ableitung von Sicherheitsanforderungen
und damit könnte sich dahinter auch eine komplexe Änderung verbergen. Regelwerk,
das keine explizite Risikoanalyse fordert, muss in der Regel die konkreten Sicherheitsanforderungen
enthalten oder konkrete Regeln, wie diese zu dimensionieren sind, d. h. z. B. konkrete Rechenvorschriften
z. B. für statische Berechnungen oder zur Ermittlung von Ausfalloffenbarungszeiten.
Im Prinzip könnte es Regelwerke geben, die in einigen Fällen explizite Risikoanalysen fordern,
dagegen in anderen nicht, daher sollte der konkrete Anwendungsfall betrachtet werden.
Dieses Argument wird indirekt auch unterstützt durch Artikel 2 (4) der Verordnung:
Diese Verordnung gilt nicht für Systeme und Änderungen, die zum Zeitpunkt des Inkrafttretens dieser
Verordnung Vorhaben in fortgeschrittenem Entwicklungsstadium im Sinne von Artikel 2 Buchstabe t
der Richtlinie 2008/57/EG sind.
Dies bedeutet nämlich, dass die Verordnung nicht zur Anwendung kommt, wenn die Phase der Risikoanalyse
nach EN 50126 bereits abgeschlossen ist. Dies bedeutet, dass auch die Konzeptphase und
die Systemdefinition und Anwendungsbedingungen schon festgelegt wurden. Diese Phasen werden
aber normalerweise bei Änderungen, die auf Grundlage von Regelwerk erfolgen, nicht erneut durchlaufen.
D. h. diese Frage kann konkretisiert werden zu: „Fordert das Regelwerk für die Änderung die Durchführung
einer expliziten Risikoanalyse?“.
4.6 Überwachung
Bei Vorhandensein von relevantem Regelwerk ist die Änderung bereits erfolgreich durchgeführt
worden, dazu gehört auch die Betrachtung aller Aspekte über den gesamten Lebenszyklus, der für
die Änderung relevant ist. Abweichungen werden über das Sicherheitsmanagement des Betreibers
entdeckt und behandelt.
4.7 Umkehrbarkeit
Bei Vorhandensein von relevantem Regelwerk ist die Änderung bereits erfolgreich durchgeführt
worden, d. h. es ist als sehr unwahrscheinlich einzustufen, dass die durchgeführten Änderungen in
ihrer Gesamtheit rückgängig gemacht werden müssen. Außerdem ist bei LST-Anwendungen in der
Regel schon aus Verfügbarkeitsgründen eine Rückfallebene definiert, die zumindest temporär eingesetzt
werden könnte, wenn ein Rückbau o. ä. notwendig wäre.
Seite 7 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Beispiele
4.8 Additive Wirkung
In Deutschland ist das Regelwerk dahingehend aufgebaut, dass jede Änderung für sich zulässig ist,
dies liegt u. a. im generischen Ansatz bez. Risikoanalyse. Ein Beispiel mag dies verdeutlichen: Auf
einer Strecke soll eine zusätzliche Weiche eingebaut werden. Dafür gibt es Bauvorschriften, Vorschriften
für die Typzulassung, Abnahme etc. Es gibt in Deutschland im Gegensatz zu Großbritannien
aber keine Vorgaben für streckenbezogene oder kollektive Risikokennwerte, d. h. theoretisch
könnte man auf 100 km Strecke beliebig viele Weichen (nach dem relevantem Regelwerk) einbauen,
ohne eine Risikoobergrenze o. ä. zu durchstoßen. In Großbritannien gibt es solche Risikogrenzwerte,
z. b. bezogen auf die Strecke oder das individuelle Risiko eines Reisenden, die zwangsläufig bei
steigender Anzahl von Weichen verletzt würden.
Insofern gibt es in Deutschland bei Anwendung von relevantem Regelwerk keine unzulässige additive
Wirkung.
5 Beispiele
5.1 Änderungen nach Mü8004
Ein sicherheitsrelevantes System sei nach MÜ8004 entwickelt worden. Eine Neuentwicklung eines
Systems nach Mü8004 ist seit Inkrafttreten der CENELEC-Normen zwar nicht mehr zulässig, allerdings
sind Änderungen auf dieser Grundlage immer noch zulässig. Es soll auch angenommen werden,
dass das System praxisbewährt ist, ein akzeptables Sicherheitsniveau bietet und es nach wie
vor genehmigungsfähig wäre.
Bei der Beurteilung der Signifikanz der Änderung sind jetzt lediglich die folgenden Fragen zu beantworten:
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung
des Regelwerks?“
Die Mü8004 enthält keine Vorgabe zu einer expliziten Risikoanalyse, sondern lediglich konkrete
Vorschriften zur Dimensionierung von Sicherheitskenngrößen z. B. Ausfalloffenbarungszeiten.
Handelt es sich bei der Organisation um den Hersteller des Systems, so ist diese Frage zweifelsohne
zu bejahen und die Änderung ist nicht signifikant. Ist allerdings ein Subunternehmer, d. h. eine
Fremdfirma, beauftragt worden, die entweder noch nicht nach Mü8004 gearbeitet hat oder dieses
System noch nicht geändert hat, so ist die Frage in der Regel zu verneinen und die Änderung als
signifikant einzustufen.
5.2 Neuentwicklung eines Systems nach CENELEC
Auch die Entwicklung eines Systems nach CENELEC kann als Durchführung einer Änderung auf
Grundlage von relevantem Regelwerk aufgefasst werden.
Wenn die komplette Entwicklung ohne Durchführung oder Änderung einer Risikoanalyse durchgeführt
werden kann und die Organisation Erfahrung mit den CENELEC-Normen besitzt, so handelt es
sich nicht um eine signifikante Änderung. Dies könnte z. B. bei einer SW-Änderung der Fall sein,
oder bei Ersatz einer Baugruppe durch eine funktionskompatible, wenn diese unter denselben Anwendungsbedingungen
eingesetzt wird und dadurch insbesondere keine neuen Risiken entstehen.
Besitzt die Organisation keine Erfahrung in der Anwendung der CENELEC-Normen, so handelt es
sich um eine signifikante Änderung.
Ebenso ist die Änderung signifikant, wenn das neue System neue Risiken mit sich bringt (z. B. Ersatz
einer linienförmigen Zugbeeinflussung durch Funkzugbeinflussung) oder wenn Risikoanalysen geändert
werden müssen (z. B. weil der Einsatz des neuen Systems eine Risikoerhöhung mit sich
bringt, die kompensiert werden muss).
Seite 8 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Zusammenfassung
6 Zusammenfassung
Die Beurteilung der Signifikanzkriterien für eine sicherheitsrelevante Änderung, die komplett nach
einem relevanten Regelwerk durchgeführt wird, kann reduziert werden auf die Beantwortung der
Fragen
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung
des Regelwerks?“
Eine sicherheitsrelevante Änderung ist dann nicht signifikant, wenn die erste Frage mit Nein und die
zweite Frage mit Ja beantwortet werden kann, in allen anderen Fällen ist sie signifikant.
Dies stellt im Vergleich zu den originalen Signifikanzkriterien der CSM VO und alternativen Vorschlägen
zur allgemeinen Signifikanzprüfung eine erhebliche Vereinfachung dar. Dies wurde allerdings
nur durch eine Fokussierung auf einen spezifischen Anwendungsfall möglich.
Seite 9 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Anhang
7 Anhang
7.1 Verifizierung des gefundenen Ansatzes durch die SSM
Die Safety Scanning Method (SSM) kommt in der europäischen Luftraumsicherung zur Bewertung
von Änderungen zum Einsatz. Es basiert auf einem Excel-Tool, bei dem mittels Multiple-Choice Fragen
Einflüsse auf die Bereiche Sicherheitsarchitektur, betriebliche Sicherheit und Sicherheitsmanagement
sowie dem Bereich Regulation Framework bewertet werden. Jeder dieser vier Bereiche besteht
aus einzelnen Safety Fundamentals, deren Anforderungen für die Sicherheit des Systems erfüllt
sein müssen. Die Auswertung der SSM gibt anschließend Auskunft darüber, an welchen Punkten
mit Schwierigkeiten zu rechnen ist und welcher Aufwand für deren Beseitigung notwendig wird.
Abbildung 1 zeigt beispielhaft ein solches Ergebnisdiagramm, welches auch die Zuordnung der Fundamentals
zu den vier Bereichen erkennen lässt. Solche Werte, die wie für das Fundamental Organisation
sich in der Abbildung außerhalb des blauen Kreisdiagramms befinden, weisen daraufhin,
dass Probleme hier nur mit entsprechend höherem Aufwand zu lösen sind. Das Dokument „Safety
Fundamentals for Safety scanning“ der Eurocontrol gibt weitere Informationen zum Ansatz der Safety
Fundamentals sowie zur Methodik der SSM.
Abbildung 1: Ergebnisdarstellung der SSM
Mit Hilfe dieser SSM sollen nun drei beispielhafte Änderungen untersucht werden, die komplett
nach Regelwerk durchgeführt werden. Von Interesse ist bei dieser Untersuchung vor allem, in welchen
Bereichen die SSM Probleme erkennt und ob diese Ergebnisse den in diesem Report entwickelten
Ansatz bestätigen. Gleichzeitig soll geklärt werden, ob gegebenenfalls noch weitere Aspekte bei
Änderungen nach Regelwerk zu berücksichtigen sind.
7.1.1 Beschreibung der Beispiele und Ergebnisauswertung
Die zur Anwendung kommenden Beispiele sind dabei folgende:
- Beispiel 1 Technik: technische Änderungen an einem Stellwerk anhand von bestehendem
Regelwerk (Mü8004)
Seite 10 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Anhang
- Beispiel 2 Betrieb: Ein bestehender Fahrplan wird nach geltenden Regeln für die Fahrplankonstruktion
geändert
- Beispiel 3 Organisation: Das technisch leitende Personal eines Unternehmens, das für
ein Eisenbahninfrastrukturbetreiber durch Regelwerk abgedeckte Leistungen wie den
Einbau von Weichen erbringt, wird ausgetauscht
Diese Beispiele werden anhand der SSM untersucht. Die Ergebnisse für die vier Bereiche und die
dazugehörigen Fundamentals werden der Übersicht halber in Excel-Tabellen dargestellt. Solche
Ergebnisse, die durch die Änderung einen negativen Einfluss auf ein Fundamental erkennen lassen,
werden in der Tabelle erläutert. Gleichzeitig werden auch diese Fundamentals jeweils erläutert, bei
der in der Anwendung der SSM Aspekte aufgetaucht sind, die für die Einschätzung der Änderung
von Bedeutung sind.
Tabelle 1: Ergebnisse Beispiel 1
Die Ergebnisse für das Beispiel 1 Technik sind in Tabelle 1 dargestellt. Es wird deutlich, dass ein Einfluss
auf das Fundamental Transparency besteht, welcher sich in einem erhöhten Punktwert widerspiegelt.
Auch wenn die technische Änderung am Stellwerk komplett durch das Regelwerk der
Mü8004 abgedeckt ist, muss sichergestellt sein, dass das ausführende Personal das Verständnis für
die Aufgabe und die dabei möglichen Schwierigkeiten besitzt. Dieser Aspekt wird durch aufgeworfene
Fragen in drei weiteren Fundamentals bekräftigt. Auch diese lassen wiederum die Notwendig-
Seite 11 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Anhang
keit erkennen, dass das zuständige Unternehmen sowie das Personal auch bei jeder Änderung nach
Regelwerk über die erforderlichen Kompetenzen und die ausreichende Erfahrung verfügen müssen.
Zudem müssen auch die Zuständigkeiten eindeutig zugeordnet sein.
Die Ergebnisse für das Beispiel 2 Betrieb sind in Tabelle 2 dargestellt. Hierbei weist das Ergebnis
einen leicht negativen Einfluss für das Fundamental Organisation auf. Dieser Einfluss rührt daher,
dass sich je nach Umfang des Fahrplanwechsels auch die Personaleinteilung im Stellwerk ändern
kann. Sollte dies notwendig werden, ist auch bei der Einhaltung aller Regeln für die Fahrplankonstruktion
darauf zu achten, dass aus keinen anderen Bereichen wie der Organisation Sicherheitsprobleme
ausgelöst beispielsweise durch fehlende Kompetenz oder Arbeitsüberlastung entstehen.
Gleichzeitig wird die Frage aufgeworfen, inwiefern sich über einen langen Zeitraum eingelaufene
betriebliche und organisatorische Abläufe ändern könnten. Für die betrachtete Änderung könnte
dies beispielsweise bedeuten, dass ein Zug nun nicht mehr täglich um 14.00 Uhr sondern ab sofort
um 14.30 Uhr einen Bahnübergang passiert, der noch von Personal vor Ort bedient werden muss.
Solche Aspekte gilt es bei dieser Änderung, auch wenn sie nach Regelwerk erfolgt, zu beachten.
Tabelle 2: Ergebnisse Beispiel 2
Die Ergebnisse für das Beispiel 3 Organisation sind in Tabelle 3 dargestellt. Bei dem hier betrachteten
Beispiel fallen zwei Fundamentals ins Auge. Dies ist zunächst das Fundamental Organisation, bei
dem die Auswertung mit der SSM auch einen negativen Einfluss durch die Änderung feststellt. Aufgrund
des Austauschs des technisch zuständigen Personals müssen gegebenenfalls auch Aufgaben
und Verantwortungen neuzugeteilt werden. Die Auswirkungen dieser Tatsache müssen berücksichtigt
werden. Gleichzeitig wird auch bei diesem Beispiel die Frage aufgeworfen, ob die vorhandene
Seite 12 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Anhang
Kompetenz beim neuen Personal bereits in ausreichendem Maße vorhanden ist beziehungsweise
schnell genug angeeignet werden kann.
Tabelle 3: Ergebnisse Beispiel 3
7.1.2 Rückschlüsse für den im Report gefundenen Ansatz
Bei allen drei gewählten Beispielen handelte es sich um Änderungen, bei denen ausschließlich nach
Regelwerk vorgegangen wird. Die Ergebnisse der SSM zeigen hierbei für alle drei Beispiele, dass es
sich hierbei aus Sicht der CSM-VO vermutlich um keine signifikanten Änderungen handeln würde,
wobei die genaue Einschätzung von der jeweiligen Ausprägung des dann gewählten Beispiels abhängt.
Die SSM-Ergebnisse lassen des Weiteren den Schluss zu, dass bei Änderungen nach vorhandenem
Regelwerk die sichere Durchführung maßgeblich davon abhängt, ob die Organisation ausreichend
Kenntnisse und Kompetenz in diesem Bereich besitzt. Dies schließt auch ein, dass das zuständige
Personal sich seinem Verantwortungsbereich und möglichen Gefährdungen bewusst ist
und Zuständigkeiten eindeutig geklärt sind.
Die Ergebnisse der Untersuchung der drei Beispiele mit Hilfe der SSM bekräftigt somit die Relevanz
des in diesem Report beschriebenen Aspekts, dass die Erfahrung der Organisation mit der Durchführung
der Änderung in die Betrachtung einfließen muss. Die Signifikanz einer sicherheitsrelevanten
Änderung nach Regelwerk ist also maßgeblich von diesem Punkt abhängig. Gleichzeitig konnte
Seite 13 von 14

AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke
Anhang
diese Untersuchung zeigen, dass durch die SSM keine weiteren zu berücksichtigenden Aspekte
identifiziert wurden.
7.2 Referenzen
DB AG Signifikanzprüfung, Foliensatz, DN Netz AG, 18.04.2012
EN 50 126
CSM VO
CSM GUI
CSM EX
Mü8004
ORR
SST
VDV
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen
Union, L 108/4, 29.4.2009
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,
ERA/GUI/01-2008/SAF
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF
Mü8004: Technische Grundsätze für die Zulassung von Sicherungsanlagen, Eisenbahn-Bundesamt,
Ausgabe vom 01.02.2007
ORR guidance on the application of the common safety method (CSM) on risk
assessment and evaluation, ORR, 2010
Eurocontrol 2009: Safety Fundamentals for Safety Screening. The rationale of
Safety Fundamentals and basic safety regulatory principles for regulatory use. December
2009.
Anwendung der Verordnung (EG) Nr. 352/2009 – CSM – gemeinsame Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6
Absatz 3 Buchstabe a der Richtlinie 2004/49/EG bei der Änderung betrieblicher
Prozesse und Verfahren, Ausschuss für Eisenbahnbetrieb (AEB), VDV, Februar 2009
7.3 Abkürzungen
Abk. Langform / Erläuterung
CSM Common Safety Method
LST
SSM
Leit- und Sicherungstechnik
Safety Scanning Method
Seite 14 von 14

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Allgemein vertretbares Risiko
26.06.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger:
TÜV Rheinland Consulting GmbH

AP 2100 – Allgemein vertretbares Risiko
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
31.07.2012 Braband (Siemens AG) V01 Erstellung
23.10.2012 Braband (Siemens AG) V02 Überarbeitung und Einarbeitung der Beiträge von
Hrn. Brinkmann (Pintsch Bamag) und Dr. Notter
(Thales)
13.11.2012 Braband (Siemens AG) V03 Einarbeitung weiterer Kommentare
22.11.2012 Braband (Siemens AG) V04 Vervollständigung, Version fürs Review
07.12.2012 Braband (Siemens AG) V05 Änderungen nach Review
14.12.2012 Braband (Siemens AG) V06 Editorielle Anpassungen
26.06.2013 Braband (Siemens AG) V07 Berücksichtigung der Änderungen auf Grund Revision
CSM VO
Seite 2 von 13

AP 2100 – Allgemein vertretbares Risiko
Inhaltsverzeichnis
1 Einleitung ....................................................................................................................4
2 Vorgaben der CSM VO...................................................................................................4
3 Anwendungsfälle ..........................................................................................................5
3.1 Gefährdungsermittlung ............................................................................................6
3.2 Geringfügig erhöhte Risiken ......................................................................................6
3.3 Nichtbehebung von Produktsicherheitsmängeln.........................................................6
4 Diskussion....................................................................................................................6
4.1 Wirtschaftliche Interpretation ...................................................................................6
4.2 Technische Interpretation ......................................................................................... 7
5 Beispiele ......................................................................................................................8
5.1 Einführung einer technischen Gefahrenraumfreimeldung ............................................8
5.2 Kontinuierliche Geschwindigkeitsüberwachung bei PZB ..............................................9
6 Zusammenfassung...................................................................................................... 10
7 Anhang ...................................................................................................................... 11
7.1 Vergleich mit „broadly acceptable risk“ nach ALARP ................................................. 11
7.2 Anwendung in DIN V VDE V 0831-100....................................................................... 12
7.3 Referenzen ............................................................................................................ 12
7.4 Abkürzungen ......................................................................................................... 13
Seite 3 von 13

AP 2100 – Allgemein vertretbares Risiko
Einleitung
1 Einleitung
Damit Eisenbahnbetreiber zur Analyse und zur Beherrschung von geringfügigen Risiken nicht einen
unangemessenen hohen Aufwand betreiben müssen, hatte die European Railway Agency (ERA) in
der CSM Verordnung den Begriff des „broadly acceptable risk“ eingeführt, der im deutschen Text
etwas unzutreffend als weitgehend akzeptables Risiko übersetzt wurde. Erst in der Revsion der
CSM VO 402/2013 wurde der Begriff dann zutreffend als allgemein vertretbares Risiko übersetzt.
Grundsätzlich können demnach Risiken, die sich aus Gefährdungen ergeben, als allgemein vertretbar
eingestuft werden, wenn das Risiko so gering ist, dass es nicht angemessen ist, zusätzliche Sicherheitsmaßnahmen
einzuführen.
Die ERA hat mit dem Begriff des allgemein vertretbaren Risikos eine Gestaltungsmöglichkeit geschaffen,
die im englischen Sprachraum schon als „broadly acceptable risk“ im Rahmen von ALARP
definiert war. Dies ist aber im deutschen Sprachraum eher unüblich und bedarf deshalb einer sachgerechten
Interpretation, die in diesem Dokument grundlegend skizziert werden soll.
2 Vorgaben der CSM VO
Der Begriff wird im Rahmen der Gefährdungsermittlung in der CSM Verordnung eingeführt. Die
wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:
2.2.2. Mit dem Ziel, die Risikobewertung auf die wichtigsten Risiken zu konzentrieren, werden die Gefährdungen nach dem sich aus
ihnen ergebenden geschätzten Risiko eingestuft. Auf der Grundlage einer Expertenbewertung müssen Gefährdungen, die mit einem
allgemein vertretbaren Risiko verbunden sind, nicht weiter analysiert, sondern lediglich im Gefährdungsprotokoll erfasst werden.
Die Einstufung der Gefährdungen ist zu begründen, damit eine unabhängige Bewertung durch eine Bewertungsstelle vorgenommen
werden kann.
2.2.3. Aus Gefährdungen resultierende Risiken können beispielsweise dann als allgemein vertretbar eingestuft werden, wenn das
Risiko so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen nicht angemessen wäre. Die Expertenbewertung berücksichtigt,
dass der Gesamtumfang aller allgemein vertretbaren Risiken einen bestimmten Anteil am Gesamtrisiko nicht übersteigen
darf.
Hierzu gibt es in der CSM Leitlinie der ERA (zur CSM VO 352/2009) weitere Ausführungen bzw. Anhaltspunkte
zur Interpretation:
[G 1] Der Vorschlagende ist verantwortlich für die Einschätzung, ob das mit der jeweiligen ermittelten Gefährdung verbundene
Risiko weitgehend akzeptabel ist, und für die Gewährleistung, dass die Bewertung von kompetenten Fachleuten vorgenommen wird
(siehe Definitionen in [G 2](b) und (c) von Artikel 3).
[G 2] Da in der Phase der Gefährdungsermittlung eine detaillierte quantifizierte Bestimmung des Risikos nicht in jedem Falle
zwangsläufig möglich ist, kann in der Praxis ein Sachverständigenurteil in den folgenden Fällen für eine Entscheidung darüber
herangezogen werden, ob die betrachtete Gefährdung mit einem weitgehenden akzeptablen Risiko verbunden sein könnte:
(a) entweder wenn die Eintrittshäufigkeit der Gefährdung ungeachtet ihres potenziellen Ausmaßes infolge z. B. physikalischer Ereignisse(8)
(wie Meteoriteneinschlag auf der Bahnstrecke) für ausreichend gering eingeschätzt wird;
(b) oder/und wenn ungeachtet der Eintrittshäufigkeit das potenzielle Ausmaß der Gefährdungsfolgen für ausreichend gering eingeschätzt
wird.
[G 3] Wenn Gefährdungen mit unterschiedlichem Detailgrad ermittelt werden (d. h. Gefährdungen der höheren Ebene einerseits und
detaillierte Teilgefährdungen andererseits), sorgt der Vorschlagende für ihre ordnungsgemäße Aufgliederung mindestens in die
Kategorien Gefährdungen in Verbindung mit weitgehend akzeptablem Risiko und Gefährdungen in Verbindung mit nicht als weitgehend
akzeptabel erachteten Risiken. Hierzu gehören Maßnahmen, mit denen sichergestellt wird, dass die anteilige Wirkung aller
mit weitgehend akzeptablen Risiken verbundenen Gefährdungen einen bestimmten Anteil am Gesamtrisiko auf Systemebene nicht
übersteigt.
In der Sammlung der Beispiele der ERA finden sich folgende Ausführungen:
[G 1] Beispielsweise kann ein mit einer Gefährdung verbundenes Risiko als weitgehend akzeptabel betrachtet werden:
(a) wenn das Risiko unter einem angegebenen Prozentsatz (z. B. x%) vom maximal tragbaren Risiko für diesen Gefährdungstyp
liegt. Der Wert x% kann auf einer Best- Practice und auf Erfahrungen mit mehreren Risikoanalyseansätzen beruhen, z. B. auf dem
Klassifikationsverhältnis zwischen weitgehend akzeptablem Risiko und untragbarem Risiko als FN-Kurve oder Risikomatrix. Dies
kann entsprechend Abbildung 7 dargestellt werden;
(b) oder wenn der mit dem Risiko verbundene Verlust so gering ist, dass die Implementierung einer sicherheitsbezogenen Gegenmaßnahme
nicht vernünftig ist.
Seite 4 von 13

AP 2100 – Allgemein vertretbares Risiko
Anwendungsfälle
[G 2] Wenn darüber hinaus Gefährdungen mit unterschiedlichen Detailgraden ermittelt werden (d. h. Gefährdungen der höheren
Ebene einerseits und detaillierte Teilgefährdungen andererseits), müssen Vorkehrungsmaßnahmen getroffen werden, um eine falsche
Einordnung in der Rubrik der mit weitgehend akzeptablen Risiken verbundenen Gefährdungen zu vermeiden. Der Beitrag aller mit
weitgehend akzeptablen Risiken verbundenen Gefährdungen darf einen bestimmen Anteil (z. B. y%) des auf Systemebene bestehenden
Gesamtrisikos nicht übersteigen. Diese Prüfung ist notwendig, um zu verhindern, dass der gedankliche Grundansatz durch ein
Aufspalten der Gefährdungen in zu viele kleinteilige Gefährdungen ausgehöhlt wird. Wenn eine einzelne Gefährdung in zu vielen
„kleineren“ Teilgefährdungen ausgedrückt wird, kann tatsächlich die einzelne Betrachtung jeder dieser Teilgefährdungen schnell
dazu führen, dass eine Verbindung mit weitgehend akzeptablen Risiken ermittelt wird, während eine gemeinsame Beurteilung (d. h.
die gemeinsame Betrachtung der Teilgefährdungen als eine Gefährdung höherer Ebene) im Ergebnis dazu führen kann, dass diese
Gefährdung mit einem signifikanten Risiko verbunden ist. Der effektive Wert des prozentualen Anteils (z. B. y%) hängt davon ab,
welche Risikoakzeptanzkriterien auf der Systemebene gelten. Er kann anhand von Betriebserfahrungen ähnlicher Referenzsysteme
ermittelt bzw. geschätzt werden.
[G 3] Die beiden oben genannten Prüfungen (d. h. gegenüber x % und y %) ermöglichen die Bündelung der Risikobewertung auf die
wesentlichsten Gefährdungen und sichern die Kontrolle signifikanter Risiken (siehe Abbildung 8).
Unbeschadet der rechtlichen Anforderungen eines Mitgliedstaates liegt es in der Verantwortung des Vorschlagenden, auf der Grundlage
eines Sachverständigenurteils die Werte von x % und y % festzulegen und von der Bewertungsstelle unabhängig bewerten zu
lassen. Die Werte können beispielsweise in der Größenordnung x = 1% und y = 10% liegen, wenn dies ausgehend vom Sachverständigenurteil
für akzeptabel erachtet wird.
[G 4] Nach Abschnitt 2.2.2 bedarf die Einstufung in „weitgehend akzeptable Risiken“ einer unabhängigen Bewertung durch eine
Bewertungsstelle.
Abbildung 1: Beispiele aus dem Leitfaden der ERA
Dazu werden noch zwei Abbildungen gegeben (siehe Abbildung 1) und es wird auf den Fachartikel
Kurz/Milius (2008) verwiesen.
3 Anwendungsfälle
Hier sollen die typischen Use Cases illustriert werden, bei denen der Begriff zum Einsatz kommen
kann. Dabei muss zuerst die Frage diskutiert werden, ob und wann Hersteller die Rolle des Vorschlagenden
übernehmen können. Nach der Definition der CSM VO ist der Hersteller sogar nur dann Vorschlagender,
wenn er nach Artikel 18 Absatz 1 der Richtlinie 2008/57/EG bei einer benannten Stelle
das EG-Prüfverfahren durchführen lässt oder eine Genehmigung für die Inbetriebnahme von Fahrzeugen
beantragt. In der CSM Leitlinie werden zusätzlich noch generische Typzulassungen genannt.
Mit Verweis auf die Prozess-Abbildung in der CSM Leitlinie der ERA ist zu erkennen, dass bei Änderungen
der funktionalen Anforderungen das Risikoprofil zu bewerten ist. Dies ist in den meisten
Fällen durch den Betreiber zu veranlassen. Wenn der Hersteller neue Funktionen unabhängig vom
Seite 5 von 13

AP 2100 – Allgemein vertretbares Risiko
Diskussion
Betreiber vorschlägt, besetzt er diese Rolle. In vielen Fällen werden Betreiber und Hersteller die Signifikanzbewertung
gemeinsam durchführen.
3.1 Gefährdungsermittlung
Im Rahmen der Gefährdungsermittlung insb. von Anlagenprojekten können Gefährdungen ermittelt
werden, die zwar prinzipiell auftreten könnten, aber für die z. B. eine explizite Risikoermittlung sehr
aufwändig wäre. Allerdings sagt das Expertenurteil gestützt auf entsprechende Erfahrung, dass das
Risiko sehr gering ist, z. B. Auftreten eines Erdbebens in einem nicht erdbebengefährdeten Gebiet.
Für Hersteller könnte dieser Fall nur im Rahmen von generischen Typzulassungen relevant werden,
z. B. bei der Einführung einer neuen technischen Funktion. Bei zunehmendem Anteil der Hersteller
an Planungsleistungen bzw. bei den spezifischen Applikationsprojekten könnte dieses Thema an
Bedeutung zunehmen, allerdings in der Regel dann als Unterauftragnehmer bzw. Akteur eines Betreibers.
3.2 Geringfügig erhöhte Risiken
Ein weiterer Anwendungsfall kann darin bestehen, dass sich z. B. durch technische Änderungen Risiken
geringfügig erhöhen. Wenn z. B. eine technische Einrichtung exakt die Sicherheitsanforderung
(THR) von 10 -x /h erfüllt hat, könnte sich z. B. durch eine HW-Änderung (verringerte MTBF) formal
eine THR von 1.01 x 10 -x /h ergeben, d. h. auch das Risiko hätte sich um 1% erhöht. Im Zweifelsfall
müssen Kompensationsmaßnahmen durchgeführt werden, um das Risiko an anderer Stelle zu reduzieren.
3.3 Nichtbehebung von Produktsicherheitsmängeln
DIN V VDE V 0831-100 definiert einen risikoorientierten Prozess und beispielhaft Methoden zum
Umgang mit Produktsicherheitsmängeln (PSM). In der Regel müssen PSM innerhalb eines zu ermittelnden
Behebungszeitraumes beseitigt werden. Es kann aber Ausnahmefälle geben, bei denen
möglicherweise ein Ansatz auf Grundlage des allgemein vertretbaren Risikos notwendig werden
kann:
1. Die Behebung ist sehr unwirtschaftlich
2. Die Risikoerhöhung ist sehr gering
3. Der Fehler kann nicht gefunden werden
In diesem Fall kann das Konzept inhaltlich zwar hilfreich sein, fällt aber nicht in den Anwendungsbereich
der CSM Verordnung und wird daher in diesem Ergebnisbericht nicht weiter behandelt.
4 Diskussion
4.1 Wirtschaftliche Interpretation
In einer wirtschaftlichen Interpretation, wie sie nach der CSM Verordnung naheliegt (wirtschaftlich
„angemessen“), müsste ein monetärer Grenzwert festgelegt werden, für den man sich nicht vorstellen
kann, zusätzliche Sicherheitsmaßnahmen durchzuführen, und ähnlich wie bei ALARP-
Betrachtungen der Nutzen von Sicherheitsmaßnahmen festgelegt werden (etwa „willingness to
pay“ oder „value of prevented fatality“. Solche Festlegungen sollen zukünftig von der ERA getroffen
werden. Im Rahmen der CSM Verordnung ist allerdings im Rahmen der Gefährdungseinstufung eine
umfangreiche ALARP-Betrachtung aufgrund des Aufwands nicht sinnvoll.
Zumindest in Deutschland scheint eine wirtschaftliche Interpretation nur als kompetentes Sachverständigenurteil
denkbar, insbesondere da die CSM Verordnung auch keine quantitative Betrachtung
fordert.
Seite 6 von 13

AP 2100 – Allgemein vertretbares Risiko
Diskussion
4.2 Technische Interpretation
Schon in der Leitlinie bzw. den Beispielen der ERA wird eine rein technische Interpretation in Form
von geringfügigen prozentualen Anteilen am Gesamtrisiko vorgeschlagen. Diese Interpretation wird
aber nicht direkt durch den Text der Verordnung selber gedeckt, so dass auch hier noch die Wirtschaftlichkeit
bzw. der Aufwand zur Realisierung der risikoreduzierenden Maßnahme eingehen sollte.
Hierzu wird folgende Vorgehensweise vorgeschlagen:
1. Bewertung des Risikobeitrags zum Gesamtrisiko. Voraussetzung für Einstufung als
allgemein vertretbares Risiko: Risikobeitrag deutlich kleiner als Gesamtrisiko (< 0,1).
2. Falls Voraussetzung erfüllt: Bewertung
a) des Aufwands im Verhältnis zu den Gesamtkosten der Sicherungseinrichtungen,
die für die Beherrschung des Gesamtrisikos erforderlich sind, oder
b) einer möglichen Reduktion der Leistungsfähigkeit oder Verfügbarkeit des
betroffenen Systems
3. In Bewertungsmatrix ermitteln, ob zusätzliche Sicherheitsmaßnahme erforderlich
4. Prüfung, ob das „Gesamtbudget“ für AVR (10% des Gesamtrisikos) schon überschritten
wurde
Begründung:
Risikobeitrag 30%, oder
Aufwand > 30%
der Gesamtkosten
AVR
AVR
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 10%, oder
Aufwand > 10%
der Gesamtkosten
AVR
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 3%, oder
Aufwand > 3% der
Gesamtkosten
AVR AVR AVR
Tabelle 1: Vorschlag einer Bewertungsmatrix
Sonst
1. Bei den Beispielen der ERA werden 10% als Obergenze für alle AVR-Beiträge zum Gesamtrisiko
vorgeschlagen.
2. Es erscheint sinnvoll, den Kategorien für die Risikoanteile, die ähnlich den Risikokategorien
für semiquantitative Risikoanalysemethoden gewählt wurden, dieselben Kategorien bez.
der Mehrkosten für zusätzliche Sicherheitsmaßnahmen gegenüberzustellen.
3. Wenn das Verhältnis des Risikobeitrags zu den Mehrkosten für die Sicherheitsmaßnahmen
in einem Missverhältnis steht, ist der Risikobeitrag AVR. Gleiches gilt für die Reduktion der
Leistungsfähigkeit oder Verfügbarkeit. Bei ALARP wird ein Verhältnis in der Größenordnung
1:3 oder kleiner als unverhältnismäßig angesehen.
4. Letztendlich muss noch nach CSM VO das Gesamtverhältnis aller AVR-Beiträge zum Gesamtrisiko
beurteilt werden.
Seite 7 von 13

AP 2100 – Allgemein vertretbares Risiko
Beispiele
Es sei noch angemerkt, dass es sich bei den Prozentgrößen in Tabelle 1 um Anhaltspunkte handelt,
an denen sich die Experteneinschätzung orientieren kann. In der Regel werden diese Werte nicht
quantitativ nachgewiesen.
5 Beispiele
5.1 Einführung einer technischen Gefahrenraumfreimeldung
Eine Gefahrenraum-Freimeldeanlage (GFR) ist eine technische Anlage, die an Bahnübergängen den
Raum des Kreuzungsbereichs von Schiene und Straße überwacht. Technisch wird dies teils über
Induktionsschleifen, über Infrarot-Lichtschranken oder Radar-Systeme realisiert. Durch die GFR
wird ermöglicht, auf die für Bahnübergänge mit Schranken (ausgenommen Anrufschranken) bzw.
Bahnübergänge mit Lichtzeichen und Schranken geforderte mittelbare oder unmittelbare Einsehbarkeit
zu verzichten. Die GFR soll feststellen, ob sich noch ein Hindernis im Bereich zwischen den
Schranken beidseitig der Gleisanlage (Gefahrenraum) befindet. Im Falle des Vorhandenseins eines
Hindernisses wird eine Meldung an das betreffende Stellwerk gegeben und das Stellwerk verhindert,
dass das den Bahnübergang schützende Signal einen Fahrtbegriff zeigen kann. In einzelnen
Fällen wird auch bereits das Schließen der Schranken verhindert.
Bei den meisten BÜSA-GFR-Anlagen wird die Hinderniserkennung, Lastenheft gestützt, auf das
Erkennen von großen Objekten, meist Fahrzeuge bis hin zu Krankenfahrstühlen, begrenzt. Personenerkennung
wird explizit oder implizit ausgeschlossen. Die Begrenzung wird durch zwei Aussagen
begründet:
1. Im Falle der Sicherung einer BÜSA (Lichtzeichen, Halb- oder Vollschranken, BÜ-Akustik)
können Personen den Gefahrenbereich ungehindert räumen (Gefahrenabwendung möglich,
bei vollem Schrankenabschluss müssen Drehkreuze eingerichtet sein). Damit sind die Personen
im BÜSA-Gefahrenbereich mit GFR-Sicherung dem gleichen Risiko ausgesetzt, dem
Personen bei allen anderen BÜSA ohne GFR-Sicherung ausgesetzt sind, welches gesellschaftlich
als akzeptiert angesehen werden kann.
2. Würde bei BÜSA-GFR-Anlagen Personenerkennung eingeschlossen, würde es zu voraussehbaren
Störungen des Bahnbetriebs kommen (BÜSA würde Schließen der Schranken verhindern,
wenn Personen „nur noch schnell einmal“ den Gefahrenbereich queren wollen,
schützende Signale würden in “Halt“ verbleiben, wahrscheinliches Szenario für BÜSA in innerstädtischen
Bereichen).
Die Bewertung auf Grundlage der CSM VO sieht dann wie folgt aus:
1. Änderung: Einführung einer technischen Gefahrenraumfreimeldung (als neue technische
Funktion) als Ersatz der BÜ-Beobachtung
2. Vorschlagender: Herstellerfirma (generisches Produkt)
3. Annahme: es gibt kein Lastenheft für diese Funktion
4. Signifikanz: BÜ ist SIL 3, innovativ und komplex (mindestens 6 Punkte AUM)
5. Systemdefinition: (Informativ s. o., wird hier nicht explizit dargestellt)
6. Gefährdungsidentifikation: Nichterkennung eines Hindernisses im Gefahrenraum, darunter a)
Fahrzeuge, große Hindernisse, auch große Tiere und Herden b) Personen, kleine Hindernisse,
kleine Tiere
7. Gefährdungseinstufung: b) allgemein vertretbar
Seite 8 von 13

AP 2100 – Allgemein vertretbares Risiko
Beispiele
8. Vorgehensweise: kompetentes Sachverständigenurteil
9. Begründung: 2.2.3 CSM VO in Verbindung mit [G2] der Leitlinie: Die Häufigkeit des Einschlusses
von Personen wird als gering eingeschätzt und die Unfallhäufigkeit wird weiter dadurch
reduziert, dass eingeschlossene Personen den Gefahrenraum verlassen können (dies muss jedoch
ermöglicht werden). Dies wird u. a. durch die Betriebserfahrung bei Halbschrankenanlagen
bestätigt. D. h. das mit Gefährdung b) verbundene Risiko ist sehr gering. Die Einführung
einer zusätzlichen Sicherheitsmaßnahme (Personenerkennung) ist auch deshalb nicht angemessen,
weil die betrieblichen Einschränkungen durch kontinuierliche Störungen erheblich
wären (Verhinderung des Schrankenschließens bzw. der Fahrtstellung schützender Signale
durch unbefugtes Überqueren). Bezüglich einer Gefährdung des Zuges gilt: Gemäß Szenario
a) werden Fahrzeuge, große Gegenstände, auch große Tiere oder Herden durch die Gefahrenraumfreimeldung
erkannt, bei kleinen Gegenständen oder Tieren (Szenario b) ist das Risiko
allgemein vertretbar wegen des geringen Schadensausmaßes.
5.2 Kontinuierliche Geschwindigkeitsüberwachung bei PZB
Die PZB ist ein punktförmiges Zugbeeinflussungssystem. Es überwacht die Einhaltung der Fahrerlaubnis
einerseits und Einhaltung der Sollgeschwindigkeit in Bereichen mit erheblichen Absenkungen
der Sollgeschwindigkeit andererseits. In der Natur der punktförmigen Zugbeeinflussung liegt,
dass keine vollständigen Sollgeschwindigkeitsprofile überwacht werden können. Z.B. wird die Einhaltung
der streckenbezogenen Höchstgeschwindigkeit nicht überwacht, solange keine erheblichen
Geschwindigkeitsabsenkungen vorliegen. Dies betrifft die freie Strecke (Fall a), aber z.B. auch die
Einfahrt in einen Kopfbahnhof mit niedriger Geschwindigkeit (Fall b). Dennoch ist die PZB als hinreichendes
Zugbeeinflussungssystem auf Strecken bis 160 km/h in Deutschland akzeptiert.
Folgende Risiken sind u. a. zu betrachten:
• Fall a: Entgleisung, wenn auf freier Strecke die Streckengeschwindigkeit wesentlich überschritten
wird und Gleisbögen zu befahren sind.
• Fall b: Auffahren mit erheblicher Geschwindigkeit auf den Gleisabschluss, wenn die Geschwindigkeit
bei Einfahrt in den Kopfbahnhof überschritten wird und keine rechtzeitige
Bremsung eingeleitet wird.
Die Bewertung auf Grundlage der CSM VO sieht dann wie folgt aus:
1. Änderung: Einführung der PZB in einem EU-Land ohne Zugbeeinflussungstechnik
auf einer nicht-TSI-pflichtigen Strecke
Als Alternative könnte man sich auch die Aufforderung zur Überprüfung der PZB
nach den Vorgaben der CSM-VO durch die Zulassungsbehörde vorstellen (Zweifel
am Bestandsschutz). Eine weitere Alternative könnte eine Änderung der Überwachungsfunktionalität
darstellen, die dazu führt, dass sich die oben aufgeführte Frage
nach dem Bestandsschutz stellt, die mit einer Bewertung nach CSM-VO untermauert
werden soll.
2. Vorschlagender: Herstellerfirma (generisches Produkt), Bewertung im Auftrag des
Betreibers
3. Annahme: es gibt kein Lastenheft des Betreibers
4. Signifikanz: Die Kombination aus Triebfahrzeugführer und PZB muss die höchsten
Sicherheitsanforderungen erfüllen, Fehler können sich direkt katastrophal auswir-
Seite 9 von 13

AP 2100 – Allgemein vertretbares Risiko
Zusammenfassung
ken. Die Änderung ist im Bereich des Betreibers innovativ und komplex (7 Punkte
AUM), d. h. signifikante Änderung
5. Systemdefinition: (Informativ s. o., wird hier nicht explizit dargestellt)
6. Gefährdungsidentifikation: Siehe a und b oben
7. Gefährdungseinstufung: a und b allgemein vertretbar
8. Vorgehensweise: kompetentes Sachverständigenurteil
9. Begründung: Aufgrund der Qualifikation der Triebfahrzeugführer werden Geschwindigkeitsvorgaben
aus dem Buchfahrplan mit hoher Zuverlässigkeit eingehalten.
In Bereichen mit konstanter Streckengeschwindigkeit ist der Abstand zur Entgleisungsgeschwindigkeit
relativ hoch, so dass nur größere Geschwindigkeitsüberschreitungen
zur Entgleisung führen können. Die kritischen Geschwindigkeitsabsenkungen
sind bereits durch punktförmige Geschwindigkeitsprüfabschnitte abgesichert.
Der Risikobeitrag dieser Gefährdungen zum durch die PZB abgedeckten Gesamtrisiko
ist deshalb klein, der Zugewinn an Sicherheit durch eine kontinuierliche
Geschwindigkeitsüberwachung wäre gering. Die Einstufung als allgemein vertretbar
Risiko für PZB-gesicherte Strecken ist gerechtfertigt, da hoher technischer Aufwand
einem geringen Risikobeitrag im Verhältnis zum Gesamtrisiko gegenübersteht, sodass
die beschriebenen Gefährdungsszenarien nur relevant werden, wenn der Triebfahrzeugführer
die Geschwindigkeit vorzeitig erhöht. Dies ist insbesondere bei Einfahrten
in Kopfbahnhöfe unwahrscheinlich, da hierbei gleichzeitig immer ein Halt zu
erwarten ist (und signalisiert wird) und der Triebfahrzeugführer daher keinen Anlass
zu einer Erhöhung der Geschwindigkeit hat.
Im Vergleich dazu dürfte auf Strecken mit kontinuierlicher Zugsicherung keine Einstufung als allgemein
vertretbares Risiko erfolgen, da risikovermindernde Maßnahmen für die oben aufgeführten
Gefährdungen in solchen Systemen mit geringem Aufwand realisiert werden können.
6 Zusammenfassung
In diesem Bericht wird eine neue pragmatische Vorgehensweise für die Unterstützung der Experteneinschätzung
bei „allgemein vertretbaren Risiken“ vorgestellt und anhand ausgewählter Beispiele
erläutert.
In diese Vorgehensweise sind sowohl die Ausführungen in den Leitlinien der ERA als auch vorhandene
Erfahrungen mit Risikobewertungen eingegangen.
Seite 10 von 13

AP 2100 – Allgemein vertretbares Risiko
Anhang
Tabelle 2 zeigt sowohl die vorgeschlagene Bewertungsmatrix als auch die Bewertung der Beispiele.
Risikobeitrag
30%, oder
Aufwand > 30%
der Gesamtkosten
PZB
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 10%, oder
Aufwand > 10%
der Gesamtkosten
GFR
Tabelle 2: Zusammenfassung der Ergebnisse
7.1 Vergleich mit „broadly acceptable risk“ nach ALARP
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 3%, oder
Aufwand > 3% der
Gesamtkosten
Sonst
LZB/ETCS
Intolerierbares
Risiko
ALARP
Risiko
Kosten-Nutzen-
Betrachtungen
Risiko kann in der Regel
nicht toleriert werden
Tolerierbar nur,
wenn Reduktion nicht
praktikabel ist oder
die Kosten unverhältnismäßig
hoch sind
Benchmark
Tolerierbar nur,
wenn die Kosten für
weitere Reduktion
den Nutzen übersteigen
z. B. 1 Toter pro 10.000
Personenjahre
z. B. 1 Toter pro 100.000
Personenjahre
Allg. tolerierbares
Risiko (ALARP
Prinzip braucht nicht
Nachgewiesen werden)
Notwendig, zu zeigen, dass das
Risiko unter diesem Niveau bleibt
z. B. 1 Toter pro
1.000.000 Personenjahre
Abbildung 2: ALARP-Dreieck
ALARP bedeutet im Kern eine monetäre Kosten-Nutzen-Analyse von Sicherheitstechnik, wobei der
Nutzen in der Regel in Form von potenziell verhinderten Unfallopfern gemessen wird. Eine Ausnahme
wird davon nur zugelassen, wenn das Risiko sehr weit unter dem vorgegebenen Sicherheitsziel
(Benchmark) liegt, siehe Abbildung 2. Dieses Risiko wird als „allgemein tolerierbar (broadly aceptable)“
bezeichnet und kommt in der Praxis allerdings nur selten vor. Um den Nutzen mit den Inves-
Seite 11 von 13

AP 2100 – Allgemein vertretbares Risiko
Anhang
titionskosten zu vergleichen, werden in der Regel alle Unfallfolgen in monetäre Einheiten umgerechnet,
d. h. auch einem Menschenleben wird ein Geldbetrag zugeordnet.
In vielen ALARP-Anwendungen umfasst die sog. ALARP-Zone zwei Größenordnungen, d. h. das
Verhältnis vom Grenzrisiko (Grenze zum intolerierbaren Risiko) zum „broadly acceptable risk“
(Grenze zum ALARP-Risiko) beträgt einen Faktor 100 oder, anders herum ausgedrückt: das „broadly
acceptable risk“ beträgt 1% des Grenzrisikos.
7.2 Anwendung in DIN V VDE V 0831-100
In DIN V VDE V 0831-100 wird der Begriff unter dem Namen „allgemein akzeptabel“ verwendet,
aber nur für eine besondere Klasse von Risiken, nämlich die Klasse mit dem höchsten Schadenspotenzial:
Der Begriff kann in direkten Zusammenhang mit dem Risikoakzeptanzkriterium MGS gebracht werden: Ist das Risiko bzw. die
Risikoerhöhung so gering, dass sich mit hoher Wahrscheinlichkeit keine Änderung bez. der Risikoakzeptanz nach MGS ergibt, so
kann das Risiko als allgemein akzeptabel eingeschätzt werden.
Im Vergleich mit Kapitel 5.2 kann man davon ausgehen, dass ein Risiko allgemein akzeptabel ist, wenn es im Vergleich zu einem
tolerierten Risiko nur einen kleinen Bruchteil davon ausmacht. Diese Interpretation ist in Einklang mit anderen Vorschlägen aus der
Fachwelt (z. B. ALARP-Kriterium): Eine Gefährdung darf als allgemein akzeptabel angesehen werden, wenn das mit ihr verbundene
Risiko mindestens zwei Größenordnungen geringer ist als das maximal tolerierbare Risiko.
Als allgemein akzeptables Risiko wird danach ein Wert von 1x10 -11 gefährlicher Ereignisse je Element und Betriebsstunde in einem
technischen System angesehen, denn
1. er ist 2 Größenordnungen kleiner als tolerierte Risiken pro Element in heutiger Technik (z. B. Schnittstelle für eine Weiche
(ohne Weiche selbst) liegt heute bei 1,6 x10 -9 h -1 )
2. es müssen also für ein Element 100 Fehler auftreten, um in die Größenordnung der stochastisch akzeptierten Fehler zu
kommen.
3. Der in ERA CSM festgelegte Risikoakzeptanz-Wert liegt bei 1x10 -9 h -1 pro Funktion.
7.3 Referenzen
EN 50 126
CSM VO
CSM GUI
CSM EX
DIN
Kurz/Milius
Revision
CSM VO
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen
Union, L 108/4, 29.4.2009
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,
ERA/GUI/01-2008/SAF
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF
Risikoorientierte Beurteilung von potenziellen Sicherheitsmängeln und risikoreduzierenden
Maßnahmen, DIN V VDE V 0831-100: 2009
Die Gefährdungseinstufung im ERA-Risikomanagementprozess“, Signal +Draht
(100) 9/2008
DURCHFÜHRUNGSVERORDNUNG (EU) Nr. 402/2013 DER KOMMISSION
vom 30. April 2013 über die gemeinsame Sicherheitsmethode für die Evaluierung
Seite 12 von 13

AP 2100 – Allgemein vertretbares Risiko
Anhang
und Bewertung von Risiken und zur Aufhebung der Verordnung (EG) Nr. 352/2009
7.4 Abkürzungen
Abk. Langform / Erläuterung
AVR Allgemein Vertretbares Risiko
CSM Common Safety Method
ETCS European Train Control System
GFR Gefahrenraumfreimeldung
LST Leit- und Sicherungstechnik
LZB Linienförmige Zugbeeinflussung
MGS Mindestens Gleiche Sicherheit
PZB Punktförmige Zugbeeinflussung
SIL Safety Integrity Level
Seite 13 von 13

dt
Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis
von ähnlichen Referenzsystemen” bei Anwendung der CSM-
VO
16.07.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger: TÜV Rheinland Consulting GmbH

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
19.05.2013 Notter (THALES) V01 Erstellung (auf Thales-Vorlage)
16.07.2013 Notter/Feucht (THA- V02 Einarbeitung von Anmerkungen aus AG2
LES)
09.08.2013 Notter (THALES) V03 Einarbeitung von Anmerkungen vom AG2-
Abschlusstreffen 5./6.8.2013
Inhaltsverzeichnis
1 Einleitung .......................................................................................................................... 3
2 CSM-VO Inhalte zum Thema „Referenzsysteme” .......................................................... 3
3 Literatur-Überblick ........................................................................................................... 5
3.1 ERA Leitlinie ................................................................................................................. 5
3.2 ERA Beispiele ............................................................................................................... 5
3.3 EBA-Hinweise ............................................................................................................... 5
3.4 ORR Guideline .............................................................................................................. 5
4 Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche
Systeme” ........................................................................................................................... 5
5 Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems
in einem anderen Kontext ............................................................................................... 8
6 Zusammenfassung ......................................................................................................... 10
7 Referenzen ...................................................................................................................... 12
8 Abkürzungen .................................................................................................................. 12
Seite 2 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Einleitung
1 Einleitung
Der vorliegende Ergebnisbericht befasst sich mit der Anwendung der Vorgaben zur Risikoakzeptanzermittlung
mittels Referenzsystem.
Die CSM-VO beinhaltet als mittlere Säule der Risikoakzeptanzgrundsätze die Ermittlung von Risikoakzeptanzgrundsätzen
aus den Sicherheitseigenschaften eines bereits zugelassenen Referenzsystems.
Das ermöglicht die Ableitung von Sicherheitsanforderungen für „ähnliche Systeme“ aus
den Eigenschaften des Referenzsystems durch Sicherheitsanalyse oder aus der vorhandenen
Dokumentation.
Als Sicherheitsanforderungen definiert sie die (qualitativen oder quantitativen) Sicherheitsmerkmale
eines Systems inklusive des Betriebs und der Instandhaltung.
Begrifflich unterscheidet sie davon die systeminternen Sicherheitsanforderungen, indem sie für
diese den Begriff der „umzusetzenden Sicherheitsmaßnahmen“ einführt. Mit Sicherheitsanforderungen
sind also übergeordnete Sicherheitsziele gemeint, wie sie z.B. die EN 50129 mit dem
Konzept der tolerierbaren Gefährdungsraten einführt.
Die Risikoakzeptanzermittlung mittels Referenzsystem ist vergleichbar mit dem Grundsatz
GAMAB nach EN 50126 bzw. dem im deutschen Sprachraum geläufigen Grundsatz „mindestens
gleiche Sicherheit” (sinngemäß entsprechend EBO, Allgemeine Anforderungen). Die CSM-
VO erweitert den Spielraum für die Anwendung von Referenzsystemen und stellt die Grundregeln
dafür auf.
Für Referenzsysteme als Grundsatz der Risikoakzeptanz werden hauptsächlich zwei Anwendungsfälle
gesehen:
– Ähnliche Referenzsysteme als Basis zur Ermittlung von Sicherheitsanforderungen als Risikoakzeptanzgrundsätze
für die Erstellung neuer Systeme
– Cross Acceptance von Systemen auf Basis der Erfahrung mit der Anwendung des selben
Systems in einem anderen Kontext
Diese beiden Anwendungsfälle werden im Folgenden näher diskutiert.
Bemerkung: Die Risikoakzeptanzermittlung mittels Referenzsystem ist relevant für signifikante Änderungen, kann aber
auch bei nicht-signifikanten Änderungen im Rahmen des eigenen Sicherheitsverfahrens angewendet werden.
2 CSM-VO Inhalte zum Thema „Referenzsysteme”
Die nachfolgenden Punkte stellen die für das Thema „Referenzsystem” relevanten Abschnitte
aus der CSM-VO Nr. 402/2013 dar. An Stellen, wo die CSM-VO Nr. 402/2013 von der Vorgängerversion
CSM-VO Nr. 352/2009 abweicht, ist der ursprüngliche Text der CSM-VO Nr.
352/2009 mit aufgenommen und durchgestrichen dargestellt während der neue Text der CSM-
VO 402/2013 kursiv gekennzeichnet ist.
Begriffsbestimmungen
9. „Sicherheitsanforderungen”: die (qualitativen oder quantitativen) Sicherheitsmerkmale eines Systems sowie
dessen Betriebs (einschließlich Betriebsvorschriften) und dessen Instandhaltung, die zur Erfüllung gesetzlicher oder
unternehmensspezifischer Sicherheitsziele erforderlich sind;
10. „Sicherheitsmaßnahmen”: eine Reihe von Maßnahmen, die entweder die Häufigkeit des Auftretens einer Gefährdung
verringert oder ihre Folgen mildert, so dass ein vertretbares Risikoniveau erreicht und/oder aufrechterhalten
werden kann;
20. „Referenzsystem”: ein System, das sich in der Praxis bewährt hat, ein akzeptables Sicherheitsniveau gewährleistet
und es ermöglicht, im Wege eines Vergleichs die Vertretbarkeit der von einem zu bewertenden System ausgehenden
Risiken zu evaluieren;
25. „System”: jeden Teil des Eisenbahnsystems, der Gegenstand einer Änderung ist, wobei die Änderung technischer,
betrieblicher oder organisatorischer Art sein kann;
Seite 3 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
CSM-VO Inhalte zum Thema „Referenzsysteme”
Anhang I, 2.1:
2.1.4. Die Vertretbarkeit des Risikos des zu bewertenden Systems wird unter Zugrundelegung eines oder mehrerer
der folgenden Grundsätze der Risikoakzeptanz evaluiert:
a) Anwendung von Regelwerken (Nummer 2.3);
b) Vergleich mit ähnlichen Systemen (Nummer 2.4);
c) explizite Risikoabschätzung (Nummer 2.5).
In Übereinstimmung mit dem allgemeinen Grundsatz gemäß Nummer 1.1.5 sieht die Bewertungsstelle davon ab,
dem Vorschlagenden Auflagen bezüglich des anzuwendenden Grundsatzes der Risikoakzeptanz zu machen.
2.1.5. Der Vorschlagende weist in der Risikoevaluierung nach, dass der gewählte Risikoakzeptanzgrundsatz in angemessener
Weise angewandt wird. Darüber hinaus überprüft der Vorschlagende, dass die ausgewählten Risikoakzeptanzgrundsätze
einheitlich angewandt werden.
Anhang I, 2.2.6 : Wird zur Risikobeherrschungkontrolle auf ein Regelwerk oder auf ein Referenzsystem zurückgegriffen,
kann die Gefährdungsermittlung beschränkt werden auf
a) die Überprüfung der Relevanz der anerkannten Regeln der Technik des Regelwerks bzw. des Referenzsystems;
b) die Ermittlung der Abweichungen von den anerkannten Regeln der Technik vom Regelwerk bzw. vom Referenzsystem.
Anhang I, 2.4: Heranziehung eines Referenzsystems und Risikoevaluierung
2.4.1. Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine oder, mehrere oder
alle Gefährdung(en) durch ein ähnliches System angemessen abgedeckt wird bzw. werden, das als Referenzsystem
herangezogen werden könnte.
2.4.2. Ein Referenzsystem muss mindestens folgende Anforderungen erfüllen:
a) Es hat sich bereits in der Praxis bewährt, weil es ein akzeptables Sicherheitsniveau gewährleistet, und es würde
daher in dem Mitgliedstaat, in dem die Änderung eingeführt werden soll, nach wie vor eine Genehmigung erhalten.
b) Es verfügt über ähnliche Funktionen und Schnittstellen wie das System, das der Bewertung unterzogen wird.
c) Es wird unter ähnlichen Betriebsbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.
d) Es wird unter ähnlichen Umweltbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.
2.4.3. Erfüllt ein Referenzsystem die unter Ziffer 2.4.2 genannten Anforderungen, gilt für das zu bewertende System
Folgendes:
a) Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden als vertretbar
angesehen.
b) Die Sicherheitsanforderungen im Falle von Gefährdungen, die von dem Referenzsystem abgedeckt werden,
können aus Sicherheitsanalysen oder aus einer Bewertung der Sicherheitsdokumentation des Referenzsystems abgeleitet
werden.
c) Diese Sicherheitsanforderungen werden im Gefährdungsprotokoll als in Bezug auf die jeweiligen Gefährdungen
geltende Sicherheitsanforderungen erfasst.
2.4.4. Weicht das zu bewertende System vom Referenzsystem ab, muss aus der Risikoevaluierung hervorgehen,
dass das bewertete dieses System mindestens das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, indem
ein anderes Referenzsystem herangezogen oder einer der beiden anderen Risikoakzeptanzgrundsätze angewandt
wird. Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden in
diesem Fall als vertretbar angesehen.
2.4.5. Kann nicht nachgewiesen werden, dass das System zumindest das gleiche Sicherheitsniveau erreicht wie
das Referenzsystem, werden für die Abweichungen zusätzliche Sicherheitsmaßnahmen ermittelt festgelegt, indem
bei denen einer der beiden anderen Risikoakzeptanzgrundsätze zur Anwendung kommt angewandt wird.
2.5.1. Wenn die Gefährdungen nicht von einem der beiden Risikoakzeptanzgrundsätze abgedeckt werden, die in
den Nummern 2.3 und 2.4 festgelegt sind, wird der Nachweis über die Vertretbarkeit des Risikos in Form einer
expliziten Risikoabschätzung und -evaluierung erbracht. Risiken, die sich aus diesen Gefährdungen ergeben, werden
unter Berücksichtigung der vorhandenen Sicherheitsmaßnahmen quantitativ oder qualitativ beurteilt.
2.5.4. Wenn sich aus Ausfällen technischer Systeme Gefährdungen ergeben, die nicht von den anerkannten Regeln
der Technik Regelwerken oder der Verwendung eines Referenzsystems abgedeckt werden, gilt für den Entwurf
die Planung des technischen Systems folgendes Risikoakzeptanzkriterium:
Bei technischen Systemen, bei denen im Falle eines funktionellen Ausfalls von unmittelbaren katastrophalen Folgen
auszugehen ist, muss das damit verbundene Risiko nicht weiter reduziert eingedämmt werden, wenn die Ausfallrate
pro Betriebsstunde kleiner oder gleich 10 –9 ist.
Seite 4 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Literatur-Überblick
3 Literatur-Überblick
3.1 ERA Leitlinie
Enthält Erläuterungen zu den einzelnen Bestimmungen, aber keine wesentlich weiterführenden
Informationen zum Thema „Referenzsysteme”.
3.2 ERA Beispiele
Enthält einzelne Erläuterungen zu den einzelnen Bestimmungen, aber keine wesentlich weiterführenden
Informationen zum Thema „Referenzsysteme”.
Als Beispiel für die Verwendung eines Referenzsystems zur Ableitung von Sicherheitsanforderungen
ist die Risikoanalyse für neue elektronische Stellwerksysteme in Deutschland aufgeführt,
s. C.13.
– Beschreibung des Verfahrens
– Keine weitergehenden Schlussfolgerungen
3.3 EBA-Hinweise
Enthält keine weiterführenden Informationen zum Thema „Referenzsysteme”.
3.4 ORR Guideline
Enthält keine weiterführenden Informationen zum Thema „Referenzsysteme”.
4 Beziehung zu den anderen Risikoakzeptanzgrundsätzen
Grundsätzlich stehen sich die Risikoakzeptanzgrundsätze gleichberechtigt gegenüber. Die Auswahl
des geeigneten Risikoakzeptanzgrundsatzes wird mit CSM-VO 2.1.4 ausdrücklich dem
Vorschlagenden überlassen, der Vorschlagende muss aber nach CSM-VO 2.1.5 die Angemessenheit
nachweisen. Die in CSM-VO 2.5.1 angedeutete Nachrangigkeit des Risikoakzeptanzgrundsatzes
der expliziten Risikoanalyse wird deshalb als Hinweis verstanden, dass die beiden
ersten Risikoakzeptanzgrundsätze meistens leichter anwendbar sind und deshalb im Regelfall
nicht auf die explizite Risikoanalyse zurückgegriffen wird, wenn einer der ersten beiden Risikoakzeptanzgrundsätze
anwendbar ist.
5 Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche
Systeme”
Diese Vorgehensweise zur Ermittlung von Sicherheitszielen ist in der Vergangenheit in verschiedenen
Fällen erfolgreich angewendet worden, um Sicherheitsziele für die Neuentwicklung von
Systemen abzuleiten (Beispiele I60R, LZB80, Risikoanalyse ESTW Phase 1 der DB AG, …).
Dabei wurden nach EN 50129 auf Basis des Referenzsystems tolerierbare Gefährdungsraten
abgeleitet, die neben den aktuellen Normenanforderungen als Sicherheitsziele für die Neuentwicklung
dienten. Da in die Gefährdungsraten auch Gefährdungen aus Betrieb und Instandhaltung
eingehen, an die entsprechende Anwendungsbedingungen zu stellen sind, erfüllen die
tolerierbaren Gefährdungsraten die Definition des Begriffs Sicherheitsanforderung der CSM-VO.
Die oben beschriebene Methodik erfüllt die Anforderungen der CSM-VO auf folgende Weise:
CSM-
VO
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften
ähnlicher Systeme
2.4.1 Abstimmung der Gefährdungsanalyse mit den Beteiligten, in der Vergangenheit mit
dem Eisenbahn-Bundesamt.
Seite 5 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche Systeme”
CSM-
VO
2.4.2a)
2.4.2b)
2.4.2c)
2.4.2d)
2.4.3a)
2.4.3b)
2.4.3c)
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften
ähnlicher Systeme
Typischerweise waren die Referenzsysteme zum Zeitpunkt der Verwendung als Referenzsystem
im selben Eisenbahnsystem noch im Einsatz und hatten sich bewährt bzw.
wurden noch neu installiert. Es konnte deshalb davon ausgegangen werden, dass ihre
grundsätzlichen Sicherheitsmerkmale den aktuellen Anforderungen entsprachen, auch
wenn sie nicht alle aktuellen Regelwerke bzw. Normen erfüllten.
Durch die Abstimmung mit dem Eisenbahn-Bundesamt wurde die Anwendbarkeit
durch eine Zulassungsbehörde bestätigt.
In den meisten Fällen handelte es sich um Erneuerungen bestehender Systeme. Die
grundsätzlichen eisenbahnbetrieblichen Funktionen und Schnittstellen waren deshalb
zumindest ähnlich. Dies wurde innerhalb der Sicherheitsanalyse bzw. Gefährdungsanalyse
des jeweiligen Systems erläutert.
Bei den Anwendungen handelte es sich um Erneuerungen bestehender Systeme bzw.
die Anwendung im gleichen betrieblichen Umfeld. Die Anforderung wurde deshalb
implizit erfüllt. Bei zukünftigen Anwendungen sollte in der Sicherheits-
/Gefährdungsanalyse festgestellt werden, dass es sich um ähnliche betriebliche Bedingungen
handelt. Da sich die Anwendung des Referenzsystems auch nur auf einzelne
Gefährdungen beziehen darf, ist die Feststellung ähnlicher Betriebsbedingungen für
diejenigen Gefährdungen hinreichend, für die das Referenzsystem herangezogen
werden soll.
Hier gilt das Gleiche wie für 2.4.2c) Betriebsbedingungen. Allerdings lässt sich feststellen,
dass beim angewendeten Konzept nach EN 50129 auch unterschiedliche Umweltbedingungen
nicht schädlich sind, da die Hazard Rates bzw. die Tolerable Hazard
Rates unabhängig von konkreten Umweltbedingungen definiert werden können bzw.
gegenüber diesen neutral sind. So kann ein Referenzsystem durchaus auch bei unterschiedlichen
Umweltbedingungen herangezogen werden, solange die anderen Anforderungen
erfüllt sind, es muss dann nur darauf geachtet werden, dass der Nachweis
mindestens gleichen Sicherheitsniveaus unter Berücksichtigung der neuen Umgebungsbedingungen
erfolgt (s.2.4.4).
Es wurden keine Risikowerte abgeleitet, sondern die Risiken wurden auf Basis der aus
den Referenzsystemen abgeleiteten THRs als vertretbar angesehen.
Die Referenzsysteme wurden einer tiefgehenden Sicherheitsanalyse zur Ermittlung der
erreichten Gefährdungsraten unterzogen (Reverse Engineering der Sicherheitsziele).
Dies war erforderlich, da die Referenzsysteme nicht nach EN 50129 entwickelt waren
und deshalb keine expliziten Gefährdungsraten vorlagen.
Bei Anwendung der Methodik auf nach EN 50129 entwickelte Referenzsysteme kann
direkt auf die dort definierten THRs zurückgegriffen werden.
Entspricht der Vorgehensweise nach EN 50126/50129, die Basis für die Systemerneuerungen
war.
2.4.4 Ermöglicht bei Unterschieden zwischen Referenzsystem und betrachtetem System die
gesonderte Betrachtung nicht abgedeckter Gefährdungen nach anderen Verfahren.
Die Akzeptanz der vom Referenzsystem abgedeckten Risiken bleibt erhalten. Dieser
Passus kommt typischerweise zur Anwendung, wenn in einem neuen System zur vom
Referenzsystem abgedeckten Grundfunktionalität weitere Funktionen hinzugefügt
Seite 6 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche Systeme”
CSM-
VO
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften
ähnlicher Systeme
werden.
2.4.5 S. 2.4.4 – die Anwendung von anderen Verfahren auf Abweichungen ist zulässig und
verhindert nicht die Anwendung des Risikoakzeptanzgrundsatzes Referenzsystem.
2.5.4 Steht im Zusammenhang mit 2.4.4 und 2.4.5: wenn weder die Anwendung eines
Referenzsystems noch Regelwerke einen passenden Risikoakzeptanzgrundsatz ergeben,
gibt dieser Abschnitt eine Obergrenze für einen expliziten Risikoakzeptanzgrundsatz
an. Ein unmittelbarer Anwendungsfall ist noch nicht bekannt, der Wert von 10 -9 /h
als Grenzwert für Gefährdungen, die direkt zu katastrophalen Folgen führen, ist aber
allgemein akzeptierte Praxis.
Bemerkung 1: Erweiterungen und Änderungen können durch neue Gefährdungsursachen zu zusätzlichen Gefährdungsbeiträgen
führen, sodass exakt gleiche Sicherheit nicht erreicht werden kann. In diesem Fall kann hinreichende
Sicherheit nachgewiesen werden, indem das aus dem Referenzsystem ermittelte Sicherheitsziel geringfügig reduziert
wird. Entsprechend dem Konzept des allgemein vertretbaren Risikos kann hierfür ein Maximalwert von 10 % angesetzt
werden (s. auch Ergebnisbericht AVR)
Bemerkung 2: In obenstehender Tabelle wurde vorausgesetzt, dass der Vergleich mit dem Referenzsystem auf Basis
von Top Level-Sicherheitszielen erfolgt. Bei Vergleich von Systemen auf Basis detaillierter Sicherheitsanforderungen
tiefer Designebenen ist damit zu rechnen, dass Sicherheitsanforderungen des Referenzsystems im neuen Kontext
nicht mehr relevant oder sinnvoll anwendbar sind.
Für die Ermittlung von Sicherheitszielen für ähnliche Systeme auf Basis von Referenzsystemen
lässt sich zusammenfassend feststellen, dass die in der CSM-VO aufgeführten Anforderungen
weitgehend der bisher gängigen Praxis entsprechen.
Seite 7 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems in
einem anderen Kontext
6 Cross acceptance von Systemen auf Basis der Anwendung des identischen
Systems in einem anderen Kontext
Eine weitere Anwendung von Referenzsystemen ergibt sich im Bereich der Cross Acceptance.
Nach EN 50129 ist Cross Acceptance (gegenseitige Anerkennung) definiert als:
Zitat:
„gegenseitige Anerkennung
Zustand eines Produktes, den es mit der Anerkennung durch eine Behörde nach den zuständigen
Europäischen Normen erreicht und in dem es durch andere Behörden ohne weitere Begutachtungen
ebenfalls anerkannt werden kann.“
Cross Acceptance wurde in der Vergangenheit in vielen Fällen erfolgreich angewendet. Mit dem
TR 50506-1:2007 wurde ein Anwendungsleitfaden zur EN 50129 erstellt, der mögliche Verfahren
zur Cross Acceptance beschreibt.
Im Unterschied zum ersten Fall ist das Hauptziel der Cross Acceptance nicht die Ableitung von
Sicherheitszielen, sondern die Anerkennung des zu bewertenden Systems in einem neuen Anwendungskontext.
Bei grundsätzlich vergleichbarem Sicherheitsniveau in den zu vergleichenden
Anwendungsgebieten (verschiedene Betreiber, unterschiedliche Länder,…) kann aber davon
ausgegangen werden, dass ähnliche Anwendungsfälle auf vergleichbaren Sicherheitszielen basieren,
weshalb eine explizite Ableitung von Sicherheitszielen oder eine Entwicklung nach einem
spezifischen Regelwerk nicht erforderlich sind.
Entscheidend ist dabei der Vergleich der Anwendungsbedingungen, da das System höchstens
geringfügig angepasst sein darf, wenn Cross Acceptance zur Anwendung kommen soll, die
Anwendungsbedingungen aber recht unterschiedlich sein können. In diesem Sinn ist als Referenzsystem
nicht nur das technische System zu verstehen, auf das Cross Acceptance angewendet
werden soll, sondern der Bereich des Eisenbahnsystems, in dem das technische System bereits
zur Anwendung gekommen ist (man könnte auch von Referenzanwendung sprechen). Dieses
Verständnis des Begriffs Referenzsystem ist kompatibel mit der CSM-VO, da dort in den Begriffsdefinitionen
zwischen „technischen System“ und „System“ unterschieden wird, wobei als
System der Teil eines Eisenbahnsystems verstanden wird, der Gegenstand einer Änderung ist,
die auch betrieblicher Art sein kann, also auch der Anwendungskontext eines technischen Systems.
Cross Acceptance ist nur für generische Produkte oder Anwendungen vorgesehen, nicht für
spezifische Anwendungen (da diese ja spezifisch erstellt werden und sich immer von den Vorgänger-Anwendungen
unterscheiden).
Mit Erscheinen der CSM-VO unterliegen auch Cross Acceptance-Verfahren den Regelungen der
CSM-VO. Auch wenn die Regelungen der CSM-VO zunächst eher im Sinne der Ableitung von
Sicherheitszielen zu verstehen sind, lässt sich doch zeigen, dass auch die Cross Acceptance unter
diesem Risikoakzeptanzgrundsatz durchführbar ist:
CSM-
VO
Bewertung bzgl. Cross Acceptance
2.4.1 Cross Acceptance-Verfahren wurden und werden immer in Zusammenarbeit mit den
zukünftigen Anwendern sowie den Zulassungsverantwortlichen durchgeführt. Dieser
Abschnitt beschreibt nur die bisher bereits gängige Praxis.
2.4.2a)
Im Gegensatz zum ersten Anwendungsfall ist das Referenzsystem nicht beim zukünftigen
Anwender des zu bewertenden Systems im Einsatz, sondern bei einem anderen
Seite 8 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems in
einem anderen Kontext
CSM-
VO
2.4.2b)
2.4.2c)
2.4.2d)
2.4.3a)
2.4.3b)
2.4.3c)
Bewertung bzgl. Cross Acceptance
Anwender, häufig in einem anderen Eisenbahnsystem in einem anderen Land. Das
Referenzsystem nach CSM-VO ist bei Anwendung auf Cross Acceptance eigentlich
eine „Referenzanwendung“.
Im Cross Acceptance-Verfahren ist deshalb zu prüfen, ob der als Referenzsystem gewählte
Einsatzfall vergleichbare Sicherheitsanforderungen beinhaltet, wie sie beim
zukünftigen Anwender anzulegen sind. Innerhalb der EU kann das derzeit nicht
grundsätzlich vorausgesetzt werden (s. Safety Report 2012 der ERA, Figure 17 und
18).
Da es sich beim Cross Acceptance-Verfahren um den Einsatz desselben Systems in
einem anderen Anwendungsbereich handelt, kann dieser Punkt als erfüllt vorausgesetzt
werden. Allenfalls geringfügige Anpassungen sind nach TR 50506-1 innerhalb
eines Cross Acceptance-Verfahren erforderlich, müssen dann aber auf neue Risiken
analysiert werden (TR 50506-1 Abschnitt 4.4.1 f) und Kerngrundsätze Abschnitt 4.4.2
c) – e).
Das Cross Acceptance-Verfahren nach TR 50506-1 sieht eine detaillierte Analyse der
neuen Betriebsbedingungen in Bezug auf das zu bewertende System vor. S. TR
50506-1 Tab. 1 Zeile „Auswertung der Unterschiede“ und Kern-Grundsätze Abschnitt
4.4.2 c) - e).
Hier gilt das Gleiche wie für 2.4.2c) Betriebsbedingungen.
Gilt auch für Cross Acceptance, wenn von einem vergleichbaren Sicherheitsniveau in
der Referenzanwendung ausgegangen werden kann.
Bei Cross Acceptance steht nicht die Ableitung von Sicherheitsanforderungen im Vordergrund,
sondern die Bewertung der Sicherheitseigenschaften des existierenden Systems
für den neuen Anwendungsfall. Dabei kann bei hinreichender Übereinstimmung
der funktionalen und betrieblichen Einsatzbedingungen sowie der Umweltbedingungen
davon ausgegangen werden, dass die Sicherheitseigenschaften des zu bewertenden
Systems für den neuen Einsatzfall hinreichend sind, solange von grundsätzlich
vergleichbarem Sicherheitsniveau von Referenzanwendungsfall und neuem Anwendungsfall
ausgegangen werden kann (vergleiche 2.4.2a)).
Innerhalb des Cross Acceptance-Verfahrens nach TR 50506-1 ist die Auswertung des
Gefährdungslogbuchs des Cross-Acceptance-Systems vorgesehen. Nach TR 50506-1
soll das Gefährdungslogbuch entsprechend der neuen Anwendung aktualisiert werden
(s. TR 50506-1 Tab. 1 Zeile „Auswertung der Unterschiede“).
2.4.4 Ermöglicht bei Unterschieden zwischen Referenzsystem/-anwendung und neuer Anwendung
die gesonderte Betrachtung nicht abgedeckter Gefährdungen nach anderen
Verfahren. Die Akzeptanz der vom Referenzsystem bzw. der Referenzanwendung
abgedeckten Risiken bleibt erhalten. Dieser Passus kommt typischerweise zur Anwendung,
wenn im neuen Anwendungsfall Gefährdungen identifiziert wurden, die im
Referenzsystem/anwendungsfall keine Rolle gespielt haben.
2.4.5 S. 2.4.4 – die Anwendung von anderen Verfahren auf Abweichungen ist zulässig und
verhindert nicht die Anwendung des Risikoakzeptanzgrundsatzes Referenzsystem. Zur
Beherrschung von Risiken aus Abweichungen zum Referenzsystem s. TR 50506-1,
Seite 9 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Überlegungen zum Absatz 2.4.5
CSM-
VO
Bewertung bzgl. Cross Acceptance
Abschnitt 4.4.2 d) und e).
2.5.4 Steht im Zusammenhang mit 2.4.4 und 2.4.5: wenn weder die Anwendung eines
Referenzsystems noch Regelwerke einen passenden Risikoakzeptanzgrundsatz für
eine im neuen Anwendungskontext neue Gefährdung ergeben, gibt dieser Abschnitt
eine Obergrenze für einen expliziten Risikoakzeptanzgrundsatz an. Ein unmittelbarer
Anwendungsfall ist noch nicht bekannt, der Wert von 10 -9 /h als Zielwert für katastrophale
Gefährdungen ist aber allgemein akzeptierte Praxis.
In Fällen, in denen die Vergleichbarkeit der Sicherheitsniveaus von Referenzsystem-
Anwendungsbereich und Cross Acceptance-Anwendungsbereich nicht gegeben ist, kann es
sinnvoll sein, zusätzlich ein ähnliches Referenzsystem aus dem Cross-Acceptance-
Anwendungsbereich zu verwenden, um einen Vergleich mit Sicherheitszielen entsprechend
4.2.1 durchführen zu können.
Zusammenfassend lässt sich feststellen, dass die Anwendbarkeit des Risikoakzeptanzgrundsatzes
„Referenzsystem“ auf die Cross Acceptance sich zwar nicht unmittelbar aus den Formulierungen
der CSM-VO ergibt, sich die Anforderungen der CSM-VO aber alle auf den TR 50506-1 abbilden
lassen. Damit kann es als plausibel angesehen werden, dass Cross Acceptance als CSM-VOkompatibles
Verfahren zum Risikomanagement bei der Übertragung eines Systems in einen
neuen Anwendungsfall angesehen werden kann.
7 Überlegungen zum Absatz 2.4.5
Der Absatz 2.4.5 wirkt zunächst irritierend, da bei Nichterreichen des Sicherheitsniveaus des
Referenzsystems auf eine der beiden anderen Methoden für Risikoakzeptanzgrundsätze verwiesen
wird, aus denen dann weiterreichende Sicherheitsmaßnahmen ermittelt werden sollen. Damit
müsste es dann aber eigentlich möglich sein, wiederum das Sicherheitsniveau des Referenzsystems
zu erreichen.
Sinn macht der Absatz, wenn man annimmt, dass ein Nachweis gleichen Sicherheitsniveaus wie
beim Referenzsystem qualitativ statt quantitativ durch Übernahme von technischen Sicherheitsanforderungen
erfolgen soll, aber wegen Abweichungen für bestimmte Punkte in dieser Form
nicht geführt werden kann (was nicht automatisch bedeutet, dass das Sicherheitsniveau nicht
ausreicht, sondern nur, dass ein direkter Vergleich nicht möglich ist). In diesem Fall macht es
Sinn, für die betroffenen Punkte / Gefährdungen auf die anderen Risikoakzeptanzgrundsätze zu
verweisen, um hinreichende Sicherheit nachzuweisen.
Als ein Sonderfall könnte die gängige Praxis angesehen werden, kleine Verschlechterungen des
Sicherheitsniveaus zu akzeptieren, z.B. 5 oder 10 %, wenn durch Einführung neuer Technik zusätzliche
Gefährdungen entstehen, ohne dass eine Kompensation an anderer Stelle möglich ist
(z.B. wenn einem existierenden System ohne weitere Änderungen eine Schnittstelle hinzugefügt
wird). Hierbei entsteht, wenn auch auf Basis eines Referenzsystems, ein neues explizites Risikoakzeptanzkriterium.
8 Zusammenfassung
Mit dem Risikoakzeptanzgrundsatz Referenzsystem steht innerhalb der CSM-VO ein Risikoakzeptanzgrundsatz
zur Verfügung, der in der Vergangenheit häufig angewendet wurde und dessen
Anforderungen von den gängigen Vorgehensweisen im Rahmen der CENELEC Normen EN
5012X erfüllt werden.
Insbesondere wurde gezeigt, dass bewährte Vorgehensweisen
Seite 10 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Zusammenfassung
- zur Ableitung von Sicherheitsanforderungen an ein neues System aus denen eines Referenzsystems
und
- zur Cross-Acceptance eines existierenden Systems in einem neuen Kontext
durch diesen Risikoakzeptanzgrundsatz gedeckt sind.
Seite 11 von 12

AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen
Referenzsystemen” bei Anwendung der CSM-VO
Referenzen
9 Referenzen
CSM-VO
EBA Leitlinie
EN 50126
EN 50129
ERA Beispiele
ERA Leitlinie
ERA Safety
Report 2012
Ergebnisbericht
AVR
ORR Guideline
TR 50506-1
10 Abkürzungen
Abk.
CENELEC
DB
EBO
EN
ERA
GAMAB
LZB
ORR
THR
Verordnung der Kommission über die Festlegung einer gemeinsamen Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken, Version Nr.
352/2009 vom 24. April 2009,Version Nr. 402/2013 vom 30. April 2013
Hinweise für die Anwendung der Verordnung (EG) Nr. 352/2009 der Kommission
vom 24.04.2009 über die Festlegung einer gemeinsamen Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Abs. 3
Buchstabe a der Richtlinie 2004/49/EG des Europäischen Parlaments und des
Rates durch das Eisenbahn-Bundesamt
DIN EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit, Sicherheit (RAMS), 2000
DIN EN 50129, Bahnanwendungen, Telekommunikationstechnik, Signaltechnik
und Datenverarbeitungssysteme, Sicherheitsrelevante elektronische Systeme für
Signaltechnik, 2003
Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge zur
Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF
Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken, ERA/GUI/01-2008/SAF
“Railway safety performance in the European Union” 2012,
www.era.europa.eu/Document-Register/Documents/SafetyReport2012.pdf
Projekt NeGSt, Teilbericht „Allgemein vertretbares Risiko”, 26.06.2013
ORR guidance on the application of the common safety method (CSM) on risk
evaluation and assessment, Dec. 2012
CLC/TR 50506-1: Railway applications - Communication, signalling and processing
systems -Application Guide for EN 50129 - Part 1: Cross-acceptance
Langform / Erläuterung
Europäisches Komitee für Elektrotechnische Normung
Deutsche Bahn
Eisenbahn-Bau- und Betriebsordnung
Europäische Norm
European Railway Agency
Globalement Au Moins Aussi Bon
Linienförmige Zugbeeinflussung
Office of Rail Regulation
Tolerable Hazard Rate
Seite 12 von 12

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit‐ und Sicherungstechnik
Teilbericht
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
06.08.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger:
TÜV Rheinland Consulting GmbH

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
15.03.2013 Beck (DB Netz AG) V01 Erstellung
29.04.2013 Beck (DB Netz AG) V02 Red. Änderungen
30.04.2013 Beck (DB Netz AG) V03 Ergänzung Beispiel »Temporäre Langsamfahrstellen
einrichten«
16.07.2013 Notter (Thales) V04 Ergänzung nach Review in AG2
Beck (DB Netz AG)
06.08.2013 Beck (DB Netz AG) V1.0 Finale Abstimmung in AG2
Seite 2 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Inhaltsverzeichnis
1 Einleitung .................................................................................................................... 5
2 Vorgaben der CSM VO ................................................................................................... 5
2.1 Ausgangslage .......................................................................................................... 5
2.2 Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS ........................................... 5
3 Semi‐quantitative Methoden ......................................................................................... 7
3.1 Allgemeines ............................................................................................................. 7
3.2 Anforderungen an semi‐quantitative Methoden nach DIN V VDE V 0831‐101 ................. 8
3.3 Die semi‐quantitative Methode RSM nach E DIN VDE V 0831‐103 ................................. 8
4 Methodik nach E DIN VDE V 0831‐103 ............................................................................. 9
4.1 Aufbau und Kalibrierung der RSM .............................................................................. 9
4.2 Anwendung der Methodik ....................................................................................... 10
4.3 Die Tabelle der Unfallklassen in E DIN VDE V 0831‐103 .............................................. 11
4.4 Barrierenmodell in E DIN VDE V 0831‐103 ................................................................. 12
5 Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele .............. 13
5.1 Tunnelbegegnungsverbot ....................................................................................... 13
5.1.1 Systemdefinition ......................................................................................................... 13
5.1.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 13
5.2 Rechnergestützter Zugleitbetrieb (RZL) am Beispiel des Projektes SATLOC ................ 16
5.2.1 Systemdefinition ......................................................................................................... 16
5.2.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 17
5.3 Temporäre Langsamfahrstellen einrichten ............................................................... 21
5.3.1 Systemdefinition ......................................................................................................... 21
5.3.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 21
5.4 Kransicherung ........................................................................................................ 26
5.4.1 Systemdefinition ......................................................................................................... 26
5.4.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 27
5.5 Schlussfolgerungen ................................................................................................ 28
6 Analyse der Systematik der RSM .................................................................................. 29
6.1 Aufbau .................................................................................................................. 29
6.2 Wertebereiche und Grenzen .................................................................................... 29
6.3 Unfallklassen ......................................................................................................... 29
6.4 Beziehung zu DIN EN 50129 .................................................................................... 30
6.5 Konservativität ...................................................................................................... 30
7 Möglichkeiten zur Weiterentwicklung der RSM ............................................................. 31
Seite 3 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
7.1 Variante 1 .............................................................................................................. 31
7.2 Variante 2 .............................................................................................................. 32
7.3 Variante 3 .............................................................................................................. 32
7.4 Variante 4 .............................................................................................................. 33
8 Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS ....................... 33
8.1 Zielstellung ............................................................................................................ 33
8.2 Vorschlag der CER .................................................................................................. 34
8.3 Letzter Vorschlag für 1. Revision der CSM VO ........................................................... 35
8.4 Aktueller Vorschlag der ERA .................................................................................... 35
8.5 Vergleich mit Risikoakzeptanzkriterien aus der Luftfahrt ........................................... 36
8.6 Bewertung ............................................................................................................. 39
8.7 Schlussfolgerungen ................................................................................................ 41
9 Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐
TS ............................................................................................................................. 41
10 Zusammenfassung ...................................................................................................... 44
11 Anhang ...................................................................................................................... 45
11.1 Referenzen ............................................................................................................ 45
11.2 Abkürzungen ......................................................................................................... 47
Seite 4 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Einleitung
1 Einleitung
Mit dem in Anhang I, Ziffer 2.5.4 der VO (EG) Nr. 352/2009 (»CSM VO«) genannten Kriterium für die
Entwicklung technischer Systeme (»Risikoakzeptanzkriterium für technische Systeme – RAC‐TS«)
steht erstmals ein harmonisiertes Kriterium zur Verfügung, dass auch zur »Kalibrierung« semiquantitativer
Methoden zur expliziten Risikoabschätzung Verwendung finden kann.
In diesem Dokument soll daher – neben einer kurzen grundlegenden Einführung zu semiquantitativen
Methoden – anhand des Entwurfes der Vornorm E DIN VDE V 0831‐103 und ausgewählter
Beispiele gezeigt werden, wie eine derartige Kalibrierung erfolgen kann. Außerdem soll ein
Ausblick dazu gegeben werden, wie sich die derzeitigen Tendenzen zur Weiterentwicklung des Kriteriums
RAC‐TS auswirken bzw. welche Empfehlungen zur Weiterentwicklung gegeben werden
können.
Vorab soll noch folgende grundsätzliche Erläuterung gegeben werden: In den einschlägigen Normen
wird in der Regel nur zwischen »qualitativen oder quantitativen Methoden der Gefährdungs‐ und
Risikoanalyse« unterschieden (siehe z.B. Abschn. 7.4.2.8 in DIN EN 61508‐1). Im Sinne dieses Berichtes
wird jedoch für alle Methoden, die sowohl qualitative als auch quantitative Aspekte enthalten
und mit denen sich Sicherheitsanforderungen in Form einer zulässigen Ausfall‐ / Gefährdungsrate
bzw. einer Sicherheitsanforderungsstufe (SIL) ermitteln lassen der Begriff »semi‐quantitativ« verwendet.
2 Vorgaben der CSM VO
2.1 Ausgangslage
In der aktuell gültigen Fassung der CSM VO findet sich für das Kriterium RAC‐TS folgende Vorgabe:
2.5.4. Wenn sich aus Ausfällen technischer Systeme Gefährdungen ergeben, die nicht von den anerkannten Regeln der Technik
oder der Verwendung eines Referenzsystems abgedeckt werden, gilt für die Planung des technischen Systems folgendes Risikoakzeptanzkriterium:
Bei technischen Systemen, bei denen im Falle eines funktionellen Ausfalls von unmittelbaren katastrophalen Folgen auszugehen
ist, muss das damit verbundene Risiko nicht weiter eingedämmt werden, wenn die Ausfallrate pro Betriebsstunde
kleiner oder gleich 10 -9 ist.
2.2 Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
In den Jahren 2007 – 2011 wurde von der hiermit beauftragten Arbeitsgruppe der ERA (»RAC Task
Force«) ein erster Vorschlag zur Weiterentwicklung des Kriteriums RAC‐TS erarbeitet und in [7] veröffentlicht
(s. Abbildung 1).
Abbildung 1: Vorschlag für weitere Kategorien des Kriteriums RAC‐TS
Seite 5 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Vorgaben der CSM VO
Zu diesem Vorschlag wurde von der ERA initiiert, eine Auswirkungsanalyse durchzuführen, in der die
Beteiligten vor Allem Fragestellungen zu bisherigen Erfahrungen mit der Festlegung von Anforderungen
an Ausfallraten technischer Funktionen (insbesondere in Verträgen) und Erwartungen an die
Harmonisierung von Risikoakzeptanzkriterien sowie deren Auswirkungen auf Produkte beantworten
sollten.
Mit [2] legte die CER der ERA ein Positionspapier hierzu vor, in dem auch ein Textvorschlag für die
Weiterentwicklung des Kriteriums RAC‐TS enthalten ist:
2.5.4. The following design targets shall apply to failures of functions of technical systems for which a suitable probabilistic approach
applies:
(a) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect a
group of people and result in collective fatalities, the frequency of the failure of the function does not have to be reduced
further if it is demonstrated to lie within the range 1 x 10 -9 to 1 x 10 -8 failures per operating hour appropriate to the assessed
function.
(b) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect individual
people and may result in individual fatality, or those events that may result in collective serious injuries, the frequency
of the failure of the function does not have to be reduced further if it is demonstrated to be less than 1x 10 -7 failures
per operating hour appropriate to the assessed function.
(c) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect individual
people and may result in a serious injury, but not fatality, the frequency of the failure of the function does not
have to be reduced further if it is demonstrated to be less than 1 x 10 -6 failures per operating hour appropriate to the assessed
function.
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway
system has been demonstrated.
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that
can reduce the frequency of occurrence of the failure, or mitigate the severity of its consequence.
The harmonised RAC represent the most demanding design criteria that can be required. The harmonised RAC are required
to be used only where mutual recognition is being sought, or an AB or NSA can demonstrate that the harmonised RAC are
necessary to meet a national safety level. An AB or NSA shall not require a proposer to meet the harmonised RAC in any
other cases.
Nach verschiedenen Zwischenschritten und Diskussionen wurde in einem Treffen zwischen ERA und
den beteiligten Sektororganisationen folgender Text vorabgestimmt, der im Wesentlichen auf einem
zwischen CER und UNIFE abgestimmten Vorschlag beruht (englischer Originaltext aus [2]):
2.5.4. The following design targets shall apply to failures of functions of technical systems for which probabilistic targets can be
demonstrated:
(a) For a failure that has a typical credible potential to lead directly to an accident affecting a group of people and resulting
in fatalities, the frequency of the failure of the function does not have to be reduced further if it is demonstrated to be
less than 10 -8 failures per operating hour appropriate to the assessed function.
(b) For a failure that has a typical credible potential to lead directly to an accident affecting an individual person and resulting
in fatality, or affecting a group of people and resulting in serious injuries, the frequency of the failure of the function
does not have to be reduced further if it is demonstrated to be less than 10 -7 failures per operating hour appropriate to
the assessed function.
(c) For a failure that has a typical credible potential to lead directly an accident affecting an individual person and resulting
in a serious injury, but not fatality, the frequency of the failure of the function does not have to be reduced further if it is
demonstrated to be less than 10 -6 failures per operating hour appropriate to the assessed function.
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway
system has been demonstrated.
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that
can reduce the frequency of the failure, or mitigate the severity of its consequence.
Letztlich konnte jedoch im anschließenden Review dieses Vorschlages keine Einigung zwischen
allen Beteiligten über den finalen Text erzielt werden. Maßgebend hierfür war u.a., dass sich bereits
bei vorangegangenen Versuchen zur Validierung des Ansatzes gezeigt hatte, dass hierfür bei den
Beteiligten zu wenige aussagekräftige Daten zur Verfügung standen und somit eine belastbare Aussage
über die Auswirkungen des weiterentwickelten Kriteriums nicht möglich war. Somit konnte
Seite 6 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Semi‐quantitative Methoden
auch die Befürchtung einiger Beteiligter, dass die Weiterentwicklung zu einer Erhöhung der Sicherheitsanforderungen
gegenüber bestehenden Analysen / Realisierungen führen wird (somit »zu konservativ«
ist) nicht ausgeräumt werden. Andererseits wurde gleichzeitig auch von einigen Aufsichtsbehörden
die Meinung vertreten, dass sie diesen Vorschlag eher als Absenkung der Sicherheitsanforderungen
ansehen, zumal der Textvorschlag in (a) formal die Absenkung um eine Zehnerpotenz
vorgesehen hat.
Infolgedessen konnte die ERA für die 1. Revision zur CSM VO bis zum vorgesehenen Termin keinen
abgestimmten Textvorschlag für die Weiterentwicklung des Kriteriums RAC‐TS unterbreiten. Nähere
Informationen zu den Aktivitäten und Diskussionen können [4] entnommen werden.
Basierend auf den bisherigen Erfahrungen hat die ERA in [5] mittlerweile einen neuen Vorschlag zur
Weiterentwicklung von RAC‐TS erarbeitet, der nachfolgend wiedergegeben ist.
2.5.4. The following design targets shall apply to failures of functions of technical systems:
(a) For a failure that has a typical credible potential to lead directly to an accident affecting a group of people and resulting
in fatalities and/or severe injuries and/or major damages to the environment, the frequency of the failure of the function
does not have to be reduced further if it is demonstrated to be less than or equal to 10 -9 failures per operating hour.
(b) For a failure that has a typical credible potential to lead directly to an accident affecting an individual person and resulting
in fatality and/or severe injury, the frequency of the failure of the function does not have to be reduced further if it is
demonstrated to be less than or equal to 10 -7 failures per operating hour.
(c) For a failure that has a typical credible potential to lead directly to an accident resulting in one or more light injuries, the
frequency of the failure of the function does not have to be reduced further if it is demonstrated to be less than 10 -5 failures
per operating hour.
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway
system has been demonstrated.
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that
can reduce the frequency of the failure, or mitigate the severity of its consequence.
Zielstellung in den nächsten Monaten ist es, dass der Vorschlag von den betroffenen Organisationen
(Eisenbahnunternehmen, Hersteller, Sicherheitsbehörden, Sektororganisationen) validiert wird. Die
Regeln hierzu will die ERA in Kürze bekanntgeben. Weiterhin soll es möglich sein, alternative Vorschläge
zu unterbreiten, die jedoch nach den gleichen Regeln zu validieren sind.
3 Semi‐quantitative Methoden
3.1 Allgemeines
Semi‐quantitative Methoden zur expliziten Risikoabschätzung / Risikoanalyse lassen sich, von wenigen
Ausnahmen abgesehen, prinzipiell als Kombination einer Risikomatrix (oder eines Risikographen,
der sich jedoch auf eine Risikomatrix zurückführen lässt) und Tabellen zur Bewertung von
Barrieren darstellen. Sie werden seit etlichen Jahren in verschiedenen Industriezweigen erfolgreich
angewendet und sind in den hierfür geltenden einschlägigen Normen genannt. Beispiele hierfür
sind:
DIN EN 61508‐5 für sicherheitsbezogene elektrische/elektronischer/programmierbare elektronische
Systeme (Risikograph und »Matrix des Ausmaßes des gefährlichen Vorfalls«),
DIN EN 13849‐1 für Sicherheit von Maschinen (Risikograph).
Hierbei ist darauf hinzuweisen, dass die Methoden in den genannten Normen als Beispiele beschrieben
sind und demzufolge der Anwender in der Regel in Abhängigkeit vom Anwendungsfall noch
eine weitergehende Anpassung bzw. Kalibrierung durchführen muss.
Seite 7 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Semi‐quantitative Methoden
Der Vorteil bei der Anwendung semi‐quantitativer Methoden besteht darin, dass sich gegenüber
rein quantitativen Methoden viele Schritte standardisieren lassen. Dies führt zu einer Vereinfachung,
Wiederverwendbarkeit und Effizienzsteigerung bei der Durchführung von Risikoanalysen.
Ein wesentlicher Nachteil der bekannten Methoden ist jedoch, dass derzeit für keine Methode eine
Begründung für die Konstruktion bzw. ein Hinweis auf das zu Grunde liegende Risikoakzeptanzkriterium
veröffentlicht ist. Wohl zumindest mit aus diesem Grund haben diese Methoden bei Bahnanwendungen
in der Vergangenheit überwiegend keine Anwendung gefunden bzw. wurde auch die
Anwendung von der Aufsichtsbehörde abgelehnt.
Eine weitere Schwäche liegt darin, dass die Methoden oftmals zu konservative Ergebnisse liefern –
auch wenn dies aus sicherheitstechnischer Sicht zunächst nicht als Nachteil angesehen werden
muss. Dieser Effekt wird vielfach noch dadurch verstärkt, dass Anwender im Zweifel eher zu »worst
case« Einschätzungen tendieren, um auf der »sicheren Seite« zu liegen. In [1] finden sich nähere
Ausführungen zu dieser Thematik. In [8] wird darüber hinaus am Beispiel des Risikographen nach
VDV‐Schrift 332 für die punktförmige Zugbeeinflussung gezeigt, dass die hiermit ermittelten Ergebnisse
offensichtlich zu konservativ sind.
3.2 Anforderungen an semi‐quantitative Methoden nach DIN V VDE V 0831‐101
Mit der Vornorm DIN V VDE V 0831‐101 wurden für den Anwendungsbereich »Elektrische Bahn‐
Signalanlagen« erstmals Anforderungen an die verlässliche Konstruktion und Anwendung semiquantitativer
Methoden zur Risikoanalyse aufgestellt. Die Vornorm gibt Anleitung, wie diese Methoden
konstruiert und angewandt werden können, um Sicherheitsanforderungen für technische
Systeme für Bahn‐Signalanlagen abzuleiten, indem
grundlegende Prinzipien erklärt werden,
die notwendigen Verfahrensschritte zur Durchführung der Risikoanalyse bereitgestellt werden,
geeignete Benennungen, Voraussetzungen, Maßgrößen für die Beurteilung der maßgeblichen
Parameter wie Schadensausmaß oder Wirksamkeit von Barrieren bereitgestellt werden,
Beispiele für die notwendigen Arbeitsblätter oder andere Tabellenformen bereitgestellt
werden.
Die DIN V VDE V 0831‐101 definiert insgesamt 28 Anforderungen an die Konstruktion und / oder
Anwendung einer semi‐quantitativen Methoden, auf die – sofern für diesen Bericht relevant – nachfolgend
noch näher eingegangen wird.
3.3 Die semi‐quantitative Methode RSM nach E DIN VDE V 0831‐103
Als Anforderung A4 in DIN V VDE V 0831‐101 ist gefordert, dass für jede semi‐quantitative Methode
ein Anwender‐Handbuch erstellt werden muss, das Definitionen, Erläuterungen und Beispielanwendungen
enthält. Ausgehend von dieser Anforderung wurde mit dem Entwurf der Vornorm E DIN
VDE V 0831‐103 ein derartiges Handbuch für die Methode »Risk Score Matrix« (RSM) erarbeitet.
Hierin wird eine Anleitung für die Anwendung dieser Methode gegeben, indem
der Aufbau der Methode beschrieben wird,
die notwendigen Parameter festgelegt werden,
eine Systemdefinition für generische Funktionen der Eisenbahnsignaltechnik durchgeführt
wird (in Anhang A),
Seite 8 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Methodik nach E DIN VDE V 0831‐103
für diese Funktionen mittels der gewählten Methode exemplarisch Sicherheitsanforderungen
– unter Berücksichtigung relevanter Randbedingungen – abgeleitet werden,
die Erfüllung der Anforderungen an die Konstruktion und Anwendung semi‐quantitativer
Methoden nach DIN V VDE V 0831‐101 nachgewiesen wird (in Anhang C).
Insbesondere wurde darauf Wert gelegt, die Konstruktion der Methode ausreichend zu begründen.
Wesentlicher Bestandteil der Methode ist hierbei die Kalibrierung anhand des Kriteriums RAC‐TS.
Die nähere Beschreibung der Methode erfolgt nachfolgend im Abschnitt 4.
4 Methodik nach E DIN VDE V 0831‐103
4.1 Aufbau und Kalibrierung der RSM
Aufbau und Kalibrierung der RSM sind in Abbildung 2 dargestellt:
Sicherheitsanforderung
1/h
keine
10 -5
3 x 10 -6
X
Risk Score Matrix
Weitere »Referenzpunkte«
nach Revisionsvorschlag
zur VO (EG) Nr. 352/2009
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
10 -9
X
»Referenzpunkt« nach
RAC-TS
A B C D E F G
Unfallklasse
X
X
Klassenbreite ≈ √10
Abbildung 2: Risk Score Matrix nach E DIN VDE V 0831‐103
In der Risk Score Matrix sind horizontal die Unfallklassen und vertikal die Sicherheitsanforderungen
eingetragen. Die Grenze des tolerierbaren Risikos wird hierbei durch die jeweils oberste weiße Zelle
in der jeweiligen Spalte – als Verbindung zwischen Unfallklasse und angegebener Sicherheitsanforderung
– repräsentiert.
Die Klasseneinteilung – sowohl für die Unfallklassen als auch für die Sicherheitsanforderungen – ist
dabei so gewählt, dass sich eine Klasse um angenähert den Faktor √10 von der benachbarten Klasse
unterscheidet. Hiermit wird einerseits Anforderung A3 (Granularität) aus DIN V VDE V 0831‐101 erfüllt
und andererseits eine darüber hinausgehende bessere Granularität erreicht und somit auch
Anforderung A26 (Sensitivität) unterstützt.
Die Zelle im Schnittpunkt zwischen Unfallklasse G und der Sicherheitsanforderung 10 ‐9 /h bildet den
Referenzpunkt zur Kalibrierung entsprechend des Risikoakzeptanzkriteriums RAC‐TS nach CSM VO.
Die Zellen im Schnittpunkt zwischen
Unfallklassen E/F und Sicherheitsanforderung 10 ‐8 /h,
Unfallklassen C/D und Sicherheitsanforderung 3 x 10 ‐7 /h,
Seite 9 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Methodik nach E DIN VDE V 0831‐103
Unfallklasse B und Sicherheitsanforderung 10 ‐5 /h
bilden Referenzpunkte zur Kalibrierung entsprechend des Vorschlages der ERA [7] zur Revision der
CSM VO.
Die aufgeführten Sicherheitsanforderungen sind hierbei als diejenigen zu verstehen, die sich ohne
Berücksichtigung von Barrieren ergeben. Für die Unfallklassen C/D bzw. E/F gelten hierbei die gleichen
Sicherheitsanforderungen, da in der RSM aus dem oben genannten Grund eine feinere Granularität
gewählt wurde als bei der Definition des (weiterentwickelten) Kriteriums RAC‐TS. Zu den
daraus zu gewinnenden Erkenntnissen erfolgen in diesem Bericht an anderer Stelle noch detailliertere
Ausführungen.
4.2 Anwendung der Methodik
Die Anwendung der RSM auf definierte Funktionen / Ausfälle erfolgt nach dem nachfolgend beschriebenen
Schema:
Für jede Ausfallart wird zunächst analysiert, welche Ereignisart(en) hieraus resultieren können und
die jeweils zutreffende Unfallklasse ermittelt. Anschließend werden die möglichen Barrieren bestimmt
und anhand von Tabellen mit Punkten bewertet. Danach wird geprüft, ob bei einer Barriere
eine Abhängigkeit zu anderen Barrieren oder der Unfallklasse besteht und die Punktzahl dieser Barriere
ggf. reduziert. Die Sicherheitsanforderung ergibt sich, indem in der Spalte mit der Unfallklasse
– ausgehend von der jeweils obersten weißen Zelle – für jeden Bewertungspunkt einer Barriere jeweils
eine Zelle nach oben gegangen wird und dann der in der gleichen Zeile äußerst links stehende
Wert abgelesen wird. Sofern bei einer Ausfallart mehrere Gefährdungsszenarien möglich sind,
ergibt sich die Sicherheitsanforderung für diese Ausfallart als Minimalwert aus den Sicherheitsanforderungen
für die jeweiligen Szenarien.
Seite 10 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Methodik nach E DIN VDE V 0831‐103
4.3 Die Tabelle der Unfallklassen in E DIN VDE V 0831‐103
Eine »zentrale Vorgabe« in E DIN VDE V 0831‐103 (da als Ausgangspunkt für die Ermittlung von Sicherheitsanforderungen
und Nachweis für die Kalibrierung der Methode gegen ein Risikoakzeptanzkriterium
dienend) stellt die Tabelle der Unfallklassen dar, wie sie in Tabelle 1 dargestellt ist.
Unfallklasse Ereignisart »maßgebendes« Schadensausmaß
A
B
C
D
E
F
G
Aufprall auf Gleissperre
Aufprall einer Rangierfahrt auf Gegenstand
Unzeitige Zwangsbremsung
Person stürzt beim Aussteigen
Person oder Fahrzeug wird von Schrankenbaum
getroffen
Aufprall eines Reisezuges auf Gegenstand bei
niedriger Geschwindigkeit
Aufprall eines Güterzuges auf Gegenstand
Entgleisung einer Rangierfahrt
Zusammenstoß von Rangierfahrten
Aufprall eines Reisezuges auf Gleisabschluss
Aufprall eines Reisezuges auf Gegenstand bei
mittlerer Geschwindigkeit
Entgleisung eines Reisezuges bei niedriger Geschwindigkeit
Zusammenstoß mit einem Reisezug bei niedriger
Geschwindigkeit
Entgleisung eines Güterzuges
Zusammenstoß zwischen Güterzügen
Aufprall eines Reisezuges auf Gegenstand bei
hoher Geschwindigkeit
Entgleisung eines Reisezuges bei mittlerer Geschwindigkeit
Zusammenprall mit nicht führendem Eisenbahnfahrzeug
Zusammenprall mit führendem Eisenbahnfahrzeug
Personenunfall an höhengleichem Bahnsteigzugang
Personenunfall in einer Arbeitsstelle
Zusammenstoß mit einem Reisezug bei mittlerer
Geschwindigkeit
Entgleisung eines Reisezugs bei hoher Geschwindigkeit
Zusammenstoß mit einem Reisezug bei hoher
Geschwindigkeit
Kein Personenschaden;
geringer Sachschaden
Ein Leichtverletzter;
mittlerer Sachschaden
Mehrere Leichtverletzte
Ein Schwerverletzter oder viele
Leichtverletzte;
hoher Sachschaden
Mehrere Schwerverletzte
Ein Todesfall oder viele Schwerverletzte;
beträchtlicher Sachschaden
Mehrere Todesfälle
Tabelle 1: Unfallklassen nach E DIN VDE V 0831‐103
Obwohl dies für den Anwender prinzipiell als entbehrlich angesehen werden könnte, wurde in der
Tabelle die Spalte »maßgebendes Schadensausmaß« eingefügt, da hiermit einerseits eine Begründung
für die Kalibrierung gegen ein Risikoakzeptanzkriterium direkt ersichtlich ist und andererseits
bei Bedarf die Einstufung von anderen – nicht in der Tabelle genannten – Ereignissen erleichtert
Seite 11 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Methodik nach E DIN VDE V 0831‐103
wird. Das »maßgebende Schadensausmaß« ist hierbei dasjenige, welches überwiegend – d.h. bei
konservativer Abschätzung – bei einem Ereignis der jeweiligen Ereignisart nicht überschritten wird.
Zur Gewährleistung der Kompatibilität zwischen den Klasseneinteilungen für die Unfallklassen und
für die Sicherheitsanforderungen ist hierbei der Begriff »mehrere« im Sinne von »ca. 3« und »viele«
im Sinne von »ca. 10« aufzufassen.
Zur Einordnung der Ereignisarten erfolgte ein Abgleich unter Zuhilfenahme statistischer Daten, bei
dem geprüft wurde, dass Ereignisarten mindestens in diejenige Unfallklasse eingeordnet sind, die
von 90 % aller Ereignisse der jeweiligen Ereignisart nicht überschritten wird. Mindestens bedeutet
hierbei, dass im Zweifel (z. B. auch bei zu geringer Aussagekraft der statistischen Daten im Einzelfall)
konservative Annahmen getroffen wurden – auch um die Einordnung im Gesamtzusammenhang
(z. B. unterschiedliche Unfallklassen bei unterschiedlichen Geschwindigkeiten) plausibel zu
halten. Dies ist auch notwendig, da schwere Eisenbahnunfälle glücklicherweise sehr selten sind und
bei ausschließlicher Betrachtung statistischer Daten daher Ereignisse mit potenziell schwerem
Ausmaß möglicherweise in eine »zu niedrige« Unfallklasse eingestuft würden.
Insgesamt erfolgte die Einstufung der Ereignisse daher als Kombination aus Auswertung statistischer
Daten und Experteneinschätzungen. Hierbei wurde auch auf die Vorarbeiten der ERA zurückgegriffen,
indem die Beispiele in [6] berücksichtigt wurden. So ist als Ereignisart, die in die höchste
(»kritischste«) Unfallklasse fällt, hiernach die Entgleisung eines Reisezuges bei hoher Geschwindigkeit
aufgeführt. Ebenfalls entsprechend des Beispiels in [6] sind die Entgleisung eines Reisezuges bei
mittlerer und bei niedriger Geschwindigkeit sowie die Entgleisung einer Rangierfahrt eingeordnet.
Für Aufpralle eines Reisezuges auf Gegenstände (außer auf einen Gleisabschluss, da hierfür aussagekräftige
statistische Daten vorliegen) wird insgesamt eine konservative Einordnung vorgenommen.
4.4 Barrierenmodell in E DIN VDE V 0831‐103
Für die Bestimmung von Barrieren sieht E DIN VDE insgesamt 4 Tabellen vor:
Bewertung menschlicher Handlungen,
Bewertung von der Betriebsdichte abhängiger Barrieren,
Bewertung der Anforderungsrate mit Ausfalloffenbarung,
Bewertung weiterer Barrieren.
Außerdem beschreibt eine gesonderte Tabelle die Bewertung der Abhängigkeit zwischen Barriere
und anderen Barrieren bzw. Unfallklasse. In den Tabellen werden für die einzelnen Barrieren Wirksamkeitsklassen
gebildet, die in Bezug auf ihre Risikoreduktion mit Punkten bewertet werden.
Grundsatz für die Bewertung von Barrieren ist, dass entsprechend der gewählten Klasseneinteilung
für die Unfallklassen und Sicherheitsanforderungen eine Punktzahl von 2 einer Risikoreduktion
durch die Barriere in Höhe von 0,1 (Faktor 10) entspricht. Durch die Tabelle zur Bewertung weiterer
Barrieren besteht auch die Möglichkeit der Kombination der Methode mit anderen Verfahren (z.B.
ETA, FTA), mit denen eine Quantifizierung der Wirksamkeit von Barrieren möglich ist.
Seite 12 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
5 Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
In diesem Abschnitt soll gezeigt werden, dass sich die Methode RSM nach E DIN VDE V 0831‐103
grundsätzlich auch dafür eignet, für andere Systeme / Funktionen als diejenigen, die im Anhang B
des Vornormentwurfes genannt sind, Sicherheitsanforderungen abzuleiten. Hierzu werden entsprechende
Beispiele beschrieben. Es ist darauf hinzuweisen, dass diese Beispiele im Rahmen des Forschungsvorhabens
NeGSt nicht den Anspruch einer vollständigen Risikobewertung erfüllen können.
Insbesondere dient die jeweilige Systemdefinition nur dem im Rahmen dieses Berichtes erforderlichen
allgemeinen Verständnis. Die Form der Bewertung von Funktionen entspricht hierbei dem
Muster in E DIN VDE V 0831‐103.
5.1 Tunnelbegegnungsverbot
5.1.1 Systemdefinition
Die im Bau befindliche Neubaustrecke Ebensfeld – Erfurt soll von TSI‐konformen Reisezügen und
Güterzügen im Mischbetrieb befahren werden. Auf dieser Strecke sind zweigleisige, einröhrige Tunnel
vorhanden. Um bei Fahrgeschwindigkeiten bis 300 km/h für Reisezüge die Sicherheit im Sinne
EBA‐Richtlinie [3] sowie in Bezug auf aerodynamische Einwirkungen sicherstellen zu können, sind
neben einem fahrplanmäßigen Begegnungsausschluss wirksame Maßnahmen notwendig, um auch
bei Abweichungen vom Fahrplan Begegnungen in Tunneln zuverlässig zu vermeiden. Hierzu sollen
in definierten Tunnelbereichen mit Hilfe eines technischen Systems (TBV‐System) im Zusammenwirken
mit der Stellwerkstechnik Begegnungen/Überholungen zwischen Reise‐ und Güterzügen
ausgeschlossen werden.
Das TBV‐System stellt im Wesentlichen die folgenden Funktionen auf definierten tunnelreichen
Streckenabschnitten (= Tunnelbereichen) sicher:
Über Sensoren (z. B. zur Achsmustererkennung) sowie mittels weiterer im Stellwerk bzw. im
RBC verfügbarer Daten wird die Zugart aller sich dem Tunnelbereich nähernden Züge ermittelt
(Zugarterkennung).
Das TBV‐System überwacht nach erfolgter Zugarterkennung jederzeit die Standorte aller im
Überwachungsbereich befindlichen Züge (Zuglaufverfolgung).
In Abhängigkeit der aktuellen Belegung eines Tunnelbereichs auf dem jeweils anderen Gleis
wird einem sich nähernden Zug über eine geeignete Verarbeitungslogik eine Fahrerlaubnis
ohne Restriktion, eine solche mit Restriktion (Geschwindigkeitsbeschränkung) oder ein Haltbefehl
zugeordnet. Das TBV‐System übermittelt diese Information an dasjenige Stellwerk,
welches das zugeordnete Signal vor dem Tunnelbereich steuert.
5.1.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103
Schutzziel:
– Ausschließen von unzulässigen Begegnungen/Überholungen von Reise‐ und Güterzügen in
Tunnelbereichen
Randbedingungen:
Die Betrachtung beschränkt sich auf Risiken infolge von möglichen Ereignissen in Tunneln, die in
einem unmittelbaren Zusammenhang mit unzulässigen Begegnungen/Überholungen zwischen Reise‐
und Güterzügen und damit mit der Sicherheit des geplanten TBV‐Systems stehen.
Ausfallarten der Funktion:
a) Unzulässige Begegnung/Überholung in Tunnelbereich nicht ausgeschlossen
Seite 13 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a1) Wenn unmittelbar vor der Begegnung/Überholung ein Güterzug entgleist bzw. in Brand gerät,
kann es im Moment der Begegnung/Überholung zu einer Eskalation mit entsprechend höheren
Sach‐ und Personenschäden kommen, wenn die Begegnung/Überholung nicht durch Intervention
des Fahrdienstleiters (Abgabe eines Nothaltauftrages) noch verhindert werden
kann. Als konservative Abschätzung des zu erwartenden weiteren Schadensverlaufes muss
davon ausgegangen werden, dass die Auswirkungen vergleichbar sind mit denjenigen bei
Entgleisung eines Reisezuges oder Zusammenstoß mit einem Reisezug – jeweils bei hoher
Geschwindigkeit entsprechend der zulässigen Geschwindigkeit in Tunnelbereichen (= Unfallklasse
G) – auch wenn diese Ereignisse streng genommen lediglich Folgeereignisse von Entgleisung
bzw. Brand eines Güterzuges sind und hierfür das diesbezügliche Schadensausmaß
angesetzt werden müsste.
Anmerkung: Da der Fokus des Entwurfs E DIN VDE V 0831‐103 auf Funktionen/Ausfällen der LST
liegt, findet sich in der Tabelle der Unfallklassen das Ereignis Brand nicht wieder, sodass hier die
Auswirkungen anhand eines Vergleiches mit Auswirkungen anderer Ereignisse ermittelt wurden.
a2) Auf Grund aerodynamischer Lasten bei Begegnung mit/Überholung von Zügen mit Pkw‐
Transportwagen oder Zügen der »Rollenden Landstraße«: Beschädigung/Verlust von Anbauteilen
von Straßenfahrzeugen oder Einrichtungen zum Schutz der Ladung (z.B. Planen) (= Unfallklasse
A, da nur Sachschaden zu erwarten ist)
a3) Auf Grund aerodynamischer Lasten bei Begegnung mit Zügen mit Schiebewandwagen bzw.
Wagen mit beweglichen Seitenwänden/Türen: Abreißen von Schiebewänden, Seitenwänden
oder Türen und in Folge davon Aufprall eines Reisezuges auf diese Teile. Prinzipiell wäre bei
Anwendung der Tabelle der Unfallklassen nach E DIN VDE V 0831‐103 hierfür Unfallklasse D
entsprechend eines Aufpralls eines Reisezuges auf einen Gegenstand bei hoher Geschwindigkeit
zu wählen. Das angenommene Ausmaß dieses Ereignisses wird hierbei jedoch auch davon
beeinflusst, dass der Aufprall typischerweise mit der Zugspitze erfolgt und das Schadensausmaß
durch geeignete Gestaltung der Fahrzeuge (Bahnräumer, Einrichtungen zur Gewährleistung
der Crashsicherheit) beeinflusst wird. In dem hier betrachteten Gefährdungsszenario
kann der Aufprall jedoch auch seitlich erfolgen (z.B. in Fensterhöhe), sodass von kritischeren
Auswirkungen auszugehen ist. Andererseits erscheint auch die Wahl der höchsten Unfallklasse
nicht gerechtfertigt, sodass hier als konservative Annahme Unfallklasse F angenommen
wird.
a4) Auf Grund aerodynamischer Lasten bei Überholung von Zügen mit Schiebewandwagen bzw.
Wagen mit beweglichen Seitenwänden/Türen: wie a3) – Unfallklasse F.
Auf Grund von Erkenntnissen aus vorangegangenen Analysen zu aerodynamischen Einwirkungen
bei Begegnung/Überholung zwischen Reise‐ und Güterzügen in Tunneln (die beginnend bereits vor
Aufnahme des Hochgeschwindigkeitsverkehrs auf den Strecken Mannheim – Stuttgart und Hannover
– Würzburg) durchgeführt wurden) wird das Gefährdungsszenario »Verlust einer schweren Ladung
infolge von aerodynamischen Einwirkungen« nicht als maßgebend angesehen und daher nicht
betrachtet.
Schutzobjekt:
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung
Bewertung von Barrieren:
a1) Entgleisung bzw. Brand eines Güterzuges unter der zusätzlichen Bedingung, dass dies unmittelbar
vor einer Begegnung/Überholung mit einem Reisezug in einem Tunnelbereich stattgefunden
hat, sind seltene bis sehr seltene Ereignisse. Andererseits erfolgt eine Ausfalloffenbarung
des TBV‐Systems häufig bis dauernd, da auf Grund des vorgesehenen Betriebspro‐
Seite 14 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
grammes ständig Möglichkeiten zur Begegnung zwischen Reise‐ und Güterzügen bestehen
und insofern ein Versagen des TBV‐Systems vom Fahrdienstleiter erkannt werden kann. Bei
Anwendung von Tabelle 7 aus E DIN VDE V 0831‐103 ergibt sich hieraus die Punktzahl 6.
a2) Da mit Unfallklasse A bereits die niedrigste Unfallklasse angenommen wurde, wird auf die
Bewertung von Barrieren verzichtet.
a3) Es darf davon ausgegangen werden, dass nicht jede unzulässige Begegnung zu einem Abreißen
von Schiebewänden oder anderen größeren beweglichen Teilen von Güterwagen führt.
Dies ist einerseits darin begründet, dass bei hier anzunehmender unveränderter Konstruktion
der Güterwagen derzeit bei Begegnungen ein definiertes Drucklastniveau ertragbar ist, ohne
dass hieraus entsprechenden Beschädigungen an Güterwagen resultieren und auch bei den
veränderten Randbedingungen, wie sie der Risikobewertung zu Grunde liegen, eine gewisse
Anzahl an Belastungen verkraftbar ist, bevor Beschädigungen eintreten. Auch unter Berücksichtigung
der Tatsache, das sich in einem Zug mehrere »gefährdete« Güterwagen befinden
können und somit die Wahrscheinlichkeit – bezogen auf die Begegnung mit einem Zug – entsprechend
steigt, kann insgesamt zumindest von einer mittleren Risikoreduktion ausgegangen
werden. Dies entspricht der Annahme, dass es bei ca. 10 unzulässigen Begegnungen einmal
zu einem Abreißen einer Schiebewand oder anderen beweglichen Teilen kommt. Bei Anwendung
von Tabelle 9 aus E DIN 0831‐103 resultiert hieraus die Punktzahl 2.
a4) Aus Versuchen sei als bekannt vorausgesetzt, dass aus Überholungen ungünstigere aerodynamische
Bedingungen resultieren können, sodass die entsprechende Drucklast ansteigt.
Somit steigt auch die Wahrscheinlichkeit des Abreißens einer Schiebewand oder anderer beweglicher
Teile. Wird hier davon ausgegangen, dass die Wahrscheinlichkeit konservativ betrachtet
um den Faktor 2 ansteigt, so ergibt sich bei Anwendung von Tabelle 9 aus E DIN
0831‐103 die Punktzahl 1. Andererseits darf jedoch berücksichtigt werden, dass das Szenario
Überholung auf Grund von Infrastruktur und Betriebslage (Überholung eines Güterzuges in
einem Tunnelbereich ist nur möglich, wenn diese die Fahrt eines Zuges auf dem Gegengleis
über einen längeren Abschnitt zulässt) wesentlich seltener ist als das Szenario Begegnung.
Unter Anwendung von Tabelle 6 aus E DIN 0831‐103 kann dieses Szenario als »unterdurchschnittliche
Betriebsdichte« gegenüber dem Szenario Begegnung eingestuft werden, woraus
sich die Punktzahl 2 ergibt. Dies entspricht der Annahme, dass Begegnung und Überholung
im Verhältnis ca. 10 : 1 stehen. Insgesamt ergibt sich somit die Punktzahl 3.
Anmerkung: Auf Basis umfassender Analysen der aerodynamischen Zusammenhänge und daraus resultierender
Auswirkungen wurde rechnerisch ermittelt, dass die Wahrscheinlichkeit für ein Abreißen von
Schiebewänden oder anderer beweglicher Teilen tatsächlich geringer ist als die bei vorstehender Betrachtung
angenommene Wahrscheinlichkeit. Da diese Analysen jedoch nicht öffentlich verfügbar sind
(und somit die Werte nicht einfach übernommen werden können), in diesem Bericht nur die generelle
Anwendbarkeit der Methode RSM untersucht wird und semi‐quantitative Methoden im Zweifelsfall
durchaus konservativere Resultaten liefern dürfen, wird hierin kein Widerspruch gesehen.
Seite 15 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Darstellung der RSM:
Tabelle 2 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
keine
a2)
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
a3) a4)
3 x 10 -9
10 -9
a1)
A B C D E F G
Unfallklasse
Tabelle 2: RSM für »Tunnelbegegnungsverbot«
Sicherheitsanforderung:
1 x 10 ‐7 /h
5.2 Rechnergestützter Zugleitbetrieb (RZL) am Beispiel des Projektes SATLOC
5.2.1 Systemdefinition
Das System stellt eine technische Unterstützung für den Zugleitbetrieb auf schwach befahrenen
Strecken (UIC Kategorie E, max. 2 Züge pro Stunde) bereit. Die wichtigsten Eigenschaften:
Streckenzentrale und Fahrzeuge stehen kontinuierlich über eine hochverfügbare Funkverbindung
in Kontakt.
Die Fahrzeuge ermitteln ca. einmal pro Sekunde ihre Position und übermitteln diese an die
Streckenzentrale, die die Position plausibilisiert.
Die Fahraufträge werden von der Streckenzentrale erzeugt und vom Zugleiter plausibilisiert
und freigegeben.
Der Triebfahrzeugführer plausibilisiert den Fahrauftrag, bevor er ihn annimmt.
Das Fahrzeuggerät überwacht die Ausführung des Fahrauftrags kontinuierlich, bei Verstoß
wird automatisch die Notbremse aktiviert. Ohne Fahrauftrag schützt das System gegen unberechtigtes
Anfahren.
Streckenseitige Ausrüstung z. B. Stellwerke, sind nicht Teil des RZL. Es wird davon ausgegangen,
dass die Weichen korrekt gestellt sind, z. B. Rückfallweichen.
Prinzipielle Zusammenhänge sind in Abbildung 5 dargestellt. Weitere Informationen können
http://satloc.uic.org/Project‐summary entnommen werden.
Seite 16 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Abbildung 3: Ausführungs‐Beispiel: SATLOC‐Projekt
Die wichtigsten Funktionen sind:
1. Bereitstellung des Fahrauftrags (MA)
2. Überwachung des Fahrauftrags (TC)
Diese Funktionen entsprechen nach E DIN VDE V 0831‐103:
1. MA=Überwachungsgrößen bereitstellen (B5.17)
2. TC=Zugbewegung überwachen (B5.19)
5.2.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103
Überwachungsgrößen bereitstellen (MA)
Schutzziel:
– Umsetzung der Informationen von der streckenseitigen Signaltechnik für die fahrzeugseitige
Zugsicherungsausrüstung, d. h. Bereitstellung eines konfliktfreien Fahrauftrags
– Übertragung von Informationen / Anweisungen an die fahrzeugseitige Zugsicherungsausrüstung
Randbedingungen:
– die Anzeige von Überwachungsgrößen befreit den Triebfahrzeugführer nicht von der Beobachtung
der Strecke und der Signale am Fahrweg
– der Zugleiter plausibilisiert den Fahrauftrag anhand seines Lagebildes
– der Triebfahrzeugführer plausibilisiert den Fahrauftrag anhand seines betrieblichen Auftrags,
z. B. Fahrplan
Seite 17 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Ausfallarten der Funktion:
a) weniger restriktive Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung übertragen
b) restriktivere Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung übertragen
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a1) Entgleisung durch Überschreitung der für den Fahrtverlauf zulässigen Geschwindigkeit bei
mittlerer Geschwindigkeit (= Unfallklasse F)
a2) Frontal‐Zusammenstoß mit anderen Fahrzeugen durch Unterschreitung der Mindestabstände
(= Unfallklasse G)
Bei höheren zulässigen Geschwindigkeiten werden die betreffenden Strecken in der Regel mit
automatischen Zugsteuerungssystemen ausgerüstet. Als konservative Annahme wird jedoch
trotzdem davon ausgegangen, dass bei einer eingleisigen Strecke in der Regel zwei Reisezüge
mit mittlerer Geschwindigkeit betroffen sind, so dass sich eine hohe Geschwindigkeit beim
Zusammenstoß ergeben kann.
b) durch Widerspruch zwischen Ortung bzw. Geschwindigkeitsmessung auf dem Zug und übertragenen
Überwachungsgrößen: Person stürzt auf Grund unzeitiger Zwangsbremsung (= Unfallklasse
A)
Schutzobjekt:
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung
Bewertung von Barrieren:
a1) Der Triebfahrzeugführer muss den Fahrauftrag plausibilisieren, bevor er ihn akzeptiert. Er
kann Fehler erkennen, allerdings nur relativ offensichtliche. Da sich bei einfachen Betriebsverhältnissen
die Aufträge häufig wiederholen und auch Fahrzeug‐ und Streckeneigenschaften
sich nur selten ändern, werden die Fahraufträge in der Regel identisch sein und der Triebfahrzeugführer
kann Abweichungen davon leicht erkennen. Dies kann als regelbasierte Handlung
ohne Stress (da das Beachten von Fahraufträgen bei mittlerer Geschwindigkeit an sich
keine Stresssituation darstellt) unter guten Bedingungen angesehen werden, d. h. 4 Punkte.
Auch der Zugleiter hat die Möglichkeit, fehlerhafte Fahraufträge zu erkennen, allerdings wohl
nur, wenn der Fehler ziemlich offensichtlich ist. Wir stufen diese Handlung als wissensbasiert
ein, allerdings unter normalem Stress und guten Bedingungen, d. h. 2 Punkte. Da es Fehler
geben könnte, die sowohl vom Triebfahrzeugführer als auch vom Zugleiter schwer zu erkennen
sind, ist die Unabhängigkeit der Prüfungen nicht vollständig (1 Punkt Abzug). Hieraus
ergibt sich die Punktzahl 5.
a2) Wie a1): Punktzahl 5
b) Der Triebfahrzeugführer kann fehlerhaft übertragene Überwachungsgrößen oder fehlerhafte
Ortungsinformationen, die im Widerspruch, nicht erkennen und eine Zwangsbremsung nicht
verhindern. Insofern kann keine wirksame Barriere identifiziert werden.
Seite 18 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Darstellung der RSM:
Tabelle 3 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
keine
b)
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
a1)
3 x 10 -9
10 -9
a2)
A B C D E F G
Unfallklasse
Tabelle 3: RSM für »Überwachungsgrößen bereitstellen (MA)«
Sicherheitsanforderung:
3 x 10 ‐7 /h (für Ausfallart »weniger restriktive Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung
übertragen«)
keine
(für Ausfallart »restriktivere Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung
übertragen«)
Zugbewegung überwachen (TC)
Schutzziel:
– gewährleisten, dass der Zug selbsttätig zum Halten gebracht werden kann, wenn die Fahrweise
des Triebfahrzeugführers im Hinblick auf die Geschwindigkeit (entsprechend der Überwachungsgrößen)
unzulässig ist
Randbedingungen:
– die Anzeige von Überwachungsgrößen befreit den Triebfahrzeugführer nicht von der Beobachtung
der Strecke und der Signale am Fahrweg
Ausfallarten der Funktion:
a) keine Zwangsbremsung ausgelöst bei Überschreitung von Überwachungsgrößen
b) unzeitige Zwangsbremsung ausgelöst
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a1) Wie a1) oben: Unfallklasse F
a2) Wie a2) oben: Unfallklasse G
b) Person stürzt auf Grund unzeitiger Zwangsbremsung (= Unfallklasse A)
Seite 19 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Schutzobjekt:
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung
Bewertung von Barrieren:
a1) Der Triebfahrzeugführer hat trotz vorhandener Zugsicherungsausrüstung die Signale (bei
einfachen Strecken die Tafeln) am Fahrweg sowie die Anzeigen auf seinem Führerstandsdisplay
zu beachten. Dies kann als fertigkeitsbasierte Handlung ohne Stress (da das Beachten
von Signalen bzw. Führerstandsdisplay an sich keine Stresssituation darstellt) und bei schlechten
Bedingungen angesehen werden (Tafeln sind weniger auffällig als Signale) – Punktzahl 5.
a2) Evtl. hat der Triebfahrzeugführer noch die Möglichkeit, den entgegenkommenden Zug zu
erkennen, aber schon bei mittleren Geschwindigkeiten keine Möglichkeit mehr, den Zusammenstoß
zu vermeiden. Wie a1) Punktzahl 5
b) Wie b) oben keine wirksame Barriere
Darstellung der RSM:
Tabelle 4 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
keine
b)
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
a1)
3 x 10 -9
10 -9
a2)
A B C D E F G
Unfallklasse
Tabelle 4: RSM für »Zugbewegung überwachen (TC)«
Sicherheitsanforderung:
3 x 10 ‐7 /h (für Ausfallart »keine Zwangsbremsung ausgelöst bei Überschreitung von Überwachungsgrößen«)
keine
(für Ausfallart »unzeitige Zwangsbremsung ausgelöst«)
Seite 20 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
5.3 Temporäre Langsamfahrstellen einrichten
5.3.1 Systemdefinition
Derzeit erfolgt bei den Zugsicherungssystemen LZB und ETCS Level 2 die Interaktion zwischen Bediener
und der »Streckenzentrale« der Systeme (LZB‐Zentrale bzw. RBC) über ein separates Bediensystem.
Im Zusammenhang mit der Zielstellung einer einheitlichen Bedienphilosophie für integrierte
Bedienungen von LST‐Systemen, Dispositionssystemen und Telekommunikationsanlagen
soll künftig die Bedienung des RBC über ein integriertes Bediensystem zusammen mit der Bedienung
des Stellwerks erfolgen.
E DIN V 0831‐103 beinhaltet bei der Ableitung von Sicherheitsanforderungen für das System »Bedienung
und Anzeige« nur diejenigen Bedienungen und Anzeigen , die derzeit in einem ESTW möglich
sind (s. Abschn. B.7.1 in E DIN V 0831‐103). Deshalb wird im Folgenden – exemplarisch für das
Einrichten temporärer Langsamfahrstellen – gezeigt, wie sich für ETCS Level 2 Sicherheitsanforderungen
für Bedienung und Anzeige im RBC ableiten lassen.
5.3.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103
Temporäre Langsamfahrstellen erfassen und übertragen
Schutzziel:
– gewährleisten, dass Eingaben, Änderungen oder Löschungen von Temporären Langsamfahrstellen
nur wirksam werden, wenn das entsprechende Eingabekommando vom Fahrdienstleiter
eingegeben und freigegeben wurde
– gewährleisten, dass Langsamfahrstellen korrekt entsprechend der Eingabe wirksam werden
– gewährleisten, dass Langsamfahrstellen‐Eingaben nur einmalig im unmittelbaren zeitlichen
Zusammenhang mit der Bedienhandlung wirksam werden
Randbedingungen:
– Temporäre Langsamfahrstellen dienen der sicheren Betriebsführung in Sondersituationen
(Baustellen etc.). Die permanenten Geschwindigkeitsvorgaben werden der Streckeneinrichtung
der Zugsicherung auf andere Weise mitgeteilt (Projektierung).
Die vorliegende Ableitung von Sicherheitszielen bezieht sich nur auf die Erfassung und Übertragung
von Temporären Langsamfahrstellen. Es wird davon ausgegangen, dass die Temporären
Langsamfahrstellen nach Bestätigung durch den Bediener im Zugsicherungssystem sicher
verwaltet werden.
– Es wird davon ausgegangen, dass vor erstmaliger Fahrtfreigabe auf einen Bereich mit Temporären
Langsamfahrstellen durch den für die Fahrtfreigabe Verantwortlichen geprüft wird, ob
die erforderlichen Temporären Langsamfahrstellen im System registriert sind.
– Dabei wird angenommen, dass eine TSR‐Eingabe nur dann als wirksam angezeigt wird, wenn
sie auch wirksam geworden ist.
– Temporäre Langsamfahrstellen werden erst beim nächsten folgenden Zug aktiv, d.h. es
kommt in keinem Fall zu Zwangsbremsungen.
– Bezüglich der Eingabe Temporärer Langsamfahrstellen bei ETCS wird davon ausgegangen,
dass es zulässig ist, externe Barrieren zu berücksichtigen, soweit sie allgemeiner Natur sind
und keine spezifischen SACs abgeleitet werden.
Seite 21 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Ausfallarten der Funktion:
a) »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter Funktion
wirksam (inkl. Änderung, Löschung)
b) »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit wirksam (inkl. Änderung,
Löschung)
c) »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a1) Ohne weitere Einschränkung der Randbedingungen muss davon ausgegangen werden, dass
eine unerkannt fehlerhaft eingegebene Temporäre Langsamfahrstelle unmittelbar gefährlich
auswirken kann, wenn die Änderung weniger restriktiv ist. Als Folgen hieraus kann sich im
Worst Case die Entgleisung eines Reisezuges durch überhöhte Geschwindigkeit im oberen
Geschwindigkeitsbereich ergeben (= Unfallklasse G).
a2) Wie a1), jedoch bei Regionalstrecken (= Unfallklasse E, da in diesem Fall von mittlerer Geschwindigkeit
des betroffenen Zuges ausgegangen werden darf).
b1) Wie a1)
b2) Wie a2)
c1) Wie a1)
c2) Wie a2)
Schutzobjekt:
a), b), c)
Reisende, Mitarbeiter, Fahrzeuge, Ladung
Bewertung von Barrieren:
a1) Die Notwendigkeit zum Ausführen einer Eingabe, Löschung oder Änderung einer temporären
Langsamfahrstelle ergibt sich nur in Sondersituationen und ist somit ein öfter, aber nicht ständig
auftretendes Ereignis (öftere Exposition eines Zuges mit Änderungen oder Löschungen
von Langsamfahrstellen). Es kann von einer mittleren Risikoreduktion ausgegangen werden.
Bei Anwendung von Tabelle 9 aus E DIN VDE V 0831‐103 ergibt sich hieraus konservativ die
Punktzahl 2 (eine von 10 Betriebsstunden).
Bei fälschlichen Änderungen an bereits eingegebenen Temporären Langsamfahrstellen tritt
eine Gefährdung nur auf, wenn die Geschwindigkeit am relevanten Ort weniger restriktiv vorliegt
als erforderlich. Eine zu wenig restriktiv oder nicht vorliegende Temporäre Langsamfahrstelle
führt nicht zwangsläufig zu einem Unfall, da bei temporären Langsamfahrstellen häufig
ein weiteres Ereignis hinzukommen muss, um einen Unfall auszulösen (z.B. im Baustellenbereich
ein unvorsichtiges Verhalten von Arbeitern). Es kann von einer geringen Risikoreduktion
ausgegangen werden. Dies trifft nicht zu in Fällen, in denen eine zu hohe Geschwindigkeit direkt
zur Gefährdung der Zugfahrt führt (z.B. bei einer Temporären Langsamfahrstelle wegen
Schienenbruchs). Da beide Barrieren nicht in allen Fällen wirksam sind, werden sie kombiniert
betrachtet. Aus der Abschätzung, dass wenigstens eine von beiden in 1 von 2 Fällen wirksam
sind, ergibt sich bei Anwendung von Tabelle 9 aus E DIN VDE V 0831‐103 Punktzahl 1.
Es kann davon ausgegangen werden, dass Triebfahrzeugführer über temporäre Langsamfahrstellen
in vielen Fällen noch auf anderen Wegen informiert werden. Somit kann zumindest
von einer geringen Risikoreduktion ausgegangen werden und es ergibt sich die Punktzahl 1
(Tabelle 5 in E DIN VDE V 0831‐103, wissensbasiert, gute Bedingungen, Stress). Dies gilt nicht
für Temporäre Langsamfahrstellen mit Geschwindigkeiten über 160 km/h, für die es keine
weiteren Informationswege gibt. Alternativ kann für diese aber angenommen werden, dass
Seite 22 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
sie im Regelfall innerhalb der Sicherheitsreserven des Systems Bahn liegen (jedenfalls bei
Streckenhöchstgeschwindigkeiten bis 250 km/h). Es kann bei Anwendung von Tabelle 9 aus E
DIN VDE V 0831‐103 konservativ von einer geringen Risikoreduktion ausgegangen werden,
womit sich auch hier die Punktzahl 1 ergibt. Insgesamt resultiert für alle Geschwindigkeitsbereiche
die Punktzahl 1.
Der für die Fahrtfreigabe im Bereich der Temporären Langsamfahrstelle Verantwortlichekann
eine fehlerhaft ausgeführte Eingabe einer Temporären Langsamfahrstelle in der Regel an der
rückgemeldeten Statusinformation erkennen und die Fahrtfreigabe auf den zu sichernden Bereich
verhindern (das beinhaltet nicht die unmittelbare Eingabeprüfung, diese wäre ggf. als
zusätzliche Barriere oder innerhalb der Bewertung des Eingabeverfahrens selber anzusetzen).
Es wird konservativ von einer regelbasierten Handlung unter guten Arbeitsbedingungen, aber
nicht optimalem Stressniveau ausgegangen, da es je nach konkreter Situation auch zu Unterforderung
durch seltene Nutzung der Funktion kommen kann, oder zur Überforderung in Notfallsituationen,
die Temporäre Langsamfahrstellen erfordern. Nach Tabelle 5 aus E DIN VDE
V 0831‐103 ergibt sich hieraus die Punktzahl 3. Da eine Abhängigkeit zwischen Eingabe und
Prüfung nicht vollständig ausgeschlossen werden kann (CCF), wird konservativ die Punktzahl
2 angesetzt.
Insgesamt ergibt sich somit die Punktzahl 6.
a2) Wie a1) Punktzahl 6
b1) Wie bei a1) ohne die letztgenannte Barriere (Überprüfung durch Bediener): Punktzahl 4
b2) Wie b1): Punktzahl 4
c1) Wie a1), jedoch ohne die Barriere, dass nur weniger restriktive Änderungen gefährlich werden:
Punktzahl 5
c2) Wie c1): Punktzahl 5
Darstellung der RSM:
Tabelle 5 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
Keine
10 ‐5
3 x 10 ‐6
10 ‐6
3 x 10 ‐7
10 ‐7
3 x 10 ‐8
10 ‐8
a2) b2) c2)
3 x 10 ‐9
10 ‐9
a1) b1) c1)
A B C D E F G
Unfallklasse
Tabelle 5: RSM für »Temporäre Langsamfahrstellen erfassen und übertragen «
Seite 23 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Sicherheitsanforderung:
1 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter
Funktion wirksam (inkl. Änderung, Löschung) – allgemein)
1 x 10 ‐5 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter
Funktion wirksam (inkl. Änderung, Löschung) – bei Regionalstrecken)
1 x 10 ‐7 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit
wirksam (inkl. Änderung, Löschung) – allgemein)
1 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit
wirksam (inkl. Änderung, Löschung) – bei Regionalstrecken)
3 x 10 ‐7 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam
– allgemein)
3 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam
– bei Regionalstrecken)
Temporäre Langsamfahrstellen anzeigen
Schutzziel:
– gewährleisten, dass betriebliche Maßnahmen nur eingeleitet werden, wenn die für die betrieblichen
Maßnahmen erforderlichen temporären Langsamfahrstellen in der Zugsicherungseinrichtung
umgesetzt sind
Randbedingungen:
– betriebliche Maßnahmen, die Temporäre Langsamfahrstellen erfordern, werden ohne gesonderte
Buchführung über die Eingabe und Löschung von Langsamfahrstellen aufgrund der Anzeige
von Temporäre Langsamfahrstellen im Meldebild eingeleitet
– vor Einleitung der betrieblichen Maßnahmen überzeugt sich der Bediener, dass die angezeigten
Temporären Langsamfahrstellen den erforderlichen in Position und Geschwindigkeit entsprechen
Ausfallarten der Funktion:
a) Es wird eine Temporäre Langsamfahrstelle angezeigt, obwohl im System keine hinterlegt ist,
oder sie wird mit falscher Position oder Geschwindigkeit angezeigt.
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a1) Die Auswirkung einer versehentlich angezeigten, aber nicht vorhandenen Temporären Langsamfahrstelle
entspricht der einer versehentlich unerkannt gelöschten Temporären Langsamfahrstelle
aus »Temporäre Langsamfahrstellen erfassen und übertragen«. Gleiche Auswirkungen
kann auch eine mit falscher Position oder Geschwindigkeit angezeigte Temporäre Langsamfahrstelle
haben. Damit wird auch hier konservativ von Unfallklasse G ausgegangen.
a2) Wie a1) bei Regionalstrecken (= Unfallklasse E, da in diesem Fall von einer mittleren Geschwindigkeit
des betroffenen Zuges ausgegangen werden darf).
Schutzobjekt:
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung
Seite 24 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Bewertung von Barrieren:
a1) Eine fälschlich oder falsch angezeigte Temporäre Langsamfahrstelle entspricht bei Auswertung
des Meldebildes im Worst Case einer unerkannt gelöschten Temporären Langsamfahrstelle
aus »Temporäre Langsamfahrstellen erfassen und übertragen«, jedoch ohne die dort
letztgenannte Barriere (Überprüfung der Temporären Langsamfahrstelle durch den Bediener:
hierfür ist die vorliegende Funktion Voraussetzung, weshalb diese Barriere nicht angesetzt
werden kann). Aus den ansetzbaren Barrieren aus a1) bei »Temporäre Langsamfahrstellen erfassen
und übertragen« ergibt sich die Punktzahl 4.
Hinzu kommt noch, dass die fälschlich oder falsch angezeigte Temporäre Langsamfahrstelle
in Position und Geschwindigkeit genau der für die betrieblichen Maßnahmen erforderlichen
Temporären Langsamfahrstelle entsprechen muss, um zu einer Gefährdung zu führen. Für die
resultierende Risikoreduktion wird von einer mittleren Wirksamkeit ausgegangen. Hieraus
ergibt sich bei Anwendung der Tabelle 9 aus E DIN VDE V 0831‐103 die Punktzahl 2.
Insgesamt ergibt sich somit die Punktzahl 6.
a2) Wie a1): Punktzahl 6
Darstellung der RSM:
Tabelle 6 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
Keine
10 ‐5
3 x 10 ‐6
10 ‐6
3 x 10 ‐7
10 ‐7
3 x 10 ‐8
10 ‐8
a2)
3 x 10 ‐9
10 ‐9
a1)
A B C D E F G
Unfallklasse
Tabelle 6: RSM für »Temporäre Langsamfahrstellen anzeigen «
Sicherheitsanforderung:
1 x 10 ‐6 /h (allgemein)
1 x 10 ‐5 /h (bei Regionalstrecken)
Seite 25 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
5.4 Kransicherung
5.4.1 Systemdefinition
Für ein neues Betriebsprogramm in Terminals des Kombinierten Verkehrs (KV) ist es erforderlich,
dass parallel zu Kranungen in den nicht betroffenen Gleisen Ein‐ und Ausfahrten von Zügen erfolgen
können. Hierdurch werden Stillstandszeiten gegenüber herkömmlichen Umschlaganlagen, bei denen
der Kranbetrieb während der Ein‐ und Ausfahrt von Zügen eingestellt wird, deutlich minimiert.
Es muss sichergestellt werden, dass der für eine Zugfahrt freizuhaltende Lichtraum nicht durch Kranungen
verletzt wird. Schutzziel hierbei ist, eine Kollision zwischen Zug und Kran / kranenden Lasten
zu verhindern. Dies soll durch eine technische Abhängigkeit zwischen den Krananlagen und der
LST in Form des neuen Systems »Kransicherung« gewährleistet werden. Weitere Randbedingungen
sind:
Es ist vor Zulassen einer Zugfahrt zu prüfen, dass sich keine Teile der Krananlage oder Ladungen
im Lichtraum befinden.
Über das Freisein des Lichtraumes erfolgt eine Meldung an die LST.
Mit Abgabe der Meldung ist sicherzustellen, dass Bewegungen der Krananlage (einschließlich
ggf. aufgenommener Lasten größter anzunehmender Abmessungen) in das / die betroffene(n)
Gleis(e) nicht mehr möglich sind.
Während der Zugfahrten müssen die nicht von diesen Fahrten betroffenen Gleise und die
Sortieranlage mittels Kran bedienbar sein.
Eine Gefährdung von Zugfahrten durch Pendeln der Last wird durch (veränderten) mechanischen
Aufbau der Krananlagen ausgeschlossen.
Fahrgeschwindigkeit der Züge: 60 km/h
Eine schematische Darstellung enthält Abbildung 4.
Abbildung 4: Neues Betriebsprogramm für KV‐Terminal
Seite 26 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
5.4.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103
Schutzziel:
– prüfen, dass sich keine Teile der Krananlage oder Teile von Ladungen im Lichtraum befinden
– gewährleisten, dass während der Zugfahrten die Kranbewegungen für das jeweilige Startoder
Zielgleis gesperrt sind.
Randbedingungen:
keine
Ausfallarten der Funktion:
a) Hindernis im Lichtraum wird nicht erkannt
b) Kranbewegung nicht gesperrt oder Sperrung vorzeitig aufgehoben
Auswirkungen einschließlich ggf. auslösender Bedingungen:
a) Das Ereignis stellt einen Aufprall dar (= Unfallklasse B); als konservative Annahme wird jedoch
Unfallklasse D (entsprechend eines Zusammenstoßes zwischen Güterzügen) angenommen,
da die Auswirkungen beim anzunehmenden Aufprall auf Container oder Wechselauflieger
vergleichbar mit einem Zusammenstoß sind.
b) Wie a)
Schutzobjekt:
a) und b) Mitarbeiter, Fahrzeuge, Ladung
Bewertung von Barrieren:
a) Der Triebfahrzeugführer kann ggf. auf Grund der niedrigen Geschwindigkeit ein im Lichtraum
befindliches Hindernis erkennen. Andererseits wird er auf das Freisein des Fahrweges vertrauen
und kann auf Grund der in Umschlaganlagen herrschenden Sichtverhältnisse auch nicht in
jedem Fall rechtzeitig erkennen, ob sich ein Hindernis noch im Fahrweg oder ggf. bereits im
benachbarten Bereich befindet. Als konservative Annahme wird daher hierfür keine Risikoreduktion
angenommen.
Der Kranführer darf Kranbewegungen in für Zugfahrten benötigten Gleisen nicht durchführen.
Während er bei Senkbewegungen relativ einfach erkennen kann, welcher Bereich betroffen
ist, gilt dies für Dreh‐ und Schwenkbewegungen nicht ohne Weiteres. Insofern muss hier
konservativ von einer regelbasierten Handlung bei eher schlechten Bedingungen (Sichtverhältnisse)
und unter Stress (Kranungen müssen auch bei Zugein‐ / ‐ ausfahrten erfolgen, um
die Umschlagkapazität zu gewährleisten) ausgegangen werden. Insofern ergibt sich die
Punktzahl 2.
b) Wie a) – Punktzahl 2. Als konservative Annahme wird hierbei davon ausgegangen, dass der
betroffene Bereich noch nicht von einer Zugfahrt besetzt ist, da ansonsten der Kranführer die
Fahrzeuge des einfahrenden Zuges erkennen und entsprechend reagieren kann.
Seite 27 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele
Darstellung der RSM:
Tabelle 7 stellt die entsprechende RSM dar.
Sicherheitsanforderung
1/h
Risk Score Matrix
keine
10 -5
3 x 10 -6
10 -6
3 x 10 -7
a), b)
10 -7
3 x 10 -8
10 -8
3 x 10 -9
10 -9
A B C D E F G
Unfallklasse
Tabelle 7: RSM für »Kransicherung«
Sicherheitsanforderung:
3 x 10 ‐6 /h
5.5 Schlussfolgerungen
Anhand der Beispiele lässt sich zeigen, dass sich mit der Methodik nach E DIN VDE V 0831‐103
grundsätzlich auch andere sicherheitsbezogene Funktionen analysieren lassen und hierfür Sicherheitsanforderungen
abgeleitet werden können. Nach Ansicht der Arbeitsgruppe erscheinen hierbei
– in Verbindung mit der ohnehin erforderlichen nachvollziehbaren Begründung für die Wahl der jeweiligen
Parameter – die abgeleiteten Sicherheitsanforderungen ausreichend plausibel in Bezug auf
Erfahrungen mit der Realisierung vergleichbarer technischer Systeme und daraus folgenden erreichbaren
Sicherheitskennwerten. Dies zeigt damit, dass sowohl die Konstruktion der Methode als
auch die gewählte Vorgehensweise für die Kalibrierung auf Basis von RAC‐TS grundsätzlich dafür
geeignet ist, die Anforderungen an semi‐quantitative Methoden zu erfüllen und Nachteile, die sich
teilweise bei anderen Methoden gezeigt haben, zu vermeiden.
Seite 28 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Analyse der Systematik der RSM
6 Analyse der Systematik der RSM
6.1 Aufbau
Bei der Konstruktion der RSM nach E DIN VDE V 0831‐103 fällt auf, dass bezüglich der »Risikoakzeptanz«,
d.h. den Schnittpunkten zwischen Unfallklassen und Sicherheitsanforderungen, eine ungleichmäßige
Abstufung besteht. Dies ist der Tatsache geschuldet, dass die Abstufung der Unfallklassen
feiner ist als die Abstufung von Anforderungen aus dem (weiterentwickelten) Kriterium
RAC‐TS nach [7], da hierbei die Auswirkungen von Unfällen teilweise zusammengefasst sind (entsprechend
den Unfallklassen C/D bzw. D/E) und außerdem hierbei eine Unterscheidung zwischen
»viele« und »mehrere« nicht vorgenommen wurde.
Im »Idealfall« müsste diese Abstufung diagonal durch die Tabelle verlaufen. Dass dies nicht möglich
ist, ergibt sich jedoch bereits aus der Tatsache, dass ausgehend von Unfallklasse G als »kritischste
Klasse« (wobei davon ausgegangen wird, dass diese Klasse den Ausgangspunkt der Kalibrierung
darstellt und somit unverändert bleiben muss) in der Matrix 9 weitere Zeilen aber nur 6 weitere Spalten
zur Verfügung stehen. Somit sind »Sprünge« in der Abstufung zwangsläufig zu akzeptieren, da
bei einer Veränderung der Matrix durch Zusammenfassung bestehender Klassen ggf. Anforderung
A3 aus DIN V VDE V 0831‐101 (Granularität) nicht mehr erfüllt werden könnte.
6.2 Wertebereiche und Grenzen
Bereits in [4] wird darauf hingewiesen, dass – ausgehend vom ersten Vorschlag zur Weiterentwicklung
von RAC‐TS (s. Abschn. 2.2) – eine lebhafte Diskussion darüber geführt wurde, ob für die Kriterien
besser Wertebereiche oder konkrete Werte festgelegt werden sollte. Hierbei wurde auch auf die
Problematik der geforderten Präzision der Nachweisführung eingegangen. Für die Kalibrierung semi‐quantitativer
Methoden ist die gewählte Vorgehensweise zunächst grundsätzlich egal, da bereits
als Anforderung A27 (Ermittlung von Sicherheitsanforderungen) in DIN V VDE V 0831‐101 ausgesagt
wird, dass in der jeweiligen Methode festzulegen ist, welche konkrete THR nachzuweisen ist, wenn
in der Methode Intervalle für die Sicherheitsanforderungen ermittelt werden. Vor dem Hintergrund
der mit der Festlegung harmonisierter Risikoakzeptanzkriterien beabsichtigten gegenseitigen Anerkennung
wäre aber zumindest ein direkter Hinweis bei den Risikoakzeptanzkriterien zum erforderlichen
Nachweis hilfreich. Sofern hierzu keine Aussage getroffen ist, erscheint im Zusammenhang
mit einem möglicherweise abzuleitenden Rechtsanspruch zur gegenseitigen Anerkennung nur zielführend,
hierbei die jeweils obere Grenze (geringste Anforderung aus dem Wertebereich) zu akzeptieren
– auch wenn die derzeitige Praxis in vergleichbaren Fällen eine andere Vorgehensweise gängig
erscheinen lässt. In diesem Sinne wurden auch in E DIN VDE V 0831‐103 die »Kalibrierungspunkte«
festgelegt.
Weiterhin gilt für die Kalibrierung semi‐quantitativer Methoden zu beachten, dass der auf den ersten
Blick vernachlässigbar erscheinende Unterschied, ob ein Wertebereich mit »kleiner« oder »kleiner
gleich« begrenzt wird, wesentlichen Einfluss auf die Festlegung von Klassen hat. Bei Verwendung
von »kleiner« muss demnach immer die nächste Klasse, bei der dieses Kriterium erfüllt ist,
gewählt werden, was in Abhängigkeit von der Granularität zu erheblichen Sprüngen führen kann
und teilweise auch die Erfüllung der Anforderung A26 aus DIN V VDE V 0831‐101 (Sensitivität) erschwert.
Zum Umgehen potenzieller Schwierigkeiten wurden in der RSM nach E DIN VDE V 0831‐
103 für die Sicherheitsanforderungen konkrete Werte und keine Wertebereiche festgelegt.
6.3 Unfallklassen
In E DIN VDE V 0831‐103 ist die Zahl der Unfallklassen zwangsläufig dadurch vorgegeben, dass die
höchste (»kritischste«) Unfallklasse anhand des Kriteriums RAC‐TS in der derzeit gültigen Fassung
Seite 29 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Analyse der Systematik der RSM
der CSM VO kalibriert ist und eine Abstufung der Unfallklassen entsprechend der Bandbreite für die
Sicherheitsanforderungen gewählt wurde. Eine Zusammenfassung von Unfallklassen erscheint daher
für semi‐quantitative Methoden nur dann zweckmäßig, wenn auch die Klassen für die Sicherheitsanforderungen
zusammengefasst werden. Da üblicherweise (s. die einschlägigen Normen)
hierfür vier Klassen gebildet werden, sollten jedoch auch mindestens vier Unfallklassen gebildet
werden.
6.4 Beziehung zu DIN EN 50129
Tabelle A.1 der DIN EN 50129 (SIL‐Tabelle) enthält vier Wertebereiche für Sicherheitsanforderungen.
Die Matrix sollte daher kompatibel hierzu sein, d.h. den gesamten Wertebereich abdecken –
jedoch gleichzeitig auch nicht darüber hinausgehen. Dies wird in der RSM nach E DIN VDE V 0831‐
103 beispielsweise dadurch erreicht, dass die Sicherheitsanforderung 10 ‐9 /h die letzte Klasse bildet,
obwohl bei strenger Auslegung des als Kalibrierung gewählten Kriteriums RAC‐TS, welches den
Wertebereich mit ≤ 10 ‐9 /h abgrenzt, noch eine weitere Klasse folgen müsste. Ein Verzicht hierauf ist
jedoch auch deshalb sinnvoll, da ansonsten die Grenze dieser (neuen) Klasse nicht klar wäre.
Anmerkung: Es muss jedoch auch darauf hingewiesen werden, dass die DIN EN 50129 davon ausgeht,
dass es grundsätzlich auch denkbar ist, dass an eine Funktion eine strengere quantitative Anforderung
als 10 ‐9 /h gestellt wird, da unterhalb von Tabelle A.1 entsprechende Hinweise zum Umgang mit dieser
Situation gegeben werden. Insofern kann auch der Bereich ≤ 10 ‐9 /h als kompatibel zu den Klassen der
DIN EN 50129 angesehen werden – nicht jedoch, falls explizit ein kleinerer Wert vorgegeben würde.
6.5 Konservativität
Anforderung A2 in DIN V VDE V 0831‐101 fordert, dass die Konstruktion semi‐quantitativer Methoden
im Grundsatz konservativ sein muss. Dies ist in E DIN VDE V 0831‐103 insofern berücksichtigt,
dass der ursprüngliche Vorschlag zur Weiterentwicklung des Kriteriums RAC‐TS für die Kalibrierung
verwendet wurde und dieser Vorschlag im Verlauf der Diskussionen von einigen Beteiligten als zu
konservativ angesehen wurde. Daher soll im Folgenden auch betrachtet werden, welche denkbaren
Varianten der RSM zu weniger konservativeren Anforderungen führen.
Seite 30 von 47

10 -9 A B C D E F G
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Möglichkeiten zur Weiterentwicklung der RSM
7 Möglichkeiten zur Weiterentwicklung der RSM
Ausgehend von der Analyse in Abschn. 6 soll in diesem Abschnitt untersucht werden, welche grundsätzlichen
Möglichkeiten zur Weiterentwicklung der RSM denkbar sind, in denen die Anforderungen
aus Abschn. 6 ggf. besser erfüllt werden können.
7.1 Variante 1
Abbildung 5 zeigt eine veränderte RSM im Vergleich zu den Wertebereichen nach Tabelle A.1 der
DIN EN 50129.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
Unfallk las se
THR/h

10 -9 A B C D E F G
10 -9 A B C D E F G
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Möglichkeiten zur Weiterentwicklung der RSM
7.2 Variante 2
Die Erfüllung der Anforderung »möglichst gleichmäßige Abstufung« ist z.B. durch eine Variante
entsprechend Abbildung 6 möglich.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
Unfallk las se
Abbildung 6: RSM mit gleichmäßiger Abstufung
Diese Variante enthält zwar Sprünge zwischen den Klassen, ist jedoch insgesamt gleichmäßig abgestuft.
Außerdem sind alle Wertebereiche aus DIN EN 50129 (einschließlich »SIL 0«) berücksichtigt.
Es ergeben sich in keiner Unfallklasse höhere Anforderungen als in der Version nach E DIN VDE V
0831‐103.
7.3 Variante 3
Zu Vergleichszwecken werden nachfolgend auch die aus Variante 2 abgeleiteten Versionen einer
RSM mit weniger konservativeren Anforderungen (s. Abbildung 7) bzw. konservativeren Anforderungen
(s. Abbildung 8) mit dargestellt.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
Unfallk las se
Abbildung 7: RSM mit weniger konservativer Konstruktion
Seite 32 von 47

10 -9 A B C D E F G
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
Nachteil dieser Variante ist vor Allem der relativ große Sprung zwischen den Anforderungen für
Unfallklasse E und Unfallfallklasse G. Im Sinne vor Anforderung A2 aus DIN V VDE V 0831‐101 ist
diese Variante daher eher nicht empfehlenswert. Außerdem ergibt sich keine gleichmäßige Abstufung
mehr.
7.4 Variante 4
In Abbildung 8 ist auch die konservativere aus Variante 2 abgeleitete RSM dargestellt.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
Unfallk las se
Abbildung 8: RSM mit konservativerer Konstruktion
Auch hier ergibt sich keine gleichmäßige Abstufung.
8 Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
8.1 Zielstellung
In diesem Abschnitt soll – auf Basis der RSM nach E DIN VDE V 0831‐103 – analysiert werden, wie
sich die verschiedenen Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS (s. Abschn. 0)
möglicherweise auf die Kalibrierung der RSM auswirken. Außerdem wird untersucht, welche Auswirkungen
auf Sicherheitsanforderungen zu erwarten sind. Dies erfolgt entsprechend der Aufgabenstellung
für diesen Bericht auf theoretischer Basis anhand eines Vergleiches der in Anhang B in E
DIN VDE V 0831‐103 exemplarisch abgeleiteten Sicherheitsanforderungen mit denjenigen Sicherheitsanforderungen
die sich – bei im Übrigen unverändert bleibenden Annahmen – aus einer veränderten
Kalibrierung der RSM ergeben würden.
Vorangestellt werden muss hierbei, dass sich die verschiedenen Ansätze zur Weiterentwicklung des
Kriteriums RAC‐TS sowohl in den Wertebereichen als auch in der Klassifizierung der Auswirkungen
unterscheiden, was eine »Abbildung« auf die Systematik der RSM nicht in allen Fällen einfach
macht. Für die Abbildung in der RSM wird daher nachfolgend so verfahren, dass bei Wertebereichen
immer der höchste Wert verwendet wird, der in den jeweiligen Bereich passt. Die möglichen Auswirkungen
auf Grund der Unterscheidung zwischen »Personengruppe« oder »Einzelperson« werden
zunächst nicht näher analysiert, sondern es wird davon ausgegangen, dass z.B. »Tod einer Einzelperson«
dem »maßgebenden Schadensausmaß« (s. Tabelle 1) »Ein Todesfall« entspricht. In den
nachfolgenden Abbildungen sind die »Referenzpunkte zur Kalibrierung« entsprechend der jeweiligen
Vorschläge mit rotem Kreuz X markiert.
Seite 33 von 47

10 -9 A B C D E F G
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
8.2 Vorschlag der CER
Die Abbildung des ursprünglichen Vorschlages der CER nach [2] in Form der RSM zeigt Abbildung 9.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
X
X
X
Unfallk las se
Abbildung 9: RSM und Vorschlag der CER
Bei diesem Vorschlag finden die Unfallklassen B und C keine Entsprechung mehr in den Sicherheitsanforderungen.
Auch wenn dadurch Befürchtungen, der Vorschlag sei für Unfälle geringeren Ausmaßes
geeigneter, da keine zu konservativen Anforderungen festgelegt würden, vorgebeugt wird,
erscheint dies für die Kalibrierung semi‐quantitativer Methoden nicht geeignet, da für Ereignisse,
die sich überwiegend in Bereichen ohne Reisendenverkehr und bei niedrigen Geschwindigkeiten
(z.B. insbesondere Rangierbetrieb) ereignen können, somit i.d.R. keine Sicherheitsanforderungen
ergeben.
Weiterhin ist der Unterschied zwischen den Sicherheitsanforderungen, die sich für Unfallklasse E/F
und G ergeben sehr gering, da eine ungünstige Abgrenzung zwischen den Kategorien vorgenommen
wurde (einmal Wertebereich mit eingeschlossenen Werten an der Grenze und einmal Wertebereich
mit nicht eingeschlossenem Wert an der Grenze (»kleiner als«)).
Seite 34 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
8.3 Letzter Vorschlag für 1. Revision der CSM VO
Die Abbildung des im Treffen zwischen ERA und den beteiligten Sektororganisationen vorabgestimmten
Vorschlages zeigt Abbildung 10.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
3 x 10 -8
10 -8
3 x 10 -9
10 -9 A B C D E F G
X
X
X
Unfallk las se
Abbildung 10: RSM und vorabgestimmter Vorschlag
Im Vergleich zum Vorschlag der CER zeigt sich nur bei Unfallklasse G ein Unterschied, da die Variante
mit einem Wertebereich wieder verlassen wurde. Die übrigen Anmerkungen zum Vorschlag der
CER sind auch bei diesem Vorschlag zutreffend.
8.4 Aktueller Vorschlag der ERA
Die Abbildung des aktuellen Vorschlages der ERA nach [5] in Form der RSM zeigt Abbildung 11.
Sicherheitsanforderung
1/h
keine
Risk Score Matrix
10 -5
3 x 10 -6
10 -6
X
3 x 10 -7
10 -7
3 x 10 -8
X
10 -8
3 x 10 -9
10 -9 A B C D E F G
Unfallk las se
X
Abbildung 11: RSM und aktueller Vorschlag ERA
Es ergibt sich eine relativ grobe Abstufung, da vor Allem dadurch bedingt ist, dass nur drei Kategorien
vorgeschlagen sind. Mit Ausnahme der Unfallklasse G sind die Anforderungen für alle Unfallklassen
erhöht. Dies ist dadurch bedingt, das auch alle Ereignisarten, die zu Schwerverletzten führen
Seite 35 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
können, in die höchste Kategorie (hier durch den Doppelpfeil ausgedrückt) einzuordnen sind und die
Unfallklasse dementsprechend zu kalibrieren ist. Für die Unfallklassen B und C ergeben sich höhere
Anforderungen, da hier im Gegensatz zum ursprünglichen Vorschlag der Wertebereich mit »kleiner
als« begrenzt ist und somit in der RSM die nächstniedrigere Klasse für die Sicherheitsanforderung zu
wählen ist.
Problematisch erscheint bei diesem Vorschlag vor Allem die gegenüber den anderen Vorschlägen
unterschiedliche Handhabung der Unterscheidung zwischen Personengruppe und Einzelperson. So
ist es bereits nicht nachvollziehbar, wie ein Unfall, der eine Einzelperson betrifft zu Tod und/oder
schwerer Verletzung dieser Person führen kann. Darüber hinaus wird in diesem Vorschlag der Ansatz
der vergleichbaren Kritikalität zwischen Tod einer Einzelperson und vielen Schwerverletzten
verlassen und der Tod einer Einzelperson geringer gewichtet. Im Sinne einer gleichmäßigen Klassenbreite
zwischen den Unfallklassen müsste daher möglicherweise für die Unfallklasse D die gleiche
Anforderung wie für die Unfallklassen E bis G gelten, sodass die Anforderungen weiter erhöht
würden.
8.5 Vergleich mit Risikoakzeptanzkriterien aus der Luftfahrt
Nähere Ausführungen zu Sicherheitsanforderungen in der Luftfahrt und deren Nachweis finden sich
insbesondere in dem von der EASA herausgegebenen Standard CS‐25, der Anforderungen für die
Zertifizierung großer Passagierflugzeuge festlegt.
In Abschn. CS 25.1309 der CS 25 wird als generelle Designregel für alle Systeme und Komponenten
des Flugzeugs gefordert, dass diese für sich betrachtet und im Zusammenwirken mit anderen Systemen
so beschaffen sein müssen, dass
jeder katastrophale Fehlzustand äußerst unwahrscheinlich ist und nicht aus einem Einzelfehler
resultieren kann,
jeder gefährliche Fehlzustand äußerst selten ist und
jeder größere Fehlzustand selten ist.
Nähere Ausführungen zu grundsätzlichen Zusammenhängen und zum Nachweis dieser Designvorgabe
sind in Abschn. AMC 25.1309 der CS 25 gegeben. Hier wird zusätzlich definiert, dass
kleinere Fehlzustände wahrscheinlich sein (d.h. auftreten) dürfen und
für Fehlzustände, die keinen Einfluss auf die Sicherheit haben, bestehen keine Anforderungen
bezüglich deren Auftretenswahrscheinlichkeit.
Für Fehlzustände ist in Abschn. AMC 25.1309 der CS 25 definiert:
Katastrophal: Fehlzustände, die zu vielen Todesfällen führen können – üblicherweise verbunden
mit einem Verlust des Flugzeuges (früher definiert mit: Fehlzustände, die einen sicheren
Flug oder eine sichere Landung verhindern)
Gefährlich: Fehlzustände, welche die Leistungsfähigkeit des Flugzeuges oder die Fähigkeit
der Flugbesatzung, schwierige Betriebsbedingungen zu beherrschen, einschränken mit der
Folge
einer großen Reduzierung von Sicherheitsmargen oder der Funktionstüchtigkeit,
körperlicher Beeinträchtigung oder erhöhter Arbeitsbelastung für die Flugbesatzung, sodass
nicht sichergestellt ist, dass diese ihre Aufgeben richtig oder vollständig ausführt,
schwerer oder tödlicher Verletzung einer relativ kleinen Zahl der Insassen (außer Flugbesatzung)
Seite 36 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
Größer: Gefährlich: Fehlzustände, welche die Leistungsfähigkeit des Flugzeuges oder die
Fähigkeit des Bordpersonals, schwierige Betriebsbedingungen zu beherrschen, einschränken
mit der Folge beispielsweise
einer signifikanten Reduzierung von Sicherheitsmargen oder der Funktionstüchtigkeit,
einer signifikanten Erhöhung der Arbeitsbelastung für das Bordpersonal oder von Bedingungen,
welche die Leistungsfähigkeit des Bordpersonals beeinträchtigen,
von Komforteinschränkungen für die Flugbesatzung,
von körperlicher Beeinträchtigung für Passagiere oder das Kabinenpersonal bis hin zu
möglichen Verletzungen.
Weiterhin wird für die Quantifizierung von Wahrscheinlichkeiten von Fehlzuständen definiert:
Wahrscheinlich: durchschnittliche Wahrscheinlichkeit pro Flugstunde > 10 ‐5 .
Selten: durchschnittliche Wahrscheinlichkeit pro Flugstunde < 10 ‐5 , jedoch > 10 ‐7 .
Äußerst selten: durchschnittliche Wahrscheinlichkeit pro Flugstunde < 10 ‐7 , jedoch > 10 ‐9 .
Äußerst unwahrscheinlich: durchschnittliche Wahrscheinlichkeit pro Flugstunde ≤ 10 ‐9 .
Der bildlich dargestellte Zusammenhang zwischen Sicherheitszielen und Fehlzuständen aus Abschn.
AMC 25.1309 / Bild 2 ist in Abbildung 12 wiedergegeben.
Seite 37 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
Abbildung 12: Zusammenhang zwischen Sicherheitszielen und Fehlzuständen nach CS‐25
Zu beachten ist hierbei, dass die Wertebereiche für quantitative Wahrscheinlichkeiten abweichend
vom Text mit »

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
ungefähr 10 % davon durch Fehlzustände des Flugzeugs verursacht sind,
für neu zu bauende Flugzeuge keine höhere Wahrscheinlichkeit zulässig sein sollte,
somit die Wahrscheinlichkeit eines durch einen solchen Fehlzustand bedingten schweren
Flugunfalles nicht größer sein darf als 1 x 10 ‐7 pro Flugstunde,
ohne nähere Begründung angenommen wird, dass ungefähr 100 potenzielle Fehlzustände,
die zu einem katastrophalen Ausfall führen können, in einem Flugzeug möglich sind,
unter gleichmäßiger Aufteilung der zulässigen Wahrscheinlichkeit von 1 x 10 ‐7 pro Flugstunde
sich für jeden Fehlzustand eine zulässige Wahrscheinlichkeit von 1 x 10 ‐9 pro Flugstunde
ergibt.
Die in der Luftfahrt etablierten Kategorien für Sicherheitsziele sind auf den ersten Blick identisch mit
dem aktuellen Vorschlag der ERA zu RAC‐TS. Dies gilt jedoch nur für die Wertebereiche. Bezüglich
der Auswirkungen bestehen gravierende Unterschiede. So wäre die Kategorie »Multiple fatalities«
schon eher als weitere Abstufung anzusehen, die keine Entsprechung im ERA‐Vorschlag findet. Außerdem
wird für die Kategorie »wenige Tote« ein wesentlich geringeres Sicherheitsziel gefordert als
im ERA‐Vorschlag, bei dem hierfür das höchste Sicherheitsziel angesetzt werden müsste.
Weiterhin gilt zu beachten, dass die Ableitung der Sicherheitsziele in der Luftfahrt keine direkte
Entsprechung im Eisenbahnwesen hat, da kein Bezug zwischen Unfalldaten und zulässigen Versagensraten
hergestellt wurde – allein schon deshalb, weil es derzeit keine Begründung für eine anzunehmende
Zahl von zu berücksichtigenden Funktionen gibt. Hierfür müsste zunächst eine Liste erstellt
werden, welche die Funktionen auf einer geeigneten Ebene benennt (z.B. analog der Funktionsliste
für LST‐Anlagen in E DIN VDE V 0831‐103). Problematisch hierbei könnte allerdings sein,
dass diese Annahmen bei Notwendigkeit neuer Funktionen keinen Bestand mehr haben. Da sich in
der Vergangenheit gezeigt hat, dass dies für Bahnanwendungen durchaus erforderlich ist, wäre insofern
auch von einer derartigen Herleitung eher abzuraten. Weiterhin besteht der Unterschied dass
es zum angenommen Unfallverlauf »Verlust des Flugzeuges« (d.h. i.d.R. Tod aller bzw. der überwiegenden
Zahl der Insassen) aus der Luftfahrt keine direkte Entsprechung im Eisenbahnwesen gibt, da
bereits Unfälle mit mehr als 10 Toten die absolute Ausnahme darstellen.
Aus dem Vergleich ergibt sich folgende Schlussfolgerung:
Das derzeitige Sicherheitsziel von 10 ‐9 funktionellen Ausfällen pro Betriebsstunde in der CSM
VO hat prinzipiell eine Entsprechung in der Luftfahrt – ist vor dem Hintergrund der betrachteten
Auswirkungen jedoch bereits eher als konservativ anzusehen. Der aktuelle Vorschlag der ERA
zur Weiterentwicklung von RAC TS ist im Vergleich zu den Sicherheitszielen in der Luftfahrt
wesentlich restriktiver.
8.6 Bewertung
Ausgehend von der Analyse der Systematik der RSM nach E DIN VDE V 0831‐103 in Abschn. 6 sollten
Risikoakzeptanzkriterien folgende Kriterien erfüllen, um die Kalibrierung semi‐quantitativer
Methoden zu unterstützen:
gleichmäßige Abstufung
mindestens 4 Kategorien
Abgrenzung der Wertebereiche unter Einschluss des jeweiligen Wertes (»kleiner gleich«)
»Abdeckung« des Wertebereiches nach DIN EN 50129 bzw. Kompatibilität hierzu.
Seite 39 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS
In Tabelle 8 ist zusammengestellt, inwieweit diese Anforderungen bei den einzelnen Vorschlägen
erfüllt sind. Außerdem ist dargestellt, ob diese Vorschläge im Vergleich zum Vorschlag der RAC Task
Force der ERA weniger konservativ sind.
Vorschlag
gleichmäßige
Abstufung
Anzahl
Kategorien
Abgrenzung
Wertebereiche
kompatibel
zu DIN EN
50129
weniger
konservativ
Vorschlag RAC Task
Force der ERA
‐ + + + n.a.
Vorschlag der CER ‐ ‐ ‐ ‐ +
Vorschlag für Revision
der CSM VO
+ ‐ ‐ ‐ +
aktueller Vorschlag ERA + ‐ ‐ + ‐‐
RSM nach E DIN V VDE
0831‐103
‐ + + + n.a.
RSM ‐ Variante 1 ‐ ++ + ++ ‐
RSM ‐ Variante 2 + ++ + ++ +
RSM ‐ Variante 3 ‐ ++ + + ++
RSM ‐ Variante 4 ‐ ++ + + ‐‐
Tabelle 8: Qualitative Bewertung von Vorschlägen
Erläuterung: ++ = sehr gut erfüllt, + = erfüllt, ‐ = nicht erfüllt, ‐‐ = sehr schlecht erfüllt, n.a. = nicht anwendbar
Eine quantitative Bewertung der Auswirkungen verschiedener Vorschläge ist grundsätzlich auf Basis
der in E DIN VDE V 0831‐103 für die exemplarisch genannten Funktionen / Ausfälle genannten Sicherheitsanforderungen
möglich. In Tabelle 9 ist daher dargestellt, für wie viele Sicherheitsanforderungen
sich bei den jeweiligen Vorschlägen im Vergleich restriktivere, gleiche bzw. weniger restriktive
Werte ergeben.
Seite 40 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐
TS
Vorschlag
Anzahl Werte
restriktiver
gleich
weniger
restriktiv
Vorschlag RAC Task
Force der ERA
(entspricht RSM aus E DIN VDE V 0831‐103)
Vorschlag der CER 0 31 104
Vorschlag für Revision
der CSM VO
0 31 104
aktueller Vorschlag ERA 69 64 2
RSM nach E DIN V VDE
0831‐103
(Referenz)
RSM ‐ Variante 1 23 96 16
RSM ‐ Variante 2 0 117 18
RSM ‐ Variante 3 0 115 20
RSM ‐ Variante 4 32 101 2
Tabelle 9: Quantitative Bewertung von Vorschlägen
Es zeigt sich, dass der aktuelle Vorschlag der ERA zu wesentlich restriktiveren Werten führt als alle
anderen Vorschläge. Gleichzeitig zeigt sich, dass die Varianten 2 und 3 in diesem Vergleich prinzipiell
gleichwertig sind.
8.7 Schlussfolgerungen
Aus der qualitativen Bewertung nach Tabelle 2 ergibt sich, dass lediglich Variante 2 alle Anforderungen
erfüllt und im Übrigen der Vorschlag der RAC Task Force die qualitativen Anforderungen besser
erfüllt als spätere Vorschläge.
9 Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium
RAC‐TS
Abgeleitet aus der Analyse in Abschnitt 8 soll in diesem Abschnitt ein Vorschlag diskutiert werden,
wie auf Basis der weiterentwickelten RSM nach Variante 2 Risikoakzeptanzkriterien zu definieren
wären, damit sie hierzu kompatibel sind. Es sei jedoch darauf hingewiesen, dass dies ein rein methodisch‐theoretischer
Vorschlag ist, der insbesondere aus den Erkenntnissen zum Zusammenhang
von RAC‐TS und der Kalibrierung semi‐quantitativen Methoden zur Risikobewertung begründet ist.
Für den weiteren Vorschlag wird von folgenden Prämissen ausgegangen:
Für das Kriterium RAC‐TS wird eine Granularität wie in der RSM nicht benötigt bzw. ist ggf.
auch nicht zweckmäßig.
Daher wird daher davon ausgegangen, dass 4 Klassen erforderlich werden – wie im Vorschlag
der RAC Task Force.
Seite 41 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐
TS
Zweckmäßig erscheint eine – durch Beschränkung auf 4 Klassen zwangsläufig erforderliche
– Zusammenfassung der Auswirkungen entsprechend den Unfallklassen C/D aus der RSM
einerseits und den Unfallklassen E/F aus der RSM andererseits.
Als höchste Anforderung bleibt »≤ 10 ‐9 /h« für die höchsten zu erwartenden Auswirkungen
bestehen.
Die geringste Anforderung sollte im Bereich von 10 ‐5 /h liegen, da dies eine Grenze in Tabelle
A.1 der DIN EN 50129 darstellt.
In Abbildung 13 ist dargestellt, wie eine Zuordnung von Klassen für ein weiterentwickeltes Kriterium
RAC‐TS auf Basis der RSM nach Variante 2 aussehen könnte.
Sicherheitsanforderung
1/h
keine
10 -5
3 x 10 -6
10 -6
3 x 10 -7
10 -7
X
Risk Score Matrix
X
3 x 10 -8
10 -8
X
3 x 10 -9
10 -9 A B C D E F G
Unfallk las se
Abbildung 13: RSM und Kalibrierung für RAC‐TS
X
Entsprechend der in Abschn. 8 gewählten Darstellung bilden die roten Kreuze auch hier die »Kalibrierungspunkte«.
Die mittleren Punkte sind jeweils an der Grenze zwischen zwei Unfallklassen und
zwei Klassen für die Sicherheitsanforderungen dargestellt, um zu zeigen, dass hier prinzipiell ein
Wertebereich abgedeckt werden muss. Anhand der blauen Linie, welche die Verbindung zwischen
den Punkten für die niedrigste und die höchste Anforderung darstellt, ist ersichtlich, dass die mittleren
Punkte genau auf dieser Gerade liegen und somit das Kriterium »gleichmäßige Abstufung« erfüllt
ist.
Um von dieser Darstellung zu einem Textvorschlag für die Definition eines weiterentwickelten Kriteriums
RAC‐TS bzw. zu einer Darstellung analog der für den Vorschlag der RAC Task Force (s. Abbildung
1) zu gelangen sind weitere Randbedingungen zu definieren:
Auf Grund der »Zusammenfassung« der Unfallklassen C/D bzw. E/F gibt es prinzipiell folgende Varianten
für die Festlegung von Werten für diese beiden Bereiche:
1. oberster (d.h. weniger restriktiver) Wert, im Beispiel: 10 ‐6 /h entsprechend des Wertes für Unfallklasse
C und 3 x 10 ‐8 /h entsprechend des Wertes für Unfallklasse E,
2. unterster (d.h. restriktiverer) Wert, im Beispiel: 3 x 10 ‐7 /h entsprechend des Wertes für Unfallklasse
D und 10 ‐8 /h entsprechend des Wertes für Unfallklasse F,
3. Wertebereich, der beide Werte einschließt, im Beispiel: 3 x 10 ‐7 /h ≤ R ≤ 10 ‐6 /h und 10 ‐8 /h ≤ R ≤
3 x 10 ‐8 /h; in diesem Fall schließen die Werte der Wertebereiche nicht aneinander an, wie es
sonst in vergleichbaren Tabellen üblich ist (z.B. Tabelle A.1 in DIN EN 50129).
Seite 42 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐
TS
4. Wertebereich, der erst an der Grenze (d.h. unter Ausschluss des jeweiligen Wertes) zur
nächsten Klasse endet, im Beispiel: 3 x 10 ‐8 /h < R ≤ 10 ‐6 /h und 10 ‐9 /h < R ≤ 3 x 10 ‐8 /h.
Bezüglich der Wertebereiche gelten die Ausführungen in Abschn. 6.2. Für die dort angesprochene
wünschenswerte Festlegung, welcher Wert konkret nachzuweisen ist (analog Anforderung A27 in
DIN V VDE V 0831‐101) gelten folgende Überlegungen:
Vor dem Hintergrund einer gegenseitigen Anerkennung müssten immer die restriktivsten Werte für
den Nachweis vorgeschrieben werden, da es dann für den Fall, dass diese Anerkennung nicht angestrebt
wird, immer noch möglich ist, in den einzelnen Mitgliedsstaaten andere Werte, die innerhalb
dieses Bereiches liegen, zu verwenden. Würde der weniger restriktivere Wert für die gegenseitige
Anerkennung akzeptiert, könnten national strengere Werte festgelegt werden, was dem Ansatz
einer gegenseitigen Anerkennung zuwiderlaufen würde. Würde national wiederum hierauf verzichtet,
wäre ein Wertebereich sinnlos, da diese Variante dann der Variante 2 entspricht.
Bei Variante 4 ist es im Vergleich zu Variante 3 schwieriger, einen Wert für den Nachweis festzulegen,
da der restriktivste Wert im Prinzip bereits dem Wert der nächsten Klasse entspricht. Grundsätzlich
möglich wäre jedoch, einen »Mittelwert« festzulegen, der innerhalb des Wertebereiches der
jeweiligen Klasse liegt. Für das Beispiel wäre das dann 3 x 10 ‐7 /h und 10 ‐8 /h; diese Werte entsprechen
gleichzeitig den Werten aus Variante 2.
Insgesamt erscheint Variante 3 in Verbindung mit einer zu treffenden Festlegung, welcher Wert
für die gegenseitige Anerkennung nachzuweisen ist, am besten geeignet.
Unter Berücksichtigung der vorstehenden Ausführungen und unter Anlehnung an die tabellarische
Darstellung der RAC Task Force (s. Abbildung 1) können die Erkenntnisse in folgender Darstellung
zusammengefasst werden:
Typischerweise erwartete Auswirkungen
des unerwünschten
Ereignisses
Akzeptierte Häufigkeit (R) des
unerwünschten Ereignisses
Mehrere Todesfälle R ≤ 10 ‐9 /h
Ein Todesfall und/oder mehrere
Schwerverletzte
Ein Schwerverletzter und/oder
mehrere Leichtverletzte
R ≤ 10 ‐8 /h für gegenseitige Anerkennung,
ansonsten
R ≤ 3 x 10 ‐8 /h
R ≤ 3 x 10 ‐7 /h für gegenseitige
Anerkennung, ansonsten
R ≤ 10 ‐6 /h
Ein Leichtverletzter R ≤ 10 ‐5 /h
Tabelle 10: Möglichkeit für weiterentwickeltes Kriterium RAC‐TS
Aus der Darstellung ist ersichtlich, dass im Prinzip die Aspekte aller Varianten hierbei berücksichtigt
sind. Außerdem zeigt sich, dass die seinerzeit von der RAC Task Force vorgeschlagenen Werte
durchaus plausibel sind, da sie sich auch aus dieser Darstellung ergeben.
Seite 43 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Zusammenfassung
10 Zusammenfassung
In diesem Bericht wurde anhand des Beispiels der RSM aus E DIN VDE V 0831‐103 gezeigt, wie sich
semi‐quantitative Methoden zur Risikoanalyse mittels des Kriteriums RAC‐TS kalibrieren lassen, um
für Funktionen technischer Systeme nachvollziehbar Sicherheitsanforderungen ableiten zu können.
Insofern wird auch die Notwendigkeit einheitlicher Risikoakzeptanzkriterien für technische Systeme
aus dieser Sicht bestätigt.
Weiterhin wurde ergänzend gezeigt, wie sich aus Anforderungen an semi‐quantitative Methoden
Erkenntnisse für die Weiterentwicklung des Kriteriums RAC‐TS ableiten lassen.
Seite 44 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Anhang
11 Anhang
11.1 Referenzen
a) Rechtliche und normative Grundlagen
CSM VO VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009
über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung
und Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe
a der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates,
Amtsblatt der Europäischen Union, L 108/4, 29.4.2009
DIN EN 13849‐1 Sicherheit von Maschinen ‐ Sicherheitsbezogene Teile von Steuerungen ‐
Teil 1: Allgemeine Gestaltungsleitsätze, Ausgabedatum 2008‐12
DIN EN 50 129
DIN EN 61508‐1
DIN EN 61508‐5
E DIN VDE V 0831‐
103
CS‐25
VDV‐Schrift 332
Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme – Sicherheitsrelevante elektronische Systeme
für Signaltechnik, Ausgabedatum 2003‐12
Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer
elektronischer Systeme Teil 1: Allgemeine Anforderungen,
Ausgabedatum 2011‐02
Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer
elektronischer Systeme Teil 5: Beispiele zur Ermittlung
der Stufe der Sicherheitsintegrität (safety integrity level), Ausgabedatum
2011‐02
Elektrische Bahn‐Signalanlagen – Ermittlung von Sicherheitsanforderungen
an technische Funktionen in der Eisenbahnsignaltechnik, Entwurf
2013‐04
Certification Specifications for Large Aeroplanes, Amendment 9 vom
05.08.2010
Sicherheitsintegritätsanforderungen für Bahnsignalanlagen bei Nichtbundeseigenen
Eisenbahnen (NE)
Seite 45 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Anhang
b) Weiterführende Literatur
[1] Bepperling, Sonja‐Lara: Validierung eines semi‐quantitativen Ansatzes zur Risikobeurteilung
in der Eisenbahntechnik, Dissertation 2008
[2] CER: POSITION PAPER covering the results of the CER –UIC ‘Application Exercise’ concerning
the RAC ‘design criteria’ values presented in ERA draft revision recommendation for
regulation 352/2009, 15.12.2011
[3] EBA: Anforderungen des Brand‐ und Katastrophenschutzes an den Bau und den Betrieb
von Eisenbahntunneln, Stand vom 15.08.2001.
[4] ERA Safety Unit – CSM Team: Agency report on the experience with the existing regulation
(EC) No 352/2009 on a common safety method on risk evaluation and assessment an on the
revision of that regulation, Version 1.0 vom 13.07.2012
[5] ERA Safety Unit, Management System Sector: Information note about ERA’s plan for the
way forward for the DEVELOPMENT OF EXPLICIT HARMONISED RISK ACCEPTANCE CRI‐
TERIA FOR FAILURES OF FUNCTIONS OF TECHNICAL SYSTEMS, Version 0.1 vom
16.01.2013
[6] ERA Safety Unit – RAC Task Force: Definition of RAC for failures of functions of technical
systems, which are covered entirely by a technical solution, Version 3.0 vom 23.05.2011
[7] ERA Safety Unit, Safety Assessment Sector: Proposal for Risk Acceptance Criteria to be
included in the Scope of the Revision of Regulation 352/2009/EC, Executive Summary, Version
2.0 vom 28.06.2011
[8] Milius, Birgit: Konstruktion eines semi‐qualitativen Risikographen für das Eisenbahnwesen,
Dissertation 2009
Seite 46 von 47

AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung
Anhang
11.2 Abkürzungen
Abk.
CCF
CER
CSM
EASA
ERA
ESTW
ETA
ETCS
FTA
KV
LST
LZB
MA
RAC
RAC‐TS
RBC
RSM
RZL
SAC
SATLOC
SIL
TBV
TC
THR
TSI
UIC
UNIFE
VDV
Langform / Erläuterung
Common Cause Failure (Ausfall auf Grund einer gemeinsamen Ursache)
Community of European Railway and Infrastructure Companies (Gemeinschaft der europäischen
Bahnen und Infrastrukturgesellschaften)
Common Safety Method
European Aviation Safety Agency (Europäische Agentur für Flugsicherheit)
European Railway Agency
Elektronisches Stellwerk
Ereignisbaumanalyse (Event Tree Analysis)
European Train Control System (Europäisches Zugsteuerungs‐ und Zugbeeinflussungssystem)
Fault Tree Analysis (Fehlzustandsbaumanalyse)
Kombinierter Verkehr
Leit‐ und Sicherungstechnik
Linienzugbeeinflussung
Bereitstellung des Fahrauftrags (Funktionalität)
Risk Acceptance Criteria (Risikoakzeptanzkriterien)
Risk Acceptance Criterion for Technical Systems (Risikoakzaptanzkriterium für technische
Systeme)
Radio Block Center (ETCS‐Streckenzentrale)
Risk Score Matrix
Rechnergestützter Zugleitbetrieb
Safety‐related Application Condition (Sicherheitsbezogene Anwendungsbedingung)
Satellite based operation and management of local low traffic lines
Safety Integrity Level (Sicherheitsanforderungsstufe)
Tunnelbegegnungsverbot
Überwachung des Fahrauftrags (Funktionalität)
Tolerable Hazard Rate (tolerierbare Gefährdungsrate)
Technische Spezifikation Interoperabilität
Union internationale des chemins de fer (Internationaler Eisenbahnverband)
Union des Industries Ferroviaires Européennes (Verband der europäischen Eisenbahnindustrie)
Verband Deutscher Verkehrsunternehmen
Seite 47 von 47

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Unabhängige Bewertung
06.08.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger: TÜV Rheinland Consulting GmbH

AP 2100 – Unabhängige Bewertung
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
22.05.2013 Brinkmann (PINTSCH V01 Erstellung
BAMAG)
21.06.2013 Brinkmann (PINTSCH
BAMAG)
V02 Vorbereitung der Einarbeitung der Kommentare
und Ergänzungen von Hr. Braband – SIE-
MENS, Hr. Halbekat – DB AG, Fr. Schmitt-
Bender – THALES, Hr.Schwenke – DLR.
31.07.2013 Brinkmann (PINTSCH
BAMAG)
06.08.2013 Brinkmann (PINTSCH
BAMAG)
V03 Einarbeitung der Kommentare und Ergänzungen
von Hr. Braband – SIEMENS, Hr. Halbekat
– DB AG, Fr. Schmitt-Bender – THALES,
Hr.Schwenke – DLR.
V1.0 Einarbeitung der Ergebnisse der finalen Abstimmung
zum Bericht beim Arbeitstreffen der
AG 2 am 05. und 06.08.2013 (inhaltliche und
redaktionelle Ergänzungen und Änderungen in
den Kapiteln 4, 5, 6 und 9).
Seite 2 von 18

AP 2100 – Unabhängige Bewertung
Inhaltsverzeichnis
1 Einleitung ......................................................................................................................... 4
2 Rechtliche und normative Vorgaben ............................................................................. 4
2.1 Vorgaben aus der GSM VO RB .................................................................................. 4
2.2 Vorgaben der Interoperabilitätsrichtlinie .................................................................. 7
2.3 Vorgaben der DIN EN ISO/IEC 17020 ......................................................................... 9
3 Aktuelle Umsetzung von „Sachverständiger Bewertung“ im Sektor der deutschen
Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB)................... 10
4 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB
[GsmVoRb] im Sektor der deutschen Leit- und Sicherungstechnik LST der
Eisenbahnen des Bundes (EdB) .................................................................................. 11
5 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB Revision
[GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik LST der
Eisenbahnen des Bundes (EdB) .................................................................................. 13
6 Unterschiedliche Rahmenbedingungen und Aufgabenstellungen für
Bewertungsstellen nach GSM VO RB [GsmVoRb] und GSM VO RB Revision
[GsmVoRbRev] .............................................................................................................. 14
7 Kompetenzanforderungen zur Risikobewertung ........................................................ 15
8 Vorgaben zum Sicherheitsbewertungsbericht ........................................................... 16
9 Zusammenfassung ........................................................................................................ 16
10 Anhang ........................................................................................................................... 16
10.1 Referenzen ................................................................................................................. 16
10.2 Abkürzungen ............................................................................................................. 17
Seite 3 von 18

AP 2100 – Unabhängige Bewertung
1 Einleitung
In der VO (EG) Nr. 352/2009, kurz GSM VO RB [GsmVoRb], wird für nach Artikel 4 definierte
„Signifikante Änderungen“ des Eisenbahnsystems, die Dokumentation eines nach Artikel 5
definierten „Risikomanagementverfahren“ gefordert, welches einer nach Artikel 6 definierten
„Unabhängigen Bewertung“ durch eine nach Artikel 3 - Unterpunkt 14 definierten „Bewertungsstelle“
zu unterziehen ist.
In diesem Dokument wird gezeigt, wie die Umsetzung einer derartigen „Unabhängigen Bewertung“
im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes
(EdB),
für technische, betriebliche oder organisatorische „Signifikante Änderungen“,
außerhalb der nationalen Sicherheitsbehörde EBA,
auf Basis der zum Zeitpunkt der Ausgabe des vorliegenden Teilberichts gültigen GSM
VO RB [GsmVoRb] sowie auch
auf Basis der am 03.05.2013 als Amtsblatt der Europäischen Union veröffentlichen
GSM VO RB Revision [GsmVoRbRev], die ab dem 21.05.2015 die aktuell gültige
GSM VO RB [GsmVoRb] ersetzen wird,
erfolgen kann.
2 Rechtliche und normative Vorgaben
2.1 Vorgaben aus der GSM VO RB
Die GSM VO RB [GsmVoRb] macht nachfolgende relevante Vorgaben (V) zum Thema „Unabhängigen
Bewertung“ durch eine „Bewertungsstelle“ innerhalb des Anwendungsbereichs
eines Vorschlagenden:
V.2.1.1 Artikel 2, Anwendungsbereich, Absatz (2)
Betreffen die signifikanten Änderungen strukturelle Teilsysteme, die der Richtlinie 2008/57/EG unterliegen, findet die
CSM für die Risikoevaluierung und -bewertung Anwendung,
a) wenn die relevanten technischen Spezifikationen für die Interoperabilität (TSI) eine Risikobewertung verlangen;
in diesem Fall ist in der betreffenden TSI gegebenenfalls anzugeben, welche Teile der CSM Anwendung
finden;
b) damit im Einklang mit Artikel 15 Absatz 1 der Richtlinie 2008/57/EG eine sichere Integration der strukturellen
Teilsysteme, für die die TSI gelten, in ein bestehendes System gewährleistet werden kann.
V.2.1.2 Artikel 3, Begriffsbestimmungen, Absatz 11.
„Vorschlagender“: die Eisenbahnunternehmen oder Infrastrukturbetreiber im Rahmen der Risikokontrollmaßnahmen, die
sie nach Artikel 4 der Richtlinie 2004/49/EG zu treffen haben, die Auftraggeber oder Hersteller, die gemäß Artikel 18 Absatz
1 der Richtlinie 2008/57/EG bei einer benannten Stelle das EG-Prüfverfahren durchführen lassen, oder die Antragsteller,
die eine Genehmigung für die Inbetriebnahme von Fahrzeugen beantragen.
V.2.1.3 Artikel 3, Begriffsbestimmungen, Absatz 14.
„Bewertungsstelle“: die unabhängige, fachkundige Person, Organisation oder Stelle, die eine Untersuchung vornimmt, um
auf der Grundlage von Nachweisen zu beurteilen, ob ein System die gestellten Sicherheitsanforderungen erfüllt.
V.2.1.4 Artikel 5, Risikomanagementverfahren, Absatz (3).
Der Vorschlagende gewährleistet das Management der von Zulieferern und Dienstleistern, einschließlich ihrer Subunternehmer,
ausgehenden Risiken. Zu diesem Zweck kann er verlangen, dass Zulieferer und Dienstleister, einschließlich ihrer
Subunternehmer, an dem in Anhang I beschriebenen Risikomanagementverfahren mitwirken.
V.2.1.5 Artikel 6, Unabhängige Bewertung, Absatz (1)
Die ordnungsgemäße Anwendung des in Anhang I beschriebenen Risikomanagementverfahrens und die Ergebnisse dieser
Anwendung werden von einer Stelle, die den in Anhang II genannten Kriterien entspricht, einer unabhängigen Bewertung
unterzogen. Soweit die zuständige Bewertungsstelle noch nicht in gemeinschaftlichen oder nationalen Rechtsvorschriften
festgelegt ist, benennt der Vorschlagende selbst eine Bewertungsstelle, bei der es sich um eine andere Organisation oder
auch um eine interne Abteilung handeln kann.
Seite 4 von 18

AP 2100 – Unabhängige Bewertung
V.2.1.6
ANHANG I, 1. ALLGEMEINE GRUNDSÄTZE FÜR DAS RISIKOMANAGEMENTVERFAHREN
1.1.2. Dieses iterative Risikomanagementverfahren
V.2.1.7
b) wird einer unabhängigen Bewertung durch eine oder mehrere Bewertungsstellen unterzogen.
ANHANG II, VON DEN BEWERTUNGSSTELLEN ZU ERFÜLLENDE KRITERIEN
1. Die Bewertungsstelle darf weder unmittelbar noch als Bevollmächtigte an der Planung, der Herstellung, dem Bau, dem
Vertrieb, dem Betrieb oder der Instandhaltung des zu bewertenden Systems beteiligt sein. Ein Austausch technischer Informationen
zwischen der Stelle und den beteiligten Akteuren wird hierdurch nicht ausgeschlossen.
2. Die Bewertungsstelle muss die Bewertung mit größter Gewissenhaftigkeit und höchster Fachkompetenz durchführen
und darf keinerlei Druck oder Einflussnahme - vor allem finanzieller Art - auf ihr Urteil oder die Ergebnisse ihrer Bewertungen,
insbesondere durch Personen oder Personengruppen, die von den Bewertungen betroffen sind, ausgesetzt sein.
3. Die Bewertungsstelle muss über die Mittel für die angemessene Erfüllung der technischen und administrativen Aufgaben
verfügen, die mit der Durchführung der Bewertungen verbunden sind, und Zugang zu den für außergewöhnliche Bewertungen
erforderlichen Geräten haben.
4. Das mit den Bewertungen beauftragte Personal muss über folgende Qualifikationen verfügen:
- eine gute technische und berufliche Ausbildung;
- eine ausreichende Kenntnis der Vorschriften für die von ihm durchgeführten Bewertungen und eine ausreichende
praktische Erfahrung mit solchen Bewertungen;
- die erforderliche Befähigung zur Erstellung der Sicherheitsbewertungsberichte, die die formellen Schlussfolgerungen
der durchgeführten Bewertungen darstellen.
5. Die Unabhängigkeit des mit den unabhängigen Bewertungen beauftragten Personals muss gewährleistet sein. Die Vergütung
der Mitarbeiter darf sich weder nach der Zahl der von ihm durchgeführten Bewertungen noch nach den Ergebnissen
dieser Bewertungen richten.
6. Handelt es sich bei der Bewertungsstelle um eine externe Stelle außerhalb der Organisation des Vorschlagenden, muss
die betreffende Stelle über eine Haftpflichtversicherung verfügen, es sei denn, dass der Mitgliedstaat aufgrund der nationalen
Rechtsvorschriften haftet oder die Bewertungen selbst durchführt.
7. Handelt es sich bei der Bewertungsstelle um eine externe Stelle außerhalb der Organisation des Vorschlagenden, ist ihr
Personal (außer gegenüber den zuständigen Verwaltungsbehörden des Staates, in dem es seine Tätigkeit ausübt) in Bezug
auf alle Informationen, von denen es bei der Durchführung seiner Aufgaben im Rahmen dieser Verordnung Kenntnis erlangt,
durch das Berufsgeheimnis gebunden.
Die GSM VO RB Revision [GsmVoRbRev] macht nachfolgende relevante Vorgaben (V) zum
Thema „Unabhängigen Bewertung“ durch eine „Bewertungsstelle“ innerhalb des Anwendungsbereichs
eines Vorschlagenden:
V.2.1.8 Ziffer (19)
Die Verordnung (EG) Nr. 352/2009 ist hinfällig geworden und sollte daher durch diese Verordnung ersetzt werden.
V.2.1.9 Ziffer (20)
Angesichts der neuen mit der vorliegenden Verordnung eingeführten Anforderungen in Bezug auf Akkreditierung und
Anerkennung der Bewertungsstelle sollte die Anwendung dieser Verordnung aufgeschoben werden, damit die betroffenen
Akteure genügend Zeit haben, dieses neue gemeinsame Konzept einzuführen und umzusetzen.
V.2.1.10 Artikel 2, Anwendungsbereich, Absatz 3
Diese Verordnung gilt auch für strukturelle Teilsysteme, auf die die Richtlinie 2008/57/EG Anwendung findet,
a) wenn die relevanten technischen Spezifikationen für die Interoperabilität (TSI) eine Risikobewertung verlangen;
in diesem Fall ist in der betreffenden TSI gegebenenfalls anzugeben, welche Teile dieser Verordnung
Anwendung finden;
b) wenn die Änderung im Sinne von Artikel 4 Absatz 2 signifikant ist, wird das in Artikel 5 genannte Risikomanagementverfahren
im Rahmen der Inbetriebnahme der strukturellen Teilsysteme angewandt, damit im
Einklang mit Artikel 15 Absatz 1 der Richtlinie 2008/57/EG ihre sichere Integration in ein bestehendes System
gewährleistet werden kann.
V.2.1.11 Artikel 3, Begriffsbestimmungen, Absatz 11.
„Vorschlagender“ einen der folgenden Rechtsträger:
a) ein Eisenbahnunternehmen oder einen Infrastrukturbetreiber, das oder der Maßnahmen zur Risikobeherrschung
nach Artikel 4 der Richtlinie 2004/49/EG durchführt;
Seite 5 von 18

AP 2100 – Unabhängige Bewertung
c) einen Auftraggeber oder Hersteller, der gemäß Artikel 18 Absatz 1 der Richtlinie 2008/57/EG bei einer benannten
Stelle das EG-Prüfverfahren durchführen lässt oder eine benannte Stelle nach Artikel 17 Absatz 3
der genannten Richtlinie beauftragt.
V.2.1.12 Artikel 3, Begriffsbestimmungen, Absatz 14.
„Bewertungsstelle“ die unabhängige, fachkundige externe oder interne natürliche Person, Organisation oder Stelle, die eine
Untersuchung vornimmt, um auf der Grundlage von Nachweisen zu beurteilen, ob ein System die gestellten Sicherheitsanforderungen
erfüllt.
V.2.1.13 Artikel 5, Risikomanagementverfahren, Absatz 2.
Der Vorschlagende gewährleistet, dass auch mit Risiken, die von seinen Zulieferern und Dienstleistern, einschließlich ihrer
Subunternehmer, ausgehen, gemäß dieser Verordnung umgegangen wird. Zu diesem Zweck kann er durch vertragliche
Vereinbarungen verlangen, dass seine Zulieferer und Dienstleister, einschließlich ihrer Subunternehmer, an dem in Anhang
I dargelegten Risikomanagementverfahren mitwirken.
V.2.1.14 Artikel 6, Unabhängige Bewertung, Absatz 1.
Eine Bewertungsstelle führt eine unabhängige Bewertung der Eignung sowohl der Anwendung des in Anhang I dargelegten
Risikomanagementverfahrens als auch seiner Ergebnisse durch. Diese Bewertungsstelle muss die in Anhang II aufgeführten
Kriterien erfüllen. Ist noch keine Bewertungsstelle durch bestehende Rechtsvorschriften der Union oder nationale
Rechtsvorschriften ausgewiesen, benennt der Vorschlagende selbst eine Bewertungsstelle im frühest angemessenen Stadium
des Risikomanagementverfahrens.
V.2.1.15 Artikel 7, Akkreditierung/Anerkennung der Bewertungsstelle, Absatz 1
Die in Artikel 6 genannte Bewertungsstelle muss
a) entweder durch die in Artikel 13 Absatz 1 genannte nationale Akkreditierungsstelle anhand der in Anhang II
festgelegten Kriterien akkreditiert sein oder
b) durch die in Artikel 13 Absatz 1 genannte Anerkennungsstelle anhand der in Anhang II festgelegten Kriterien
anerkannt sein.
V.2.1.16 Artikel 8, Akzeptieren der Akkreditierung/Anerkennung, Absatz 1 und 2
1. Bei der Erteilung der Sicherheitsbescheinigung oder der Sicherheitsgenehmigung gemäß der Verordnung (EU) Nr.
1158/2010 der Kommission (ABl. L 326 vom 10.12.2010, S. 11) oder der Verordnung (EU) Nr. 1169/2010 der Kommission
(ABl. L 327 vom 11.12.2010, S. 13) akzeptiert eine nationale Sicherheitsbehörde die Akkreditierung oder Anerkennung
durch einen Mitgliedstaat im Einklang mit Artikel 7 als Nachweis der Fähigkeit des Eisenbahnunternehmens oder
Infrastrukturbetreibers, als Bewertungsstelle zu agieren.
2. Bei der Erteilung der Bescheinigung für eine für die Instandhaltung zuständige Stelle gemäß der Verordnung (EU) Nr.
445/2011 akzeptiert die Zertifizierungsstelle eine solche Akkreditierung oder Anerkennung durch einen Mitgliedstaat als
Nachweis der Fähigkeit der für die Instandhaltung zuständigen Stelle, als Bewertungsstelle zu agieren.
V.2.1.17 Artikel 9, Arten der Anerkennung der Bewertungsstelle, Absatz 1
Folgende Arten der Anerkennung der Bewertungsstelle sind möglich:
a) Anerkennung einer für die Instandhaltung zuständigen Stelle, einer Organisation oder eines Teils davon oder
einer natürlichen Person durch den Mitgliedstaat;
b) Anerkennung der Fähigkeit einer Organisation oder eines Teils davon oder einer natürlichen Person, eine unabhängige
Bewertung durch Bewertung und Überwachung des Sicherheitsmanagementssystems eines Eisenbahnunternehmens
oder Infrastrukturbetreibers durchzuführen, durch die nationale Sicherheitsbehörde;
c) wenn die nationale Sicherheitsbehörde als Zertifizierungsstelle im Einklang mit Artikel 10 der Verordnung
(EU) Nr. 445/2011 agiert, Anerkennung der Fähigkeit einer Organisation oder eines Teils davon oder einer
natürlichen Person, eine unabhängige Bewertung durch Bewertung und Überwachung des Instandhaltungssystems
einer für die Instandhaltung zuständigen Stelle durchzuführen, durch die nationale Sicherheitsbehörde;
d) Anerkennung der Fähigkeit einer für die Instandhaltung zuständigen Stelle, einer Organisation oder eines
Teils davon oder einer natürlichen Person, eine unabhängige Bewertung durchzuführen, durch eine vom
Mitgliedstaat benannte Anerkennungsstelle.
V.2.1.18 Artikel 13, Bereitstellung von Informationen für die Agentur, Absatz 1 bis 3
1. Gegebenenfalls unterrichten die Mitgliedstaaten spätestens am 21. Mai 2015 die Agentur darüber, welche Stelle bzw.
Stellen für die Zwecke dieser Verordnung ihre nationale Akkreditierungsstelle und/oder Anerkennungsstelle bzw. Anerkennungsstellen
ist/sind, sowie über die Bewertungsstellen, die sie gemäß Artikel 9 Absatz 1 Buchstabe a anerkannt haben.
Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden von der
Agentur veröffentlicht.
2. Spätestens am 21. Mai 2015 unterrichtet die nationale Akkreditierungsstelle die Agentur über die akkreditierten Bewertungsstellen
sowie den Zuständigkeitsbereich, für den diese Bewertungsstellen gemäß Anhang II Nummern 2 und 3 ak-
Seite 6 von 18

AP 2100 – Unabhängige Bewertung
kreditiert sind. Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden
von der Agentur veröffentlicht.
3. Spätestens am 21. Mai 2015 unterrichtet die Anerkennungsstelle die Agentur über die anerkannten Bewertungsstellen
sowie den Zuständigkeitsbereich, für den diese Bewertungsstellen gemäß Anhang II Nummern 2 und 3 anerkannt werden.
Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden von der
Agentur veröffentlicht.
V.2.1.19 Artikel 19, Aufhebung, Absatz 1
Die Verordnung (EG) Nr. 352/2009 wird mit Wirkung vom 21. Mai 2015 aufgehoben.
V.2.1.20 Artikel 20, Inkrafttreten und Geltung, Absatz 1 und 2
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Sie gilt ab dem 21. Mai 2015.
V.2.1.21 ANHANG II, KRITERIEN FÜR DIE AKKREDITIERUNG ODER ANERKENNUNG DER BEWERTUNGSSTELLE
1. Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 und ihrer späteren Änderungen. Bei
der Ausführung der in dieser Norm definierten Inspektionstätigkeit legt die Bewertungsstelle ihr sachverständiges Urteilsvermögen
zugrunde. Sie erfüllt die allgemeinen Kriterien hinsichtlich Kompetenz und Unabhängigkeit in dieser Norm
sowie die folgenden speziellen Kompetenzkriterien:
(a) Kompetenz auf dem Gebiet des Risikomanagements: Kenntnisse und Erfahrungen auf dem Gebiet der Standardmethoden
für die Sicherheitsanalyse und der einschlägigen Normen;
(b) alle einschlägigen Fähigkeiten zur Bewertung der von der Änderung betroffenen Teile des Eisenbahnsystems;
(c) Kompetenz auf dem Gebiet der korrekten Anwendung von Sicherheits- und Qualitätsmanagementsystemen
oder der Prüfung von Managementsystemen.
2. In Analogie zu Artikel 28 der Richtlinie 2008/57/EG über die Meldung der benannten Stellen wird die Bewertungsstelle
für die verschiedenen Zuständigkeitsbereiche innerhalb des Eisenbahnsystems oder von Teilen davon, für die eine grundlegende
Sicherheitsanforderung besteht, einschließlich des Zuständigkeitsbereichs Betrieb und Instandhaltung des Eisenbahnsystems,
akkreditiert oder anerkannt.
3. Die Bewertungsstelle wird für die Bewertung der generellen Konsistenz des Risikomanagements und der sicheren Integration
des Systems, das der Bewertung unterzogen wird, in das Eisenbahnsystem als Ganzes akkreditiert oder anerkannt.
Hierfür ist die Kompetenz der Bewertungsstelle zur Überprüfung folgender Aspekte erforderlich:
(a) Organisation, das heißt die notwendigen Vorkehrungen für eine koordinierte Vorgehensweise bei der Verwirklichung
von Systemsicherheit durch ein gemeinsames Verständnis und eine einheitliche Anwendung
von Risikokontrollmaßnahmen für Teilsysteme;
(b) Methodik, das heißt die Bewertung der Methoden und Ressourcen verschiedener Akteure zur Unterstützung
der Sicherheit auf Teilsystem- oder Systemebene, und
(c) technische Aspekte, die für die Bewertung der Relevanz und der Vollständigkeit von Risikobewertungen
und des Sicherheitsniveaus für das System als Ganzes notwendig sind.
4. Das Bewertungsgremium kann für einen, mehrere oder alle der unter den Nummern 2 und 3 aufgeführten Zuständigkeitsbereiche
akkreditiert oder anerkannt werden.
V.2.1.22 ANHANG III, SICHERHEITSBEWERTUNGSBERICHT DER BEWERTUNGSSTELLE
Der Sicherheitsbewertungsbericht der Bewertungsstelle enthält zumindest die folgenden Informationen:
a) Angaben zur Bewertungsstelle;
b) den unabhängigen Bewertungsplan;
c) den Gegenstandsbereich der unabhängigen Bewertung sowie ihre Grenzen;
d) die Ergebnisse der unabhängigen Bewertung, insbesondere:
i) ausführliche Angaben zu den unabhängigen Bewertungstätigkeiten, mit denen die Einhaltung der Bestimmungen
der vorliegenden Verordnung überprüft worden ist;
ii) festgestellte Verstöße gegen die Bestimmungen der vorliegenden Verordnung und Empfehlungen der
Bewertungsstelle;
e) die Schlussfolgerungen der unabhängigen Bewertung.
2.2 Vorgaben der Interoperabilitätsrichtlinie
Am 08.04.2011 wurde als Amtsblatt der Europäischen Union die Empfehlung 2011/217/EU
[IntOpRlIbgEmpf] der Kommission vom 29. März 2011 zur Genehmigung der Inbetriebnahme
Seite 7 von 18

AP 2100 – Unabhängige Bewertung
von strukturellen Teilsystemen und Fahrzeugen gemäß der Richtlinie 2008/57/EG [IntOpRl]
(„Interoperabilitätsrichtlinie“) des Europäischen Parlaments und des Rates veröffentlicht, die
für die „Unabhängige Bewertung“ durch eine „Bewertungsstelle“ von signifikanten Änderungen
struktureller Teilsysteme, die der Richtlinie 2008/57/EG [IntOpRl] unterliegen (siehe Vorgaben
V.2.1.1 und V.2.1.10), nachfolgend aufgeführte relevante Vorgaben (V) im Rahmen von
Empfehlungen macht (Anmerkung: Die Empfehlung 2011/217/EU [IntOpRlIbgEmpf] wurde
als DV29 im RISC der ERA verabschiedet):
V.2.2.1 Kapitel 5.2.1, Allgemeine Grundsätze, Absatz 7
Aus einer allgemeinen Perspektive regelt die Richtlinie 2008/57/EG die technischen Merkmale (vorwiegend Konstruktion,
Produktion und Endabnahme) der Teilsysteme und Fahrzeuge sowie den Prozess der Genehmigung ihrer Inbetriebnahme,
und die Richtlinie 2004/49/EG enthält Regelungen in Bezug auf die Stellen, die diese nutzen, betreiben und in Stand halten
(siehe nachfolgendes Diagramm).
Erläuterungen zur obigen Abbildung:
- NNTV“ bezeichnet „gemäß Artikel 17 notifizierte nationale technische Vorschriften“, schließt jedoch auch
Vorschriften für offene Punkte, Ausnahmen und erforderlichenfalls Sonderfälle ein.
- „RB gemäß GSM“ bedeutet „Risikobewertung gemäß den gemeinsamen Sicherheitsmethoden“ und bezieht
sich auf die Aspekte der technischen Kompatibilität und sicheren Integration, die im Hinblick auf die
grundlegenden Anforderungen relevant sind, aber nicht von TSI oder NNTV erfasst werden.
V.2.2.2 Kapitel 8.9, Prüfstelle im Rahmen der GSM zur RB (GSM-PS), Absatz 1
Eine GSM-Prüfstelle ist wie in der GSM zur Risikobewertung beschrieben an der Prüfung der sicheren Integration, soweit
nach Artikel 15 Absatz 1 der Richtlinie 2008/57/EG notwendig, beteiligt.
Anmerkung: Zum Zeitpunkt der Ausgabe des vorliegenden Teilberichts gibt der Prozess der
Vorgabe V.2.2.1 der Empfehlung 2011/217/EU [IntOpRlIbgEmpf], als „Rechtsakte ohne Gesetzescharakter“,
in Deutschland nicht den aktuellen Stand der Diskussion wieder. Zumindest
wird für den Bereich Fahrzeugzulassung das Zusammenspiel zwischen Hersteller und Betreiber
bei generellen (generischen) Genehmigungen von Plattformen (Authorisation for Placing
on the Market, APM) oder speziellen (spezifischen) Genehmigungen der Inbetriebnahme
(Authorisation for Placing into Service, APS) differenzierter diskutiert.
Seite 8 von 18

AP 2100 – Unabhängige Bewertung
2.3 Vorgaben der DIN EN ISO/IEC 17020
Gemäß Vorgabe V.2.1.21 fordert die GSM VO RB Revision [GsmVoRbRev] unter Absatz 1 –
Zitat Anfang – Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 – Zitat Ende. Damit
sind die anwendbaren normativen Anforderungen der DIN EN ISO/IEC 17020 [DinEnIsoIec17020]
gleichzeitig Vorgaben für eine „Unabhängige Bewertung“ von signifikanten
Änderungen durch eine „Bewertungsstelle“ nach GSM VO RB Revision [GsmVoRbRev] sowie
für den Aufbau, die Anerkennung oder Akkreditierung solcher Bewertungsstellen. Um in
den nachfolgenden Kapiteln die verschiedenen Möglichkeiten der Umsetzung von „Unabhängigen
Bewertungen“ durch „Bewertungsstellen“ diskutieren zu können, sind nachfolgende
Vorgaben (V) der DIN EN ISO/IEC 17020 [DinEnIsoIec17020] beispielhaft aufgeführt:
V.2.3.1 Kapitel, Einleitung, Absatz 1 bis 4
Diese Internationale Norm wurde mit dem Ziel erarbeitet, Vertrauen in Stellen, die Inspektionen durchführen, zu fördern.
Inspektionsstellen führen im Auftrag von Privatkunden, von ihren Muttergesellschaften oder von Behörden Bewertungen
durch mit dem Ziel, Informationen über die Konformität inspizierter Gegenstände mit Vorschriften, Normen, Spezifikationen,
Inspektionsprogrammen oder Verträgen zu liefern. Inspektionsparameter schließen Fragen zur Quantität, Qualität,
Sicherheit, Zweckmäßigkeit sowie fortdauernden Einhaltung der Sicherheit von in Betrieb befindlichen Anlagen oder Systemen
ein. Diese Internationale Norm harmonisiert die allgemeinen Anforderungen, die diese Stellen erfüllen müssen,
damit ihre Dienstleistungen von den Auftraggebern und Aufsichtsbehörden akzeptiert werden.
Diese Internationale Norm behandelt die Tätigkeiten von Inspektionsstellen, deren Arbeit die Prüfung von Materialien,
Produkten, Installationen, Anlagen, Prozessen, Arbeitsabläufen oder Dienstleistungen einschließen kann sowie die Bestimmung
ihrer Konformität mit den Anforderungen und der nachfolgenden Berichterstattung über die Ergebnisse aus diesen
Tätigkeiten an die Auftraggeber und, soweit erforderlich, an die Behörden. Die Inspektion kann alle Phasen im Rahmen
der Lebensdauer dieser Inspektionsgegenstände betreffen, einschließlich der Entwicklungsphase. Solche Arbeiten erfordern
in der Regel sachverständige Beurteilung bei der Ausführung von Inspektionen, insbesondere bei der Bewertung
der Konformität mit allgemeinen Anforderungen.
Diese Internationale Norm kann als Anforderungsdokument für die Akkreditierung oder für die Begutachtung unter
Gleichrangigen oder für andere Begutachtungen verwendet werden.
V.2.3.2 Kapitel 1, Anwendungsbereich, Absatz 1 bis 3
Diese Internationale Norm enthält Anforderungen an die Kompetenz von Stellen, die Inspektionen durchführen, sowie an
die Unparteilichkeit und Konsistenz ihrer Inspektionstätigkeiten.
Sie gilt für Inspektionsstellen des Typs A, B oder C, wie in dieser Internationalen Norm festgelegt, und ist auf jede Stufe
der Inspektion anwendbar.
ANMERKUNG: Stufen der Inspektion beinhalten Entwicklungsphase, Baumusterprüfung, Erstinspektion, Inspektionen
während des Betriebs oder Überwachung.
V.2.3.3 Kapitel 3, Begriffe, Nummer 3.1
Inspektion: Untersuchung eines Produkts , eines Prozesses , einer Dienstleistung oder einer Installation oder deren Entwicklung
und Feststellung ihrer Übereinstimmung mit bestimmten Anforderungen oder, basierend auf einer sachverständigen
Beurteilung, mit allgemeinen Anforderungen.
V.2.3.4 Kapitel 4.1, Unparteilichkeit und Unabhängigkeit, Nummer 4.1.6
Die Inspektionsstelle muss bis zu dem Grad unabhängig sein, der im Hinblick auf die Bedingungen, unter denen sie ihre
Dienstleistungen ausführt, erforderlich ist. In Abhängigkeit von diesen Bedingungen muss sie die im Anhang A festgelegten
Mindestanforderungen für eine der möglichen Typen A, B oder C erfüllen.
a) Inspektionsstelle vom Typ A: Eine Stelle, die als unabhängiger Dritter von der ersten (Anbieter) oder zweiten
Seite (Anwender) Inspektionen anbietet.
b) Inspektionsstelle vom Typ B: Eine Stelle, die als erste (Anbieter) oder zweite Seite (Anwender) Inspektionen
anbietet, und die einen abgetrennten und identifizierbaren Teil einer Organisation bildet.
c) Inspektionsstelle vom Typ C: Eine Stelle, die als erste (Anbieter) oder zweite Seite (Anwender) Inspektionen
anbietet, und die einen identifizierbaren, aber nicht notwendigerweise abgetrennten Teil einer Organisation
bildet.
V.2.3.5 Kapitel 6.1, Personal, Nummer 6.1.2
Um Art, Bereich und Umfang ihrer Inspektionstätigkeiten ausführen zu können, muss die Inspektionsstelle Personal beschäftigen
oder Verträge mit einer ausreichenden Zahl von Personen haben, die über die erforderlichen Kompetenzen verfügen
sowie erforderlichenfalls die Eignung zur sachverständigen Beurteilung besitzen.
Seite 9 von 18

AP 2100 – Unabhängige Bewertung
3 Aktuelle Umsetzung von „Sachverständiger Bewertung“ im Sektor der
deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes
(EdB)
Zum Zeitpunkt der Ausgabe des vorliegenden Teilberichts erfolgt jede „Sachverständige Bewertung“
im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des
Bundes (EdB) maßgeblich auf Grundlage der Anerkennung der Sachverständigenkompetenz
durch die deutsche Nationale Sicherheitsbehörde (NSB) EBA. Dafür hat das EBA Richtlinien
(RL) mit behördlicher Außenwirkung und Verwaltungsvorschriften (VV) mit behördlicher Innenwirkung
erlassen.
Die „Richtlinie über die fachtechnischen Voraussetzungen und die Anerkennung von Gutachtern
und Prüfern für Signal-, Telekommunikations- und Elektrotechnische Anlagen“, kurz RL
PRÜF-STE [RlPrfSte], regelt die unterschiedlichen Arten von Sachverständigen, die Voraussetzungen
und Verfahren der Anerkennung sowie die „Sachverständigen Inhalte“ nach Sachund
Teilgebieten getrennt. Ergänzend dazu regelt die „Verwaltungsvorschrift für die Anerkennung
und die Arbeitsweise von Prüfleitstellen für Sicherungsanlagen“, kurz VV PLS
[VvPls], die Anerkennung und Arbeitsweise von Prüfleitstellen (PLS) mit der Befugnis zu
Gutachter- und Prüftätigkeiten in Betrieben, in denen ein Qualitätsmanagementsystem nach
DIN EN ISO 9001 [DinEnIso9001] vorhanden ist und die Anforderungen nach DIN EN
ISO/IEC 17020 [DinEnIsoIec17020] an eine Inspektionsstelle vom Typ B gemäß Vorgabe
V.2.3.4, Nummer 4.1.6, Buchstabe b) erfüllt werden.
Die Unterscheidung der Arten von Sachverständigen gemäß RL PRÜF-STE [RlPrfSte] erfolgt
in
„Prüfer für Planungen“,
„Prüfer für Abnahmen“ und
„Gutachter für Typzulassungen“.
Dabei können die Sachverständigen als Einzelpersonen
Selbständige,
Mitarbeiter in Planungs- / Ingenieurbüros,
Mitarbeiter in technischen Überwachungsvereinen,
Mitarbeiter einer Eisenbahn des Bundes oder
Mitarbeiter in Industriebetrieben der Elektroindustrie
sein.
Die Anerkennungsverfahren von Sachverständigen nach RL PRÜF-STE [RlPrfSte] basieren,
über den Nachweis allgemeiner Anerkennungsvoraussetzungen hinaus, maßgeblich auf dem
Nachweis der Kenntnis der „Sachverständigen Inhalte“ als fachspezifische „Besondere
Sachkunde„ in den einzelnen Sach- und Teilgebieten. Dabei setzt sich der Nachweis aus
dem Nachweis des Erwerbs fachspezifischer, praktischer Erfahrung in geeigneten
Projekten,
dem Nachweis des Besuchs geeigneter, anerkannter, fachspezifischer Lehrveranstaltungen
sowie in Einzelfällen aus
dem Nachweis der erfolgreichen Teilnahme an fachspezifischen Prüfungsgesprächen
bei den zuständigen Stellen der Nationalen Sicherheitsbehörde (NSB) EBA
zusammen.
Seite 10 von 18

AP 2100 – Unabhängige Bewertung
Die Unterscheidung der Arten von Sachverständigen gemäß VV PLS [VvPls] ist identisch zu
der oben Beschriebenen nach RL PRÜF-STE [RlPrfSte]. Klassifiziert man zusätzlich die
nach RL PRÜF-STE [RlPrfSte] anerkannten „Sachverständigen als Einzelpersonen“ in die
nach DIN EN ISO/IEC 17020 [DinEnIsoIec17020] gemäß Vorgabe V.2.3.4, Nummer 4.1.6 möglichen
„Seiten“
Erste Seite (Anbieter / Hersteller): Mitarbeiter in Industriebetrieben der Elektroindustrie,
Zweite Seite (Anwender / Betreiber): Mitarbeiter einer Eisenbahn des Bundes und
Dritte Seite (Unabhängiger Dritter): Selbständige, Mitarbeiter in Planungs- / Ingenieurbüros
und Mitarbeiter in technischen Überwachungsvereinen,
die Inspektionen durchführen können, und berücksichtigt die Tatsache, dass die Eisenbahnen
des Bundes aktuell nur in einzelnen Bereichen ein Qualitätsmanagementsystem (QMS)
nach DIN EN ISO 9001 [DinEnIso9001] eingeführt haben, so ergibt sich die Schlussfolgerung,
dass Sachverständige gemäß VV PLS [VvPls] Einzelpersonen der Ersten Seite (Anbieter
/ Hersteller) oder zweiten Seite (Anwender / Betreiber) als Mitarbeiter in Industriebetrieben
der Elektroindustrie oder einer Eisenbahn des Bundes sein dürfen und können (Anmerkung:
bei Einrichtung einer PLS nach VV PLS bei einer EdB ohne zertifiziertes QMS nach
ISO 9001 entscheidet die Nationalen Sicherheitsbehörde (NSB) EBA im Einzelfall, ob das
Sicherheitsmanagementsystem (SMS) der jeweiligen EdB ein äquivalenter Ersatz für das
fehlende QMS nach ISO 9001 ist).
Aktuell erfolgen die „Sachverständigen Bewertungen“ der „Sachverständigen Einzelpersonen“
in den Prüfleitstellen (PLS) der Industriebetriebe der Elektroindustrie als Konformitätsnachweise
für die Erfüllung der Anforderungen an die Produkte der jeweiligen Betriebe in
den Planungs-, Abnahme- und Typzulassungsverfahren der Eisenbahnen des Bundes und
der Nationalen Sicherheitsbehörde (NSB) EBA. Zusätzlich erbringen Sachverständige in
Prüfleitstellen (PLS) Nachweise für die „Technische Kompatibilität“ und „Sichere Integration“
für die strukturellen Teilsysteme ihrer Betriebe zusammen mit den jeweils beauftragten Benannten
Stellen gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe V.2.2.1 der Empfehlung
2011/217/EU [IntOpRlIbgEmpf].
Zusätzlich zur Anerkennung der Prüfleitstellen (PLS) und ihrer „Sachverständigen Mitarbeiter“
durch die Nationale Sicherheitsbehörde (NSB) EBA, ist ein Teil der Prüfleitstellen (PLS)
der Industriebetriebe der Elektroindustrie als Inspektionsstelle des Typs B gemäß DIN EN
ISO/IEC 17020 [DinEnIsoIec17020] durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert.
Die Akkreditierung bezieht sich dabei auf den Nachweis der Konformität der Organisation
der Inspektionsstelle mit den anwendbaren Anforderungen der DIN EN ISO/IEC
17020 [DinEnIsoIec17020] sowie auf den Nachweis der Kenntnis der erforderlichen „Sachverständigen
Inhalte“ für die „Sachverständigen Mitarbeiter“ der Inspektionsstelle.
4 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB
[GsmVoRb] im Sektor der deutschen Leit- und Sicherungstechnik LST der
Eisenbahnen des Bundes (EdB)
Die in Kapitel 3 beschriebene aktuelle Umsetzung von „Sachverständiger Bewertung“ im
Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB)
ist generell dafür geeignet die gemäß Vorgabe V.2.1.5 „Unabhängige Bewertung“ nach GSM
VO RB [GsmVoRb] zu leisten. Dafür müssten die in Kapitel 3 beschriebenen Anerkennungsund
Akkreditierungsverfahren um eine „Unabhängige Bewertung“ nach GSM VO RB [Gsm-
VoRb] erweitert werden, welche die Anforderungen
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ um die Vorgaben
V.2.1.7, Punkt 1 bis 3 und 5 bis 7, sowie die Anforderungen
Seite 11 von 18

AP 2100 – Unabhängige Bewertung
an den Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen
Einzelpersonen“ um die Qualifikationsanforderungen gemäß Vorgabe
V.2.1.7, Punkt 4,
entsprechend ergänzt.
Zusätzlich erlauben die Anforderungen der GSM VO RB [GsmVoRb] „implizit“, d.h. sie
schließen „explizit“ nicht aus, andere mögliche Anerkennungs- oder Akkreditierungsarten von
„Unabhängiger Bewertung“, falls der Nachweis der Erfüllung der oben aufgeführten Anforderungen
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ und der
Kenntnis der „Sachverständigen Inhalte“ erbracht werden kann. Diese sind z.B.
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde
(NSB) EBA im Rahmen der Bewertung und Überwachung des Sicherheitsmanagementsystems
(SMS) einer Eisenbahn des Bundes (EdB),
die direkte Anerkennung einer Bewertungsstelle durch die Bundesrepublik Deutschland
oder
die direkte Akkreditierung einer Bewertungsstelle durch die Deutsche Akkreditierungsstelle
(DAkkS).
Damit könnten die „Sachverständigen Einzelpersonen“, in all den oben beschriebenen Arten
und Organisationseinheiten von Sachverständigen, das „Risikomanagementverfahren“ gemäß
Artikel 5 der GSM VO RB [GsmVoRb] des Vorschlagenden gemäß Vorgabe V.2.1.2 einer
„Unabhängigen Bewertung“ gemäß Vorgabe V.2.1.5 unterziehen oder einer solchen „Unabhängigen
Bewertung“ nach Vorgabe V.2.1.4 und V.2.1.6 zuarbeiten.
Im Falle der „Unabhängigen Bewertung“ von „Risikomanagementverfahren“ zu „Signifikanten
Änderungen struktureller Teilsysteme, die der Richtlinie 2008/57/EG [IntOpRl] unterliegen“,
könnten die „Sachverständigen Einzelpersonen“, innerhalb ihrer jeweiligen Organisationseinheiten,
als „Prüfstelle im Rahmen der GSM zur RB (GSM-PS)“ gemäß Vorgabe V.2.2.2 an
Nachweisen für die „Technische Kompatibilität“ und „Sichere Integration“ für die strukturellen
Teilsysteme gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe V.2.2.1 der Empfehlung
2011/217/EU [IntOpRlIbgEmpf] mitarbeiten.
Zum Zeitpunkt der Ausgabe des vorliegenden Teilberichts, was gleichbedeutend ist mit dem
Jahre 1 nach vollem Inkrafttreten der europäischen Rechtsverordnung GSM VO RB [Gsm-
VoRb], die keinerlei rechtlichen Umsetzung in Deutschland bedarf, da sie direkte Gesetzeskraft
besitzt, gibt es keine Anerkennungs- und Akkreditierungsverfahren der deutschen Nationalen
Sicherheitsbehörde (NSB) EBA oder der Deutschen Akkreditierungsstelle (DAkkS),
welche die „Unabhängige Bewertung“ gemäß Vorgabe V.2.1.5 in Deutschland regeln. Damit
gilt für die Festlegung einer „Bewertungsstelle“ gemäß Vorgabe V.2.1.3 in Deutschland gemäß
Vorgabe V.2.1.5
Soweit die zuständige Bewertungsstelle noch nicht in gemeinschaftlichen oder nationalen Rechtsvorschriften festgelegt
ist, benennt der Vorschlagende selbst eine Bewertungsstelle, bei der es sich um eine andere Organisation oder auch um eine
interne Abteilung handeln kann.
Letzteres besagt jedoch nichts über die Rechtsgültigkeit der „Unabhängigen Bewertung“ einer
so festgelegten „Bewertungsstelle“.
Anmerkung: In Vorgabe V.2.1.5 wird ein Vorbehalt formuliert, dass mögliche europäische oder
nationale Vorgaben die Auswahl einer Bewertungsstelle einschränken könnten. Dabei bleibt
bisher völlig offen, was die möglichen Kriterien für eine Einschränkung sein könnten.
Seite 12 von 18

AP 2100 – Unabhängige Bewertung
5 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB
Revision [GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik
LST der Eisenbahnen des Bundes (EdB)
Die mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB Revision
[GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen
des Bundes (EdB) kann in gleicher Art und Weise erfolgen, wie die unter Kapitel 4 beschriebene
„mögliche Umsetzung nach GSM VO RB [GsmVoRb]“ und damit generell als Erweiterung
der unter Kapitel 3 beschriebenen „Umsetzung von Sachverständiger Bewertung“.
Dafür müssten die in Kapitel 3 beschriebenen Anerkennungs- und Akkreditierungsverfahren
um eine „Unabhängige Bewertung“ nach GSM VO RB Revision [GsmVoRbRev] erweitert
werden, welche die Anforderungen
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ um die Vorgaben
V.2.1.21, Punkt 1 bis 4, sowie die Anforderungen
an den Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen
Einzelpersonen“ um die Qualifikationsanforderungen gemäß Vorgabe
V.2.1.21, Punkt 1 und 3, jeweils Buchstabe (a) bis (c),
entsprechend ergänzt.
Zusätzliche erlauben die Anforderungen der GSM VO RB Revision [GsmVoRbRev] gemäß
Vorgaben V.2.1.16 und V.2.1.17 „explizit“ die nachfolgend aufgeführten anderen möglichen Anerkennungsarten
von „Unabhängiger Bewertung“:
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde
(NSB) EBA im Rahmen der Bewertung und Überwachung des Sicherheitsmanagementsystems
(SMS) einer Eisenbahn des Bundes (EdB),
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde
(NSB) EBA im Rahmen der Bewertung und Überwachung des Instandhaltungssystems
einer für die Instandhaltung zuständigen Stelle einer Eisenbahn des Bundes
(EdB),
die direkte Anerkennung einer Bewertungsstelle durch die Bundesrepublik Deutschland
oder
die direkte Anerkennung einer Bewertungsstelle durch eine von der Bundesrepublik
Deutschland benannten Anerkennungsstelle.
Als Unterschied zur der in Kapitel 4 beschriebenen „möglichen Umsetzung nach GSM VO
RB [GsmVoRb]“, sei darauf hingewiesen, dass die GSM VO RB Revision [GsmVoRbRev]
gemäß Vorgabe V.2.1.21, Punkt 1 die Anforderung erhebt, dass
Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 und ihrer späteren Änderungen.
was auf Grundlage der Vorgabe V.2.3.5
Um Art, Bereich und Umfang ihrer Inspektionstätigkeiten ausführen zu können, muss die Inspektionsstelle Personal beschäftigen
oder Verträge mit einer ausreichenden Zahl von Personen haben, die über die erforderlichen Kompetenzen verfügen
sowie erforderlichenfalls die Eignung zur sachverständigen Beurteilung besitzen.
der DIN EN ISO/IEC 17020 [DinEnIsoIec17020] die Arbeit von „Selbstständigen Sachverständigen
Einzelpersonen“ als „Bewertungsstelle“ gemäß Vorgabe V.2.1.12 ausschließt.
Zusätzlich erlaubt die GSM VO RB Revision [GsmVoRbRev] gemäß Vorgaben V.2.1.21, Punkt 2
und 4 explizit eine Aufteilung von Anerkennungen und Akkreditierungen über Zuständigkeitsbereiche,
was die GSM VO RB [GsmVoRb] nur implizit spezifiziert, jedoch explizit nicht ausschließt.
Seite 13 von 18

AP 2100 – Unabhängige Bewertung
Darüber hinaus regelt die GSM VO RB Revision [GsmVoRbRev] gemäß Vorgaben V.2.1.15,
V.2.1.17 und V.2.1.18 in allen EU-Mitgliedsstaaten die Akkreditierung und Anerkennung von „Bewertungsstellen“
gemäß Vorgabe V.2.1.12, was die unter Kapitel 4 beschriebene aktuelle
Rechtsunsicherheit in Deutschland zum Thema bis spätestens zur Aufhebung der GSM VO
RB [GsmVoRb] und ausschließlicher Gültigkeit der GSM VO RB Revision [GsmVoRbRev]
am 21. Mai 2015 gemäß Vorgaben V.2.1.19 und V.2.1.20 beseitigen wird.
Anmerkung: Gemäß Vorgaben V.2.1.8, V.2.1.9, V.2.1.19 und V.2.1.20 (Präambeltext als europäische
Intention) ist die GSM VO RB [GsmVoRb] mit Datum 23.05.2013 hinfällig (überholt, durch die
neue Version ersetzt) geworden (Datum des Inkrafttretens der GSM VO RB Revision [Gsm-
VoRbRev], 20 Tage nach deren Veröffentlichung im Amtsblatt der Europäischen Union am
03.05.2013) und sollte durch GSM VO RB Revision [GsmVoRbRev] ersetzt werden. Jedoch
sollte Angesichts der mit der GSM VO RB Revision [GsmVoRbRev] neu eingeführten Anforderungen
in Bezug auf Akkreditierung und Anerkennung der Bewertungsstelle die Anwendung
der GSM VO RB Revision [GsmVoRbRev] aufgeschoben werden (spätestens bis zur
Aufhebung der GSM VO RB [GsmVoRb] am 21.05.2015), damit die betroffenen Akteure genügend
Zeit haben, die neuen Konzepte gemeinsam einzuführen und umzusetzen.
6 Unterschiedliche Rahmenbedingungen und Aufgabenstellungen für Bewertungsstellen
nach GSM VO RB [GsmVoRb] und GSM VO RB Revision
[GsmVoRbRev]
Wie bereits in Kapitel 5 ausgeführt, erlaubt die GSM VO RB Revision [GsmVoRbRev] gemäß
Vorgaben V.2.1.21, Punkt 2 und 4 explizit eine Aufteilung von Anerkennungen und Akkreditierungen
als „Bewertungsstelle“ gemäß Vorgabe V.2.1.12 über Zuständigkeitsbereiche, was die GSM
VO RB [GsmVoRb] nur implizit spezifiziert, jedoch explizit nicht ausschließt.
Diese Aufteilung kann sich
(1) innerhalb eines Eisenbahnunternehmens oder Infrastrukturbetreibers (Zweite Seite,
d.h. Anwender, Betreiber, Eisenbahnen des Bundes)
auf die „Unabhängige Bewertung“
o von Tatbeständen in Planungsunterlagen,
o an realisierten Anlagen oder
o der Korrektheit methodischer Vorgehensweisen und der Plausibilität
von Ergebnissen
beziehen, wobei die „Unabhängigen Bewertungen“ im Rahmen von
o aufsichtsrechtlichen Verfahren,
o Verfahren zur Unterstützung der Absicherung der Sicherheitsverantwortung
des Eisenbahnunternehmens oder Infrastrukturbetreibers,
o nicht genehmigungspflichtigen Verfahren oder
o genehmigungspflichtigen Verfahren
• bei generellen (generischen) Genehmigungen (Authorisation for
Placing on the Market, APM) oder
• bei speziellen (spezifischen) Genehmigungen der Inbetriebnahme
(Authorisation for Placing into Service, APS)
erfolgen können.
(2) innerhalb eines Zulieferers (Erste Seite, d.h. Anbieter, Hersteller, Industriebetrieb
der Elektroindustrie)
auf die „Unabhängige Bewertung“
Seite 14 von 18

AP 2100 – Unabhängige Bewertung
o der Produkte des jeweiligen Zulieferers in den Verfahren und „Unabhängigen
Bewertungen“ des jeweiligen Eisenbahnunternehmens oder
Infrastrukturbetreibers unter Punkt (1), sowie
o von „Risikomanagementverfahren“ zu „Signifikanten Änderungen“
struktureller Teilsysteme des jeweiligen Zulieferers, die der Richtlinie
2008/57/EG [IntOpRl] unterliegen, als „Prüfstelle im Rahmen der GSM
zur RB (GSM-PS)“ gemäß Vorgabe V.2.2.2 an Nachweisen für die
„Technische Kompatibilität“ und „Sichere Integration“ für die strukturellen
Teilsysteme gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe
V.2.2.1 der Empfehlung 2011/217/EU [IntOpRlIbgEmpf]
beziehen.
Bei der Argumentation möglicher Umsetzungen von „Unabhängigen Bewertungen“ gemäß
Kapitel 4 und 5 müssen die jeweiligen Anforderungen an die Bewertungsstellen und deren
Personal im Kontext der unterschiedlichen Rahmenbedingungen und Aufgabenstellungen
der oben aufgeführten Aufzählungspunkte (1) und (2) bewertet werden.
Generell ist dabei zu unterscheiden zwischen der Anerkennung oder Akkreditierung von
wobei
Stellen und Organisationen sowie
der Sachkunde von Einzelpersonen,
sich die Anforderungen der GSM VO RB [GsmVoRb] und GSM VO RB Revision
[GsmVoRbRev] direkt an die Bewertungsstelle richten, jedoch
die Erfüllung der Anforderungen an die geeignete Kompetenz des ausführenden Personals
aus den Prozessen der Bewertungsstelle nachzuweisen ist.
7 Kompetenzanforderungen zur Risikobewertung
Wie unter Kapitel 4 und 5 bereits ausgeführt, ergeben sich aus der GSM VO RB [GsmVoRb]
und GSM VO RB Revision [GsmVoRbRev] die nachfolgend aufgeführten Qualifikationsanforderungen
zum Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen
Einzelpersonen“ der Bewertungsstellen (Kompetenzanforderungen an die Sachkunde
von Einzelpersonen):
GSM VO RB [GsmVoRb]: Qualifikationsanforderungen gemäß Vorgabe V.2.1.7, Punkt 4
GSM VO RB Revision [GsmVoRbRev]: Qualifikationsanforderungen gemäß Vorgabe
V.2.1.21, Punkt 1 und 3, jeweils Buchstabe (a) bis (c)
Je nach Rahmenbedingung und Aufgabenstellung der jeweiligen Bewertungsstelle gemäß
Kapitel 6 müssen dabei die „Sachverständigen Einzelpersonen“ Kenntnisse und Erfahrungen
in einem, mehreren oder allen der nachfolgend aufgeführten Sachthemen besitzen (Anmerkung:
Die in alphabetischer Reihenfolge nachfolgend aufgeführte Liste der Sachthemen ist
beispielhaft und erhebt nicht den Anspruch auf Vollständigkeit):
Deterministische Methoden: z.B. Einbindung von Regelwerken
Gesetzliche Grundlagen: z.B. AEG, CSM VO, EBO
Grundlegende Konzepte der Risikobewertung: z.B. CCF, THR
Methoden zur Analyse von Referenzsystemen
Methoden zur Beurteilung von Ereignisstatistiken
Methoden zur Beurteilung von Simulationsdaten
Methoden zur Bewertung menschlicher Zuverlässigkeit
Seite 15 von 18

AP 2100 – Unabhängige Bewertung
Methoden zur Gefährdungsidentifikation: z.B. Checklisten, FMEA, HAZOP
Methoden zur Signifikanzbewertung
Methoden zur Systemdefinition: z.B. Kontextdiagramme, Use Cases
Quantitative Methoden zur Risikobewertung: z.B. ETA, FTA, Markov
Risikoakzeptanzkriterien: z.B. allgemein vertretbares Risiko, MGS, RAC-TS
Semi-quantitative Methoden zur Risikobewertung: z.B. DIN V 0831-103, EN 5012x,
VDV 331
Umgang mit Auflagen und sicherheitsrelevanten Anwendungsvorschriften
8 Vorgaben zum Sicherheitsbewertungsbericht
Gemäß Vorgabe V.2.1.22 stellt die GSM VO RB Revision [GsmVoRbRev] Anforderungen an
die minimalen Inhalte eines Sicherheitsbewertungsberichts, wohingegen die GSM VO RB
[GsmVoRb] keine solchen Anforderungen erhebt.
Mit der Vorgabe V.2.1.22 ist nicht das Dokumentationsformat eines Sicherheitsbewertungsberichts
festgeschrieben, sondern lediglich dessen minimal notwendige Bewertungsinhalte (Informationen).
Solcherart Informationen sind aber auch, in vergleichbarer Art und Weise, in
jedem Gutachten oder jeder Inspektion einer „Sachverständigen Bewertung“ im Sektor der
deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) gemäß Kapitel
3 dokumentiert (z.B. Begutachtungsplan/bericht nach DIN EN 50129 oder Inspektionsplan/bericht
nach DIN EN ISO/IEC 17020 [DinEnIsoIec17020]).
Damit lässt sich die Dokumentation eines Gutachtens oder einer Inspektion einer „Sachverständigen
Bewertung“ im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen
des Bundes (EdB) gemäß Kapitel 3 als Grundlage für das Dokumentationsformat
eines Sicherheitsbewertungsberichts gemäß GSM VO RB [GsmVoRb] oder GSM VO RB
Revision [GsmVoRbRev] nutzen, wobei im Falle einer Bewertung nach GSM VO RB Revision
[GsmVoRbRev], die Dokumentation der minimal notwendigen Bewertungsinhalte gemäß
Vorgabe V.2.1.22 sicherzustellen ist.
9 Zusammenfassung
Im vorliegenden Bericht ist eine mögliche Umsetzung der „Unabhängigen Bewertung“ gemäß
Artikel 6 der GSM VO RB [GsmVoRb] und GSM VO RB Revision [GsmVoRbRev] im Sektor
der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) beschrieben,
die zeigt, dass diese mögliche Umsetzung als Erweiterung der aktuell in Deutschland
bestehenden Umsetzung von „Sachverständiger Bewertung“ im Sektor der deutschen
Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) erfolgen kann, welche
bereits heute schon mittels Anerkennung und Akkreditierung legalisiert ist.
Zusätzlich sind Kompetenzanforderungen zur Risikobewertung beispielhaft zusammengestellt
sowie ein mögliches Dokumentationsformat für einen Sicherheitsbewertungsbericht und
dessen notwendige Inhalte beschrieben.
10 Anhang
10.1 Referenzen
[DinEnIso9001]
DIN EN ISO 9001, Qualitätsmanagementsysteme – Anforderungen,
Dezember 2008, Berichtigung 1, Dezember 2009
[DinEnIsoIec17020] DIN EN ISO/IEC 17020, Konformitätsbewertung - Anforderungen an
den Betrieb verschiedener Typen von Stellen, die Inspektionen
durchführen, Juli 2012
[GsmVoRb] VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24.
Seite 16 von 18

AP 2100 – Unabhängige Bewertung
[GsmVoRbRev]
[IntOpRl]
[IntOpRlIbgEmpf]
[RlPrfSte]
[VvPls]
April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken gemäß Artikel
6 Absatz 3 Buchstabe a der Richtlinie 2004/49/EG des Europäischen
Parlaments und des Rates
DURCHFÜHRUNGSVERORDNUNG (EU) Nr. 402/2013 DER
KOMMISSION vom 30. April 2013 über die gemeinsame Sicherheitsmethode
für die Evaluierung und Bewertung von Risiken und
zur Aufhebung der Verordnung (EG) Nr. 352/2009
RICHTLINIE 2008/57/EG DES EUROPÄISCHEN PARLAMENTS
UND DES RATES vom 17. Juni 2008 über die Interoperabilität des
Eisenbahnsystems in der Gemeinschaft
EMPFEHLUNG 2011/217/EU DER KOMMISSION vom 29. März
2011 zur Genehmigung der Inbetriebnahme von strukturellen Teilsystemen
und Fahrzeugen gemäß der Richtlinie 2008/57/EG des
Europäischen Parlaments und des Rates
Eisenbahn-Bundesamt, Referat 22, Richtlinie über die fachtechnischen
Voraussetzungen und die Anerkennung von Gutachtern und
Prüfern für Signal-, Telekommunikations- und Elektrotechnische Anlagen,
PRÜF-STE, Ausgabe 03, Gültig ab 01.03.2012
Eisenbahn-Bundesamt, Referat 22, Vorläufige Verwaltungsvorschrift
für die Anerkennung und die Arbeitsweise von Prüfleitstellen für Sicherungsanlagen
(VV PLS), Ausgabe 01, Gültig ab 01.09.2007
10.2 Abkürzungen
Abk. Langform
AEG Allgemeines Eisenbahngesetz
APM Authorisation for Placing on the Market
APS Authorisation for Placing into Service
AsBo/PS Assessment Body / Prüfstelle
CCF Common Cause Failure
CSM/GSM Common Safety Method / Gemeinsame Sicherheitsmethode
DAkkS Deutsche Akkreditierungsstelle
DeBo/BBS Designated Body / Benannte Beauftragte Stelle
EBA Eisenbahn-Bundesamt
EBO Eisenbahn-Bau- und Betriebsordnung
EdB Eisenbahnen des Bundes
ERA European Railway Agency
ETA Event Tree Analysis
FMEA Failure Mode and Effect Analysis
FTA Fault Tree Analysis
HAZOP Hazard and Operability study
LST Leit- und Sicherungstechnik
Seite 17 von 18

AP 2100 – Unabhängige Bewertung
MGS
NNTV
NoBo/BS
NSB
PLS
QMS
RAC-TS
RA/RB
REG/VO
RISC
RL
SMS
THR
TSI
VV
Mindestens Gleiche Sicherheit
Notifizierte Nationale Technische Vorschriften
Notified Body / Benannte Stelle
Nationale Sicherheitsbehörde
Prüfleitstelle
Qualitätsmanagementsystem
Risk Assessment Criteria for Technical Systems
Risk Assessment / Risikobewertung
Regulation / Verordnung
Railway Interoperability and Safety Committee
Richtlinie
Sicherheitsmanagementsystem
Tolerable Hazard Rate
Technische Spezifikation Interoperabilität
Verwaltungsvorschrift
Seite 18 von 18

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Einführung in die "CSM-VO"
(EU-Verordnung Nr. 402/2013)
Ort / Datum einsetzen
Autor (optional)

Zielsetzung dieser Schulung
Die Schulung dient der Information über den Inhalt der CSM-VO
402/2013. Sie hat nicht das Ziel einer allgemeinen Behandlung von
sicherheitstechnischen Methoden, auf denen die CSM-VO 402/2013
teilweise basiert. Derartige Grundkenntnisse werden vorausgesetzt.
Die Schulung besteht aus 2 Teilen:
Teil 1: Managementinformation (Folien 1 - 12)
Teil 2: Information für Anwender der CSM-VO (Folien 13 – 56)
Einführg. CSM-VO, Version 1.0 Folie 2

Auf nachfolgenden Folien abkürzend
meist nur „CSM-VO“ genannt
Entstehung / Bedeutung der CSM-VO (402/2013) (1)
Erarbeitet durch ERA (European Railway Agency) als erste von mehreren
CSM´s (Common Safety Methods).
In Deutschland vereinfacht "die CSM-VO" genannt, genauer wäre
die europäisch übliche Bezeichnung "CSM-RA" (RA = Risk Assessment).
Hintergrund: Infrastrukturbetreiber (IB´s) und Eisenbahnunternehmen
(EiU´s) müssen Sicherheitsmanagementsystem anwenden, aufgeteilt in
Sicherheit des Betriebs,
CSM-VO
Sicherheit der Wartung
Sicherheit im Falle von Änderungen am vorhandenen System
Die CSM-VO 402/2013 ist eine EU-Verordnung (engl.: EU regulation)
-> unmittelbare Gesetzeswirkung für jedes EU-Land.
Die CSM-VO 402/2013 ist zulassungsrelevant.
Die Verordnung ist seit 23.05.2013 in Kraft und wird am 21.05.2015
allgemein gültig. Sie fußt auf der Vorgängerversion CSM-VO 352/2009,
die am 21.05.2015 aufgehoben wird (s. auch Folien zu Artikel 2 und 19).
Die Verordnung bezieht sich auf Änderungen am Bahnsystem.
Betroffen sind primär Infrastrukturbetreiber (IB), Eisenbahnunternehmen
(EiU), Instandhaltungsstellen aber auch die Industrie.
Einführg. CSM-VO, Version 1.0 Folie 3

Entstehung / Bedeutung der CSM-VO (2)
Da die CSM-VO jede Art von Änderung am Bahnsystem (technisch,
betrieblich, organisatorisch) abdecken soll, ist sie sehr allgemein
formuliert. Konkrete Anwendung auf z.B. die Signaltechnik erfordert
einiges an Interpretation, daher gibt es bereits zahlreiche Leitfäden zur
Ergänzung der eigentlichen CSM-VO.
Hinweis: Die auf folgender Folie aufgeführten Leitfäden und Auslegungshilfen beziehen
sich noch auf die Version CSM-VO 352/2009.
Einführg. CSM-VO, Version 1.0 Folie 4

Leitfäden, Auslegungen der CSM-VO
Dipl.-Arbeit
(T. Heinig)
Beispiele (ERA)
Leitlinie (ERA)
Leitfaden (EBC)
Hinweise (EBA)
Artikel in Fachzeitschriften
Leitfaden (BMVIT)
Guidance (ORR)
CSM-VO
(ERA)
Ergebnisberichte
(NeGSt)
Auflistung s. Folie Nr. 51
Hinweise EBA
Hinweise EBA
Entwürfe Auslegungen VDB
(VDB)
Einführg. CSM-VO, Version 1.0 Folie 5

Kerngedanken der CSM-VO (1)
Aufgabenstellung
Sicherheit der Bahnsysteme in der EU ist grundsätzlich in Ordnung.
Bahnsysteme sind jedoch ständigem Änderungsprozess
unterworfen. Aus geänderten Betriebsbedingungen oder neuem
Material können neue Risiken für die Infrastruktur oder den Betrieb
entstehen Änderungen dürfen das Gesamt-Sicherheitsniveau
nicht verschlechtern.
Um dies sicherzustellen fordert die CSM-VO für signifikante Änderungen:
Die mit der Änderung verbundenen Gefährdungen für das
Bahnsystem müssen analysiert und genau verstanden werden.
Dann sind die mit den Gefährdungen verbundenen Risiken zu
beurteilen und es ist festzulegen, nach welchen Kriterien das
akzeptable Risiko bestimmt wird und wie die Risiken beherrscht
werden können.
Daraus sind die Maßnahmen abzuleiten, die notwendig sind, damit
das akzeptable Risiko eingehalten werden kann -> Sicherheitsanforderungen.
Einführg. CSM-VO, Version 1.0 Folie 6

Kerngedanken der CSM-VO (2)
Die Erfüllung der Sicherheitsanforderungen ist nachzuweisen
(Sicherheitsnachweis).
Die Gefährdungen sind für jeden Akteur nachlesbar im
Gefährdungsprotokoll zu dokumentieren (Gefährdungsmanagement).
Für die genannten Aktivitäten ist der (die Änderung) Vorschlagende
verantwortlich.
Die Aktivitäten sind durch eine unabhängige Bewertungsstelle zu
beurteilen.
Einführg. CSM-VO, Version 1.0 Folie 7

Kerngedanken der CSM-VO (3)
Randbedingungen / Besonderheiten
Grundsatz der Verhältnismäßigkeit: Anwendung des
(gemeinsamen) Risikomanagementverfahrens der CSM-VO nur bei
signifikanten Änderungen.
Auch Abstützen auf Bewährtes erlaubt: Es gibt eine Fülle von
Erfahrungen, wie man mit bestimmten Risiken umgeht ->
Bestehendes Regelwerk darf weiterhin angewendet werden.
Integrative Gesamtsicht bei Änderungen mit mehreren Akteuren und
Schnittstellen:
Der Vorschlagende koordiniert das Risikomanagement der
verschiedenen Akteure.
Transparenz aller Gefährdungen für jeden Akteur durch das
Gefährdungsprotokoll.
Mitwirkungspflicht aller Akteure im Sinne des
Risikomanagements.
Einführg. CSM-VO, Version 1.0 Folie 8

Anlage: Risikomanagementverfahren und
unabhängige Bewertung
9
UNABHÄNGIGE BEWERTUNG
Überprüfung der Systemdefinition in
Abhängigkeit von den ermitteten
VORLÄUFIGE
SYSTEMDEFINITION
Sicherheitsanforderungen
GEFÄHRDUNGSERMITTLUNG
UND EINSTUFUNG
2
REGELWERKE
3
Anwendung der
Regelwerke
Signifikante
Änderung?
JA
SYSTEMDEFINITION
(Umfang, Funktionen, Schnittstellen usw..)
GEFÄHRDUNGSERMITTLUNG
(Was kann geschehen? Wann?
Wo? Wie? usw..
GEFÄHRDUNGSEINSTUFUNG
(Wie kritisch?)
Allgemein
vertretbares
Risiko?
NEIN
Wahl des
Grundsatzes der
Risikoakzeptanz
ÄHNLICHE
REFERENZSYSTEME
Analyse der
Ähnlichkeit mit
Referenzsystemen
4 5
1
NEIN
JA
Entscheidung anhand von
Unterlagen begründen
Entscheidung anhand
v. Unterlagen
begründen
EXPLIZITE RISIKOABSCHÄTZUNG
Ermittlung von Szenarien und
Sicherheitsmaßnahmen
Qualitativ
Abschätzung
der Häufigkeit
RISIKOBEWERTUNG
Sicherheitskriterien?
Abschätzung
des Risikos
RISIKO-
ANALYSE
6
Quantitativ
Abschätzung
der Schwere
8
GEFÄHRDUNGSMANAGEMENT
Orientierungshilfe: Verweise aus
nachfolgenden Folien z.B.auf dieses
Thema sind mit 8 gekennzeichnet
RISIKOEVALUIERUNG
Vergleich mit
Kriterien
Vergleich mit
Kriterien
Vergleich mit
Kriterien
NEIN
Vertretbares
Risiko?
NEIN
Vertretbares
Risiko?
NEIN
Vertretbares
Risiko?
JA
JA
JA
Sicherheitsanforderungen
(umzusetzende
Sicherheitsmaßnahmen)
Nachweis der Erfüllung der
Sicherheitsanforderungen
7
Einführg. CSM-VO, Version 1.0 Folie 9

Vergleich des Vorgehens nach EN 50126 und
EN 50129 mit dem nach CSM-VO
= "Gewohntes"
Vorgehen
nach EN
Risikoanalyse
CSM-VO-Besonderheiten
gegenüber den EN s
= Inhalt der
CSM-VO
Begutachtung
Anf.-Spezifikation
Realisierung
Nachweis
Führen Gefährdungs-Logbuch
- "Risikoanalyse/-evaluierung"
- Signifikanz
- Allg. vertretbares Risiko
- Zusätzliches Risiko-Akzeptanzkriterium
(Regelwerke)
- "Gefährdungsmanagement"
- Ansonsten ähnlich Gefährd.-
Logbuch nach EN
- "Unabhängige Bewertung"
- soll jetzt aber auch deutlicher
RA/RE abdecken
Durch CSM-VO
überhaupt nicht
angesprochen !
- CSM-VO sehr allg. gehalten
- Durch Sicherheitsnachweis
nach EN voll abgedeckt
Einführg. CSM-VO, Version 1.0 Folie 10

Aufbau der CSM-VO (1)
Präambel (Punkte 1-21)
Artikel
Erläuterung, welche EG-Richtlinien die CSM-VO aus welchen Gründen fordern
Darstellung der Grundprinzipien der CSM-VO
Artikel 1: Gegenstand
Artikel 2: Anwendungsbereich
Artikel 3: Begriffsbestimmungen
Artikel 4: Signifikante Änderungen
Artikel 5: Risikomanagementverfahren
Artikel 6: Unabhängige Bewertung
Artikel 7: Akkreditierung/Anerkennung der Bewertungsstelle
Artikel 8: Akzeptieren der Akkreditierung/Anerkennung
Artikel 9: Arten der Anerkennung der Bewertungsstelle
Artikel 10: Gültigkeit der Anerkennung
Artikel 11: Überwachung durch die Anerkennungsstelle
Artikel 12: Gelockerte Kriterien bei nicht notwendiger gegenseitiger Anerkennung
einer signifikanten Änderung
Artikel 13: Bereitstellung von Informationen für die Agentur
Artikel 14: Unterstützung der Agentur bei der Akkreditierung oder Anerkennung der
Bewertungsstelle
Einführg. CSM-VO, Version 1.0 Folie 11

Aufbau der CSM-VO (2)
Artikel (cont.)
Artikel 15: Sicherheitsbewertungsberichte
Artikel 16: Erklärung des Vorschlagenden
Artikel 17: Risikomanagement und Überprüfungen
Artikel 18: Rückmeldungen und technischer Fortschritt
Artikel 19: Aufhebung
Artikel 20: Inkrafttreten und Geltung
Anhang I: Beschreibung des Risikomanagementverfahrens
1. Allgemeine Grundsätze für das Risikomanagementverfahren
2. Beschreibung des Risikobewertungsverfahrens
3. Nachweis der Erfüllung der Sicherheitsanforderungen
4. Gefährdungsmanagement
5. Nachweise für die Anwendung des Risikomanagementverfahrens
Anlage: Risikomanagementverfahren und unabhängige Bewertung
(Flussdiagramm, s. auch Folie 9)
Anhang II: Kriterien für die Akkreditierung oder Anerkennung der
Bewertungsstelle
Anhang III: Sicherheitsbewertungsbericht der Bewertungsstelle
Einführg. CSM-VO, Version 1.0 Folie 12

Präambel
(1) Im Einklang mit der Richtlinie 2004/49/EG sollten gemeinsame
Sicherheitsmethoden (CSM) schrittweise eingeführt werden, damit ein
hohes Sicherheitsniveau gewährleistet und die Sicherheit, soweit dies
erforderlich und nach vernünftigem Ermessen durchführbar ist,
verbessert wird.
(3) Im Einklang mit der Richtlinie 2004/49/EG sollten die wesentlichen
Bestandteile für das Sicherheitsmanagementsystem Verfahren und
Methoden für die Durchführung von Risikobewertungen und die
Anwendung von Maßnahmen zur Risikobeherrschung für den Fall
umfassen, dass sich aus geänderten Betriebsbedingungen oder
neuem Material neue Risiken für die Infrastruktur oder den Betrieb
ergeben. Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems
ist Gegenstand dieser Verordnung.
(9) … für die Durchführung der Änderung verantwortliche
Unternehmen oder Organisation (im Folgenden „der Vorschlagende“
genannt) …
Einführg. CSM-VO, Version 1.0 Folie 13

Artikel der CSM-VO
Gegenstand der CSM-VO (Artikel 1)
CSM-VO gefordert durch Richtlinie 2004/49/EG ("Sicherheitsrichtlinie")
Die Verordnung erleichtert den Zugang zum Markt für Schienenverkehrsdienste
durch Harmonisierung der Risikomanagementverfahren
Anwendungsbereich (Artikel 2)
CSM-VO gilt für den Vorschlagenden, wenn er technische, betriebliche
oder organisatorische Änderungen am Eisenbahnsystem vornimmt
Risikomanagementverfahren ist anzuwenden bei signifikanten
Änderungen (Definition von „signifikant“ s. Artikel 4)
Bei strukturellen Teilsystemen (ETCS) nur dann anzuwenden,
wenn TSI das fordert bzw.
hinsichtlich der Integration des Teilsystems in das Bahnsystem
Von der Anwendung der CSM-VO können Systeme wie U-Bahnen,
Straßenbahnen usw. ausgenommen werden (je nach nationaler
Auslegung von Richtlinie 2004/49/EG)
Einführg. CSM-VO, Version 1.0 Folie 14

Artikel der CSM-VO
Anwendungsbereich (Artikel 2) (cont.)
Die Verordnung (EG) Nr. 352/2009 gilt weiterhin für Projekte, die zum
Geltungsbeginn der vorliegenden Verordnung Vorhaben in
fortgeschrittenem Entwicklungsstadium im Sinne von Artikel 2 Buchstabe t
der Richtlinie 2008/57/EG sind
Überlagerung CSM-VO 402/2013 mit 352/2009 (s. auch Artikel 19
und 20):
2009 07/2012 05/2013
05/2015
CSM-RA 352/2009
teilweise gültig
allgemein gültig
Ersterstellung
CSM-RA 402/2013
in Kraft gesetzt (anwendbar)
allgemein gültig
heute
Einführg. CSM-VO, Version 1.0 Folie 15

Zu Artikel 2, Projektbeispiele
05 / 2013 05 / 2015
heute
Änderungsprojekt 1
CSM-VO (352/2009) weiter anwenden
Änderungsprojekt 2
CSM-VO (352/2009) noch erlaubt;
sinnvoller ist aber CSM-VO 402/2013
Änderungsprojekt 3
CSM-VO (352/2009) noch erlaubt;
sinnvoller ist aber CSM-VO 402/2013
Änderungsprojekt 4
CSM-VO (402/2013) anzuwenden
Einführg. CSM-VO, Version 1.0 Folie 16

Artikel der CSM-VO
Begriffsbestimmungen (Artikel 3) (ausgewählte, spezifische Begriffe)
Gefährdung: Der Umstand, der zu einem Unfall führen könnte
„Risiko“: Die Kombination a) der Häufigkeit des Eintretens von (durch
Gefährdungen verursachten) Unfällen und Zwischenfällen, die zu einem
Schaden führen, und b) des Ausmaßes dieses Schadens
Grundsatz der Risikoakzeptanz: Die Regeln, anhand deren festgestellt
wird, ob das mit einer Gefährdung verbundene Risiko vertretbar ist
Akteure: Alle Parteien, die in die Anwendung dieser Verordnung
einbezogen sind
Bewertungsstelle: Die unabhängige, fachkundige externe oder interne
natürliche Person, Organisation oder Stelle, die eine Untersuchung
vornimmt, um auf der Grundlage von Nachweisen zu beurteilen, ob ein
System die gestellten Sicherheitsanforderungen erfüllt
Einführg. CSM-VO, Version 1.0 Folie 17

Artikel der CSM-VO
Begriffsbestimmungen (Artikel 3) (cont.)
Vorschlagender
Eisenbahnunternehmen oder Infrastrukturbetreiber
Für Instandhaltung zuständige Stelle
Auftraggeber oder Hersteller, der bei einer benannten Stelle das
EG-Prüfverfahren durchführen lässt oder eine benannte Stelle
beauftragt
Antragsteller, die eine Genehmigung für die Inbetriebnahme von
Fahrzeugen beantragen.
Antragsteller, der eine Genehmigung für die Inbetriebnahme
struktureller Teilsysteme beantragt
Akkreditierung: Eine Akkreditierung im Sinne von Artikel 2 der
Verordnung (EG) Nr. 765/2008
Anerkennung: Eine von einer nationalen Stelle, die nicht die nationale
Akkreditierungsstelle ist, ausgestellte Bescheinigung, dass die
Bewertungsstelle die Anforderungen des Anhangs II erfüllt
Einführg. CSM-VO, Version 1.0 Folie 18

Artikel der CSM-VO
Signifikante Änderungen (Artikel 4)
Hat die Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die
Anwendung des Risikomanagementverfahrens (RMV) verzichtet werden.
Hat die Änderung Auswirkungen auf die Sicherheit, entscheidet der
Vorschlagende auf der Grundlage einer Expertenbewertung über deren
Signifikanz; Kriterien sind:
a) Folgen von Ausfällen [...] (credible worst-case scenario)
b) Innovative Elemente [...]
c) Komplexität der Änderung
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den
gesamten Lebenszyklus des Systems hinweg zu überwachen und in
geeigneter Weise einzugreifen
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung
bestehenden System zurückzukehren;
f) Additive Wirkung: Sind die in jüngster Zeit vorgenommenen, nicht
signifikanten Änderungen in Summe evtl. doch signifikant?
1
Entscheidung
dokumentieren
Einführg. CSM-VO, Version 1.0 Folie 19

20
Artikel der CSM-VO
Signifikante Änderungen (Artikel 4) (cont.)
Änderung sicherheitsrelevant? nein Ausstieg aus CSM-VO
ja
Änderung signifikant?
nein
Ausstieg aus CSM-VO (Vorschlagender
kann „eigene Sicherheitsmethode“
anwenden)
ja
RMV nach CSM-VO
ist vollständig anzuwenden
Einführg. CSM-VO, Version 1.0 Folie 20

Artikel der CSM-VO
zu Artikel 4 (cont.)
Vorschlag zu Sicherheitsrelevanz
Sicherheitsrelevant
sind alle Änderungen, die – bei fehlerhafter Ausführung – üblicherweise
direkten oder indirekten Personen- und/oder Umweltschaden verursachen
können.
Herleitung / Begründung über Begriff »Sicherheit«:
»Sicherheit«: Nichtvorhandensein von unvertretbaren
Schadensrisiken
[Artikel 3, Ziffer 5 CSM-VO]
»Sicherheit«: Freiheit von unvertretbaren Risiken für die Gesundheit
des Menschen oder für die Umwelt [prEN 50126-1, deutsche
Übersetzung der DKE]
Einführg. CSM-VO, Version 1.0 Folie 21

Artikel der CSM-VO
zu Artikel 4 (cont.)
Signifikanz, Vorschlag aus Forschungsprojekt NeGSt, AP 2100, AG 2
Signifikanzbewertung von Änderungen an technischen Systemen auf
Grundlage Ausfallfolgen-Unsicherheits-Matrix AUM (Ref. [1], Folie 51).
Basiert auf ähnlichem, von der DB angewendetem Verfahren.
Basis ist die Einstufung der geplanten Änderung bzgl. ihrer
Ausfallfolgen
Innovation
Komplexität
Umkehrbarkeit
Überwachbarkeit
Jedem Parameter ist ein Wert von 0 - 4 zuzuordnen.
Die AUM-Excel-Tabelle liefert eine eindeutige Aussage signifikant / nicht
signifikant.
Das Verfahren lässt sich relativ einfach anwenden, erfordert jedoch
Erfahrung bei der Einstufung obiger Parameter.
Einführg. CSM-VO, Version 1.0 Folie 22

AUM-Verfahren (1)
Komplexität
+
Innovation
Umkehrbarkeit
+
Überwachung
Grün
Rot
in jedem Fall nicht signifikant
in jedem Fall signifikant
z.B. nach SIL
Gelb
Zusätzlich die Kriterien der Umkehrbarkeit und Überwachung zur abschließenden
Beurteilung heranziehen, in 2 Ausprägungen (gegeben/nicht gegeben)
Einführg. CSM-VO, Version 1.0 Folie 23

AUM-Verfahren (2)
Ausfallfolgen
der Änderung
SIL 4 Katastrophal 4 Punkte
SIL 3 Kritisch 3 Punkte
SIL 2 Marginal 2 Punkt
SIL 1 Unbedeutend 1 Punkt
Innovation der
Änderung
Komplexität
der Änderung
Der Vorschlagende hat keine Erfahrung mit
Technik bzw. Prozess zur Durchführung der
Änderung
Der Vorschlagende hat in einzelnen Aspekten
keine Erfahrung mit Technik bzw. Prozess zur
Durchführung der Änderung
Der Vorschlagende hat Erfahrung mit Technik
bzw. Prozess zur Durchführung der Änderung,
oder es gibt spezielle Regelwerke für die
Durchführung der Änderung
Die Änderung bezieht sich auf mehrere
Systeme mit vielen Schnittstellen und vielen
Abhängigkeiten zu anderen Systemen
Die Änderung bezieht sich auf ein einzelnes
System mit wenigen Schnittstellen und es gibt
wenige Abhängigkeiten zu anderen Systemen
2 Punkte
1 Punkt
0 Punkte
1 Punkt
0 Punkte
Unsicherheit der Folgenabschätzung
Einführg. CSM-VO, Version 1.0 Folie 24

AUM-Verfahren (3)
Überwachbarkeit
der
Änderung
Umkehrbarkeit
der Änderung
Die Erfüllung sicherheitsrelevanter Eigenschaften
der Änderung ist mit bewährten Prozessen bzw.
Methoden der Qualitätssicherung möglich
Zur Überwachung müssen Prozesse oder
Methoden der Qualitätssicherung neu geschaffen
werden oder es sind Teilaspekte der Änderung
nicht überwachbar
Gegeben, z. B. wenn ein Vorzustand wieder
hergestellt werden kann oder es eine
angemessene betriebliche Rückfallebene gibt
Nicht gegeben, z. B. wenn ein neues System
eingesetzt wird, ohne das der Betrieb nicht
durchgeführt werden kann
0 Punkte
1 Punkt
0 Punkte
1 Punkt
Gesamtbewertung 6 oder mehr Punkte Änderung signifikant
Weniger als 6 Punkte
Änderung nicht
signifikant
Einführg. CSM-VO, Version 1.0 Folie 25

AUM-Verfahren (4), Anwendungsbeispiele
Änderungen an technischen Systemen
Signifikanzbew ertung
Technik Art der Änderung
LH-Änderung
RA-Änderung *)
Ausfallfolgen
Innovation
Komplexität
Umkehrbahrkeit
Überwachung
Summe
Signifikanz
1 ESTW Fehlerbehebung nein nein 4 0 0 0 0 4 NEIN
2 geänderte Technik nein nein 4 2 0 0 0 6 JA
3 geänderte Funktion ja nein 4 0 1 0 0 5 NEIN
4 geänderte Funktion ja ja 4 2 1 0 0 7 JA
5 neue Funktion ja ja 4 2 0 0 0 6 JA
6 BÜSA Fehlerbehebung nein nein 3 0 0 0 0 3 NEIN
7 geänderte Funktion ja nein 3 0 1 0 0 4 NEIN
8 geänderte Funktion ja ja 3 2 1 0 0 6 JA
9 neue Funktion ja ja 3 2 0 0 0 5 NEIN
10 Rangiertechnik neue Funktion ja ja 2 2 0 0 0 4 NEIN
11 PZB neue Funktion ja ja 1 2 1 1 0 5 NEIN
12 BÜ-Fzg-Schleife geänderte Technik ja ja 3 2 0 0 0 5 NEIN
13 Signale geänderte Technik ja ja 4 2 0 0 0 6 JA
*) RA hier im Sinne von Risikoanalyse
Einführg. CSM-VO, Version 1.0 Folie 26

Artikel der CSM-VO
Risikomanagementverfahren (Artikel 5)
Das Risikomanagementverfahren wird vom Vorschlagenden angewandt.
Der Vorschlagende gewährleistet das Management der von Zulieferern
und Dienstleistern, einschließlich ihrer Subunternehmer, ausgehenden
Risiken. Vorschlagender kann Mitwirkung einfordern.
Unabhängige Bewertung (Artikel 6)
Bewertungsstelle bewertet Eignung sowohl der Anwendung des RMV als
auch seiner Ergebnisse. Bewertungsstelle muss die in Anhang II
aufgeführten Kriterien erfüllen.
Vorschlagender benennt Bewertungsstelle (es sei denn, es gibt eine
durch EU- oder nationale Rechtsvorschrift festgelegte Bewertungsstelle).
Bewertungsstelle erstellt Sicherheitsbewertungsbericht
Doppelarbeit zwischen Konformitätsbewertungen (z.B. durch Benannte
Stelle) und Unabhängiger Bewertungsstelle gilt es zu vermeiden.
In bestimmten Fällen kann die nationale Sicherheitsbehörde als
Bewertungsstelle agieren (wenn sie das anbietet).
9
Einführg. CSM-VO, Version 1.0 Folie 27

Artikel der CSM-VO
Zur Rolle des Vorschlagenden (Diskussion in Projekt NeGSt)
CSM-VO: Vorschlagender sollte i.a. der Betreiber sein (IB, EiU). Aber
abhängig von der Art der Änderung wird der Betreiber
Unterstützung durch den Hersteller erwarten;
in Grenzfällen wird die Entscheidung, wer Vorschlagender ist, mit
dem Betreiber abzustimmen sein.
Wann wird der Hersteller der Vorschlagende sein?
Im Zusammenhang mit der Beantragung der EG-Prüfung eines
strukturellen Teilsystems (ETCS)
Wann könnte der Hersteller der Vorschlagende sein?
Bei Erstellung / Änderung rein generischer Komponenten (z.B.
Rechnerplattformen)
Bei Erstellung / funktionaler Änderung von generischen Produkten,
die für mehrere Betreiber gedacht sind
Bei Fehlerbereinigung oder Upgrade auf neue HW/SW-Plattform
Die Verantwortung für die Rolle des Vorschlagenden sollte einer
Fachabteilung zugewiesen werden.
Einführg. CSM-VO, Version 1.0 Folie 28

Artikel der CSM-VO
Akkreditierung/Anerkennung der Bewertungsstelle (Artikel 7)
Die in Artikel 6 genannte Bewertungsstelle muss
a) entweder durch eine nationale Akkreditierungsstelle akkreditiert oder
b) durch eine Anerkennungsstelle anerkannt oder
c) die nationale Sicherheitsbehörde sein.
Akzeptieren der Akkreditierung/Anerkennung (Artikel 8)
Wenn ein Eisenbahnunternehmen oder ein Infrastrukturbetreiber durch
den Mitgliedstaat bereits als unabhängige Bewertungsstelle akkreditiert
oder anerkannt ist, so hat die nationale Sicherheitsbehörde dies bei der
Erteilung der Sicherheitsbescheinigung gemäß Verordnung (EU) Nr.
1158/2010 oder der Sicherheitsgenehmigung gemäß (EU) Nr. 1169/2010
zu akzeptieren (ohne erneutes Anlegen eigener Kriterien).
Wenn eine Instandhaltungsstelle durch den Mitgliedstaat als unabhängige
Bewertungsstelle bereits akkreditiert oder anerkannt ist, so hat die
Zertifizierungsstelle dies bei der Erteilung der Bescheinigung gemäß
Verordnung (EU) Nr. 445/2011 zu akzeptieren (ohne erneutes Anlegen
eigener Kriterien).
Einführg. CSM-VO, Version 1.0 Folie 29

Artikel der CSM-VO
Arten der Anerkennung der Bewertungsstelle (Artikel 9)
Folgende Arten der Anerkennung sind möglich:
Staatliche Anerkennung als Bewertungsstelle (Organisation, Teil der
Organisation oder natürliche Person).
Anerkennung durch die nationale Sicherheitsbehörde im Rahmen der
Bewertung und Überwachung des Sicherheitsmanagementssystems
eines Eisenbahnunternehmens oder Infrastrukturbetreibers.
Anerkennung durch die nationale Sicherheitsbehörde im Rahmen der
Bewertung und Überwachung des Instandhaltungssystems einer für die
Instandhaltung zuständigen Stelle (wenn nationale Sicherheitsbehörde
als Zertifizierungsstelle im Einklang mit EU-Verordnung Nr. 445/2011
(Zertifizierung für Instandhaltungsstellen von Güterwagen) agiert).
Anerkennung der Fähigkeit einer für die Instandhaltung zuständigen
Stelle, einer Organisation oder eines Teils davon oder einer natürlichen
Person, eine unabhängige Bewertung durchzuführen, durch eine vom
Mitgliedstaat benannte Anerkennungsstelle.
Einführg. CSM-VO, Version 1.0 Folie 30

Artikel der CSM-VO
Arten der Anerkennung der Bewertungsstelle (Artikel 9) (cont.)
Wenn der Mitgliedstaat die nationale Sicherheitsbehörde als
Bewertungsstelle anerkennt, muss die Funktion der nationalen
Sicherheitsbehörde als Bewertungsstelle von ihren sonstigen Funktionen
nachweisbar unabhängig sein.
Gültigkeit der Anerkennung (Artikel 10)
Die Gültigkeit der Anerkennung ist je nach Art der Anerkennung zeitlich
begrenzt.
Beispiel: Falls die nationale Sicherheitsbehörde als Bewertungsstelle
anerkannt wird, so gilt diese Anerkennung nur 5 Jahre.
Überwachung durch die Anerkennungsstelle (Artikel 11)
Anerkennende Stelle hat regelmäßig die Bewertungsstelle zu
überwachen, ob sie die Kriterien in Anhang II noch erfüllt
Einführg. CSM-VO, Version 1.0 Folie 31

Artikel der CSM-VO
Gelockerte Kriterien der Anerkennung … (Artikel 12)
Wenn die Risikobewertung nicht gegenseitig anerkannt werden muss,
benennt der Vorschlagende eine Bewertungsstelle, die zumindest die
Anforderungen des Anhangs II in Bezug auf Kompetenz, Unabhängigkeit
und Unparteilichkeit erfüllt.
Die sonstigen Anforderungen des Anhangs II Nummer 1 können im
Einvernehmen mit der nationalen Sicherheitsbehörde gelockert werden,
sofern dadurch keine Diskriminierung entsteht.
Einführg. CSM-VO, Version 1.0 Folie 32

Artikel der CSM-VO
Bereitstellung von Informationen für die Agentur (Artikel 13)
Akkreditierungsstelle(n) und Anerkennungsstelle(n) werden der ERA
mitgeteilt.
Ab 21.05.2015 werden auch die akkreditierten bzw. anerkannten
Bewertungsstellen der ERA mitgeteilt.
Unterstützung der Agentur bei der Akkreditierung oder Anerkennung
der Bewertungsstelle (Artikel 14)
ERA organisiert länderübergreifende Beurteilung von
Anerkennungsstellen.
ERA organisiert Schulungen zu dieser Verordnung für die
Akkreditierungs- und Anerkennungsstellen.
Einführg. CSM-VO, Version 1.0 Folie 33

Artikel der CSM-VO
Sicherheitsbewertungsberichte (Artikel 15)
9
RMV-Nachweisbericht *)
s. Artikel 16
Erklärung
Vorschlagender
Details s. Anhang III
Bewertungsstelle
Sicherheitsbewertungsbericht
Verantwortung des Vorschlagenden ist es, zu bestimmen, wie die
Schlussfolgerungen des Sicherheitsbewertungsberichts bei der
Bescheinigung der Sicherheit zu berücksichtigen sind. Ist der Vorschlagende
mit einem Teil des Sicherheitsbewertungsberichts nicht einverstanden,
begründet und belegt er diesen Standpunkt.
Bei Inbetriebnahme-Genehmigung von strukturellen Teilsystemen und
Fahrzeugen wird die Erklärung des Vorschlagenden von der nationalen
Sicherheitsbehörde berücksichtigt.
*) Arbeitstitel für diese Schulung; CSM-VO selbst nennt keinen expliziten Dokumentnamen
Einführg. CSM-VO, Version 1.0 Folie 34

Artikel der CSM-VO
Sicherheitsbewertungsberichte (Artikel 15) (cont.)
Nationale Sicherheitsbehörde kann keine zusätzlichen Prüfungen oder
Risikoanalysen verlangen, es sei denn, sie kann nachweisen, dass ein
erhebliches Sicherheitsrisiko besteht.
Bei der Ausstellung einer Konformitätsbescheinigung akzeptiert die
Benannte Stelle die Erklärung des Vorschlagenden, es sei denn, sie kann
erhebliches Sicherheitsrisiko nachweisen
Sicherheitsbewertungsbericht kann nicht von einer anderen Bewertungsstelle
in Frage gestellt werden, wenn
Einsatz unter denselben funktionalen, betrieblichen und
Umweltbedingungen
Gleichwertige Risikoakzeptanzkriterien.
Erklärung des Vorschlagenden (Artikel 16)
Auf der Grundlage a) der Ergebnisse der Anwendung dieser Verordnung
sowie b) des von der Bewertungsstelle vorgelegten Sicherheitsberichts fasst
der Vorschlagende eine schriftliche Erklärung ab, mit der bestätigt wird, dass
alle ermittelten Gefährdungen und damit verbundenen Risiken auf einem
vertretbaren Niveau gehalten werden.
Einführg. CSM-VO, Version 1.0 Folie 35

Artikel der CSM-VO
Risikomanagement und Prüfungen (Artikel 17)
Regelmäßige Überprüfung der Anwendung der CSM-VO durch
Eisenbahnunternehmen / Infrastrukturbetreiber / Instandhalter
Nationale Sicherheitsbehörde
Rückmeldungen und technischer Fortschritt (Artikel 18)
Infrastrukturbetreiber / Eisenbahnunternehmen / Instandhalter und
nationale Sicherheitsbehörden berichten jährlich kurz über Erfahrungen
mit Anwendung der CSM-VO an die ERA
ERA überwacht die Anwendung, nimmt Rückmeldungen entgegen, sorgt
für Verbesserungen und berichtet der Kommission
Aufhebung (Artikel 19)
Die Verordnung (EG) Nr. 352/2009 wird mit Wirkung vom 21. Mai 2015
aufgehoben.
Inkrafttreten und Geltung (Artikel 20)
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im
Amtsblatt der Europäischen Union in Kraft (also 23.05.2013).
Sie gilt ab dem 21. Mai 2015.
Einführg. CSM-VO, Version 1.0 Folie 36

37 /
Artikel der CSM-VO
zu Artikel 19 und 20
2009 07/2012 05/2013
05/2015
CSM-RA 352/2009
teilweise gültig
allgemein gültig
Ersterstellung
CSM-RA 402/2013
in Kraft gesetzt (anwendbar)
allgemein gültig
heute
Einführg. CSM-VO, Version 1.0 Folie 37

Aufbau der CSM-VO (1)
Präambel (Punkte 1-21)
Artikel
Erläuterung, welche EG-Richtlinien die CSM-VO aus welchen Gründen fordern
Darstellung der Grundprinzipien der CSM-VO
Artikel 1: Gegenstand
Artikel 2: Anwendungsbereich
Artikel 3: Begriffsbestimmungen
Artikel 4: Signifikante Änderungen
Artikel 5: Risikomanagementverfahren
Artikel 6: Unabhängige Bewertung
Artikel 7: Akkreditierung/Anerkennung der Bewertungsstelle
Artikel 8: Akzeptieren der Akkreditierung/Anerkennung
Artikel 9: Arten der Anerkennung der Bewertungsstelle
Artikel 10: Gültigkeit der Anerkennung
Artikel 11: Überwachung durch die Anerkennungsstelle
Artikel 12: Gelockerte Kriterien bei nicht notwendiger gegenseitiger Anerkennung
einer signifikanten Änderung
Artikel 13: Bereitstellung von Informationen für die Agentur
Artikel 14: Unterstützung der Agentur bei der Akkreditierung oder Anerkennung der
Bewertungsstelle
Einführg. CSM-VO, Version 1.0 Folie 38

Aufbau der CSM-VO (2)
Artikel (cont.)
Artikel 15: Sicherheitsbewertungsberichte
Artikel 16: Erklärung des Vorschlagenden
Artikel 17: Risikomanagement und Überprüfungen
Artikel 18: Rückmeldungen und technischer Fortschritt
Artikel 19: Aufhebung
Artikel 20: Inkrafttreten und Geltung
Anhang I: Beschreibung des Risikomanagementverfahrens
1. Allgemeine Grundsätze für das Risikomanagementverfahren
2. Beschreibung des Risikobewertungsverfahrens
3. Nachweis der Erfüllung der Sicherheitsanforderungen
4. Gefährdungsmanagement
5. Nachweise für die Anwendung des Risikomanagementverfahrens
Anlage: Risikomanagementverfahren und unabhängige Bewertung
(Flussdiagramm)
Anhang II: Kriterien für die Akkreditierung oder Anerkennung der
Bewertungsstelle
Anhang III: Sicherheitsbewertungsbericht der Bewertungsstelle
Einführg. CSM-VO, Version 1.0 Folie 39

Anhang I
1. Allgemeine Grundsätze für das RMV: Schnittstellenmanagement
Pflicht aller Akteure, hinsichtlich des Managements gemeinsamer Risiken an
den Schnittstellen zusammenzuarbeiten.
Aufgabe der Koordination liegt beim Vorschlagenden. Er muss sicherstellen,
dass das Risikomanagement das System selbst wie auch die Integration des
Systems in das Eisenbahnsystem als Ganzes abdeckt.
2. Beschreibung des Risikobewertungsverfahrens
Systemdefinition
2
Zweckbestimmung des Systems (vorgesehene Verwendung);
Funktionen und Bestandteile des Systems (einschließlich
menschlicher, technischer und betrieblicher Komponenten);
Systemgrenzen, einschließlich anderer, interagierender Systeme
Systemumgebung (Energie- und Wärmefluss, Vibrationen, EMV,
betriebliche Verwendung);
physische Schnittstellen und funktionale Schnittstellen
bestehende Sicherheitsmaßnahmen
Annahmen, die die Grenzen der Risikobewertung bestimmen.
Einführg. CSM-VO, Version 1.0 Folie 40

Anhang I
3
2. Beschreibung des Risikobewertungsverfahrens (cont.)
Gefährdungsermittlung
Aufgabe des Vorschlagenden unter Rückgriff auf qualifiziertes
Team. Erfassen der Gefährdungen im Gefährdungsprotokoll.
Konzentration der Risikobewertung auf die wichtigsten Risiken.
Allgemein vertretbare Risiken müssen nicht weiter analysiert
werden.
Risiken sind als allgemein vertretbar einzustufen, wenn das Risiko
so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen
nicht angemessen wäre.
Einführg. CSM-VO, Version 1.0 Folie 41

Allgemein vertretbare Risiken ja/nein, Beispiele
Änderung Gefährdung Häufigkeit
Schwere
Denkbare
Gegenmaßnahme
Risiko allg.
vertretbar?
Bau einer
NBS mit 300
km/h
Zug kollidiert
mit Tier im
Gleis
gelegentlich
gering
Einzäunung der
Strecke (teuer)
ja
BÜ: Einführg.
technische
Gefahrraumerkennung
für
Straßen-Fzg.
eingeschlossene
Person
nicht erkannt
gelegentlich
gering
(da Drehkreuz)
Gefahrraumerkennung
muss
auch Personen
erkennen
(schwierig)
ja
Einführung
Achszähler
gleichzeitiges
Abreißen beider
Zählpunkte
selten
katastrophal
technische
Erkennung des
Abreißens
(möglich)
nein
Bau einer
City-Monorailbahn
Kollision
Schiene-
Hubschrauber
sehr selten erheblich hubschrauberfeste
Fahrbahn
(teuer)
ja
Einführg. CSM-VO, Version 1.0 Folie 42

Allgemein vertretbare Risiken
(Arbeitsergebnis aus Projekt NeGSt)
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 30%,
oder
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 10%,
oder
Reduktion der
Leistungsfähigkeit
oder Verfügbarkeit
> 3%,
oder
Sonstiges
Aufwand > 30%
der Gesamtkosten
Aufwand > 10%
der Gesamtkosten
Aufwand > 3%
der Gesamtkosten
Risikobeitrag

Anhang I (cont.)
2. Beschreibung des Risikobewertungsverfahrens (cont.)
Wahl des Grundsatzes der Risikoakzeptanz
Zugrundelegung von Regelwerken 4
Bei Gefährdungen, die durch Regelwerk kontrollierbar sind,
kann das Risiko ohne weitere Analyse als vertretbar angesehen
werden.
Anforderungen an Regelwerke
Im Eisenbahnsektor allg. anerkannt, andernfalls Begründung und
Akzeptanz durch Bewertungsstelle
Für Beherrschung der betreffenden Gefährdung tatsächlich relevant
Für alle Akteure öffentlich zugänglich (zukünftig nur noch „auf
Nachfrage der Bewertungsstelle zugänglich“)
Bei ETCS-Komponenten kann TSI als Regelwerk angesehen
werden.
Heranziehen eines Referenzsystems 5
Anforderungen an ein Referenzsystem
Praxisbewährung zeigt akzeptables Sicherheitsniveau
Ähnlichkeit der Funktionen / Schnittstellen / Einsatzbedingungen
Einführg. CSM-VO, Version 1.0 Folie 44

Anhang I (cont.)
2. Beschreibung des Risikobewertungsverfahrens (cont.)
Heranziehen eines Referenzsystems (cont.)
Für das zu bewertende System gilt dann:
Risiken des Referenzsystems werden als vertretbar angesehen.
Sicherheitsanforderungen können aus Sicherheitsanalysen des
Referenzsystems abgeleitet werden (z.B. THR-Bestimmung).
Explizite Risikoabschätzung 6
Risikoakzeptanzkriterien abzuleiten aus gemeinschaftlichen
Rechtsvorschriften oder notifizierten nationalen Vorschriften.
Bei technischen Systemen, bei denen im Falle eines
funktionellen Ausfalls von unmittelbaren katastrophalen Folgen
auszugehen ist, muss das damit verbundene Risiko nicht
weiter eingedämmt werden, wenn die Ausfallrate pro
Betriebsstunde kleiner oder gleich 10 -9 ist.
Generell: Die Bewertungsstelle sieht davon ab, dem Vorschlagenden
Auflagen zu machen, welchen der 3 Grundsätze der Risikoakzeptanz
er anwendet.
Einführg. CSM-VO, Version 1.0 Folie 45

Anhang I (cont.)
3. Nachweis der Sicherheitsanforderungen
Erfolgt unter Aufsicht des Vorschlagenden.
Teilnachweise von jedem der mitverantwortlichen Akteure.
Nachweis selbst und gewählte Vorgehensweise werden einer
unabhängigen Bewertung durch eine Bewertungsstelle unterzogen, die
dann die Sicherheit der Änderung bescheinigt.
4. Gefährdungsmanagement
Führen des Gefährdungsprotokolls und Kontrolle der daraus abzuleitenden
Aktivitäten.
Aufgabe des Vorschlagenden.
8
7
Einführg. CSM-VO, Version 1.0 Folie 46

Anhang I (cont.)
5. Nachweise für die Anwendung des Risikomanagementverfahrens
RMV ist vom Vorschlagenden zu dokumentieren. Mindestinhalt
Organisation, Angaben zu den beteiligten Experten
Ergebnisse der verschiedenen Phasen der Risikobewertung
Auflistung aller Sicherheitsanforderungen.
Nachweis der Erfüllung der Sicherheitsanforderungen
alle für die Integration, den Betrieb oder die Instandhaltung eines
Systems relevanten Annahmen, die im Zuge der Systemdefinition
und -entwurf und der Risikobewertung gemacht wurden
Die Bewertungsstelle hält ihre Schlussfolgerungen in einem
Sicherheitsbewertungsbericht fest.
Hinweis: Auch die Beurteilung, dass eine Änderung nicht sicherheitsrelevant oder nicht
signifikant ist, ist angemessen zu dokumentieren.
Einführg. CSM-VO, Version 1.0 Folie 47

Anhang II
Kriterien für die Akkreditierung oder Anerkennung der 9
Bewertungsstelle
Erfüllung aller Anforderungen von ISO/IEC 17020:2012
Spezielle Kompetenzen
Kenntnisse und Erfahrungen auf dem Gebiet der
Sicherheitsanalyse und der einschlägigen Normen
Kenntnis des von der Änderung betroffenen Teils des
Eisenbahnsystems
Anwendung von Sicherheits- und Qualitätsmanagementsystemen
Unabhängigkeit
Bewertungsstelle muss akkreditiert oder anerkannt sein.
Die Bewertungsstelle wird für die Bewertung der generellen Konsistenz
des Risikomanagements und der sicheren Integration des Systems, das
der Bewertung unterzogen wird, in das Eisenbahnsystem als Ganzes
akkreditiert oder anerkannt.
Einführg. CSM-VO, Version 1.0 Folie 48

Änderungen der neuen Verordnung CSM-VO 402/2013
gegenüber 352/2009 (1)
Zusätzlich zu Eisenbahnunternehmen (EiU s) und Infrastrukturbetreibern
(IB s) jetzt auch Instandhaltungsstellen betroffen
U-Bahnen, Straßenbahnen usw. können weiterhin von der Verordnung
ausgenommen sein, wenn ein Mitgliedstaat diese Bahnen von der
Anwendung der Richtlinie für die Eisenbahnsicherheit (2004/49/EG)
ausgenommen hat.
Akkreditierung/Anerkennung wurde neu aufgenommen
Regelungen für Stellen, die die Eignung von Bewertungsstellen (im
Sinne der CSM-VO) feststellen sollen.
Alternativ zur Akkreditierung auch Anerkennung möglich
Der Vorschlagende soll/kann Position beziehen zu den Schlussfolgerungen
im Sicherheitsbewertungsbericht
Die Sicherheitsbehörde soll den Sicherheitsbewertungsbericht
akzeptieren, nicht nur „kann ihn berücksichtigen“
Die benannte Stelle soll in der Regel den Sicherheitsbewertungsbericht
akzeptieren, nicht nur „kann ihn berücksichtigen“
Einführg. CSM-VO, Version 1.0 Folie 49

50 /
Änderungen der neuen Verordnung CSM-VO 402/2013
gegenüber 352/2009 (2)
Begriffsänderungen
CSM-VO 352-2009 CSM-VO 402/2013
Anerkannte Regeln der Technik
Regelwerk
Sachverständiger
Weitgehend akzeptables Risiko
Experte
Allgemein vertretbares Risiko
Regelwerke müssen nicht mehr „öffentlich verfügbar“ sein. Neue
Fassung: “Sie müssen auf Nachfrage für Bewertungsstellen zugänglich
sein”.
Anhang II mit Kriterien, die Bewertungsstellen erfüllen müssen, wurde
wesentlich überarbeitet. Eine der spezifischen Forderungen ist nun, dass
Bewertungsstellen die Anforderungen der ISO/IEC 17020 erfüllen.
Zusätzlicher Anhang III mit Hinweisen zum Inhalt des Sicherheitsbewertungsberichts
der Bewertungsstelle.
Einführung in die CSM-VO - 05 (UFe) 07.08.2013
Einführg. CSM-VO, Version 1.0 Folie 50

Arbeitsergebnisse aus NeGSt AP 2100 AG 2
http://projekte.fir.de/negst/ -> Veröffentlichungen
[1] Signifikanzbewertung von Änderungen an technischen
Systemen auf Grundlage Ausfallfolgen-Unsicherheits-Matrix
[2] Signifikanz von Änderungen auf Grundlage relevanter
Regelwerke
[3] Allgemein vertretbares Risiko
[4] Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen
[5] Semi-quantitative Verfahren zur expliziten Risikoabschätzung
[6] Unabhängige Bewertung
[7] Einführung in die CSM-VO (dieser Foliensatz)
[8] Erfüllung der CSM-VO durch Anwendung der CENELEC-
Normen
Einführg. CSM-VO, Version 1.0 Folie 51

In den Folien verwendete Abkürzungen (1)
Abk.
Bedeutung
AG 2 Arbeitsgruppe 2
AUM
BMVIT
BÜ
BÜSA
CSM
DKE
EBA
EBC
EG
EiU
Ausfallfolgen-Unsicherheits-Matrix
Bundesministerium für Verkehr, Innovation und
Technologie (Österreich)
Bahnübergang
Bahnübergangssicherungsanlage
Common Safety Method
Deutsche Kommission Elektrotechnik
Eisenbahn-Bundesamt
Eisenbahn-CERT (Notifizierte Stelle in
Deutschland)
Europäische Gemeinschaft
Eisenbahnunternehmen
Einführg. CSM-VO, Version 1.0 Folie 52

In den Folien verwendete Abkürzungen (2)
Abk.
EMV
EN
ERA
ESTW
ETCS
EU
Fzg
IB
LH
NBS
NeGSt
ORR
Bedeutung
Elektromagnetische Verträglichkeit
Europäische Norm
European Railway Agency
Elektronisches Stellwerk
European Train Control System
Europäische Union
Fahrzeug
Infrastrukturbetreiber
Lastenheft
Neubaustrecke
Neue Generation Signaltechnik
(Forschungsprojekt)
Office of Rail Regulation
Einführg. CSM-VO, Version 1.0 Folie 53

In den Folien verwendete Abkürzungen (3)
Abk.
PZB
RA
RE
RMV
SIL
THR
TSI
VDB
VO
Bedeutung
Punktförmige Zugbeeinflussung
Risk Assessment
Risk Evaluation
Risikomanagementverfahren
Safety Integrity Level
Tolerable Hazard Rate
Technical Specifications for Interoperability
Verband der Bahnindustrie in Deutschland
Verordnung
Einführg. CSM-VO, Version 1.0 Folie 54

Zusammenfassung
Grundsätzliche Ähnlichkeit der CSM-VO-Abläufe mit dem Vorgehen nach
EN-Sicherheitsnormen. Beides ist gut kombinierbar. CSM-VO erfordert
jedoch auch spezielle Aktivitäten in begrenztem Umfang.
Gegenüber gewohnten Abläufen neue Akzente durch CSM-VO
Rolle des Vorschlagenden
Kriterium der Signifikanz ("Ausstiegskriterium")
Kriterium des allgemein vertretbaren Risikos
Nutzung bestehender Regelwerke erlaubt (Bestandsschutz
Alttechniken)
Schnittstellenmanagement bei mehreren Akteuren
Die CSM-VO muss vor allem vom Betreiber (IB, EiU) und
Instandhaltungsstellen angewendet werden, in einer ganzen Reihe von
Fällen ist auch der Hersteller betroffen.
Einführg. CSM-VO, Version 1.0 Folie 55

Ende der
Einführung in die
CSM-VO 402/2013
Einführg. CSM-VO, Version 1.0 Folie 56

Neue Generation Signaltechnik
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit
der Leit- und Sicherungstechnik
Teilbericht
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-
Normen
10.01.2013
Laufzeit: 01.09.2011 – 31.08.2013
Projektträger:
TÜV Rheinland Consulting GmbH

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Änderungsverfolgung
Datum Bearbeiter Version Inhalt
13.11.2012 Braband, Griebel (Siemens
V01
Erstellung
AG)
07.12.2012 Braband (Siemens AG) V02 Einarbeitung von Beiträgen von Hrn. Heinig und
Feucht (Thales) sowie Hrn. Griebel (Siemens AG)
10.01.2013 Braband (Siemens AG) V03 Abstimmung durch Walkthrough-Review
Seite 2 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Inhaltsverzeichnis
1 Einleitung ....................................................................................................................4
2 Vorgaben der CSM VO...................................................................................................4
3 Analyse........................................................................................................................ 7
3.1 Voraussetzungen ..................................................................................................... 7
3.2 Prozess-Analyse .......................................................................................................8
3.2.1 Unabhängige Bewertung...............................................................................................8
3.2.2 Gefährdungsmanagement ............................................................................................8
3.2.3 Vorläufige Systemdefinition und Signifikanzbewertung................................................8
3.2.4 Systemdefinition ...........................................................................................................8
3.2.5 Gefährdungsermittlung .................................................................................................8
3.2.6 Gefährdungseinstufung und Weitgehend Akzeptables Risiko .......................................8
3.2.7 Wahl des Grundsatzes der Risikoakzeptanz...................................................................8
3.2.8 Explizite Risikoabschätzung ..........................................................................................9
3.2.9 Risikoevaluierung ..........................................................................................................9
3.2.10 Sicherheitsanforderungen .............................................................................................9
3.2.11 Nachweis der Erfüllung der Sicherheitsanforderungen ..................................................9
4 Analyse der Dokumentation ..........................................................................................9
4.1 Sicherheitsbewertungsbericht ...................................................................................9
4.2 Gefährdungsprotokoll...............................................................................................9
4.3 Nachweis der Erfüllung der Sicherheitsanforderungen............................................... 10
5 Zusammenfassung...................................................................................................... 10
6 Anhang ...................................................................................................................... 12
6.1 Unabhängiger Vergleich der Ergebnisse ................................................................... 12
6.2 Vergleich zwischen CENELEC und Revisions-Entwurf CSM VO.................................... 13
6.3 Vergleich zwischen pr-EN 50126-x(2012) und Revisions-Entwurf CSM VO .................... 15
6.4 Referenzen ............................................................................................................ 16
6.5 Abkürzungen ......................................................................................................... 17
Seite 3 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Einleitung
1 Einleitung
Der Umgang mit Änderungen, die vollständig auf Grundlage von Regelwerken durchgeführt werden,
hat bei der Durchführung der EG Verordnung 352/2009 zu einigen Diskussionen geführt. Dies
liegt unter anderem an teilweise den Sinn der Verordnung verändernden Übersetzungen aus dem
englischen Original, aber auch an unklaren oder unvollständigen Formulierungen.
Insbesondere im Fall, dass das Regelwerk die CENELEC-Normen EN 50126 ff sind, war es eigentlich
Intention der ERA-Arbeitsgruppe, dass bei Einhaltung dieser Normenreihe automatisch auch die
Vorgaben der CSM-VO erfüllt sind. Allerdings wurde dies in der CSM VO nicht direkt hinterlegt, sondern
nur in den Guidance Dokumenten der ERA diskutiert. Außerdem kann es natürlich sein, dass
diese Absicht im komplizierten politischen Komitologie-Prozess der EU, der sich an die Erarbeitung
der technischen Empfehlung der ERA anschließt, verwässert oder verändert wurde.
Deswegen soll in diesem Dokument explizit analysiert werden, ob und ggf. unter welchen Randbedingungen
die Aussage „Mit der Einhaltung der CENELEC-Normen EN 50126 ff werden auch die
Anforderungen der CSM Vo erfüllt“ gültig ist. Mit der Bezeichnung EN 50126ff ist der derzeit gültige
Stand der CENELEC-Normen EN 50126, 50128 und 50129 gemeint. Der Revisionsentwurf wird zur
Unterscheidung als prEN 50126-x bezeichnet.
2 Vorgaben der CSM VO
Der grundsätzliche Prozess aus der CSM VO wird noch einmal dargestellt, um die Lesbarkeit zu erleichtern:
Seite 4 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Vorgaben der CSM VO
Abbildung 1: CSM Prozess
Aus rechtlichen Gründen verweist die CSM VO nicht direkt auf die CENELEC-Normen, aber in Kapitel
2 der Beispielsammlung zur CSM VO [CSM EX] wird explizit auf den Zusammenhang zur CSM VO
eingegangen:
Das Risikomanagementverfahren der CSM lässt sich als V-Darstellung abbilden, beginnend mit der
(vorläufigen) Systemdefinition und endend mit der Systemabnahme: Siehe Abbildung 4. Dieses ver-
Seite 5 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Vorgaben der CSM VO
einfachte V-Bild kann daraufhin auf die klassische V-Darstellung von Bild 10 der Norm EN 50 126-1
{Ref. 8} abgebildet werden. Um die Entsprechung des Risikomanagementverfahrens der CSM nach
Abbildung 1 zu verdeutlichen, wird in Abbildung 5 die V-Darstellung nach Bild 10 der CENELEC übernommen:
(a) die „vorläufige Systemdefinition“ der CSM nach Abbildung 1 entspricht der Phase 1 im V-
Bild der CENELEC, d. h. der „Konzept“-Systemdefinition (siehe BOX 1 in Abbildung 5);
(b) die „Risikobewertung“ der CSM nach Abbildung 1 umfasst die folgenden Phasen der V-
Darstellung der CENELEC (siehe BOX 2 in Abbildung 5):
(1) Phase 2 in Abbildung 5: „Systemdefinitionen und Anwendungsbedingungen“;
(2) Phase 3 in Abbildung 5: „Risikoanalyse“;
(3) Phase 4 in Abbildung 5: „Anforderungen an das System“;
(4) Phase 5 in Abbildung 5: „Zuteilung der Systemanforderungen“ zu den verschiedenen Teilsystemen
und Komponenten.
Abbildung 2: Vergleiche CSM Prozess und CENELEC V-Modell
Seite 6 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Analyse
Dieser Zusammenhang wird dann in weiteren Ausführungen und Abbildungen noch detailliert. Insbesondere
wird explizit festgestellt:
Diese Ausgaben der CSM-Risikobewertung entsprechen den sicherheitsbezogenen Outputs der Phase
4 in der V-Darstellung der CENELEC, d. h. der Spezifikation der Systemanforderungen in Abbildung
5. …
Das bedeutet, dass der „Nachweis der Übereinstimmung des Systems mit den Sicherheitsanforderungen“
in der CSM nicht nur die Aktivitäten der „Verifizierung und Validierung“ durch Tests und Simulation
beinhaltet. In der Praxis umfasst er alle Phasen „6 bis 10“ (siehe Liste oben und Abbildung 5) der
V-Darstellung der CENELEC. Diese beinhalten die Aktivitäten der Entwicklung/Konstruktion, Fertigung,
Installation/Montage, Verifizierung und Validierung sowie die verbundenen RAMS-Aktivitäten
und die Systemabnahme.
Zusammengefasst kommt die ERA zu folgendem Ergebnis:
Der Vergleich mit der klassischen V-Darstellung der CENELEC nach Abbildung 5 führt zu folgendem
Ergebnis:
(a) Die CSM behandelt die Phasen „1 bis 10“ und „13“ dieser V-Darstellung. Diese beinhalten
die für die Abnahme des zu bewertenden Systems erforderliche Reihe von Aktivitäten;
(b) Die CSM behandelt nicht die Phasen „11“, „12“ und „14“ des Systemlebenszyklus.
(1) Die Phasen „11“ und „12“ beziehen sich auf „Betrieb und Instandhaltung“ bzw.
„Kontrolle der Leistungsfähigkeit“ des Systems nach seiner Abnahme auf Grundlage
der CSM. Diese beiden Phasen werden durch das Sicherheitsmanagementsystem
(SMS) der EBU und FB erfasst – (Siehe BOX 4 in Abbildung 5). Falls jedoch im Zuge
des Betriebs, der Instandhaltung oder der Kontrolle der Leistungsfähigkeit eine Umund
Nachrüstung des Systems für notwendig erachtet wird (Phase 13 in Abbildung 5),
während dieses also bereits betrieben wird, wird die CSM auf die erforderlichen neuen
Änderungen gemäß Artikel 2 noch einmal angewendet. Deshalb gilt, wenn es sich um
eine signifikante Änderung handelt:
(i) Die CSM-Verfahren von Risikomanagement und Risikobewertung kommen
bei diesen neuen Änderungen zur Anwendung;
(ii) Eine Abnahme gemäß Artikel 6 ist für diese neuen Änderungen erforderlich;
(2) Auch die „Stilllegung und Entsorgung“ eines bereits im Betrieb befindlichen Systems
(Phase 14) könnte als signifikante Änderung betrachtet werden, so dass für
Phase 14 der Abbildung 5 die erneute Anwendung der CSM gemäß Artikel 2 in Betracht
käme.
Daraus ist eindeutig die Absicht belegbar, dass CSM VO und CENELEC-Normen vom Entwurf her
kompatibel sein sollen. In den folgenden Abschnitten wird geprüft, ob sich im Detail Abweichungen
davon erkennen lassen.
3 Analyse
3.1 Voraussetzungen
Die folgenden Annahmen bzw. Voraussetzungen werden der Analyse zugrunde gelegt:
1. Es werden nur Änderungen an technischen Systemen betrachtet
2. Die Änderungen erfolgen vollständig auf Grundlage der CENELEC-Normen EN 50126/28/29
3. Es wird der derzeit gültige Stand der CENELEC-Normen betrachtet. Eine Erweiterung der
Analyse auf die neuen prEN 50126-x Entwürfe erfolgt im Anhang
4. Falls der Hersteller Vorschlagender ist, wird ohne Beschränkung der Allgemeingültigkeit der
Analyse angenommen, dass die Änderung wie eine signifikante Änderung behandelt wird.
Damit kann auf die Betrachtung dieses Schrittes verzichtet werden und die Analyse verkürzt
werden.
Seite 7 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Analyse
3.2 Prozess-Analyse
Die Analyse erfolgt aus dem Blickwinkel der CENELEC-Normen, d. h. es wird angenommen, dass
diese erfüllt wurden und es wird argumentiert, wie die CSM VO dadurch ebenso erfüllt wird.
3.2.1 Unabhängige Bewertung
Die CENELEC-Normen machen keine Aussagen über Auswahlkriterien für Bewertungsstellen, sondern
stellen nur Anforderungen an die Unabhängigkeit und Kompetenz eines Gutachters als Ersteller
eines unabhängigen Sicherheitsgutachtens. Insofern gibt es keine Widersprüche, es müssen aber
ggf. zusätzliche Anforderungen bez. Anerkennung von Bewertungsstellen nach CSM VO berücksichtigt
werden. Liegt eine Akkreditierung nach DIN ISO 17020 vor, so sollten die Anforderungen an die
Bewertungsstellen erfüllt sein.
3.2.2 Gefährdungsmanagement
Die Aktivitäten sind inhaltlich in den CENELEC-Normen vorhanden und den entsprechenden Phasen
zugeordnet.
3.2.3 Vorläufige Systemdefinition und Signifikanzbewertung
Die vorläufige Systemdefinition entspricht der Konzeptphase (Phase 1 in CENELEC). Wenn jede
Änderung als signifikant behandelt wird, ist dieser Schritt nicht relevant und kann entfallen.
3.2.4 Systemdefinition
Dieser Schritt ist identisch mit Phase 2 nach CENELEC. Der Inhalt erscheint zunächst in zwei Punkten
detaillierter, und zwar wird in 2.2.6 gefordert
(f) bestehende Sicherheitsmaßnahmen und – nach mehrfacher Anwendung – Definition der im Rahmen
des Risikobewertungsverfahrens ermittelten Sicherheitsanforderungen;
(g) Annahmen, die die Grenzen der Risikobewertung bestimmen.
Bei erstmaliger Anwendung gibt es in der Regel keine bestehenden Sicherheitsmaßnahmen, d. h.
Forderung (f) ist nicht relevant. Bei einer Änderung (Phase 13 Umrüstung und Nachrüstung in CE-
NELEC) wird in die Phase zurückgesprungen, die relevant ist. Wird die Risikoanalyse nicht verändert,
so wird natürlich auf dem vorhandenen Sicherheitsnachweis bzw. den aus der Risikoanalyse abgeleiteten
Sicherheitszielen aufgebaut, aber es erscheint inhaltlich nicht sinnvoll, hier formal noch einmal
die Systemdefinition der Risikoanalyse anzupassen. Außerdem wird im Rahmen des Sicherheitsmanagements
nach EN 50129 für jede Änderung ein Sicherheitsplan erstellt, der wiederum eine Systemdefinition
enthält. Dort sollte Punkt (f) berücksichtigt werden und wird es inhaltlich auch.
Der Punkt (g) ist ein Teilaspekt der Annahmen, die der Risikoanalyse zugrunde liegen. Er wird nach
EN 50126 Abschnitt 4.6.2.1 im Rahmen der Risikoanalyse dokumentiert. Aus fachlicher Sicht ist das
ausreichend. Eine Notwendigkeit, dies bereits im Rahmen der Systemdefinition zu tun, ergibt sich
nicht.
3.2.5 Gefährdungsermittlung
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.
3.2.6 Gefährdungseinstufung und Weitgehend Akzeptables Risiko
Die CENELEC Normen benutzen das Konzept des Weitgehend Akzeptablen Risikos nicht. Wenn es
nicht benutzt wird, ist auch der Schritt der Gefährdungseinstufung oder Gefährdungsklassifikation
nicht zwingend notwendig und diese beiden Schritte können entfallen.
3.2.7 Wahl des Grundsatzes der Risikoakzeptanz
Die aktuell gültigen CENELEC-Normen benennen die verschiedenen Grundsätze nicht, sondern
kennen nur die Phase 3 „Risikoanalyse“, die dem Grundsatz der expliziten Risikoabschätzung nach
Seite 8 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Analyse der Dokumentation
CSM VO entspricht. Insofern stellt die CSM VO formal eine Obermenge bez. der CENELEC-Normen
dar, aber die CSM VO wird durch Wahl der Option „ähnliche Referenzsysteme“ oder „explizite Risikoabschätzung“
erfüllt.
Das Risikoakzeptanzkriterium GAMAB ist grundsätzlich sehr ähnlich zum Risikoakzeptanzkriterium
„Vergleich mit Referenzsystem“ nach CSM VO, d. h. diese Vorgehensweise wird auch bei Anwendung
der CENELEC-Normen praktiziert.
3.2.8 Ähnliche Referenzsysteme
Dieser Ansatz wurde auch schon nach den CENELEC-Normen praktiziert.
3.2.9 Explizite Risikoabschätzung
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.
3.2.10 Risikoevaluierung
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.
3.2.11 Sicherheitsanforderungen
Dieser Schritt entspricht, je nach Detaillierungsgrad, Phase 4 oder 5 nach CENELEC. Die Phase „Zuteilung
der Sicherheitsanforderungen“ könnte auch teilweise oder ganz im Schritt „Nachweis der
Erfüllung der Sicherheitsanforderungen“ enthalten sein, wenn es sich z. B. um ein Gesamtsystem
handelt.
3.2.12 Nachweis der Erfüllung der Sicherheitsanforderungen
Dieser Schritt umfasst die Phasen 6-11 sowie 13 nach CENELEC. Die CSM VO enthält diese Schritte
nur der Vollständigkeit halber, macht aber keine konkreten gesetzlichen Vorgaben, sondern überlässt
dieses den einschlägigen Normen.
4 Analyse der Dokumentation
Die CSM VO macht nur wenige Vorgaben bezüglich spezifischer Dokumentation. In den Beispielen
der ERA zur CSM VO wird auch bereits festgestellt, dass „Diese Ausgaben der CSM-
Risikobewertung … den sicherheitsbezogenen Outputs der Phase 4 in der V-Darstellung der CENE-
LEC, d. h. der Spezifikation der Systemanforderungen, [entsprechen] …“, d. h. die ERA hat hier
selbst schon Kompatibilität festgestellt.
Dies bedeutet, dass bez. der Dokumentation nur noch wenige, in der CSM VO direkt genannte Dokumente
zu betrachten sind.
4.1 Sicherheitsbewertungsbericht
Der Inhalt wird nicht detailliert vorgegeben. Das Gutachten nach CENELEC erfüllt die Vorgaben der
CSM VO, soweit dies die technischen Änderungen betrifft. Trotzdem ist es natürlich ratsam , im
Gutachten auf die spezifische Struktur des CSM-Prozesses einzugehen.
4.2 Gefährdungsprotokoll
Der Inhalt entspricht dem Gefährdungsprotokoll nach CENELEC, allerdings sind in der CSM VO zum
Teil explizitere Vorgaben als in den CENELEC-Normen gemacht, z. B. explizite Ausweisung der Verantwortlichkeit
für jede Gefährdung. Inhaltlich wird dies in der EN 50129 über die hierarchische Gliederung
der Gefährdungen, siehe zum Beispiel Bild 9 sowie Bild A.4 dort, sowie die Zuordnung in den
entsprechenden Sicherheitsplänen erreicht, aber es ist möglich, dass dies in den Gefährdungsprotokollen
nicht explizit ausgewiesen wird. Bei technischen Änderungen, die nur einen Hersteller betreffen,
ist die Verantwortung klar und muss nicht notwendigerweise explizit aufgeführt werden.
Seite 9 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Zusammenfassung
Weitere Abweichungen betreffen den Nachweis und die Herkunft des mit jeder Gefährdung verbundenen
Risikos (akzeptabel oder nicht) sowie die Angabe und Herkunft des gewählten Risikoakzeptanzgrundsatzes
und deren bestimmte Kriterien. Bei Änderungen an technischen Systemen ist diese
Angabe nicht erforderlich, wenn sich an der Risikoanalyse nichts ändert.
Diesee Aspekte sollten gegebenenfalls in den überarbeiten CENELEC-Normen berücksichtigt werden.
4.3 Nachweis der Erfüllung der Sicherheitsanforderungen
Der Inhalt wird nicht detailliert vorgegeben. Der Sicherheitsnachweis nach CENELEC erfüllt für Änderungen
an technischen Systemen die Vorgaben der CSM VO, da dieser explizit ein gleichnamiges
Kapitel enthält.
5 Zusammenfassung
Die Analyse belegt inhaltlich die Gültigkeit der Aussage „Mit der Einhaltung der CENELEC-Normen
EN 50126 ff werden auch die Anforderungen der CSM VO erfüllt“. Diese Intention ist auch klar in den
Leitlinien und Beispielen der ERA ersichtlich.
Aus formalen Gründen bzw. handwerklichen Unzulänglichkeiten bei der Abstimmung der CSM VO
gibt es einzelne Abweichungen zwischen den CENELEC-Normen und der CSM VO. Eine Anpassung
der Prozesse würde gegebenenfalls den Klärungsbedarf reduzieren. Es wird vorgeschlagen, die folgende
Tabelle als Interpretationshilfe in den eigenen Prozess zu kopieren und diesen Ergebnisbericht
als Erläuterung dazu zu referenzieren. Die Einträge in der Tabelle sind dabei als Vorschläge zu
verstehen, die je nach firmenspezifischen Gegebenheiten angepasst werden können:
Thema Abweichungen Anpassung
Vorschlagender Die CENELEC-Normen kennen den Begriff
nicht.
Diese Rolle wird in der Regel
durch den Betreiber wahrgenommen.
Falls der Hersteller
als Vorschlagender auftritt,
dann sollte dies im Prozess
berücksichtigt werden.
Signifikanzprüfung
Systemdefinition
Risikoeinschätzung
Risikobewertung
Kategorisierung der geplanten Änderung
Prüfung auf Sicherheitsrelevanz
Prüfung der Signifikanz
Auflistung vorhandener systeminterner
Sicherheitsmaßnahmen
Umfang des Verfahrens festlegen (Systemannahmen
und –grenzen)
Prüfung der Anteilseinhaltung und
Zulässigkeit der Gefährdungen nach dessen
Risikohöhen (akzeptabel oder nicht)
Festlegung und Anwendung eines
Risikoakzeptanzgrundsatzes für jede
Nur für Vorschlagende relevant.
Diese Rolle wird in der
Regel durch den Betreiber
wahrgenommen. Falls eine
Signifikanzbewertung notwendig
ist, kann dieses nach
[Ergebnisbericht_Signifikanz]
durchgeführt werden.
Formale Abweichung, inhaltlich
erfüllt siehe 3.2.4
Im Prozessschritt Systemdefinition
sollte eine Erläuterung
nach 3.2.4 aufgenommen
werden, bzw. ein Verweis,
wo die Inhalte (f) und
(g) zu finden sind.
Nicht relevant, siehe 3.2.6.
Nicht relevant, siehe 3.2.7.
Auswahl des Risikoakzep-
Seite 10 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Zusammenfassung
tanzkriteriums ist nach CE-
NELEC nicht vorgegeben.
Formale Abweichung, inhaltlich
erfüllt, soweit dies technische
Änderungen betrifft,
siehe 4.2
Der Aufbau des Gefährdungsprotokolls
sollte entweder
ergänzt werden, oder
es sollten Erläuterungen im
Sinne von 4.2 in die Prozessbeschreibung
aufgenommen
werden.
Gefährdungsmanagement
(Gefährdungsprotokoll)
Gefährdung
Definition von Risikoakzeptanzkriterien
Angabe des beteiligten Akteurs, der
für Gefährdung verantwortlich ist
Nachweis und Herkunft des mit jeder
Gefährdung verbundenen Risikos
(akzeptabel oder nicht)
Angabe und Herkunft des gewählten
Risikoakzeptanzgrundsatzes und
deren bestimmten Kriterium
Gefährdungsmanagement
(Schnittstellenprotokoll)
Nachweis der Erfüllung
der Sicherheitsanforderungen
Unabhängige Bewertung
bzw. Sicherheitsbewertungsbericht
Erstellung eines Schnittstellenprotokolls
(wenn erforderlich) mit folgenden Kriterien:
o Definition von Begriffen und
Meldungen
o Festlegung des Verantwortlichen für
Dokumentation
o Angaben zu allen Systemannahmen
o Angaben zur Gefährdung und deren
Risiken
o Angaben zu den ermittelten
Sicherheitsmaßnahmen durch die
verschiedenen Grundsätze
o Angaben zu den vorhandenen
Verwendungsbeschränkungen
o eigenen Erfahrungen beim Versuch
der Risikokontrolle
Dieser Nachweis ist Teil des Sicherheitsnachweises
von CENELEC, soweit dies technische
Änderungen betrifft.
Benennung einer Bewertungsstelle
Bewertung der Vergleiche und Prüfungen
sind in einem Sicherheitsbewertungsbericht
zu dokumentieren
Tabelle 1:Zusammenfassung der Ergebnisse
Die CSM VO definiert nur
informell eine „Meldung“, die
im Rahmen des Sicherheitsmanagements
frei definiert
werden kann. Ein geeigneter
Ort wäre z. B. der Sicherheitsplan,
der auch die Beziehungen
zu Unterauftragnehmern
etc. regeln sollte.
Die Dokumentation kann im
Sicherheitsmanagementbericht
erfolgen.
Nur für Vorschlagende relevant.
Diese Rolle wird in der
Regel durch den Betreiber
wahrgenommen.
Siehe 3.2.1. Das Gutachten
nach CENELEC erfüllt diese
Anforderungen, soweit dies
technische Änderungen betrifft.
Die Kriterien bez. unabhängiger
Bewertung sollte explizit
aus der CSM VO übernommen
werden, wenn nicht
nach DIN ISO 17020 vorgegangen
wird
.
Seite 11 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
6 Anhang
6.1 Unabhängiger Vergleich der Ergebnisse
Eine ähnliche Aufgabenstellung wurde parallel und unabhängig davon in einer Diplomarbeit von
Hrn. Heinig (TU Dresden) untersucht:
Die vorliegende Arbeit untersucht die qualitativen Risikomanagementprozesse für
Bahnanwendungen und deren Anforderungen zum Nachweis einer konformen Anwendung
der CSM-Verordnung und der EN 5012x. In diesem Zusammenhang wird die
Konformität der Vorgehensweisen und Anforderungen nach der CSM-Verordnung und
den EN 5012x analysiert.
Das angestrebte Ergebnis bestand allerdings in einer Synthese der CSM VO und der CENELEC-
Normen, d. h. einer Vorgehensweise, die beide Prozesse unter einem Dach vereint. In der vorliegenden
Analyse wird nur die Erfüllung der Anforderungen der CSM VO bei Vorgehen nach CENELEC
untersucht, d. h. eine wesentlich eingeschränktere Fragestellung. Allerdings eignen sich die Ergebnisse
der Diplomarbeit sehr gut als unabhängiger Check.
In Kapitel 6.2.3 werden die in der Diplomarbeit festgestellten Abweichungen zwischen CSM VO und
CENELEC rot hervorgehoben. Diese Abweichungen werden jetzt in Bezug auf Relevanz für unsere
Analyse untersucht. Es sei bemerkt, dass hier die Terminologie der Diplomarbeit verwendet wird
und nur die dort erkannten Abweichungen diskutiert werden. Eine weitere Überprüfung der Argumentation
bzw. Ergebnisse ist nicht erfolgt.
Thema Abweichungen Diskussion
Signifikanzprüfung
Kategorisierung der geplanten Änderung
Nicht relevant, siehe 3.2.3
Prüfung auf Sicherheitsrelevanz
Prüfung der Signifikanz
Systemdefinition
Auflistung vorhandener systeminterner
Sicherheitsmaßnahmen
Formale Abweichung, inhaltlich
erfüllt siehe 3.2.4
Umfang des Verfahrens festlegen (Systemannahmen
und –grenzen)
Risikoeinschätzung Prüfung der Anteilseinhaltung und
Zulässigkeit der Gefährdungen nach
dessen Risikohöhen (akzeptabel oder
nicht)
Nicht relevant, siehe 3.2.6.
Risikobewertung
Gefährdungsmanagement
(Gefährdungsprotokoll)
Gefährdungsmanagement
(Schnittstellenprotokoll)
Festlegung und Anwendung eines
Risikoakzeptanzgrundsatzes für jede
Gefährdung
Definition von Risikoakzeptanzkriterien
Angabe des beteiligten Akteurs, der
für Gefährdung verantwortlich ist
Nachweis und Herkunft des mit jeder
Gefährdung verbundenen Risikos
(akzeptabel oder nicht)
Angabe und Herkunft des gewählten
Risikoakzeptanzgrundsatzes und
deren bestimmten Kriterium
Erstellung eines Schnittstellenprotokolls
(wenn erforderlich) mit folgenden Kriterien:
Nicht relevant, siehe 3.2.7.
Auswahl des Risikoakzeptanzkriteriums
ist nach CE-
NELEC nicht vorgegeben.
Formale Abweichung, inhaltlich
erfüllt, siehe 4.2
Die CSM VO definiert nur
informell eine „Meldung“,
die im Rahmen des Sicher-
Seite 12 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
Unabhängige Bewertung
o Definition von Begriffen und
Meldungen
o Festlegung des Verantwortlichen für
Dokumentation
o Angaben zu allen Systemannahmen
o Angaben zur Gefährdung und deren
Risiken
o Angaben zu den ermittelten
Sicherheitsmaßnahmen durch die
verschiedenen Grundsätze
o Angaben zu den vorhandenen
Verwendungsbeschränkungen
o eigenen Erfahrungen beim Versuch
der Risikokontrolle
Benennung einer Bewertungsstelle
Bewertung der Vergleiche und Prüfungen
sind in einem Sicherheitsbewertungsbericht
zu dokumentieren
Tabelle 3: Vergleich der Abweichungen
6.2 Vergleich zwischen CENELEC und Revisions-Entwurf CSM VO
heitsmanagements frei
definiert werden kann. Ein
geeigneter Ort wäre z. B.
der Sicherheitsplan, der
auch die Beziehungen zu
Unterauftragnehmern etc.
regeln sollte.
Siehe 3.2.1. Das Gutachten
nach CENELEC erfüllt diese
Anforderungen.
Die folgenden Tabellen stellen zunächst die größeren und kleineren Änderungen zwischen der gültigen
CSM VO und dem Revisionsentwurf DV 36 vom 6.11.2012 dar. Dies war die Version, die in RISC
verteilt wurde.
Größere Änderungen der DV36 gegenüber CSM-VO (352/2009)
Maintenance-Stellen: Auf gleicher Ebene wie Eisenbahnunternehmen (EU´s)
und Fahrwegbetreiber (FB´s) tauchen jetzt zusätzlich Maintenance-Stellen auf,
die auch ein risk assessment betreiben müssen (mit Verweis auf Artikel 14 von
Richtlinie 2004/49/EC bzw. Hinweis auf spezielle Verordnung No 445/2011)
Erweiterter Scope: Im Scope der 352/2009 ist Pkt. 3 (Ausnahmen für Metros,
Trams etc.) gestrichen. D.h. die Verordnung ist dann auch für diese Art von
Bahnen gültig.
Akkreditierung/Recognition: Aufnahme eigener Regelungen für Stellen, die
die Eignung von Bewertungsstellen (im Sinne der CSM-VO) feststellen sollen.
Alternativ zur Akkreditierung wird auch die Option der Recognition einer Bewertungsstelle
behandelt.
Zusätzlicher Annex III mit Hinweisen zum Inhalt des Safety Assessment Reports
siehe DV36 bei
Präambel (4),
(12), viele andere
Stellen, an denen
bisher nur EU´s
bzw. FB´s aufgeführt
waren
Article 2
- Präambel (13),
(14), (15), (17)
- Definitions
(29), (30)
- Article 7
- Article 8
- Article 11
- Article 13
- Article 14
- Annex II
Annex III
Seite 13 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
Tabelle 4: Größere Änderungen im Revisionsentwurf
Weitere Änderungen der DV36 gegenüber CSM-VO (352/2009)
Neue/geänderte Definitionen
Meinungsbildung des Proposers zum Safety Assessment Report: Der Proposer
soll/kann Position beziehen zu den Conclusions im Safety Assessment Report
und ggfs. begründen, an welchen Stellen er nicht zustimmt und warum.
Berücksichtigung des Safety Assessment Report durch die NSA:
- 352/2009, Article 7 Pkt. 2: „... the safety assessment report shall be taken into
account by the national safety authority in its decision ...”.
- DV36: “... the safety assessment report shall be accepted by the national
safety authority in its decision ...”.
Berücksichtigung des Safety Assessment Report durch den NoBo:
siehe DV36 bei
Definitions
(11)
(25)
(27) – (30)
Article 15 Pkt. 1
Article 15, Pkt. 2
und 3
Article 15, Pkt. 4
- 352/2009, Article 7, Pkt. 3: „... the safety assessment report shall be taken
into account by the notified body”.
- DV36: “... the safety assessment report shall be accepted by the notified
body … unless…”
Außerkraftsetzen von 352/2009: 1 Jahr nach Inkraftsetzen von DV31 (bzw. der
dann offiziellen Version der CSM-VO)
Article 18
Datum, ab dem die Verordnung anzuwenden ist: 1 Jahr nach Inkraftsetzen. Article 19
Präzisierung der Bedingungen, dass ein code of practice als relevant zur Gefährdungsabdeckung
angesehen werden kann: “Successful application of a
code of practice for similar cases to manage changes and control effectively
the identified hazards of a system in the sense of this Regulation is sufficient
for it to be considered as relevant”
Codes of practice müssen nicht mehr „publicly available“ sein: In DV36 heißt
es jetzt: “Upon request, they must be available to assessment bodies for them
to either assess or, where relevant, mutually recognise…”
Präzisierung der inhaltlichen Anforderungen an Annex I, 5. „EVIDENCE
FROM THE APPLICATION OF THE RISK MANAGEMENT PROCESS“ .
Annex I, 2.3.2 (b)
Annex I, 2.3.2 (c)
Annex I, 5.
- Ergänzung “… of the appropriateness of its results are accessible.. “
- neu
- neu
Grafik im Appendix, Aussprünge ergänzt: „Justify and document“ bei
Aussprüngen aus „Significant Change?“ und „Broadly Acceptable?“
5.1
5.2 (c) und (d)
5.3
Appendix
Tabelle 5: Weitere Änderungen im Revisionsentwurf
Zusammenfassend kann man feststellen, dass durch die Änderungen im Revisionsentwurf keine
neuen Abweichungen im Vergleich zu Tabelle 1 hinzugekommen sind.
Seite 14 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
6.3 Vergleich zwischen prEN 50126-x(2012) und Revisions-Entwurf CSM VO
Thema Abweichungen zu „alter“ EN50126 Aussage bzgl. prEN50126-
x(2012) [prEN]
Vorschlagender
Die CENELEC-Normen kennen den
Begriff nicht.
Diese Rolle wird in der Regel
durch den Betreiber wahrgenommen.
Falls der Hersteller
als Vorschlagender
auftriitt, dann sollte dies im
Prozess berücksichtigt werden.
Signifikanzprüfung
Systemdefinition
Risikoeinschätzung
Risikobewertung
Gefährdungsmanagement
(Gefährdungsprotokoll)
Gefährdungsmanagement
(Schnittstellenprotokoll)
Kategorisierung der geplanten Änderung
Prüfung auf Sicherheitsrelevanz
Prüfung der Signifikanz
Auflistung vorhandener systeminterner
Sicherheitsmaßnahmen
Umfang des Verfahrens festlegen (Systemannahmen
und –grenzen)
Prüfung der Anteilseinhaltung und
Zulässigkeit der Gefährdungen nach
dessen Risikohöhen (akzeptabel oder
nicht)
Festlegung und Anwendung eines
Risikoakzeptanzgrundsatzes für jede
Gefährdung
Definition von Risikoakzeptanzkriterien
Angabe des beteiligten Akteurs, der
für Gefährdung verantwortlich ist
Nachweis und Herkunft des mit jeder
Gefährdung verbundenen Risikos
(akzeptabel oder nicht)
Angabe und Herkunft des gewählten
Risikoakzeptanzgrundsatzes und
deren bestimmten Kriterium
Erstellung eines Schnittstellenprotokolls
(wenn erforderlich) mit folgenden Kriterien:
o Definition von Begriffen und
Meldungen
o Festlegung des Verantwortlichen für
Dokumentation
Nicht relevant, wie in
Fehler! Verweisquelle
konnte nicht gefunden
werden. aufgezeigt
Systemannahmen und –
grenzen sowie deren
Schnittstellenbeschreibungen
werden in prEN gefordert
Die Auflistung systeminterner
Sicherheitsmaßnahmen
wird im Safety Case verlangt.
In prEN wird für jeder Gefährdung
entweder eine
quantitative Vorgabe (THR)
oder eine anderweitige Vorgabe,
auch qualitativ, ermittelt
und deren Zulässigkeit
ermittelt.
In prEN werden die drei in
der CSM VO stipulierten
Risikoakzeptanzkriterien
aufgeführt.
Die Grundsätze des Safetymanagements,
der Risikoanalyse
sowie der Hazard
Controlphase der prEN
Die Systemdefinition inkl.
der dortigen Schnittstellendefinitionen,
der Nachweis
des Safetymanagements
sowie die Erweiterung um
qualitative Ansätze erfüllen
die Vorgaben der CSM VO.
Zusätzlich werden die Ver-
Seite 15 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
Nachweis der Erfüllung
der Sicherheitsanforderungen
Unabhängige Bewertung
o Angaben zu allen Systemannahmen
o Angaben zur Gefährdung und deren
Risiken
o Angaben zu den ermittelten
Sicherheitsmaßnahmen durch die
verschiedenen Grundsätze
o Angaben zu den vorhandenen
Verwendungsbeschränkungen
o eigenen Erfahrungen beim Versuch
der Risikokontrolle
Benennung einer Bewertungsstelle
Bewertung der Vergleiche und Prüfungen
sind in einem Sicherheitsbewertungsbericht
zu dokumentieren
Tabelle 6 - Vergleich prEN50126-x mit CSM VO
wendungsbeschränkungen
sowie Sicherheitserprobungen
im SafetyCase geplant
und festgeschrieben.
Das Gutachten nach prEN
erfüllt diese Anforderungen.
Änderung der DV36 gegenüber CSM-VO (352/2009) Aussage bzgl.
prEN50126-x(2012)
[prEN]
Erweiterter Scope: Im Scope der 352/2009 ist Pkt. 3 (Ausnahmen für
Metros, Trams etc.) gestrichen. D.h. die Verordnung ist dann auch für
diese Art von Bahnen gültig.
Akkreditierung/Recognition: Aufnahme eigener Regelungen für Stellen,
die die Eignung von Bewertungsstellen (im Sinne der CSM-VO)
feststellen sollen. Alternativ zur Akkreditierung wird auch die Option
der Recognition einer Bewertungsstelle behandelt.
Präzisierung der Bedingungen, dass ein code of practice als relevant
zur Gefährdungsabdeckung angesehen werden kann: “Successful
application of a code of practice for similar cases to manage changes
and control effectively the identified hazards of a system in the sense
of this Regulation is sufficient for it to be considered as relevant”
Diese Arten von Bahnen
waren, sind und werden
Teil der prEN sein.
Es bleibt zu klären, ob
der Safety Case von den
Bewertungsstellen angenommen
werden.
Es ist zu bewerten, ob die
prEN eventuelle Verschärfungen
der Anforderungen
an einen code
of practice übernehmen
soll.
Tabelle 7 - Deltaanalyse zu Revisionsentwurf CSM VO
6.4 Referenzen
EN 50 126
CSM VO
CSM GUI
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen
Union, L 108/4, 29.4.2009
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festle-
Seite 16 von 17

AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Anhang
CSM EX
DV 36
Heinig
gung einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,
ERA/GUI/01-2008/SAF
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF
Revisionsentwurf vom 6.11.2012, Version EN01, RISC65
Heinig, Th.: Vorschlag für ein Verfahren zur Umsetzung der CSM-Verordnung in
einem Industrieunternehmen, Diplomarbeit, TU Dresden, 2012
6.5 Abkürzungen
Abk. Langform / Erläuterung
CSM Common Safety Method
LST Leit- und Sicherungstechnik
Seite 17 von 17