Teil 1 - FIR
Teil 1 - FIR
Teil 1 - FIR
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Schlussbericht<br />
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses<br />
Anhang 2: Dokumente zu AP 2000 – Optimierung des Zulassungs-prozesses<br />
<br />
<br />
<br />
<br />
Anhang 2.1: Ergebnisdokumente der Arbeitsgruppe 1 „Anerkannte Regeln der Technik“<br />
1. Positionspapier „Entwicklung von Anerkannten Regeln der Technik“<br />
2. Sammlung zu „Definition Betriebsbewährtheit“<br />
Anhang 2.2: <strong>Teil</strong>berichte der Arbeitsgruppe 2 „Effiziente Umsetzung CSM-VO“<br />
1. Signifikanzbewertung von Änderungen an technischen Systemen auf<br />
Grundlage Ausfallfolgen-Unsicherheits-Matrix<br />
2. Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
3. Allgemein vertretbares Risiko<br />
4. Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen”<br />
bei Anwendung der CSM-VO<br />
5. Semi-quantitative Verfahren zur expliziten Risikoabschätzung<br />
6. Unabhängige Bewertung<br />
7. Schulungsfolien zur Einführung in die "CSM-VO"<br />
8. Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang 2.3: Dokumentationsumfang bei der Zulassung gemäß CENELEC<br />
1. Vorarbeiten und Unterarbeitspaket 2200.3<br />
2. Beispielhafte Dokumentenlisten ('Best Practice')<br />
Anhang 2.4: <strong>Teil</strong>berichte der Arbeitsgruppe 5 „Umgang mit Komponenten nach IEC<br />
61508 (COTS) / Hybriden“<br />
1. Vergleich der Zulassungsbedingungen IEC 61508 – CENELEC<br />
2. Prozess der RAMS-Nachweisführung und unterstützende Werkzeuge<br />
3. Ansätze zur Optimierung toolgestützter Teststrategien<br />
4. Feinkonzept und Prototyp für eine RAMS-Diagnoseplattform<br />
5. Projektierung von COTS-Produkten
Schlussbericht<br />
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses<br />
Anhang 2.1:<br />
Ergebnisdokumente der Arbeitsgruppe 1 „Anerkannte Regeln<br />
der Technik“<br />
1. Positionspapier „Entwicklung von Anerkannten Regeln der Technik“<br />
2. Sammlung zu „Definition Betriebsbewährtheit“
Neue Generation Signaltechnik - NeGSt<br />
Positionspapier<br />
Entwicklung von Anerkannten Regeln der Technik<br />
NeGSt<br />
AP 2100, Arbeitsgruppe 1<br />
„Anerkannte Regeln der Technik“<br />
19. Juni 2013<br />
Datei: NeGSt_Positionspapier_AG1_V3-00_2013-07-30
Inhaltsverzeichnis<br />
1 Positionspapier 6<br />
1.1 Ziel 6<br />
1.2 Abgrenzung des Betrachtungsfokus 6<br />
1.3 Beteiligte Unternehmen 7<br />
2 Ausgangssituation 8<br />
2.1 Juristische Grundlagen 9<br />
2.1.1 EG-Verordnungen 9<br />
2.1.2 EG-Richtlinien 9<br />
2.2 Technische Grundlagen 10<br />
2.2.1 Normen 10<br />
2.2.2 Konzern-Richtlinien (Ril) DB AG 10<br />
2.2.3 Fachliteratur 10<br />
2.2.4 Literaturhinweise in Normen 12<br />
2.3 Qualitätsorientierte Prozesse in Unternehmen 12<br />
2.4 Sicherheitsmanagementsystem 12<br />
2.4.1 EG-Richtlinie 2004/49/EG 12<br />
2.4.2 Sicherheitsmanagementsystem bei EdB 13<br />
3 Anerkannte Regeln der Technik 14<br />
3.1 Rahmenbedingung 14<br />
3.2 Definitionen Anerkannte Regeln der Technik 14<br />
3.2.1 CSM RA Verordnung [1], [5] 14<br />
3.2.2 Eisenbahn- Bau- und Betriebsordnung [18] 15<br />
3.2.3 VV BAU-STE [19] 15<br />
3.2.4 Allgemein übliche Norm-Definition 15<br />
3.3 Definition Regelwerk 16<br />
3.4 Gesetzlich vorgegebene Ziele 16<br />
3.5 Identifizierte Methoden durch die Arbeitsgruppe 17<br />
3.5.1 Geeignete Methoden 17<br />
3.5.2 Ungeeignete Methoden 18<br />
3.6 Vorschläge für Methoden zur Etablierung Anerkannter Regeln der Technik 18<br />
3.6.1 Allgemein 18<br />
3.6.2 Etablierung über Schutzziele 18<br />
3.6.3 Betriebsbewährtheit und Analogie zu Grundnormen 18<br />
3.6.4 Etablierung von Regelwerken 19<br />
3.7 Zugang zu Normen und technischen Regeln 19<br />
2
4 Alttechniken 20<br />
4.1 Alttechnik im Produktauslauf 20<br />
4.2 Alttechnik im Produktlebenszyklus 21<br />
4.3 Bestandsschutz 21<br />
4.3.1 Definition 21<br />
4.3.2 Kriterien zur Beurteilung 21<br />
4.4 Lebensdauer von Produkten und Systemen 22<br />
4.4.1 Allgemein 22<br />
4.4.2 Fallbetrachtungen unverlierbare Eigenschaften 22<br />
4.4.3 Instandhaltung 23<br />
4.4.4 Betrachtung bei Änderungen 23<br />
5 Techniken im Einsatz – Regelwerkslandkarte 24<br />
5.1 Allgemein 24<br />
5.2 Regelwerkslandkarte 24<br />
5.3 Bewertungsgrundlagen 25<br />
5.4 Übersicht der Priorisierung in der Regelwerkslandkarte 26<br />
6 Schritte der Qualifizierung zu Anerkannten Regeln der Technik 29<br />
6.1 Allgemein 29<br />
6.2 Notifizierung 29<br />
6.3 Etablierung vom Lenkungskreis Infrastruktur 30<br />
6.3.1 Beweggründe 30<br />
6.3.2 Strukturvorschlag für Lenkungskreis Infrastruktur 30<br />
6.4 Ablauf im nicht geregelten nationalen Bereich 32<br />
7 Zusammenfassung 33<br />
7.1 Empfehlung der Arbeitsgruppe 33<br />
7.1.1 Zusammenfassung der Empfehlungen in den Kapiteln 1 bis 6 33<br />
7.1.2 Empfehlungen 34<br />
7.2 Stellungnahme durch EBA 34<br />
8 Anhang 35<br />
8.1 Literaturverzeichnis 35<br />
8.2 Glossar 36<br />
3
Abbildungsverzeichnis<br />
Abbildung 1 Regelwerkspyramide 8<br />
Abbildung 2 Zusammenhänge zwischen den Lenkungskreisen und LAEB 30<br />
Abbildung 3 Vorschlag der Struktur für Lenkungskreis Infrastruktur 31<br />
Abbildung 4 Vorgeschlagener Ablauf zur Anerkennung von Regeln der Technik 32<br />
Tabellenverzeichnis<br />
Tabelle 1 Gegenüberstellung Definition in CSM RA 14<br />
Tabelle 2 Priorisierung der Techniken für Stellwerke 26<br />
Tabelle 3 Priorisierung der Techniken bei Rangierstellwerken 26<br />
Tabelle 4 Priorisierung der Techniken bei Bahnübergangen 27<br />
Tabelle 5 Priorisierung der Techniken für die Zugbeeinflussung 27<br />
Tabelle 6 Priorisierung der Techniken für Blöcke 27<br />
Tabelle 7 Priorisierung der Techniken für Übertragung LST 27<br />
Tabelle 8 Priorisierung der Techniken für Fernsteuerung 27<br />
Tabelle 9 Priorisierung der Techniken für dispositiver Einrichtungen/TK 28<br />
Tabelle 10 Priorisierung der Außenanlagen 28<br />
Tabelle 11 Mitglieder und Tagungsfrequenz 30<br />
Änderungsvermerke:<br />
Version Durchgeführt von Änderung / Anmerkung<br />
V0-00g C. Hilgers, 2012-12-06 Formatierungsänderungen an Abbildungen sind<br />
nicht komplett umgesetzt, da zunächst weitere<br />
Rü abgewartet werden.<br />
Kommentierungen von Funkwerk: redaktionelle<br />
Anpassungen (Schreibfehler, etc.) und Konkretisierung<br />
zur ISO9001<br />
V0-00h C. Hilgers Unterlage als Grundlage Besprechung am 17.<br />
Januar 2013<br />
Neu eingefügte Kapitel: 2.5, 4 Ergänzung: Kapitel<br />
5.5 mit Tabelleninhalt Kommentare Frau<br />
Strahl eingefügt (11.Jan 2013)<br />
Kommentare Hr. Anders eingefügt (14. Jan 2013<br />
V1-00 Arbeitsgruppe Treffen vom<br />
17.01.2013<br />
Bearbeitung der eingegangenen Kommentare<br />
und Korrekturvorschläge<br />
Alle akzeptierten Änderungen sind im word Bearbeitungsmodus<br />
als akzeptiert übernommen<br />
worden. Änderungen während des Treffens sind<br />
im Änderungsmodus markiert.<br />
V1-01 C. Hilgers Einfügen der eingegangenen Kommentare und<br />
Korrekturvorschläge. In direkter Diskussion zwischen<br />
Hr. Hilgers eingefügt: Q-Themen: Hr.<br />
Nicol, Kap 4: Hr. Anders<br />
V1-02 C. Hilgers Einfügung eingegangener Kommentare und Korrekturvorschläge<br />
Fr. Strahl vom 22.03.2013<br />
V1-03 C. Hilgers Eingefügt sind die Kommentare von Hr. Zoworka<br />
und Hr. Nicol vom 08.04.2013, Firmenlogo<br />
4
V1-04<br />
Erarbeitung<br />
in AGR Runde<br />
Arbeitsgruppe Treffen vom<br />
11.04.2013<br />
Funkwerk aktualisiert.<br />
Kommentare sind in Kapitel 1 bis 3 diskutiert und<br />
freigegeben worden.<br />
Änderungen ab Kapitel 4 sind im Änderungsmodus<br />
enthalten. Konzept für Summary der Regelwerkslandkarte<br />
wird erarbeitet. Aufgaben im<br />
Kommentarmodus eingefügt.<br />
V1-05 C. Hilgers Anpassungen sowie Ergänzungen wie in Treffen<br />
der Arbeitsgruppe besprochen.<br />
V1-06 C. Hilgers Anpassungen und Ergänzungen der Kommentare<br />
zur Version 1-05, Eingang bis 24. April 2013<br />
sowie editorielle Bearbeitung<br />
V1-07 C. Hilgers Anpassungen der Rückmeldungen zu Version<br />
V1-06<br />
V1-08 C. Hilgers Aufnahme Verordnung EU Nr. 402/2013<br />
Editorielle Anpassungen<br />
V2-00 Hr. Anders, Hr. Hilgers;<br />
Hr. Nicol; Hr. Schwencke;<br />
Hr. Stalp; Hr. Wolthaus<br />
Arbeitsgruppe Treffen vom<br />
19.06.2013<br />
Inhaltlich abgestimmte Fassung und Abgleich mit<br />
der Regelwerkslandkarte<br />
V2-01 C. Hilgers Editorielle Anpassungen und Berücksichtigung<br />
der Anmerkungen von Hr. Schwenke<br />
V3-00 Arbeitsgruppe Final freigegeben<br />
5
1 Positionspapier<br />
1.1 Ziel<br />
Mobilität und Verkehr sind zentrale Bestandteile unserer Wirtschafts- und Gesellschaftsordnung.<br />
Sie beeinflussen entscheidend die Lebensqualität sowie die Leistungs- und Wettbewerbsfähigkeit<br />
der Wirtschaft. Im Fokus des vom BMWi geförderten Projekts NeGSt (Neue Generation Signaltechnik)<br />
steht der Schienenverkehr. Er wird als besonders umweltfreundlich eingestuft und spielt<br />
eine entscheidende Rolle, um zukünftig die Verlagerung des Verkehrs von der Straße auf andere<br />
Verkehrsträger zu stärken. Eine erfolgreiche Verlagerung auf die Schiene setzt jedoch eine leistungsfähige,<br />
sichere und zuverlässige Eisenbahninfrastruktur voraus. Dies gilt insbesondere für<br />
die Eisenbahn-Leit- und -Sicherungstechnik (LST), die sich einer Vielzahl an wirtschaftlichen und<br />
technischen Herausforderungen gegenüber sieht.<br />
Ziel des Projektes NeGSt ist es, für drängende Herausforderungen, die für den gesamten deutschen<br />
Sektor von Bedeutung sind, Lösungen zu entwickeln, die zur Sicherung der Zukunftsfähigkeit<br />
der LST beitragen und somit Mobilität und Verkehr nachhaltig attraktiver und wettbewerbsfähiger<br />
gestalten.<br />
Das Projekt NeGSt ist ein Forschungsprojekt, das durch das BMWi gefördert wird. Im Rahmen<br />
des Projekts NeGSt ist u.a. die Arbeitsgruppe „Anerkannte Regeln der Technik“ eingerichtet worden<br />
mit dem Ziel, dieses Thema umfassend zu beleuchten. Im nationalen und europäischen Kontext<br />
ist hier ein Handlungsbedarf durch die beteiligten Akteure identifiziert worden.<br />
Mit diesem Positionspapier stellt die Arbeitsgruppe den Sachverhalt dar und unterbreitet Vorschläge<br />
zur Umsetzung.<br />
Der Fokus liegt auf<br />
<br />
<br />
<br />
der Identifikation relevanter Regelwerke und<br />
der Identifikation der Spezifikationen und Dokumentationen von Technologien und<br />
Verfahren der einzelnen Hersteller<br />
der Darstellung eines Prozesses zur Erlangung Anerkannter Regeln der Technik, für die<br />
im Bereich der Eisenbahnen des Bundes (EdB) derzeit eingesetzte Leit- und<br />
Sicherungstechnik<br />
mit der Zielstellung, diese zu „Anerkannten Regeln der Technik“ weiterzuentwickeln.<br />
1.2 Abgrenzung des Betrachtungsfokus<br />
Das Positionspapier beschränkt sich in der Betrachtung auf den Bereich der Leit- und Sicherungstechnik.<br />
Der Betrachtungsfokus begrenzt sich jedoch nicht nur auf die Zulassungsprozesse,<br />
sondern bezieht auch den Bereich Bau und Betrieb ein.<br />
6
1.3 Beteiligte Unternehmen<br />
Dieses Positionspapier ist das Ergebnis der intensiven Diskussion zwischen Unternehmen im Eisenbahnsektor,<br />
der DB Netz AG als Betreiber von Infrastruktureinrichtungen sowie Forschungseinrichtungen.<br />
Liste der beteiligten Projektpartner:<br />
Hersteller<br />
<br />
<br />
<br />
<br />
<br />
<br />
Bombardier Transportation (Signal) Germany GmbH<br />
Funkwerk AG Traffic & Control Communication<br />
Pintsch Bamag Antriebs- und Verkehrstechnik GmbH<br />
Scheidt & Bachmann<br />
Siemens AG<br />
Thales Transportation Systems GmbH<br />
Betreiber von Infrastruktureinrichtungen<br />
<br />
DB Netz AG<br />
Forschungseinrichtungen<br />
<br />
<br />
Deutsches Zentrum für Luft- und Raumfahrt e.V. (DLR)<br />
RWTH Aachen<br />
7
2 Ausgangssituation<br />
Der Eisenbahnverkehr soll durch Anforderungen an die Interoperabilität europaweit erleichtert<br />
werden. Das Ziel wird von der europäischen Kommission durch EG-Richtlinien 1 und EG-<br />
Verordnungen zur Harmonisierung der Märkte (in diesem Fall Eisenbahnsektor) und Abbau von<br />
Handelshemmnissen im freien Warenhandel umgesetzt. Als Folge dessen ist auch zum Thema<br />
Sicherheit die EG-Verordnung Nr. 352/2009 [1] (CSM RA) 2 erlassen worden.<br />
Mit der Einführung von gemeinsamen Sicherheitsmethoden auf europäischer Ebene wird deutlich,<br />
dass sich die bisher angewendete Praxis nicht umfänglich mit dem Ansatz der CSM RA<br />
deckt. Die CSM RA fordert eine umfängliche Betrachtung der Gefährdungen bei technischen, betrieblichen<br />
und organisatorischen Änderungen im System Bahn. Der bisher in Deutschland übliche<br />
Ansatz „Nachweis gleicher Sicherheit“ deckt dies nur teilweise ab.<br />
Es ändert sich somit die Betrachtungsweise, jedoch nicht der Grundsatz, das System Bahn auf<br />
einem sehr hohen Sicherheitsniveau zu betreiben. Auf Grund der geänderten Betrachtungsweise<br />
nach CSM RA ist es notwendig, Verfahren und Techniken als Anerkannte Regeln der Technik im<br />
Sinne der EU-Verordnung zu etablieren. Besteht nicht die Möglichkeit, die Sicherheit über Anerkannte<br />
Regeln der Technik oder Referenzsysteme nachzuweisen, so erfordert CSM RA eine explizite<br />
Risikoanalyse.<br />
Bereits vor der Einführung von CSM RA wurden Anlagen der Leit- und Sicherungstechnik auf einem<br />
sehr hohen Sicherheitsniveau entwickelt und betrieben. Es ist das Ziel, die hierauf beruhenden<br />
Regeln und Techniken derart zu qualifizieren, dass sie im Rahmen von CSM RA weiterhin in<br />
Übereinstimmung mit den Grundregeln guter Ingenieurtätigkeit im Hinblick auf die Sicherheit zur<br />
Konstruktion und Betrieb eingesetzt werden können.<br />
europäisch<br />
EG-<br />
Verordnungen<br />
(unmittelbar<br />
wirksam)<br />
EG-Richtlinien<br />
(Umsetzung durch<br />
Mitgliedstaat erforderlich)<br />
Beispiel für EG-Verordnung:<br />
402/2013/EG (CSM RA)<br />
Beispiele für EG-Richtlinien:<br />
2004/49/EG (Sicherheits-RL)<br />
2008/57/EG (Interoperabilitäts-RL)<br />
2002/731/EG (TSI ZZS HS)<br />
2002/735/EG (TSI RST HS)<br />
2006/679/EG (TSI ZZS KV)<br />
national<br />
Nationale<br />
Gesetze<br />
Nationale<br />
Rechtsverordnungen<br />
Normen<br />
(Verwaltungs-) Vorschriften<br />
Beispiel für Nationales Gesetz:<br />
AEG, VwVfG<br />
Beispiele für Nationale Rechtsverordnung:<br />
TEIV, EBO, ESO<br />
Beispiele für Normen:<br />
ISO 9001, DIN EN 50126, DIN EN 61508<br />
Beispiele für (Verwaltungs-) Vorschriften:<br />
VV BAU-STE, VV IST, VV BAU, VV NTZ ÜGR 1<br />
unternehmensbezogen<br />
(Prozess-) Regelungen,<br />
Anweisungen, Mitteilungen,<br />
Vorschriften, Richtlinien<br />
Beispiele:<br />
Ril 301, Ril 408, Ril 819<br />
Abbildung 1 Regelwerkspyramide<br />
1 Seit 2010 werden die neu veröffentlichten Dokumente als EU-Richtlinie bzw. EU-Verordnung gekennzeichnet.<br />
2 Mit dem 15.Mai 2013 ist die Nachfolge-Verordnung EU Nr. 402/2013 [5] in Kraft getreten.<br />
8
Generell lassen sich die Regelwerke hierarchisch einordnen, wie es in Abbildung 1 dargestellt<br />
wird.<br />
Der Rahmen der Beurteilung von Regelwerken und technischen Dokumenten mit der Zielstellung,<br />
diese auf ihre Eignung als Anerkannte Regeln der Technik zu prüfen, wird durch unternehmensbezogene,<br />
nationale und europäische Vorgaben und Prozesse beschrieben.<br />
Unternehmensintern werden die Vorgaben des Gesetzgebers durch Prozesse und Regelungen<br />
abgebildet. Mit Hilfe von Anweisungen, Mitteilungen und Vorschriften werden diese Prozesse, die<br />
im Rahmen eines Qualitätsmanagementsystems in Kraft gesetzt werden, gesteuert. Im Bereich<br />
der DB AG werden diese zudem durch Richtlinien, kurz Ril, unterstützt.<br />
Die Vorgaben durch den Gesetzgeber beruhen auf nationalen und europäischen Regeln. Im Laufe<br />
der Entwicklung zu einem europäischen Eisenbahnsystem werden vielfach nationale Regelungen<br />
durch europäische Richtlinien und Verordnungen verändert bzw. erweitert.<br />
2.1 Juristische Grundlagen<br />
2.1.1 EG-Verordnungen<br />
Seit dem 1. Juli 2012 sind die Methoden zur Risikobewertung (CSM RA nach [1], ab 15.Mai 2013<br />
[5]) verbindlich in Deutschland eingeführt.<br />
Mit der CSM RA ergibt sich die Möglichkeit, durch die Anwendung von Anerkannten Regeln der<br />
Technik neue bzw. geänderte Techniken einer sicherheitlichen Bewertung im Rahmen der Risikobewertung<br />
zu unterziehen.<br />
Der Begriff „Code of Practice“ wird mit „Anerkannten Regeln der Technik“ 3 übersetzt und in der<br />
nationalen deutschen Umsetzung der EBO [17] abweichend zur CSM RA definiert. Dies bedeutet<br />
für die Akteure im Eisenbahnsektor in Deutschland bei der europäischen Umsetzung des Interoperabilitätsgedanken<br />
eine zusätzliche Hürde, die es zu beseitigen gilt.<br />
2.1.2 EG-Richtlinien<br />
EG-Richtlinien (RL) sind die Basis für das europäische Eisenbahnsystem, insbesondere mit Blick<br />
auf die Interoperabilität. Sie werden, jedoch nicht immer unmittelbar, in nationales Recht integriert.<br />
Auf Grund der Besonderheit im Bereich des Systems Bahn sind nationale Vorschriften, wie<br />
z.B. das Allgemeine Eisenbahngesetz (AEG), anzupassen.<br />
Um die Ziele einer EG-Richtlinie zu erfüllen, werden den europäischen Normungsgremien (CEN,<br />
CENELEC und ETSI) Mandate zur Erstellung von Normen erteilt. Anschließend werden diese als<br />
harmonisierte Normen gelistet und von der EU Kommission in dem sogenannten „Official Journal<br />
(OJ)“ [6] 4 veröffentlicht. Dies führt dazu, dass durch die Anwendung dieser Normen die Vermutungswirkung<br />
gilt, dass die Ziele einer EG-Richtlinie erfüllt sind. Ein gesonderter Nachweis der<br />
Übereinstimmung mit den Zielen ist in diesem Fall nicht mehr erforderlich.<br />
Insbesondere bei älteren Technologien im ausgereiften Lebenszyklus kann verständlicherweise<br />
nicht auf diese harmonisierten Normen zurückgegriffen werden.<br />
3 In Verordnung EU NR. 402/2013 [5] wird übersetzt: “Code of Practice” mit “Regelwerk”<br />
4 im Falle der Richtlinie 2008/57/EG<br />
9
2.2 Technische Grundlagen<br />
2.2.1 Normen<br />
In den letzten Jahren wird die Normung auf europäischer Ebene vorangetrieben, so dass die<br />
wichtigste Grundlage die Normreihe EN 50126 mit den <strong>Teil</strong>en 1, 2, 4 und 5 sein wird. Hier werden<br />
die Methoden der RAMS beschrieben. Im Selbstverständnis der Norm werden juristische Begriffe<br />
der EG-Richtlinien und Verordnungen nicht verwendet.<br />
Somit können Definitionen zu „Anerkannten Regeln der Technik“ im Sinne der Normung nicht<br />
zwingend mit den rechtlichen Definitionen gleichgesetzt werden.<br />
2.2.2 Konzern-Richtlinien (Ril) DB AG<br />
Die Richtlinien (Ril) der DB AG beruhen auf den technischen Grundlagen und den Erkenntnissen<br />
aus dem Betrieb des Systems Eisenbahn der Eisenbahnen des Bundes. Mit dem klar definierten<br />
Aufbau und der Freigaberegelung wird die Aussagekraft der Konzern-Richtlinien der DB AG unterstrichen.<br />
Der jeweils verantwortliche Fachautor verfügt als federführender Experte über die umfassende<br />
Fachkompetenz und wird von allen im betrieblichen Zusammenhang beteiligten Personen<br />
unterstützt.<br />
Aus diesem Grund sieht die Arbeitsgruppe die Konzern-Richtlinien (Ril) der DB AG als Dokumente<br />
im Sinne der Anerkannten Regeln der Technik.<br />
Die Richtlinien sind in der Zentralen Regelwerksdatenbank der DB AG hinterlegt. Sie können in<br />
vielen Fällen auch durch Externe auf der Homepage der DB AG eingesehen werden.<br />
2.2.3 Fachliteratur<br />
Zu den Themen der Leit- und Sicherungstechnik wurden bereits in der Vergangenheit Fachbücher<br />
durch die DB AG sowie wissenschaftliche Veröffentlichungen und Lehrbriefe von Universitäten<br />
und Forschungseinrichtungen publiziert.<br />
Die Fachliteratur basiert auf dem technischen und wissenschaftlichen Erkenntnisstand und<br />
kann als Anerkannte Regeln der Technik bei sicherheitlichen Betrachtungen berücksichtigt<br />
werden.<br />
Eine nicht abschließende Beispielsammlung ist in den nachfolgenden Kapiteln gegeben.<br />
2.2.3.1 DB Fachbücher<br />
DB Fachbuch Das mechanische Stellwerk, Eisenbahnfachverlag Heidelberg, Mainz,<br />
Band 8/5 4. Auflage<br />
<br />
<br />
<br />
DB Fachbuch Das DrS2-Stellwerk, Helmut Scherz, Eisenbahnfachverlag Heidelberg,<br />
Mainz, Band 8/52, 1979<br />
DB Fachbuch Das DrS60-Stellwerk, Jürgen Ernst, Eisenbahnfachverlag Heidelberg,<br />
Mainz, Band 8/53, 1979<br />
DB Fachbuch Sicherer Fahrweg - sichere Zugfahrt (<strong>Teil</strong> I), Ferdinand Hein, Eisenbahn-<br />
Fachverlag Heidelberg, Mainz, Band 4/16, 1980, ISBN: 978-3-943214-09-3<br />
10
Eisenbahn-Lehrbücherrei der Deutschen Bundesbahn Das elektromechanische<br />
Stellwerk, H. Warnighoff, Band 87/II, 2.Auflage 1972 Josef Keller Verlag, Starnberg<br />
2.2.3.2 Verlagsveröffentlichung<br />
Mechanisches Stellwerk, OL Dipl.-Gwl. Ing. Jürgen Stapf, 4. Durchgesehene Auflage,<br />
transpress VEB Verlag für Verkehrswesen Berlin 1987, ISBN 3-344-00186-8<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Schriftreihe für Verkehr und Bahntechnik, Peter Naumann, Jörn Pachl, Leit- und<br />
Sicherungstechnik im Bahnbetrieb – Fachlexikon, Band 2, herausgegeben vom VDEI,<br />
Tetzlaff Verlag<br />
Handbuch Eisenbahninfrastruktur, Lothar Fendrich (Hrsg.), 2006, Springer Verlag, isbn-<br />
10 3-540-29581-X Berlin Heidelberg New York<br />
W. Fenner, P. Naumann, J. Trinckauf "Bahnsicherungstechnik - Steuern, Sichern und<br />
Überwachen von Fahrwegen und Fahrgeschwindigkeiten im Schienenverkehr"<br />
Herausgeber: Siemens AG, Publics Corporate Publishing, ISBN 3-89578-177-0<br />
Autorenkollektiv unter Leitung von Hans-Jürgen Arnold " Eisenbahnsicherungstechnik"<br />
Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1987, ISBN 3-344-00152-3<br />
Joachim Fiedler " Bahnwesen - Planung, Bau und Betreib von Eisenbahnen, S-, U-,<br />
Stadt- und Straßenbahnen Herausgeber: Werner-Verlag, ISBN 3-8041-1612-4<br />
Wolfgang Kusche "Stellwerks- und Blockanlagen - Gleisbildstellwerke"<br />
Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1986, ISBN-10:<br />
3344000209<br />
Wolfgang Kusche "Stellwerks- und Blockanlagen - Zugbeeinflussung und automatischer<br />
Streckenblock"; Herausgeber: Transpress, Verlag für Verkehrswesen, Berlin 1987,<br />
ISBN-10: 3344001876<br />
Jörn Pachl: "Systemtechnik des Schienenverkehrs", Teubner-Verlag<br />
Hans-Joachim Zoeller: "Handbuch der ESTW-Funktionen", Edition Signal+Draht,<br />
Tetzlaff Verlag<br />
Ulrich Maschek: Sicherung des Schienenverkehrs - Grundlagen und Planung der Leitund<br />
Sicherungstechnik. Springer Vieweg, 2. Auflage 2013<br />
Peter Stanley (Editor): "ETCS for Engineers". Eurailpress, 2011<br />
<br />
Ajitha Rajan and Thomas Wahl (Editors): "Cost-Efficient Methods and Processes for<br />
Safety Relevant Embedded Systems — The CESAR Project Book —", Springer-Verlag<br />
Wien, 2013<br />
2.2.3.3 Lehrbriefe<br />
Lehrbriefe der Ingenieurschule für Eisenbahnwesen, Dresden: Gleisbildstellwerk<br />
Bauform WSSB I, 8. Lehrbrief 2. Auflage<br />
11
2.2.4 Literaturhinweise in Normen<br />
Ferner wird in den aktuell gültigen, relevanten Normen im Kapitel „Literaturhinweise“ auf Dokumentationen<br />
hingewiesen.<br />
Beispiel EN 50129:2003 [11]<br />
„Die folgenden Dokumente wurden während der Erstellung dieser Norm zu Rate gezogen<br />
(zusätzlich zu den im Abschnitt 3 aufgeführten normativen Verweisen):<br />
…<br />
CLC/SC9XA(sec)114 Calculation with Mü8004 formulas, August 1994<br />
…<br />
Deutsche Bundesbahn Mü8004 Grundsätze für die technische Zulassung in der Signal- und<br />
Nachrichtentechnik (Januar 1991)“<br />
Es gibt in der Mü8004 [24] <strong>Teil</strong> 10 500 und <strong>Teil</strong> 10 510E Verweise auf die Normen, um Systeme<br />
aus der Mü8004 Welt in die CENELEC Welt bzw. umgekehrt zu transformieren.<br />
2.3 Qualitätsorientierte Prozesse in Unternehmen<br />
Es ist in allen an diesem Projekt beteiligten Unternehmen ein Qualitätsmanagementsystem auf<br />
Basis der Normenreihe der ISO 9001 [12] eingeführt. Dies ist gängige Praxis, wie sie auch durch<br />
europäische Normen der Reihe EN 50126 sowie im Rahmen der EG-Richtlinien und Verordnungen<br />
gefordert wird.<br />
Bereits vor der Etablierung der Normreihe ISO 9000 in den 1990-iger Jahren zur Schaffung internationaler<br />
Maßstäbe für ein Qualitätsmanagementsystem haben die Unternehmen, die Produkte<br />
der Leit- und Sicherungstechnik entwickeln und herstellen, hohe Qualitätsanforderungen an ihre<br />
Entwicklungs- und Fertigungsprozesse definiert. Letztlich hat die Einführung der ISO 9001 bestätigt,<br />
dass die bereits bestehende Praxis den hohen Anforderungen genügt.<br />
Somit sind unternehmensinterne Prozessregelungen und Arbeitsanweisungen immer schon der<br />
kritischen Bewertung unterzogen gewesen, die effektiv Einfluss auf die Qualität und Sicherheit<br />
der Produkte im Produktlebenszyklus hatten. Die Erfahrung und Fachkompetenz spiegelt sich in<br />
den Qualitätshandbüchern der beteiligten Unternehmen wieder. Der Erhalt der Qualität und Sicherheit<br />
der Produkte im Produktlebenszyklus wird durch die ständige Kontrolle im Rahmen von<br />
Auditierungen sichergestellt. Über die externen Auditierungen wird abgesichert, dass die unternehmensinternen<br />
Prozessregelungen und Arbeitsanweisungen auch jeweils den aktuellen Stand<br />
der Normung berücksichtigen.<br />
2.4 Sicherheitsmanagementsystem<br />
2.4.1 EG-Richtlinie 2004/49/EG<br />
Das Sicherheitsmanagementsystem (SMS) gibt es nicht erst seit Einführung der EG-Richtlinie<br />
2004/49/EG [2]. Bereits vor diesem Zeitpunkt wurde im sicherheitlichen Ermessen gehandelt.<br />
Sicherheitliches Ermessen liegt vor, wenn keine Anerkannten Regeln der Technik vorliegen oder<br />
von diesen abgewichen wird (siehe auch VV NTZ ÜGR Stufe 1 [10]).<br />
Die EG-Richtlinie beschreibt letztlich das bereits praktizierte Verfahren und stellt es in den europäischen<br />
Zusammenhang.<br />
12
2.4.2 Sicherheitsmanagementsystem bei EdB<br />
Umgesetzt wird bei den EdB das Sicherheitsmanagementsystem durch die Abbildung des Integrierten<br />
Management Systems (IMS) im Prozessportal. Hier werden die Prozesse beschrieben<br />
und die Wirksamkeit der Verfahren, Produkte und Prozesse durch Audits überprüft. Deren Ergebnisse<br />
finden Berücksichtigung in den kontinuierlichen Verbesserungsprozessen.<br />
Das Sicherheitsmanagementsystem ist vergleichbar mit den Qualitätsmanagementsystemen entsprechend<br />
der ISO 9001 [12].<br />
Das Sicherheitsmanagementsystem ist in allen Bereichen der EdB eingeführt.<br />
13
3 Anerkannte Regeln der Technik<br />
3.1 Rahmenbedingung<br />
Die Definition des Begriffes „Anerkannte Regeln der Technik“ muss sich zukünftig nicht mehr an<br />
der EBO [17], sondern an der Definition der CSM RA Verordnung EG Nr. 352/2009 [1] orientieren.<br />
Dies gilt auch für die überarbeitete Fassung EU Nr. 402/2013 [5] dieser Verordnung.<br />
Die Weiterentwicklungen im europäischen Eisenbahnsystem zeigen, dass dies notwendig ist, um<br />
die Zukunftsfähigkeit der Leit- und Sicherungstechnik sicher zu stellen.<br />
3.2 Definitionen Anerkannte Regeln der Technik<br />
Mit der nachfolgenden Auflistung der unterschiedlichen Definitionen für Anerkannte Regeln der<br />
Technik wird die Komplexität deutlich.<br />
3.2.1 CSM RA Verordnung [1], [5]<br />
Artikel 3, Nummer 19<br />
Tabelle 1 Gegenüberstellung Definition in CSM RA<br />
EG-Verordnung Nr. 352/2009 [1] EU-Verordnung Nr. 402/2013 [5]<br />
deutsch<br />
englisch<br />
„Anerkannte Regeln der Technik:<br />
die schriftlich festgelegten Regeln,<br />
die bei ordnungsgemäßer Anwendung<br />
dazu dienen können, eine oder<br />
mehrere spezifische Gefährdungen<br />
zu kontrollieren.“<br />
„‘code of practice’ means a written<br />
set of rules that, when correctly applied,<br />
can be used to control one or<br />
more specific hazards;”<br />
„Regelwerk: die schriftlich festgelegten<br />
Regeln, die bei ordnungsgemäßer<br />
Anwendung dazu dienen können, eine<br />
oder mehrere spezifische Gefährdungen<br />
zu beherrschen;“<br />
„‘code of practice’ means a written<br />
set of rules that, when correctly applied,<br />
can be used to control one or<br />
more specific hazards;”<br />
Anmerkung:<br />
Mit der neuen Fassung der CSM RA wird in der deutschen Fassung trotz gleichem Inhalt in der englischen<br />
Fassung der Begriff „code of practice“ nun mit „Regelwerk“ übersetzt.<br />
Die Änderung in der deutschen Übersetzung der Verordnung zur CSM RA ändert an den Aussagen<br />
dieses Positionspapiers nichts.<br />
14
3.2.2 Eisenbahn- Bau- und Betriebsordnung [17]<br />
EBO § 2 Abs. 1<br />
Bisher wurde für den Begriff „Anerkannte Regeln der Technik “ die Definition im Kommentar der<br />
EBO verwendet:<br />
„Unter anerkannten Regeln der Technik sind alle auf Erkenntnissen und Erfahrungen beruhenden<br />
technischen Regeln zu verstehen, deren Befolgung notwendig ist, um Gefahren auszuschließen<br />
und die in betreffenden Fachkreisen bekannt und mehrheitlich als richtig anerkannt<br />
sind.“<br />
3.2.3 VV BAU-STE [18]<br />
Im Anhang 1.1 „Definitionen und Begriffe“ wird der Begriff „Anerkannte Regeln der Technik“ erläutert:<br />
„Der Begriff der Anerkannten Regeln der Technik hat seine rechtliche Grundlage für den Bereich<br />
der EdB im § 2 Abs. 1 EBO [17] und wird wie folgt definiert:<br />
„Anerkannte Regeln der Technik sind alle auf Erkenntnissen und Erfahrungen beruhenden<br />
geschriebenen und ungeschriebenen Regeln der Technik, deren Befolgung beachtet werden<br />
muss, um Gefahren auszuschließen, und die in den betreffenden Fachkreisen bekannt sind<br />
und als richtig anerkannt werden.“<br />
Als Anerkannte Regeln der Technik auf dem Gebiet der STE-Anlagen sind u.a. technische<br />
Normen (EN, DIN, DIN VDE) und Regelwerke der EdB zu bezeichnen.“<br />
3.2.4 Allgemein übliche Norm-Definition<br />
In EN 45020 5 werden die anerkannten Regeln der Technik wie folgt definiert:<br />
„EN 45020, Kapitel 1.5 anerkannte Regel der Technik<br />
Technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe<br />
des Standes der Technik angesehen wird.<br />
ANMERKUNG Ein normatives Dokument zu einem technischen Gegenstand wird zum Zeitpunkt seiner Annahme<br />
als der Ausdruck einer anerkannten Regel der Technik anzusehen sein, wenn es in Zusammenarbeit<br />
der betroffenen Interessen durch Umfrage- und Konsensverfahren erzielt wurde.<br />
...<br />
EN 45020, Kapitel 3.2.1 Für die Öffentlichkeit zugängliche Normen<br />
ANMERKUNG Dank ihres Status als Normen, ihrer öffentlichen Zugänglichkeit und ihrer Änderung oder<br />
Überarbeitung, soweit dies nötig ist, um mit dem Stand der Technik Schritt zu halten, besteht die Vermutung,<br />
dass internationale, regionale, nationale oder Provinznormen (3.2.1.1, 3.2.1.2, 3.2.1.3 und 3.2.1.4) anerkannte<br />
Regeln der Technik sind.“<br />
5 Wikipedia Zitat aus DIN EN 45020:2006 - Normung und damit zusammenhängende Tätigkeiten - Allgemeine<br />
Begriffe (ISO/IEC Guide 2:2004); dreisprachige Fassung EN 45020:2006<br />
15
3.3 Definition Regelwerk<br />
Regelwerke, welche als Grundlage für die Betrachtung von Anerkannten Regeln der Technik dienen<br />
sollen, müssen allgemein anerkannt und öffentlich zugänglich sein sowie vollständig in<br />
schriftlicher Form vorliegen. Wenn sie (teilweise) in anderen Formen existieren, sind sie in die<br />
schriftliche Form zu bringen. Dies trifft auch auf einzelne <strong>Teil</strong>e von Regelwerken zu.<br />
Für die unterschiedlichen Regelwerke ist zu definieren, wie und in welchem Umfang diese Bedingungen<br />
erfüllt werden. Dabei ist für jedes Regelwerk (insbesondere bei solchen für ältere Techniken)<br />
zu prüfen, was unter allgemein anerkannt und unter öffentlich zugänglich zu verstehen ist.<br />
Hier kann es eventuell unterschiedliche Stufen geben.<br />
3.4 Gesetzlich vorgegebene Ziele<br />
Zitat aus „Handbuch der Rechtsförmlichkeit“ [4]:<br />
„Die Generalklausel „allgemein anerkannte Regeln der Technik" wird für Fälle mit vergleichsweise<br />
geringem Gefährdungspotenzial oder für Fälle verwendet, die auf Grund gesicherter<br />
Erfahrungen technisch beherrschbar sind. Allgemein anerkannte Regeln der Technik sind<br />
schriftlich fixierte oder mündlich überlieferte technische Festlegungen für Verfahren, Einrichtungen<br />
und Betriebsweisen, die nach herrschender Auffassung der beteiligten Kreise (Fachleute,<br />
Anwender, Verbraucher und öffentliche Hand) geeignet sind, das gesetzlich vorgegebene<br />
Ziel zu erreichen und die sich in der Praxis allgemein bewährt haben oder deren Bewährung<br />
nach herrschender Auffassung in überschaubarer Zeit bevorsteht.<br />
Das Anforderungsniveau bei der Generalklausel „Stand der Technik" liegt zwischen dem Anforderungsniveau<br />
der Generalklausel „allgemein anerkannte Regeln der Technik" und dem<br />
Anforderungsniveau der Generalklausel „Stand von Wissenschaft und Technik". Stand der<br />
Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen,<br />
der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich<br />
vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen<br />
oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis<br />
bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit<br />
Erfolg erprobt worden sein.<br />
Im Recht der Europäischen Union wird auch die Formulierung „die besten verfügbaren Techniken“<br />
verwendet. Dies entspricht weitgehend der Generalklausel „Stand der Technik“ 6 .<br />
Die Generalklausel „Stand von Wissenschaft und Technik“ umschreibt das höchste Anforderungsniveau<br />
und wird daher in Fällen mit sehr hohem Gefährdungspotenzial verwendet.<br />
Stand von Wissenschaft und Technik ist der Entwicklungsstand fortschrittlichster Verfahren,<br />
Einrichtungen und Betriebsweisen, die nach Auffassung führender Fachleute aus Wissenschaft<br />
und Technik auf der Grundlage neuester wissenschaftlich vertretbarer Erkenntnisse im<br />
Hinblick auf das gesetzlich vorgegebene Ziel für erforderlich gehalten werden und das Erreichen<br />
dieses Ziels gesichert erscheinen lassen.“<br />
6 Allgemein auch als „state of the art“ bekannt.<br />
16
3.5 Identifizierte Methoden durch die Arbeitsgruppe<br />
3.5.1 Geeignete Methoden<br />
Im Expertenkreis der Arbeitsgruppe werden nachfolgende Kriterien als Grundlage für „Anerkannte<br />
Regeln der Technik“ angesehen.<br />
a) Wesentlich ist, dass die im Sektor tätigen Experten die Prinzipien und Techniken als etabliert<br />
ansehen. Basis hierfür ist, dass den Experten die Methodik der Anwendung zugänglich und<br />
nachvollziehbar ist. Dies kann dadurch geschehen, dass die technischen Kenntnisse in<br />
freizugänglichen Regelwerken (z.B. EBO [17], VV BAU-STE [18]) aufgenommen werden.<br />
b) Alle angewendeten Techniken sind transparent und schriftlich niedergelegt.<br />
c) Ein weiterer Ansatz liegt darin, Methoden und allgemeingültige Ansätze zur Betrachtung aus<br />
bestehenden Zulassungen (erteilt durch EBA) abzuleiten und als „Best Practice“ im<br />
Eisenbahnsektor abgestimmt zu etablieren. Vorteil dieser Methode ist, dass diese Methoden<br />
und Ansätze durch die mehrstufige fachliche Prüfung als akzeptabel angesehen werden<br />
können. Die fachliche Bewertung wurde sowohl unternehmensintern als auch<br />
unternehmensextern durchgeführt.<br />
d) Für alle unternehmensinternen Prüfungen können sicherheitstechnische Bewertungsschritte<br />
bezogen auf ihre Richtigkeit und unabhängige Prüfung durch ein funktionierendes<br />
Qualitätsmanagementsystem nachgewiesen werden. Grundgedanke im<br />
Qualitätsmanagement ist der kontinuierliche Verbesserungsprozess, der insbesondere durch<br />
die Zulassungsprozesse durch unabhängige Stellen, wie auch das EBA, ständig neue<br />
Impulse erhält.<br />
e) Zudem behandeln die Prozessbeschreibungen der Managementsysteme der beteiligten<br />
Akteure die Lebenszyklusphasen von Konzeptphase bis zur Entsorgung der Systeme bzw.<br />
Komponenten.<br />
f) Bei Alt-Techniken kann die angewendete Methodik durch die Betriebsbewährtheit auf<br />
Zuverlässigkeit und Sicherheit geprüft werden. Sowohl auf Seiten der Hersteller als auch auf<br />
Seiten des Betreibers können damit alle sicherheitsrelevanten Funktionen nachgewiesen<br />
werden. Zudem wird es meist möglich sein, das Sicherheitsziel durch andere Methoden zu<br />
bestätigen. Viele technische Lösungen wurden in den letzten 100 Jahren weiterentwickelt und<br />
sind noch heute vielfach Basis der aktuell eingesetzten Technik.<br />
g) Schnittstellenbeschreibungen und Architekturgrundsätze, wie z.B. durch NeuPro 7 , entstehen<br />
auf der Basis der sektorweiten Fachexpertise. Dies führt dazu, dass diese Dokumente als<br />
Anerkannte Regeln der Technik etabliert werden können. Bei technischen Dokumentationen<br />
ist zu prüfen, ob dies ebenfalls zutrifft.<br />
h) Lastenhefte sind auf ihre Anwendbarkeit hin zu überprüfen. Beispielsweise im Fall von<br />
Bahnübergängen der Bauform EBÜT80 kann durchaus eine allgemein gültige Grundlage<br />
abgeleitet werden. Diese Lastenhefte wurden von der DB AG erstellt und verschiedene<br />
Unternehmen haben nach diesem Konzept die Bahnübergangsanlagen entwickelt. Da so<br />
eine unabhängige Prüfung auf Richtigkeit der Lastenhefte stattfand, kann man daraus die<br />
Anerkennung durch sektorweite Fachexperten annehmen.<br />
7 NeuPro steht für die Neuausrichtung der Produktionssteuerung sowie die Standardisierung der Stellwerkstechnik<br />
bei der DB AG.<br />
17
i) Ein umfangreiches Werk an Regeln und Vorgaben bieten die Richtlinien der DB AG. Sie<br />
beschreiben die Anforderungen, werden durch die Fachkenntnis gestützt und unterliegen<br />
einer strengen Prüfung auf Richtigkeit aller im Sektor tätigen Fachkreise. Als Beispiel sind<br />
hier die Ril 408 „Züge fahren und Rangieren“ [19] oder Ril 819 „LST Anlagen planen“ [20] zu<br />
nennen.<br />
3.5.2 Ungeeignete Methoden<br />
Eher ungeeignet sind Dokumente, die Entwicklungsprozesse innerhalb eines Unternehmens<br />
unterstützen.<br />
Unternehmensintern werden in der Regel Leitfäden für den Entwicklungsprozess angewendet.<br />
Diese „Kochrezepte“ erleichtern unternehmensinterne Abläufe, können jedoch nicht, auch wenn<br />
diese unter Berücksichtigung von qualitätssichernden Anforderungen (z.B. Vier-Augen-Prinzip)<br />
erstellt werden, als Anerkannte Regeln der Technik im Eisenbahnsektor genutzt werden.<br />
Wenn möglich, wird von der Arbeitsgruppe für solche Dokumente vorgeschlagen, in verallgemeinerter<br />
Form diese Unterlagen unternehmensneutral in Form von technischen Berichten über<br />
Normungsgremien (z.B. CENELEC) zu etablieren.<br />
3.6 Vorschläge für Methoden zur Etablierung Anerkannter Regeln der Technik<br />
3.6.1 Allgemein<br />
Um Anerkannte Regeln der Technik zu schaffen, die im Sektor Eisenbahn anerkannt werden,<br />
schlägt die Arbeitsgruppe verschiedene Methoden vor.<br />
Abhängig von der Komplexität und dem Umfang der bestehenden Dokumente und Regelungen<br />
lassen sich die Methoden anwenden und anschließend etablieren.<br />
3.6.2 Etablierung über Schutzziele<br />
Der Ansatz beschreibt die Möglichkeit, Schutzziele aus den anzuwendenden EG-Richtlinien und<br />
Verordnungen sowie nationalen Gesetzen und Verwaltungsvorschriften zu identifizieren. Der<br />
Nachweis zur Erfüllung kann nicht unmittelbar geführt werden, da die Zuordnung von technischen<br />
Anforderungen aus diesen Dokumenten oder durch harmonisierte Normen nicht möglich ist.<br />
Die Produkte oder Systeme haben im Rahmen der Entwicklung definierte Schutzziele als Grundlage.<br />
Der Nachweis, diese zu erfüllen wurde geführt, basiert jedoch in der Regel auf Grund zum<br />
Zeitpunkt der Entwicklung fehlender spezifischer Normen, auf unternehmensinternen Untersuchungen<br />
oder ableitbaren Normen.<br />
Ziel ist es, die technisch realisierten Schutzziele denen der EG-Richtlinien oder andere Regelwerke<br />
(siehe Abbildung 1) zuzuordnen und zu bewerten. Kann der Nachweis geführt werden,<br />
dass mit den angewendeten Techniken die gesetzlichen Schutzziele erreicht werden, so sind daraus<br />
Anerkannte Regeln der Technik abzuleiten.<br />
3.6.3 Betriebsbewährtheit und Analogie zu Grundnormen<br />
Insbesondere bei Alttechniken liegen sowohl durch den Betreiber als auch den Hersteller umfangreiche<br />
Daten zu Störungen und Ausfällen von leit- und sicherungstechnischen Applikationen und<br />
Anlagen vor. Mit Hilfe dieser Daten kann eine zuverlässige Aussage zur Betriebsbewährtheit getroffen<br />
werden.<br />
18
Als Hilfestellung werden die Aussagen der Normreihe EN 50126 [21] sowie Grundnormen der Sicherheitstechnik<br />
angewendet. Die Analogie insbesondere zur Norm EN 61508 [22] / EN 61511<br />
[23] und die Anleihe aus dem Bereich der Sicherheit von Maschinen sind hilfreich und schließen<br />
mögliche Lücken in der technischen Argumentationskette.<br />
Der Nachweis von Betriebsbewährtheit, wie er in der EN 61511 [23] gefordert wird, ist ebenfalls<br />
gegeben. Damit kann man diese Vorgehensweise als allgemein in der Technik anerkannt ansehen<br />
und als Basis zur Risikobewertung nutzen.<br />
3.6.4 Etablierung von Regelwerken<br />
Die identifizierten Regelwerke sind auf ihre weitere, gemeinsame Anwendung hin zu prüfen. Daraus<br />
ableitend klären die Hersteller und Betreiber, welche Regelwerke wo angewendet werden<br />
und welche veraltet sind, aber trotzdem noch gefordert werden. Das Ziel ist es, einen Vorschlag<br />
für neue Regelwerke bzw. Ergänzung zu unterbreiten.<br />
Es sollte der Grundsatz gelten, dass die Regelwerke für ältere LST-Anlagen unverändert bleiben,<br />
solange die zugehörigen Anlagen in Betrieb sind. Veränderungen erfolgen nur, wenn Rechtsvorschriften<br />
dies bindend vorschreiben oder technische Gesichtspunkte dies als zwingend erscheinen<br />
lassen.<br />
Erscheint ein neues Regelwerk, so sind die Veränderungen gegenüber bestehenden Regelwerken<br />
zu beschreiben und durch die Fachexperten einer Bewertung zu unterziehen. Es wird dargestellt,<br />
ob die Änderung eine Sicherheitslücke schließt oder eine Weiterentwicklung ist.<br />
Sicherheitslücken bedeuten, dass bestehende Anlagen auf Basis älterer Regelwerke nachgerüstet<br />
werden müssen.<br />
Weiterentwicklung bedeutet, dass Verbesserungen ohne sicherheitliche Lücken vorgenommen<br />
wurden. Es ist die Mindestanforderung mit Blick auf die Sicherheit uneingeschränkt weiterhin<br />
durch die alte Ausgabe gegeben.<br />
3.7 Zugang zu Normen und technischen Regeln<br />
Ein systematischer Zugang zu Normen (sowie technischer Regeln) und deren Verwaltung innerhalb<br />
des Unternehmens unterstützt die Umsetzung von Anerkannten Regeln der Technik.<br />
Die Basis ist ein Normenmanagementsystem mit einem Normenverzeichnis. Hier werden Informationen<br />
über relevante Normen zusammengetragen und gepflegt. Die technische Realisierung<br />
eines solchen Verzeichnisses hängt von der Zahl der zu verwaltenden Normen und der Häufigkeit<br />
der Zugriffe und Änderungen ab. Zur Implementation eines Normenmanagementsystems gibt es<br />
vielfältige Lösungsansätze, die in der NeGSt Arbeitsgruppe AP 2100 als „Empfehlung zum Umgang<br />
mit Normen“ [16] erarbeitet wurden.<br />
Hinweis:<br />
Details sind in dem <strong>Teil</strong>bericht NeGSt AP 2100 – Empfehlung zum Umgang mit Normen [16] dargestellt.<br />
19
4 Alttechniken<br />
Im Eisenbahnsektor sind die Produktlebenszyklen lang. Somit gibt es in der Leit- und Sicherungstechnik<br />
eine große Bandbreite von Techniken im Einsatz, die jedoch zu sehr unterschiedlichen<br />
Zeiten entwickelt wurden. Diese Alttechniken sind oftmals Basis für neue Entwicklungen. Die<br />
übernommenen Grundlagen bei Neuentwicklungen sind auf Basis des jeweiligen Stands der<br />
Technik bewertet worden. Wären hier Risiken erkannt worden, hätte dies zum Ausschluss der<br />
Anwendung geführt. Daraus lässt sich eine Vermutungswirkung in Bezug auf Anerkannte Regeln<br />
der Technik ableiten.<br />
Unter Fachleuten im Bereich Leit- und Sicherungstechnik werden sogenannte Hebelstellwerke<br />
(mechanische und elektromechanische Stellwerke) als Alttechnik bezeichnet. Selbst Relaisstellwerke,<br />
die oftmals nur betriebswirtschaftlich abgeschrieben, aber technisch nicht verschlissen<br />
sind, werden gelegentlich in diese Kategorie gezählt.<br />
Unter Alttechnik versteht die Arbeitsgruppe folgendes:<br />
<br />
Produktentwicklung und Zulassung erfolgten auf Basis der Mü8004 oder auf<br />
Regelwerken, die vor Einführung der Mü8004 zur Anwendung kamen.<br />
Die Produktentwicklung ist abgeschlossen, es werden nur noch<br />
Instandhaltungsarbeiten an dem Produkt vorgenommen.<br />
Im Zusammenhang mit Alttechniken sieht die Arbeitsgruppe es als erforderlich an, Aussagen<br />
zu Betriebsbewährtheit (Kapitel 4.1) Bestandsschutz (Kapitel 4.3), der Instandhaltung (Kapitel<br />
4.4.3) und zur Lebensdauer (Kapitel 4.4) zu treffen.<br />
4.1 Alttechnik im Produktauslauf<br />
Alttechniken im Produktauslauf basieren auf einem Entwicklungsstand, der nicht mehr aktualisiert<br />
wird. Sie erfüllen jedoch die wesentlichen Anforderungen an die Sicherheit, so dass ein Betrieb<br />
der Anlage möglich ist. Es gilt in diesen Fällen ein Bestandsschutz.<br />
Die Schaffung neuer Regelwerke erscheint nicht verhältnismäßig. Geeigneter ist es, über die Betriebsbewährtheit<br />
bei Änderungen den Nachweis zu führen, dass die Sicherheitsanforderungen<br />
erfüllt sind.<br />
Definition Betriebsbewährtheit nach EN 61511-1:2012 Kap. 3.2.55 [23]<br />
„Betriebsbewährt (en: prior use)<br />
dokumentierte Beurteilung, beruhend auf Betriebserfahrungen in einer ähnlichen Umgebung,<br />
dass ein Gerät für die Verwendung in einem sicherheitstechnischen Systems (SIS) geeignet<br />
ist und die Anforderungen hinsichtlich der Funktionen und der Sicherheitsintegrität erfüllen<br />
kann<br />
ANMERKUNG Um ein Gerät für ein sicherheitstechnisches System auf der Grundlage einer Betriebsbewährung<br />
zu qualifizieren, sollte der Anwender dokumentieren, dass das Gerät eine befriedigende Leistung in einer<br />
ähnlichen Betriebsumgebung erreicht hat. Das Verständnis dafür, wie sich das Betriebsmittel in einer bestimmten<br />
Betriebsumgebung verhält, ist erforderlich, um mit hoher Gewissheit annehmen zu können, dass<br />
der beabsichtigte Entwurf, die beabsichtigte Sichtprüfung, Prüfung, Instandhaltung und die beabsichtigten betrieblichen<br />
Praktiken angemessen sind.“<br />
Hinweis: In dem Dokument Sammlung „Definition Betriebsbewährtheit“ [25] sind aus unterschiedlichen Normen und Technologiefeldern<br />
Definitionen zusammengestellt.<br />
20
Daher wird es von der Arbeitsgruppe als sinnvoll angesehen, Methoden zur Betrachtung der<br />
Betriebsbewährtheit als Anerkannte Regeln der Technik zu betrachten. Zusammen mit den Instandhaltungsmaßnahmen<br />
kann so eine Risikobetrachtung durchgeführt werden.<br />
4.2 Alttechnik im Produktlebenszyklus<br />
Bei lediglich betriebswirtschaftlich abgeschriebenen Techniken werden keine Weiterentwicklungen<br />
betrieben, jedoch wird durch den laufenden Betrieb die Zuverlässigkeit und Sicherheit ständig<br />
überwacht.<br />
Durch das Sicherheitsmanagementsystem werden Instandhaltungsarbeiten geregelt. Mit diesem<br />
System werden sicherheitsrelevante Ereignisse erfasst, so dass man diese Erkenntnisse bei der<br />
Risikoanalyse nach CSM RA berücksichtigen kann. Sind keine Auffälligkeiten festzustellen, sollte<br />
die technische Realisierung als Anerkannte Regel der Technik betrachtet werden können.<br />
4.3 Bestandsschutz<br />
Bestandsschutz ist in der Leit- und Sicherungstechnik relevant, da sich der Entwicklungs- und<br />
Lebenszyklus der <strong>Teil</strong>systeme unterschiedlich gestaltet. Dazu ist eine Festlegung sinnvoll, in welchen<br />
Fällen Änderungen den Bestandsschutz beeinflussen.<br />
Beispiel:<br />
Die Innenanlage eines ESTW hat im Vergleich zur Außenanlage ein um mindestens 10 bis 20 Jahre kürzeren Lebenszyklus.<br />
4.3.1 Definition<br />
Größere Änderungen:<br />
Der Eingriff ist so intensiv, dass eine Neuplanung notwendig wird und die Sicherheit erneut nachzuweisen<br />
ist.<br />
Anpassung bestehender Anlagen:<br />
Bei Änderungen an in Betrieb befindlichen Systemen, die notwendig sind, um angrenzende (neu<br />
zu errichtende) Systeme zu betreiben, beschränkt sich die Betrachtung auf die Schnittstellen und<br />
die Rückwirkungsfreiheit der Änderung auf den Rest des Systems. Die restlichen <strong>Teil</strong>e eines Systems<br />
sind dann nicht betroffen.<br />
4.3.2 Kriterien zur Beurteilung<br />
Kriterien zur Beurteilung des Bestandsschutzes können sein:<br />
Vorliegende Erkenntnisse aus Herstellung und Betrieb: Betriebsanleitungen,<br />
Arbeitsanweisungen, Anforderung an Personal, betriebliche Erfahrungswerte,<br />
Störungen, Unfälle<br />
<br />
<br />
Angaben und Umfang der Instandhaltung sowie Instandhaltungsintervalle<br />
Umfang der Veränderung am System bzw. Produkt: gering –> nicht sicherheitsrelevante<br />
<strong>Teil</strong>e –> groß<br />
21
4.4 Lebensdauer von Produkten und Systemen<br />
4.4.1 Allgemein<br />
Die Lebensdauer von Produkten und Systemen ist bei sicherheitsrelevanten Aspekten von Bedeutung.<br />
Die Annahme, dass nach einer bestimmten Zeit ein Produkt bzw. System nicht mehr<br />
zuverlässig in Bezug auf seine Sicherheitsfunktion betrieben werden kann, kann abhängig vom<br />
jeweiligen Stand der Technik sein.<br />
Bei Neuentwicklungen können Einschätzungen durch theoretische Betrachtungen und Alterungsversuche<br />
im Labor ermittelt werden. Mit der Dauer des praktischen Einsatzes lassen sich diese<br />
durch die betriebliche Analyse festigen oder ggf. korrigieren.<br />
So ist es empfehlenswert, differenziert die Lebensdauer zu betrachten. Eine generelle Festlegung<br />
wird als kritisch angesehen. Es ist notwendig, auf Basis der Betriebsbewährtheit bei Änderungen<br />
eine Bewertung durchzuführen. Führt dies zu einem positiven Ergebnis, so sollte die<br />
Technik als anerkannt gelten und nicht einer detaillierten Risikobetrachtung unterzogen werden.<br />
4.4.2 Fallbetrachtungen unverlierbare Eigenschaften<br />
Während der Entwicklung von Produkten bzw. von Systemen werden Annahmen getroffen, die zu<br />
diesem Zeitpunkt als erwiesen gegolten haben. Hierzu zählen auch die unverlierbaren Eigenschaften<br />
eines Produktes bzw. Systems, so dass man in der Fehlerbetrachtung einige Fälle ausschließt.<br />
Da dieser Betrachtung eine definierte Lebensdauer zugrunde liegt, sind bei Altanlagen,<br />
die über diesen Zeitpunkt hinaus in Betrieb sind, diese Eigenschaften bei der Betrachtung zu berücksichtigen<br />
und zu bewerten. Das Konstruktionsprinzip als solches ist jedoch nicht grundsätzlich<br />
in Frage zu stellen. Können so diese Eigenschaften sichergestellt werden, sollten die Inspektionsintervalle<br />
auch als Anerkannte Regeln der Technik angesehen werden. Eine Prüfung aller<br />
Fälle kann so ausgeschlossen werden.<br />
Fallbeispiele:<br />
<br />
<br />
<br />
Relaisbaugruppen<br />
Kabel/Leitungen<br />
Leiterplatten<br />
Nach EN 50129:2003 Anhang C (normativ) [11] kann folgende Aussage Anwendung finden:<br />
„C.4 Das Verfahren für Bauteile mit unverlierbaren physikalischen Eigenschaften<br />
Es ist nicht notwendig, bereits in der Vergangenheit erstellte Begründungen zu wiederholen;<br />
es genügt, eine Referenz auf frühere Berichte anzugeben. Sollten jedoch diese Begründungen<br />
bestimmte Bedingungen enthalten (z. B. spezielle Befestigungsvorkehrungen oder Mittel<br />
zur Verhinderung von Überlastung), so muss die Erfüllung dieser Bedingungen im Sicherheitsnachweis<br />
enthalten sein.“<br />
Es wird von der Arbeitsgruppe als sinnvoll angesehen, die Kriterien für die Bewertung der unverlierbaren<br />
Eigenschaften durch Untersuchungen zu stützen, um so allgemein gültige Regeln<br />
bei diesen Produkten bzw. Systemen ableiten zu können. Eine wichtige Rolle spielen hier die<br />
Inspektionsintervalle der optischen, mechanischen und elektrischen Prüfung. Diese allgemein<br />
gültigen Regeln können dann als Anerkannte Regeln der Technik gelten.<br />
22
4.4.3 Instandhaltung<br />
Instandhaltungsanforderungen können im Zusammenhang mit diesen Produkten als <strong>Teil</strong> der Anerkannten<br />
Regeln der Technik gewertet werden. Grund ist, dass zum einen Hersteller als auch<br />
Betreiber diese definieren und auf ihre Wirksamkeit hin überwachen. Zum anderen sind diese in<br />
Betriebsanleitungen und in der Dokumentation zum Produkt hinterlegt und können als allgemein<br />
zugänglich angesehen werden.<br />
4.4.4 Betrachtung bei Änderungen<br />
Werden Änderungen an bestehenden Anlagen vorgenommen, so sollte folgende Vorgehensweise<br />
als Basis der Betrachtungen angesehen werden. Für die <strong>Teil</strong>systeme, die nicht verändert werden,<br />
gilt:<br />
<br />
<br />
<br />
Instandhaltungsmaßnahmen werden in den festgelegten Intervallen durchgeführt.<br />
Die Zuverlässigkeit und Sicherheit der Funktion wird durch die systematische<br />
Auswertung von Störungen an der Anlage erfasst und ausgewertet. Daraus abgeleitet<br />
werden, falls notwendig, Instandhaltungsmaßnahmen und –intervalle verändert.<br />
Mit den Instandhaltungsmaßnahmen werden unverlierbare Eigenschaften des Systems<br />
erhalten.<br />
Beispiel:<br />
Unverlierbare Eigenschaft Kabel/Leitung wird vorausgesetzt. Der festgelegte Zeitpunkt des Austausches der jeweiligen<br />
Kabel/Leitung stellt sicher, dass diese Eigenschaft weiterhin erhalten bleibt. Somit bleiben die unverlierbaren<br />
Eigenschaften erhalten und können als uneingeschränkt gültig angesehen werden.<br />
Wichtig bei dieser Betrachtung ist, dass die Instandhaltung stattfindet. Solange an den Intervallen<br />
keine Änderung stattfindet, können das jeweilige <strong>Teil</strong>system als sicher und die hier geltenden<br />
Regeln als Anerkannte Regeln der Technik angesehen werden.<br />
Für <strong>Teil</strong>systeme, die geändert werden, gilt:<br />
<br />
<br />
Die zu ändernden <strong>Teil</strong>systeme werden auf Basis der aktuellen Anerkannten Regeln der<br />
Technik bewertet.<br />
Die benachbarten <strong>Teil</strong>systeme werden nur auf die Beeinflussung hin überprüft, jedoch<br />
selber nicht in ihrer Sicherheit in Frage gestellt.<br />
Die möglichen Gefahren in den benachbarten <strong>Teil</strong>systemen werden nicht im Rahmen der Gefahrenanalyse<br />
ermittelt. Man kann deren Beherrschung durch Anerkannte Regeln der Technik als<br />
abgedeckt betrachten.<br />
23
5 Techniken im Einsatz – Regelwerkslandkarte<br />
5.1 Allgemein<br />
Mit Hilfe der in der Arbeitsgruppe erstellten Regelwerkslandkarte [13] werden die im Bereich der<br />
Eisenbahnen des Bundes eingesetzten Techniken der Leit- und Sicherungstechnik erfasst und<br />
den einzelnen Unternehmen zugeordnet.<br />
Ziel ist, einen Überblick der wesentlichen Systeme und Komponenten zu erhalten, um vorhandene<br />
bzw. noch notwendige Regelungswerke und technische Regeln zu identifizieren.<br />
5.2 Regelwerkslandkarte<br />
Die Regelwerkslandkarte [13] betrachtet die leit- und sicherungstechnischen Anlagen in Deutschland.<br />
Die einzelnen Anlagenformen werden anhand des Einsatzes bei den EdB und der Bedeutung<br />
für die Unternehmen gewichtet, um die Priorität für die Analyse zu setzen.<br />
Mit diesem Dokument wird ersichtlich, in welchen Bereichen Regelwerke unterschiedlicher Ausprägung<br />
vorhanden sind. Auch werden die Bereiche mit Handlungsbedarf identifiziert, bei denen<br />
Anerkannte Regeln der Technik geschaffen werden sollten.<br />
Die Unterteilung erfolgt in Themenblöcken:<br />
Technik<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Leit- und Bedienebene<br />
Stellwerke<br />
Außenanlagen der Stellwerke<br />
Rangierstellwerke<br />
Bahnübergänge<br />
Außenanlagen der Bahnübergänge<br />
Zugbeeinflussung<br />
Außenanlagen der Zugbeeinflussung<br />
Block<br />
Bauformgruppe<br />
<br />
<br />
<br />
Dispositive Einrichtungen / TK<br />
Hebelstellwerk<br />
Drucktastenstellwerk<br />
ESTW<br />
Bauformbezeichnung<br />
<br />
<br />
Bezeichnung der Hersteller<br />
Bezeichnung der EdB<br />
Relevanz für die Betrachtung im Fokus dieser Arbeitsgruppe<br />
<br />
<br />
Aus Herstellersicht<br />
Aus Betreibersicht<br />
24
Grundlagen der Technik und Realisierung<br />
<br />
<br />
<br />
Normen<br />
Angewendetes Regelwerk<br />
Zulassung<br />
Als Ergebnis aus der Diskussion innerhalb der Arbeitsgruppe zur Regelwerkslandkarte werden<br />
die Kernaussagen in diesem Positionspapier übernommen.<br />
Die Zusammenfassung wird in Kapitel 5.4 dargestellt.<br />
5.3 Bewertungsgrundlagen<br />
In der Regelwerkslandkarte wird dargestellt, welche Systeme schriftlich festgelegte Anerkannte<br />
Regeln der Technik benötigen, um weiterhin unter Beachtung der Kriterien der CSM RA geändert<br />
bzw. weiterentwickelt werden zu können. Des Weiteren kann die Regelwerkslandkarte auch als<br />
Basis einer Neuentwicklung zur Anwendung kommen.<br />
<br />
<br />
<br />
Es wird identifiziert, ob die vorhandene Technik im Fokus von Herstellern und Betreibern<br />
steht.<br />
‣ Die Priorisierung erfolgt mit<br />
o<br />
o<br />
o<br />
o<br />
Prio 1 = zwingend zu betrachten<br />
Prio 2 = starke Relevanz<br />
Prio 3 = geringe Relevanz<br />
Prio 4 = nicht relevant<br />
‣ Grundlagen der Priorisierung seitens der Hersteller sind Produktkataloge, Produktportfolios<br />
und Unternehmensstrategien.<br />
‣ Grundlagen der Priorisierung seitens der DB Netz AG sind u.a. die Anzahl in Betrieb befindlichen<br />
Anlagen, durchschnittliche Instandhaltungskosten und strategische Ausrichtung<br />
der Leit- und Scherungstechnik.<br />
Die Grundlagen für die Hersteller und den Betreiber werden aufgezeigt:<br />
‣ Bewertungsgrundlage für die Zulassung:<br />
o Regelwerke vor Mü 8004 [24]<br />
o Regelwerk Mü 8004 [24]<br />
o Norm EN 50126 [21], EN 50128 [15] und EN 50129 [11]<br />
o<br />
Interoperabilitätsrichtlinie 2008/57/EG [3] bzw. Vorgänger-EG-Richtlinien<br />
Anwendbare Dokumente von<br />
‣ Herstellern,<br />
‣ Betreibern und<br />
‣ EBA<br />
25
5.4 Übersicht der Priorisierung in der Regelwerkslandkarte<br />
In der Arbeitsgruppe wurde eine umfassende Analyse der in Deutschland im Einsatz befindlichen<br />
Technik durchgeführt. Daraus abgeleitet geben die nachfolgenden Tabellen eine Übersicht<br />
mit der Priorität aus Sicht der Arbeitsgruppe. Die Unterscheidung zwischen Hersteller<br />
und Betreiber soll die unterschiedlichen Bewertungen aus der jeweiligen Sichtrichtung darstellen.<br />
Hinweis:<br />
Details können in der Regelwerkslandkarte [13] entnommen werden. Diese ist ein separat von der Arbeitsgruppe erarbeitetes<br />
Dokument.<br />
Die Regelwerkslandkarte liefert die Basis für die nachfolgend vorgenommene Darstellung der<br />
Techniken, bei denen die höchste Priorität und Notwendigkeit besteht, Anerkannte Regeln der<br />
Technik zu schaffen bzw. Regelwerke dorthin weiterzuentwickeln.<br />
Anmerkung: Um die in der Regelwerkslandkarte enthaltenen firmeninternen Aspekte vertraulich zu halten, ist diese nicht als Anlage<br />
zu diesem Positionspapier enthalten.<br />
Die Priorisierung erfolgt entsprechend der Festlegungen in Kapitel 5.3.<br />
Die Werte in den nachfolgenden Tabellen ergeben sich aus den Mittelwerten der einzelnen technischen<br />
Lösungen der Hersteller zur jeweiligen Bauform. Damit kann die Tendenz in der jeweiligen<br />
Technik erkannt werden.<br />
Nachfolgend erscheinen nur diejenigen Techniken, die sowohl seitens Hersteller als auch Betreiber<br />
mit einer Priorität 1 oder 2 versehen sind. Zusätzlich werden seitens Hersteller und/oder Betreiber<br />
relevante Einzelbauformen mit niedrigerer Priorität in die Betrachtung einbezogen.<br />
Tabelle 2 Priorisierung der Techniken für Stellwerke<br />
Stellwerke Hersteller Betreiber<br />
Drucktastenstellwerke 8 2,9 3,1<br />
Drucktastenstellwerk auf Basis Mikrocontroller 2,3 2,5<br />
ESTW 2,0 3,1<br />
Tabelle 3 Priorisierung der Techniken bei Rangierstellwerken<br />
Rangiertechnik Hersteller Betreiber<br />
EOW Technik 2,0 2,0<br />
8 Einzelne Bauformen sind herstellerseitig noch zu berücksichtigen.<br />
26
Tabelle 4 Priorisierung der Techniken bei Bahnübergangen<br />
Bahnübergang Hersteller Betreiber<br />
BÜ BÜS 2000 1,0 1,0<br />
BÜ EBÜT 80 2,0 2,0<br />
BÜ RBÜT 1,0 1,0<br />
BÜ RBUEP 1,0 1,0<br />
BÜ Simis LC 1,0 1,0<br />
Tabelle 5 Priorisierung der Techniken für die Zugbeeinflussung<br />
Zugbeeinflussung Hersteller Betreiber<br />
Eigenständige nationale Systeme 1,0 1,0<br />
ETCS mit nationalen Komponenten 1,0 1,0<br />
ETCS L2 1,0 1,0<br />
LZB 1,0 1,9<br />
PZB 2,0 1,9<br />
Komponente Eurobalise 1,0 1,0<br />
Komponente LEU 1,0 1,0<br />
Tabelle 6 Priorisierung der Techniken für Blöcke<br />
Block Hersteller Betreiber<br />
Selbstblock 9 3,1 3,5<br />
Tabelle 7 Priorisierung der Techniken für Übertragung LST<br />
Übertragungstechnik LST Hersteller Betreiber<br />
Vitales21 und DTS 1,0 1,0<br />
Tabelle 8 Priorisierung der Techniken für Fernsteuerung<br />
Fernsteuerung Hersteller Betreiber<br />
2,5 3,2<br />
9 Einzelne Bauformen sind herstellerseitig noch zu berücksichtigen.<br />
27
Tabelle 9 Priorisierung der Techniken für dispositiver Einrichtungen/TK<br />
Dispositive Einrichtungen / TK Hersteller Betreiber<br />
Steuerbezirk 1,0 1,0<br />
Zugnummernmeldeanlage 1,0 2,2<br />
Zuglenkung 1,0 1,9<br />
Tabelle 10 Priorisierung der Außenanlagen<br />
Außenanlagen Hersteller Betreiber<br />
Achszähler 1,0 1,5<br />
Zählpunkte 1,0 2,9<br />
Radsensoren 2,0 2,5<br />
Fahrzeugschleifen 2,0 2,0<br />
Weichenantrieb 2,0 2,0<br />
Gefahrraumüberwachung 2,0 1,0<br />
Gefahrraumfreimeldung 2,0 3,0<br />
Lichtzeichen für Straßenverkehr 2,0 2,0<br />
Schrankenantriebe 2,0 2,0<br />
Handschaltmittel 2,0 2,0<br />
28
6 Schritte der Qualifizierung zu Anerkannten Regeln der Technik<br />
6.1 Allgemein<br />
Die Arbeitsgruppe sieht es als notwendig an, die Schließung von Regelwerkslücken bzw. die<br />
Weiterentwicklung von Regelwerken in einem Sektorlenkungskreis Infrastruktur mit unterlagertem<br />
Arbeitskreis und Arbeitsgruppen zu etablieren. So wird das Ziel erreicht, die derzeit bestehende<br />
Problematik auf die Schultern des Sektors und des EBA zu legen und derzeit nicht<br />
vorhandene Anerkannte Regeln der Technik zu schaffen.<br />
Das bedeutet, das notwendige Umfeld aller Regelwerke (z.B. ESTW) und technischen Dokumente<br />
zu betrachten. Bei der Analyse sind dann auf generischer Ebene die anwendbaren Regelwerke<br />
zu qualifizieren und auf Grund ihrer Art zu entscheiden, inwiefern sie als Anerkannte Regeln der<br />
Technik genutzt werden können.<br />
Bei der Betrachtung wird es als sinnvoll angesehen, auch außerhalb des Sektors andere Industriebereiche<br />
einzubeziehen. So kann dieses Know-how möglicherweise auch für den Eisenbahnsektor<br />
sinnvoll genutzt werden.<br />
Zur weiteren Qualifizierung werden wissenschaftliche Betrachtungen an Universitäten und<br />
Forschungseinrichtungen als unterstützende Maßnahme als zielführend angesehen.<br />
Das Ziel liegt darin, Zustimmung durch das EBA für die Regelwerke und technischen Dokumente<br />
mit dem Potential zu Anerkannten Regeln der Technik zu erhalten. Auf Grund der Besonderheit<br />
im Sektor Eisenbahn durch Verordnungen und Verwaltungsvorschriften ist die Einbeziehung<br />
des EBA geboten.<br />
6.2 Notifizierung<br />
Mit diesem Positionspapier wird ein Weg zur Notifizierung der identifizierten Anerkannten Regeln<br />
der Technik aufgezeigt.<br />
Die Grundlage der Notifizierung ist durch die EG-Richtlinie 2004/49/EG [2] in Artikel 8 Absatz 2<br />
gegeben. Dabei bezeichnet Artikel 3 Buchstabe h) dieser Richtlinie als nationale Sicherheitsvorschriften<br />
alle auf Ebene der Mitgliedstaaten erlassenen Vorschriften, die Anforderungen an die<br />
Eisenbahnsicherheit enthalten und für mehr als ein Eisenbahnunternehmen gelten, unabhängig<br />
davon, welche Stelle diese Vorschriften erlässt. Somit müssen national Anerkannte Regeln der<br />
Technik über die Bundesrepublik Deutschland der Europäischen Kommission gemeldet und<br />
durch diese als einschlägige nationale Vorschriften für das Eisenbahnsystem in Deutschland notifiziert,<br />
d.h. bestätigt, werden.<br />
Als eine erhebliche Hemmschwelle bei der Anpassung an die technische Entwicklung wird von<br />
Herstellern und Betreibern die Notifizierung aller Anerkannten Regeln der Technik angesehen.<br />
Bei der umfänglichen Notifizierung ist bei jeder Änderung der Notifizierungsprozess erneut zu<br />
durchlaufen.<br />
29
6.3 Etablierung vom Lenkungskreis Infrastruktur<br />
6.3.1 Beweggründe<br />
Wie bereits bei den Eisenbahn-Fahrzeugen eingeführt, soll der Lenkungskreis Infrastruktur als<br />
Gremium dienen, identifizierte und beschriebene Regeln der Technik als notifizierte nationale<br />
Regeln anzuerkennen und für den Sektor als Grundlage bereitzustellen.<br />
Länderausschuss<br />
für Eisenbahnen<br />
und Bergbahnen<br />
(LAEB)<br />
Lenkungskreis<br />
Fahrzeuge<br />
Vorsitz: Sektor<br />
Lenkungskreis<br />
Infrastruktur<br />
Vorsitz: N.N.<br />
Lenkungskreis<br />
Safety & Interoperabilität<br />
Abbildung 2 Zusammenhänge zwischen den Lenkungskreisen und LAEB<br />
Die in Abbildung 2 dargestellten vier Gruppen setzen sich wie in Tabelle 10 dargestellt zusammen.<br />
In Bezug auf den Lenkungskreis Infrastruktur werden hier Vorschläge aus der Arbeitsgruppe<br />
beschrieben.<br />
Tabelle 11 Mitglieder und Tagungsfrequenz<br />
Lenkungskreis Fahrzeuge<br />
Mitglieder: EBA, EBC, VDV, VDB, DB<br />
Tagungsfrequenz: > 4 x pro Jahr<br />
(Programm) + nach aktuellem Bedarf<br />
Lenkungskreis Safety & Interoperabilität<br />
Mitglieder: Länder, BMVBS, EBA,<br />
VDV, DB, VDB, EBC, VPI<br />
Lenkungskreis Infrastruktur<br />
Mitglieder: EBA, EBC, VDV, VDB, DB<br />
Tagungsfrequenz: > 3 x pro Jahr<br />
(Programm) + nach aktuellem Bedarf<br />
Länderausschuss für Eisenbahnen und<br />
Bergbahnen (LAEB)<br />
Mitglieder: Länder, BMVBS, EBA,<br />
VDV, DB<br />
Tagungsfrequenz: 1 bis 2 x pro Jahr<br />
6.3.2 Strukturvorschlag für Lenkungskreis Infrastruktur<br />
Der Vorschlag für den Lenkungskreis Infrastruktur ist in Analogie zum Modell aus dem Fahrzeugsektor<br />
entwickelt worden.<br />
Für die Schaffung und Änderung von Regelwerken werden Arbeitsgruppen eingerichtet und darüber<br />
ein koordinierender Arbeitskreis installiert.<br />
In den Arbeitsgruppen und in dem Arbeitskreis sind die Hersteller (VDB) und die Deutsche Bahn<br />
AG vertreten. Diese Gremien bilden die Kompetenz des Sektors zu einem bestimmten Problem /<br />
einer aktuellen Frage ab. Das EBA sollte sich in wichtigen Fällen an der Arbeit in den Arbeitsgruppen<br />
und im Arbeitskreis beteiligen. Die Definition für „wichtige Fälle“ sollte im Rahmen der<br />
Einrichtung des Lenkungskreises Infrastruktur vereinbart werden.<br />
30
Arbeitsgruppe besteht aus Fachexperten (Anzahl je nach Notwendigkeit)<br />
‣ Erarbeitung neuer Regelwerke<br />
‣ Änderung vorhandener Regelwerke<br />
‣ Überführung von Einzelentscheidungen in Regelwerke<br />
Arbeitskreis ist technisch fachkundig (Anzahl je nach Notwendigkeit)<br />
‣ Koordination der Arbeiten<br />
‣ Bewertungen<br />
‣ Entscheidungen über Vorlagen beim LK Infrastruktur<br />
‣ Der Arbeitskreis erhält von dem Akteur einen detaillierten Vorschlag zum Abweichen<br />
von dem bestehenden Regelwerk mit allen für die Beurteilung erforderlich Nachweisen.<br />
‣ Der Arbeitskreis kann den vorschlagenden Akteur auffordern, auf seine Kosten ein ergänzendes<br />
Gutachten beizubringen.<br />
LK Infrastruktur<br />
‣ Die von der Arbeitsgruppe vorbereiteten und von dem Arbeitskreis festgelegten<br />
Entscheidungen werden:<br />
o<br />
o<br />
im Falle von Anerkannten Regeln der Technik durch das EBA im Internet<br />
veröffentlicht und<br />
im Falle von Interpretationen zu Anerkannten Regeln der Technik und anderen<br />
Festlegungen (keine Regelwerke oder Anerkannte Regeln der Technik) ins<br />
Sektorhandbuch für die Zulassung aufgenommen.<br />
Lenkungskreis<br />
Fahrzeuge<br />
Abstimmung<br />
Lenkungskreis<br />
Safety & Interoperabilität<br />
Lenkungskreis Infrastruktur<br />
Arbeitskreis 1 Arbeitskreis 2<br />
…<br />
Arbeitsgruppe 1 Arbeitsgruppe 2 … Arbeitsgruppe 1 Arbeitsgruppe 2<br />
…<br />
Abbildung 3 Vorschlag der Struktur für Lenkungskreis Infrastruktur<br />
31
6.4 Ablauf im nicht geregelten nationalen Bereich<br />
Mit der Etablierung der Struktur, wie in Kapitel 6.3.2 beschrieben, können im zurzeit nicht geregelten<br />
nationalen Bereich Anerkannte Regeln der Technik eingeführt werden, die auf einem gemeinsamen<br />
Verständnis aller Stakeholder im Sektor Eisenbahn in Deutschland beruhen.<br />
Im Anschluss daran ist durch das EBA als nationale Sicherheitsbehörde zu prüfen, ob diese<br />
technischen Regeln im europäischen Rahmen bei der EU-Kommission zur Notifizierung einzureichen<br />
sind.<br />
Als mögliche Vorgehensweise kann ein Modell genutzt werden, wie es hier beschrieben wird.<br />
Stufenmodell<br />
[1] Antrag /Anstoß zur „Schließung einer Regelungslücke“ bzw. Entscheidung mit SiErm.<br />
[2] Entscheidung und Beauftragung einer AG zur Ausarbeitung eines Vorschlages<br />
[3] Entwurf zu technischen Regeln (A.R.d.T.)<br />
[4] Optional: Beauftragung von Messreihen, Untersuchungen usw.<br />
[5] Konsol. der Untersuchungen; Festschreibung Regelwerk auf Basis 4-Augen-Prinzip<br />
[6] Bewertung/Beurteilung der Untersuchungen<br />
[7] Entscheidung über neue A.R.d.T.; Prüfung, ob Notifizierung erforderlich ist<br />
[8] Veröffentlichung auf Homepage des EBA -> „gültig“<br />
[9] EBA reicht bei EU-Kommission ein<br />
Abbildung 4 Vorgeschlagener Ablauf zur Anerkennung von Regeln der Technik<br />
Inwiefern eine Notifizierung notwendig bzw. hilfreich ist, ist im Einzelfall zu klären.<br />
Mit der Veröffentlichung der „neuen“ Anerkannten Regeln der Technik entsprechend des beschriebenen<br />
Ablaufs auf der Website des EBA kann der Forderung nach schriftlicher Festlegung<br />
und Zugänglichkeit für die Öffentlichkeit Rechnung getragen werden.<br />
32
7 Zusammenfassung<br />
7.1 Empfehlung der Arbeitsgruppe<br />
Die Arbeitsgruppe empfiehlt, eine Vereinbarung zwischen allen beteiligten Akteuren zur Anerkennung<br />
von Anerkannten Regeln der Technik zu schließen. Dies wird für notwendig angesehen,<br />
um diese innerhalb des Eisenbahnsektors als allgemein anerkannt zu etablieren. In dieser<br />
Vereinbarung soll auch der zu etablierende Lenkungskreis Infrastruktur beschrieben sein.<br />
Das stärkt die allgemeine Akzeptanz.<br />
7.1.1 Zusammenfassung der Empfehlungen in den Kapiteln 1 bis 6<br />
Die Empfehlungen der Arbeitsgruppe der Kapiteln 1 bis 6 in der Übersicht:<br />
<br />
<br />
<br />
Das Positionspapier stellt den Sachverhalt dar und gibt Umsetzungsvorschläge (siehe Kapitel<br />
1.1).<br />
Die Definitionen in der Normung sind unterschiedlich zu denen im juristischen Sinne (siehe<br />
Kapitel 2.2.1).<br />
Konzern-Richtlinien der DB AG werden als Anerkannte Regeln der Technik angesehen (siehe<br />
Kapitel 2.2.2).<br />
Fachliteratur wird als Anerkannte Regeln der Technik angesehen (siehe Kapitel 2.2.3).<br />
<br />
Die Änderung in der deutschen Übersetzung der Verordnung zur CSM RA ändert an den<br />
Aussagen dieses Positionspapiers nichts (siehe Kapitel 3.2.1).<br />
Kriterien für Anerkannte Regeln der Technik werden aufgezeigt (siehe Kapitel 3.5.1).<br />
<br />
<br />
<br />
Methoden zur Anerkennung von Anerkannte Regeln der Technik werden beschrieben (siehe<br />
Kapitel 3.6.1).<br />
Der Begriff „Betriebsbewährtheit“ ist im Zusammenhang mit Anerkannten Regeln der Technik<br />
wichtig (siehe Kapitel 4).<br />
Methoden der Betrachtung der Betriebsbewährtheit als Anerkannte Regeln der Technik<br />
notwendig (siehe Kapitel 4.1).<br />
Differenzierte Lebensdauerbetrachtung ist notwendig (siehe Kapitel 4.4.1).<br />
<br />
<br />
Bewertung der unverlierbaren Eigenschaften durch Kriterien für Bewertung untermauern<br />
(siehe Kapitel 4.4.2).<br />
Priorisierung der Techniken für Schaffung von Anerkannten Regeln der Technik notwendig<br />
(siehe Kapitel 5.4).<br />
Schließung von Regelwerkslücken notwendig (siehe Kapitel 6.1).<br />
<br />
Zustimmung vom EBA für Regelwerke und technische Dokumentation wird angestrebt (siehe<br />
Kapitel 6.1).<br />
Wege der Notifizierung werden aufgezeigt (siehe Kapitel 6.2).<br />
Die Veröffentlichung auf Webseite EBA schafft öffentlichen Zugang (siehe Kapitel 6.4).<br />
33
7.1.2 Empfehlungen<br />
Mit Hilfe der Regelwerkslandkarte (siehe Kapitel 5) sind von der Arbeitsgruppe Lücken bei Anerkannten<br />
Regeln der Technik verdeutlicht worden. Ziel soll es sein, diese entsprechend der Priorisierung<br />
zu schließen.<br />
Um Sicherheit bei der Entwicklung und im Zulassungsprozess zu erhalten, sollen alle Akteure<br />
über die Gültigkeit von Anerkannten Regeln der Technik klare Vorgaben vereinbaren. Eine Möglichkeit<br />
ist, ähnlich wie im Fall der Normung, mit der Veröffentlichung einer neuen Fassung einer<br />
Anerkannten Regel der Technik einen Übergangszeitraum zu definieren. Dieser Zeitraum sollte<br />
mindestens ein Jahr nach Veröffentlichung betragen. In diesem Übergangszeitraum wäre dann<br />
die Anwendung der zu ersetzenden Regelwerke zulässig.<br />
Grundsätzlich sollen in neuen Ausgaben (bzw. nächsten Ausgabe) eines Dokuments zu Anerkannten<br />
Regel der Technik die vorgenommenen Änderungen aufgeführt werden. Die Änderungen<br />
sollten in die folgenden Gruppen unterteilt werden:<br />
a) Editorielle Änderungen<br />
b) Erweiterungen<br />
c) Schließen von erkannten Sicherheitslücken<br />
So ist die Beurteilung möglich, ob Modifikationen bei einem Produkt, <strong>Teil</strong>-System oder System erforderlich<br />
sind. Aktiv werden muss der Hersteller bzw. Betreiber auf jeden Fall dann, wenn Sicherheitslücken<br />
geschlossen werden. In den Fällen a) und b) ist dies in der Regel nicht zwingend<br />
erforderlich. Damit erhalten Hersteller und Betreiber bei längeren Entwicklungs- und Zulassungszeiträumen<br />
eine kalkulierbare Basis, um technologische und wirtschaftliche Interessen abwägen<br />
zu können.<br />
Wird durch den Lenkungskreis Infrastruktur festgestellt, dass eine europaweite Regelung zu einer<br />
bestimmten Technologie erforderlich ist, so wird von der Arbeitsgruppe empfohlen, dies über die<br />
Normungsgremien CEN, CENELEC bzw. ETSI in den Eisenbahnsektor einzuführen. Auf die<br />
Details zu diesem Verfahren soll hier nicht weiter eingegangen werden, da es entsprechende<br />
Regeln von den Normungsgremien für ein derartiges Verfahren gibt.<br />
Es ist das Ziel, die Zustimmung durch das EBA für die Regelwerke und technischen Dokumente<br />
mit dem Potential zu Anerkannten Regeln der Technik zu erhalten. Auf Grund der Besonderheit<br />
im Sektor Eisenbahn durch Verordnungen und Verwaltungsvorschriften ist die Einbeziehung des<br />
EBA geboten. Vor diesem Hintergrund wäre die Mitarbeit des EBA in der Arbeitsgruppe sinnvoll<br />
und hilfreich gewesen. Seitens des EBA wurde allerdings kein Vertreter benannt.<br />
7.2 Stellungnahme durch EBA<br />
Eine Stellungnahme durch das EBA zu diesem Positionspapier ist aus Sicht der Arbeitsgruppe<br />
notwendig.<br />
Die Stellungnahme soll dazu führen, dass das EBA seine Zustimmung zum skizzierten Prozess<br />
zur Erlangung von Anerkannten Regeln der Technik gibt.<br />
34
8 Anhang<br />
8.1 Literaturverzeichnis<br />
[1] Verordnung (EG) Nr. 352/2009 „Common Safety Method (CSM RA) – gemeinsame Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Abs. 3<br />
Buchstabe a der Richtlinie 2004/49/EG“<br />
[2] EG-Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April<br />
2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie<br />
95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen<br />
und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn,<br />
die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung<br />
(„Richtlinie über die Eisenbahnsicherheit“)<br />
[3] EG-Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni<br />
2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft (Neufassung)<br />
[4] Bundesministerium der Justiz, Handbuch der Rechtsförmlichkeit, 3. Auflage, Kapitel 4.5,<br />
RNr. 255 – 257<br />
[5] Durchführungsverordnung (EU) Nr. 402/2013 der Kommission vom 30. April 2013 über die<br />
gemeinsame Sicherheitsmethode für die Evaluierung und Bewertung von Risiken und zur<br />
Aufhebung der Verordnung (EG) Nr. 352/2009<br />
[6] Mitteilung der Kommission im Rahmen der Durchführung der Richtlinie 2008/57/EG des<br />
Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des<br />
Eisenbahnsystems in der Gemeinschaft (Neufassung) (auch OJ genannt)<br />
[7] CENELEC Guide 26 Coordinated approach for the handling of proposals for the interpretation<br />
of CENELEC standards, Edition 1, 2002-06<br />
[8] Geschäftsordnung <strong>Teil</strong> 3: Regeln für den Aufbau und die Abfassung von CEN/CENELEC-<br />
Publikationen (ISO/IEC-Direktiven – <strong>Teil</strong> 2, modifiziert) 2009-08 berichtigte Fassung<br />
[9] DKE-Leitfaden Beteiligung der DKE an der Erstellung und Bewertung von Normungsaufträgen<br />
der Europäischen Kommission (Mandate); 18.03.2010<br />
[10] Verwaltungsvorschrift für die Neue Typzulassung (NTZ) von Signal-, Telekommunikations-<br />
und Elektrotechnischen Anlagen; (Stufe 1: Übergangsregelung für Sicherungsanlagen<br />
zur Anwendung im Projekt VDE 8.1/8.2); Ausgabe 0.80b, gültig ab 01.01.2013<br />
[11] EN 50129:2003; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und<br />
Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik<br />
[12] ISO 9001:2008; Qualitätsmanagementsysteme - Anforderungen<br />
[13] Datei der Regelwerkslandkarte der NeGSt Arbeitsgruppe „Anerkannte Regeln der Technik“<br />
[14] EN 50126:1999 und Berichtigungen; Bahnanwendungen - Spezifikation und Nachweis<br />
der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS);<br />
[15] EN 50128:2011; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und<br />
Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme<br />
35
[16] NeGSt <strong>Teil</strong>bericht AP 2100 – Empfehlung zum Umgang mit Normen mit Technisches<br />
Memo inkl. referenzierte technisches Memo „jNMS Anforderungsanalyse“ sowie <strong>Teil</strong>bericht<br />
„NMS Umsetzung mit Polarion ALM“<br />
[17] Eisenbahn-Bau- und Betriebsordnung (EBO); Ausfertigungsdatum: 08.05.1967; Zuletzt<br />
geändert durch Art. 1 V v. 25.7.2012 I 1703<br />
[18] VV BAU-STE Ausgabe 4.51, gültig ab 01.06.2010<br />
[19] Ril 408 „Züge fahren und Rangieren“<br />
[20] Ril 819 „LST Anlagen planen“<br />
[21] EN 50126 Reihe: prEN 50126-1, -2, -4 und -5, Entwurf 2012<br />
Zusammenführung der EN 50126, EN 50128 und EN 50129<br />
[22] EN 61508 Europäische Norm; Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer<br />
elektronischer Systeme<br />
[23] EN 61511 Europäische Norm; Funktionale Sicherheit - Sicherheitstechnische Systeme<br />
für die Prozessindustrie mit EN 61511-1:2012<br />
[24] Mü8004 Technische Grundsätze für die Zulassung von Sicherungsanlagen; Ausgabe<br />
01.02.2007<br />
[25] Sammlung „Definition Betriebsbewährtheit“, Erarbeitet von AP 2100, Arbeitsgruppe 1<br />
„Anerkannte Regeln der Technik“, V1-00<br />
8.2 Glossar<br />
A.R.d.T.<br />
AEG<br />
AP<br />
BMVBS<br />
BMWi<br />
BÜ<br />
CEN<br />
CENELEC<br />
CSM RA<br />
DB<br />
DIN<br />
DLR<br />
EBA<br />
EBC<br />
EBO<br />
Anerkannte Regeln der Technik<br />
Allgemeines Eisenbahngesetz<br />
Arbeitspaket<br />
Bundesministerium für Verkehr, Bau und Stadtentwicklung<br />
Bundesministerium für Wirtschaft<br />
Bahnübergang<br />
Comité Européen de Normalisation (engl.: European Committee for Standardisation,<br />
dt.:Europäische Komitee für Normung)<br />
Comité Européen de Normalisation Électrotechnique (engl.: European Committee<br />
for Electrotechnical Standardization, dt.: Europäische Komitee für elektrotechnische<br />
Normung)<br />
Gemeinsame Sicherheitsmethoden für die Evaluierung und Bewertung von Risiken<br />
Deutsche Bahn<br />
Deutsche Industrie Norm<br />
Deutsches Zentrum für Luft- und Raumfahrt<br />
Eisenbahn-Bundesamt<br />
Eisenbahn-CERT (Zertifizierungs- und Inspektionsstelle für komplexe Eisenbahnsysteme<br />
und Komponenten)<br />
Eisenbahn- Bau- und Betriebsordnung<br />
36
EdB<br />
EN<br />
EOW<br />
ESO<br />
ESTW<br />
ETCS<br />
ETSI<br />
EU<br />
IEC<br />
IMS<br />
ISO<br />
LAEB<br />
LEU<br />
LK<br />
LST<br />
LZB<br />
Mü 8004<br />
NeGSt<br />
NeuPro<br />
NTZ<br />
OJ<br />
PZB<br />
RAMS<br />
Ril<br />
RL<br />
RWTH<br />
SiErm<br />
SIS<br />
SMS<br />
STE-Anlagen<br />
TEIV<br />
TK<br />
TSI<br />
Eisenbahnen des Bundes<br />
Europäische Norm<br />
Elektrisch Ortsgestellte Weichen<br />
Eisenbahnsignalordnung<br />
Elektronisches Stellwerk<br />
European Train Controll System (dt.: Europäisches Zugsicherungssystem)<br />
European Telecommunications Standards Institute (dt.: Europäisches Institut für<br />
Telekomunikationsnormen)<br />
Europäische Union<br />
International Electrotechnical Commission<br />
Integrierten Management Systems<br />
International Organization for Standardization<br />
Länderausschuss für Eisenbahnen und Bergbahnen<br />
Streckenseitige elektronische Einheit<br />
Lenkungskreis<br />
Leit- und –Sicherungstechnik<br />
Linienförmige Zugbeeinflussung<br />
EBA: Technische Grundsätze für die Zulassung von Sicherungsanlagen [München<br />
1980, im April (04)]<br />
Neue Generation Signaltechnik<br />
Neuausrichtung Produktionssteuerung, Standardisierung der Stellwerkstechnik<br />
Neue Typzulassung<br />
Official Journal zu EG-Richtlinie (Liste der harmonisierten Normen)<br />
Punktförmige Zugbeeinflussung<br />
Reliability, Availability, Maintainability and Safety (deutsch: Zuverlässigkeit,<br />
Verfügbarkeit, Instandhaltbarkeit und Sicherheit)<br />
Richtlinie der DB AG<br />
Richtlinie oder auch als EG-RL abgekürzt. Damit gemeint sind EG-Richtlinien.<br />
Rheinisch-Westfälische Technische Hochschule<br />
Sicherheitliches Ermessen<br />
Sicherheitstechnisches System<br />
Sicherheitsmanagementsystem<br />
Signal-,Telekomunikations- und Elektrotechnische Anlagen<br />
Transeuropäische Interoperabilitätsverordnung<br />
Telekommunikation<br />
Technische Spezifikation für die Interoperabilität<br />
37
VDB<br />
VDV<br />
VPI<br />
VV BAU<br />
VV BAU-STE<br />
VV NTZ ÜGR<br />
Stufe 1<br />
VwVfG<br />
Verband der Bahnindustrie<br />
Verband Deutscher Verkehrsunternehmen<br />
Vereinigung der Prüfingenieure<br />
Verwaltungsvorschrift über die Bauaufsicht im Ingenieurbau, Oberbau und<br />
Hochbau<br />
Verwaltungsvorschrift für die Bauaufsicht über Signal-, Telekommunikationsund<br />
Elektrotechnische Anlagen<br />
Verwaltungsvorschrift für die Neue Typzulassung (NTZ) von Signal-, Telekommunikations-<br />
und Elektrotechnischen Anlagen; (Stufe 1: Übergangsregelung für<br />
Sicherungsanlagen zur Anwendung im Projekt VDE 8.1/8.2); Ausgabe 0.80b,<br />
gültig ab 01.01.2013<br />
Verwaltungsverfahrensgesetz<br />
38
Neue Generation Signaltechnik - NeGSt<br />
Sammlung zu<br />
„Definition Betriebsbewährtheit“<br />
NeGSt<br />
AP 2100, Arbeitsgruppe 1<br />
„Anerkannte Regeln der Technik“<br />
31. Juli 2013<br />
Datei: NeGSt_ARdT_Sammlung_Betriebsbewaehrt_V1-<br />
00_20130731
Inhaltsverzeichnis<br />
1 Vorwort 3<br />
2 Sammlung Definition Betriebsbewährtheit 4<br />
2.1 Funktionale Sicherheit elektrotechnischer Komponenten - Ein Leitfaden für Anwender<br />
[A] 4<br />
2.2 IEC 61508 4<br />
2.3 IEC 61511 (Prozessindustrie) 5<br />
2.4 Diskussion innerhalb der Normenfachexperten IEC 61508/61511 6<br />
2.5 DIN EN 5012x (Bahn) 6<br />
2.5.1 DIN EN 50126:2000 6<br />
2.5.2 DIN EN 50128:2001 / EN 50128:2011 6<br />
2.5.3 DIN EN 50129:2003 6<br />
2.6 ISO 26262 (Automotive) 7<br />
2.7 EN 13849 ( Anlagen-/Maschinensicherheit) 7<br />
2.8 Im Kontext der (Chemie-)Anlagensicherheit 8<br />
2.9 Im Kontext elektrotechnischer Komponenten 8<br />
2.10 Im Software-Kontext 9<br />
3 Anhang 10<br />
3.1 Literaturverzeichnis 10<br />
3.2 Quellenverzeichnis Internet 11<br />
3.3 Glossar 11<br />
Änderungsvermerke:<br />
Version Durchgeführt von Anmerkung<br />
V0-00 C. Hilgers Veröffentlichte Fassung<br />
2
1 Vorwort<br />
Mit diesem Dokument werden Definitionen und Aussagen zum Begriff „Betriebsbewährtheit“ zusammengefasst.<br />
Es ist eine Zusammenstellung, die nicht den Anspruch auf Vollständigkeit erhebt.<br />
Im Rahmen des Projektes NeGSt AP 2100, Arbeitsgruppe 1 „Anerkannte Regeln der Technik“<br />
wird der Begriff „Betriebsbewährtheit“ diskutiert und führte zu einer Sammlung von Definitionen.<br />
Dieses Dokument ergänzt somit das Positionspapier „Positionspapier Entwicklung von anerkannten<br />
Regeln der Technik“, insbesondere die Aussagen zur Betriebsbewährtheit in Kapitel 4.1.<br />
3
2 Sammlung Definition Betriebsbewährtheit 1<br />
2.1 Funktionale Sicherheit elektrotechnischer Komponenten - Ein Leitfaden für Anwender<br />
[A]<br />
„Die IEC 61508 ist die Grundnorm und damit die Basis für die Sicherheitsnormierung. Daneben<br />
gibt es noch sektorspezifische Normen auf Basis der IEC 61508, die besonders für Planer und<br />
Betreiber wichtig sind. Für die Prozessindustrie gilt die IEC 61511. Mögliche Anwendungen und<br />
Validierungen für sicherheitsrelevante Schutzfunktionen sowie Regeln für (betriebs-)bewährte<br />
Technik werden durch europäische und internationale Normen (zum Beispiel DIN EN 50116 oder<br />
DIN ISO 13849-2) definiert.<br />
…<br />
In der IEC 61511 wird „betriebsbewährt“ definiert, jedoch kann nur der Betreiber eine Betriebsbewährung<br />
aussprechen, der Hersteller nicht. Betriebsbewährte Geräte werden zumeist durch die<br />
Anwender in Standardgerätelisten festgehalten. Betriebsbewährungen müssen lückenlos dokumentiert<br />
werden und in hinreichendem Maße die Einsatzerfahrungen über einen längeren Zeitraum<br />
wiedergeben.“<br />
Quelle [A]:<br />
http://www.namur.de/fileadmin/media/Pressespiegel/atp/atp_01_02_2011_Funktionale_Sicherheit_Knit<br />
tel_Namur.pdf<br />
2.2 IEC 61508<br />
Zitat aus IEC 61508-2:2000 [15]:<br />
„7.4.7.6 Eine Komponente oder ein <strong>Teil</strong>system kann dann als betriebsbewährt (Proven in<br />
Use) angesehen … Komponente ausreichende Nachweise … Einsatz in einem sicherheitstechnischen<br />
System eignet.<br />
….“<br />
Die weiteren Abschnitte 7.4.7.7 bis 7.4.7.12 der Norm beschreiben die Anwendungsbedingungen<br />
für das Kriterium „proven in use“.<br />
In der EN 61508-2:2010 [5] sind geändert diese Aussagen zu finden:<br />
„7.4.10 Anforderungen an betriebsbewährte Elemente<br />
Anmerkung Siehe 7.4.2.2. c) für Einzelheiten, wann die Anforderungen dieses Unterabschnitts gelten.<br />
7.4.10.1 Ein Element darf nur als betriebsbewährt betrachtet werden, wenn es eine klar beschränkte<br />
und festgelegte Funktionalität hat und wenn ein angemessener dokumentarischer<br />
Nachweis vorliegt, um zu zeigen, dass die Wahrscheinlichkeit aller gefahrbringenden systematischen<br />
Fehler gering genug ist, …“<br />
Zitat aus IEC 61508-7:2000 [16] der Norm:<br />
„B.5.4 Felderfahrung<br />
Anmerkung 1 Siehe auch C.2.10 für eine ähnliche Maßnahme und Anhang D für einen<br />
statistischen Ansatz, beides im Zusammenhang mit Software.<br />
1 engl. „proven in use“<br />
4
Anmerkung 2 Dieses Verfahren/Maßnahme ist in den Tabellen B.3 und B.5 der IEC<br />
61508-2 aufgeführt.<br />
Ziel: Verwendung von Felderfahrungen …<br />
Beschreibung: Verwendung von Bauteilen oder Untersystemen, … über ausreichend lange<br />
Zeit in zahlreichen verschiedenen Anwendungen keine oder nur unbedeutende Fehler …<br />
Für die Angabe ,,Felderfahrung“ müssen die folgenden Bedingungen erfüllt sein:<br />
unveränderte Spezifikation;<br />
10 Systeme in verschiedenen Anwendungen;<br />
10 5 Betriebsstunden und mindestens ein Jahr Betriebsaufzeichnung.<br />
Die Felderfahrung wird durch Dokumentation des Herstellers und/oder der betreibenden Firma<br />
nachgewiesen.<br />
… “<br />
In der EN 61508-7:2010 [17] sind ähnliche Aussagen zu finden:<br />
„…<br />
Ziel: Verwendung von Felderfahrungen …<br />
Beschreibung: Verwendung von Bauteilen oder <strong>Teil</strong>systemen, … über ausreichend lange Zeit<br />
in zahlreichen verschiedenen Anwendungen keine oder nur unbedeutende Fehler gezeigt<br />
haben …<br />
Für die Angabe ,,Felderfahrung“ müssen die folgenden Bedingungen erfüllt sein:<br />
unveränderte Spezifikation;<br />
10 Systeme in verschiedenen Anwendungen;<br />
10 5 Betriebsstunden und mindestens ein Jahr Betriebsaufzeichnung.<br />
…<br />
Die Felderfahrung wird durch Dokumentation des Herstellers und/oder der betreibenden Firma<br />
nachgewiesen.<br />
…“<br />
2.3 IEC 61511 (Prozessindustrie)<br />
Definition Betriebsbewährtheit nach E DIN EN 61511-1:2012-10 Kap. 3.2.55 [6]:<br />
„Betriebsbewährt (en: prior use)<br />
dokumentierte Beurteilung, beruhend auf Betriebserfahrungen in einer ähnlichen Umgebung,<br />
…“<br />
„11.5.3 Anforderung hinsichtlich der auf Basis einer früheren Verwendung erfolgenden Auswahl<br />
von Komponenten und <strong>Teil</strong>systemen<br />
5
11.5.3.1 Es muss in geeigneter Weise nachgewiesen werden, dass die Komponenten und<br />
<strong>Teil</strong>systeme für den Einsatz im sicherheitstechnischen System geeignet sind.<br />
…<br />
11.5.3.2 Der Nachweis muss Folgendes beinhalten:<br />
Berücksichtigung des Qualitätsmanagements …<br />
…<br />
den Umfang der Betriebserfahrung;<br />
…“<br />
EN 61511-1:2004 [15]:<br />
„3.2.60 Eine Komponente ist dann betriebsbewährt, … für den Einsatz in einem sicherheitstechnischen<br />
System geeignet …“<br />
2.4 Diskussion innerhalb der Normenfachexperten IEC 61508/61511<br />
Anpassung der Definitionen zur früheren Nutzung und der Bedingungen, unter denen diese herangezogen<br />
werden kann. Die Benennung „frühere Nutzung“ wird in der zur Zeit gültigen DIN EN<br />
61511 (VDE 0810):2004 für die Benennung „prior use“ nach IEC 61511 verwendet. DKE/GK 914<br />
berät jedoch darüber, für die Neuausgabe der DIN EN 61511 (VDE 0810) diese Benennung<br />
„frühere Nutzung“ durch die in der deutschen Fachöffentlichkeit übliche Benennung „betriebsbewährt“<br />
zu ersetzen.<br />
Eine vom Hersteller festgestellte Betriebsbewährung (proven in use) wird in der künftigen IEC<br />
61511 voraussichtlich nicht mehr beschrieben werden.<br />
Quelle (Meldung vom 14.1.2013) [B]: http://www.dke.de/de/DKE-<br />
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx<br />
Eine Diskussion der unterschiedlichen Aussagen der IEC 61508 und IEC 61511 zur Betriebsbewährtheit<br />
sowie einer möglichen Umsetzung erfolgt im englischsprachigen Artikel [13].<br />
2.5 DIN EN 5012x (Bahn)<br />
2.5.1 DIN EN 50126:2000<br />
Keine Verwendung; in B5. ist ohne weitere Erläuterung die Rede von „erprobten Verfahren/Werkzeugen“<br />
2.5.2 DIN EN 50128:2001 / EN 50128:2011<br />
„Betriebsbewährter Übersetzer“ (Compiler) in Abschnitt B.65 der Norm von 2001 beschrieben; in<br />
der Norm von 2011 wurde der Abschnitt offensichtlich entfernt<br />
2.5.3 DIN EN 50129:2003<br />
Verwendung im Kontext der Verwendung betriebsbewährter Computertools für SIL3/SIL4<br />
in Tabelle E.7, vierte Zeile. Keine Definition des Begriffs.<br />
6
„Bei SIL3 / 4: R: Verwendung von betriebsbewährten oder validierten Werkzeugen, allgemeine<br />
computerunterstützte Entwicklung“<br />
Die hier relevantere Verwendung ist diejenige als empfohlene Methode (Einstufung R =<br />
recommended) für die Verifikation und Validation von Systemen/Produktentwürfen in Tabelle<br />
E.9, zwölfte Zeile:<br />
"10.000 Betriebsstunden über mindestens 1 Jahr" für SIL 1/2-Systeme sowie "1 Million<br />
Betriebsstunden über mindestens 2 Jahre mit unterschiedlichen Einrichtungen, einschließlich<br />
Sicherheitsanalyse, detaillierte Dokumentation auch von kleineren Änderungen<br />
während der Betriebszeit" für SIL 3/4-Systeme.<br />
2.6 ISO 26262 (Automotive)<br />
Proven-in-Use, Betriebsbewährtheit: Wenn Komponenten eines Systems wiederverwendet werden<br />
sollen oder einige Zeit vor Inkrafttreten der Norm erfolgreich und fehlerfrei von Kunden verwendet<br />
wurden, kann man mit dieser Erfahrung den Entwicklungsaufwand bei Wiederverwendung<br />
reduzieren. Je nach Bedeutung können von der Norm geforderte Nachweise oder Maßnahmen<br />
entfallen. Voraussetzung ist eine Produktbeobachtung 2 und die Analyse der Ausfälle, die<br />
in der Hand des Kunden aufgetreten sind[6]. Komponenten können Hardwarekomponenten und<br />
Softwaremodule sein, aber auch <strong>Teil</strong>e der früher erarbeiteten Dokumentation, die selbst nur dem<br />
Nachweis einer sicheren Entwicklung dient.<br />
Quelle [C]: http://de.wikipedia.org/wiki/ISO_26262<br />
Schließlich wird in der Leitnorm für die Risikobeurteilung (ISO 12100) ausdrücklich erwähnt, dass<br />
bei den notwendigerweise hypothetischen Analysen real existierende Praxisbefunde berücksichtigt<br />
werden sollen. Dies tut z. B. die funktionale Sicherheitsnorm ISO 26262 für Kraftfahrzeuge im<br />
<strong>Teil</strong> 8 Abschnitt 14 mit statistisch begründeten Methoden zum Nachweis der Betriebsbewährtheit.<br />
Quelle [D]: http://www.industrieforum.net/de/konstruktionentwicklungde/april042011/rubrik/betriebsbewaehrtheitberuecksichtigen/;jsessionid=aT_fUTwaOMVdZig42f<br />
Die aktuelle Dissertationsschrift [14] setzt sich ausführlich mit Theorie und Praxis der Betriebsbewährtheit<br />
im Automobilbereich auseinander.<br />
2.7 EN 13849 ( Anlagen-/Maschinensicherheit)<br />
EN 13849-1: Betriebsbewährte Bauteile als eine Maßnahme (unter vielen) gegen CCF-Ausfälle<br />
Quelle [E]: www.hs-augsburg.de/~gilles/.../Steuerungen%20EN%2013849-1.ppt<br />
Betriebsbewährte Bauteile. In ähnlichen Anwendungen bereits eingesetzt (vgl. DIN EN ISO 13849-2 B.4)<br />
Quelle [F]: http://www.festo.com/net/SupportPortal/Files/26977/Sicherheitstechnik%20135241%2003-<br />
2013%20DE.pdf<br />
2 http://de.wikipedia.org/wiki/Produktbeobachtung<br />
7
Zitate aus EN ISO 13849-1:2008 [7]:<br />
„4.5.1 Performance Level P<br />
…<br />
Dies kann erreicht werden durch Erhöhung der Zuverlässigkeit der Bauteile, z. B. durch Auswahl<br />
von bewährten Bauteilen und/oder die Anwendung von bewährten Sicherheitsprinzipien,<br />
…<br />
6.2.4 Kategorie 1<br />
… Ein bewährtes Bauteil für eine sicherheitsbezogene Anwendung ist ein Bauteil, das entweder:<br />
a) in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen …<br />
b) unter Anwendung von Prinzipien hergestellt und verifiziert …<br />
…“<br />
Zitat aus EN ISO 13849-2:2003 [17]:<br />
„8 Validierung der Umgebungsanforderungen<br />
Die Anwendung von Betriebszuverlässigkeitsdaten … können den Validierungsprozess unterstützen.“<br />
2.8 Im Kontext der (Chemie-)Anlagensicherheit<br />
Als betriebsbewährt gelten Ausrüstungsteil, die bereits in einer Mindeststückzahl über einen definierten<br />
Zeitraum in gleichem oder zumindest vergleichbarem Einsatzbereich betrieben werden<br />
und als sicher in ihrer Funktion gelten. Die IEC 61511 beziffert hier die Summe der Einsatzzeit<br />
auf mindestens 30 Mio. Stunden (Einbeziehung aller eingesetzten Geräte). Neben der IEC 61511<br />
behandelt auch die Namur-Empfehlung NE 93 die Kriterien für die Betriebsbewährtheit.<br />
Quelle [G]: http://www.industrie.de/industrie/live/index2.php?set=goarticle&object_id=30095748<br />
2.9 Im Kontext elektrotechnischer Komponenten<br />
„Betriebsbewährtheit<br />
Proven in Use (zur Konfiguration sicherheitsbezogener Systeme werden u. a. betriebsbewährte<br />
[proven-in-use] Bauteile verwendet. Das heißt Bauteile, die sich bereits in größerer<br />
Stückzahl über einen längeren Zeitraum unter gleichen oder ähnlichen Einsatzbedingungen<br />
bezüglich ihrer Funktionssicherheit bewährt haben. Die konkreten Kriterien für die Betriebsbewährtheit<br />
sind dabei in den verschiedenen Branchen nicht exakt gleich definiert. Nach der<br />
DIN EN 61511 (VDE 0810) beispielsweise werden in der Prozessindustrie unter Einbeziehung<br />
aller betrachteten Geräte mindestens 30 Mio. Stunden Betriebszeit vorausgesetzt. Im<br />
Bereich des Maschinenbaus dagegen werden Bauteile oder Komponenten als betriebsbewährt<br />
angesehen, wenn zehn Systeme in unterschiedlichen Anwendungen während 10 000<br />
Betriebsstunden oder wenigstens einem Jahr Betriebsdauer keine sicherheitsrelevanten Fehlfunktionen<br />
gezeigt haben)“<br />
Quelle [H]: http://www.etz.de/1111-0-Fachlexikon.html?alpha=B<br />
8
2.10 Im Software-Kontext<br />
„Der Begriff ,,Betriebsbewährtheit'' und der Begriff ,,Erprobtheit'' kommen eigentlich aus dem<br />
Gebiet der Hardware, vor allem in Bezug auf Bauelemente. Sie sind im Regelwerk festgelegt<br />
(siehe z.B. DIN 50116 und DIN 0801).<br />
Der Beurteilung, ob eine Software betriebsbewährt ist (Es kann sich auch um ein einzelnes<br />
Modul oder z.B. um einen kompletten Compiler handeln), liegen drei Kriterien zugrunde:<br />
<br />
<br />
<br />
Zeitraum des Einsatzes mindestens zwei Jahre<br />
Große Anzahl von Installationen<br />
Unterschiedliche Anwendungen<br />
Die Spezifikation darf nicht verändert werden, nur um diese Kriterien zu erfüllen. Außerdem<br />
dürfen keine oder nur unwesentliche Versagensfälle auftreten. Der Einsatz betriebsbewährter<br />
Software ist - wie bei Hardware - eine Maßnahme, die Verfügbarkeit und Zuverlässigkeit des<br />
Gesamtsystems erhöht.<br />
Bei manchen Software-Produkten bedeutet das Zutreffen der obigen drei Kriterien nicht unbedingt<br />
das das Produkt ,,Betriebsbewährt'' ist. So kann es sich bei einem Betriebssystem einer<br />
bekannten Firma aus Redmond nicht um eine ,,Betriebsbewährte'' Software handelt, da<br />
auftretende Fehler meistens nicht selten und unwesentlich sind. Zwar überwiegt die Anzahl<br />
der Installation und die der Unterschiedlichen Anwendungen sicher denen anderer Hersteller,<br />
aber trotzdem sollte dieses Produkt nicht als ,,Betriebsbewährt'' angesehen werden.“<br />
Quelle [I]: http://www.fh-wedel.de/archiv/wol/seminar/gruppe9-10/definition.html<br />
9
3 Anhang<br />
3.1 Literaturverzeichnis<br />
[1] EN 50129:2003; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme<br />
- Sicherheitsrelevante elektronische Systeme für Signaltechnik<br />
[2] EN 50126:1999 und Berichtigungen; Bahnanwendungen - Spezifikation und Nachweis der<br />
Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS);<br />
[3] EN 50128:2008; Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme<br />
- Software für Eisenbahnsteuerungs- und Überwachungssysteme<br />
[4] EN 50126 Reihe: prEN 50126-1, -2, -4 und -5, Entwurf 2012<br />
Zusammenführung der EN 50126, EN 50128 und EN 50129<br />
[5] EN 61508-2:2010 Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer/programmierbarer<br />
elektronischer Systeme – <strong>Teil</strong> 2: Anforderungen an sicherheitsbezogene<br />
elektrische/elektronische/programmierbare elektronische Systeme<br />
[6] E DIN EN 61511-1:2012-10: Europäische Norm; Funktionale Sicherheit - Sicherheitstechnische<br />
Systeme für die Prozessindustrie<br />
[7] EN 13849 Europäische Norm; Sicherheit von Maschinen - Sicherheitsbezogene <strong>Teil</strong>e von<br />
Steuerungen<br />
[8] ISO 26262 Internationale Norm; Straßenfahrzeuge - Funktionale Sicherheit<br />
[9] ISO 12100 Internationale Norm; Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze<br />
- Risikobeurteilung und Risikominderung<br />
[10] NE 93<br />
[11] DIN 50116 Prüfung von Zink und Zinklegierungen; Schlagbiegeversuch<br />
[12] DIN 0801 Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben.<br />
[13] R. Amkreutz and I. Van Beurden: What does proven in use imply? Houston, TX, United<br />
States, 2004.<br />
[14] Marco Heinz Schlummer: Beitrag zur Entwicklung einer alternativen Vorgehensweise für<br />
eine Proven-in-Use-Argumentation in der Automobilindustrie. Bergische Universität Wuppertal,<br />
2012<br />
[15] IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety-related<br />
systems - Part 2<br />
[16] IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety-related<br />
systems - Part 7<br />
[17] EN 61508-7:2010 Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer/programmierbarer<br />
elektronischer Systeme – <strong>Teil</strong> 7: Überblick über Verfahren und<br />
Maßnahmen<br />
10
3.2 Quellenverzeichnis Internet<br />
[A] http://www.namur.de/fileadmin/media/Pressespiegel/atp/atp_01_02_2011_Funktionale_Si<br />
cherheit_Knittel_Namur.pdf<br />
[B] http://www.dke.de/de/DKE-<br />
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx<br />
[C] http://www.dke.de/de/DKE-<br />
Arbeit/MitteilungenzurNormungsarbeit/2013/Seiten/Ueberarbeitung61511.aspx<br />
[D] http://www.industrieforum.net/de/konstruktionentwicklungde/april042011/rubrik/betriebsbewaehrtheitberuecksichtigen/;jsessionid=aT_fUTwaOMVdZig42f<br />
[E] www.hs-augsburg.de/~gilles/.../Steuerungen%20EN%2013849-1.ppt<br />
[F] http://www.festo.com/net/SupportPortal/Files/26977/Sicherheitstechnik%20135241%2003-<br />
2013%20DE.pdf<br />
[G] http://www.industrie.de/industrie/live/index2.php?set=goarticle&object_id=30095748<br />
[H] http://www.etz.de/1111-0-Fachlexikon.html?alpha=B<br />
[I] http://www.fh-wedel.de/archiv/wol/seminar/gruppe9-10/definition.html<br />
3.3 Glossar<br />
AP<br />
CCF<br />
DIN<br />
DKE<br />
E/E/PES<br />
EN<br />
GK<br />
IEC<br />
ISO<br />
NeGSt<br />
PL<br />
SIL<br />
SIS<br />
VDE<br />
Arbeitspaket<br />
Common Cause Failure<br />
Deutsche Industrienorm<br />
Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und<br />
VDE<br />
Elektrische/Elektronische/Programmierbare Elektronische Systeme<br />
Europäische Norm<br />
Gemeinschaftskomitee<br />
International Electrotechnical Commission<br />
International Organization for Standardization<br />
Neue Generation Signaltechnik<br />
Performance Level<br />
Safety Integrity Level<br />
Sicherheitstechnisches System<br />
Verband der Elektrotechnik Elektronik Informationstechnik e.V.<br />
11
Schlussbericht<br />
Anhang zu AP 2000 – Optimierung des Zulassungsprozesses<br />
Anhang 2.2:<br />
<strong>Teil</strong>berichte der Arbeitsgruppe 2 „Effiziente Umsetzung<br />
CSM-VO“<br />
1. Signifikanzbewertung von Änderungen an technischen Systemen auf Grundlage Ausfallfolgen-Unsicherheits-Matrix<br />
2. Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
3. Allgemein vertretbares Risiko<br />
4. Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen” bei<br />
Anwendung der CSM-VO<br />
5. Semi-quantitative Verfahren zur expliziten Risikoabschätzung<br />
6. Unabhängige Bewertung<br />
7. Schulungsfolien zur Einführung in die "CSM-VO"<br />
8. Erfüllung der CSM VO durch Anwendung der CENELEC-Normen
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Signifikanzbewertung von Änderungen an technischen<br />
Systemen auf Grundlage Ausfallfolgen-<br />
Unsicherheits-Matrix<br />
18.04.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger: TÜV Rheinland Consulting GmbH
AP 2100 – Signifikanzbewertung<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
29.06.2012 Braband (Siemens AG) V01 Erstellung<br />
17.07.2012 Braband (Siemens AG) V02 Einarbeitung von Anmerkungen nach dem AG-<br />
Treffen 2012-07-02<br />
14.08.2012 Brinkmann (PINTSCH V03 Änderung nach Inspektion<br />
BAMAG GmbH)<br />
28.08.2012 Braband (Siemens AG) V04 Abschließendes Review im AG-Treffen 2012-08-<br />
28<br />
16.04.2013 Braband (Siemens AG) V05 Einarbeitung weiterer Aspekte und Beispiele<br />
18.04.2013 Beck (DB AG), Brinkmann<br />
(PINTSCH BA-<br />
MAG GmbH),<br />
Schwencke (DLR)<br />
V06<br />
Einarbeitung von Korrekturen und Kommentaren<br />
Seite 2 von 15
AP 2100 – Signifikanzbewertung<br />
Inhaltsverzeichnis<br />
1 Einleitung .......................................................................................................................... 4<br />
2 Zum Begriff der Änderung .............................................................................................. 4<br />
3 Vorgaben der CSM VO ..................................................................................................... 5<br />
4 AUM-Verfahren ................................................................................................................ 5<br />
5 Diskussion der Signifikanzkriterien ................................................................................ 6<br />
5.1 Allgemeine Überlegungen .......................................................................................... 6<br />
5.2 Sicherheitsrelevanz ..................................................................................................... 7<br />
5.3 Folgen von Ausfällen .................................................................................................. 7<br />
5.4 Innovative Elemente in der Implementierung der Änderung .................................. 7<br />
5.5 Komplexität der Änderung ......................................................................................... 8<br />
5.6 Überwachung .............................................................................................................. 8<br />
5.7 Umkehrbarkeit ............................................................................................................. 9<br />
5.8 Additive Wirkung ........................................................................................................ 9<br />
5.9 Gesamtbewertung ....................................................................................................... 9<br />
6 Beispielanwendungen ................................................................................................... 10<br />
6.1 Typische Beispiele aus der Praxis ............................................................................. 10<br />
6.2 Beispiel Schnittstellenänderung ............................................................................... 11<br />
6.3 Diskussion .................................................................................................................. 12<br />
7 Zusammenfassung ......................................................................................................... 13<br />
8 Anhang ........................................................................................................................... 14<br />
8.1 Vergleich mit qualitativen Signifikanzkriterien ...................................................... 14<br />
8.2 Referenzen ................................................................................................................. 14<br />
8.3 Abkürzungen ............................................................................................................. 15<br />
Seite 3 von 15
AP 2100 – Signifikanzbewertung<br />
Einleitung<br />
1 Einleitung<br />
Die Signifikanzbewertung von Änderungen hat bei der Umsetzung der EG Verordnung<br />
352/2009 zu einigen Diskussionen geführt. Dies liegt unter anderem an teilweise den Sinn der<br />
Verordnung verändernden Übersetzungen aus dem englischen Original, aber auch an unklaren<br />
oder unvollständigen Formulierungen.<br />
Hinderlich ist aber vor allem, dass es bisher kein einheitliches Verfahren zur Signifikanzbewertung<br />
gibt. Es gibt zwar allgemeine Vorschläge z. B. seitens ORR und darauf aufbauend Vorschläge<br />
des VDV bzw. der DB AG, ein ähnliches Verfahren, die sog. Ausfallfolgen-Unsicherheits-<br />
Matrix (AUM), insbesondere zur Bewertung organisatorischer, betrieblicher oder baulicher Änderungen<br />
einzusetzen, bisher gibt es aber keine Ausprägung der AUM zur Bewertung von Änderungen<br />
an signaltechnischen Systemen.<br />
In diesem Bericht wird für eine Änderung an signaltechnischen Systemen diskutiert, ob und wie<br />
die Bewertung der Signifikanz mit einer AUM-Variante sinnvoll durchgeführt werden kann. Dies<br />
hätte den Vorteil, dass man dann im deutschen Eisenbahnsektor eine einheitliche Methode zur<br />
Signifikanzbewertung verabschieden könnte, die je nach Einsatzzweck mit unterschiedlichen<br />
Kriterien untersetzt werden könnte<br />
Um das Ergebnis abzusichern, wird die Variante an typischen Beispielen pilotiert und mit den<br />
Ergebnissen einer bereits erarbeiteten qualitativen Signifikanzbewertung bei Durchführung von<br />
Änderungen auf Grundlage von Regelwerken abgeglichen.<br />
2 Zum Begriff der Änderung<br />
Bevor eine Signifikanzbewertung erfolgt, sollte zunächst überlegt werden, ob überhaupt eine<br />
Änderung im Sinne der EG Verordnung 352/2009 vorliegt. Leider wird in der Verordnung selbst<br />
der Begriff der Änderung nicht definiert, so dass man in einer weiten Auslegung des Begriffes<br />
auch davon ausgehen könnte, dass jede Änderung im Eisenbahnsystem auf Signifikanz zu bewerten<br />
wäre, z. B. Umlauf einer Weiche, Eingabe einer Langsamfahrstelle oder Änderung einer<br />
Projektierung. Dies ist aber sicherlich nicht Sinn der EG Verordnung 352/2009 und wurde auch<br />
von der ERA so bestätigt.<br />
In EG Verordnung 352/2009 kann man aber unter Erwägung (4) implizit schließen, welche Änderungen<br />
überhaupt einer Signifikanzbewertung unterzogen werden sollten:<br />
Gemäß Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG hat das Sicherheitsmanagementsystem<br />
Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung<br />
von Maßnahmen zur Risikokontrolle zu umfassen für den Fall, dass sich aus geänderten Betriebsbedingungen<br />
oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben.<br />
Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.<br />
Hieraus kann man insbesondere schließen, dass explizit geänderte Betriebsbedingungen oder<br />
neues Material Änderungen im Sinn der Verordnung sind, und dass es insbesondere um die Bewertung<br />
neuer Risiken geht, nämlich solche, die durch die Änderung hervorgerufen werden. Im<br />
weiteren Sinn sind also Änderungen nach EG Verordnung 352/2009 solche, bei denen neue<br />
Gefährdungen oder Risiken entstehen oder Risiken so verändert werden, dass diese Risiken die<br />
Anwendung eines Sicherheits- oder Risikomanagementverfahrens bedürfen. Diese Interpretation<br />
ist auch schlüssig in dem Sinne, dass die CSM VO ein harmonisiertes Risikomanagementverfahren<br />
beschreibt. Werden Risiken aber nicht verändert oder entstehen keine neuen Risiken, so ist<br />
auch kein Risikomanagementverfahren nötig, auch nicht nach CSM VO.<br />
In der Regel handelt es sich daher bei wiederholter Anwendung von eingeführten Prozeduren<br />
nicht um Änderungen im Sinne der CSM VO, allenfalls bei Änderungen an den Prozeduren bzw.<br />
deren erstmaliger Anwendung.<br />
Seite 4 von 15
AP 2100 – Signifikanzbewertung<br />
Vorgaben der CSM VO<br />
3 Vorgaben der CSM VO<br />
Die wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:<br />
(1) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung<br />
in einem Mitgliedstaat signifikant ist oder nicht, prüft der Vorschlagende die potenziellen Auswirkungen<br />
der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems.<br />
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung<br />
des in Artikel 5 beschriebenen Risikomanagementverfahrens verzichtet werden.<br />
(2) Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, entscheidet der Vorschlagende<br />
auf der Grundlage eines Sachverständigenurteils über die Signifikanz der Änderung, wobei er folgende<br />
Kriterien berücksichtigt:<br />
a) Folgen von Ausfällen: Szenario des schlechtesten anzunehmenden Falls („credible worst-case<br />
scenario“) bei einem Ausfall des zu bewertenden Systems unter Berücksichtigung etwaiger außerhalb<br />
des Systems bestehender Sicherheitsvorkehrungen;<br />
b) innovative Elemente in der Implementierung der Änderung; dabei geht es nicht nur darum, ob es<br />
sich um eine Innovation für den Eisenbahnsektor als Ganzes handelt, sondern auch darum, ob es sich<br />
aus der Sicht der Organisation, die die Änderung einführt, um eine Innovation handelt;<br />
c) Komplexität der Änderung;<br />
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den gesamten Lebenszyklus des<br />
Systems hinweg zu überwachen und in geeigneter Weise einzugreifen;<br />
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung bestehenden System zurückzukehren;<br />
f) additive Wirkung: Bewertung der Signifikanz der Änderung unter Berücksichtigung aller sicherheitsrelevanten<br />
Änderungen des zu bewertenden Systems, die in jüngster Zeit vorgenommen und nicht als<br />
signifikant beurteilt wurden.<br />
4 AUM-Verfahren<br />
Hier soll ein kurzer Überblick über das Grundverfahren gegeben werden, dass in geringen Variationen<br />
den Vorschlägen von ORR, VDV und DB AG zugrunde liegt. Abbildung 1 zeigt die grundsätzliche<br />
Matrix, die auf den beiden Achsen eine Ausfallfolgenkategorisierung in Anlehnung an<br />
EN 50126 bzw. eine gemeinsame Einschätzung der Unsicherheit der Durchführung der Änderung<br />
auf Grundlage der Kriterien Innovation und Komplexität vorsieht<br />
Seite 5 von 15
AP 2100 – Signifikanzbewertung<br />
Diskussion der Signifikanzkriterien<br />
Abbildung 1: AUM<br />
Wenn die beiden Einschätzungen vorgenommen werden, so erhält man folgende Entscheidungen<br />
<br />
<br />
Grün bedeutet „in jedem Fall nicht signifikant“<br />
Rot bedeutet „in jedem Fall signifikant“<br />
Gelb bedeutet, dass zusätzlich die Kriterien der Umkehrbarkeit und Überwachung zur<br />
abschließenden Beurteilung herangezogen werden müssen, die jeweils lediglich zwei<br />
Ausprägungen (gegeben/nicht gegeben) besitzen<br />
Bei der Beschreibung der AUM fällt auf, dass statt einer Matrix auch alle Kriterien in Form von<br />
Tabellen (mit Punktbewertungen wie bei Risikoprioritätszahlen) beschrieben werden können und<br />
dass die Entscheidung von der Summe der Punkte abhängig gemacht werden kann. Dies beschreibt<br />
dasselbe Verfahren und führt zu identischen Entscheidungen, führt aber zu einer kompakteren<br />
Darstellung, insbesondere da man die beschreibenden Tabellen sowieso zusätzlich zur<br />
Matrix benötigt. Aus diesem Grund wird die Tabellendarstellung für dieses Dokument gewählt.<br />
Bei der DB AG kommt das AUM-Verfahren mittels Matrix zur Bewertung organisatorischer, betrieblicher<br />
oder baulicher Änderungen zum Einsatz.<br />
5 Diskussion der Signifikanzkriterien<br />
5.1 Allgemeine Überlegungen<br />
Bei der CSM VO geht es um einen risikoorientierten Ansatz, der immer bei signifikanten Änderungen<br />
anzuwenden ist. Die Signifikanzprüfung soll insbesondere sicherstellen, dass Änderungen,<br />
deren Durchführung bzw. fehlerhafte Durchführung ein erhöhtes oder zusätzliches Risiko<br />
mit sich bringen, durch ein harmonisiertes Risikomanagement-Verfahren abgesichert werden. D.<br />
h. generell ist bei einer summarischen Beurteilung der Änderung auch immer einzubeziehen, ob<br />
es sich um eine Änderung handelt, die ein großes Risikopotenzial beinhaltet.<br />
Seite 6 von 15
AP 2100 – Signifikanzbewertung<br />
Diskussion der Signifikanzkriterien<br />
5.2 Sicherheitsrelevanz<br />
Es wird innerhalb dieser Betrachtung davon ausgegangen, dass die Änderung als sicherheitsrelevant<br />
eingestuft wird.<br />
5.3 Folgen von Ausfällen<br />
In der ERA Guidance heißt es dazu: „Das Kriterium der Folgenabschätzung von Ausfällen könnte<br />
beispielsweise eingesetzt werden, um zu prüfen, ob die Folgen eines sicherheitsrelevanten<br />
Fehlers der am zu bewertenden System vorgenommenen Änderung durch bestehende Maßnahmen<br />
außerhalb des zu bewertenden Systems gemindert werden. Dieses Kriterium kann dann<br />
in Kombination mit den anderen Kriterien zu der Beurteilung führen, dass eine sicherheitsbezogene<br />
Änderung sich ohne Verwendung der CSM noch in sicherer Weise verwalten ließe. Es liegt<br />
in der Verantwortung des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu<br />
bewertende Änderung zu bestimmen.“<br />
Auch ist wichtig, zu berücksichtigen, dass es hier im engeren Sinn nicht die Folgen von Ausfällen<br />
des betrachteten Systems geht, sondern um Folgen von Fehlern bei der Durchführung der Änderung,<br />
vergleiche dazu auch die Ausführungen zu Erwägung (2) oben. Für LST ist beides als alleiniges<br />
Kriterium nicht sinnvoll, denn in der Regel können sicherheitsrelevante Systeme bzw. Änderungen<br />
an diesem in einem worst-case Szenario immer zu kritischen oder katastrophalen Folgen<br />
führen, d. h. Änderungen an LST wären immer signifikant.<br />
Bei Änderungen an signaltechnischen Systemen könnte zur Bewertung der Ausfallfolgen der SIL<br />
zu Grunde gelegt werden (falls bekannt), da dieser in der Regel auf Grund einer Risikoanalyse<br />
ermittelt wurde, die sowohl die Ausfallfolgen als auch Risikoreduktionsfaktoren (Barrieren im<br />
Sinne von „etwaiger außerhalb des Systems bestehender Sicherheitsvorkehrungen“) beinhaltet.<br />
Handelt es sich um ein neues System, so kann man eine Ausfallfolgenabschätzung nach EN<br />
50126 vornehmen, muss sich aber bewusst sein, dass dies in der Regel immer zu sehr konservativen<br />
Abschätzungen führen wird.<br />
Ausfallfolgen der Änderung SIL 4 Katastrophal 4 Punkte<br />
SIL 3 Kritisch 3 Punkte<br />
SIL 2 Marginal 2 Punkt<br />
SIL 1 Unbedeutend 1 Punkt<br />
Tabelle 1: Bewertung der Ausfallfolgen<br />
Es muss dabei unbedingt beachtet werden, dass diese Tabelle NICHT aussagt, dass SIL und Ausfallfolgen<br />
nach EN 50126 gleichgesetzt werden können. Die adäquate Einschätzung ist der SIL,<br />
ersatzweise kann die Kategorie nach EN 50126 gewählt werden, wenn kein SIL bekannt ist.<br />
5.4 Innovative Elemente in der Implementierung der Änderung<br />
Die Innovation muss nicht nur auf die Technik bezogen werden, sondern auch auf die Erfahrung<br />
des Vorschlagenden bzw. dessen Organisation mit der Durchführung der Änderung. Dabei<br />
spannt sich ein Bogen auf zwischen Änderungen, die z. B. mittels spezifischen Regelwerks<br />
durchgeführt werden können bis zu Änderungen, bei denen der Vorschlagende keine Erfahrung<br />
hat.<br />
Seite 7 von 15
AP 2100 – Signifikanzbewertung<br />
Diskussion der Signifikanzkriterien<br />
Innovation der Änderung<br />
Der Vorschlagende hat keine Erfahrung<br />
mit Technik bzw. Prozess zur Durchführung<br />
der Änderung<br />
Der Vorschlagende hat in einzelnen Aspekten<br />
keine Erfahrung mit Technik bzw.<br />
Prozess zur Durchführung der Änderung<br />
Der Vorschlagende hat Erfahrung mit<br />
Technik bzw. Prozess zur Durchführung<br />
der Änderung, oder es gibt spez. Regelwerke<br />
für die Durchführung der Änderung<br />
2 Punkte<br />
1 Punkt<br />
0 Punkte<br />
Tabelle 2: Bewertung der Innovation<br />
Formal wird mit der mittleren Kategorie eine abweichende Bewertungsmöglichkeit im Vergleich<br />
zu Abbildung 1 eingeführt, diese bleibt in der Gesamtklassifikation aber kompatibel dazu, vgl.<br />
Tabelle 4.<br />
5.5 Komplexität der Änderung<br />
Bei Änderungen an technischen Systemen spielt insbesondere die Anzahl der betroffenen <strong>Teil</strong>systeme<br />
bzw. Schnittstellen (auch organisatorisch) eine Rolle.<br />
Komplexität der Änderung<br />
Die Änderung bezieht sich auf mehrere<br />
Systeme mit vielen Schnittstellen und<br />
vielen Abhängigkeiten zu anderen Systemen<br />
Die Änderung bezieht sich auf ein einzelnes<br />
System mit wenigen Schnittstellen<br />
und es gibt wenige Abhängigkeiten zu<br />
anderen Systemen<br />
1 Punkt<br />
0 Punkte<br />
Tabelle 3: Bewertung der Komplexität<br />
Zum Vergleich mit der AUM ist es sinnvoll, als Zwischenschritte die Kombination der Bewertung<br />
der Innovation und Komplexität zu betrachten (Summer der Punkte).<br />
Unsicherheit der Folgenabschätzung<br />
Hoch<br />
Mittel<br />
Gering<br />
Minimal<br />
3 Punkte<br />
2 Punkte<br />
1 Punkt<br />
0 Punkte<br />
Tabelle 4: Bewertung der Innovation und Komplexität<br />
Im Ergebnis der Tabelle 4 erkennt man insbesondere die Kompatibilität der Punktebewertung<br />
mit der AUM, siehe Abbildung 1.<br />
5.6 Überwachung<br />
Bei Änderung an technischen Systemen ist das System bereits erfolgreich implementiert und in<br />
Betrieb gesetzt worden, dazu gehört auch die Betrachtung aller Aspekte über den gesamten<br />
Lebenszyklus, der für die Änderung relevant ist. Insbesondere bei Neuzulassungen und großen<br />
Änderungszulassungen werden die neuen Komponenten in einer Sicherheits- und Betriebserprobung<br />
intensiv überwacht. Abweichungen werden entweder über technische Diagnoseeinrichtungen<br />
oder betrieblich über das Instandhaltungs- bzw. Sicherheitsmanagement des Betrei-<br />
Seite 8 von 15
AP 2100 – Signifikanzbewertung<br />
Diskussion der Signifikanzkriterien<br />
bers entdeckt und behandelt. Diese Prozesse greifen grundsätzlich auch bei neuen Systemen, so<br />
dass in der Signaltechnik in der Regel von ausreichender Überwachung ausgegangen werden<br />
kann.<br />
Überwachbarkeit der Änderung<br />
Die Erfüllung sicherheitsrelevanter Eigenschaften<br />
der Änderung ist mit bewährten<br />
Prozessen bzw. Methoden der Qualitätssicherung<br />
möglich<br />
Zur Überwachung müssen Prozesse oder<br />
Methoden der Qualitätssicherung neu<br />
geschaffen werden oder es sind <strong>Teil</strong>aspekte<br />
der Änderung nicht überwachbar<br />
0 Punkte<br />
1 Punkt<br />
Tabelle 5: Bewertung der Überwachung<br />
5.7 Umkehrbarkeit<br />
Bei Änderungen an technischen Systemen ist das System bereits erfolgreich eingeführt worden,<br />
d. h. es ist als sehr unwahrscheinlich einzustufen, dass die durchgeführten Änderungen in ihrer<br />
Gesamtheit rückgängig gemacht werden müssen. Außerdem ist bei LST-Anwendungen in der<br />
Regel schon aus Verfügbarkeitsgründen eine Rückfallebene definiert, die zumindest temporär<br />
eingesetzt werden könnte, wenn ein Rückbau o. ä. notwendig wäre. Nach einer erfolgten<br />
Typzulassung kann bei Änderungen häufig mit vertretbarem Aufwand zu dem vorherigen Zustand<br />
zurückgekehrt werden oder es können betriebliche Ersatzmaßnahmen festgelegt werden.<br />
Nur bei neuen Systemen bei denen es keine sinnvollen betrieblichen oder technischen Rückfallebenen<br />
gibt, wäre die Umkehrbarkeit der Änderung nicht gegeben.<br />
Umkehrbarkeit der Änderung<br />
Gegeben, z. B. wenn ein Vorzustand<br />
wieder hergestellt werden kann oder es<br />
eine angemessene betriebliche Rückfallebene<br />
gibt<br />
Nicht gegeben, z. B. wenn ein neues<br />
System eingesetzt wird, ohne das der<br />
Betrieb nicht durchgeführt werden kann<br />
0 Punkte<br />
1 Punkt<br />
Tabelle 6: Bewertung der Unkehrbarkeit<br />
5.8 Additive Wirkung<br />
Die additive Wirkung ist bei einer Änderung an einem technischen System bei der Beurteilung<br />
aller der o. a. Kriterien zu betrachten, d. h. als Änderung ist immer die Änderung im Vergleich<br />
mit der letzten als signifikant beurteilten Änderung aufzufassen. Ist das technische System neu<br />
oder hat es noch keine signifikante Änderung gegeben, so sind die o. a. Kriterien so auszulegen<br />
wie für ein neues System.<br />
5.9 Gesamtbewertung<br />
Die Gesamtbewertung besteht darin, die Summe der Punkte der Einzelbewertungen zu bilden<br />
und mit einem Grenzwert zu vergleichen, den man durch Vergleich mit der AUM, siehe Abbildung<br />
1, gewinnen kann. Z. B. führt dort die Kombination „katastrophal“ und „mittlere Unsicherheit“<br />
zur Grenze, dies entspricht nach Tabelle 1 und Tabelle 4 genau 6 Punkten, d. h. ab<br />
diesem Wert sind Änderungen signifikant, darunter nicht signifikant.<br />
Seite 9 von 15
AP 2100 – Signifikanzbewertung<br />
Beispielanwendungen<br />
Gesamtbewertung 6 oder mehr Punkte Änderung signifikant<br />
Weniger als 6 Punkte<br />
Änderung nicht signifikant<br />
Tabelle 7: Gesamtbewertung<br />
Bei der Beurteilung spielen die Kriterien Umkehrbarkeit und Überwachung keine Rolle mehr,<br />
wenn die Beurteilung aufgrund der anderen Kriterien schon 6 oder mehr Punkte ergibt (da es<br />
keine negativen Punktzahlen gibt) oder weniger als 4 Punkte (da die Kriterien höchstens 2 Punkte<br />
beitragen). Aus Gründen der Vereinfachung der Vorgehensweise und der Vergleichbarkeit der<br />
Ergebnisse wird jedoch empfohlen, diese Bewertung immer mit durchzuführen.<br />
6 Beispielanwendungen<br />
6.1 Typische Beispiele aus der Praxis<br />
In Tabelle 8 sind einige beispielhafte Signifikanzbewertungen vorgenommen worden, insbesondere<br />
um Plausibilität und Praktikabilität der Methode an bekannten Beispielen zu testen.<br />
Änderungen an technischen Systemen<br />
Signifikanzbewertung<br />
LH-Änderung<br />
RA-Änderung<br />
Technik Art der Änderung<br />
Signifikanz<br />
1 ESTW Fehlerbehebung nein nein 4 0 0 0 0 4 NEIN<br />
2 geänderte Technik nein nein 4 2 0 0 0 6 JA<br />
3 geänderte Funktion ja nein 4 0 1 0 0 5 NEIN<br />
4 geänderte Funktion ja ja 4 2 1 0 0 7 JA<br />
5 neue Funktion ja ja 4 2 0 0 0 6 JA<br />
6 BÜSA Fehlerbehebung nein nein 3 0 0 0 0 3 NEIN<br />
7 geänderte Funktion ja nein 3 0 1 0 0 4 NEIN<br />
8 geänderte Funktion ja ja 3 2 1 0 0 6 JA<br />
9 neue Funktion ja ja 3 2 0 0 0 5 NEIN<br />
10 Rangiertechnik neue Funktion ja ja 2 2 0 0 0 4 NEIN<br />
11 PZB neue Funktion ja ja 1 2 1 1 0 5 NEIN<br />
12 BÜ-Fzg-Schleife geänderte Funktion ja ja 3 2 0 0 0 5 NEIN<br />
13 Signale geänderte Technik ja ja 4 2 0 0 0 6 JA<br />
Tabelle 8: Beispielhafte Signifikanzbewertungen<br />
Natürlich ist jede konkrete Bewertung ein Einzelfall, aber es lassen sich auch aus den generischen<br />
Bewertungen einige Erkenntnisse gewinnen.<br />
Betrachtet man z. B. ein ESTW, das nur SIL 2 Anforderungen erfüllen muss, was z. B. im Einsatzgebiet<br />
Industrie- oder Regionalbahnen oder bei Rangierstellwerken vorkommen kann, so kann<br />
man aufgrund der Abschätzung in Tabelle 9 erkennen, dass Änderungen an einem solchen<br />
ESTW in der Regel nicht signifikant sind, es sei denn, es gäbe anderslautende nationale Vorschriften.<br />
Ausfallfolgen<br />
Innovation<br />
Komplexität<br />
Umkehrbahrkeit<br />
Überwachung<br />
Summe<br />
Seite 10 von 15
AP 2100 – Signifikanzbewertung<br />
Beispielanwendungen<br />
Kriterium<br />
Bewertungsgrenzen Bewertung für SIL2 Stellwerk<br />
Ausfallfolgen 2 Bewertung = 2<br />
Innovation 0 – 2<br />
Komplexität 0 – 1<br />
Überwachung 0 In der Regel Bewertung für LST-Anwendung =<br />
0<br />
Umkehrbarkeit 0 In der Regel Bewertung für LST-Anwendung =<br />
0<br />
Summe 2 – 5<br />
Tabelle 9: Signifikanzbewertung für typische SIL2 Stellwerke<br />
6.2 Beispiel Schnittstellenänderung<br />
Weiter wurde das Beispiel „Schnittstellenänderung“, das sich z. B. bei der Standardisierung von<br />
Schnittstellen – wie von DB Netz AG vorgeschlagen- ergeben kann, im Detail betrachtet. Allgemein<br />
sieht die Aufgabenstellung wie in Abbildung 2 aus. Dabei ist insbesondere anzumerken:<br />
1. Vorschlagender im Sinne CSM VO ist die DB Netz AG<br />
2. Die Schnittstellen SCI-x selber enthalten keine Funktion, sondern nur die Telegrammdefinitionen.<br />
3. Diese ermöglichen der Anwendung, die Dienste des Sicherheitsprotokolls anwendungsspezifisch<br />
zu nutzen.<br />
4. Das Sicherheitsprotokoll RaSTA ist eine herstellerunabhängige Fortschreibung des<br />
SAHARA-Protokolls, mit dem die DB Netz AG, aber auch die Herstellerfirmen, die<br />
es implementiert haben, jahrelange Erfahrung besitzen. Die Spezifikation und deren<br />
Implementierung wurden bereits mehrfach geändert.<br />
5. Für RaSTA gelten dieselben Sicherheitsanforderungen wie für SAHARA. Diese<br />
Änderung kann ohne Änderung einer Risikoanalyse implementiert werden.<br />
6. Das Sicherheitsprotokoll erfüllt die DIN EN 50159 und ist unabhängig vom jeweiligen<br />
Transportmedium<br />
Applikation<br />
Anwendungsdaten<br />
Applikation<br />
Schnittstelle SCI-X<br />
Schnittstelle SCI-X<br />
RaSTA-Protokoll<br />
Sicherheitsprotokoll<br />
RaSTA-Protokoll<br />
Transportmedium (Ethernet)<br />
Abbildung 2: Beispiel Schnittstellenänderung<br />
Seite 11 von 15
AP 2100 – Signifikanzbewertung<br />
Beispielanwendungen<br />
Für die Signifikanzbewertung wird die generische Schnittstelle SCI-x inkl. der darunter liegenden<br />
Implementierung betrachtet, unabhängig von der Applikation wie z. B. ILS, RBC oder LX. Für die<br />
Signifikanzbewertung mit AUM bedeutet dies:<br />
<br />
<br />
<br />
<br />
<br />
<br />
Ausfallfolgen: in der Regel handelt es sich um Daten, die mit Integrität SIL 4 transportiert<br />
werden müssen ‐> 4 Punkte<br />
Innovation: Der Vorschlagende hat Erfahrungen mit der Durchführung der Änderung und es<br />
gibt relevantes Regelwerk ‐> 0 Punkte<br />
Komplexität: Die Änderung besteht in einer Delta‐Implementierung und ist damit wenig<br />
komplex ‐>0 Punkte<br />
Überwachbarkeit: Es stehen bewährte Prozesse und QM‐Methoden zur Überwachung bereit<br />
‐>0 Punkte<br />
Umkehrbarkeit: Es gibt betriebliche Rückfallebenen und es kann ggf. auf Vorgängerversionen<br />
zurückgegriffen werden. Außerdem kann das System komplett in Labortests auf Einsatztauglichkeit<br />
getestet werden‐>0 Punkte<br />
Additivität: nicht gegeben, da erste Änderung nach CSM VO<br />
Zur Überprüfung wurde noch eine qualitative Signifikanzbewertung durchgeführt. Diese ist<br />
statthaft, da die Änderung komplett auf Grundlage bestehenden und relevanten Regelwerk wie<br />
DIN EN 50128, 50129 und 50159 durchgeführt wird:<br />
<br />
<br />
Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?<br />
Nein, die Sicherheitsanforderungen können direkt von SAHARA übernommen werden<br />
Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung<br />
des Regelwerks? Ja, sowohl DB Netz AG als auch die beteiligten Hersteller haben eine solche<br />
Änderung bereits auf Basis dieses Regelwerks durchgeführt.<br />
Beide Analysen ergeben übereinstimmend, dass die Standardisierung dieser Schnittstellen nicht<br />
signifikant nach CSM VO ist. Es muss allerdings angemerkt werden, dass diese Bewertung nur<br />
die Schnittstellen und nicht die jeweilige Anwendung betrachtet hat. Änderungen in den Anwendungen<br />
müssen ggf. gesondert bewertet werden.<br />
6.3 Diskussion<br />
Die Bewertung der Ausfallfolgen mittels SIL ist praktikabel und führt zu eindeutigen Zuordnungen.<br />
Wo kein expliziter SIL ausgewiesen ist, kann man diesen aus Empfehlungen substituieren<br />
(z. B. wird SIL 4 für Entwicklungen nach Mü8004 in der Regel angenommen) oder man benutzt<br />
die Einstufung der Schadensfolgen nach EN 50126.<br />
Ein guter Indikator für weitere Kriterien ist, ob das Lastenheft oder die Risikoanalyse zur Durchführung<br />
der Änderung geändert werden muss. Muss weder Lastenheft noch Risikoanalyse angepasst<br />
werden, z. B. bei Fehlerbehebung (Zeile 1 und 6), so spricht dies häufig für geringen<br />
Innovationsgrad und geringe Komplexität, d. h. in der Regel resultiert keine signifikante Änderung.<br />
Es gibt jedoch Einzelfälle, z. B. wenn eine bestehende Komponente durch eine neue ersetzt<br />
wird, für die der Vorschlagende weder Erfahrungen mit der Technik noch den Prozessen<br />
hat, in denen hohe Ausfallfolgen im Zusammenspiel mit hoher Innovation sofort zu einer signifikanten<br />
Änderung führen (Zeile 2). Wird dagegen eine Funktion geändert (in der Regel mit Änderung<br />
des Lastenhefts verbunden, aber ohne Anpassung der Risikoanalyse), so kann dies auch bei<br />
komplexen Änderungen, aber in der Regel geringem Innovationsgrad, zu nicht signifikanten<br />
Änderungen führen (Zeile 3 und 7). Muss dagegen die Risikoanalyse angepasst werden, weil<br />
eine Funktion radikal geändert wird oder neu dazukommt, führt dies in der Regel bei SIL 4 immer<br />
zu signifikanten Änderungen (Zeile 4 und 5), während bei geringerem SIL die Entscheidung<br />
von den weiteren Kriterien abhängt, z. B. Komplexität (Zeile 9-11).<br />
Seite 12 von 15
AP 2100 – Signifikanzbewertung<br />
Zusammenfassung<br />
Es bleibt abschließend zu diskutieren, ob eine mittlere Einstufung für den Innovationsgrad sinnvoll<br />
ist. Dafür spricht, dass sonst jede Innovation bei SIL4 sofort zu einer signifikanten Änderung<br />
führt. Insbesondere im Fall von technischen Änderungen ohne funktionale Änderungen könnte<br />
eine mittlere Einstufung sinnvoll sein, z. B. wenn eine Standardtechnik eingesetzt werden soll,<br />
die für die Eisenbahnsignaltechnik zwar neu ist, die aber in anderen Bereichen schon eingesetzt<br />
wird. Hier könnte es nachvollziehbar sein, dass man nur bei Vorliegen weiterer Indikatoren wie<br />
z. B. hohe Komplexität, auf eine signifikante Änderung entscheidet.<br />
7 Zusammenfassung<br />
In diesem Bericht wird das allgemeine AUM-Verfahren zur Signifikanzbewertung um konkrete<br />
Interpretationen der Kriterien für Änderungen an technischen Systemen ergänzt. Es wird dabei<br />
eine alternative tabellarische Beschreibung benutzt, die eine vereinfachte und kompaktere Darstellung<br />
erlaubt, aber voll kompatibel zum allgemeinen AUM-Verfahren bleibt. Insbesondere<br />
wird dasselbe Entscheidungskriterium bez. Signifikanz benutzt. Daher wird vorgeschlagen, diese<br />
Variante als AUM-T zu bezeichnen.<br />
Weiter wird AUM-T anhand von typischen Beispielen plausibilisiert und getestet und mit anderen<br />
Vorschlägen verglichen. Es zeigt sich, dass man mit AUM-T zu konsistenten und differenzierten<br />
Signifikanzbewertungen gelangt<br />
Dies stellt im Vergleich zu den originalen Signifikanzkriterien der CSM VO und alternativen Vorschlägen<br />
zur allgemeinen Signifikanzprüfung einen erheblichen Fortschritt dar, insb. da insgesamt<br />
mit diesem Vorschlag eine Reihe von schon vorhandenen Vorschlägen zu Signifikanzbewertungsmethoden<br />
zu einer einheitlichen Familie von Methoden zur Signifikanzbewertung für<br />
den Eisenbahnsektor komplettiert werden könnte.<br />
Seite 13 von 15
AP 2100 – Signifikanzbewertung<br />
Anhang<br />
8 Anhang<br />
8.1 Vergleich mit qualitativen Signifikanzkriterien<br />
Im NeGSt-Ergebnisbericht „Signifikanz von Änderungen auf Grundlage relevanter Regelwerke“<br />
wurde versucht, einfache qualitative Signifikanzkriterien zu finden. Dabei wird die Signifikanzprüfung<br />
auf zwei Fragen reduziert<br />
<br />
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“<br />
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung<br />
des Regelwerks?“<br />
Allerdings muss man dazu sagen, dass diese Vorgehensweise voraussetzte, dass relevante Regelwerke<br />
vorhanden sind und damit schon eine große Einschränkung der Änderungen z. B. bezüglich<br />
Innovationsgrad macht. Außerdem besteht bei einer einfachen qualitativen Vorgehensweise<br />
immer die Gefahr, dass die zu konservativ ist, d. h. Änderungen als signifikant klassifiziert,<br />
die es bei genauerer Betrachtung evt. nicht sind.<br />
Im Vergleich zur AUM-Vorgehensweise betrachtet die qualitative Signifikanzprüfung nur Fälle,<br />
bei denen das Regelwerk, d. h. auch das Lastenheft nicht geändert wird, d. h. nur die Fälle 1, 2<br />
und 6 aus Tabelle 7. Die Fälle 1 und 6 würden auch als nicht signifikant klassifiziert werden und<br />
Fall 2 immer als signifikant, da die Organisation keine ausreichenden Erfahrungen mit der innovativen<br />
Technik hat. In der AUM könnte z. B. Fall 2 bei niedrigem SIL auch als nicht signifikant<br />
klassifiziert werden, d. h. die qualitative Signifikanzprüfung ist wie erwartet konservativer, aber<br />
die Ergebnisse sind konsistent.<br />
Betrachtet man umgekehrt die Fälle, die qualitative Signifikanzprüfung als signifikant klassifiziert,<br />
d. h. Änderungen, mit denen die Organisation keine ausreichende Erfahrung hat oder bei<br />
denen eine (Änderung der) Risikoanalyse erforderlich ist, so ergeben sich ebenfalls konsistente<br />
Resultate. Bei hohem SIL führt ein hoher Innovationsgrad, der auch bei Änderung der Risikoanalyse<br />
in der Regel unterstellt wird, bei der AUM-Vorgehensweise immer zu einer signifikanten<br />
Änderung, aber es sind Abstufungen und eine genauere Differenzierung mittels der anderen<br />
Parameter möglich.<br />
8.2 Referenzen<br />
DB AG Signifikanzprüfung, Foliensatz, DN Netz AG, 18.04.2012<br />
EN 50 126 DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03<br />
CSM VO VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über<br />
die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und<br />
Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie<br />
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen<br />
Union, L 108/4, 29.4.2009<br />
CSM GUI ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung<br />
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,<br />
ERA/GUI/01-2008/SAF<br />
CSM EX ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge<br />
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF<br />
Mü8004 Mü8004: Technische Grundsätze für die Zulassung von Sicherungsanlagen,<br />
Eisenbahn-Bundesamt, Ausgabe vom 01.02.2007<br />
Seite 14 von 15
AP 2100 – Signifikanzbewertung<br />
Anhang<br />
NeGSt<br />
ORR<br />
VDV<br />
Ergebnisbericht „Signifikanz von Änderungen auf Grundlage relevanter Regelwerke“<br />
ORR guidance on the application of the common safety method (CSM) on risk<br />
assessment and evaluation, ORR, 2010<br />
Anwendung der Verordnung (EG) Nr. 352/2009 – CSM – gemeinsame Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6<br />
Absatz 3 Buchstabe a der Richtlinie 2004/49/EG bei der Änderung betrieblicher<br />
Prozesse und Verfahren, Ausschuss für Eisenbahnbetrieb (AEB), VDV, Februar<br />
2009<br />
8.3 Abkürzungen<br />
Abk. Langform / Erläuterung<br />
AUM Ausfallfolgen-Unsicherheits-Matrix<br />
AUM-T AUM-Technik<br />
BÜ Bahnübergang<br />
BÜSA Bahnübergangs-Sicherungsanlage<br />
CSM Common Safety Method<br />
DB AG Deutsche Bahn AG<br />
DIN Deutsches Institut für Normung<br />
EG Europäische Gemeinschaft<br />
EN Europäische Norm<br />
ERA European Railway Agency<br />
ESTW Elektronisches Stellwerk<br />
Fzg Fahrzeug<br />
ILS Interlocking System<br />
LST Leit- und Sicherungstechnik<br />
LX Level Crossing<br />
NeGSt Neue Generation Signaltechnik<br />
ORR Office of the Rail Regulator<br />
PZB Punktförmige Zugbeeinflussung<br />
QM Qualitätsmanagement<br />
RaSTA Rail Safe Transport Application<br />
RBC Radio Bock Center<br />
SAHARA Safe High Available and Redundant Communication Protocol<br />
SCI Standard Communication Interface<br />
SIL Safety Integrity Level<br />
Seite 15 von 15
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter<br />
Regelwerke<br />
28.08.2012<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger:<br />
TÜV Rheinland Consulting GmbH
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
17.04.2012 Braband (Siemens AG) V01 Erstellung<br />
27.04.2012 Braband (Siemens AG) V02 Änderung nach Diskussion in AG2<br />
28.08.2012 Braband (Siemens AG) V03 Änderungen nach formalem Review in AG2<br />
Seite 2 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Inhaltsverzeichnis<br />
1 Einleitung......................................................................................................................... 4<br />
2 Vorgaben der CSM VO ...................................................................................................... 4<br />
3 Fallstudie ......................................................................................................................... 5<br />
4 Diskussion der Signifikanzkriterien....................................................................................6<br />
4.1 Allgemeine Überlegungen ............................................................................................6<br />
4.2 Sicherheitsrelevanz......................................................................................................6<br />
4.3 Folgen von Ausfällen ....................................................................................................6<br />
4.4 Innovative Elemente in der Implementierung der Änderung .......................................... 7<br />
4.5 Komplexität der Änderung ........................................................................................... 7<br />
4.6 Überwachung............................................................................................................... 7<br />
4.7 Umkehrbarkeit............................................................................................................. 7<br />
4.8 Additive Wirkung .........................................................................................................8<br />
5 Beispiel ............................................................................................................................8<br />
6 Zusammenfassung ...........................................................................................................9<br />
7 Anhang .......................................................................................................................... 10<br />
7.1 Verifizierung des gefundenen Ansatzes durch die SSM ................................................ 10<br />
7.1.1 Beschreibung der Beispiele und Ergebnisauswertung.................................................. 10<br />
7.1.2 Rückschlüsse für den im Report gefundenen Ansatz.................................................... 13<br />
7.2 Referenzen ................................................................................................................ 14<br />
7.3 Abkürzungen ............................................................................................................. 14<br />
Seite 3 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Einleitung<br />
1 Einleitung<br />
Der Umgang mit Änderungen, die vollständig auf Grundlage von Regelwerken durchgeführt werden,<br />
hat bei der Durchführung der EG Verordnung 352/2009 zu einigen Diskussionen geführt. Dies<br />
liegt unter anderem an teilweise den Sinn der Verordnung verändernden Übersetzungen aus dem<br />
englischen Original, aber auch an unklaren oder unvollständigen Formulierungen.<br />
Man kann zunächst verschiedene Ansätze des Umgangs mit der CSM Verordnung unterscheiden<br />
1) Ansatz über Definition der „Änderung des Eisenbahnsystems“: Wenn keine Änderung vorliegt,<br />
2) Ansatz über Signifikanzkriterien: Wenn die Änderung nicht signifikant ist, wird die CSM Verordnung<br />
nicht angewendet<br />
3) Ansatz über effiziente Anwendung der CSM: Anwendung in jedem Fall ohne Berücksichtigung<br />
von 1) und 2)<br />
Die Ansätze sind alternativ zu verstehen, d. h. sie ergänzen sich und konkurrieren nicht miteinander.<br />
In diesem <strong>Teil</strong>bericht wird nur der Ansatz 2) verfolgt, und auch nur für einen Spezialfall.<br />
In der Verordnung wird der Begriff der Änderung nicht definiert, aber unter Erwägung (4) ausgeführt:<br />
Gemäß Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG hat das Sicherheitsmanagementsystem<br />
Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung<br />
von Maßnahmen zur Risikokontrolle zu umfassen für den Fall, dass sich aus geänderten Betriebsbedingungen<br />
oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben. Dieser<br />
wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.<br />
Hieraus kann man insbesondere schließen, dass explizit geänderte Betriebsbedingungen oder neues<br />
Material Änderungen im Sinn der Verordnung sind, und dass es insbesondere um die Bewertung<br />
neuer Risiken geht, nämlich solche, die durch die Änderung hervorgerufen werden.<br />
In diesem Bericht wird für eine Änderung, die komplett auf Grundlage von bewährtem Regelwerk<br />
durchgeführt wird, diskutiert, in wie weit die Signifikanzkriterien generisch angewendet werden<br />
können und ggf. zu welchen Fragestellung in Bezug auf die Änderung bzw. das Regelwerk dies führt.<br />
Dies soll die Interpretation der Verordnung zu schärfen, indem die Änderung statt nach den Kriterien<br />
der CSM VO durch abgeleitete, spezifisch für diesen Fall passende Kriterien vereinfacht werden<br />
kann.<br />
Der VDV hat für den Fall der Änderung betrieblicher Prozesse und Verfahren, d. h. Änderung des<br />
betrieblichen Regelwerks, Methoden zur Signifikanzentscheidung als Entwurf vorgelegt. Auch die<br />
englische Aufsichtsbehörde ORR hat einen ähnlichen Vorschlag vorgelegt, allerdings ohne Beschränkung<br />
des Anwendungsfalls. Auch die DB AG hat einen allgemeinen Vorschlag zur Signifikanzprüfung<br />
vorgestellt.<br />
Um das Ergebnis abzusichern, wird eine Methode aus der zivilen Luftfahrt eingesetzt, die sog. Safety<br />
Scanning Technique, mit der einige typische Beispiele analysiert werden.<br />
2 Vorgaben der CSM VO<br />
Die wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:<br />
Seite 4 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Fallstudie<br />
(1) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung<br />
in einem Mitgliedstaat signifikant ist oder nicht, prüft der Vorschlagende die potenziellen Auswirkungen<br />
der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems.<br />
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung<br />
des in Artikel 5 beschriebenen Risikomanagementverfahrens verzichtet werden.<br />
(2) Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, entscheidet der Vorschlagende<br />
auf der Grundlage eines Sachverständigenurteils über die Signifikanz der Änderung, wobei er folgende<br />
Kriterien berücksichtigt:<br />
a) Folgen von Ausfällen: Szenario des schlechtesten anzunehmenden Falls („credible worst-case<br />
scenario“) bei einem Ausfall des zu bewertenden Systems unter Berücksichtigung etwaiger außerhalb<br />
des Systems bestehender Sicherheitsvorkehrungen;<br />
b) innovative Elemente in der Implementierung der Änderung; dabei geht es nicht nur darum, ob es<br />
sich um eine Innovation für den Eisenbahnsektor als Ganzes handelt, sondern auch darum, ob es sich<br />
aus der Sicht der Organisation, die die Änderung einführt, um eine Innovation handelt;<br />
c) Komplexität der Änderung;<br />
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den gesamten Lebenszyklus des<br />
Systems hinweg zu überwachen und in geeigneter Weise einzugreifen;<br />
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung bestehenden System zurückzukehren;<br />
f) additive Wirkung: Bewertung der Signifikanz der Änderung unter Berücksichtigung aller sicherheitsrelevanten<br />
Änderungen des zu bewertenden Systems, die in jüngster Zeit vorgenommen und nicht als<br />
signifikant beurteilt wurden.<br />
2.3.2. Die anerkannten Regeln der Technik müssen mindestens folgende Anforderungen erfüllen:<br />
a) Sie müssen im Eisenbahnsektor allgemein anerkannt sein. Ist dies nicht der Fall, müssen sie begründet<br />
werden und für die Bewertungsstelle akzeptabel sein.<br />
b) Sie müssen für die Kontrolle der betreffenden Gefährdungen in dem System, das der Bewertung<br />
unterzogen wird, relevant sein.<br />
c) Sie müssen für alle Akteure, die sie anwenden wollen, öffentlich zugänglich sein. …<br />
In der für die Public Consultation verteilte Fassung der Revision der CSM VO wurde das folgende<br />
Kriterium vorgeschlagen, um die Relevanz des Regelwerks zu beurteilen: „Successful application of<br />
a code of practice for similar cases to manage changes and control effectively the identified hazards<br />
of a system in the sense of this regulation is sufficient to be considered as relevant“.<br />
3 Fallstudie<br />
Wir betrachten eine sicherheitsrelevante Änderung des Eisenbahnsystems, die bisher komplett<br />
durch Anwendung von Regelwerk durchgeführt wurde. Es wird angenommen, dass das Regelwerk<br />
im obigen Sinn relevant für die Änderung ist, d. h. es ist bewährt und wurde auf diesen Typ von Änderungen<br />
bereits erfolgreich angewendet.<br />
Beispiele für solchen Änderungen:<br />
<br />
<br />
<br />
Änderung an einem nach Mü8004 zugelassenem LST-System<br />
Errichtung eines Signalmasts<br />
…<br />
Seite 5 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Diskussion der Signifikanzkriterien<br />
4 Diskussion der Signifikanzkriterien<br />
4.1 Allgemeine Überlegungen<br />
Bei der CSM VO geht es um einen risikoorientierten Ansatz, der immer bei signifikanten Änderungen<br />
anzuwenden ist. Die Signifikanzprüfung soll insbesondere sicherstellen, dass Änderungen, deren<br />
Durchführung bzw. fehlerhafte Durchführung ein erhöhtes oder zusätzliches Risiko mit sich bringen,<br />
durch ein harmonisiertes Risikomanagement-Verfahren abgesichert werden. D. h. generell ist<br />
bei einer summarischen Beurteilung der Änderung auch immer einzubeziehen, ob es sich um eine<br />
Änderung handelt, die ein großes Risikopotenzial beinhaltet.<br />
4.2 Sicherheitsrelevanz<br />
Es wird davon ausgegangen, dass die Änderung als sicherheitsrelevant eingestuft wird.<br />
4.3 Folgen von Ausfällen<br />
In der ERA Guidance heißt es dazu: „Das Kriterium der Folgenabschätzung von Ausfällen könnte<br />
beispielsweise eingesetzt werden, um zu prüfen, ob die Folgen eines sicherheitsrelevanten Fehlers<br />
der am zu bewertenden System vorgenommenen Änderung durch bestehende Maßnahmen außerhalb<br />
des zu bewertenden Systems gemindert werden. Dieses Kriterium kann dann in Kombination<br />
mit den anderen Kriterien zu der Beurteilung führen, dass eine sicherheitsbezogene Änderung sich<br />
ohne Verwendung der CSM noch in sicherer Weise verwalten ließe. Es liegt in der Verantwortung<br />
des Vorschlagenden, die Bedeutung der einzelnen Kriterien für die zu bewertende Änderung zu bestimmen.“<br />
Dies bedeutet, dass das Kriterium nicht für sich alleine zur Entscheidung führt, sondern gemeinsam<br />
mit anderen Kriterien berücksichtigt werden soll.<br />
Auch ist wichtig, zu berücksichtigen, dass es hier im engeren Sinn nicht die Folgen von Ausfällen des<br />
betrachteten Systems geht, sondern um Folgen von Fehlern bei der Durchführung der Änderung,<br />
vergleiche dazu auch die Ausführungen zu Erwägung (4) der Verordnung. Für LST ist beides als alleiniges<br />
Kriterium nicht sinnvoll, denn in der Regel können sicherheitsrelevante Systeme bzw. Änderungen<br />
an diesem in einem worst-case Szenario immer zu katastrophalen Folgen führen, d. h. Änderungen<br />
an LST wären immer signifikant.<br />
Um zu einer vernünftigen Beurteilung zu gelangen, ist es sinnvoll, sich die Risikomanagementverfahren<br />
der CSM VO noch mal im Zusammenhang anzuschauen: Bei innovativen Systemen wird man<br />
dort, wo es noch kein Referenzsystem gibt, in der Regel eine explizite Risikobewertung durchführen,<br />
in deren Verlauf auch die Folgen von Ausfällen risikoorientiert bewertet werden. Eine erfolgreiche<br />
Pilotierung kann dann ein Referenzsystem darstellen, an dem man z. B. technische Änderungen<br />
auch durch Vergleich mit eben diesem Referenzsystem vornehmen darf, unter Beibehaltung der<br />
Sicherheitsanforderungen der expliziten Risikoanalyse. Hat sich das technische System bewährt, so<br />
kann dies z. B. dazu führen, dass die Sicherheitsanforderungen für dieses und ggf. ähnliche Systeme<br />
<strong>Teil</strong> des Regelwerks werden. Bei der Erstellung von Regelwerken hat der Sicherheitsgedanke schon<br />
immer eine große Rolle gespielt und es wurden von jeher Risiken bewertet, traditionell eher qualitativ<br />
als quantitativ, eher implizit, z. B. durch Expertenurteile, als explizit. Aber man kann davon ausgehen,<br />
dass grundsätzlich Sicherheits- bzw. Risikobetrachtungen von kompetenten Fachleuten<br />
durchgeführt wurden.<br />
Bei der Anwendung des Regelwerks kann daher eine explizite Risikoanalyse, also auch eine explizite<br />
Bewertung der Folgen von Ausfällen, unterbleiben. Daher ist das Kriterium der Folgenabschätzung<br />
von Ausfällen für Änderungen, die komplett durch Regelwerk durchgeführt werden können, nicht<br />
relevant bzw. implizit schon bei der Erstellung des Regelwerks berücksichtigt worden.<br />
Seite 6 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Diskussion der Signifikanzkriterien<br />
4.4 Innovative Elemente in der Implementierung der Änderung<br />
Ein Regelwerk wird in der Regel erstellt, wenn eine Innovation oder Pilotanwendung in der Breite<br />
eingesetzt werden soll, insofern handelt es sich hier um keine Innovation für den Eisenbahnsektor.<br />
Es könnte allerdings sein, dass die Organisation, die die Änderung durchführt, noch keine Erfahrung<br />
mit der Änderung bzw. Regelwerk besitzt. In der Regel ist davon auszugehen, dass die Organisation<br />
ausreichende Erfahrung besitzt, wenn sie ihr eigenes Regelwerk anwendet.<br />
D. h. die Frage der Innovation kann hier geändert werden zu: „Besitzt die Organisation Erfahrung<br />
mit der Durchführung der Änderung bzw. Anwendung des Regelwerks?“<br />
4.5 Komplexität der Änderung<br />
Die Anwendung von Regelwerk soll gerade helfen, die Komplexität in kleine überschaubare Unteraspekte<br />
aufzuteilen. Insofern ist das Vorhandensein von relevantem Regelwerk ein Indikator dafür,<br />
dass die Komplexität der Änderung beherrschbar ist.<br />
Hier ist allerdings zu berücksichtigen, ob es sich bei dem Regelwerk um eines handelt, das selbst die<br />
Durchführung von expliziten Risikoanalysen vorsieht oder nicht. Im ersten Fall liegt zwar ein Regelwerk<br />
vor, das Regelwerk fordert aber erst eine explizite Risikoanalyse zur Ableitung von Sicherheitsanforderungen<br />
und damit könnte sich dahinter auch eine komplexe Änderung verbergen. Regelwerk,<br />
das keine explizite Risikoanalyse fordert, muss in der Regel die konkreten Sicherheitsanforderungen<br />
enthalten oder konkrete Regeln, wie diese zu dimensionieren sind, d. h. z. B. konkrete Rechenvorschriften<br />
z. B. für statische Berechnungen oder zur Ermittlung von Ausfalloffenbarungszeiten.<br />
Im Prinzip könnte es Regelwerke geben, die in einigen Fällen explizite Risikoanalysen fordern,<br />
dagegen in anderen nicht, daher sollte der konkrete Anwendungsfall betrachtet werden.<br />
Dieses Argument wird indirekt auch unterstützt durch Artikel 2 (4) der Verordnung:<br />
Diese Verordnung gilt nicht für Systeme und Änderungen, die zum Zeitpunkt des Inkrafttretens dieser<br />
Verordnung Vorhaben in fortgeschrittenem Entwicklungsstadium im Sinne von Artikel 2 Buchstabe t<br />
der Richtlinie 2008/57/EG sind.<br />
Dies bedeutet nämlich, dass die Verordnung nicht zur Anwendung kommt, wenn die Phase der Risikoanalyse<br />
nach EN 50126 bereits abgeschlossen ist. Dies bedeutet, dass auch die Konzeptphase und<br />
die Systemdefinition und Anwendungsbedingungen schon festgelegt wurden. Diese Phasen werden<br />
aber normalerweise bei Änderungen, die auf Grundlage von Regelwerk erfolgen, nicht erneut durchlaufen.<br />
D. h. diese Frage kann konkretisiert werden zu: „Fordert das Regelwerk für die Änderung die Durchführung<br />
einer expliziten Risikoanalyse?“.<br />
4.6 Überwachung<br />
Bei Vorhandensein von relevantem Regelwerk ist die Änderung bereits erfolgreich durchgeführt<br />
worden, dazu gehört auch die Betrachtung aller Aspekte über den gesamten Lebenszyklus, der für<br />
die Änderung relevant ist. Abweichungen werden über das Sicherheitsmanagement des Betreibers<br />
entdeckt und behandelt.<br />
4.7 Umkehrbarkeit<br />
Bei Vorhandensein von relevantem Regelwerk ist die Änderung bereits erfolgreich durchgeführt<br />
worden, d. h. es ist als sehr unwahrscheinlich einzustufen, dass die durchgeführten Änderungen in<br />
ihrer Gesamtheit rückgängig gemacht werden müssen. Außerdem ist bei LST-Anwendungen in der<br />
Regel schon aus Verfügbarkeitsgründen eine Rückfallebene definiert, die zumindest temporär eingesetzt<br />
werden könnte, wenn ein Rückbau o. ä. notwendig wäre.<br />
Seite 7 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Beispiele<br />
4.8 Additive Wirkung<br />
In Deutschland ist das Regelwerk dahingehend aufgebaut, dass jede Änderung für sich zulässig ist,<br />
dies liegt u. a. im generischen Ansatz bez. Risikoanalyse. Ein Beispiel mag dies verdeutlichen: Auf<br />
einer Strecke soll eine zusätzliche Weiche eingebaut werden. Dafür gibt es Bauvorschriften, Vorschriften<br />
für die Typzulassung, Abnahme etc. Es gibt in Deutschland im Gegensatz zu Großbritannien<br />
aber keine Vorgaben für streckenbezogene oder kollektive Risikokennwerte, d. h. theoretisch<br />
könnte man auf 100 km Strecke beliebig viele Weichen (nach dem relevantem Regelwerk) einbauen,<br />
ohne eine Risikoobergrenze o. ä. zu durchstoßen. In Großbritannien gibt es solche Risikogrenzwerte,<br />
z. b. bezogen auf die Strecke oder das individuelle Risiko eines Reisenden, die zwangsläufig bei<br />
steigender Anzahl von Weichen verletzt würden.<br />
Insofern gibt es in Deutschland bei Anwendung von relevantem Regelwerk keine unzulässige additive<br />
Wirkung.<br />
5 Beispiele<br />
5.1 Änderungen nach Mü8004<br />
Ein sicherheitsrelevantes System sei nach MÜ8004 entwickelt worden. Eine Neuentwicklung eines<br />
Systems nach Mü8004 ist seit Inkrafttreten der CENELEC-Normen zwar nicht mehr zulässig, allerdings<br />
sind Änderungen auf dieser Grundlage immer noch zulässig. Es soll auch angenommen werden,<br />
dass das System praxisbewährt ist, ein akzeptables Sicherheitsniveau bietet und es nach wie<br />
vor genehmigungsfähig wäre.<br />
Bei der Beurteilung der Signifikanz der Änderung sind jetzt lediglich die folgenden Fragen zu beantworten:<br />
<br />
<br />
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“<br />
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung<br />
des Regelwerks?“<br />
Die Mü8004 enthält keine Vorgabe zu einer expliziten Risikoanalyse, sondern lediglich konkrete<br />
Vorschriften zur Dimensionierung von Sicherheitskenngrößen z. B. Ausfalloffenbarungszeiten.<br />
Handelt es sich bei der Organisation um den Hersteller des Systems, so ist diese Frage zweifelsohne<br />
zu bejahen und die Änderung ist nicht signifikant. Ist allerdings ein Subunternehmer, d. h. eine<br />
Fremdfirma, beauftragt worden, die entweder noch nicht nach Mü8004 gearbeitet hat oder dieses<br />
System noch nicht geändert hat, so ist die Frage in der Regel zu verneinen und die Änderung als<br />
signifikant einzustufen.<br />
5.2 Neuentwicklung eines Systems nach CENELEC<br />
Auch die Entwicklung eines Systems nach CENELEC kann als Durchführung einer Änderung auf<br />
Grundlage von relevantem Regelwerk aufgefasst werden.<br />
Wenn die komplette Entwicklung ohne Durchführung oder Änderung einer Risikoanalyse durchgeführt<br />
werden kann und die Organisation Erfahrung mit den CENELEC-Normen besitzt, so handelt es<br />
sich nicht um eine signifikante Änderung. Dies könnte z. B. bei einer SW-Änderung der Fall sein,<br />
oder bei Ersatz einer Baugruppe durch eine funktionskompatible, wenn diese unter denselben Anwendungsbedingungen<br />
eingesetzt wird und dadurch insbesondere keine neuen Risiken entstehen.<br />
Besitzt die Organisation keine Erfahrung in der Anwendung der CENELEC-Normen, so handelt es<br />
sich um eine signifikante Änderung.<br />
Ebenso ist die Änderung signifikant, wenn das neue System neue Risiken mit sich bringt (z. B. Ersatz<br />
einer linienförmigen Zugbeeinflussung durch Funkzugbeinflussung) oder wenn Risikoanalysen geändert<br />
werden müssen (z. B. weil der Einsatz des neuen Systems eine Risikoerhöhung mit sich<br />
bringt, die kompensiert werden muss).<br />
Seite 8 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Zusammenfassung<br />
6 Zusammenfassung<br />
Die Beurteilung der Signifikanzkriterien für eine sicherheitsrelevante Änderung, die komplett nach<br />
einem relevanten Regelwerk durchgeführt wird, kann reduziert werden auf die Beantwortung der<br />
Fragen<br />
<br />
<br />
„Fordert das Regelwerk für die Änderung die Durchführung einer expliziten Risikoanalyse?“<br />
„Besitzt die Organisation Erfahrung mit der Durchführung der Änderung bzw. Anwendung<br />
des Regelwerks?“<br />
Eine sicherheitsrelevante Änderung ist dann nicht signifikant, wenn die erste Frage mit Nein und die<br />
zweite Frage mit Ja beantwortet werden kann, in allen anderen Fällen ist sie signifikant.<br />
Dies stellt im Vergleich zu den originalen Signifikanzkriterien der CSM VO und alternativen Vorschlägen<br />
zur allgemeinen Signifikanzprüfung eine erhebliche Vereinfachung dar. Dies wurde allerdings<br />
nur durch eine Fokussierung auf einen spezifischen Anwendungsfall möglich.<br />
Seite 9 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Anhang<br />
7 Anhang<br />
7.1 Verifizierung des gefundenen Ansatzes durch die SSM<br />
Die Safety Scanning Method (SSM) kommt in der europäischen Luftraumsicherung zur Bewertung<br />
von Änderungen zum Einsatz. Es basiert auf einem Excel-Tool, bei dem mittels Multiple-Choice Fragen<br />
Einflüsse auf die Bereiche Sicherheitsarchitektur, betriebliche Sicherheit und Sicherheitsmanagement<br />
sowie dem Bereich Regulation Framework bewertet werden. Jeder dieser vier Bereiche besteht<br />
aus einzelnen Safety Fundamentals, deren Anforderungen für die Sicherheit des Systems erfüllt<br />
sein müssen. Die Auswertung der SSM gibt anschließend Auskunft darüber, an welchen Punkten<br />
mit Schwierigkeiten zu rechnen ist und welcher Aufwand für deren Beseitigung notwendig wird.<br />
Abbildung 1 zeigt beispielhaft ein solches Ergebnisdiagramm, welches auch die Zuordnung der Fundamentals<br />
zu den vier Bereichen erkennen lässt. Solche Werte, die wie für das Fundamental Organisation<br />
sich in der Abbildung außerhalb des blauen Kreisdiagramms befinden, weisen daraufhin,<br />
dass Probleme hier nur mit entsprechend höherem Aufwand zu lösen sind. Das Dokument „Safety<br />
Fundamentals for Safety scanning“ der Eurocontrol gibt weitere Informationen zum Ansatz der Safety<br />
Fundamentals sowie zur Methodik der SSM.<br />
Abbildung 1: Ergebnisdarstellung der SSM<br />
Mit Hilfe dieser SSM sollen nun drei beispielhafte Änderungen untersucht werden, die komplett<br />
nach Regelwerk durchgeführt werden. Von Interesse ist bei dieser Untersuchung vor allem, in welchen<br />
Bereichen die SSM Probleme erkennt und ob diese Ergebnisse den in diesem Report entwickelten<br />
Ansatz bestätigen. Gleichzeitig soll geklärt werden, ob gegebenenfalls noch weitere Aspekte bei<br />
Änderungen nach Regelwerk zu berücksichtigen sind.<br />
7.1.1 Beschreibung der Beispiele und Ergebnisauswertung<br />
Die zur Anwendung kommenden Beispiele sind dabei folgende:<br />
- Beispiel 1 Technik: technische Änderungen an einem Stellwerk anhand von bestehendem<br />
Regelwerk (Mü8004)<br />
Seite 10 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Anhang<br />
- Beispiel 2 Betrieb: Ein bestehender Fahrplan wird nach geltenden Regeln für die Fahrplankonstruktion<br />
geändert<br />
- Beispiel 3 Organisation: Das technisch leitende Personal eines Unternehmens, das für<br />
ein Eisenbahninfrastrukturbetreiber durch Regelwerk abgedeckte Leistungen wie den<br />
Einbau von Weichen erbringt, wird ausgetauscht<br />
Diese Beispiele werden anhand der SSM untersucht. Die Ergebnisse für die vier Bereiche und die<br />
dazugehörigen Fundamentals werden der Übersicht halber in Excel-Tabellen dargestellt. Solche<br />
Ergebnisse, die durch die Änderung einen negativen Einfluss auf ein Fundamental erkennen lassen,<br />
werden in der Tabelle erläutert. Gleichzeitig werden auch diese Fundamentals jeweils erläutert, bei<br />
der in der Anwendung der SSM Aspekte aufgetaucht sind, die für die Einschätzung der Änderung<br />
von Bedeutung sind.<br />
Tabelle 1: Ergebnisse Beispiel 1<br />
Die Ergebnisse für das Beispiel 1 Technik sind in Tabelle 1 dargestellt. Es wird deutlich, dass ein Einfluss<br />
auf das Fundamental Transparency besteht, welcher sich in einem erhöhten Punktwert widerspiegelt.<br />
Auch wenn die technische Änderung am Stellwerk komplett durch das Regelwerk der<br />
Mü8004 abgedeckt ist, muss sichergestellt sein, dass das ausführende Personal das Verständnis für<br />
die Aufgabe und die dabei möglichen Schwierigkeiten besitzt. Dieser Aspekt wird durch aufgeworfene<br />
Fragen in drei weiteren Fundamentals bekräftigt. Auch diese lassen wiederum die Notwendig-<br />
Seite 11 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Anhang<br />
keit erkennen, dass das zuständige Unternehmen sowie das Personal auch bei jeder Änderung nach<br />
Regelwerk über die erforderlichen Kompetenzen und die ausreichende Erfahrung verfügen müssen.<br />
Zudem müssen auch die Zuständigkeiten eindeutig zugeordnet sein.<br />
Die Ergebnisse für das Beispiel 2 Betrieb sind in Tabelle 2 dargestellt. Hierbei weist das Ergebnis<br />
einen leicht negativen Einfluss für das Fundamental Organisation auf. Dieser Einfluss rührt daher,<br />
dass sich je nach Umfang des Fahrplanwechsels auch die Personaleinteilung im Stellwerk ändern<br />
kann. Sollte dies notwendig werden, ist auch bei der Einhaltung aller Regeln für die Fahrplankonstruktion<br />
darauf zu achten, dass aus keinen anderen Bereichen wie der Organisation Sicherheitsprobleme<br />
ausgelöst beispielsweise durch fehlende Kompetenz oder Arbeitsüberlastung entstehen.<br />
Gleichzeitig wird die Frage aufgeworfen, inwiefern sich über einen langen Zeitraum eingelaufene<br />
betriebliche und organisatorische Abläufe ändern könnten. Für die betrachtete Änderung könnte<br />
dies beispielsweise bedeuten, dass ein Zug nun nicht mehr täglich um 14.00 Uhr sondern ab sofort<br />
um 14.30 Uhr einen Bahnübergang passiert, der noch von Personal vor Ort bedient werden muss.<br />
Solche Aspekte gilt es bei dieser Änderung, auch wenn sie nach Regelwerk erfolgt, zu beachten.<br />
Tabelle 2: Ergebnisse Beispiel 2<br />
Die Ergebnisse für das Beispiel 3 Organisation sind in Tabelle 3 dargestellt. Bei dem hier betrachteten<br />
Beispiel fallen zwei Fundamentals ins Auge. Dies ist zunächst das Fundamental Organisation, bei<br />
dem die Auswertung mit der SSM auch einen negativen Einfluss durch die Änderung feststellt. Aufgrund<br />
des Austauschs des technisch zuständigen Personals müssen gegebenenfalls auch Aufgaben<br />
und Verantwortungen neuzugeteilt werden. Die Auswirkungen dieser Tatsache müssen berücksichtigt<br />
werden. Gleichzeitig wird auch bei diesem Beispiel die Frage aufgeworfen, ob die vorhandene<br />
Seite 12 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Anhang<br />
Kompetenz beim neuen Personal bereits in ausreichendem Maße vorhanden ist beziehungsweise<br />
schnell genug angeeignet werden kann.<br />
Tabelle 3: Ergebnisse Beispiel 3<br />
7.1.2 Rückschlüsse für den im Report gefundenen Ansatz<br />
Bei allen drei gewählten Beispielen handelte es sich um Änderungen, bei denen ausschließlich nach<br />
Regelwerk vorgegangen wird. Die Ergebnisse der SSM zeigen hierbei für alle drei Beispiele, dass es<br />
sich hierbei aus Sicht der CSM-VO vermutlich um keine signifikanten Änderungen handeln würde,<br />
wobei die genaue Einschätzung von der jeweiligen Ausprägung des dann gewählten Beispiels abhängt.<br />
Die SSM-Ergebnisse lassen des Weiteren den Schluss zu, dass bei Änderungen nach vorhandenem<br />
Regelwerk die sichere Durchführung maßgeblich davon abhängt, ob die Organisation ausreichend<br />
Kenntnisse und Kompetenz in diesem Bereich besitzt. Dies schließt auch ein, dass das zuständige<br />
Personal sich seinem Verantwortungsbereich und möglichen Gefährdungen bewusst ist<br />
und Zuständigkeiten eindeutig geklärt sind.<br />
Die Ergebnisse der Untersuchung der drei Beispiele mit Hilfe der SSM bekräftigt somit die Relevanz<br />
des in diesem Report beschriebenen Aspekts, dass die Erfahrung der Organisation mit der Durchführung<br />
der Änderung in die Betrachtung einfließen muss. Die Signifikanz einer sicherheitsrelevanten<br />
Änderung nach Regelwerk ist also maßgeblich von diesem Punkt abhängig. Gleichzeitig konnte<br />
Seite 13 von 14
AP 2100 – Signifikanz von Änderungen auf Grundlage relevanter Regelwerke<br />
Anhang<br />
diese Untersuchung zeigen, dass durch die SSM keine weiteren zu berücksichtigenden Aspekte<br />
identifiziert wurden.<br />
7.2 Referenzen<br />
DB AG Signifikanzprüfung, Foliensatz, DN Netz AG, 18.04.2012<br />
EN 50 126<br />
CSM VO<br />
CSM GUI<br />
CSM EX<br />
Mü8004<br />
ORR<br />
SST<br />
VDV<br />
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03<br />
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die<br />
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie<br />
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen<br />
Union, L 108/4, 29.4.2009<br />
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung<br />
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,<br />
ERA/GUI/01-2008/SAF<br />
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge<br />
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF<br />
Mü8004: Technische Grundsätze für die Zulassung von Sicherungsanlagen, Eisenbahn-Bundesamt,<br />
Ausgabe vom 01.02.2007<br />
ORR guidance on the application of the common safety method (CSM) on risk<br />
assessment and evaluation, ORR, 2010<br />
Eurocontrol 2009: Safety Fundamentals for Safety Screening. The rationale of<br />
Safety Fundamentals and basic safety regulatory principles for regulatory use. December<br />
2009.<br />
Anwendung der Verordnung (EG) Nr. 352/2009 – CSM – gemeinsame Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6<br />
Absatz 3 Buchstabe a der Richtlinie 2004/49/EG bei der Änderung betrieblicher<br />
Prozesse und Verfahren, Ausschuss für Eisenbahnbetrieb (AEB), VDV, Februar 2009<br />
7.3 Abkürzungen<br />
Abk. Langform / Erläuterung<br />
CSM Common Safety Method<br />
LST<br />
SSM<br />
Leit- und Sicherungstechnik<br />
Safety Scanning Method<br />
Seite 14 von 14
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Allgemein vertretbares Risiko<br />
26.06.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger:<br />
TÜV Rheinland Consulting GmbH
AP 2100 – Allgemein vertretbares Risiko<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
31.07.2012 Braband (Siemens AG) V01 Erstellung<br />
23.10.2012 Braband (Siemens AG) V02 Überarbeitung und Einarbeitung der Beiträge von<br />
Hrn. Brinkmann (Pintsch Bamag) und Dr. Notter<br />
(Thales)<br />
13.11.2012 Braband (Siemens AG) V03 Einarbeitung weiterer Kommentare<br />
22.11.2012 Braband (Siemens AG) V04 Vervollständigung, Version fürs Review<br />
07.12.2012 Braband (Siemens AG) V05 Änderungen nach Review<br />
14.12.2012 Braband (Siemens AG) V06 Editorielle Anpassungen<br />
26.06.2013 Braband (Siemens AG) V07 Berücksichtigung der Änderungen auf Grund Revision<br />
CSM VO<br />
Seite 2 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Inhaltsverzeichnis<br />
1 Einleitung ....................................................................................................................4<br />
2 Vorgaben der CSM VO...................................................................................................4<br />
3 Anwendungsfälle ..........................................................................................................5<br />
3.1 Gefährdungsermittlung ............................................................................................6<br />
3.2 Geringfügig erhöhte Risiken ......................................................................................6<br />
3.3 Nichtbehebung von Produktsicherheitsmängeln.........................................................6<br />
4 Diskussion....................................................................................................................6<br />
4.1 Wirtschaftliche Interpretation ...................................................................................6<br />
4.2 Technische Interpretation ......................................................................................... 7<br />
5 Beispiele ......................................................................................................................8<br />
5.1 Einführung einer technischen Gefahrenraumfreimeldung ............................................8<br />
5.2 Kontinuierliche Geschwindigkeitsüberwachung bei PZB ..............................................9<br />
6 Zusammenfassung...................................................................................................... 10<br />
7 Anhang ...................................................................................................................... 11<br />
7.1 Vergleich mit „broadly acceptable risk“ nach ALARP ................................................. 11<br />
7.2 Anwendung in DIN V VDE V 0831-100....................................................................... 12<br />
7.3 Referenzen ............................................................................................................ 12<br />
7.4 Abkürzungen ......................................................................................................... 13<br />
Seite 3 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Einleitung<br />
1 Einleitung<br />
Damit Eisenbahnbetreiber zur Analyse und zur Beherrschung von geringfügigen Risiken nicht einen<br />
unangemessenen hohen Aufwand betreiben müssen, hatte die European Railway Agency (ERA) in<br />
der CSM Verordnung den Begriff des „broadly acceptable risk“ eingeführt, der im deutschen Text<br />
etwas unzutreffend als weitgehend akzeptables Risiko übersetzt wurde. Erst in der Revsion der<br />
CSM VO 402/2013 wurde der Begriff dann zutreffend als allgemein vertretbares Risiko übersetzt.<br />
Grundsätzlich können demnach Risiken, die sich aus Gefährdungen ergeben, als allgemein vertretbar<br />
eingestuft werden, wenn das Risiko so gering ist, dass es nicht angemessen ist, zusätzliche Sicherheitsmaßnahmen<br />
einzuführen.<br />
Die ERA hat mit dem Begriff des allgemein vertretbaren Risikos eine Gestaltungsmöglichkeit geschaffen,<br />
die im englischen Sprachraum schon als „broadly acceptable risk“ im Rahmen von ALARP<br />
definiert war. Dies ist aber im deutschen Sprachraum eher unüblich und bedarf deshalb einer sachgerechten<br />
Interpretation, die in diesem Dokument grundlegend skizziert werden soll.<br />
2 Vorgaben der CSM VO<br />
Der Begriff wird im Rahmen der Gefährdungsermittlung in der CSM Verordnung eingeführt. Die<br />
wesentlichen inhaltlichen Vorgaben der Verordnung sind die Folgenden:<br />
2.2.2. Mit dem Ziel, die Risikobewertung auf die wichtigsten Risiken zu konzentrieren, werden die Gefährdungen nach dem sich aus<br />
ihnen ergebenden geschätzten Risiko eingestuft. Auf der Grundlage einer Expertenbewertung müssen Gefährdungen, die mit einem<br />
allgemein vertretbaren Risiko verbunden sind, nicht weiter analysiert, sondern lediglich im Gefährdungsprotokoll erfasst werden.<br />
Die Einstufung der Gefährdungen ist zu begründen, damit eine unabhängige Bewertung durch eine Bewertungsstelle vorgenommen<br />
werden kann.<br />
2.2.3. Aus Gefährdungen resultierende Risiken können beispielsweise dann als allgemein vertretbar eingestuft werden, wenn das<br />
Risiko so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen nicht angemessen wäre. Die Expertenbewertung berücksichtigt,<br />
dass der Gesamtumfang aller allgemein vertretbaren Risiken einen bestimmten Anteil am Gesamtrisiko nicht übersteigen<br />
darf.<br />
Hierzu gibt es in der CSM Leitlinie der ERA (zur CSM VO 352/2009) weitere Ausführungen bzw. Anhaltspunkte<br />
zur Interpretation:<br />
[G 1] Der Vorschlagende ist verantwortlich für die Einschätzung, ob das mit der jeweiligen ermittelten Gefährdung verbundene<br />
Risiko weitgehend akzeptabel ist, und für die Gewährleistung, dass die Bewertung von kompetenten Fachleuten vorgenommen wird<br />
(siehe Definitionen in [G 2](b) und (c) von Artikel 3).<br />
[G 2] Da in der Phase der Gefährdungsermittlung eine detaillierte quantifizierte Bestimmung des Risikos nicht in jedem Falle<br />
zwangsläufig möglich ist, kann in der Praxis ein Sachverständigenurteil in den folgenden Fällen für eine Entscheidung darüber<br />
herangezogen werden, ob die betrachtete Gefährdung mit einem weitgehenden akzeptablen Risiko verbunden sein könnte:<br />
(a) entweder wenn die Eintrittshäufigkeit der Gefährdung ungeachtet ihres potenziellen Ausmaßes infolge z. B. physikalischer Ereignisse(8)<br />
(wie Meteoriteneinschlag auf der Bahnstrecke) für ausreichend gering eingeschätzt wird;<br />
(b) oder/und wenn ungeachtet der Eintrittshäufigkeit das potenzielle Ausmaß der Gefährdungsfolgen für ausreichend gering eingeschätzt<br />
wird.<br />
[G 3] Wenn Gefährdungen mit unterschiedlichem Detailgrad ermittelt werden (d. h. Gefährdungen der höheren Ebene einerseits und<br />
detaillierte <strong>Teil</strong>gefährdungen andererseits), sorgt der Vorschlagende für ihre ordnungsgemäße Aufgliederung mindestens in die<br />
Kategorien Gefährdungen in Verbindung mit weitgehend akzeptablem Risiko und Gefährdungen in Verbindung mit nicht als weitgehend<br />
akzeptabel erachteten Risiken. Hierzu gehören Maßnahmen, mit denen sichergestellt wird, dass die anteilige Wirkung aller<br />
mit weitgehend akzeptablen Risiken verbundenen Gefährdungen einen bestimmten Anteil am Gesamtrisiko auf Systemebene nicht<br />
übersteigt.<br />
In der Sammlung der Beispiele der ERA finden sich folgende Ausführungen:<br />
[G 1] Beispielsweise kann ein mit einer Gefährdung verbundenes Risiko als weitgehend akzeptabel betrachtet werden:<br />
(a) wenn das Risiko unter einem angegebenen Prozentsatz (z. B. x%) vom maximal tragbaren Risiko für diesen Gefährdungstyp<br />
liegt. Der Wert x% kann auf einer Best- Practice und auf Erfahrungen mit mehreren Risikoanalyseansätzen beruhen, z. B. auf dem<br />
Klassifikationsverhältnis zwischen weitgehend akzeptablem Risiko und untragbarem Risiko als FN-Kurve oder Risikomatrix. Dies<br />
kann entsprechend Abbildung 7 dargestellt werden;<br />
(b) oder wenn der mit dem Risiko verbundene Verlust so gering ist, dass die Implementierung einer sicherheitsbezogenen Gegenmaßnahme<br />
nicht vernünftig ist.<br />
Seite 4 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Anwendungsfälle<br />
[G 2] Wenn darüber hinaus Gefährdungen mit unterschiedlichen Detailgraden ermittelt werden (d. h. Gefährdungen der höheren<br />
Ebene einerseits und detaillierte <strong>Teil</strong>gefährdungen andererseits), müssen Vorkehrungsmaßnahmen getroffen werden, um eine falsche<br />
Einordnung in der Rubrik der mit weitgehend akzeptablen Risiken verbundenen Gefährdungen zu vermeiden. Der Beitrag aller mit<br />
weitgehend akzeptablen Risiken verbundenen Gefährdungen darf einen bestimmen Anteil (z. B. y%) des auf Systemebene bestehenden<br />
Gesamtrisikos nicht übersteigen. Diese Prüfung ist notwendig, um zu verhindern, dass der gedankliche Grundansatz durch ein<br />
Aufspalten der Gefährdungen in zu viele kleinteilige Gefährdungen ausgehöhlt wird. Wenn eine einzelne Gefährdung in zu vielen<br />
„kleineren“ <strong>Teil</strong>gefährdungen ausgedrückt wird, kann tatsächlich die einzelne Betrachtung jeder dieser <strong>Teil</strong>gefährdungen schnell<br />
dazu führen, dass eine Verbindung mit weitgehend akzeptablen Risiken ermittelt wird, während eine gemeinsame Beurteilung (d. h.<br />
die gemeinsame Betrachtung der <strong>Teil</strong>gefährdungen als eine Gefährdung höherer Ebene) im Ergebnis dazu führen kann, dass diese<br />
Gefährdung mit einem signifikanten Risiko verbunden ist. Der effektive Wert des prozentualen Anteils (z. B. y%) hängt davon ab,<br />
welche Risikoakzeptanzkriterien auf der Systemebene gelten. Er kann anhand von Betriebserfahrungen ähnlicher Referenzsysteme<br />
ermittelt bzw. geschätzt werden.<br />
[G 3] Die beiden oben genannten Prüfungen (d. h. gegenüber x % und y %) ermöglichen die Bündelung der Risikobewertung auf die<br />
wesentlichsten Gefährdungen und sichern die Kontrolle signifikanter Risiken (siehe Abbildung 8).<br />
Unbeschadet der rechtlichen Anforderungen eines Mitgliedstaates liegt es in der Verantwortung des Vorschlagenden, auf der Grundlage<br />
eines Sachverständigenurteils die Werte von x % und y % festzulegen und von der Bewertungsstelle unabhängig bewerten zu<br />
lassen. Die Werte können beispielsweise in der Größenordnung x = 1% und y = 10% liegen, wenn dies ausgehend vom Sachverständigenurteil<br />
für akzeptabel erachtet wird.<br />
[G 4] Nach Abschnitt 2.2.2 bedarf die Einstufung in „weitgehend akzeptable Risiken“ einer unabhängigen Bewertung durch eine<br />
Bewertungsstelle.<br />
Abbildung 1: Beispiele aus dem Leitfaden der ERA<br />
Dazu werden noch zwei Abbildungen gegeben (siehe Abbildung 1) und es wird auf den Fachartikel<br />
Kurz/Milius (2008) verwiesen.<br />
3 Anwendungsfälle<br />
Hier sollen die typischen Use Cases illustriert werden, bei denen der Begriff zum Einsatz kommen<br />
kann. Dabei muss zuerst die Frage diskutiert werden, ob und wann Hersteller die Rolle des Vorschlagenden<br />
übernehmen können. Nach der Definition der CSM VO ist der Hersteller sogar nur dann Vorschlagender,<br />
wenn er nach Artikel 18 Absatz 1 der Richtlinie 2008/57/EG bei einer benannten Stelle<br />
das EG-Prüfverfahren durchführen lässt oder eine Genehmigung für die Inbetriebnahme von Fahrzeugen<br />
beantragt. In der CSM Leitlinie werden zusätzlich noch generische Typzulassungen genannt.<br />
Mit Verweis auf die Prozess-Abbildung in der CSM Leitlinie der ERA ist zu erkennen, dass bei Änderungen<br />
der funktionalen Anforderungen das Risikoprofil zu bewerten ist. Dies ist in den meisten<br />
Fällen durch den Betreiber zu veranlassen. Wenn der Hersteller neue Funktionen unabhängig vom<br />
Seite 5 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Diskussion<br />
Betreiber vorschlägt, besetzt er diese Rolle. In vielen Fällen werden Betreiber und Hersteller die Signifikanzbewertung<br />
gemeinsam durchführen.<br />
3.1 Gefährdungsermittlung<br />
Im Rahmen der Gefährdungsermittlung insb. von Anlagenprojekten können Gefährdungen ermittelt<br />
werden, die zwar prinzipiell auftreten könnten, aber für die z. B. eine explizite Risikoermittlung sehr<br />
aufwändig wäre. Allerdings sagt das Expertenurteil gestützt auf entsprechende Erfahrung, dass das<br />
Risiko sehr gering ist, z. B. Auftreten eines Erdbebens in einem nicht erdbebengefährdeten Gebiet.<br />
Für Hersteller könnte dieser Fall nur im Rahmen von generischen Typzulassungen relevant werden,<br />
z. B. bei der Einführung einer neuen technischen Funktion. Bei zunehmendem Anteil der Hersteller<br />
an Planungsleistungen bzw. bei den spezifischen Applikationsprojekten könnte dieses Thema an<br />
Bedeutung zunehmen, allerdings in der Regel dann als Unterauftragnehmer bzw. Akteur eines Betreibers.<br />
3.2 Geringfügig erhöhte Risiken<br />
Ein weiterer Anwendungsfall kann darin bestehen, dass sich z. B. durch technische Änderungen Risiken<br />
geringfügig erhöhen. Wenn z. B. eine technische Einrichtung exakt die Sicherheitsanforderung<br />
(THR) von 10 -x /h erfüllt hat, könnte sich z. B. durch eine HW-Änderung (verringerte MTBF) formal<br />
eine THR von 1.01 x 10 -x /h ergeben, d. h. auch das Risiko hätte sich um 1% erhöht. Im Zweifelsfall<br />
müssen Kompensationsmaßnahmen durchgeführt werden, um das Risiko an anderer Stelle zu reduzieren.<br />
3.3 Nichtbehebung von Produktsicherheitsmängeln<br />
DIN V VDE V 0831-100 definiert einen risikoorientierten Prozess und beispielhaft Methoden zum<br />
Umgang mit Produktsicherheitsmängeln (PSM). In der Regel müssen PSM innerhalb eines zu ermittelnden<br />
Behebungszeitraumes beseitigt werden. Es kann aber Ausnahmefälle geben, bei denen<br />
möglicherweise ein Ansatz auf Grundlage des allgemein vertretbaren Risikos notwendig werden<br />
kann:<br />
1. Die Behebung ist sehr unwirtschaftlich<br />
2. Die Risikoerhöhung ist sehr gering<br />
3. Der Fehler kann nicht gefunden werden<br />
In diesem Fall kann das Konzept inhaltlich zwar hilfreich sein, fällt aber nicht in den Anwendungsbereich<br />
der CSM Verordnung und wird daher in diesem Ergebnisbericht nicht weiter behandelt.<br />
4 Diskussion<br />
4.1 Wirtschaftliche Interpretation<br />
In einer wirtschaftlichen Interpretation, wie sie nach der CSM Verordnung naheliegt (wirtschaftlich<br />
„angemessen“), müsste ein monetärer Grenzwert festgelegt werden, für den man sich nicht vorstellen<br />
kann, zusätzliche Sicherheitsmaßnahmen durchzuführen, und ähnlich wie bei ALARP-<br />
Betrachtungen der Nutzen von Sicherheitsmaßnahmen festgelegt werden (etwa „willingness to<br />
pay“ oder „value of prevented fatality“. Solche Festlegungen sollen zukünftig von der ERA getroffen<br />
werden. Im Rahmen der CSM Verordnung ist allerdings im Rahmen der Gefährdungseinstufung eine<br />
umfangreiche ALARP-Betrachtung aufgrund des Aufwands nicht sinnvoll.<br />
Zumindest in Deutschland scheint eine wirtschaftliche Interpretation nur als kompetentes Sachverständigenurteil<br />
denkbar, insbesondere da die CSM Verordnung auch keine quantitative Betrachtung<br />
fordert.<br />
Seite 6 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Diskussion<br />
4.2 Technische Interpretation<br />
Schon in der Leitlinie bzw. den Beispielen der ERA wird eine rein technische Interpretation in Form<br />
von geringfügigen prozentualen Anteilen am Gesamtrisiko vorgeschlagen. Diese Interpretation wird<br />
aber nicht direkt durch den Text der Verordnung selber gedeckt, so dass auch hier noch die Wirtschaftlichkeit<br />
bzw. der Aufwand zur Realisierung der risikoreduzierenden Maßnahme eingehen sollte.<br />
Hierzu wird folgende Vorgehensweise vorgeschlagen:<br />
1. Bewertung des Risikobeitrags zum Gesamtrisiko. Voraussetzung für Einstufung als<br />
allgemein vertretbares Risiko: Risikobeitrag deutlich kleiner als Gesamtrisiko (< 0,1).<br />
2. Falls Voraussetzung erfüllt: Bewertung<br />
a) des Aufwands im Verhältnis zu den Gesamtkosten der Sicherungseinrichtungen,<br />
die für die Beherrschung des Gesamtrisikos erforderlich sind, oder<br />
b) einer möglichen Reduktion der Leistungsfähigkeit oder Verfügbarkeit des<br />
betroffenen Systems<br />
3. In Bewertungsmatrix ermitteln, ob zusätzliche Sicherheitsmaßnahme erforderlich<br />
4. Prüfung, ob das „Gesamtbudget“ für AVR (10% des Gesamtrisikos) schon überschritten<br />
wurde<br />
Begründung:<br />
Risikobeitrag 30%, oder<br />
Aufwand > 30%<br />
der Gesamtkosten<br />
AVR<br />
AVR<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 10%, oder<br />
Aufwand > 10%<br />
der Gesamtkosten<br />
AVR<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 3%, oder<br />
Aufwand > 3% der<br />
Gesamtkosten<br />
AVR AVR AVR<br />
Tabelle 1: Vorschlag einer Bewertungsmatrix<br />
Sonst<br />
1. Bei den Beispielen der ERA werden 10% als Obergenze für alle AVR-Beiträge zum Gesamtrisiko<br />
vorgeschlagen.<br />
2. Es erscheint sinnvoll, den Kategorien für die Risikoanteile, die ähnlich den Risikokategorien<br />
für semiquantitative Risikoanalysemethoden gewählt wurden, dieselben Kategorien bez.<br />
der Mehrkosten für zusätzliche Sicherheitsmaßnahmen gegenüberzustellen.<br />
3. Wenn das Verhältnis des Risikobeitrags zu den Mehrkosten für die Sicherheitsmaßnahmen<br />
in einem Missverhältnis steht, ist der Risikobeitrag AVR. Gleiches gilt für die Reduktion der<br />
Leistungsfähigkeit oder Verfügbarkeit. Bei ALARP wird ein Verhältnis in der Größenordnung<br />
1:3 oder kleiner als unverhältnismäßig angesehen.<br />
4. Letztendlich muss noch nach CSM VO das Gesamtverhältnis aller AVR-Beiträge zum Gesamtrisiko<br />
beurteilt werden.<br />
Seite 7 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Beispiele<br />
Es sei noch angemerkt, dass es sich bei den Prozentgrößen in Tabelle 1 um Anhaltspunkte handelt,<br />
an denen sich die Experteneinschätzung orientieren kann. In der Regel werden diese Werte nicht<br />
quantitativ nachgewiesen.<br />
5 Beispiele<br />
5.1 Einführung einer technischen Gefahrenraumfreimeldung<br />
Eine Gefahrenraum-Freimeldeanlage (GFR) ist eine technische Anlage, die an Bahnübergängen den<br />
Raum des Kreuzungsbereichs von Schiene und Straße überwacht. Technisch wird dies teils über<br />
Induktionsschleifen, über Infrarot-Lichtschranken oder Radar-Systeme realisiert. Durch die GFR<br />
wird ermöglicht, auf die für Bahnübergänge mit Schranken (ausgenommen Anrufschranken) bzw.<br />
Bahnübergänge mit Lichtzeichen und Schranken geforderte mittelbare oder unmittelbare Einsehbarkeit<br />
zu verzichten. Die GFR soll feststellen, ob sich noch ein Hindernis im Bereich zwischen den<br />
Schranken beidseitig der Gleisanlage (Gefahrenraum) befindet. Im Falle des Vorhandenseins eines<br />
Hindernisses wird eine Meldung an das betreffende Stellwerk gegeben und das Stellwerk verhindert,<br />
dass das den Bahnübergang schützende Signal einen Fahrtbegriff zeigen kann. In einzelnen<br />
Fällen wird auch bereits das Schließen der Schranken verhindert.<br />
Bei den meisten BÜSA-GFR-Anlagen wird die Hinderniserkennung, Lastenheft gestützt, auf das<br />
Erkennen von großen Objekten, meist Fahrzeuge bis hin zu Krankenfahrstühlen, begrenzt. Personenerkennung<br />
wird explizit oder implizit ausgeschlossen. Die Begrenzung wird durch zwei Aussagen<br />
begründet:<br />
1. Im Falle der Sicherung einer BÜSA (Lichtzeichen, Halb- oder Vollschranken, BÜ-Akustik)<br />
können Personen den Gefahrenbereich ungehindert räumen (Gefahrenabwendung möglich,<br />
bei vollem Schrankenabschluss müssen Drehkreuze eingerichtet sein). Damit sind die Personen<br />
im BÜSA-Gefahrenbereich mit GFR-Sicherung dem gleichen Risiko ausgesetzt, dem<br />
Personen bei allen anderen BÜSA ohne GFR-Sicherung ausgesetzt sind, welches gesellschaftlich<br />
als akzeptiert angesehen werden kann.<br />
2. Würde bei BÜSA-GFR-Anlagen Personenerkennung eingeschlossen, würde es zu voraussehbaren<br />
Störungen des Bahnbetriebs kommen (BÜSA würde Schließen der Schranken verhindern,<br />
wenn Personen „nur noch schnell einmal“ den Gefahrenbereich queren wollen,<br />
schützende Signale würden in “Halt“ verbleiben, wahrscheinliches Szenario für BÜSA in innerstädtischen<br />
Bereichen).<br />
Die Bewertung auf Grundlage der CSM VO sieht dann wie folgt aus:<br />
1. Änderung: Einführung einer technischen Gefahrenraumfreimeldung (als neue technische<br />
Funktion) als Ersatz der BÜ-Beobachtung<br />
2. Vorschlagender: Herstellerfirma (generisches Produkt)<br />
3. Annahme: es gibt kein Lastenheft für diese Funktion<br />
4. Signifikanz: BÜ ist SIL 3, innovativ und komplex (mindestens 6 Punkte AUM)<br />
5. Systemdefinition: (Informativ s. o., wird hier nicht explizit dargestellt)<br />
6. Gefährdungsidentifikation: Nichterkennung eines Hindernisses im Gefahrenraum, darunter a)<br />
Fahrzeuge, große Hindernisse, auch große Tiere und Herden b) Personen, kleine Hindernisse,<br />
kleine Tiere<br />
7. Gefährdungseinstufung: b) allgemein vertretbar<br />
Seite 8 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Beispiele<br />
8. Vorgehensweise: kompetentes Sachverständigenurteil<br />
9. Begründung: 2.2.3 CSM VO in Verbindung mit [G2] der Leitlinie: Die Häufigkeit des Einschlusses<br />
von Personen wird als gering eingeschätzt und die Unfallhäufigkeit wird weiter dadurch<br />
reduziert, dass eingeschlossene Personen den Gefahrenraum verlassen können (dies muss jedoch<br />
ermöglicht werden). Dies wird u. a. durch die Betriebserfahrung bei Halbschrankenanlagen<br />
bestätigt. D. h. das mit Gefährdung b) verbundene Risiko ist sehr gering. Die Einführung<br />
einer zusätzlichen Sicherheitsmaßnahme (Personenerkennung) ist auch deshalb nicht angemessen,<br />
weil die betrieblichen Einschränkungen durch kontinuierliche Störungen erheblich<br />
wären (Verhinderung des Schrankenschließens bzw. der Fahrtstellung schützender Signale<br />
durch unbefugtes Überqueren). Bezüglich einer Gefährdung des Zuges gilt: Gemäß Szenario<br />
a) werden Fahrzeuge, große Gegenstände, auch große Tiere oder Herden durch die Gefahrenraumfreimeldung<br />
erkannt, bei kleinen Gegenständen oder Tieren (Szenario b) ist das Risiko<br />
allgemein vertretbar wegen des geringen Schadensausmaßes.<br />
5.2 Kontinuierliche Geschwindigkeitsüberwachung bei PZB<br />
Die PZB ist ein punktförmiges Zugbeeinflussungssystem. Es überwacht die Einhaltung der Fahrerlaubnis<br />
einerseits und Einhaltung der Sollgeschwindigkeit in Bereichen mit erheblichen Absenkungen<br />
der Sollgeschwindigkeit andererseits. In der Natur der punktförmigen Zugbeeinflussung liegt,<br />
dass keine vollständigen Sollgeschwindigkeitsprofile überwacht werden können. Z.B. wird die Einhaltung<br />
der streckenbezogenen Höchstgeschwindigkeit nicht überwacht, solange keine erheblichen<br />
Geschwindigkeitsabsenkungen vorliegen. Dies betrifft die freie Strecke (Fall a), aber z.B. auch die<br />
Einfahrt in einen Kopfbahnhof mit niedriger Geschwindigkeit (Fall b). Dennoch ist die PZB als hinreichendes<br />
Zugbeeinflussungssystem auf Strecken bis 160 km/h in Deutschland akzeptiert.<br />
Folgende Risiken sind u. a. zu betrachten:<br />
• Fall a: Entgleisung, wenn auf freier Strecke die Streckengeschwindigkeit wesentlich überschritten<br />
wird und Gleisbögen zu befahren sind.<br />
• Fall b: Auffahren mit erheblicher Geschwindigkeit auf den Gleisabschluss, wenn die Geschwindigkeit<br />
bei Einfahrt in den Kopfbahnhof überschritten wird und keine rechtzeitige<br />
Bremsung eingeleitet wird.<br />
Die Bewertung auf Grundlage der CSM VO sieht dann wie folgt aus:<br />
1. Änderung: Einführung der PZB in einem EU-Land ohne Zugbeeinflussungstechnik<br />
auf einer nicht-TSI-pflichtigen Strecke<br />
Als Alternative könnte man sich auch die Aufforderung zur Überprüfung der PZB<br />
nach den Vorgaben der CSM-VO durch die Zulassungsbehörde vorstellen (Zweifel<br />
am Bestandsschutz). Eine weitere Alternative könnte eine Änderung der Überwachungsfunktionalität<br />
darstellen, die dazu führt, dass sich die oben aufgeführte Frage<br />
nach dem Bestandsschutz stellt, die mit einer Bewertung nach CSM-VO untermauert<br />
werden soll.<br />
2. Vorschlagender: Herstellerfirma (generisches Produkt), Bewertung im Auftrag des<br />
Betreibers<br />
3. Annahme: es gibt kein Lastenheft des Betreibers<br />
4. Signifikanz: Die Kombination aus Triebfahrzeugführer und PZB muss die höchsten<br />
Sicherheitsanforderungen erfüllen, Fehler können sich direkt katastrophal auswir-<br />
Seite 9 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Zusammenfassung<br />
ken. Die Änderung ist im Bereich des Betreibers innovativ und komplex (7 Punkte<br />
AUM), d. h. signifikante Änderung<br />
5. Systemdefinition: (Informativ s. o., wird hier nicht explizit dargestellt)<br />
6. Gefährdungsidentifikation: Siehe a und b oben<br />
7. Gefährdungseinstufung: a und b allgemein vertretbar<br />
8. Vorgehensweise: kompetentes Sachverständigenurteil<br />
9. Begründung: Aufgrund der Qualifikation der Triebfahrzeugführer werden Geschwindigkeitsvorgaben<br />
aus dem Buchfahrplan mit hoher Zuverlässigkeit eingehalten.<br />
In Bereichen mit konstanter Streckengeschwindigkeit ist der Abstand zur Entgleisungsgeschwindigkeit<br />
relativ hoch, so dass nur größere Geschwindigkeitsüberschreitungen<br />
zur Entgleisung führen können. Die kritischen Geschwindigkeitsabsenkungen<br />
sind bereits durch punktförmige Geschwindigkeitsprüfabschnitte abgesichert.<br />
Der Risikobeitrag dieser Gefährdungen zum durch die PZB abgedeckten Gesamtrisiko<br />
ist deshalb klein, der Zugewinn an Sicherheit durch eine kontinuierliche<br />
Geschwindigkeitsüberwachung wäre gering. Die Einstufung als allgemein vertretbar<br />
Risiko für PZB-gesicherte Strecken ist gerechtfertigt, da hoher technischer Aufwand<br />
einem geringen Risikobeitrag im Verhältnis zum Gesamtrisiko gegenübersteht, sodass<br />
die beschriebenen Gefährdungsszenarien nur relevant werden, wenn der Triebfahrzeugführer<br />
die Geschwindigkeit vorzeitig erhöht. Dies ist insbesondere bei Einfahrten<br />
in Kopfbahnhöfe unwahrscheinlich, da hierbei gleichzeitig immer ein Halt zu<br />
erwarten ist (und signalisiert wird) und der Triebfahrzeugführer daher keinen Anlass<br />
zu einer Erhöhung der Geschwindigkeit hat.<br />
Im Vergleich dazu dürfte auf Strecken mit kontinuierlicher Zugsicherung keine Einstufung als allgemein<br />
vertretbares Risiko erfolgen, da risikovermindernde Maßnahmen für die oben aufgeführten<br />
Gefährdungen in solchen Systemen mit geringem Aufwand realisiert werden können.<br />
6 Zusammenfassung<br />
In diesem Bericht wird eine neue pragmatische Vorgehensweise für die Unterstützung der Experteneinschätzung<br />
bei „allgemein vertretbaren Risiken“ vorgestellt und anhand ausgewählter Beispiele<br />
erläutert.<br />
In diese Vorgehensweise sind sowohl die Ausführungen in den Leitlinien der ERA als auch vorhandene<br />
Erfahrungen mit Risikobewertungen eingegangen.<br />
Seite 10 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Anhang<br />
Tabelle 2 zeigt sowohl die vorgeschlagene Bewertungsmatrix als auch die Bewertung der Beispiele.<br />
Risikobeitrag<br />
30%, oder<br />
Aufwand > 30%<br />
der Gesamtkosten<br />
PZB<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 10%, oder<br />
Aufwand > 10%<br />
der Gesamtkosten<br />
GFR<br />
Tabelle 2: Zusammenfassung der Ergebnisse<br />
7.1 Vergleich mit „broadly acceptable risk“ nach ALARP<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 3%, oder<br />
Aufwand > 3% der<br />
Gesamtkosten<br />
Sonst<br />
LZB/ETCS<br />
Intolerierbares<br />
Risiko<br />
ALARP<br />
Risiko<br />
Kosten-Nutzen-<br />
Betrachtungen<br />
Risiko kann in der Regel<br />
nicht toleriert werden<br />
Tolerierbar nur,<br />
wenn Reduktion nicht<br />
praktikabel ist oder<br />
die Kosten unverhältnismäßig<br />
hoch sind<br />
Benchmark<br />
Tolerierbar nur,<br />
wenn die Kosten für<br />
weitere Reduktion<br />
den Nutzen übersteigen<br />
z. B. 1 Toter pro 10.000<br />
Personenjahre<br />
z. B. 1 Toter pro 100.000<br />
Personenjahre<br />
Allg. tolerierbares<br />
Risiko (ALARP<br />
Prinzip braucht nicht<br />
Nachgewiesen werden)<br />
Notwendig, zu zeigen, dass das<br />
Risiko unter diesem Niveau bleibt<br />
z. B. 1 Toter pro<br />
1.000.000 Personenjahre<br />
Abbildung 2: ALARP-Dreieck<br />
ALARP bedeutet im Kern eine monetäre Kosten-Nutzen-Analyse von Sicherheitstechnik, wobei der<br />
Nutzen in der Regel in Form von potenziell verhinderten Unfallopfern gemessen wird. Eine Ausnahme<br />
wird davon nur zugelassen, wenn das Risiko sehr weit unter dem vorgegebenen Sicherheitsziel<br />
(Benchmark) liegt, siehe Abbildung 2. Dieses Risiko wird als „allgemein tolerierbar (broadly aceptable)“<br />
bezeichnet und kommt in der Praxis allerdings nur selten vor. Um den Nutzen mit den Inves-<br />
Seite 11 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Anhang<br />
titionskosten zu vergleichen, werden in der Regel alle Unfallfolgen in monetäre Einheiten umgerechnet,<br />
d. h. auch einem Menschenleben wird ein Geldbetrag zugeordnet.<br />
In vielen ALARP-Anwendungen umfasst die sog. ALARP-Zone zwei Größenordnungen, d. h. das<br />
Verhältnis vom Grenzrisiko (Grenze zum intolerierbaren Risiko) zum „broadly acceptable risk“<br />
(Grenze zum ALARP-Risiko) beträgt einen Faktor 100 oder, anders herum ausgedrückt: das „broadly<br />
acceptable risk“ beträgt 1% des Grenzrisikos.<br />
7.2 Anwendung in DIN V VDE V 0831-100<br />
In DIN V VDE V 0831-100 wird der Begriff unter dem Namen „allgemein akzeptabel“ verwendet,<br />
aber nur für eine besondere Klasse von Risiken, nämlich die Klasse mit dem höchsten Schadenspotenzial:<br />
Der Begriff kann in direkten Zusammenhang mit dem Risikoakzeptanzkriterium MGS gebracht werden: Ist das Risiko bzw. die<br />
Risikoerhöhung so gering, dass sich mit hoher Wahrscheinlichkeit keine Änderung bez. der Risikoakzeptanz nach MGS ergibt, so<br />
kann das Risiko als allgemein akzeptabel eingeschätzt werden.<br />
Im Vergleich mit Kapitel 5.2 kann man davon ausgehen, dass ein Risiko allgemein akzeptabel ist, wenn es im Vergleich zu einem<br />
tolerierten Risiko nur einen kleinen Bruchteil davon ausmacht. Diese Interpretation ist in Einklang mit anderen Vorschlägen aus der<br />
Fachwelt (z. B. ALARP-Kriterium): Eine Gefährdung darf als allgemein akzeptabel angesehen werden, wenn das mit ihr verbundene<br />
Risiko mindestens zwei Größenordnungen geringer ist als das maximal tolerierbare Risiko.<br />
Als allgemein akzeptables Risiko wird danach ein Wert von 1x10 -11 gefährlicher Ereignisse je Element und Betriebsstunde in einem<br />
technischen System angesehen, denn<br />
1. er ist 2 Größenordnungen kleiner als tolerierte Risiken pro Element in heutiger Technik (z. B. Schnittstelle für eine Weiche<br />
(ohne Weiche selbst) liegt heute bei 1,6 x10 -9 h -1 )<br />
2. es müssen also für ein Element 100 Fehler auftreten, um in die Größenordnung der stochastisch akzeptierten Fehler zu<br />
kommen.<br />
3. Der in ERA CSM festgelegte Risikoakzeptanz-Wert liegt bei 1x10 -9 h -1 pro Funktion.<br />
7.3 Referenzen<br />
EN 50 126<br />
CSM VO<br />
CSM GUI<br />
CSM EX<br />
DIN<br />
Kurz/Milius<br />
Revision<br />
CSM VO<br />
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03<br />
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die<br />
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie<br />
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen<br />
Union, L 108/4, 29.4.2009<br />
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung<br />
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,<br />
ERA/GUI/01-2008/SAF<br />
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge<br />
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF<br />
Risikoorientierte Beurteilung von potenziellen Sicherheitsmängeln und risikoreduzierenden<br />
Maßnahmen, DIN V VDE V 0831-100: 2009<br />
Die Gefährdungseinstufung im ERA-Risikomanagementprozess“, Signal +Draht<br />
(100) 9/2008<br />
DURCHFÜHRUNGSVERORDNUNG (EU) Nr. 402/2013 DER KOMMISSION<br />
vom 30. April 2013 über die gemeinsame Sicherheitsmethode für die Evaluierung<br />
Seite 12 von 13
AP 2100 – Allgemein vertretbares Risiko<br />
Anhang<br />
und Bewertung von Risiken und zur Aufhebung der Verordnung (EG) Nr. 352/2009<br />
7.4 Abkürzungen<br />
Abk. Langform / Erläuterung<br />
AVR Allgemein Vertretbares Risiko<br />
CSM Common Safety Method<br />
ETCS European Train Control System<br />
GFR Gefahrenraumfreimeldung<br />
LST Leit- und Sicherungstechnik<br />
LZB Linienförmige Zugbeeinflussung<br />
MGS Mindestens Gleiche Sicherheit<br />
PZB Punktförmige Zugbeeinflussung<br />
SIL Safety Integrity Level<br />
Seite 13 von 13
dt<br />
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis<br />
von ähnlichen Referenzsystemen” bei Anwendung der CSM-<br />
VO<br />
16.07.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger: TÜV Rheinland Consulting GmbH
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
19.05.2013 Notter (THALES) V01 Erstellung (auf Thales-Vorlage)<br />
16.07.2013 Notter/Feucht (THA- V02 Einarbeitung von Anmerkungen aus AG2<br />
LES)<br />
09.08.2013 Notter (THALES) V03 Einarbeitung von Anmerkungen vom AG2-<br />
Abschlusstreffen 5./6.8.2013<br />
Inhaltsverzeichnis<br />
1 Einleitung .......................................................................................................................... 3<br />
2 CSM-VO Inhalte zum Thema „Referenzsysteme” .......................................................... 3<br />
3 Literatur-Überblick ........................................................................................................... 5<br />
3.1 ERA Leitlinie ................................................................................................................. 5<br />
3.2 ERA Beispiele ............................................................................................................... 5<br />
3.3 EBA-Hinweise ............................................................................................................... 5<br />
3.4 ORR Guideline .............................................................................................................. 5<br />
4 Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche<br />
Systeme” ........................................................................................................................... 5<br />
5 Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems<br />
in einem anderen Kontext ............................................................................................... 8<br />
6 Zusammenfassung ......................................................................................................... 10<br />
7 Referenzen ...................................................................................................................... 12<br />
8 Abkürzungen .................................................................................................................. 12<br />
Seite 2 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Einleitung<br />
1 Einleitung<br />
Der vorliegende Ergebnisbericht befasst sich mit der Anwendung der Vorgaben zur Risikoakzeptanzermittlung<br />
mittels Referenzsystem.<br />
Die CSM-VO beinhaltet als mittlere Säule der Risikoakzeptanzgrundsätze die Ermittlung von Risikoakzeptanzgrundsätzen<br />
aus den Sicherheitseigenschaften eines bereits zugelassenen Referenzsystems.<br />
Das ermöglicht die Ableitung von Sicherheitsanforderungen für „ähnliche Systeme“ aus<br />
den Eigenschaften des Referenzsystems durch Sicherheitsanalyse oder aus der vorhandenen<br />
Dokumentation.<br />
Als Sicherheitsanforderungen definiert sie die (qualitativen oder quantitativen) Sicherheitsmerkmale<br />
eines Systems inklusive des Betriebs und der Instandhaltung.<br />
Begrifflich unterscheidet sie davon die systeminternen Sicherheitsanforderungen, indem sie für<br />
diese den Begriff der „umzusetzenden Sicherheitsmaßnahmen“ einführt. Mit Sicherheitsanforderungen<br />
sind also übergeordnete Sicherheitsziele gemeint, wie sie z.B. die EN 50129 mit dem<br />
Konzept der tolerierbaren Gefährdungsraten einführt.<br />
Die Risikoakzeptanzermittlung mittels Referenzsystem ist vergleichbar mit dem Grundsatz<br />
GAMAB nach EN 50126 bzw. dem im deutschen Sprachraum geläufigen Grundsatz „mindestens<br />
gleiche Sicherheit” (sinngemäß entsprechend EBO, Allgemeine Anforderungen). Die CSM-<br />
VO erweitert den Spielraum für die Anwendung von Referenzsystemen und stellt die Grundregeln<br />
dafür auf.<br />
Für Referenzsysteme als Grundsatz der Risikoakzeptanz werden hauptsächlich zwei Anwendungsfälle<br />
gesehen:<br />
– Ähnliche Referenzsysteme als Basis zur Ermittlung von Sicherheitsanforderungen als Risikoakzeptanzgrundsätze<br />
für die Erstellung neuer Systeme<br />
– Cross Acceptance von Systemen auf Basis der Erfahrung mit der Anwendung des selben<br />
Systems in einem anderen Kontext<br />
Diese beiden Anwendungsfälle werden im Folgenden näher diskutiert.<br />
Bemerkung: Die Risikoakzeptanzermittlung mittels Referenzsystem ist relevant für signifikante Änderungen, kann aber<br />
auch bei nicht-signifikanten Änderungen im Rahmen des eigenen Sicherheitsverfahrens angewendet werden.<br />
2 CSM-VO Inhalte zum Thema „Referenzsysteme”<br />
Die nachfolgenden Punkte stellen die für das Thema „Referenzsystem” relevanten Abschnitte<br />
aus der CSM-VO Nr. 402/2013 dar. An Stellen, wo die CSM-VO Nr. 402/2013 von der Vorgängerversion<br />
CSM-VO Nr. 352/2009 abweicht, ist der ursprüngliche Text der CSM-VO Nr.<br />
352/2009 mit aufgenommen und durchgestrichen dargestellt während der neue Text der CSM-<br />
VO 402/2013 kursiv gekennzeichnet ist.<br />
Begriffsbestimmungen<br />
9. „Sicherheitsanforderungen”: die (qualitativen oder quantitativen) Sicherheitsmerkmale eines Systems sowie<br />
dessen Betriebs (einschließlich Betriebsvorschriften) und dessen Instandhaltung, die zur Erfüllung gesetzlicher oder<br />
unternehmensspezifischer Sicherheitsziele erforderlich sind;<br />
10. „Sicherheitsmaßnahmen”: eine Reihe von Maßnahmen, die entweder die Häufigkeit des Auftretens einer Gefährdung<br />
verringert oder ihre Folgen mildert, so dass ein vertretbares Risikoniveau erreicht und/oder aufrechterhalten<br />
werden kann;<br />
20. „Referenzsystem”: ein System, das sich in der Praxis bewährt hat, ein akzeptables Sicherheitsniveau gewährleistet<br />
und es ermöglicht, im Wege eines Vergleichs die Vertretbarkeit der von einem zu bewertenden System ausgehenden<br />
Risiken zu evaluieren;<br />
25. „System”: jeden <strong>Teil</strong> des Eisenbahnsystems, der Gegenstand einer Änderung ist, wobei die Änderung technischer,<br />
betrieblicher oder organisatorischer Art sein kann;<br />
Seite 3 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
CSM-VO Inhalte zum Thema „Referenzsysteme”<br />
Anhang I, 2.1:<br />
2.1.4. Die Vertretbarkeit des Risikos des zu bewertenden Systems wird unter Zugrundelegung eines oder mehrerer<br />
der folgenden Grundsätze der Risikoakzeptanz evaluiert:<br />
a) Anwendung von Regelwerken (Nummer 2.3);<br />
b) Vergleich mit ähnlichen Systemen (Nummer 2.4);<br />
c) explizite Risikoabschätzung (Nummer 2.5).<br />
In Übereinstimmung mit dem allgemeinen Grundsatz gemäß Nummer 1.1.5 sieht die Bewertungsstelle davon ab,<br />
dem Vorschlagenden Auflagen bezüglich des anzuwendenden Grundsatzes der Risikoakzeptanz zu machen.<br />
2.1.5. Der Vorschlagende weist in der Risikoevaluierung nach, dass der gewählte Risikoakzeptanzgrundsatz in angemessener<br />
Weise angewandt wird. Darüber hinaus überprüft der Vorschlagende, dass die ausgewählten Risikoakzeptanzgrundsätze<br />
einheitlich angewandt werden.<br />
Anhang I, 2.2.6 : Wird zur Risikobeherrschungkontrolle auf ein Regelwerk oder auf ein Referenzsystem zurückgegriffen,<br />
kann die Gefährdungsermittlung beschränkt werden auf<br />
a) die Überprüfung der Relevanz der anerkannten Regeln der Technik des Regelwerks bzw. des Referenzsystems;<br />
b) die Ermittlung der Abweichungen von den anerkannten Regeln der Technik vom Regelwerk bzw. vom Referenzsystem.<br />
Anhang I, 2.4: Heranziehung eines Referenzsystems und Risikoevaluierung<br />
2.4.1. Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine oder, mehrere oder<br />
alle Gefährdung(en) durch ein ähnliches System angemessen abgedeckt wird bzw. werden, das als Referenzsystem<br />
herangezogen werden könnte.<br />
2.4.2. Ein Referenzsystem muss mindestens folgende Anforderungen erfüllen:<br />
a) Es hat sich bereits in der Praxis bewährt, weil es ein akzeptables Sicherheitsniveau gewährleistet, und es würde<br />
daher in dem Mitgliedstaat, in dem die Änderung eingeführt werden soll, nach wie vor eine Genehmigung erhalten.<br />
b) Es verfügt über ähnliche Funktionen und Schnittstellen wie das System, das der Bewertung unterzogen wird.<br />
c) Es wird unter ähnlichen Betriebsbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.<br />
d) Es wird unter ähnlichen Umweltbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.<br />
2.4.3. Erfüllt ein Referenzsystem die unter Ziffer 2.4.2 genannten Anforderungen, gilt für das zu bewertende System<br />
Folgendes:<br />
a) Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden als vertretbar<br />
angesehen.<br />
b) Die Sicherheitsanforderungen im Falle von Gefährdungen, die von dem Referenzsystem abgedeckt werden,<br />
können aus Sicherheitsanalysen oder aus einer Bewertung der Sicherheitsdokumentation des Referenzsystems abgeleitet<br />
werden.<br />
c) Diese Sicherheitsanforderungen werden im Gefährdungsprotokoll als in Bezug auf die jeweiligen Gefährdungen<br />
geltende Sicherheitsanforderungen erfasst.<br />
2.4.4. Weicht das zu bewertende System vom Referenzsystem ab, muss aus der Risikoevaluierung hervorgehen,<br />
dass das bewertete dieses System mindestens das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, indem<br />
ein anderes Referenzsystem herangezogen oder einer der beiden anderen Risikoakzeptanzgrundsätze angewandt<br />
wird. Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden in<br />
diesem Fall als vertretbar angesehen.<br />
2.4.5. Kann nicht nachgewiesen werden, dass das System zumindest das gleiche Sicherheitsniveau erreicht wie<br />
das Referenzsystem, werden für die Abweichungen zusätzliche Sicherheitsmaßnahmen ermittelt festgelegt, indem<br />
bei denen einer der beiden anderen Risikoakzeptanzgrundsätze zur Anwendung kommt angewandt wird.<br />
2.5.1. Wenn die Gefährdungen nicht von einem der beiden Risikoakzeptanzgrundsätze abgedeckt werden, die in<br />
den Nummern 2.3 und 2.4 festgelegt sind, wird der Nachweis über die Vertretbarkeit des Risikos in Form einer<br />
expliziten Risikoabschätzung und -evaluierung erbracht. Risiken, die sich aus diesen Gefährdungen ergeben, werden<br />
unter Berücksichtigung der vorhandenen Sicherheitsmaßnahmen quantitativ oder qualitativ beurteilt.<br />
2.5.4. Wenn sich aus Ausfällen technischer Systeme Gefährdungen ergeben, die nicht von den anerkannten Regeln<br />
der Technik Regelwerken oder der Verwendung eines Referenzsystems abgedeckt werden, gilt für den Entwurf<br />
die Planung des technischen Systems folgendes Risikoakzeptanzkriterium:<br />
Bei technischen Systemen, bei denen im Falle eines funktionellen Ausfalls von unmittelbaren katastrophalen Folgen<br />
auszugehen ist, muss das damit verbundene Risiko nicht weiter reduziert eingedämmt werden, wenn die Ausfallrate<br />
pro Betriebsstunde kleiner oder gleich 10 –9 ist.<br />
Seite 4 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Literatur-Überblick<br />
3 Literatur-Überblick<br />
3.1 ERA Leitlinie<br />
Enthält Erläuterungen zu den einzelnen Bestimmungen, aber keine wesentlich weiterführenden<br />
Informationen zum Thema „Referenzsysteme”.<br />
3.2 ERA Beispiele<br />
Enthält einzelne Erläuterungen zu den einzelnen Bestimmungen, aber keine wesentlich weiterführenden<br />
Informationen zum Thema „Referenzsysteme”.<br />
Als Beispiel für die Verwendung eines Referenzsystems zur Ableitung von Sicherheitsanforderungen<br />
ist die Risikoanalyse für neue elektronische Stellwerksysteme in Deutschland aufgeführt,<br />
s. C.13.<br />
– Beschreibung des Verfahrens<br />
– Keine weitergehenden Schlussfolgerungen<br />
3.3 EBA-Hinweise<br />
Enthält keine weiterführenden Informationen zum Thema „Referenzsysteme”.<br />
3.4 ORR Guideline<br />
Enthält keine weiterführenden Informationen zum Thema „Referenzsysteme”.<br />
4 Beziehung zu den anderen Risikoakzeptanzgrundsätzen<br />
Grundsätzlich stehen sich die Risikoakzeptanzgrundsätze gleichberechtigt gegenüber. Die Auswahl<br />
des geeigneten Risikoakzeptanzgrundsatzes wird mit CSM-VO 2.1.4 ausdrücklich dem<br />
Vorschlagenden überlassen, der Vorschlagende muss aber nach CSM-VO 2.1.5 die Angemessenheit<br />
nachweisen. Die in CSM-VO 2.5.1 angedeutete Nachrangigkeit des Risikoakzeptanzgrundsatzes<br />
der expliziten Risikoanalyse wird deshalb als Hinweis verstanden, dass die beiden<br />
ersten Risikoakzeptanzgrundsätze meistens leichter anwendbar sind und deshalb im Regelfall<br />
nicht auf die explizite Risikoanalyse zurückgegriffen wird, wenn einer der ersten beiden Risikoakzeptanzgrundsätze<br />
anwendbar ist.<br />
5 Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche<br />
Systeme”<br />
Diese Vorgehensweise zur Ermittlung von Sicherheitszielen ist in der Vergangenheit in verschiedenen<br />
Fällen erfolgreich angewendet worden, um Sicherheitsziele für die Neuentwicklung von<br />
Systemen abzuleiten (Beispiele I60R, LZB80, Risikoanalyse ESTW Phase 1 der DB AG, …).<br />
Dabei wurden nach EN 50129 auf Basis des Referenzsystems tolerierbare Gefährdungsraten<br />
abgeleitet, die neben den aktuellen Normenanforderungen als Sicherheitsziele für die Neuentwicklung<br />
dienten. Da in die Gefährdungsraten auch Gefährdungen aus Betrieb und Instandhaltung<br />
eingehen, an die entsprechende Anwendungsbedingungen zu stellen sind, erfüllen die<br />
tolerierbaren Gefährdungsraten die Definition des Begriffs Sicherheitsanforderung der CSM-VO.<br />
Die oben beschriebene Methodik erfüllt die Anforderungen der CSM-VO auf folgende Weise:<br />
CSM-<br />
VO<br />
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften<br />
ähnlicher Systeme<br />
2.4.1 Abstimmung der Gefährdungsanalyse mit den Beteiligten, in der Vergangenheit mit<br />
dem Eisenbahn-Bundesamt.<br />
Seite 5 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche Systeme”<br />
CSM-<br />
VO<br />
2.4.2a)<br />
2.4.2b)<br />
2.4.2c)<br />
2.4.2d)<br />
2.4.3a)<br />
2.4.3b)<br />
2.4.3c)<br />
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften<br />
ähnlicher Systeme<br />
Typischerweise waren die Referenzsysteme zum Zeitpunkt der Verwendung als Referenzsystem<br />
im selben Eisenbahnsystem noch im Einsatz und hatten sich bewährt bzw.<br />
wurden noch neu installiert. Es konnte deshalb davon ausgegangen werden, dass ihre<br />
grundsätzlichen Sicherheitsmerkmale den aktuellen Anforderungen entsprachen, auch<br />
wenn sie nicht alle aktuellen Regelwerke bzw. Normen erfüllten.<br />
Durch die Abstimmung mit dem Eisenbahn-Bundesamt wurde die Anwendbarkeit<br />
durch eine Zulassungsbehörde bestätigt.<br />
In den meisten Fällen handelte es sich um Erneuerungen bestehender Systeme. Die<br />
grundsätzlichen eisenbahnbetrieblichen Funktionen und Schnittstellen waren deshalb<br />
zumindest ähnlich. Dies wurde innerhalb der Sicherheitsanalyse bzw. Gefährdungsanalyse<br />
des jeweiligen Systems erläutert.<br />
Bei den Anwendungen handelte es sich um Erneuerungen bestehender Systeme bzw.<br />
die Anwendung im gleichen betrieblichen Umfeld. Die Anforderung wurde deshalb<br />
implizit erfüllt. Bei zukünftigen Anwendungen sollte in der Sicherheits-<br />
/Gefährdungsanalyse festgestellt werden, dass es sich um ähnliche betriebliche Bedingungen<br />
handelt. Da sich die Anwendung des Referenzsystems auch nur auf einzelne<br />
Gefährdungen beziehen darf, ist die Feststellung ähnlicher Betriebsbedingungen für<br />
diejenigen Gefährdungen hinreichend, für die das Referenzsystem herangezogen<br />
werden soll.<br />
Hier gilt das Gleiche wie für 2.4.2c) Betriebsbedingungen. Allerdings lässt sich feststellen,<br />
dass beim angewendeten Konzept nach EN 50129 auch unterschiedliche Umweltbedingungen<br />
nicht schädlich sind, da die Hazard Rates bzw. die Tolerable Hazard<br />
Rates unabhängig von konkreten Umweltbedingungen definiert werden können bzw.<br />
gegenüber diesen neutral sind. So kann ein Referenzsystem durchaus auch bei unterschiedlichen<br />
Umweltbedingungen herangezogen werden, solange die anderen Anforderungen<br />
erfüllt sind, es muss dann nur darauf geachtet werden, dass der Nachweis<br />
mindestens gleichen Sicherheitsniveaus unter Berücksichtigung der neuen Umgebungsbedingungen<br />
erfolgt (s.2.4.4).<br />
Es wurden keine Risikowerte abgeleitet, sondern die Risiken wurden auf Basis der aus<br />
den Referenzsystemen abgeleiteten THRs als vertretbar angesehen.<br />
Die Referenzsysteme wurden einer tiefgehenden Sicherheitsanalyse zur Ermittlung der<br />
erreichten Gefährdungsraten unterzogen (Reverse Engineering der Sicherheitsziele).<br />
Dies war erforderlich, da die Referenzsysteme nicht nach EN 50129 entwickelt waren<br />
und deshalb keine expliziten Gefährdungsraten vorlagen.<br />
Bei Anwendung der Methodik auf nach EN 50129 entwickelte Referenzsysteme kann<br />
direkt auf die dort definierten THRs zurückgegriffen werden.<br />
Entspricht der Vorgehensweise nach EN 50126/50129, die Basis für die Systemerneuerungen<br />
war.<br />
2.4.4 Ermöglicht bei Unterschieden zwischen Referenzsystem und betrachtetem System die<br />
gesonderte Betrachtung nicht abgedeckter Gefährdungen nach anderen Verfahren.<br />
Die Akzeptanz der vom Referenzsystem abgedeckten Risiken bleibt erhalten. Dieser<br />
Passus kommt typischerweise zur Anwendung, wenn in einem neuen System zur vom<br />
Referenzsystem abgedeckten Grundfunktionalität weitere Funktionen hinzugefügt<br />
Seite 6 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Referenzsysteme zur Ermittlung von Sicherheitsanforderungen für „ähnliche Systeme”<br />
CSM-<br />
VO<br />
Bewertung bzgl. Ermittlung von Sicherheitszielen aus Vergleich mit den Sicherheitseigenschaften<br />
ähnlicher Systeme<br />
werden.<br />
2.4.5 S. 2.4.4 – die Anwendung von anderen Verfahren auf Abweichungen ist zulässig und<br />
verhindert nicht die Anwendung des Risikoakzeptanzgrundsatzes Referenzsystem.<br />
2.5.4 Steht im Zusammenhang mit 2.4.4 und 2.4.5: wenn weder die Anwendung eines<br />
Referenzsystems noch Regelwerke einen passenden Risikoakzeptanzgrundsatz ergeben,<br />
gibt dieser Abschnitt eine Obergrenze für einen expliziten Risikoakzeptanzgrundsatz<br />
an. Ein unmittelbarer Anwendungsfall ist noch nicht bekannt, der Wert von 10 -9 /h<br />
als Grenzwert für Gefährdungen, die direkt zu katastrophalen Folgen führen, ist aber<br />
allgemein akzeptierte Praxis.<br />
Bemerkung 1: Erweiterungen und Änderungen können durch neue Gefährdungsursachen zu zusätzlichen Gefährdungsbeiträgen<br />
führen, sodass exakt gleiche Sicherheit nicht erreicht werden kann. In diesem Fall kann hinreichende<br />
Sicherheit nachgewiesen werden, indem das aus dem Referenzsystem ermittelte Sicherheitsziel geringfügig reduziert<br />
wird. Entsprechend dem Konzept des allgemein vertretbaren Risikos kann hierfür ein Maximalwert von 10 % angesetzt<br />
werden (s. auch Ergebnisbericht AVR)<br />
Bemerkung 2: In obenstehender Tabelle wurde vorausgesetzt, dass der Vergleich mit dem Referenzsystem auf Basis<br />
von Top Level-Sicherheitszielen erfolgt. Bei Vergleich von Systemen auf Basis detaillierter Sicherheitsanforderungen<br />
tiefer Designebenen ist damit zu rechnen, dass Sicherheitsanforderungen des Referenzsystems im neuen Kontext<br />
nicht mehr relevant oder sinnvoll anwendbar sind.<br />
Für die Ermittlung von Sicherheitszielen für ähnliche Systeme auf Basis von Referenzsystemen<br />
lässt sich zusammenfassend feststellen, dass die in der CSM-VO aufgeführten Anforderungen<br />
weitgehend der bisher gängigen Praxis entsprechen.<br />
Seite 7 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems in<br />
einem anderen Kontext<br />
6 Cross acceptance von Systemen auf Basis der Anwendung des identischen<br />
Systems in einem anderen Kontext<br />
Eine weitere Anwendung von Referenzsystemen ergibt sich im Bereich der Cross Acceptance.<br />
Nach EN 50129 ist Cross Acceptance (gegenseitige Anerkennung) definiert als:<br />
Zitat:<br />
„gegenseitige Anerkennung<br />
Zustand eines Produktes, den es mit der Anerkennung durch eine Behörde nach den zuständigen<br />
Europäischen Normen erreicht und in dem es durch andere Behörden ohne weitere Begutachtungen<br />
ebenfalls anerkannt werden kann.“<br />
Cross Acceptance wurde in der Vergangenheit in vielen Fällen erfolgreich angewendet. Mit dem<br />
TR 50506-1:2007 wurde ein Anwendungsleitfaden zur EN 50129 erstellt, der mögliche Verfahren<br />
zur Cross Acceptance beschreibt.<br />
Im Unterschied zum ersten Fall ist das Hauptziel der Cross Acceptance nicht die Ableitung von<br />
Sicherheitszielen, sondern die Anerkennung des zu bewertenden Systems in einem neuen Anwendungskontext.<br />
Bei grundsätzlich vergleichbarem Sicherheitsniveau in den zu vergleichenden<br />
Anwendungsgebieten (verschiedene Betreiber, unterschiedliche Länder,…) kann aber davon<br />
ausgegangen werden, dass ähnliche Anwendungsfälle auf vergleichbaren Sicherheitszielen basieren,<br />
weshalb eine explizite Ableitung von Sicherheitszielen oder eine Entwicklung nach einem<br />
spezifischen Regelwerk nicht erforderlich sind.<br />
Entscheidend ist dabei der Vergleich der Anwendungsbedingungen, da das System höchstens<br />
geringfügig angepasst sein darf, wenn Cross Acceptance zur Anwendung kommen soll, die<br />
Anwendungsbedingungen aber recht unterschiedlich sein können. In diesem Sinn ist als Referenzsystem<br />
nicht nur das technische System zu verstehen, auf das Cross Acceptance angewendet<br />
werden soll, sondern der Bereich des Eisenbahnsystems, in dem das technische System bereits<br />
zur Anwendung gekommen ist (man könnte auch von Referenzanwendung sprechen). Dieses<br />
Verständnis des Begriffs Referenzsystem ist kompatibel mit der CSM-VO, da dort in den Begriffsdefinitionen<br />
zwischen „technischen System“ und „System“ unterschieden wird, wobei als<br />
System der <strong>Teil</strong> eines Eisenbahnsystems verstanden wird, der Gegenstand einer Änderung ist,<br />
die auch betrieblicher Art sein kann, also auch der Anwendungskontext eines technischen Systems.<br />
Cross Acceptance ist nur für generische Produkte oder Anwendungen vorgesehen, nicht für<br />
spezifische Anwendungen (da diese ja spezifisch erstellt werden und sich immer von den Vorgänger-Anwendungen<br />
unterscheiden).<br />
Mit Erscheinen der CSM-VO unterliegen auch Cross Acceptance-Verfahren den Regelungen der<br />
CSM-VO. Auch wenn die Regelungen der CSM-VO zunächst eher im Sinne der Ableitung von<br />
Sicherheitszielen zu verstehen sind, lässt sich doch zeigen, dass auch die Cross Acceptance unter<br />
diesem Risikoakzeptanzgrundsatz durchführbar ist:<br />
CSM-<br />
VO<br />
Bewertung bzgl. Cross Acceptance<br />
2.4.1 Cross Acceptance-Verfahren wurden und werden immer in Zusammenarbeit mit den<br />
zukünftigen Anwendern sowie den Zulassungsverantwortlichen durchgeführt. Dieser<br />
Abschnitt beschreibt nur die bisher bereits gängige Praxis.<br />
2.4.2a)<br />
Im Gegensatz zum ersten Anwendungsfall ist das Referenzsystem nicht beim zukünftigen<br />
Anwender des zu bewertenden Systems im Einsatz, sondern bei einem anderen<br />
Seite 8 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Cross acceptance von Systemen auf Basis der Anwendung des identischen Systems in<br />
einem anderen Kontext<br />
CSM-<br />
VO<br />
2.4.2b)<br />
2.4.2c)<br />
2.4.2d)<br />
2.4.3a)<br />
2.4.3b)<br />
2.4.3c)<br />
Bewertung bzgl. Cross Acceptance<br />
Anwender, häufig in einem anderen Eisenbahnsystem in einem anderen Land. Das<br />
Referenzsystem nach CSM-VO ist bei Anwendung auf Cross Acceptance eigentlich<br />
eine „Referenzanwendung“.<br />
Im Cross Acceptance-Verfahren ist deshalb zu prüfen, ob der als Referenzsystem gewählte<br />
Einsatzfall vergleichbare Sicherheitsanforderungen beinhaltet, wie sie beim<br />
zukünftigen Anwender anzulegen sind. Innerhalb der EU kann das derzeit nicht<br />
grundsätzlich vorausgesetzt werden (s. Safety Report 2012 der ERA, Figure 17 und<br />
18).<br />
Da es sich beim Cross Acceptance-Verfahren um den Einsatz desselben Systems in<br />
einem anderen Anwendungsbereich handelt, kann dieser Punkt als erfüllt vorausgesetzt<br />
werden. Allenfalls geringfügige Anpassungen sind nach TR 50506-1 innerhalb<br />
eines Cross Acceptance-Verfahren erforderlich, müssen dann aber auf neue Risiken<br />
analysiert werden (TR 50506-1 Abschnitt 4.4.1 f) und Kerngrundsätze Abschnitt 4.4.2<br />
c) – e).<br />
Das Cross Acceptance-Verfahren nach TR 50506-1 sieht eine detaillierte Analyse der<br />
neuen Betriebsbedingungen in Bezug auf das zu bewertende System vor. S. TR<br />
50506-1 Tab. 1 Zeile „Auswertung der Unterschiede“ und Kern-Grundsätze Abschnitt<br />
4.4.2 c) - e).<br />
Hier gilt das Gleiche wie für 2.4.2c) Betriebsbedingungen.<br />
Gilt auch für Cross Acceptance, wenn von einem vergleichbaren Sicherheitsniveau in<br />
der Referenzanwendung ausgegangen werden kann.<br />
Bei Cross Acceptance steht nicht die Ableitung von Sicherheitsanforderungen im Vordergrund,<br />
sondern die Bewertung der Sicherheitseigenschaften des existierenden Systems<br />
für den neuen Anwendungsfall. Dabei kann bei hinreichender Übereinstimmung<br />
der funktionalen und betrieblichen Einsatzbedingungen sowie der Umweltbedingungen<br />
davon ausgegangen werden, dass die Sicherheitseigenschaften des zu bewertenden<br />
Systems für den neuen Einsatzfall hinreichend sind, solange von grundsätzlich<br />
vergleichbarem Sicherheitsniveau von Referenzanwendungsfall und neuem Anwendungsfall<br />
ausgegangen werden kann (vergleiche 2.4.2a)).<br />
Innerhalb des Cross Acceptance-Verfahrens nach TR 50506-1 ist die Auswertung des<br />
Gefährdungslogbuchs des Cross-Acceptance-Systems vorgesehen. Nach TR 50506-1<br />
soll das Gefährdungslogbuch entsprechend der neuen Anwendung aktualisiert werden<br />
(s. TR 50506-1 Tab. 1 Zeile „Auswertung der Unterschiede“).<br />
2.4.4 Ermöglicht bei Unterschieden zwischen Referenzsystem/-anwendung und neuer Anwendung<br />
die gesonderte Betrachtung nicht abgedeckter Gefährdungen nach anderen<br />
Verfahren. Die Akzeptanz der vom Referenzsystem bzw. der Referenzanwendung<br />
abgedeckten Risiken bleibt erhalten. Dieser Passus kommt typischerweise zur Anwendung,<br />
wenn im neuen Anwendungsfall Gefährdungen identifiziert wurden, die im<br />
Referenzsystem/anwendungsfall keine Rolle gespielt haben.<br />
2.4.5 S. 2.4.4 – die Anwendung von anderen Verfahren auf Abweichungen ist zulässig und<br />
verhindert nicht die Anwendung des Risikoakzeptanzgrundsatzes Referenzsystem. Zur<br />
Beherrschung von Risiken aus Abweichungen zum Referenzsystem s. TR 50506-1,<br />
Seite 9 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Überlegungen zum Absatz 2.4.5<br />
CSM-<br />
VO<br />
Bewertung bzgl. Cross Acceptance<br />
Abschnitt 4.4.2 d) und e).<br />
2.5.4 Steht im Zusammenhang mit 2.4.4 und 2.4.5: wenn weder die Anwendung eines<br />
Referenzsystems noch Regelwerke einen passenden Risikoakzeptanzgrundsatz für<br />
eine im neuen Anwendungskontext neue Gefährdung ergeben, gibt dieser Abschnitt<br />
eine Obergrenze für einen expliziten Risikoakzeptanzgrundsatz an. Ein unmittelbarer<br />
Anwendungsfall ist noch nicht bekannt, der Wert von 10 -9 /h als Zielwert für katastrophale<br />
Gefährdungen ist aber allgemein akzeptierte Praxis.<br />
In Fällen, in denen die Vergleichbarkeit der Sicherheitsniveaus von Referenzsystem-<br />
Anwendungsbereich und Cross Acceptance-Anwendungsbereich nicht gegeben ist, kann es<br />
sinnvoll sein, zusätzlich ein ähnliches Referenzsystem aus dem Cross-Acceptance-<br />
Anwendungsbereich zu verwenden, um einen Vergleich mit Sicherheitszielen entsprechend<br />
4.2.1 durchführen zu können.<br />
Zusammenfassend lässt sich feststellen, dass die Anwendbarkeit des Risikoakzeptanzgrundsatzes<br />
„Referenzsystem“ auf die Cross Acceptance sich zwar nicht unmittelbar aus den Formulierungen<br />
der CSM-VO ergibt, sich die Anforderungen der CSM-VO aber alle auf den TR 50506-1 abbilden<br />
lassen. Damit kann es als plausibel angesehen werden, dass Cross Acceptance als CSM-VOkompatibles<br />
Verfahren zum Risikomanagement bei der Übertragung eines Systems in einen<br />
neuen Anwendungsfall angesehen werden kann.<br />
7 Überlegungen zum Absatz 2.4.5<br />
Der Absatz 2.4.5 wirkt zunächst irritierend, da bei Nichterreichen des Sicherheitsniveaus des<br />
Referenzsystems auf eine der beiden anderen Methoden für Risikoakzeptanzgrundsätze verwiesen<br />
wird, aus denen dann weiterreichende Sicherheitsmaßnahmen ermittelt werden sollen. Damit<br />
müsste es dann aber eigentlich möglich sein, wiederum das Sicherheitsniveau des Referenzsystems<br />
zu erreichen.<br />
Sinn macht der Absatz, wenn man annimmt, dass ein Nachweis gleichen Sicherheitsniveaus wie<br />
beim Referenzsystem qualitativ statt quantitativ durch Übernahme von technischen Sicherheitsanforderungen<br />
erfolgen soll, aber wegen Abweichungen für bestimmte Punkte in dieser Form<br />
nicht geführt werden kann (was nicht automatisch bedeutet, dass das Sicherheitsniveau nicht<br />
ausreicht, sondern nur, dass ein direkter Vergleich nicht möglich ist). In diesem Fall macht es<br />
Sinn, für die betroffenen Punkte / Gefährdungen auf die anderen Risikoakzeptanzgrundsätze zu<br />
verweisen, um hinreichende Sicherheit nachzuweisen.<br />
Als ein Sonderfall könnte die gängige Praxis angesehen werden, kleine Verschlechterungen des<br />
Sicherheitsniveaus zu akzeptieren, z.B. 5 oder 10 %, wenn durch Einführung neuer Technik zusätzliche<br />
Gefährdungen entstehen, ohne dass eine Kompensation an anderer Stelle möglich ist<br />
(z.B. wenn einem existierenden System ohne weitere Änderungen eine Schnittstelle hinzugefügt<br />
wird). Hierbei entsteht, wenn auch auf Basis eines Referenzsystems, ein neues explizites Risikoakzeptanzkriterium.<br />
8 Zusammenfassung<br />
Mit dem Risikoakzeptanzgrundsatz Referenzsystem steht innerhalb der CSM-VO ein Risikoakzeptanzgrundsatz<br />
zur Verfügung, der in der Vergangenheit häufig angewendet wurde und dessen<br />
Anforderungen von den gängigen Vorgehensweisen im Rahmen der CENELEC Normen EN<br />
5012X erfüllt werden.<br />
Insbesondere wurde gezeigt, dass bewährte Vorgehensweisen<br />
Seite 10 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Zusammenfassung<br />
- zur Ableitung von Sicherheitsanforderungen an ein neues System aus denen eines Referenzsystems<br />
und<br />
- zur Cross-Acceptance eines existierenden Systems in einem neuen Kontext<br />
durch diesen Risikoakzeptanzgrundsatz gedeckt sind.<br />
Seite 11 von 12
AP 2100 – Ergebnisbericht zur „Risikoakzeptanz auf Basis von ähnlichen<br />
Referenzsystemen” bei Anwendung der CSM-VO<br />
Referenzen<br />
9 Referenzen<br />
CSM-VO<br />
EBA Leitlinie<br />
EN 50126<br />
EN 50129<br />
ERA Beispiele<br />
ERA Leitlinie<br />
ERA Safety<br />
Report 2012<br />
Ergebnisbericht<br />
AVR<br />
ORR Guideline<br />
TR 50506-1<br />
10 Abkürzungen<br />
Abk.<br />
CENELEC<br />
DB<br />
EBO<br />
EN<br />
ERA<br />
GAMAB<br />
LZB<br />
ORR<br />
THR<br />
Verordnung der Kommission über die Festlegung einer gemeinsamen Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken, Version Nr.<br />
352/2009 vom 24. April 2009,Version Nr. 402/2013 vom 30. April 2013<br />
Hinweise für die Anwendung der Verordnung (EG) Nr. 352/2009 der Kommission<br />
vom 24.04.2009 über die Festlegung einer gemeinsamen Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Abs. 3<br />
Buchstabe a der Richtlinie 2004/49/EG des Europäischen Parlaments und des<br />
Rates durch das Eisenbahn-Bundesamt<br />
DIN EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit (RAMS), 2000<br />
DIN EN 50129, Bahnanwendungen, Telekommunikationstechnik, Signaltechnik<br />
und Datenverarbeitungssysteme, Sicherheitsrelevante elektronische Systeme für<br />
Signaltechnik, 2003<br />
Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge zur<br />
Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF<br />
Leitlinie zur Anwendung der Verordnung der Kommission über die Festlegung<br />
einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken, ERA/GUI/01-2008/SAF<br />
“Railway safety performance in the European Union” 2012,<br />
www.era.europa.eu/Document-Register/Documents/SafetyReport2012.pdf<br />
Projekt NeGSt, <strong>Teil</strong>bericht „Allgemein vertretbares Risiko”, 26.06.2013<br />
ORR guidance on the application of the common safety method (CSM) on risk<br />
evaluation and assessment, Dec. 2012<br />
CLC/TR 50506-1: Railway applications - Communication, signalling and processing<br />
systems -Application Guide for EN 50129 - Part 1: Cross-acceptance<br />
Langform / Erläuterung<br />
Europäisches Komitee für Elektrotechnische Normung<br />
Deutsche Bahn<br />
Eisenbahn-Bau- und Betriebsordnung<br />
Europäische Norm<br />
European Railway Agency<br />
Globalement Au Moins Aussi Bon<br />
Linienförmige Zugbeeinflussung<br />
Office of Rail Regulation<br />
Tolerable Hazard Rate<br />
Seite 12 von 12
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit‐ und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
06.08.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger:<br />
TÜV Rheinland Consulting GmbH
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
15.03.2013 Beck (DB Netz AG) V01 Erstellung<br />
29.04.2013 Beck (DB Netz AG) V02 Red. Änderungen<br />
30.04.2013 Beck (DB Netz AG) V03 Ergänzung Beispiel »Temporäre Langsamfahrstellen<br />
einrichten«<br />
16.07.2013 Notter (Thales) V04 Ergänzung nach Review in AG2<br />
Beck (DB Netz AG)<br />
06.08.2013 Beck (DB Netz AG) V1.0 Finale Abstimmung in AG2<br />
Seite 2 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Inhaltsverzeichnis<br />
1 Einleitung .................................................................................................................... 5<br />
2 Vorgaben der CSM VO ................................................................................................... 5<br />
2.1 Ausgangslage .......................................................................................................... 5<br />
2.2 Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS ........................................... 5<br />
3 Semi‐quantitative Methoden ......................................................................................... 7<br />
3.1 Allgemeines ............................................................................................................. 7<br />
3.2 Anforderungen an semi‐quantitative Methoden nach DIN V VDE V 0831‐101 ................. 8<br />
3.3 Die semi‐quantitative Methode RSM nach E DIN VDE V 0831‐103 ................................. 8<br />
4 Methodik nach E DIN VDE V 0831‐103 ............................................................................. 9<br />
4.1 Aufbau und Kalibrierung der RSM .............................................................................. 9<br />
4.2 Anwendung der Methodik ....................................................................................... 10<br />
4.3 Die Tabelle der Unfallklassen in E DIN VDE V 0831‐103 .............................................. 11<br />
4.4 Barrierenmodell in E DIN VDE V 0831‐103 ................................................................. 12<br />
5 Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele .............. 13<br />
5.1 Tunnelbegegnungsverbot ....................................................................................... 13<br />
5.1.1 Systemdefinition ......................................................................................................... 13<br />
5.1.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 13<br />
5.2 Rechnergestützter Zugleitbetrieb (RZL) am Beispiel des Projektes SATLOC ................ 16<br />
5.2.1 Systemdefinition ......................................................................................................... 16<br />
5.2.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 17<br />
5.3 Temporäre Langsamfahrstellen einrichten ............................................................... 21<br />
5.3.1 Systemdefinition ......................................................................................................... 21<br />
5.3.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 21<br />
5.4 Kransicherung ........................................................................................................ 26<br />
5.4.1 Systemdefinition ......................................................................................................... 26<br />
5.4.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103 .......... 27<br />
5.5 Schlussfolgerungen ................................................................................................ 28<br />
6 Analyse der Systematik der RSM .................................................................................. 29<br />
6.1 Aufbau .................................................................................................................. 29<br />
6.2 Wertebereiche und Grenzen .................................................................................... 29<br />
6.3 Unfallklassen ......................................................................................................... 29<br />
6.4 Beziehung zu DIN EN 50129 .................................................................................... 30<br />
6.5 Konservativität ...................................................................................................... 30<br />
7 Möglichkeiten zur Weiterentwicklung der RSM ............................................................. 31<br />
Seite 3 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
7.1 Variante 1 .............................................................................................................. 31<br />
7.2 Variante 2 .............................................................................................................. 32<br />
7.3 Variante 3 .............................................................................................................. 32<br />
7.4 Variante 4 .............................................................................................................. 33<br />
8 Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS ....................... 33<br />
8.1 Zielstellung ............................................................................................................ 33<br />
8.2 Vorschlag der CER .................................................................................................. 34<br />
8.3 Letzter Vorschlag für 1. Revision der CSM VO ........................................................... 35<br />
8.4 Aktueller Vorschlag der ERA .................................................................................... 35<br />
8.5 Vergleich mit Risikoakzeptanzkriterien aus der Luftfahrt ........................................... 36<br />
8.6 Bewertung ............................................................................................................. 39<br />
8.7 Schlussfolgerungen ................................................................................................ 41<br />
9 Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐<br />
TS ............................................................................................................................. 41<br />
10 Zusammenfassung ...................................................................................................... 44<br />
11 Anhang ...................................................................................................................... 45<br />
11.1 Referenzen ............................................................................................................ 45<br />
11.2 Abkürzungen ......................................................................................................... 47<br />
Seite 4 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Einleitung<br />
1 Einleitung<br />
Mit dem in Anhang I, Ziffer 2.5.4 der VO (EG) Nr. 352/2009 (»CSM VO«) genannten Kriterium für die<br />
Entwicklung technischer Systeme (»Risikoakzeptanzkriterium für technische Systeme – RAC‐TS«)<br />
steht erstmals ein harmonisiertes Kriterium zur Verfügung, dass auch zur »Kalibrierung« semiquantitativer<br />
Methoden zur expliziten Risikoabschätzung Verwendung finden kann.<br />
In diesem Dokument soll daher – neben einer kurzen grundlegenden Einführung zu semiquantitativen<br />
Methoden – anhand des Entwurfes der Vornorm E DIN VDE V 0831‐103 und ausgewählter<br />
Beispiele gezeigt werden, wie eine derartige Kalibrierung erfolgen kann. Außerdem soll ein<br />
Ausblick dazu gegeben werden, wie sich die derzeitigen Tendenzen zur Weiterentwicklung des Kriteriums<br />
RAC‐TS auswirken bzw. welche Empfehlungen zur Weiterentwicklung gegeben werden<br />
können.<br />
Vorab soll noch folgende grundsätzliche Erläuterung gegeben werden: In den einschlägigen Normen<br />
wird in der Regel nur zwischen »qualitativen oder quantitativen Methoden der Gefährdungs‐ und<br />
Risikoanalyse« unterschieden (siehe z.B. Abschn. 7.4.2.8 in DIN EN 61508‐1). Im Sinne dieses Berichtes<br />
wird jedoch für alle Methoden, die sowohl qualitative als auch quantitative Aspekte enthalten<br />
und mit denen sich Sicherheitsanforderungen in Form einer zulässigen Ausfall‐ / Gefährdungsrate<br />
bzw. einer Sicherheitsanforderungsstufe (SIL) ermitteln lassen der Begriff »semi‐quantitativ« verwendet.<br />
2 Vorgaben der CSM VO<br />
2.1 Ausgangslage<br />
In der aktuell gültigen Fassung der CSM VO findet sich für das Kriterium RAC‐TS folgende Vorgabe:<br />
2.5.4. Wenn sich aus Ausfällen technischer Systeme Gefährdungen ergeben, die nicht von den anerkannten Regeln der Technik<br />
oder der Verwendung eines Referenzsystems abgedeckt werden, gilt für die Planung des technischen Systems folgendes Risikoakzeptanzkriterium:<br />
Bei technischen Systemen, bei denen im Falle eines funktionellen Ausfalls von unmittelbaren katastrophalen Folgen auszugehen<br />
ist, muss das damit verbundene Risiko nicht weiter eingedämmt werden, wenn die Ausfallrate pro Betriebsstunde<br />
kleiner oder gleich 10 -9 ist.<br />
2.2 Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
In den Jahren 2007 – 2011 wurde von der hiermit beauftragten Arbeitsgruppe der ERA (»RAC Task<br />
Force«) ein erster Vorschlag zur Weiterentwicklung des Kriteriums RAC‐TS erarbeitet und in [7] veröffentlicht<br />
(s. Abbildung 1).<br />
Abbildung 1: Vorschlag für weitere Kategorien des Kriteriums RAC‐TS<br />
Seite 5 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Vorgaben der CSM VO<br />
Zu diesem Vorschlag wurde von der ERA initiiert, eine Auswirkungsanalyse durchzuführen, in der die<br />
Beteiligten vor Allem Fragestellungen zu bisherigen Erfahrungen mit der Festlegung von Anforderungen<br />
an Ausfallraten technischer Funktionen (insbesondere in Verträgen) und Erwartungen an die<br />
Harmonisierung von Risikoakzeptanzkriterien sowie deren Auswirkungen auf Produkte beantworten<br />
sollten.<br />
Mit [2] legte die CER der ERA ein Positionspapier hierzu vor, in dem auch ein Textvorschlag für die<br />
Weiterentwicklung des Kriteriums RAC‐TS enthalten ist:<br />
2.5.4. The following design targets shall apply to failures of functions of technical systems for which a suitable probabilistic approach<br />
applies:<br />
(a) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect a<br />
group of people and result in collective fatalities, the frequency of the failure of the function does not have to be reduced<br />
further if it is demonstrated to lie within the range 1 x 10 -9 to 1 x 10 -8 failures per operating hour appropriate to the assessed<br />
function.<br />
(b) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect individual<br />
people and may result in individual fatality, or those events that may result in collective serious injuries, the frequency<br />
of the failure of the function does not have to be reduced further if it is demonstrated to be less than 1x 10 -7 failures<br />
per operating hour appropriate to the assessed function.<br />
(c) For a failure that has a credible potential to lead directly to those types of events that have the expectation to affect individual<br />
people and may result in a serious injury, but not fatality, the frequency of the failure of the function does not<br />
have to be reduced further if it is demonstrated to be less than 1 x 10 -6 failures per operating hour appropriate to the assessed<br />
function.<br />
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement<br />
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway<br />
system has been demonstrated.<br />
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that<br />
can reduce the frequency of occurrence of the failure, or mitigate the severity of its consequence.<br />
The harmonised RAC represent the most demanding design criteria that can be required. The harmonised RAC are required<br />
to be used only where mutual recognition is being sought, or an AB or NSA can demonstrate that the harmonised RAC are<br />
necessary to meet a national safety level. An AB or NSA shall not require a proposer to meet the harmonised RAC in any<br />
other cases.<br />
Nach verschiedenen Zwischenschritten und Diskussionen wurde in einem Treffen zwischen ERA und<br />
den beteiligten Sektororganisationen folgender Text vorabgestimmt, der im Wesentlichen auf einem<br />
zwischen CER und UNIFE abgestimmten Vorschlag beruht (englischer Originaltext aus [2]):<br />
2.5.4. The following design targets shall apply to failures of functions of technical systems for which probabilistic targets can be<br />
demonstrated:<br />
(a) For a failure that has a typical credible potential to lead directly to an accident affecting a group of people and resulting<br />
in fatalities, the frequency of the failure of the function does not have to be reduced further if it is demonstrated to be<br />
less than 10 -8 failures per operating hour appropriate to the assessed function.<br />
(b) For a failure that has a typical credible potential to lead directly to an accident affecting an individual person and resulting<br />
in fatality, or affecting a group of people and resulting in serious injuries, the frequency of the failure of the function<br />
does not have to be reduced further if it is demonstrated to be less than 10 -7 failures per operating hour appropriate to<br />
the assessed function.<br />
(c) For a failure that has a typical credible potential to lead directly an accident affecting an individual person and resulting<br />
in a serious injury, but not fatality, the frequency of the failure of the function does not have to be reduced further if it is<br />
demonstrated to be less than 10 -6 failures per operating hour appropriate to the assessed function.<br />
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement<br />
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway<br />
system has been demonstrated.<br />
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that<br />
can reduce the frequency of the failure, or mitigate the severity of its consequence.<br />
Letztlich konnte jedoch im anschließenden Review dieses Vorschlages keine Einigung zwischen<br />
allen Beteiligten über den finalen Text erzielt werden. Maßgebend hierfür war u.a., dass sich bereits<br />
bei vorangegangenen Versuchen zur Validierung des Ansatzes gezeigt hatte, dass hierfür bei den<br />
Beteiligten zu wenige aussagekräftige Daten zur Verfügung standen und somit eine belastbare Aussage<br />
über die Auswirkungen des weiterentwickelten Kriteriums nicht möglich war. Somit konnte<br />
Seite 6 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Semi‐quantitative Methoden<br />
auch die Befürchtung einiger Beteiligter, dass die Weiterentwicklung zu einer Erhöhung der Sicherheitsanforderungen<br />
gegenüber bestehenden Analysen / Realisierungen führen wird (somit »zu konservativ«<br />
ist) nicht ausgeräumt werden. Andererseits wurde gleichzeitig auch von einigen Aufsichtsbehörden<br />
die Meinung vertreten, dass sie diesen Vorschlag eher als Absenkung der Sicherheitsanforderungen<br />
ansehen, zumal der Textvorschlag in (a) formal die Absenkung um eine Zehnerpotenz<br />
vorgesehen hat.<br />
Infolgedessen konnte die ERA für die 1. Revision zur CSM VO bis zum vorgesehenen Termin keinen<br />
abgestimmten Textvorschlag für die Weiterentwicklung des Kriteriums RAC‐TS unterbreiten. Nähere<br />
Informationen zu den Aktivitäten und Diskussionen können [4] entnommen werden.<br />
Basierend auf den bisherigen Erfahrungen hat die ERA in [5] mittlerweile einen neuen Vorschlag zur<br />
Weiterentwicklung von RAC‐TS erarbeitet, der nachfolgend wiedergegeben ist.<br />
2.5.4. The following design targets shall apply to failures of functions of technical systems:<br />
(a) For a failure that has a typical credible potential to lead directly to an accident affecting a group of people and resulting<br />
in fatalities and/or severe injuries and/or major damages to the environment, the frequency of the failure of the function<br />
does not have to be reduced further if it is demonstrated to be less than or equal to 10 -9 failures per operating hour.<br />
(b) For a failure that has a typical credible potential to lead directly to an accident affecting an individual person and resulting<br />
in fatality and/or severe injury, the frequency of the failure of the function does not have to be reduced further if it is<br />
demonstrated to be less than or equal to 10 -7 failures per operating hour.<br />
(c) For a failure that has a typical credible potential to lead directly to an accident resulting in one or more light injuries, the<br />
frequency of the failure of the function does not have to be reduced further if it is demonstrated to be less than 10 -5 failures<br />
per operating hour.<br />
These design requirements shall be referred to as harmonised risk acceptance criteria for technical systems. The achievement<br />
of these design targets results in acceptable levels of safety when the safe integration of the technical system into the railway<br />
system has been demonstrated.<br />
In (a) to (c) above, the term ‘directly’ means that no consideration is given to barriers external to the technical system that<br />
can reduce the frequency of the failure, or mitigate the severity of its consequence.<br />
Zielstellung in den nächsten Monaten ist es, dass der Vorschlag von den betroffenen Organisationen<br />
(Eisenbahnunternehmen, Hersteller, Sicherheitsbehörden, Sektororganisationen) validiert wird. Die<br />
Regeln hierzu will die ERA in Kürze bekanntgeben. Weiterhin soll es möglich sein, alternative Vorschläge<br />
zu unterbreiten, die jedoch nach den gleichen Regeln zu validieren sind.<br />
3 Semi‐quantitative Methoden<br />
3.1 Allgemeines<br />
Semi‐quantitative Methoden zur expliziten Risikoabschätzung / Risikoanalyse lassen sich, von wenigen<br />
Ausnahmen abgesehen, prinzipiell als Kombination einer Risikomatrix (oder eines Risikographen,<br />
der sich jedoch auf eine Risikomatrix zurückführen lässt) und Tabellen zur Bewertung von<br />
Barrieren darstellen. Sie werden seit etlichen Jahren in verschiedenen Industriezweigen erfolgreich<br />
angewendet und sind in den hierfür geltenden einschlägigen Normen genannt. Beispiele hierfür<br />
sind:<br />
<br />
<br />
DIN EN 61508‐5 für sicherheitsbezogene elektrische/elektronischer/programmierbare elektronische<br />
Systeme (Risikograph und »Matrix des Ausmaßes des gefährlichen Vorfalls«),<br />
DIN EN 13849‐1 für Sicherheit von Maschinen (Risikograph).<br />
Hierbei ist darauf hinzuweisen, dass die Methoden in den genannten Normen als Beispiele beschrieben<br />
sind und demzufolge der Anwender in der Regel in Abhängigkeit vom Anwendungsfall noch<br />
eine weitergehende Anpassung bzw. Kalibrierung durchführen muss.<br />
Seite 7 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Semi‐quantitative Methoden<br />
Der Vorteil bei der Anwendung semi‐quantitativer Methoden besteht darin, dass sich gegenüber<br />
rein quantitativen Methoden viele Schritte standardisieren lassen. Dies führt zu einer Vereinfachung,<br />
Wiederverwendbarkeit und Effizienzsteigerung bei der Durchführung von Risikoanalysen.<br />
Ein wesentlicher Nachteil der bekannten Methoden ist jedoch, dass derzeit für keine Methode eine<br />
Begründung für die Konstruktion bzw. ein Hinweis auf das zu Grunde liegende Risikoakzeptanzkriterium<br />
veröffentlicht ist. Wohl zumindest mit aus diesem Grund haben diese Methoden bei Bahnanwendungen<br />
in der Vergangenheit überwiegend keine Anwendung gefunden bzw. wurde auch die<br />
Anwendung von der Aufsichtsbehörde abgelehnt.<br />
Eine weitere Schwäche liegt darin, dass die Methoden oftmals zu konservative Ergebnisse liefern –<br />
auch wenn dies aus sicherheitstechnischer Sicht zunächst nicht als Nachteil angesehen werden<br />
muss. Dieser Effekt wird vielfach noch dadurch verstärkt, dass Anwender im Zweifel eher zu »worst<br />
case« Einschätzungen tendieren, um auf der »sicheren Seite« zu liegen. In [1] finden sich nähere<br />
Ausführungen zu dieser Thematik. In [8] wird darüber hinaus am Beispiel des Risikographen nach<br />
VDV‐Schrift 332 für die punktförmige Zugbeeinflussung gezeigt, dass die hiermit ermittelten Ergebnisse<br />
offensichtlich zu konservativ sind.<br />
3.2 Anforderungen an semi‐quantitative Methoden nach DIN V VDE V 0831‐101<br />
Mit der Vornorm DIN V VDE V 0831‐101 wurden für den Anwendungsbereich »Elektrische Bahn‐<br />
Signalanlagen« erstmals Anforderungen an die verlässliche Konstruktion und Anwendung semiquantitativer<br />
Methoden zur Risikoanalyse aufgestellt. Die Vornorm gibt Anleitung, wie diese Methoden<br />
konstruiert und angewandt werden können, um Sicherheitsanforderungen für technische<br />
Systeme für Bahn‐Signalanlagen abzuleiten, indem<br />
<br />
<br />
<br />
<br />
grundlegende Prinzipien erklärt werden,<br />
die notwendigen Verfahrensschritte zur Durchführung der Risikoanalyse bereitgestellt werden,<br />
geeignete Benennungen, Voraussetzungen, Maßgrößen für die Beurteilung der maßgeblichen<br />
Parameter wie Schadensausmaß oder Wirksamkeit von Barrieren bereitgestellt werden,<br />
Beispiele für die notwendigen Arbeitsblätter oder andere Tabellenformen bereitgestellt<br />
werden.<br />
Die DIN V VDE V 0831‐101 definiert insgesamt 28 Anforderungen an die Konstruktion und / oder<br />
Anwendung einer semi‐quantitativen Methoden, auf die – sofern für diesen Bericht relevant – nachfolgend<br />
noch näher eingegangen wird.<br />
3.3 Die semi‐quantitative Methode RSM nach E DIN VDE V 0831‐103<br />
Als Anforderung A4 in DIN V VDE V 0831‐101 ist gefordert, dass für jede semi‐quantitative Methode<br />
ein Anwender‐Handbuch erstellt werden muss, das Definitionen, Erläuterungen und Beispielanwendungen<br />
enthält. Ausgehend von dieser Anforderung wurde mit dem Entwurf der Vornorm E DIN<br />
VDE V 0831‐103 ein derartiges Handbuch für die Methode »Risk Score Matrix« (RSM) erarbeitet.<br />
Hierin wird eine Anleitung für die Anwendung dieser Methode gegeben, indem<br />
<br />
<br />
<br />
der Aufbau der Methode beschrieben wird,<br />
die notwendigen Parameter festgelegt werden,<br />
eine Systemdefinition für generische Funktionen der Eisenbahnsignaltechnik durchgeführt<br />
wird (in Anhang A),<br />
Seite 8 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Methodik nach E DIN VDE V 0831‐103<br />
<br />
für diese Funktionen mittels der gewählten Methode exemplarisch Sicherheitsanforderungen<br />
– unter Berücksichtigung relevanter Randbedingungen – abgeleitet werden,<br />
die Erfüllung der Anforderungen an die Konstruktion und Anwendung semi‐quantitativer<br />
Methoden nach DIN V VDE V 0831‐101 nachgewiesen wird (in Anhang C).<br />
Insbesondere wurde darauf Wert gelegt, die Konstruktion der Methode ausreichend zu begründen.<br />
Wesentlicher Bestandteil der Methode ist hierbei die Kalibrierung anhand des Kriteriums RAC‐TS.<br />
Die nähere Beschreibung der Methode erfolgt nachfolgend im Abschnitt 4.<br />
4 Methodik nach E DIN VDE V 0831‐103<br />
4.1 Aufbau und Kalibrierung der RSM<br />
Aufbau und Kalibrierung der RSM sind in Abbildung 2 dargestellt:<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
10 -5<br />
3 x 10 -6<br />
X<br />
Risk Score Matrix<br />
Weitere »Referenzpunkte«<br />
nach Revisionsvorschlag<br />
zur VO (EG) Nr. 352/2009<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
10 -9<br />
X<br />
»Referenzpunkt« nach<br />
RAC-TS<br />
A B C D E F G<br />
Unfallklasse<br />
X<br />
X<br />
Klassenbreite ≈ √10<br />
Abbildung 2: Risk Score Matrix nach E DIN VDE V 0831‐103<br />
In der Risk Score Matrix sind horizontal die Unfallklassen und vertikal die Sicherheitsanforderungen<br />
eingetragen. Die Grenze des tolerierbaren Risikos wird hierbei durch die jeweils oberste weiße Zelle<br />
in der jeweiligen Spalte – als Verbindung zwischen Unfallklasse und angegebener Sicherheitsanforderung<br />
– repräsentiert.<br />
Die Klasseneinteilung – sowohl für die Unfallklassen als auch für die Sicherheitsanforderungen – ist<br />
dabei so gewählt, dass sich eine Klasse um angenähert den Faktor √10 von der benachbarten Klasse<br />
unterscheidet. Hiermit wird einerseits Anforderung A3 (Granularität) aus DIN V VDE V 0831‐101 erfüllt<br />
und andererseits eine darüber hinausgehende bessere Granularität erreicht und somit auch<br />
Anforderung A26 (Sensitivität) unterstützt.<br />
Die Zelle im Schnittpunkt zwischen Unfallklasse G und der Sicherheitsanforderung 10 ‐9 /h bildet den<br />
Referenzpunkt zur Kalibrierung entsprechend des Risikoakzeptanzkriteriums RAC‐TS nach CSM VO.<br />
Die Zellen im Schnittpunkt zwischen<br />
<br />
<br />
Unfallklassen E/F und Sicherheitsanforderung 10 ‐8 /h,<br />
Unfallklassen C/D und Sicherheitsanforderung 3 x 10 ‐7 /h,<br />
Seite 9 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Methodik nach E DIN VDE V 0831‐103<br />
Unfallklasse B und Sicherheitsanforderung 10 ‐5 /h<br />
bilden Referenzpunkte zur Kalibrierung entsprechend des Vorschlages der ERA [7] zur Revision der<br />
CSM VO.<br />
Die aufgeführten Sicherheitsanforderungen sind hierbei als diejenigen zu verstehen, die sich ohne<br />
Berücksichtigung von Barrieren ergeben. Für die Unfallklassen C/D bzw. E/F gelten hierbei die gleichen<br />
Sicherheitsanforderungen, da in der RSM aus dem oben genannten Grund eine feinere Granularität<br />
gewählt wurde als bei der Definition des (weiterentwickelten) Kriteriums RAC‐TS. Zu den<br />
daraus zu gewinnenden Erkenntnissen erfolgen in diesem Bericht an anderer Stelle noch detailliertere<br />
Ausführungen.<br />
4.2 Anwendung der Methodik<br />
Die Anwendung der RSM auf definierte Funktionen / Ausfälle erfolgt nach dem nachfolgend beschriebenen<br />
Schema:<br />
Für jede Ausfallart wird zunächst analysiert, welche Ereignisart(en) hieraus resultieren können und<br />
die jeweils zutreffende Unfallklasse ermittelt. Anschließend werden die möglichen Barrieren bestimmt<br />
und anhand von Tabellen mit Punkten bewertet. Danach wird geprüft, ob bei einer Barriere<br />
eine Abhängigkeit zu anderen Barrieren oder der Unfallklasse besteht und die Punktzahl dieser Barriere<br />
ggf. reduziert. Die Sicherheitsanforderung ergibt sich, indem in der Spalte mit der Unfallklasse<br />
– ausgehend von der jeweils obersten weißen Zelle – für jeden Bewertungspunkt einer Barriere jeweils<br />
eine Zelle nach oben gegangen wird und dann der in der gleichen Zeile äußerst links stehende<br />
Wert abgelesen wird. Sofern bei einer Ausfallart mehrere Gefährdungsszenarien möglich sind,<br />
ergibt sich die Sicherheitsanforderung für diese Ausfallart als Minimalwert aus den Sicherheitsanforderungen<br />
für die jeweiligen Szenarien.<br />
Seite 10 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Methodik nach E DIN VDE V 0831‐103<br />
4.3 Die Tabelle der Unfallklassen in E DIN VDE V 0831‐103<br />
Eine »zentrale Vorgabe« in E DIN VDE V 0831‐103 (da als Ausgangspunkt für die Ermittlung von Sicherheitsanforderungen<br />
und Nachweis für die Kalibrierung der Methode gegen ein Risikoakzeptanzkriterium<br />
dienend) stellt die Tabelle der Unfallklassen dar, wie sie in Tabelle 1 dargestellt ist.<br />
Unfallklasse Ereignisart »maßgebendes« Schadensausmaß<br />
A<br />
B<br />
C<br />
D<br />
E<br />
F<br />
G<br />
Aufprall auf Gleissperre<br />
Aufprall einer Rangierfahrt auf Gegenstand<br />
Unzeitige Zwangsbremsung<br />
Person stürzt beim Aussteigen<br />
Person oder Fahrzeug wird von Schrankenbaum<br />
getroffen<br />
Aufprall eines Reisezuges auf Gegenstand bei<br />
niedriger Geschwindigkeit<br />
Aufprall eines Güterzuges auf Gegenstand<br />
Entgleisung einer Rangierfahrt<br />
Zusammenstoß von Rangierfahrten<br />
Aufprall eines Reisezuges auf Gleisabschluss<br />
Aufprall eines Reisezuges auf Gegenstand bei<br />
mittlerer Geschwindigkeit<br />
Entgleisung eines Reisezuges bei niedriger Geschwindigkeit<br />
Zusammenstoß mit einem Reisezug bei niedriger<br />
Geschwindigkeit<br />
Entgleisung eines Güterzuges<br />
Zusammenstoß zwischen Güterzügen<br />
Aufprall eines Reisezuges auf Gegenstand bei<br />
hoher Geschwindigkeit<br />
Entgleisung eines Reisezuges bei mittlerer Geschwindigkeit<br />
Zusammenprall mit nicht führendem Eisenbahnfahrzeug<br />
Zusammenprall mit führendem Eisenbahnfahrzeug<br />
Personenunfall an höhengleichem Bahnsteigzugang<br />
Personenunfall in einer Arbeitsstelle<br />
Zusammenstoß mit einem Reisezug bei mittlerer<br />
Geschwindigkeit<br />
Entgleisung eines Reisezugs bei hoher Geschwindigkeit<br />
Zusammenstoß mit einem Reisezug bei hoher<br />
Geschwindigkeit<br />
Kein Personenschaden;<br />
geringer Sachschaden<br />
Ein Leichtverletzter;<br />
mittlerer Sachschaden<br />
Mehrere Leichtverletzte<br />
Ein Schwerverletzter oder viele<br />
Leichtverletzte;<br />
hoher Sachschaden<br />
Mehrere Schwerverletzte<br />
Ein Todesfall oder viele Schwerverletzte;<br />
beträchtlicher Sachschaden<br />
Mehrere Todesfälle<br />
Tabelle 1: Unfallklassen nach E DIN VDE V 0831‐103<br />
Obwohl dies für den Anwender prinzipiell als entbehrlich angesehen werden könnte, wurde in der<br />
Tabelle die Spalte »maßgebendes Schadensausmaß« eingefügt, da hiermit einerseits eine Begründung<br />
für die Kalibrierung gegen ein Risikoakzeptanzkriterium direkt ersichtlich ist und andererseits<br />
bei Bedarf die Einstufung von anderen – nicht in der Tabelle genannten – Ereignissen erleichtert<br />
Seite 11 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Methodik nach E DIN VDE V 0831‐103<br />
wird. Das »maßgebende Schadensausmaß« ist hierbei dasjenige, welches überwiegend – d.h. bei<br />
konservativer Abschätzung – bei einem Ereignis der jeweiligen Ereignisart nicht überschritten wird.<br />
Zur Gewährleistung der Kompatibilität zwischen den Klasseneinteilungen für die Unfallklassen und<br />
für die Sicherheitsanforderungen ist hierbei der Begriff »mehrere« im Sinne von »ca. 3« und »viele«<br />
im Sinne von »ca. 10« aufzufassen.<br />
Zur Einordnung der Ereignisarten erfolgte ein Abgleich unter Zuhilfenahme statistischer Daten, bei<br />
dem geprüft wurde, dass Ereignisarten mindestens in diejenige Unfallklasse eingeordnet sind, die<br />
von 90 % aller Ereignisse der jeweiligen Ereignisart nicht überschritten wird. Mindestens bedeutet<br />
hierbei, dass im Zweifel (z. B. auch bei zu geringer Aussagekraft der statistischen Daten im Einzelfall)<br />
konservative Annahmen getroffen wurden – auch um die Einordnung im Gesamtzusammenhang<br />
(z. B. unterschiedliche Unfallklassen bei unterschiedlichen Geschwindigkeiten) plausibel zu<br />
halten. Dies ist auch notwendig, da schwere Eisenbahnunfälle glücklicherweise sehr selten sind und<br />
bei ausschließlicher Betrachtung statistischer Daten daher Ereignisse mit potenziell schwerem<br />
Ausmaß möglicherweise in eine »zu niedrige« Unfallklasse eingestuft würden.<br />
Insgesamt erfolgte die Einstufung der Ereignisse daher als Kombination aus Auswertung statistischer<br />
Daten und Experteneinschätzungen. Hierbei wurde auch auf die Vorarbeiten der ERA zurückgegriffen,<br />
indem die Beispiele in [6] berücksichtigt wurden. So ist als Ereignisart, die in die höchste<br />
(»kritischste«) Unfallklasse fällt, hiernach die Entgleisung eines Reisezuges bei hoher Geschwindigkeit<br />
aufgeführt. Ebenfalls entsprechend des Beispiels in [6] sind die Entgleisung eines Reisezuges bei<br />
mittlerer und bei niedriger Geschwindigkeit sowie die Entgleisung einer Rangierfahrt eingeordnet.<br />
Für Aufpralle eines Reisezuges auf Gegenstände (außer auf einen Gleisabschluss, da hierfür aussagekräftige<br />
statistische Daten vorliegen) wird insgesamt eine konservative Einordnung vorgenommen.<br />
4.4 Barrierenmodell in E DIN VDE V 0831‐103<br />
Für die Bestimmung von Barrieren sieht E DIN VDE insgesamt 4 Tabellen vor:<br />
<br />
<br />
<br />
<br />
Bewertung menschlicher Handlungen,<br />
Bewertung von der Betriebsdichte abhängiger Barrieren,<br />
Bewertung der Anforderungsrate mit Ausfalloffenbarung,<br />
Bewertung weiterer Barrieren.<br />
Außerdem beschreibt eine gesonderte Tabelle die Bewertung der Abhängigkeit zwischen Barriere<br />
und anderen Barrieren bzw. Unfallklasse. In den Tabellen werden für die einzelnen Barrieren Wirksamkeitsklassen<br />
gebildet, die in Bezug auf ihre Risikoreduktion mit Punkten bewertet werden.<br />
Grundsatz für die Bewertung von Barrieren ist, dass entsprechend der gewählten Klasseneinteilung<br />
für die Unfallklassen und Sicherheitsanforderungen eine Punktzahl von 2 einer Risikoreduktion<br />
durch die Barriere in Höhe von 0,1 (Faktor 10) entspricht. Durch die Tabelle zur Bewertung weiterer<br />
Barrieren besteht auch die Möglichkeit der Kombination der Methode mit anderen Verfahren (z.B.<br />
ETA, FTA), mit denen eine Quantifizierung der Wirksamkeit von Barrieren möglich ist.<br />
Seite 12 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
5 Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
In diesem Abschnitt soll gezeigt werden, dass sich die Methode RSM nach E DIN VDE V 0831‐103<br />
grundsätzlich auch dafür eignet, für andere Systeme / Funktionen als diejenigen, die im Anhang B<br />
des Vornormentwurfes genannt sind, Sicherheitsanforderungen abzuleiten. Hierzu werden entsprechende<br />
Beispiele beschrieben. Es ist darauf hinzuweisen, dass diese Beispiele im Rahmen des Forschungsvorhabens<br />
NeGSt nicht den Anspruch einer vollständigen Risikobewertung erfüllen können.<br />
Insbesondere dient die jeweilige Systemdefinition nur dem im Rahmen dieses Berichtes erforderlichen<br />
allgemeinen Verständnis. Die Form der Bewertung von Funktionen entspricht hierbei dem<br />
Muster in E DIN VDE V 0831‐103.<br />
5.1 Tunnelbegegnungsverbot<br />
5.1.1 Systemdefinition<br />
Die im Bau befindliche Neubaustrecke Ebensfeld – Erfurt soll von TSI‐konformen Reisezügen und<br />
Güterzügen im Mischbetrieb befahren werden. Auf dieser Strecke sind zweigleisige, einröhrige Tunnel<br />
vorhanden. Um bei Fahrgeschwindigkeiten bis 300 km/h für Reisezüge die Sicherheit im Sinne<br />
EBA‐Richtlinie [3] sowie in Bezug auf aerodynamische Einwirkungen sicherstellen zu können, sind<br />
neben einem fahrplanmäßigen Begegnungsausschluss wirksame Maßnahmen notwendig, um auch<br />
bei Abweichungen vom Fahrplan Begegnungen in Tunneln zuverlässig zu vermeiden. Hierzu sollen<br />
in definierten Tunnelbereichen mit Hilfe eines technischen Systems (TBV‐System) im Zusammenwirken<br />
mit der Stellwerkstechnik Begegnungen/Überholungen zwischen Reise‐ und Güterzügen<br />
ausgeschlossen werden.<br />
Das TBV‐System stellt im Wesentlichen die folgenden Funktionen auf definierten tunnelreichen<br />
Streckenabschnitten (= Tunnelbereichen) sicher:<br />
<br />
<br />
<br />
Über Sensoren (z. B. zur Achsmustererkennung) sowie mittels weiterer im Stellwerk bzw. im<br />
RBC verfügbarer Daten wird die Zugart aller sich dem Tunnelbereich nähernden Züge ermittelt<br />
(Zugarterkennung).<br />
Das TBV‐System überwacht nach erfolgter Zugarterkennung jederzeit die Standorte aller im<br />
Überwachungsbereich befindlichen Züge (Zuglaufverfolgung).<br />
In Abhängigkeit der aktuellen Belegung eines Tunnelbereichs auf dem jeweils anderen Gleis<br />
wird einem sich nähernden Zug über eine geeignete Verarbeitungslogik eine Fahrerlaubnis<br />
ohne Restriktion, eine solche mit Restriktion (Geschwindigkeitsbeschränkung) oder ein Haltbefehl<br />
zugeordnet. Das TBV‐System übermittelt diese Information an dasjenige Stellwerk,<br />
welches das zugeordnete Signal vor dem Tunnelbereich steuert.<br />
5.1.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103<br />
Schutzziel:<br />
– Ausschließen von unzulässigen Begegnungen/Überholungen von Reise‐ und Güterzügen in<br />
Tunnelbereichen<br />
Randbedingungen:<br />
Die Betrachtung beschränkt sich auf Risiken infolge von möglichen Ereignissen in Tunneln, die in<br />
einem unmittelbaren Zusammenhang mit unzulässigen Begegnungen/Überholungen zwischen Reise‐<br />
und Güterzügen und damit mit der Sicherheit des geplanten TBV‐Systems stehen.<br />
Ausfallarten der Funktion:<br />
a) Unzulässige Begegnung/Überholung in Tunnelbereich nicht ausgeschlossen<br />
Seite 13 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a1) Wenn unmittelbar vor der Begegnung/Überholung ein Güterzug entgleist bzw. in Brand gerät,<br />
kann es im Moment der Begegnung/Überholung zu einer Eskalation mit entsprechend höheren<br />
Sach‐ und Personenschäden kommen, wenn die Begegnung/Überholung nicht durch Intervention<br />
des Fahrdienstleiters (Abgabe eines Nothaltauftrages) noch verhindert werden<br />
kann. Als konservative Abschätzung des zu erwartenden weiteren Schadensverlaufes muss<br />
davon ausgegangen werden, dass die Auswirkungen vergleichbar sind mit denjenigen bei<br />
Entgleisung eines Reisezuges oder Zusammenstoß mit einem Reisezug – jeweils bei hoher<br />
Geschwindigkeit entsprechend der zulässigen Geschwindigkeit in Tunnelbereichen (= Unfallklasse<br />
G) – auch wenn diese Ereignisse streng genommen lediglich Folgeereignisse von Entgleisung<br />
bzw. Brand eines Güterzuges sind und hierfür das diesbezügliche Schadensausmaß<br />
angesetzt werden müsste.<br />
Anmerkung: Da der Fokus des Entwurfs E DIN VDE V 0831‐103 auf Funktionen/Ausfällen der LST<br />
liegt, findet sich in der Tabelle der Unfallklassen das Ereignis Brand nicht wieder, sodass hier die<br />
Auswirkungen anhand eines Vergleiches mit Auswirkungen anderer Ereignisse ermittelt wurden.<br />
a2) Auf Grund aerodynamischer Lasten bei Begegnung mit/Überholung von Zügen mit Pkw‐<br />
Transportwagen oder Zügen der »Rollenden Landstraße«: Beschädigung/Verlust von Anbauteilen<br />
von Straßenfahrzeugen oder Einrichtungen zum Schutz der Ladung (z.B. Planen) (= Unfallklasse<br />
A, da nur Sachschaden zu erwarten ist)<br />
a3) Auf Grund aerodynamischer Lasten bei Begegnung mit Zügen mit Schiebewandwagen bzw.<br />
Wagen mit beweglichen Seitenwänden/Türen: Abreißen von Schiebewänden, Seitenwänden<br />
oder Türen und in Folge davon Aufprall eines Reisezuges auf diese <strong>Teil</strong>e. Prinzipiell wäre bei<br />
Anwendung der Tabelle der Unfallklassen nach E DIN VDE V 0831‐103 hierfür Unfallklasse D<br />
entsprechend eines Aufpralls eines Reisezuges auf einen Gegenstand bei hoher Geschwindigkeit<br />
zu wählen. Das angenommene Ausmaß dieses Ereignisses wird hierbei jedoch auch davon<br />
beeinflusst, dass der Aufprall typischerweise mit der Zugspitze erfolgt und das Schadensausmaß<br />
durch geeignete Gestaltung der Fahrzeuge (Bahnräumer, Einrichtungen zur Gewährleistung<br />
der Crashsicherheit) beeinflusst wird. In dem hier betrachteten Gefährdungsszenario<br />
kann der Aufprall jedoch auch seitlich erfolgen (z.B. in Fensterhöhe), sodass von kritischeren<br />
Auswirkungen auszugehen ist. Andererseits erscheint auch die Wahl der höchsten Unfallklasse<br />
nicht gerechtfertigt, sodass hier als konservative Annahme Unfallklasse F angenommen<br />
wird.<br />
a4) Auf Grund aerodynamischer Lasten bei Überholung von Zügen mit Schiebewandwagen bzw.<br />
Wagen mit beweglichen Seitenwänden/Türen: wie a3) – Unfallklasse F.<br />
Auf Grund von Erkenntnissen aus vorangegangenen Analysen zu aerodynamischen Einwirkungen<br />
bei Begegnung/Überholung zwischen Reise‐ und Güterzügen in Tunneln (die beginnend bereits vor<br />
Aufnahme des Hochgeschwindigkeitsverkehrs auf den Strecken Mannheim – Stuttgart und Hannover<br />
– Würzburg) durchgeführt wurden) wird das Gefährdungsszenario »Verlust einer schweren Ladung<br />
infolge von aerodynamischen Einwirkungen« nicht als maßgebend angesehen und daher nicht<br />
betrachtet.<br />
Schutzobjekt:<br />
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung<br />
Bewertung von Barrieren:<br />
a1) Entgleisung bzw. Brand eines Güterzuges unter der zusätzlichen Bedingung, dass dies unmittelbar<br />
vor einer Begegnung/Überholung mit einem Reisezug in einem Tunnelbereich stattgefunden<br />
hat, sind seltene bis sehr seltene Ereignisse. Andererseits erfolgt eine Ausfalloffenbarung<br />
des TBV‐Systems häufig bis dauernd, da auf Grund des vorgesehenen Betriebspro‐<br />
Seite 14 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
grammes ständig Möglichkeiten zur Begegnung zwischen Reise‐ und Güterzügen bestehen<br />
und insofern ein Versagen des TBV‐Systems vom Fahrdienstleiter erkannt werden kann. Bei<br />
Anwendung von Tabelle 7 aus E DIN VDE V 0831‐103 ergibt sich hieraus die Punktzahl 6.<br />
a2) Da mit Unfallklasse A bereits die niedrigste Unfallklasse angenommen wurde, wird auf die<br />
Bewertung von Barrieren verzichtet.<br />
a3) Es darf davon ausgegangen werden, dass nicht jede unzulässige Begegnung zu einem Abreißen<br />
von Schiebewänden oder anderen größeren beweglichen <strong>Teil</strong>en von Güterwagen führt.<br />
Dies ist einerseits darin begründet, dass bei hier anzunehmender unveränderter Konstruktion<br />
der Güterwagen derzeit bei Begegnungen ein definiertes Drucklastniveau ertragbar ist, ohne<br />
dass hieraus entsprechenden Beschädigungen an Güterwagen resultieren und auch bei den<br />
veränderten Randbedingungen, wie sie der Risikobewertung zu Grunde liegen, eine gewisse<br />
Anzahl an Belastungen verkraftbar ist, bevor Beschädigungen eintreten. Auch unter Berücksichtigung<br />
der Tatsache, das sich in einem Zug mehrere »gefährdete« Güterwagen befinden<br />
können und somit die Wahrscheinlichkeit – bezogen auf die Begegnung mit einem Zug – entsprechend<br />
steigt, kann insgesamt zumindest von einer mittleren Risikoreduktion ausgegangen<br />
werden. Dies entspricht der Annahme, dass es bei ca. 10 unzulässigen Begegnungen einmal<br />
zu einem Abreißen einer Schiebewand oder anderen beweglichen <strong>Teil</strong>en kommt. Bei Anwendung<br />
von Tabelle 9 aus E DIN 0831‐103 resultiert hieraus die Punktzahl 2.<br />
a4) Aus Versuchen sei als bekannt vorausgesetzt, dass aus Überholungen ungünstigere aerodynamische<br />
Bedingungen resultieren können, sodass die entsprechende Drucklast ansteigt.<br />
Somit steigt auch die Wahrscheinlichkeit des Abreißens einer Schiebewand oder anderer beweglicher<br />
<strong>Teil</strong>e. Wird hier davon ausgegangen, dass die Wahrscheinlichkeit konservativ betrachtet<br />
um den Faktor 2 ansteigt, so ergibt sich bei Anwendung von Tabelle 9 aus E DIN<br />
0831‐103 die Punktzahl 1. Andererseits darf jedoch berücksichtigt werden, dass das Szenario<br />
Überholung auf Grund von Infrastruktur und Betriebslage (Überholung eines Güterzuges in<br />
einem Tunnelbereich ist nur möglich, wenn diese die Fahrt eines Zuges auf dem Gegengleis<br />
über einen längeren Abschnitt zulässt) wesentlich seltener ist als das Szenario Begegnung.<br />
Unter Anwendung von Tabelle 6 aus E DIN 0831‐103 kann dieses Szenario als »unterdurchschnittliche<br />
Betriebsdichte« gegenüber dem Szenario Begegnung eingestuft werden, woraus<br />
sich die Punktzahl 2 ergibt. Dies entspricht der Annahme, dass Begegnung und Überholung<br />
im Verhältnis ca. 10 : 1 stehen. Insgesamt ergibt sich somit die Punktzahl 3.<br />
Anmerkung: Auf Basis umfassender Analysen der aerodynamischen Zusammenhänge und daraus resultierender<br />
Auswirkungen wurde rechnerisch ermittelt, dass die Wahrscheinlichkeit für ein Abreißen von<br />
Schiebewänden oder anderer beweglicher <strong>Teil</strong>en tatsächlich geringer ist als die bei vorstehender Betrachtung<br />
angenommene Wahrscheinlichkeit. Da diese Analysen jedoch nicht öffentlich verfügbar sind<br />
(und somit die Werte nicht einfach übernommen werden können), in diesem Bericht nur die generelle<br />
Anwendbarkeit der Methode RSM untersucht wird und semi‐quantitative Methoden im Zweifelsfall<br />
durchaus konservativere Resultaten liefern dürfen, wird hierin kein Widerspruch gesehen.<br />
Seite 15 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Darstellung der RSM:<br />
Tabelle 2 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
keine<br />
a2)<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
a3) a4)<br />
3 x 10 -9<br />
10 -9<br />
a1)<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 2: RSM für »Tunnelbegegnungsverbot«<br />
Sicherheitsanforderung:<br />
1 x 10 ‐7 /h<br />
5.2 Rechnergestützter Zugleitbetrieb (RZL) am Beispiel des Projektes SATLOC<br />
5.2.1 Systemdefinition<br />
Das System stellt eine technische Unterstützung für den Zugleitbetrieb auf schwach befahrenen<br />
Strecken (UIC Kategorie E, max. 2 Züge pro Stunde) bereit. Die wichtigsten Eigenschaften:<br />
<br />
<br />
<br />
<br />
<br />
Streckenzentrale und Fahrzeuge stehen kontinuierlich über eine hochverfügbare Funkverbindung<br />
in Kontakt.<br />
Die Fahrzeuge ermitteln ca. einmal pro Sekunde ihre Position und übermitteln diese an die<br />
Streckenzentrale, die die Position plausibilisiert.<br />
Die Fahraufträge werden von der Streckenzentrale erzeugt und vom Zugleiter plausibilisiert<br />
und freigegeben.<br />
Der Triebfahrzeugführer plausibilisiert den Fahrauftrag, bevor er ihn annimmt.<br />
Das Fahrzeuggerät überwacht die Ausführung des Fahrauftrags kontinuierlich, bei Verstoß<br />
wird automatisch die Notbremse aktiviert. Ohne Fahrauftrag schützt das System gegen unberechtigtes<br />
Anfahren.<br />
Streckenseitige Ausrüstung z. B. Stellwerke, sind nicht <strong>Teil</strong> des RZL. Es wird davon ausgegangen,<br />
dass die Weichen korrekt gestellt sind, z. B. Rückfallweichen.<br />
Prinzipielle Zusammenhänge sind in Abbildung 5 dargestellt. Weitere Informationen können<br />
http://satloc.uic.org/Project‐summary entnommen werden.<br />
Seite 16 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Abbildung 3: Ausführungs‐Beispiel: SATLOC‐Projekt<br />
Die wichtigsten Funktionen sind:<br />
1. Bereitstellung des Fahrauftrags (MA)<br />
2. Überwachung des Fahrauftrags (TC)<br />
Diese Funktionen entsprechen nach E DIN VDE V 0831‐103:<br />
1. MA=Überwachungsgrößen bereitstellen (B5.17)<br />
2. TC=Zugbewegung überwachen (B5.19)<br />
5.2.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103<br />
Überwachungsgrößen bereitstellen (MA)<br />
Schutzziel:<br />
– Umsetzung der Informationen von der streckenseitigen Signaltechnik für die fahrzeugseitige<br />
Zugsicherungsausrüstung, d. h. Bereitstellung eines konfliktfreien Fahrauftrags<br />
– Übertragung von Informationen / Anweisungen an die fahrzeugseitige Zugsicherungsausrüstung<br />
Randbedingungen:<br />
– die Anzeige von Überwachungsgrößen befreit den Triebfahrzeugführer nicht von der Beobachtung<br />
der Strecke und der Signale am Fahrweg<br />
– der Zugleiter plausibilisiert den Fahrauftrag anhand seines Lagebildes<br />
– der Triebfahrzeugführer plausibilisiert den Fahrauftrag anhand seines betrieblichen Auftrags,<br />
z. B. Fahrplan<br />
Seite 17 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Ausfallarten der Funktion:<br />
a) weniger restriktive Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung übertragen<br />
b) restriktivere Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung übertragen<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a1) Entgleisung durch Überschreitung der für den Fahrtverlauf zulässigen Geschwindigkeit bei<br />
mittlerer Geschwindigkeit (= Unfallklasse F)<br />
a2) Frontal‐Zusammenstoß mit anderen Fahrzeugen durch Unterschreitung der Mindestabstände<br />
(= Unfallklasse G)<br />
Bei höheren zulässigen Geschwindigkeiten werden die betreffenden Strecken in der Regel mit<br />
automatischen Zugsteuerungssystemen ausgerüstet. Als konservative Annahme wird jedoch<br />
trotzdem davon ausgegangen, dass bei einer eingleisigen Strecke in der Regel zwei Reisezüge<br />
mit mittlerer Geschwindigkeit betroffen sind, so dass sich eine hohe Geschwindigkeit beim<br />
Zusammenstoß ergeben kann.<br />
b) durch Widerspruch zwischen Ortung bzw. Geschwindigkeitsmessung auf dem Zug und übertragenen<br />
Überwachungsgrößen: Person stürzt auf Grund unzeitiger Zwangsbremsung (= Unfallklasse<br />
A)<br />
Schutzobjekt:<br />
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung<br />
Bewertung von Barrieren:<br />
a1) Der Triebfahrzeugführer muss den Fahrauftrag plausibilisieren, bevor er ihn akzeptiert. Er<br />
kann Fehler erkennen, allerdings nur relativ offensichtliche. Da sich bei einfachen Betriebsverhältnissen<br />
die Aufträge häufig wiederholen und auch Fahrzeug‐ und Streckeneigenschaften<br />
sich nur selten ändern, werden die Fahraufträge in der Regel identisch sein und der Triebfahrzeugführer<br />
kann Abweichungen davon leicht erkennen. Dies kann als regelbasierte Handlung<br />
ohne Stress (da das Beachten von Fahraufträgen bei mittlerer Geschwindigkeit an sich<br />
keine Stresssituation darstellt) unter guten Bedingungen angesehen werden, d. h. 4 Punkte.<br />
Auch der Zugleiter hat die Möglichkeit, fehlerhafte Fahraufträge zu erkennen, allerdings wohl<br />
nur, wenn der Fehler ziemlich offensichtlich ist. Wir stufen diese Handlung als wissensbasiert<br />
ein, allerdings unter normalem Stress und guten Bedingungen, d. h. 2 Punkte. Da es Fehler<br />
geben könnte, die sowohl vom Triebfahrzeugführer als auch vom Zugleiter schwer zu erkennen<br />
sind, ist die Unabhängigkeit der Prüfungen nicht vollständig (1 Punkt Abzug). Hieraus<br />
ergibt sich die Punktzahl 5.<br />
a2) Wie a1): Punktzahl 5<br />
b) Der Triebfahrzeugführer kann fehlerhaft übertragene Überwachungsgrößen oder fehlerhafte<br />
Ortungsinformationen, die im Widerspruch, nicht erkennen und eine Zwangsbremsung nicht<br />
verhindern. Insofern kann keine wirksame Barriere identifiziert werden.<br />
Seite 18 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Darstellung der RSM:<br />
Tabelle 3 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
keine<br />
b)<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
a1)<br />
3 x 10 -9<br />
10 -9<br />
a2)<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 3: RSM für »Überwachungsgrößen bereitstellen (MA)«<br />
Sicherheitsanforderung:<br />
3 x 10 ‐7 /h (für Ausfallart »weniger restriktive Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung<br />
übertragen«)<br />
keine<br />
(für Ausfallart »restriktivere Überwachungsgrößen an fahrzeugseitige Zugsicherungsausrüstung<br />
übertragen«)<br />
Zugbewegung überwachen (TC)<br />
Schutzziel:<br />
– gewährleisten, dass der Zug selbsttätig zum Halten gebracht werden kann, wenn die Fahrweise<br />
des Triebfahrzeugführers im Hinblick auf die Geschwindigkeit (entsprechend der Überwachungsgrößen)<br />
unzulässig ist<br />
Randbedingungen:<br />
– die Anzeige von Überwachungsgrößen befreit den Triebfahrzeugführer nicht von der Beobachtung<br />
der Strecke und der Signale am Fahrweg<br />
Ausfallarten der Funktion:<br />
a) keine Zwangsbremsung ausgelöst bei Überschreitung von Überwachungsgrößen<br />
b) unzeitige Zwangsbremsung ausgelöst<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a1) Wie a1) oben: Unfallklasse F<br />
a2) Wie a2) oben: Unfallklasse G<br />
b) Person stürzt auf Grund unzeitiger Zwangsbremsung (= Unfallklasse A)<br />
Seite 19 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Schutzobjekt:<br />
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung<br />
Bewertung von Barrieren:<br />
a1) Der Triebfahrzeugführer hat trotz vorhandener Zugsicherungsausrüstung die Signale (bei<br />
einfachen Strecken die Tafeln) am Fahrweg sowie die Anzeigen auf seinem Führerstandsdisplay<br />
zu beachten. Dies kann als fertigkeitsbasierte Handlung ohne Stress (da das Beachten<br />
von Signalen bzw. Führerstandsdisplay an sich keine Stresssituation darstellt) und bei schlechten<br />
Bedingungen angesehen werden (Tafeln sind weniger auffällig als Signale) – Punktzahl 5.<br />
a2) Evtl. hat der Triebfahrzeugführer noch die Möglichkeit, den entgegenkommenden Zug zu<br />
erkennen, aber schon bei mittleren Geschwindigkeiten keine Möglichkeit mehr, den Zusammenstoß<br />
zu vermeiden. Wie a1) Punktzahl 5<br />
b) Wie b) oben keine wirksame Barriere<br />
Darstellung der RSM:<br />
Tabelle 4 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
keine<br />
b)<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
a1)<br />
3 x 10 -9<br />
10 -9<br />
a2)<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 4: RSM für »Zugbewegung überwachen (TC)«<br />
Sicherheitsanforderung:<br />
3 x 10 ‐7 /h (für Ausfallart »keine Zwangsbremsung ausgelöst bei Überschreitung von Überwachungsgrößen«)<br />
keine<br />
(für Ausfallart »unzeitige Zwangsbremsung ausgelöst«)<br />
Seite 20 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
5.3 Temporäre Langsamfahrstellen einrichten<br />
5.3.1 Systemdefinition<br />
Derzeit erfolgt bei den Zugsicherungssystemen LZB und ETCS Level 2 die Interaktion zwischen Bediener<br />
und der »Streckenzentrale« der Systeme (LZB‐Zentrale bzw. RBC) über ein separates Bediensystem.<br />
Im Zusammenhang mit der Zielstellung einer einheitlichen Bedienphilosophie für integrierte<br />
Bedienungen von LST‐Systemen, Dispositionssystemen und Telekommunikationsanlagen<br />
soll künftig die Bedienung des RBC über ein integriertes Bediensystem zusammen mit der Bedienung<br />
des Stellwerks erfolgen.<br />
E DIN V 0831‐103 beinhaltet bei der Ableitung von Sicherheitsanforderungen für das System »Bedienung<br />
und Anzeige« nur diejenigen Bedienungen und Anzeigen , die derzeit in einem ESTW möglich<br />
sind (s. Abschn. B.7.1 in E DIN V 0831‐103). Deshalb wird im Folgenden – exemplarisch für das<br />
Einrichten temporärer Langsamfahrstellen – gezeigt, wie sich für ETCS Level 2 Sicherheitsanforderungen<br />
für Bedienung und Anzeige im RBC ableiten lassen.<br />
5.3.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103<br />
Temporäre Langsamfahrstellen erfassen und übertragen<br />
Schutzziel:<br />
– gewährleisten, dass Eingaben, Änderungen oder Löschungen von Temporären Langsamfahrstellen<br />
nur wirksam werden, wenn das entsprechende Eingabekommando vom Fahrdienstleiter<br />
eingegeben und freigegeben wurde<br />
– gewährleisten, dass Langsamfahrstellen korrekt entsprechend der Eingabe wirksam werden<br />
– gewährleisten, dass Langsamfahrstellen‐Eingaben nur einmalig im unmittelbaren zeitlichen<br />
Zusammenhang mit der Bedienhandlung wirksam werden<br />
Randbedingungen:<br />
– Temporäre Langsamfahrstellen dienen der sicheren Betriebsführung in Sondersituationen<br />
(Baustellen etc.). Die permanenten Geschwindigkeitsvorgaben werden der Streckeneinrichtung<br />
der Zugsicherung auf andere Weise mitgeteilt (Projektierung).<br />
<br />
Die vorliegende Ableitung von Sicherheitszielen bezieht sich nur auf die Erfassung und Übertragung<br />
von Temporären Langsamfahrstellen. Es wird davon ausgegangen, dass die Temporären<br />
Langsamfahrstellen nach Bestätigung durch den Bediener im Zugsicherungssystem sicher<br />
verwaltet werden.<br />
– Es wird davon ausgegangen, dass vor erstmaliger Fahrtfreigabe auf einen Bereich mit Temporären<br />
Langsamfahrstellen durch den für die Fahrtfreigabe Verantwortlichen geprüft wird, ob<br />
die erforderlichen Temporären Langsamfahrstellen im System registriert sind.<br />
– Dabei wird angenommen, dass eine TSR‐Eingabe nur dann als wirksam angezeigt wird, wenn<br />
sie auch wirksam geworden ist.<br />
– Temporäre Langsamfahrstellen werden erst beim nächsten folgenden Zug aktiv, d.h. es<br />
kommt in keinem Fall zu Zwangsbremsungen.<br />
– Bezüglich der Eingabe Temporärer Langsamfahrstellen bei ETCS wird davon ausgegangen,<br />
dass es zulässig ist, externe Barrieren zu berücksichtigen, soweit sie allgemeiner Natur sind<br />
und keine spezifischen SACs abgeleitet werden.<br />
Seite 21 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Ausfallarten der Funktion:<br />
a) »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter Funktion<br />
wirksam (inkl. Änderung, Löschung)<br />
b) »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit wirksam (inkl. Änderung,<br />
Löschung)<br />
c) »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a1) Ohne weitere Einschränkung der Randbedingungen muss davon ausgegangen werden, dass<br />
eine unerkannt fehlerhaft eingegebene Temporäre Langsamfahrstelle unmittelbar gefährlich<br />
auswirken kann, wenn die Änderung weniger restriktiv ist. Als Folgen hieraus kann sich im<br />
Worst Case die Entgleisung eines Reisezuges durch überhöhte Geschwindigkeit im oberen<br />
Geschwindigkeitsbereich ergeben (= Unfallklasse G).<br />
a2) Wie a1), jedoch bei Regionalstrecken (= Unfallklasse E, da in diesem Fall von mittlerer Geschwindigkeit<br />
des betroffenen Zuges ausgegangen werden darf).<br />
b1) Wie a1)<br />
b2) Wie a2)<br />
c1) Wie a1)<br />
c2) Wie a2)<br />
Schutzobjekt:<br />
a), b), c)<br />
Reisende, Mitarbeiter, Fahrzeuge, Ladung<br />
Bewertung von Barrieren:<br />
a1) Die Notwendigkeit zum Ausführen einer Eingabe, Löschung oder Änderung einer temporären<br />
Langsamfahrstelle ergibt sich nur in Sondersituationen und ist somit ein öfter, aber nicht ständig<br />
auftretendes Ereignis (öftere Exposition eines Zuges mit Änderungen oder Löschungen<br />
von Langsamfahrstellen). Es kann von einer mittleren Risikoreduktion ausgegangen werden.<br />
Bei Anwendung von Tabelle 9 aus E DIN VDE V 0831‐103 ergibt sich hieraus konservativ die<br />
Punktzahl 2 (eine von 10 Betriebsstunden).<br />
Bei fälschlichen Änderungen an bereits eingegebenen Temporären Langsamfahrstellen tritt<br />
eine Gefährdung nur auf, wenn die Geschwindigkeit am relevanten Ort weniger restriktiv vorliegt<br />
als erforderlich. Eine zu wenig restriktiv oder nicht vorliegende Temporäre Langsamfahrstelle<br />
führt nicht zwangsläufig zu einem Unfall, da bei temporären Langsamfahrstellen häufig<br />
ein weiteres Ereignis hinzukommen muss, um einen Unfall auszulösen (z.B. im Baustellenbereich<br />
ein unvorsichtiges Verhalten von Arbeitern). Es kann von einer geringen Risikoreduktion<br />
ausgegangen werden. Dies trifft nicht zu in Fällen, in denen eine zu hohe Geschwindigkeit direkt<br />
zur Gefährdung der Zugfahrt führt (z.B. bei einer Temporären Langsamfahrstelle wegen<br />
Schienenbruchs). Da beide Barrieren nicht in allen Fällen wirksam sind, werden sie kombiniert<br />
betrachtet. Aus der Abschätzung, dass wenigstens eine von beiden in 1 von 2 Fällen wirksam<br />
sind, ergibt sich bei Anwendung von Tabelle 9 aus E DIN VDE V 0831‐103 Punktzahl 1.<br />
Es kann davon ausgegangen werden, dass Triebfahrzeugführer über temporäre Langsamfahrstellen<br />
in vielen Fällen noch auf anderen Wegen informiert werden. Somit kann zumindest<br />
von einer geringen Risikoreduktion ausgegangen werden und es ergibt sich die Punktzahl 1<br />
(Tabelle 5 in E DIN VDE V 0831‐103, wissensbasiert, gute Bedingungen, Stress). Dies gilt nicht<br />
für Temporäre Langsamfahrstellen mit Geschwindigkeiten über 160 km/h, für die es keine<br />
weiteren Informationswege gibt. Alternativ kann für diese aber angenommen werden, dass<br />
Seite 22 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
sie im Regelfall innerhalb der Sicherheitsreserven des Systems Bahn liegen (jedenfalls bei<br />
Streckenhöchstgeschwindigkeiten bis 250 km/h). Es kann bei Anwendung von Tabelle 9 aus E<br />
DIN VDE V 0831‐103 konservativ von einer geringen Risikoreduktion ausgegangen werden,<br />
womit sich auch hier die Punktzahl 1 ergibt. Insgesamt resultiert für alle Geschwindigkeitsbereiche<br />
die Punktzahl 1.<br />
Der für die Fahrtfreigabe im Bereich der Temporären Langsamfahrstelle Verantwortlichekann<br />
eine fehlerhaft ausgeführte Eingabe einer Temporären Langsamfahrstelle in der Regel an der<br />
rückgemeldeten Statusinformation erkennen und die Fahrtfreigabe auf den zu sichernden Bereich<br />
verhindern (das beinhaltet nicht die unmittelbare Eingabeprüfung, diese wäre ggf. als<br />
zusätzliche Barriere oder innerhalb der Bewertung des Eingabeverfahrens selber anzusetzen).<br />
Es wird konservativ von einer regelbasierten Handlung unter guten Arbeitsbedingungen, aber<br />
nicht optimalem Stressniveau ausgegangen, da es je nach konkreter Situation auch zu Unterforderung<br />
durch seltene Nutzung der Funktion kommen kann, oder zur Überforderung in Notfallsituationen,<br />
die Temporäre Langsamfahrstellen erfordern. Nach Tabelle 5 aus E DIN VDE<br />
V 0831‐103 ergibt sich hieraus die Punktzahl 3. Da eine Abhängigkeit zwischen Eingabe und<br />
Prüfung nicht vollständig ausgeschlossen werden kann (CCF), wird konservativ die Punktzahl<br />
2 angesetzt.<br />
Insgesamt ergibt sich somit die Punktzahl 6.<br />
a2) Wie a1) Punktzahl 6<br />
b1) Wie bei a1) ohne die letztgenannte Barriere (Überprüfung durch Bediener): Punktzahl 4<br />
b2) Wie b1): Punktzahl 4<br />
c1) Wie a1), jedoch ohne die Barriere, dass nur weniger restriktive Änderungen gefährlich werden:<br />
Punktzahl 5<br />
c2) Wie c1): Punktzahl 5<br />
Darstellung der RSM:<br />
Tabelle 5 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
Keine<br />
10 ‐5<br />
3 x 10 ‐6<br />
10 ‐6<br />
3 x 10 ‐7<br />
10 ‐7<br />
3 x 10 ‐8<br />
10 ‐8<br />
a2) b2) c2)<br />
3 x 10 ‐9<br />
10 ‐9<br />
a1) b1) c1)<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 5: RSM für »Temporäre Langsamfahrstellen erfassen und übertragen «<br />
Seite 23 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Sicherheitsanforderung:<br />
1 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter<br />
Funktion wirksam (inkl. Änderung, Löschung) – allgemein)<br />
1 x 10 ‐5 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird mit verfälschter<br />
Funktion wirksam (inkl. Änderung, Löschung) – bei Regionalstrecken)<br />
1 x 10 ‐7 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit<br />
wirksam (inkl. Änderung, Löschung) – allgemein)<br />
1 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird zur Unzeit<br />
wirksam (inkl. Änderung, Löschung) – bei Regionalstrecken)<br />
3 x 10 ‐7 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam<br />
– allgemein)<br />
3 x 10 ‐6 /h (für Ausfallart »Temporäre Langsamfahrstelle erfassen und übertragen« wird nicht wirksam<br />
– bei Regionalstrecken)<br />
Temporäre Langsamfahrstellen anzeigen<br />
Schutzziel:<br />
– gewährleisten, dass betriebliche Maßnahmen nur eingeleitet werden, wenn die für die betrieblichen<br />
Maßnahmen erforderlichen temporären Langsamfahrstellen in der Zugsicherungseinrichtung<br />
umgesetzt sind<br />
Randbedingungen:<br />
– betriebliche Maßnahmen, die Temporäre Langsamfahrstellen erfordern, werden ohne gesonderte<br />
Buchführung über die Eingabe und Löschung von Langsamfahrstellen aufgrund der Anzeige<br />
von Temporäre Langsamfahrstellen im Meldebild eingeleitet<br />
– vor Einleitung der betrieblichen Maßnahmen überzeugt sich der Bediener, dass die angezeigten<br />
Temporären Langsamfahrstellen den erforderlichen in Position und Geschwindigkeit entsprechen<br />
Ausfallarten der Funktion:<br />
a) Es wird eine Temporäre Langsamfahrstelle angezeigt, obwohl im System keine hinterlegt ist,<br />
oder sie wird mit falscher Position oder Geschwindigkeit angezeigt.<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a1) Die Auswirkung einer versehentlich angezeigten, aber nicht vorhandenen Temporären Langsamfahrstelle<br />
entspricht der einer versehentlich unerkannt gelöschten Temporären Langsamfahrstelle<br />
aus »Temporäre Langsamfahrstellen erfassen und übertragen«. Gleiche Auswirkungen<br />
kann auch eine mit falscher Position oder Geschwindigkeit angezeigte Temporäre Langsamfahrstelle<br />
haben. Damit wird auch hier konservativ von Unfallklasse G ausgegangen.<br />
a2) Wie a1) bei Regionalstrecken (= Unfallklasse E, da in diesem Fall von einer mittleren Geschwindigkeit<br />
des betroffenen Zuges ausgegangen werden darf).<br />
Schutzobjekt:<br />
a) Reisende, Mitarbeiter, Fahrzeuge, Ladung<br />
Seite 24 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Bewertung von Barrieren:<br />
a1) Eine fälschlich oder falsch angezeigte Temporäre Langsamfahrstelle entspricht bei Auswertung<br />
des Meldebildes im Worst Case einer unerkannt gelöschten Temporären Langsamfahrstelle<br />
aus »Temporäre Langsamfahrstellen erfassen und übertragen«, jedoch ohne die dort<br />
letztgenannte Barriere (Überprüfung der Temporären Langsamfahrstelle durch den Bediener:<br />
hierfür ist die vorliegende Funktion Voraussetzung, weshalb diese Barriere nicht angesetzt<br />
werden kann). Aus den ansetzbaren Barrieren aus a1) bei »Temporäre Langsamfahrstellen erfassen<br />
und übertragen« ergibt sich die Punktzahl 4.<br />
Hinzu kommt noch, dass die fälschlich oder falsch angezeigte Temporäre Langsamfahrstelle<br />
in Position und Geschwindigkeit genau der für die betrieblichen Maßnahmen erforderlichen<br />
Temporären Langsamfahrstelle entsprechen muss, um zu einer Gefährdung zu führen. Für die<br />
resultierende Risikoreduktion wird von einer mittleren Wirksamkeit ausgegangen. Hieraus<br />
ergibt sich bei Anwendung der Tabelle 9 aus E DIN VDE V 0831‐103 die Punktzahl 2.<br />
Insgesamt ergibt sich somit die Punktzahl 6.<br />
a2) Wie a1): Punktzahl 6<br />
Darstellung der RSM:<br />
Tabelle 6 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
Keine<br />
10 ‐5<br />
3 x 10 ‐6<br />
10 ‐6<br />
3 x 10 ‐7<br />
10 ‐7<br />
3 x 10 ‐8<br />
10 ‐8<br />
a2)<br />
3 x 10 ‐9<br />
10 ‐9<br />
a1)<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 6: RSM für »Temporäre Langsamfahrstellen anzeigen «<br />
Sicherheitsanforderung:<br />
1 x 10 ‐6 /h (allgemein)<br />
1 x 10 ‐5 /h (bei Regionalstrecken)<br />
Seite 25 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
5.4 Kransicherung<br />
5.4.1 Systemdefinition<br />
Für ein neues Betriebsprogramm in Terminals des Kombinierten Verkehrs (KV) ist es erforderlich,<br />
dass parallel zu Kranungen in den nicht betroffenen Gleisen Ein‐ und Ausfahrten von Zügen erfolgen<br />
können. Hierdurch werden Stillstandszeiten gegenüber herkömmlichen Umschlaganlagen, bei denen<br />
der Kranbetrieb während der Ein‐ und Ausfahrt von Zügen eingestellt wird, deutlich minimiert.<br />
Es muss sichergestellt werden, dass der für eine Zugfahrt freizuhaltende Lichtraum nicht durch Kranungen<br />
verletzt wird. Schutzziel hierbei ist, eine Kollision zwischen Zug und Kran / kranenden Lasten<br />
zu verhindern. Dies soll durch eine technische Abhängigkeit zwischen den Krananlagen und der<br />
LST in Form des neuen Systems »Kransicherung« gewährleistet werden. Weitere Randbedingungen<br />
sind:<br />
<br />
<br />
<br />
<br />
<br />
<br />
Es ist vor Zulassen einer Zugfahrt zu prüfen, dass sich keine <strong>Teil</strong>e der Krananlage oder Ladungen<br />
im Lichtraum befinden.<br />
Über das Freisein des Lichtraumes erfolgt eine Meldung an die LST.<br />
Mit Abgabe der Meldung ist sicherzustellen, dass Bewegungen der Krananlage (einschließlich<br />
ggf. aufgenommener Lasten größter anzunehmender Abmessungen) in das / die betroffene(n)<br />
Gleis(e) nicht mehr möglich sind.<br />
Während der Zugfahrten müssen die nicht von diesen Fahrten betroffenen Gleise und die<br />
Sortieranlage mittels Kran bedienbar sein.<br />
Eine Gefährdung von Zugfahrten durch Pendeln der Last wird durch (veränderten) mechanischen<br />
Aufbau der Krananlagen ausgeschlossen.<br />
Fahrgeschwindigkeit der Züge: 60 km/h<br />
Eine schematische Darstellung enthält Abbildung 4.<br />
Abbildung 4: Neues Betriebsprogramm für KV‐Terminal<br />
Seite 26 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
5.4.2 Ableitung von Sicherheitsanforderungen entsprechend E DIN VDE V 0831‐103<br />
Schutzziel:<br />
– prüfen, dass sich keine <strong>Teil</strong>e der Krananlage oder <strong>Teil</strong>e von Ladungen im Lichtraum befinden<br />
– gewährleisten, dass während der Zugfahrten die Kranbewegungen für das jeweilige Startoder<br />
Zielgleis gesperrt sind.<br />
Randbedingungen:<br />
keine<br />
Ausfallarten der Funktion:<br />
a) Hindernis im Lichtraum wird nicht erkannt<br />
b) Kranbewegung nicht gesperrt oder Sperrung vorzeitig aufgehoben<br />
Auswirkungen einschließlich ggf. auslösender Bedingungen:<br />
a) Das Ereignis stellt einen Aufprall dar (= Unfallklasse B); als konservative Annahme wird jedoch<br />
Unfallklasse D (entsprechend eines Zusammenstoßes zwischen Güterzügen) angenommen,<br />
da die Auswirkungen beim anzunehmenden Aufprall auf Container oder Wechselauflieger<br />
vergleichbar mit einem Zusammenstoß sind.<br />
b) Wie a)<br />
Schutzobjekt:<br />
a) und b) Mitarbeiter, Fahrzeuge, Ladung<br />
Bewertung von Barrieren:<br />
a) Der Triebfahrzeugführer kann ggf. auf Grund der niedrigen Geschwindigkeit ein im Lichtraum<br />
befindliches Hindernis erkennen. Andererseits wird er auf das Freisein des Fahrweges vertrauen<br />
und kann auf Grund der in Umschlaganlagen herrschenden Sichtverhältnisse auch nicht in<br />
jedem Fall rechtzeitig erkennen, ob sich ein Hindernis noch im Fahrweg oder ggf. bereits im<br />
benachbarten Bereich befindet. Als konservative Annahme wird daher hierfür keine Risikoreduktion<br />
angenommen.<br />
Der Kranführer darf Kranbewegungen in für Zugfahrten benötigten Gleisen nicht durchführen.<br />
Während er bei Senkbewegungen relativ einfach erkennen kann, welcher Bereich betroffen<br />
ist, gilt dies für Dreh‐ und Schwenkbewegungen nicht ohne Weiteres. Insofern muss hier<br />
konservativ von einer regelbasierten Handlung bei eher schlechten Bedingungen (Sichtverhältnisse)<br />
und unter Stress (Kranungen müssen auch bei Zugein‐ / ‐ ausfahrten erfolgen, um<br />
die Umschlagkapazität zu gewährleisten) ausgegangen werden. Insofern ergibt sich die<br />
Punktzahl 2.<br />
b) Wie a) – Punktzahl 2. Als konservative Annahme wird hierbei davon ausgegangen, dass der<br />
betroffene Bereich noch nicht von einer Zugfahrt besetzt ist, da ansonsten der Kranführer die<br />
Fahrzeuge des einfahrenden Zuges erkennen und entsprechend reagieren kann.<br />
Seite 27 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Validierung der Methode nach E DIN VDE V 0831‐103 anhand weiterer Beispiele<br />
Darstellung der RSM:<br />
Tabelle 7 stellt die entsprechende RSM dar.<br />
Sicherheitsanforderung<br />
1/h<br />
Risk Score Matrix<br />
keine<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
a), b)<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
10 -9<br />
A B C D E F G<br />
Unfallklasse<br />
Tabelle 7: RSM für »Kransicherung«<br />
Sicherheitsanforderung:<br />
3 x 10 ‐6 /h<br />
5.5 Schlussfolgerungen<br />
Anhand der Beispiele lässt sich zeigen, dass sich mit der Methodik nach E DIN VDE V 0831‐103<br />
grundsätzlich auch andere sicherheitsbezogene Funktionen analysieren lassen und hierfür Sicherheitsanforderungen<br />
abgeleitet werden können. Nach Ansicht der Arbeitsgruppe erscheinen hierbei<br />
– in Verbindung mit der ohnehin erforderlichen nachvollziehbaren Begründung für die Wahl der jeweiligen<br />
Parameter – die abgeleiteten Sicherheitsanforderungen ausreichend plausibel in Bezug auf<br />
Erfahrungen mit der Realisierung vergleichbarer technischer Systeme und daraus folgenden erreichbaren<br />
Sicherheitskennwerten. Dies zeigt damit, dass sowohl die Konstruktion der Methode als<br />
auch die gewählte Vorgehensweise für die Kalibrierung auf Basis von RAC‐TS grundsätzlich dafür<br />
geeignet ist, die Anforderungen an semi‐quantitative Methoden zu erfüllen und Nachteile, die sich<br />
teilweise bei anderen Methoden gezeigt haben, zu vermeiden.<br />
Seite 28 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Analyse der Systematik der RSM<br />
6 Analyse der Systematik der RSM<br />
6.1 Aufbau<br />
Bei der Konstruktion der RSM nach E DIN VDE V 0831‐103 fällt auf, dass bezüglich der »Risikoakzeptanz«,<br />
d.h. den Schnittpunkten zwischen Unfallklassen und Sicherheitsanforderungen, eine ungleichmäßige<br />
Abstufung besteht. Dies ist der Tatsache geschuldet, dass die Abstufung der Unfallklassen<br />
feiner ist als die Abstufung von Anforderungen aus dem (weiterentwickelten) Kriterium<br />
RAC‐TS nach [7], da hierbei die Auswirkungen von Unfällen teilweise zusammengefasst sind (entsprechend<br />
den Unfallklassen C/D bzw. D/E) und außerdem hierbei eine Unterscheidung zwischen<br />
»viele« und »mehrere« nicht vorgenommen wurde.<br />
Im »Idealfall« müsste diese Abstufung diagonal durch die Tabelle verlaufen. Dass dies nicht möglich<br />
ist, ergibt sich jedoch bereits aus der Tatsache, dass ausgehend von Unfallklasse G als »kritischste<br />
Klasse« (wobei davon ausgegangen wird, dass diese Klasse den Ausgangspunkt der Kalibrierung<br />
darstellt und somit unverändert bleiben muss) in der Matrix 9 weitere Zeilen aber nur 6 weitere Spalten<br />
zur Verfügung stehen. Somit sind »Sprünge« in der Abstufung zwangsläufig zu akzeptieren, da<br />
bei einer Veränderung der Matrix durch Zusammenfassung bestehender Klassen ggf. Anforderung<br />
A3 aus DIN V VDE V 0831‐101 (Granularität) nicht mehr erfüllt werden könnte.<br />
6.2 Wertebereiche und Grenzen<br />
Bereits in [4] wird darauf hingewiesen, dass – ausgehend vom ersten Vorschlag zur Weiterentwicklung<br />
von RAC‐TS (s. Abschn. 2.2) – eine lebhafte Diskussion darüber geführt wurde, ob für die Kriterien<br />
besser Wertebereiche oder konkrete Werte festgelegt werden sollte. Hierbei wurde auch auf die<br />
Problematik der geforderten Präzision der Nachweisführung eingegangen. Für die Kalibrierung semi‐quantitativer<br />
Methoden ist die gewählte Vorgehensweise zunächst grundsätzlich egal, da bereits<br />
als Anforderung A27 (Ermittlung von Sicherheitsanforderungen) in DIN V VDE V 0831‐101 ausgesagt<br />
wird, dass in der jeweiligen Methode festzulegen ist, welche konkrete THR nachzuweisen ist, wenn<br />
in der Methode Intervalle für die Sicherheitsanforderungen ermittelt werden. Vor dem Hintergrund<br />
der mit der Festlegung harmonisierter Risikoakzeptanzkriterien beabsichtigten gegenseitigen Anerkennung<br />
wäre aber zumindest ein direkter Hinweis bei den Risikoakzeptanzkriterien zum erforderlichen<br />
Nachweis hilfreich. Sofern hierzu keine Aussage getroffen ist, erscheint im Zusammenhang<br />
mit einem möglicherweise abzuleitenden Rechtsanspruch zur gegenseitigen Anerkennung nur zielführend,<br />
hierbei die jeweils obere Grenze (geringste Anforderung aus dem Wertebereich) zu akzeptieren<br />
– auch wenn die derzeitige Praxis in vergleichbaren Fällen eine andere Vorgehensweise gängig<br />
erscheinen lässt. In diesem Sinne wurden auch in E DIN VDE V 0831‐103 die »Kalibrierungspunkte«<br />
festgelegt.<br />
Weiterhin gilt für die Kalibrierung semi‐quantitativer Methoden zu beachten, dass der auf den ersten<br />
Blick vernachlässigbar erscheinende Unterschied, ob ein Wertebereich mit »kleiner« oder »kleiner<br />
gleich« begrenzt wird, wesentlichen Einfluss auf die Festlegung von Klassen hat. Bei Verwendung<br />
von »kleiner« muss demnach immer die nächste Klasse, bei der dieses Kriterium erfüllt ist,<br />
gewählt werden, was in Abhängigkeit von der Granularität zu erheblichen Sprüngen führen kann<br />
und teilweise auch die Erfüllung der Anforderung A26 aus DIN V VDE V 0831‐101 (Sensitivität) erschwert.<br />
Zum Umgehen potenzieller Schwierigkeiten wurden in der RSM nach E DIN VDE V 0831‐<br />
103 für die Sicherheitsanforderungen konkrete Werte und keine Wertebereiche festgelegt.<br />
6.3 Unfallklassen<br />
In E DIN VDE V 0831‐103 ist die Zahl der Unfallklassen zwangsläufig dadurch vorgegeben, dass die<br />
höchste (»kritischste«) Unfallklasse anhand des Kriteriums RAC‐TS in der derzeit gültigen Fassung<br />
Seite 29 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Analyse der Systematik der RSM<br />
der CSM VO kalibriert ist und eine Abstufung der Unfallklassen entsprechend der Bandbreite für die<br />
Sicherheitsanforderungen gewählt wurde. Eine Zusammenfassung von Unfallklassen erscheint daher<br />
für semi‐quantitative Methoden nur dann zweckmäßig, wenn auch die Klassen für die Sicherheitsanforderungen<br />
zusammengefasst werden. Da üblicherweise (s. die einschlägigen Normen)<br />
hierfür vier Klassen gebildet werden, sollten jedoch auch mindestens vier Unfallklassen gebildet<br />
werden.<br />
6.4 Beziehung zu DIN EN 50129<br />
Tabelle A.1 der DIN EN 50129 (SIL‐Tabelle) enthält vier Wertebereiche für Sicherheitsanforderungen.<br />
Die Matrix sollte daher kompatibel hierzu sein, d.h. den gesamten Wertebereich abdecken –<br />
jedoch gleichzeitig auch nicht darüber hinausgehen. Dies wird in der RSM nach E DIN VDE V 0831‐<br />
103 beispielsweise dadurch erreicht, dass die Sicherheitsanforderung 10 ‐9 /h die letzte Klasse bildet,<br />
obwohl bei strenger Auslegung des als Kalibrierung gewählten Kriteriums RAC‐TS, welches den<br />
Wertebereich mit ≤ 10 ‐9 /h abgrenzt, noch eine weitere Klasse folgen müsste. Ein Verzicht hierauf ist<br />
jedoch auch deshalb sinnvoll, da ansonsten die Grenze dieser (neuen) Klasse nicht klar wäre.<br />
Anmerkung: Es muss jedoch auch darauf hingewiesen werden, dass die DIN EN 50129 davon ausgeht,<br />
dass es grundsätzlich auch denkbar ist, dass an eine Funktion eine strengere quantitative Anforderung<br />
als 10 ‐9 /h gestellt wird, da unterhalb von Tabelle A.1 entsprechende Hinweise zum Umgang mit dieser<br />
Situation gegeben werden. Insofern kann auch der Bereich ≤ 10 ‐9 /h als kompatibel zu den Klassen der<br />
DIN EN 50129 angesehen werden – nicht jedoch, falls explizit ein kleinerer Wert vorgegeben würde.<br />
6.5 Konservativität<br />
Anforderung A2 in DIN V VDE V 0831‐101 fordert, dass die Konstruktion semi‐quantitativer Methoden<br />
im Grundsatz konservativ sein muss. Dies ist in E DIN VDE V 0831‐103 insofern berücksichtigt,<br />
dass der ursprüngliche Vorschlag zur Weiterentwicklung des Kriteriums RAC‐TS für die Kalibrierung<br />
verwendet wurde und dieser Vorschlag im Verlauf der Diskussionen von einigen Beteiligten als zu<br />
konservativ angesehen wurde. Daher soll im Folgenden auch betrachtet werden, welche denkbaren<br />
Varianten der RSM zu weniger konservativeren Anforderungen führen.<br />
Seite 30 von 47
10 -9 A B C D E F G<br />
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Möglichkeiten zur Weiterentwicklung der RSM<br />
7 Möglichkeiten zur Weiterentwicklung der RSM<br />
Ausgehend von der Analyse in Abschn. 6 soll in diesem Abschnitt untersucht werden, welche grundsätzlichen<br />
Möglichkeiten zur Weiterentwicklung der RSM denkbar sind, in denen die Anforderungen<br />
aus Abschn. 6 ggf. besser erfüllt werden können.<br />
7.1 Variante 1<br />
Abbildung 5 zeigt eine veränderte RSM im Vergleich zu den Wertebereichen nach Tabelle A.1 der<br />
DIN EN 50129.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
Unfallk las se<br />
THR/h
10 -9 A B C D E F G<br />
10 -9 A B C D E F G<br />
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Möglichkeiten zur Weiterentwicklung der RSM<br />
7.2 Variante 2<br />
Die Erfüllung der Anforderung »möglichst gleichmäßige Abstufung« ist z.B. durch eine Variante<br />
entsprechend Abbildung 6 möglich.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
Unfallk las se<br />
Abbildung 6: RSM mit gleichmäßiger Abstufung<br />
Diese Variante enthält zwar Sprünge zwischen den Klassen, ist jedoch insgesamt gleichmäßig abgestuft.<br />
Außerdem sind alle Wertebereiche aus DIN EN 50129 (einschließlich »SIL 0«) berücksichtigt.<br />
Es ergeben sich in keiner Unfallklasse höhere Anforderungen als in der Version nach E DIN VDE V<br />
0831‐103.<br />
7.3 Variante 3<br />
Zu Vergleichszwecken werden nachfolgend auch die aus Variante 2 abgeleiteten Versionen einer<br />
RSM mit weniger konservativeren Anforderungen (s. Abbildung 7) bzw. konservativeren Anforderungen<br />
(s. Abbildung 8) mit dargestellt.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
Unfallk las se<br />
Abbildung 7: RSM mit weniger konservativer Konstruktion<br />
Seite 32 von 47
10 -9 A B C D E F G<br />
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
Nachteil dieser Variante ist vor Allem der relativ große Sprung zwischen den Anforderungen für<br />
Unfallklasse E und Unfallfallklasse G. Im Sinne vor Anforderung A2 aus DIN V VDE V 0831‐101 ist<br />
diese Variante daher eher nicht empfehlenswert. Außerdem ergibt sich keine gleichmäßige Abstufung<br />
mehr.<br />
7.4 Variante 4<br />
In Abbildung 8 ist auch die konservativere aus Variante 2 abgeleitete RSM dargestellt.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
Unfallk las se<br />
Abbildung 8: RSM mit konservativerer Konstruktion<br />
Auch hier ergibt sich keine gleichmäßige Abstufung.<br />
8 Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
8.1 Zielstellung<br />
In diesem Abschnitt soll – auf Basis der RSM nach E DIN VDE V 0831‐103 – analysiert werden, wie<br />
sich die verschiedenen Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS (s. Abschn. 0)<br />
möglicherweise auf die Kalibrierung der RSM auswirken. Außerdem wird untersucht, welche Auswirkungen<br />
auf Sicherheitsanforderungen zu erwarten sind. Dies erfolgt entsprechend der Aufgabenstellung<br />
für diesen Bericht auf theoretischer Basis anhand eines Vergleiches der in Anhang B in E<br />
DIN VDE V 0831‐103 exemplarisch abgeleiteten Sicherheitsanforderungen mit denjenigen Sicherheitsanforderungen<br />
die sich – bei im Übrigen unverändert bleibenden Annahmen – aus einer veränderten<br />
Kalibrierung der RSM ergeben würden.<br />
Vorangestellt werden muss hierbei, dass sich die verschiedenen Ansätze zur Weiterentwicklung des<br />
Kriteriums RAC‐TS sowohl in den Wertebereichen als auch in der Klassifizierung der Auswirkungen<br />
unterscheiden, was eine »Abbildung« auf die Systematik der RSM nicht in allen Fällen einfach<br />
macht. Für die Abbildung in der RSM wird daher nachfolgend so verfahren, dass bei Wertebereichen<br />
immer der höchste Wert verwendet wird, der in den jeweiligen Bereich passt. Die möglichen Auswirkungen<br />
auf Grund der Unterscheidung zwischen »Personengruppe« oder »Einzelperson« werden<br />
zunächst nicht näher analysiert, sondern es wird davon ausgegangen, dass z.B. »Tod einer Einzelperson«<br />
dem »maßgebenden Schadensausmaß« (s. Tabelle 1) »Ein Todesfall« entspricht. In den<br />
nachfolgenden Abbildungen sind die »Referenzpunkte zur Kalibrierung« entsprechend der jeweiligen<br />
Vorschläge mit rotem Kreuz X markiert.<br />
Seite 33 von 47
10 -9 A B C D E F G<br />
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
8.2 Vorschlag der CER<br />
Die Abbildung des ursprünglichen Vorschlages der CER nach [2] in Form der RSM zeigt Abbildung 9.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
X<br />
X<br />
X<br />
Unfallk las se<br />
Abbildung 9: RSM und Vorschlag der CER<br />
Bei diesem Vorschlag finden die Unfallklassen B und C keine Entsprechung mehr in den Sicherheitsanforderungen.<br />
Auch wenn dadurch Befürchtungen, der Vorschlag sei für Unfälle geringeren Ausmaßes<br />
geeigneter, da keine zu konservativen Anforderungen festgelegt würden, vorgebeugt wird,<br />
erscheint dies für die Kalibrierung semi‐quantitativer Methoden nicht geeignet, da für Ereignisse,<br />
die sich überwiegend in Bereichen ohne Reisendenverkehr und bei niedrigen Geschwindigkeiten<br />
(z.B. insbesondere Rangierbetrieb) ereignen können, somit i.d.R. keine Sicherheitsanforderungen<br />
ergeben.<br />
Weiterhin ist der Unterschied zwischen den Sicherheitsanforderungen, die sich für Unfallklasse E/F<br />
und G ergeben sehr gering, da eine ungünstige Abgrenzung zwischen den Kategorien vorgenommen<br />
wurde (einmal Wertebereich mit eingeschlossenen Werten an der Grenze und einmal Wertebereich<br />
mit nicht eingeschlossenem Wert an der Grenze (»kleiner als«)).<br />
Seite 34 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
8.3 Letzter Vorschlag für 1. Revision der CSM VO<br />
Die Abbildung des im Treffen zwischen ERA und den beteiligten Sektororganisationen vorabgestimmten<br />
Vorschlages zeigt Abbildung 10.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
10 -8<br />
3 x 10 -9<br />
10 -9 A B C D E F G<br />
X<br />
X<br />
X<br />
Unfallk las se<br />
Abbildung 10: RSM und vorabgestimmter Vorschlag<br />
Im Vergleich zum Vorschlag der CER zeigt sich nur bei Unfallklasse G ein Unterschied, da die Variante<br />
mit einem Wertebereich wieder verlassen wurde. Die übrigen Anmerkungen zum Vorschlag der<br />
CER sind auch bei diesem Vorschlag zutreffend.<br />
8.4 Aktueller Vorschlag der ERA<br />
Die Abbildung des aktuellen Vorschlages der ERA nach [5] in Form der RSM zeigt Abbildung 11.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
Risk Score Matrix<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
X<br />
3 x 10 -7<br />
10 -7<br />
3 x 10 -8<br />
X<br />
10 -8<br />
3 x 10 -9<br />
10 -9 A B C D E F G<br />
Unfallk las se<br />
X<br />
Abbildung 11: RSM und aktueller Vorschlag ERA<br />
Es ergibt sich eine relativ grobe Abstufung, da vor Allem dadurch bedingt ist, dass nur drei Kategorien<br />
vorgeschlagen sind. Mit Ausnahme der Unfallklasse G sind die Anforderungen für alle Unfallklassen<br />
erhöht. Dies ist dadurch bedingt, das auch alle Ereignisarten, die zu Schwerverletzten führen<br />
Seite 35 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
können, in die höchste Kategorie (hier durch den Doppelpfeil ausgedrückt) einzuordnen sind und die<br />
Unfallklasse dementsprechend zu kalibrieren ist. Für die Unfallklassen B und C ergeben sich höhere<br />
Anforderungen, da hier im Gegensatz zum ursprünglichen Vorschlag der Wertebereich mit »kleiner<br />
als« begrenzt ist und somit in der RSM die nächstniedrigere Klasse für die Sicherheitsanforderung zu<br />
wählen ist.<br />
Problematisch erscheint bei diesem Vorschlag vor Allem die gegenüber den anderen Vorschlägen<br />
unterschiedliche Handhabung der Unterscheidung zwischen Personengruppe und Einzelperson. So<br />
ist es bereits nicht nachvollziehbar, wie ein Unfall, der eine Einzelperson betrifft zu Tod und/oder<br />
schwerer Verletzung dieser Person führen kann. Darüber hinaus wird in diesem Vorschlag der Ansatz<br />
der vergleichbaren Kritikalität zwischen Tod einer Einzelperson und vielen Schwerverletzten<br />
verlassen und der Tod einer Einzelperson geringer gewichtet. Im Sinne einer gleichmäßigen Klassenbreite<br />
zwischen den Unfallklassen müsste daher möglicherweise für die Unfallklasse D die gleiche<br />
Anforderung wie für die Unfallklassen E bis G gelten, sodass die Anforderungen weiter erhöht<br />
würden.<br />
8.5 Vergleich mit Risikoakzeptanzkriterien aus der Luftfahrt<br />
Nähere Ausführungen zu Sicherheitsanforderungen in der Luftfahrt und deren Nachweis finden sich<br />
insbesondere in dem von der EASA herausgegebenen Standard CS‐25, der Anforderungen für die<br />
Zertifizierung großer Passagierflugzeuge festlegt.<br />
In Abschn. CS 25.1309 der CS 25 wird als generelle Designregel für alle Systeme und Komponenten<br />
des Flugzeugs gefordert, dass diese für sich betrachtet und im Zusammenwirken mit anderen Systemen<br />
so beschaffen sein müssen, dass<br />
<br />
<br />
<br />
jeder katastrophale Fehlzustand äußerst unwahrscheinlich ist und nicht aus einem Einzelfehler<br />
resultieren kann,<br />
jeder gefährliche Fehlzustand äußerst selten ist und<br />
jeder größere Fehlzustand selten ist.<br />
Nähere Ausführungen zu grundsätzlichen Zusammenhängen und zum Nachweis dieser Designvorgabe<br />
sind in Abschn. AMC 25.1309 der CS 25 gegeben. Hier wird zusätzlich definiert, dass<br />
<br />
<br />
kleinere Fehlzustände wahrscheinlich sein (d.h. auftreten) dürfen und<br />
für Fehlzustände, die keinen Einfluss auf die Sicherheit haben, bestehen keine Anforderungen<br />
bezüglich deren Auftretenswahrscheinlichkeit.<br />
Für Fehlzustände ist in Abschn. AMC 25.1309 der CS 25 definiert:<br />
<br />
<br />
Katastrophal: Fehlzustände, die zu vielen Todesfällen führen können – üblicherweise verbunden<br />
mit einem Verlust des Flugzeuges (früher definiert mit: Fehlzustände, die einen sicheren<br />
Flug oder eine sichere Landung verhindern)<br />
Gefährlich: Fehlzustände, welche die Leistungsfähigkeit des Flugzeuges oder die Fähigkeit<br />
der Flugbesatzung, schwierige Betriebsbedingungen zu beherrschen, einschränken mit der<br />
Folge<br />
einer großen Reduzierung von Sicherheitsmargen oder der Funktionstüchtigkeit,<br />
körperlicher Beeinträchtigung oder erhöhter Arbeitsbelastung für die Flugbesatzung, sodass<br />
nicht sichergestellt ist, dass diese ihre Aufgeben richtig oder vollständig ausführt,<br />
schwerer oder tödlicher Verletzung einer relativ kleinen Zahl der Insassen (außer Flugbesatzung)<br />
Seite 36 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
<br />
Größer: Gefährlich: Fehlzustände, welche die Leistungsfähigkeit des Flugzeuges oder die<br />
Fähigkeit des Bordpersonals, schwierige Betriebsbedingungen zu beherrschen, einschränken<br />
mit der Folge beispielsweise<br />
einer signifikanten Reduzierung von Sicherheitsmargen oder der Funktionstüchtigkeit,<br />
einer signifikanten Erhöhung der Arbeitsbelastung für das Bordpersonal oder von Bedingungen,<br />
welche die Leistungsfähigkeit des Bordpersonals beeinträchtigen,<br />
von Komforteinschränkungen für die Flugbesatzung,<br />
von körperlicher Beeinträchtigung für Passagiere oder das Kabinenpersonal bis hin zu<br />
möglichen Verletzungen.<br />
Weiterhin wird für die Quantifizierung von Wahrscheinlichkeiten von Fehlzuständen definiert:<br />
Wahrscheinlich: durchschnittliche Wahrscheinlichkeit pro Flugstunde > 10 ‐5 .<br />
Selten: durchschnittliche Wahrscheinlichkeit pro Flugstunde < 10 ‐5 , jedoch > 10 ‐7 .<br />
Äußerst selten: durchschnittliche Wahrscheinlichkeit pro Flugstunde < 10 ‐7 , jedoch > 10 ‐9 .<br />
Äußerst unwahrscheinlich: durchschnittliche Wahrscheinlichkeit pro Flugstunde ≤ 10 ‐9 .<br />
Der bildlich dargestellte Zusammenhang zwischen Sicherheitszielen und Fehlzuständen aus Abschn.<br />
AMC 25.1309 / Bild 2 ist in Abbildung 12 wiedergegeben.<br />
Seite 37 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
Abbildung 12: Zusammenhang zwischen Sicherheitszielen und Fehlzuständen nach CS‐25<br />
Zu beachten ist hierbei, dass die Wertebereiche für quantitative Wahrscheinlichkeiten abweichend<br />
vom Text mit »
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
<br />
<br />
<br />
<br />
<br />
ungefähr 10 % davon durch Fehlzustände des Flugzeugs verursacht sind,<br />
für neu zu bauende Flugzeuge keine höhere Wahrscheinlichkeit zulässig sein sollte,<br />
somit die Wahrscheinlichkeit eines durch einen solchen Fehlzustand bedingten schweren<br />
Flugunfalles nicht größer sein darf als 1 x 10 ‐7 pro Flugstunde,<br />
ohne nähere Begründung angenommen wird, dass ungefähr 100 potenzielle Fehlzustände,<br />
die zu einem katastrophalen Ausfall führen können, in einem Flugzeug möglich sind,<br />
unter gleichmäßiger Aufteilung der zulässigen Wahrscheinlichkeit von 1 x 10 ‐7 pro Flugstunde<br />
sich für jeden Fehlzustand eine zulässige Wahrscheinlichkeit von 1 x 10 ‐9 pro Flugstunde<br />
ergibt.<br />
Die in der Luftfahrt etablierten Kategorien für Sicherheitsziele sind auf den ersten Blick identisch mit<br />
dem aktuellen Vorschlag der ERA zu RAC‐TS. Dies gilt jedoch nur für die Wertebereiche. Bezüglich<br />
der Auswirkungen bestehen gravierende Unterschiede. So wäre die Kategorie »Multiple fatalities«<br />
schon eher als weitere Abstufung anzusehen, die keine Entsprechung im ERA‐Vorschlag findet. Außerdem<br />
wird für die Kategorie »wenige Tote« ein wesentlich geringeres Sicherheitsziel gefordert als<br />
im ERA‐Vorschlag, bei dem hierfür das höchste Sicherheitsziel angesetzt werden müsste.<br />
Weiterhin gilt zu beachten, dass die Ableitung der Sicherheitsziele in der Luftfahrt keine direkte<br />
Entsprechung im Eisenbahnwesen hat, da kein Bezug zwischen Unfalldaten und zulässigen Versagensraten<br />
hergestellt wurde – allein schon deshalb, weil es derzeit keine Begründung für eine anzunehmende<br />
Zahl von zu berücksichtigenden Funktionen gibt. Hierfür müsste zunächst eine Liste erstellt<br />
werden, welche die Funktionen auf einer geeigneten Ebene benennt (z.B. analog der Funktionsliste<br />
für LST‐Anlagen in E DIN VDE V 0831‐103). Problematisch hierbei könnte allerdings sein,<br />
dass diese Annahmen bei Notwendigkeit neuer Funktionen keinen Bestand mehr haben. Da sich in<br />
der Vergangenheit gezeigt hat, dass dies für Bahnanwendungen durchaus erforderlich ist, wäre insofern<br />
auch von einer derartigen Herleitung eher abzuraten. Weiterhin besteht der Unterschied dass<br />
es zum angenommen Unfallverlauf »Verlust des Flugzeuges« (d.h. i.d.R. Tod aller bzw. der überwiegenden<br />
Zahl der Insassen) aus der Luftfahrt keine direkte Entsprechung im Eisenbahnwesen gibt, da<br />
bereits Unfälle mit mehr als 10 Toten die absolute Ausnahme darstellen.<br />
Aus dem Vergleich ergibt sich folgende Schlussfolgerung:<br />
Das derzeitige Sicherheitsziel von 10 ‐9 funktionellen Ausfällen pro Betriebsstunde in der CSM<br />
VO hat prinzipiell eine Entsprechung in der Luftfahrt – ist vor dem Hintergrund der betrachteten<br />
Auswirkungen jedoch bereits eher als konservativ anzusehen. Der aktuelle Vorschlag der ERA<br />
zur Weiterentwicklung von RAC TS ist im Vergleich zu den Sicherheitszielen in der Luftfahrt<br />
wesentlich restriktiver.<br />
8.6 Bewertung<br />
Ausgehend von der Analyse der Systematik der RSM nach E DIN VDE V 0831‐103 in Abschn. 6 sollten<br />
Risikoakzeptanzkriterien folgende Kriterien erfüllen, um die Kalibrierung semi‐quantitativer<br />
Methoden zu unterstützen:<br />
<br />
<br />
<br />
<br />
gleichmäßige Abstufung<br />
mindestens 4 Kategorien<br />
Abgrenzung der Wertebereiche unter Einschluss des jeweiligen Wertes (»kleiner gleich«)<br />
»Abdeckung« des Wertebereiches nach DIN EN 50129 bzw. Kompatibilität hierzu.<br />
Seite 39 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Bewertung der Vorschläge zur Weiterentwicklung des Kriteriums RAC‐TS<br />
In Tabelle 8 ist zusammengestellt, inwieweit diese Anforderungen bei den einzelnen Vorschlägen<br />
erfüllt sind. Außerdem ist dargestellt, ob diese Vorschläge im Vergleich zum Vorschlag der RAC Task<br />
Force der ERA weniger konservativ sind.<br />
Vorschlag<br />
gleichmäßige<br />
Abstufung<br />
Anzahl<br />
Kategorien<br />
Abgrenzung<br />
Wertebereiche<br />
kompatibel<br />
zu DIN EN<br />
50129<br />
weniger<br />
konservativ<br />
Vorschlag RAC Task<br />
Force der ERA<br />
‐ + + + n.a.<br />
Vorschlag der CER ‐ ‐ ‐ ‐ +<br />
Vorschlag für Revision<br />
der CSM VO<br />
+ ‐ ‐ ‐ +<br />
aktueller Vorschlag ERA + ‐ ‐ + ‐‐<br />
RSM nach E DIN V VDE<br />
0831‐103<br />
‐ + + + n.a.<br />
RSM ‐ Variante 1 ‐ ++ + ++ ‐<br />
RSM ‐ Variante 2 + ++ + ++ +<br />
RSM ‐ Variante 3 ‐ ++ + + ++<br />
RSM ‐ Variante 4 ‐ ++ + + ‐‐<br />
Tabelle 8: Qualitative Bewertung von Vorschlägen<br />
Erläuterung: ++ = sehr gut erfüllt, + = erfüllt, ‐ = nicht erfüllt, ‐‐ = sehr schlecht erfüllt, n.a. = nicht anwendbar<br />
Eine quantitative Bewertung der Auswirkungen verschiedener Vorschläge ist grundsätzlich auf Basis<br />
der in E DIN VDE V 0831‐103 für die exemplarisch genannten Funktionen / Ausfälle genannten Sicherheitsanforderungen<br />
möglich. In Tabelle 9 ist daher dargestellt, für wie viele Sicherheitsanforderungen<br />
sich bei den jeweiligen Vorschlägen im Vergleich restriktivere, gleiche bzw. weniger restriktive<br />
Werte ergeben.<br />
Seite 40 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐<br />
TS<br />
Vorschlag<br />
Anzahl Werte<br />
restriktiver<br />
gleich<br />
weniger<br />
restriktiv<br />
Vorschlag RAC Task<br />
Force der ERA<br />
(entspricht RSM aus E DIN VDE V 0831‐103)<br />
Vorschlag der CER 0 31 104<br />
Vorschlag für Revision<br />
der CSM VO<br />
0 31 104<br />
aktueller Vorschlag ERA 69 64 2<br />
RSM nach E DIN V VDE<br />
0831‐103<br />
(Referenz)<br />
RSM ‐ Variante 1 23 96 16<br />
RSM ‐ Variante 2 0 117 18<br />
RSM ‐ Variante 3 0 115 20<br />
RSM ‐ Variante 4 32 101 2<br />
Tabelle 9: Quantitative Bewertung von Vorschlägen<br />
Es zeigt sich, dass der aktuelle Vorschlag der ERA zu wesentlich restriktiveren Werten führt als alle<br />
anderen Vorschläge. Gleichzeitig zeigt sich, dass die Varianten 2 und 3 in diesem Vergleich prinzipiell<br />
gleichwertig sind.<br />
8.7 Schlussfolgerungen<br />
Aus der qualitativen Bewertung nach Tabelle 2 ergibt sich, dass lediglich Variante 2 alle Anforderungen<br />
erfüllt und im Übrigen der Vorschlag der RAC Task Force die qualitativen Anforderungen besser<br />
erfüllt als spätere Vorschläge.<br />
9 Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium<br />
RAC‐TS<br />
Abgeleitet aus der Analyse in Abschnitt 8 soll in diesem Abschnitt ein Vorschlag diskutiert werden,<br />
wie auf Basis der weiterentwickelten RSM nach Variante 2 Risikoakzeptanzkriterien zu definieren<br />
wären, damit sie hierzu kompatibel sind. Es sei jedoch darauf hingewiesen, dass dies ein rein methodisch‐theoretischer<br />
Vorschlag ist, der insbesondere aus den Erkenntnissen zum Zusammenhang<br />
von RAC‐TS und der Kalibrierung semi‐quantitativen Methoden zur Risikobewertung begründet ist.<br />
Für den weiteren Vorschlag wird von folgenden Prämissen ausgegangen:<br />
<br />
<br />
Für das Kriterium RAC‐TS wird eine Granularität wie in der RSM nicht benötigt bzw. ist ggf.<br />
auch nicht zweckmäßig.<br />
Daher wird daher davon ausgegangen, dass 4 Klassen erforderlich werden – wie im Vorschlag<br />
der RAC Task Force.<br />
Seite 41 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐<br />
TS<br />
<br />
<br />
<br />
Zweckmäßig erscheint eine – durch Beschränkung auf 4 Klassen zwangsläufig erforderliche<br />
– Zusammenfassung der Auswirkungen entsprechend den Unfallklassen C/D aus der RSM<br />
einerseits und den Unfallklassen E/F aus der RSM andererseits.<br />
Als höchste Anforderung bleibt »≤ 10 ‐9 /h« für die höchsten zu erwartenden Auswirkungen<br />
bestehen.<br />
Die geringste Anforderung sollte im Bereich von 10 ‐5 /h liegen, da dies eine Grenze in Tabelle<br />
A.1 der DIN EN 50129 darstellt.<br />
In Abbildung 13 ist dargestellt, wie eine Zuordnung von Klassen für ein weiterentwickeltes Kriterium<br />
RAC‐TS auf Basis der RSM nach Variante 2 aussehen könnte.<br />
Sicherheitsanforderung<br />
1/h<br />
keine<br />
10 -5<br />
3 x 10 -6<br />
10 -6<br />
3 x 10 -7<br />
10 -7<br />
X<br />
Risk Score Matrix<br />
X<br />
3 x 10 -8<br />
10 -8<br />
X<br />
3 x 10 -9<br />
10 -9 A B C D E F G<br />
Unfallk las se<br />
Abbildung 13: RSM und Kalibrierung für RAC‐TS<br />
X<br />
Entsprechend der in Abschn. 8 gewählten Darstellung bilden die roten Kreuze auch hier die »Kalibrierungspunkte«.<br />
Die mittleren Punkte sind jeweils an der Grenze zwischen zwei Unfallklassen und<br />
zwei Klassen für die Sicherheitsanforderungen dargestellt, um zu zeigen, dass hier prinzipiell ein<br />
Wertebereich abgedeckt werden muss. Anhand der blauen Linie, welche die Verbindung zwischen<br />
den Punkten für die niedrigste und die höchste Anforderung darstellt, ist ersichtlich, dass die mittleren<br />
Punkte genau auf dieser Gerade liegen und somit das Kriterium »gleichmäßige Abstufung« erfüllt<br />
ist.<br />
Um von dieser Darstellung zu einem Textvorschlag für die Definition eines weiterentwickelten Kriteriums<br />
RAC‐TS bzw. zu einer Darstellung analog der für den Vorschlag der RAC Task Force (s. Abbildung<br />
1) zu gelangen sind weitere Randbedingungen zu definieren:<br />
Auf Grund der »Zusammenfassung« der Unfallklassen C/D bzw. E/F gibt es prinzipiell folgende Varianten<br />
für die Festlegung von Werten für diese beiden Bereiche:<br />
1. oberster (d.h. weniger restriktiver) Wert, im Beispiel: 10 ‐6 /h entsprechend des Wertes für Unfallklasse<br />
C und 3 x 10 ‐8 /h entsprechend des Wertes für Unfallklasse E,<br />
2. unterster (d.h. restriktiverer) Wert, im Beispiel: 3 x 10 ‐7 /h entsprechend des Wertes für Unfallklasse<br />
D und 10 ‐8 /h entsprechend des Wertes für Unfallklasse F,<br />
3. Wertebereich, der beide Werte einschließt, im Beispiel: 3 x 10 ‐7 /h ≤ R ≤ 10 ‐6 /h und 10 ‐8 /h ≤ R ≤<br />
3 x 10 ‐8 /h; in diesem Fall schließen die Werte der Wertebereiche nicht aneinander an, wie es<br />
sonst in vergleichbaren Tabellen üblich ist (z.B. Tabelle A.1 in DIN EN 50129).<br />
Seite 42 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Aus der Analyse zu gewinnende Erkenntnisse für die Weiterentwicklung des Kriterium RAC‐<br />
TS<br />
4. Wertebereich, der erst an der Grenze (d.h. unter Ausschluss des jeweiligen Wertes) zur<br />
nächsten Klasse endet, im Beispiel: 3 x 10 ‐8 /h < R ≤ 10 ‐6 /h und 10 ‐9 /h < R ≤ 3 x 10 ‐8 /h.<br />
Bezüglich der Wertebereiche gelten die Ausführungen in Abschn. 6.2. Für die dort angesprochene<br />
wünschenswerte Festlegung, welcher Wert konkret nachzuweisen ist (analog Anforderung A27 in<br />
DIN V VDE V 0831‐101) gelten folgende Überlegungen:<br />
Vor dem Hintergrund einer gegenseitigen Anerkennung müssten immer die restriktivsten Werte für<br />
den Nachweis vorgeschrieben werden, da es dann für den Fall, dass diese Anerkennung nicht angestrebt<br />
wird, immer noch möglich ist, in den einzelnen Mitgliedsstaaten andere Werte, die innerhalb<br />
dieses Bereiches liegen, zu verwenden. Würde der weniger restriktivere Wert für die gegenseitige<br />
Anerkennung akzeptiert, könnten national strengere Werte festgelegt werden, was dem Ansatz<br />
einer gegenseitigen Anerkennung zuwiderlaufen würde. Würde national wiederum hierauf verzichtet,<br />
wäre ein Wertebereich sinnlos, da diese Variante dann der Variante 2 entspricht.<br />
Bei Variante 4 ist es im Vergleich zu Variante 3 schwieriger, einen Wert für den Nachweis festzulegen,<br />
da der restriktivste Wert im Prinzip bereits dem Wert der nächsten Klasse entspricht. Grundsätzlich<br />
möglich wäre jedoch, einen »Mittelwert« festzulegen, der innerhalb des Wertebereiches der<br />
jeweiligen Klasse liegt. Für das Beispiel wäre das dann 3 x 10 ‐7 /h und 10 ‐8 /h; diese Werte entsprechen<br />
gleichzeitig den Werten aus Variante 2.<br />
Insgesamt erscheint Variante 3 in Verbindung mit einer zu treffenden Festlegung, welcher Wert<br />
für die gegenseitige Anerkennung nachzuweisen ist, am besten geeignet.<br />
Unter Berücksichtigung der vorstehenden Ausführungen und unter Anlehnung an die tabellarische<br />
Darstellung der RAC Task Force (s. Abbildung 1) können die Erkenntnisse in folgender Darstellung<br />
zusammengefasst werden:<br />
Typischerweise erwartete Auswirkungen<br />
des unerwünschten<br />
Ereignisses<br />
Akzeptierte Häufigkeit (R) des<br />
unerwünschten Ereignisses<br />
Mehrere Todesfälle R ≤ 10 ‐9 /h<br />
Ein Todesfall und/oder mehrere<br />
Schwerverletzte<br />
Ein Schwerverletzter und/oder<br />
mehrere Leichtverletzte<br />
R ≤ 10 ‐8 /h für gegenseitige Anerkennung,<br />
ansonsten<br />
R ≤ 3 x 10 ‐8 /h<br />
R ≤ 3 x 10 ‐7 /h für gegenseitige<br />
Anerkennung, ansonsten<br />
R ≤ 10 ‐6 /h<br />
Ein Leichtverletzter R ≤ 10 ‐5 /h<br />
Tabelle 10: Möglichkeit für weiterentwickeltes Kriterium RAC‐TS<br />
Aus der Darstellung ist ersichtlich, dass im Prinzip die Aspekte aller Varianten hierbei berücksichtigt<br />
sind. Außerdem zeigt sich, dass die seinerzeit von der RAC Task Force vorgeschlagenen Werte<br />
durchaus plausibel sind, da sie sich auch aus dieser Darstellung ergeben.<br />
Seite 43 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Zusammenfassung<br />
10 Zusammenfassung<br />
In diesem Bericht wurde anhand des Beispiels der RSM aus E DIN VDE V 0831‐103 gezeigt, wie sich<br />
semi‐quantitative Methoden zur Risikoanalyse mittels des Kriteriums RAC‐TS kalibrieren lassen, um<br />
für Funktionen technischer Systeme nachvollziehbar Sicherheitsanforderungen ableiten zu können.<br />
Insofern wird auch die Notwendigkeit einheitlicher Risikoakzeptanzkriterien für technische Systeme<br />
aus dieser Sicht bestätigt.<br />
Weiterhin wurde ergänzend gezeigt, wie sich aus Anforderungen an semi‐quantitative Methoden<br />
Erkenntnisse für die Weiterentwicklung des Kriteriums RAC‐TS ableiten lassen.<br />
Seite 44 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Anhang<br />
11 Anhang<br />
11.1 Referenzen<br />
a) Rechtliche und normative Grundlagen<br />
CSM VO VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009<br />
über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung<br />
und Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe<br />
a der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates,<br />
Amtsblatt der Europäischen Union, L 108/4, 29.4.2009<br />
DIN EN 13849‐1 Sicherheit von Maschinen ‐ Sicherheitsbezogene <strong>Teil</strong>e von Steuerungen ‐<br />
<strong>Teil</strong> 1: Allgemeine Gestaltungsleitsätze, Ausgabedatum 2008‐12<br />
DIN EN 50 129<br />
DIN EN 61508‐1<br />
DIN EN 61508‐5<br />
E DIN VDE V 0831‐<br />
103<br />
CS‐25<br />
VDV‐Schrift 332<br />
Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und<br />
Datenverarbeitungssysteme – Sicherheitsrelevante elektronische Systeme<br />
für Signaltechnik, Ausgabedatum 2003‐12<br />
Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer<br />
elektronischer Systeme <strong>Teil</strong> 1: Allgemeine Anforderungen,<br />
Ausgabedatum 2011‐02<br />
Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer<br />
elektronischer Systeme <strong>Teil</strong> 5: Beispiele zur Ermittlung<br />
der Stufe der Sicherheitsintegrität (safety integrity level), Ausgabedatum<br />
2011‐02<br />
Elektrische Bahn‐Signalanlagen – Ermittlung von Sicherheitsanforderungen<br />
an technische Funktionen in der Eisenbahnsignaltechnik, Entwurf<br />
2013‐04<br />
Certification Specifications for Large Aeroplanes, Amendment 9 vom<br />
05.08.2010<br />
Sicherheitsintegritätsanforderungen für Bahnsignalanlagen bei Nichtbundeseigenen<br />
Eisenbahnen (NE)<br />
Seite 45 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Anhang<br />
b) Weiterführende Literatur<br />
[1] Bepperling, Sonja‐Lara: Validierung eines semi‐quantitativen Ansatzes zur Risikobeurteilung<br />
in der Eisenbahntechnik, Dissertation 2008<br />
[2] CER: POSITION PAPER covering the results of the CER –UIC ‘Application Exercise’ concerning<br />
the RAC ‘design criteria’ values presented in ERA draft revision recommendation for<br />
regulation 352/2009, 15.12.2011<br />
[3] EBA: Anforderungen des Brand‐ und Katastrophenschutzes an den Bau und den Betrieb<br />
von Eisenbahntunneln, Stand vom 15.08.2001.<br />
[4] ERA Safety Unit – CSM Team: Agency report on the experience with the existing regulation<br />
(EC) No 352/2009 on a common safety method on risk evaluation and assessment an on the<br />
revision of that regulation, Version 1.0 vom 13.07.2012<br />
[5] ERA Safety Unit, Management System Sector: Information note about ERA’s plan for the<br />
way forward for the DEVELOPMENT OF EXPLICIT HARMONISED RISK ACCEPTANCE CRI‐<br />
TERIA FOR FAILURES OF FUNCTIONS OF TECHNICAL SYSTEMS, Version 0.1 vom<br />
16.01.2013<br />
[6] ERA Safety Unit – RAC Task Force: Definition of RAC for failures of functions of technical<br />
systems, which are covered entirely by a technical solution, Version 3.0 vom 23.05.2011<br />
[7] ERA Safety Unit, Safety Assessment Sector: Proposal for Risk Acceptance Criteria to be<br />
included in the Scope of the Revision of Regulation 352/2009/EC, Executive Summary, Version<br />
2.0 vom 28.06.2011<br />
[8] Milius, Birgit: Konstruktion eines semi‐qualitativen Risikographen für das Eisenbahnwesen,<br />
Dissertation 2009<br />
Seite 46 von 47
AP 2100 – Semi‐quantitative Verfahren zur expliziten Risikoabschätzung<br />
Anhang<br />
11.2 Abkürzungen<br />
Abk.<br />
CCF<br />
CER<br />
CSM<br />
EASA<br />
ERA<br />
ESTW<br />
ETA<br />
ETCS<br />
FTA<br />
KV<br />
LST<br />
LZB<br />
MA<br />
RAC<br />
RAC‐TS<br />
RBC<br />
RSM<br />
RZL<br />
SAC<br />
SATLOC<br />
SIL<br />
TBV<br />
TC<br />
THR<br />
TSI<br />
UIC<br />
UNIFE<br />
VDV<br />
Langform / Erläuterung<br />
Common Cause Failure (Ausfall auf Grund einer gemeinsamen Ursache)<br />
Community of European Railway and Infrastructure Companies (Gemeinschaft der europäischen<br />
Bahnen und Infrastrukturgesellschaften)<br />
Common Safety Method<br />
European Aviation Safety Agency (Europäische Agentur für Flugsicherheit)<br />
European Railway Agency<br />
Elektronisches Stellwerk<br />
Ereignisbaumanalyse (Event Tree Analysis)<br />
European Train Control System (Europäisches Zugsteuerungs‐ und Zugbeeinflussungssystem)<br />
Fault Tree Analysis (Fehlzustandsbaumanalyse)<br />
Kombinierter Verkehr<br />
Leit‐ und Sicherungstechnik<br />
Linienzugbeeinflussung<br />
Bereitstellung des Fahrauftrags (Funktionalität)<br />
Risk Acceptance Criteria (Risikoakzeptanzkriterien)<br />
Risk Acceptance Criterion for Technical Systems (Risikoakzaptanzkriterium für technische<br />
Systeme)<br />
Radio Block Center (ETCS‐Streckenzentrale)<br />
Risk Score Matrix<br />
Rechnergestützter Zugleitbetrieb<br />
Safety‐related Application Condition (Sicherheitsbezogene Anwendungsbedingung)<br />
Satellite based operation and management of local low traffic lines<br />
Safety Integrity Level (Sicherheitsanforderungsstufe)<br />
Tunnelbegegnungsverbot<br />
Überwachung des Fahrauftrags (Funktionalität)<br />
Tolerable Hazard Rate (tolerierbare Gefährdungsrate)<br />
Technische Spezifikation Interoperabilität<br />
Union internationale des chemins de fer (Internationaler Eisenbahnverband)<br />
Union des Industries Ferroviaires Européennes (Verband der europäischen Eisenbahnindustrie)<br />
Verband Deutscher Verkehrsunternehmen<br />
Seite 47 von 47
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Unabhängige Bewertung<br />
06.08.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger: TÜV Rheinland Consulting GmbH
AP 2100 – Unabhängige Bewertung<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
22.05.2013 Brinkmann (PINTSCH V01 Erstellung<br />
BAMAG)<br />
21.06.2013 Brinkmann (PINTSCH<br />
BAMAG)<br />
V02 Vorbereitung der Einarbeitung der Kommentare<br />
und Ergänzungen von Hr. Braband – SIE-<br />
MENS, Hr. Halbekat – DB AG, Fr. Schmitt-<br />
Bender – THALES, Hr.Schwenke – DLR.<br />
31.07.2013 Brinkmann (PINTSCH<br />
BAMAG)<br />
06.08.2013 Brinkmann (PINTSCH<br />
BAMAG)<br />
V03 Einarbeitung der Kommentare und Ergänzungen<br />
von Hr. Braband – SIEMENS, Hr. Halbekat<br />
– DB AG, Fr. Schmitt-Bender – THALES,<br />
Hr.Schwenke – DLR.<br />
V1.0 Einarbeitung der Ergebnisse der finalen Abstimmung<br />
zum Bericht beim Arbeitstreffen der<br />
AG 2 am 05. und 06.08.2013 (inhaltliche und<br />
redaktionelle Ergänzungen und Änderungen in<br />
den Kapiteln 4, 5, 6 und 9).<br />
Seite 2 von 18
AP 2100 – Unabhängige Bewertung<br />
Inhaltsverzeichnis<br />
1 Einleitung ......................................................................................................................... 4<br />
2 Rechtliche und normative Vorgaben ............................................................................. 4<br />
2.1 Vorgaben aus der GSM VO RB .................................................................................. 4<br />
2.2 Vorgaben der Interoperabilitätsrichtlinie .................................................................. 7<br />
2.3 Vorgaben der DIN EN ISO/IEC 17020 ......................................................................... 9<br />
3 Aktuelle Umsetzung von „Sachverständiger Bewertung“ im Sektor der deutschen<br />
Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB)................... 10<br />
4 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB<br />
[GsmVoRb] im Sektor der deutschen Leit- und Sicherungstechnik LST der<br />
Eisenbahnen des Bundes (EdB) .................................................................................. 11<br />
5 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB Revision<br />
[GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik LST der<br />
Eisenbahnen des Bundes (EdB) .................................................................................. 13<br />
6 Unterschiedliche Rahmenbedingungen und Aufgabenstellungen für<br />
Bewertungsstellen nach GSM VO RB [GsmVoRb] und GSM VO RB Revision<br />
[GsmVoRbRev] .............................................................................................................. 14<br />
7 Kompetenzanforderungen zur Risikobewertung ........................................................ 15<br />
8 Vorgaben zum Sicherheitsbewertungsbericht ........................................................... 16<br />
9 Zusammenfassung ........................................................................................................ 16<br />
10 Anhang ........................................................................................................................... 16<br />
10.1 Referenzen ................................................................................................................. 16<br />
10.2 Abkürzungen ............................................................................................................. 17<br />
Seite 3 von 18
AP 2100 – Unabhängige Bewertung<br />
1 Einleitung<br />
In der VO (EG) Nr. 352/2009, kurz GSM VO RB [GsmVoRb], wird für nach Artikel 4 definierte<br />
„Signifikante Änderungen“ des Eisenbahnsystems, die Dokumentation eines nach Artikel 5<br />
definierten „Risikomanagementverfahren“ gefordert, welches einer nach Artikel 6 definierten<br />
„Unabhängigen Bewertung“ durch eine nach Artikel 3 - Unterpunkt 14 definierten „Bewertungsstelle“<br />
zu unterziehen ist.<br />
In diesem Dokument wird gezeigt, wie die Umsetzung einer derartigen „Unabhängigen Bewertung“<br />
<br />
<br />
<br />
<br />
im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes<br />
(EdB),<br />
für technische, betriebliche oder organisatorische „Signifikante Änderungen“,<br />
außerhalb der nationalen Sicherheitsbehörde EBA,<br />
auf Basis der zum Zeitpunkt der Ausgabe des vorliegenden <strong>Teil</strong>berichts gültigen GSM<br />
VO RB [GsmVoRb] sowie auch<br />
auf Basis der am 03.05.2013 als Amtsblatt der Europäischen Union veröffentlichen<br />
GSM VO RB Revision [GsmVoRbRev], die ab dem 21.05.2015 die aktuell gültige<br />
GSM VO RB [GsmVoRb] ersetzen wird,<br />
erfolgen kann.<br />
2 Rechtliche und normative Vorgaben<br />
2.1 Vorgaben aus der GSM VO RB<br />
Die GSM VO RB [GsmVoRb] macht nachfolgende relevante Vorgaben (V) zum Thema „Unabhängigen<br />
Bewertung“ durch eine „Bewertungsstelle“ innerhalb des Anwendungsbereichs<br />
eines Vorschlagenden:<br />
V.2.1.1 Artikel 2, Anwendungsbereich, Absatz (2)<br />
Betreffen die signifikanten Änderungen strukturelle <strong>Teil</strong>systeme, die der Richtlinie 2008/57/EG unterliegen, findet die<br />
CSM für die Risikoevaluierung und -bewertung Anwendung,<br />
a) wenn die relevanten technischen Spezifikationen für die Interoperabilität (TSI) eine Risikobewertung verlangen;<br />
in diesem Fall ist in der betreffenden TSI gegebenenfalls anzugeben, welche <strong>Teil</strong>e der CSM Anwendung<br />
finden;<br />
b) damit im Einklang mit Artikel 15 Absatz 1 der Richtlinie 2008/57/EG eine sichere Integration der strukturellen<br />
<strong>Teil</strong>systeme, für die die TSI gelten, in ein bestehendes System gewährleistet werden kann.<br />
V.2.1.2 Artikel 3, Begriffsbestimmungen, Absatz 11.<br />
„Vorschlagender“: die Eisenbahnunternehmen oder Infrastrukturbetreiber im Rahmen der Risikokontrollmaßnahmen, die<br />
sie nach Artikel 4 der Richtlinie 2004/49/EG zu treffen haben, die Auftraggeber oder Hersteller, die gemäß Artikel 18 Absatz<br />
1 der Richtlinie 2008/57/EG bei einer benannten Stelle das EG-Prüfverfahren durchführen lassen, oder die Antragsteller,<br />
die eine Genehmigung für die Inbetriebnahme von Fahrzeugen beantragen.<br />
V.2.1.3 Artikel 3, Begriffsbestimmungen, Absatz 14.<br />
„Bewertungsstelle“: die unabhängige, fachkundige Person, Organisation oder Stelle, die eine Untersuchung vornimmt, um<br />
auf der Grundlage von Nachweisen zu beurteilen, ob ein System die gestellten Sicherheitsanforderungen erfüllt.<br />
V.2.1.4 Artikel 5, Risikomanagementverfahren, Absatz (3).<br />
Der Vorschlagende gewährleistet das Management der von Zulieferern und Dienstleistern, einschließlich ihrer Subunternehmer,<br />
ausgehenden Risiken. Zu diesem Zweck kann er verlangen, dass Zulieferer und Dienstleister, einschließlich ihrer<br />
Subunternehmer, an dem in Anhang I beschriebenen Risikomanagementverfahren mitwirken.<br />
V.2.1.5 Artikel 6, Unabhängige Bewertung, Absatz (1)<br />
Die ordnungsgemäße Anwendung des in Anhang I beschriebenen Risikomanagementverfahrens und die Ergebnisse dieser<br />
Anwendung werden von einer Stelle, die den in Anhang II genannten Kriterien entspricht, einer unabhängigen Bewertung<br />
unterzogen. Soweit die zuständige Bewertungsstelle noch nicht in gemeinschaftlichen oder nationalen Rechtsvorschriften<br />
festgelegt ist, benennt der Vorschlagende selbst eine Bewertungsstelle, bei der es sich um eine andere Organisation oder<br />
auch um eine interne Abteilung handeln kann.<br />
Seite 4 von 18
AP 2100 – Unabhängige Bewertung<br />
V.2.1.6<br />
ANHANG I, 1. ALLGEMEINE GRUNDSÄTZE FÜR DAS RISIKOMANAGEMENTVERFAHREN<br />
1.1.2. Dieses iterative Risikomanagementverfahren<br />
V.2.1.7<br />
b) wird einer unabhängigen Bewertung durch eine oder mehrere Bewertungsstellen unterzogen.<br />
ANHANG II, VON DEN BEWERTUNGSSTELLEN ZU ERFÜLLENDE KRITERIEN<br />
1. Die Bewertungsstelle darf weder unmittelbar noch als Bevollmächtigte an der Planung, der Herstellung, dem Bau, dem<br />
Vertrieb, dem Betrieb oder der Instandhaltung des zu bewertenden Systems beteiligt sein. Ein Austausch technischer Informationen<br />
zwischen der Stelle und den beteiligten Akteuren wird hierdurch nicht ausgeschlossen.<br />
2. Die Bewertungsstelle muss die Bewertung mit größter Gewissenhaftigkeit und höchster Fachkompetenz durchführen<br />
und darf keinerlei Druck oder Einflussnahme - vor allem finanzieller Art - auf ihr Urteil oder die Ergebnisse ihrer Bewertungen,<br />
insbesondere durch Personen oder Personengruppen, die von den Bewertungen betroffen sind, ausgesetzt sein.<br />
3. Die Bewertungsstelle muss über die Mittel für die angemessene Erfüllung der technischen und administrativen Aufgaben<br />
verfügen, die mit der Durchführung der Bewertungen verbunden sind, und Zugang zu den für außergewöhnliche Bewertungen<br />
erforderlichen Geräten haben.<br />
4. Das mit den Bewertungen beauftragte Personal muss über folgende Qualifikationen verfügen:<br />
- eine gute technische und berufliche Ausbildung;<br />
- eine ausreichende Kenntnis der Vorschriften für die von ihm durchgeführten Bewertungen und eine ausreichende<br />
praktische Erfahrung mit solchen Bewertungen;<br />
- die erforderliche Befähigung zur Erstellung der Sicherheitsbewertungsberichte, die die formellen Schlussfolgerungen<br />
der durchgeführten Bewertungen darstellen.<br />
5. Die Unabhängigkeit des mit den unabhängigen Bewertungen beauftragten Personals muss gewährleistet sein. Die Vergütung<br />
der Mitarbeiter darf sich weder nach der Zahl der von ihm durchgeführten Bewertungen noch nach den Ergebnissen<br />
dieser Bewertungen richten.<br />
6. Handelt es sich bei der Bewertungsstelle um eine externe Stelle außerhalb der Organisation des Vorschlagenden, muss<br />
die betreffende Stelle über eine Haftpflichtversicherung verfügen, es sei denn, dass der Mitgliedstaat aufgrund der nationalen<br />
Rechtsvorschriften haftet oder die Bewertungen selbst durchführt.<br />
7. Handelt es sich bei der Bewertungsstelle um eine externe Stelle außerhalb der Organisation des Vorschlagenden, ist ihr<br />
Personal (außer gegenüber den zuständigen Verwaltungsbehörden des Staates, in dem es seine Tätigkeit ausübt) in Bezug<br />
auf alle Informationen, von denen es bei der Durchführung seiner Aufgaben im Rahmen dieser Verordnung Kenntnis erlangt,<br />
durch das Berufsgeheimnis gebunden.<br />
Die GSM VO RB Revision [GsmVoRbRev] macht nachfolgende relevante Vorgaben (V) zum<br />
Thema „Unabhängigen Bewertung“ durch eine „Bewertungsstelle“ innerhalb des Anwendungsbereichs<br />
eines Vorschlagenden:<br />
V.2.1.8 Ziffer (19)<br />
Die Verordnung (EG) Nr. 352/2009 ist hinfällig geworden und sollte daher durch diese Verordnung ersetzt werden.<br />
V.2.1.9 Ziffer (20)<br />
Angesichts der neuen mit der vorliegenden Verordnung eingeführten Anforderungen in Bezug auf Akkreditierung und<br />
Anerkennung der Bewertungsstelle sollte die Anwendung dieser Verordnung aufgeschoben werden, damit die betroffenen<br />
Akteure genügend Zeit haben, dieses neue gemeinsame Konzept einzuführen und umzusetzen.<br />
V.2.1.10 Artikel 2, Anwendungsbereich, Absatz 3<br />
Diese Verordnung gilt auch für strukturelle <strong>Teil</strong>systeme, auf die die Richtlinie 2008/57/EG Anwendung findet,<br />
a) wenn die relevanten technischen Spezifikationen für die Interoperabilität (TSI) eine Risikobewertung verlangen;<br />
in diesem Fall ist in der betreffenden TSI gegebenenfalls anzugeben, welche <strong>Teil</strong>e dieser Verordnung<br />
Anwendung finden;<br />
b) wenn die Änderung im Sinne von Artikel 4 Absatz 2 signifikant ist, wird das in Artikel 5 genannte Risikomanagementverfahren<br />
im Rahmen der Inbetriebnahme der strukturellen <strong>Teil</strong>systeme angewandt, damit im<br />
Einklang mit Artikel 15 Absatz 1 der Richtlinie 2008/57/EG ihre sichere Integration in ein bestehendes System<br />
gewährleistet werden kann.<br />
V.2.1.11 Artikel 3, Begriffsbestimmungen, Absatz 11.<br />
„Vorschlagender“ einen der folgenden Rechtsträger:<br />
a) ein Eisenbahnunternehmen oder einen Infrastrukturbetreiber, das oder der Maßnahmen zur Risikobeherrschung<br />
nach Artikel 4 der Richtlinie 2004/49/EG durchführt;<br />
Seite 5 von 18
AP 2100 – Unabhängige Bewertung<br />
c) einen Auftraggeber oder Hersteller, der gemäß Artikel 18 Absatz 1 der Richtlinie 2008/57/EG bei einer benannten<br />
Stelle das EG-Prüfverfahren durchführen lässt oder eine benannte Stelle nach Artikel 17 Absatz 3<br />
der genannten Richtlinie beauftragt.<br />
V.2.1.12 Artikel 3, Begriffsbestimmungen, Absatz 14.<br />
„Bewertungsstelle“ die unabhängige, fachkundige externe oder interne natürliche Person, Organisation oder Stelle, die eine<br />
Untersuchung vornimmt, um auf der Grundlage von Nachweisen zu beurteilen, ob ein System die gestellten Sicherheitsanforderungen<br />
erfüllt.<br />
V.2.1.13 Artikel 5, Risikomanagementverfahren, Absatz 2.<br />
Der Vorschlagende gewährleistet, dass auch mit Risiken, die von seinen Zulieferern und Dienstleistern, einschließlich ihrer<br />
Subunternehmer, ausgehen, gemäß dieser Verordnung umgegangen wird. Zu diesem Zweck kann er durch vertragliche<br />
Vereinbarungen verlangen, dass seine Zulieferer und Dienstleister, einschließlich ihrer Subunternehmer, an dem in Anhang<br />
I dargelegten Risikomanagementverfahren mitwirken.<br />
V.2.1.14 Artikel 6, Unabhängige Bewertung, Absatz 1.<br />
Eine Bewertungsstelle führt eine unabhängige Bewertung der Eignung sowohl der Anwendung des in Anhang I dargelegten<br />
Risikomanagementverfahrens als auch seiner Ergebnisse durch. Diese Bewertungsstelle muss die in Anhang II aufgeführten<br />
Kriterien erfüllen. Ist noch keine Bewertungsstelle durch bestehende Rechtsvorschriften der Union oder nationale<br />
Rechtsvorschriften ausgewiesen, benennt der Vorschlagende selbst eine Bewertungsstelle im frühest angemessenen Stadium<br />
des Risikomanagementverfahrens.<br />
V.2.1.15 Artikel 7, Akkreditierung/Anerkennung der Bewertungsstelle, Absatz 1<br />
Die in Artikel 6 genannte Bewertungsstelle muss<br />
a) entweder durch die in Artikel 13 Absatz 1 genannte nationale Akkreditierungsstelle anhand der in Anhang II<br />
festgelegten Kriterien akkreditiert sein oder<br />
b) durch die in Artikel 13 Absatz 1 genannte Anerkennungsstelle anhand der in Anhang II festgelegten Kriterien<br />
anerkannt sein.<br />
V.2.1.16 Artikel 8, Akzeptieren der Akkreditierung/Anerkennung, Absatz 1 und 2<br />
1. Bei der Erteilung der Sicherheitsbescheinigung oder der Sicherheitsgenehmigung gemäß der Verordnung (EU) Nr.<br />
1158/2010 der Kommission (ABl. L 326 vom 10.12.2010, S. 11) oder der Verordnung (EU) Nr. 1169/2010 der Kommission<br />
(ABl. L 327 vom 11.12.2010, S. 13) akzeptiert eine nationale Sicherheitsbehörde die Akkreditierung oder Anerkennung<br />
durch einen Mitgliedstaat im Einklang mit Artikel 7 als Nachweis der Fähigkeit des Eisenbahnunternehmens oder<br />
Infrastrukturbetreibers, als Bewertungsstelle zu agieren.<br />
2. Bei der Erteilung der Bescheinigung für eine für die Instandhaltung zuständige Stelle gemäß der Verordnung (EU) Nr.<br />
445/2011 akzeptiert die Zertifizierungsstelle eine solche Akkreditierung oder Anerkennung durch einen Mitgliedstaat als<br />
Nachweis der Fähigkeit der für die Instandhaltung zuständigen Stelle, als Bewertungsstelle zu agieren.<br />
V.2.1.17 Artikel 9, Arten der Anerkennung der Bewertungsstelle, Absatz 1<br />
Folgende Arten der Anerkennung der Bewertungsstelle sind möglich:<br />
a) Anerkennung einer für die Instandhaltung zuständigen Stelle, einer Organisation oder eines <strong>Teil</strong>s davon oder<br />
einer natürlichen Person durch den Mitgliedstaat;<br />
b) Anerkennung der Fähigkeit einer Organisation oder eines <strong>Teil</strong>s davon oder einer natürlichen Person, eine unabhängige<br />
Bewertung durch Bewertung und Überwachung des Sicherheitsmanagementssystems eines Eisenbahnunternehmens<br />
oder Infrastrukturbetreibers durchzuführen, durch die nationale Sicherheitsbehörde;<br />
c) wenn die nationale Sicherheitsbehörde als Zertifizierungsstelle im Einklang mit Artikel 10 der Verordnung<br />
(EU) Nr. 445/2011 agiert, Anerkennung der Fähigkeit einer Organisation oder eines <strong>Teil</strong>s davon oder einer<br />
natürlichen Person, eine unabhängige Bewertung durch Bewertung und Überwachung des Instandhaltungssystems<br />
einer für die Instandhaltung zuständigen Stelle durchzuführen, durch die nationale Sicherheitsbehörde;<br />
d) Anerkennung der Fähigkeit einer für die Instandhaltung zuständigen Stelle, einer Organisation oder eines<br />
<strong>Teil</strong>s davon oder einer natürlichen Person, eine unabhängige Bewertung durchzuführen, durch eine vom<br />
Mitgliedstaat benannte Anerkennungsstelle.<br />
V.2.1.18 Artikel 13, Bereitstellung von Informationen für die Agentur, Absatz 1 bis 3<br />
1. Gegebenenfalls unterrichten die Mitgliedstaaten spätestens am 21. Mai 2015 die Agentur darüber, welche Stelle bzw.<br />
Stellen für die Zwecke dieser Verordnung ihre nationale Akkreditierungsstelle und/oder Anerkennungsstelle bzw. Anerkennungsstellen<br />
ist/sind, sowie über die Bewertungsstellen, die sie gemäß Artikel 9 Absatz 1 Buchstabe a anerkannt haben.<br />
Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden von der<br />
Agentur veröffentlicht.<br />
2. Spätestens am 21. Mai 2015 unterrichtet die nationale Akkreditierungsstelle die Agentur über die akkreditierten Bewertungsstellen<br />
sowie den Zuständigkeitsbereich, für den diese Bewertungsstellen gemäß Anhang II Nummern 2 und 3 ak-<br />
Seite 6 von 18
AP 2100 – Unabhängige Bewertung<br />
kreditiert sind. Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden<br />
von der Agentur veröffentlicht.<br />
3. Spätestens am 21. Mai 2015 unterrichtet die Anerkennungsstelle die Agentur über die anerkannten Bewertungsstellen<br />
sowie den Zuständigkeitsbereich, für den diese Bewertungsstellen gemäß Anhang II Nummern 2 und 3 anerkannt werden.<br />
Außerdem melden sie Änderungen dieses Sachverhalts innerhalb eines Monats. Diese Informationen werden von der<br />
Agentur veröffentlicht.<br />
V.2.1.19 Artikel 19, Aufhebung, Absatz 1<br />
Die Verordnung (EG) Nr. 352/2009 wird mit Wirkung vom 21. Mai 2015 aufgehoben.<br />
V.2.1.20 Artikel 20, Inkrafttreten und Geltung, Absatz 1 und 2<br />
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.<br />
Sie gilt ab dem 21. Mai 2015.<br />
V.2.1.21 ANHANG II, KRITERIEN FÜR DIE AKKREDITIERUNG ODER ANERKENNUNG DER BEWERTUNGSSTELLE<br />
1. Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 und ihrer späteren Änderungen. Bei<br />
der Ausführung der in dieser Norm definierten Inspektionstätigkeit legt die Bewertungsstelle ihr sachverständiges Urteilsvermögen<br />
zugrunde. Sie erfüllt die allgemeinen Kriterien hinsichtlich Kompetenz und Unabhängigkeit in dieser Norm<br />
sowie die folgenden speziellen Kompetenzkriterien:<br />
(a) Kompetenz auf dem Gebiet des Risikomanagements: Kenntnisse und Erfahrungen auf dem Gebiet der Standardmethoden<br />
für die Sicherheitsanalyse und der einschlägigen Normen;<br />
(b) alle einschlägigen Fähigkeiten zur Bewertung der von der Änderung betroffenen <strong>Teil</strong>e des Eisenbahnsystems;<br />
(c) Kompetenz auf dem Gebiet der korrekten Anwendung von Sicherheits- und Qualitätsmanagementsystemen<br />
oder der Prüfung von Managementsystemen.<br />
2. In Analogie zu Artikel 28 der Richtlinie 2008/57/EG über die Meldung der benannten Stellen wird die Bewertungsstelle<br />
für die verschiedenen Zuständigkeitsbereiche innerhalb des Eisenbahnsystems oder von <strong>Teil</strong>en davon, für die eine grundlegende<br />
Sicherheitsanforderung besteht, einschließlich des Zuständigkeitsbereichs Betrieb und Instandhaltung des Eisenbahnsystems,<br />
akkreditiert oder anerkannt.<br />
3. Die Bewertungsstelle wird für die Bewertung der generellen Konsistenz des Risikomanagements und der sicheren Integration<br />
des Systems, das der Bewertung unterzogen wird, in das Eisenbahnsystem als Ganzes akkreditiert oder anerkannt.<br />
Hierfür ist die Kompetenz der Bewertungsstelle zur Überprüfung folgender Aspekte erforderlich:<br />
(a) Organisation, das heißt die notwendigen Vorkehrungen für eine koordinierte Vorgehensweise bei der Verwirklichung<br />
von Systemsicherheit durch ein gemeinsames Verständnis und eine einheitliche Anwendung<br />
von Risikokontrollmaßnahmen für <strong>Teil</strong>systeme;<br />
(b) Methodik, das heißt die Bewertung der Methoden und Ressourcen verschiedener Akteure zur Unterstützung<br />
der Sicherheit auf <strong>Teil</strong>system- oder Systemebene, und<br />
(c) technische Aspekte, die für die Bewertung der Relevanz und der Vollständigkeit von Risikobewertungen<br />
und des Sicherheitsniveaus für das System als Ganzes notwendig sind.<br />
4. Das Bewertungsgremium kann für einen, mehrere oder alle der unter den Nummern 2 und 3 aufgeführten Zuständigkeitsbereiche<br />
akkreditiert oder anerkannt werden.<br />
V.2.1.22 ANHANG III, SICHERHEITSBEWERTUNGSBERICHT DER BEWERTUNGSSTELLE<br />
Der Sicherheitsbewertungsbericht der Bewertungsstelle enthält zumindest die folgenden Informationen:<br />
a) Angaben zur Bewertungsstelle;<br />
b) den unabhängigen Bewertungsplan;<br />
c) den Gegenstandsbereich der unabhängigen Bewertung sowie ihre Grenzen;<br />
d) die Ergebnisse der unabhängigen Bewertung, insbesondere:<br />
i) ausführliche Angaben zu den unabhängigen Bewertungstätigkeiten, mit denen die Einhaltung der Bestimmungen<br />
der vorliegenden Verordnung überprüft worden ist;<br />
ii) festgestellte Verstöße gegen die Bestimmungen der vorliegenden Verordnung und Empfehlungen der<br />
Bewertungsstelle;<br />
e) die Schlussfolgerungen der unabhängigen Bewertung.<br />
2.2 Vorgaben der Interoperabilitätsrichtlinie<br />
Am 08.04.2011 wurde als Amtsblatt der Europäischen Union die Empfehlung 2011/217/EU<br />
[IntOpRlIbgEmpf] der Kommission vom 29. März 2011 zur Genehmigung der Inbetriebnahme<br />
Seite 7 von 18
AP 2100 – Unabhängige Bewertung<br />
von strukturellen <strong>Teil</strong>systemen und Fahrzeugen gemäß der Richtlinie 2008/57/EG [IntOpRl]<br />
(„Interoperabilitätsrichtlinie“) des Europäischen Parlaments und des Rates veröffentlicht, die<br />
für die „Unabhängige Bewertung“ durch eine „Bewertungsstelle“ von signifikanten Änderungen<br />
struktureller <strong>Teil</strong>systeme, die der Richtlinie 2008/57/EG [IntOpRl] unterliegen (siehe Vorgaben<br />
V.2.1.1 und V.2.1.10), nachfolgend aufgeführte relevante Vorgaben (V) im Rahmen von<br />
Empfehlungen macht (Anmerkung: Die Empfehlung 2011/217/EU [IntOpRlIbgEmpf] wurde<br />
als DV29 im RISC der ERA verabschiedet):<br />
V.2.2.1 Kapitel 5.2.1, Allgemeine Grundsätze, Absatz 7<br />
Aus einer allgemeinen Perspektive regelt die Richtlinie 2008/57/EG die technischen Merkmale (vorwiegend Konstruktion,<br />
Produktion und Endabnahme) der <strong>Teil</strong>systeme und Fahrzeuge sowie den Prozess der Genehmigung ihrer Inbetriebnahme,<br />
und die Richtlinie 2004/49/EG enthält Regelungen in Bezug auf die Stellen, die diese nutzen, betreiben und in Stand halten<br />
(siehe nachfolgendes Diagramm).<br />
Erläuterungen zur obigen Abbildung:<br />
- NNTV“ bezeichnet „gemäß Artikel 17 notifizierte nationale technische Vorschriften“, schließt jedoch auch<br />
Vorschriften für offene Punkte, Ausnahmen und erforderlichenfalls Sonderfälle ein.<br />
- „RB gemäß GSM“ bedeutet „Risikobewertung gemäß den gemeinsamen Sicherheitsmethoden“ und bezieht<br />
sich auf die Aspekte der technischen Kompatibilität und sicheren Integration, die im Hinblick auf die<br />
grundlegenden Anforderungen relevant sind, aber nicht von TSI oder NNTV erfasst werden.<br />
V.2.2.2 Kapitel 8.9, Prüfstelle im Rahmen der GSM zur RB (GSM-PS), Absatz 1<br />
Eine GSM-Prüfstelle ist wie in der GSM zur Risikobewertung beschrieben an der Prüfung der sicheren Integration, soweit<br />
nach Artikel 15 Absatz 1 der Richtlinie 2008/57/EG notwendig, beteiligt.<br />
Anmerkung: Zum Zeitpunkt der Ausgabe des vorliegenden <strong>Teil</strong>berichts gibt der Prozess der<br />
Vorgabe V.2.2.1 der Empfehlung 2011/217/EU [IntOpRlIbgEmpf], als „Rechtsakte ohne Gesetzescharakter“,<br />
in Deutschland nicht den aktuellen Stand der Diskussion wieder. Zumindest<br />
wird für den Bereich Fahrzeugzulassung das Zusammenspiel zwischen Hersteller und Betreiber<br />
bei generellen (generischen) Genehmigungen von Plattformen (Authorisation for Placing<br />
on the Market, APM) oder speziellen (spezifischen) Genehmigungen der Inbetriebnahme<br />
(Authorisation for Placing into Service, APS) differenzierter diskutiert.<br />
Seite 8 von 18
AP 2100 – Unabhängige Bewertung<br />
2.3 Vorgaben der DIN EN ISO/IEC 17020<br />
Gemäß Vorgabe V.2.1.21 fordert die GSM VO RB Revision [GsmVoRbRev] unter Absatz 1 –<br />
Zitat Anfang – Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 – Zitat Ende. Damit<br />
sind die anwendbaren normativen Anforderungen der DIN EN ISO/IEC 17020 [DinEnIsoIec17020]<br />
gleichzeitig Vorgaben für eine „Unabhängige Bewertung“ von signifikanten<br />
Änderungen durch eine „Bewertungsstelle“ nach GSM VO RB Revision [GsmVoRbRev] sowie<br />
für den Aufbau, die Anerkennung oder Akkreditierung solcher Bewertungsstellen. Um in<br />
den nachfolgenden Kapiteln die verschiedenen Möglichkeiten der Umsetzung von „Unabhängigen<br />
Bewertungen“ durch „Bewertungsstellen“ diskutieren zu können, sind nachfolgende<br />
Vorgaben (V) der DIN EN ISO/IEC 17020 [DinEnIsoIec17020] beispielhaft aufgeführt:<br />
V.2.3.1 Kapitel, Einleitung, Absatz 1 bis 4<br />
Diese Internationale Norm wurde mit dem Ziel erarbeitet, Vertrauen in Stellen, die Inspektionen durchführen, zu fördern.<br />
Inspektionsstellen führen im Auftrag von Privatkunden, von ihren Muttergesellschaften oder von Behörden Bewertungen<br />
durch mit dem Ziel, Informationen über die Konformität inspizierter Gegenstände mit Vorschriften, Normen, Spezifikationen,<br />
Inspektionsprogrammen oder Verträgen zu liefern. Inspektionsparameter schließen Fragen zur Quantität, Qualität,<br />
Sicherheit, Zweckmäßigkeit sowie fortdauernden Einhaltung der Sicherheit von in Betrieb befindlichen Anlagen oder Systemen<br />
ein. Diese Internationale Norm harmonisiert die allgemeinen Anforderungen, die diese Stellen erfüllen müssen,<br />
damit ihre Dienstleistungen von den Auftraggebern und Aufsichtsbehörden akzeptiert werden.<br />
Diese Internationale Norm behandelt die Tätigkeiten von Inspektionsstellen, deren Arbeit die Prüfung von Materialien,<br />
Produkten, Installationen, Anlagen, Prozessen, Arbeitsabläufen oder Dienstleistungen einschließen kann sowie die Bestimmung<br />
ihrer Konformität mit den Anforderungen und der nachfolgenden Berichterstattung über die Ergebnisse aus diesen<br />
Tätigkeiten an die Auftraggeber und, soweit erforderlich, an die Behörden. Die Inspektion kann alle Phasen im Rahmen<br />
der Lebensdauer dieser Inspektionsgegenstände betreffen, einschließlich der Entwicklungsphase. Solche Arbeiten erfordern<br />
in der Regel sachverständige Beurteilung bei der Ausführung von Inspektionen, insbesondere bei der Bewertung<br />
der Konformität mit allgemeinen Anforderungen.<br />
Diese Internationale Norm kann als Anforderungsdokument für die Akkreditierung oder für die Begutachtung unter<br />
Gleichrangigen oder für andere Begutachtungen verwendet werden.<br />
V.2.3.2 Kapitel 1, Anwendungsbereich, Absatz 1 bis 3<br />
Diese Internationale Norm enthält Anforderungen an die Kompetenz von Stellen, die Inspektionen durchführen, sowie an<br />
die Unparteilichkeit und Konsistenz ihrer Inspektionstätigkeiten.<br />
Sie gilt für Inspektionsstellen des Typs A, B oder C, wie in dieser Internationalen Norm festgelegt, und ist auf jede Stufe<br />
der Inspektion anwendbar.<br />
ANMERKUNG: Stufen der Inspektion beinhalten Entwicklungsphase, Baumusterprüfung, Erstinspektion, Inspektionen<br />
während des Betriebs oder Überwachung.<br />
V.2.3.3 Kapitel 3, Begriffe, Nummer 3.1<br />
Inspektion: Untersuchung eines Produkts , eines Prozesses , einer Dienstleistung oder einer Installation oder deren Entwicklung<br />
und Feststellung ihrer Übereinstimmung mit bestimmten Anforderungen oder, basierend auf einer sachverständigen<br />
Beurteilung, mit allgemeinen Anforderungen.<br />
V.2.3.4 Kapitel 4.1, Unparteilichkeit und Unabhängigkeit, Nummer 4.1.6<br />
Die Inspektionsstelle muss bis zu dem Grad unabhängig sein, der im Hinblick auf die Bedingungen, unter denen sie ihre<br />
Dienstleistungen ausführt, erforderlich ist. In Abhängigkeit von diesen Bedingungen muss sie die im Anhang A festgelegten<br />
Mindestanforderungen für eine der möglichen Typen A, B oder C erfüllen.<br />
a) Inspektionsstelle vom Typ A: Eine Stelle, die als unabhängiger Dritter von der ersten (Anbieter) oder zweiten<br />
Seite (Anwender) Inspektionen anbietet.<br />
b) Inspektionsstelle vom Typ B: Eine Stelle, die als erste (Anbieter) oder zweite Seite (Anwender) Inspektionen<br />
anbietet, und die einen abgetrennten und identifizierbaren <strong>Teil</strong> einer Organisation bildet.<br />
c) Inspektionsstelle vom Typ C: Eine Stelle, die als erste (Anbieter) oder zweite Seite (Anwender) Inspektionen<br />
anbietet, und die einen identifizierbaren, aber nicht notwendigerweise abgetrennten <strong>Teil</strong> einer Organisation<br />
bildet.<br />
V.2.3.5 Kapitel 6.1, Personal, Nummer 6.1.2<br />
Um Art, Bereich und Umfang ihrer Inspektionstätigkeiten ausführen zu können, muss die Inspektionsstelle Personal beschäftigen<br />
oder Verträge mit einer ausreichenden Zahl von Personen haben, die über die erforderlichen Kompetenzen verfügen<br />
sowie erforderlichenfalls die Eignung zur sachverständigen Beurteilung besitzen.<br />
Seite 9 von 18
AP 2100 – Unabhängige Bewertung<br />
3 Aktuelle Umsetzung von „Sachverständiger Bewertung“ im Sektor der<br />
deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes<br />
(EdB)<br />
Zum Zeitpunkt der Ausgabe des vorliegenden <strong>Teil</strong>berichts erfolgt jede „Sachverständige Bewertung“<br />
im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des<br />
Bundes (EdB) maßgeblich auf Grundlage der Anerkennung der Sachverständigenkompetenz<br />
durch die deutsche Nationale Sicherheitsbehörde (NSB) EBA. Dafür hat das EBA Richtlinien<br />
(RL) mit behördlicher Außenwirkung und Verwaltungsvorschriften (VV) mit behördlicher Innenwirkung<br />
erlassen.<br />
Die „Richtlinie über die fachtechnischen Voraussetzungen und die Anerkennung von Gutachtern<br />
und Prüfern für Signal-, Telekommunikations- und Elektrotechnische Anlagen“, kurz RL<br />
PRÜF-STE [RlPrfSte], regelt die unterschiedlichen Arten von Sachverständigen, die Voraussetzungen<br />
und Verfahren der Anerkennung sowie die „Sachverständigen Inhalte“ nach Sachund<br />
<strong>Teil</strong>gebieten getrennt. Ergänzend dazu regelt die „Verwaltungsvorschrift für die Anerkennung<br />
und die Arbeitsweise von Prüfleitstellen für Sicherungsanlagen“, kurz VV PLS<br />
[VvPls], die Anerkennung und Arbeitsweise von Prüfleitstellen (PLS) mit der Befugnis zu<br />
Gutachter- und Prüftätigkeiten in Betrieben, in denen ein Qualitätsmanagementsystem nach<br />
DIN EN ISO 9001 [DinEnIso9001] vorhanden ist und die Anforderungen nach DIN EN<br />
ISO/IEC 17020 [DinEnIsoIec17020] an eine Inspektionsstelle vom Typ B gemäß Vorgabe<br />
V.2.3.4, Nummer 4.1.6, Buchstabe b) erfüllt werden.<br />
Die Unterscheidung der Arten von Sachverständigen gemäß RL PRÜF-STE [RlPrfSte] erfolgt<br />
in<br />
„Prüfer für Planungen“,<br />
„Prüfer für Abnahmen“ und<br />
„Gutachter für Typzulassungen“.<br />
Dabei können die Sachverständigen als Einzelpersonen<br />
<br />
<br />
Selbständige,<br />
Mitarbeiter in Planungs- / Ingenieurbüros,<br />
Mitarbeiter in technischen Überwachungsvereinen,<br />
Mitarbeiter einer Eisenbahn des Bundes oder<br />
Mitarbeiter in Industriebetrieben der Elektroindustrie<br />
sein.<br />
Die Anerkennungsverfahren von Sachverständigen nach RL PRÜF-STE [RlPrfSte] basieren,<br />
über den Nachweis allgemeiner Anerkennungsvoraussetzungen hinaus, maßgeblich auf dem<br />
Nachweis der Kenntnis der „Sachverständigen Inhalte“ als fachspezifische „Besondere<br />
Sachkunde„ in den einzelnen Sach- und <strong>Teil</strong>gebieten. Dabei setzt sich der Nachweis aus<br />
dem Nachweis des Erwerbs fachspezifischer, praktischer Erfahrung in geeigneten<br />
Projekten,<br />
<br />
dem Nachweis des Besuchs geeigneter, anerkannter, fachspezifischer Lehrveranstaltungen<br />
sowie in Einzelfällen aus<br />
dem Nachweis der erfolgreichen <strong>Teil</strong>nahme an fachspezifischen Prüfungsgesprächen<br />
bei den zuständigen Stellen der Nationalen Sicherheitsbehörde (NSB) EBA<br />
zusammen.<br />
Seite 10 von 18
AP 2100 – Unabhängige Bewertung<br />
Die Unterscheidung der Arten von Sachverständigen gemäß VV PLS [VvPls] ist identisch zu<br />
der oben Beschriebenen nach RL PRÜF-STE [RlPrfSte]. Klassifiziert man zusätzlich die<br />
nach RL PRÜF-STE [RlPrfSte] anerkannten „Sachverständigen als Einzelpersonen“ in die<br />
nach DIN EN ISO/IEC 17020 [DinEnIsoIec17020] gemäß Vorgabe V.2.3.4, Nummer 4.1.6 möglichen<br />
„Seiten“<br />
<br />
Erste Seite (Anbieter / Hersteller): Mitarbeiter in Industriebetrieben der Elektroindustrie,<br />
Zweite Seite (Anwender / Betreiber): Mitarbeiter einer Eisenbahn des Bundes und<br />
Dritte Seite (Unabhängiger Dritter): Selbständige, Mitarbeiter in Planungs- / Ingenieurbüros<br />
und Mitarbeiter in technischen Überwachungsvereinen,<br />
die Inspektionen durchführen können, und berücksichtigt die Tatsache, dass die Eisenbahnen<br />
des Bundes aktuell nur in einzelnen Bereichen ein Qualitätsmanagementsystem (QMS)<br />
nach DIN EN ISO 9001 [DinEnIso9001] eingeführt haben, so ergibt sich die Schlussfolgerung,<br />
dass Sachverständige gemäß VV PLS [VvPls] Einzelpersonen der Ersten Seite (Anbieter<br />
/ Hersteller) oder zweiten Seite (Anwender / Betreiber) als Mitarbeiter in Industriebetrieben<br />
der Elektroindustrie oder einer Eisenbahn des Bundes sein dürfen und können (Anmerkung:<br />
bei Einrichtung einer PLS nach VV PLS bei einer EdB ohne zertifiziertes QMS nach<br />
ISO 9001 entscheidet die Nationalen Sicherheitsbehörde (NSB) EBA im Einzelfall, ob das<br />
Sicherheitsmanagementsystem (SMS) der jeweiligen EdB ein äquivalenter Ersatz für das<br />
fehlende QMS nach ISO 9001 ist).<br />
Aktuell erfolgen die „Sachverständigen Bewertungen“ der „Sachverständigen Einzelpersonen“<br />
in den Prüfleitstellen (PLS) der Industriebetriebe der Elektroindustrie als Konformitätsnachweise<br />
für die Erfüllung der Anforderungen an die Produkte der jeweiligen Betriebe in<br />
den Planungs-, Abnahme- und Typzulassungsverfahren der Eisenbahnen des Bundes und<br />
der Nationalen Sicherheitsbehörde (NSB) EBA. Zusätzlich erbringen Sachverständige in<br />
Prüfleitstellen (PLS) Nachweise für die „Technische Kompatibilität“ und „Sichere Integration“<br />
für die strukturellen <strong>Teil</strong>systeme ihrer Betriebe zusammen mit den jeweils beauftragten Benannten<br />
Stellen gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe V.2.2.1 der Empfehlung<br />
2011/217/EU [IntOpRlIbgEmpf].<br />
Zusätzlich zur Anerkennung der Prüfleitstellen (PLS) und ihrer „Sachverständigen Mitarbeiter“<br />
durch die Nationale Sicherheitsbehörde (NSB) EBA, ist ein <strong>Teil</strong> der Prüfleitstellen (PLS)<br />
der Industriebetriebe der Elektroindustrie als Inspektionsstelle des Typs B gemäß DIN EN<br />
ISO/IEC 17020 [DinEnIsoIec17020] durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert.<br />
Die Akkreditierung bezieht sich dabei auf den Nachweis der Konformität der Organisation<br />
der Inspektionsstelle mit den anwendbaren Anforderungen der DIN EN ISO/IEC<br />
17020 [DinEnIsoIec17020] sowie auf den Nachweis der Kenntnis der erforderlichen „Sachverständigen<br />
Inhalte“ für die „Sachverständigen Mitarbeiter“ der Inspektionsstelle.<br />
4 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB<br />
[GsmVoRb] im Sektor der deutschen Leit- und Sicherungstechnik LST der<br />
Eisenbahnen des Bundes (EdB)<br />
Die in Kapitel 3 beschriebene aktuelle Umsetzung von „Sachverständiger Bewertung“ im<br />
Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB)<br />
ist generell dafür geeignet die gemäß Vorgabe V.2.1.5 „Unabhängige Bewertung“ nach GSM<br />
VO RB [GsmVoRb] zu leisten. Dafür müssten die in Kapitel 3 beschriebenen Anerkennungsund<br />
Akkreditierungsverfahren um eine „Unabhängige Bewertung“ nach GSM VO RB [Gsm-<br />
VoRb] erweitert werden, welche die Anforderungen<br />
<br />
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ um die Vorgaben<br />
V.2.1.7, Punkt 1 bis 3 und 5 bis 7, sowie die Anforderungen<br />
Seite 11 von 18
AP 2100 – Unabhängige Bewertung<br />
an den Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen<br />
Einzelpersonen“ um die Qualifikationsanforderungen gemäß Vorgabe<br />
V.2.1.7, Punkt 4,<br />
entsprechend ergänzt.<br />
Zusätzlich erlauben die Anforderungen der GSM VO RB [GsmVoRb] „implizit“, d.h. sie<br />
schließen „explizit“ nicht aus, andere mögliche Anerkennungs- oder Akkreditierungsarten von<br />
„Unabhängiger Bewertung“, falls der Nachweis der Erfüllung der oben aufgeführten Anforderungen<br />
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ und der<br />
Kenntnis der „Sachverständigen Inhalte“ erbracht werden kann. Diese sind z.B.<br />
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde<br />
(NSB) EBA im Rahmen der Bewertung und Überwachung des Sicherheitsmanagementsystems<br />
(SMS) einer Eisenbahn des Bundes (EdB),<br />
die direkte Anerkennung einer Bewertungsstelle durch die Bundesrepublik Deutschland<br />
oder<br />
die direkte Akkreditierung einer Bewertungsstelle durch die Deutsche Akkreditierungsstelle<br />
(DAkkS).<br />
Damit könnten die „Sachverständigen Einzelpersonen“, in all den oben beschriebenen Arten<br />
und Organisationseinheiten von Sachverständigen, das „Risikomanagementverfahren“ gemäß<br />
Artikel 5 der GSM VO RB [GsmVoRb] des Vorschlagenden gemäß Vorgabe V.2.1.2 einer<br />
„Unabhängigen Bewertung“ gemäß Vorgabe V.2.1.5 unterziehen oder einer solchen „Unabhängigen<br />
Bewertung“ nach Vorgabe V.2.1.4 und V.2.1.6 zuarbeiten.<br />
Im Falle der „Unabhängigen Bewertung“ von „Risikomanagementverfahren“ zu „Signifikanten<br />
Änderungen struktureller <strong>Teil</strong>systeme, die der Richtlinie 2008/57/EG [IntOpRl] unterliegen“,<br />
könnten die „Sachverständigen Einzelpersonen“, innerhalb ihrer jeweiligen Organisationseinheiten,<br />
als „Prüfstelle im Rahmen der GSM zur RB (GSM-PS)“ gemäß Vorgabe V.2.2.2 an<br />
Nachweisen für die „Technische Kompatibilität“ und „Sichere Integration“ für die strukturellen<br />
<strong>Teil</strong>systeme gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe V.2.2.1 der Empfehlung<br />
2011/217/EU [IntOpRlIbgEmpf] mitarbeiten.<br />
Zum Zeitpunkt der Ausgabe des vorliegenden <strong>Teil</strong>berichts, was gleichbedeutend ist mit dem<br />
Jahre 1 nach vollem Inkrafttreten der europäischen Rechtsverordnung GSM VO RB [Gsm-<br />
VoRb], die keinerlei rechtlichen Umsetzung in Deutschland bedarf, da sie direkte Gesetzeskraft<br />
besitzt, gibt es keine Anerkennungs- und Akkreditierungsverfahren der deutschen Nationalen<br />
Sicherheitsbehörde (NSB) EBA oder der Deutschen Akkreditierungsstelle (DAkkS),<br />
welche die „Unabhängige Bewertung“ gemäß Vorgabe V.2.1.5 in Deutschland regeln. Damit<br />
gilt für die Festlegung einer „Bewertungsstelle“ gemäß Vorgabe V.2.1.3 in Deutschland gemäß<br />
Vorgabe V.2.1.5<br />
<br />
Soweit die zuständige Bewertungsstelle noch nicht in gemeinschaftlichen oder nationalen Rechtsvorschriften festgelegt<br />
ist, benennt der Vorschlagende selbst eine Bewertungsstelle, bei der es sich um eine andere Organisation oder auch um eine<br />
interne Abteilung handeln kann.<br />
Letzteres besagt jedoch nichts über die Rechtsgültigkeit der „Unabhängigen Bewertung“ einer<br />
so festgelegten „Bewertungsstelle“.<br />
Anmerkung: In Vorgabe V.2.1.5 wird ein Vorbehalt formuliert, dass mögliche europäische oder<br />
nationale Vorgaben die Auswahl einer Bewertungsstelle einschränken könnten. Dabei bleibt<br />
bisher völlig offen, was die möglichen Kriterien für eine Einschränkung sein könnten.<br />
Seite 12 von 18
AP 2100 – Unabhängige Bewertung<br />
5 Mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB<br />
Revision [GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik<br />
LST der Eisenbahnen des Bundes (EdB)<br />
Die mögliche Umsetzung von „Unabhängiger Bewertung“ gemäß GSM VO RB Revision<br />
[GsmVoRbRev] im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen<br />
des Bundes (EdB) kann in gleicher Art und Weise erfolgen, wie die unter Kapitel 4 beschriebene<br />
„mögliche Umsetzung nach GSM VO RB [GsmVoRb]“ und damit generell als Erweiterung<br />
der unter Kapitel 3 beschriebenen „Umsetzung von Sachverständiger Bewertung“.<br />
Dafür müssten die in Kapitel 3 beschriebenen Anerkennungs- und Akkreditierungsverfahren<br />
um eine „Unabhängige Bewertung“ nach GSM VO RB Revision [GsmVoRbRev] erweitert<br />
werden, welche die Anforderungen<br />
<br />
an die Organisationseinheiten der „Sachverständigen Einzelpersonen“ um die Vorgaben<br />
V.2.1.21, Punkt 1 bis 4, sowie die Anforderungen<br />
an den Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen<br />
Einzelpersonen“ um die Qualifikationsanforderungen gemäß Vorgabe<br />
V.2.1.21, Punkt 1 und 3, jeweils Buchstabe (a) bis (c),<br />
entsprechend ergänzt.<br />
Zusätzliche erlauben die Anforderungen der GSM VO RB Revision [GsmVoRbRev] gemäß<br />
Vorgaben V.2.1.16 und V.2.1.17 „explizit“ die nachfolgend aufgeführten anderen möglichen Anerkennungsarten<br />
von „Unabhängiger Bewertung“:<br />
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde<br />
(NSB) EBA im Rahmen der Bewertung und Überwachung des Sicherheitsmanagementsystems<br />
(SMS) einer Eisenbahn des Bundes (EdB),<br />
die Anerkennung einer Bewertungsstelle durch die Nationale Sicherheitsbehörde<br />
(NSB) EBA im Rahmen der Bewertung und Überwachung des Instandhaltungssystems<br />
einer für die Instandhaltung zuständigen Stelle einer Eisenbahn des Bundes<br />
(EdB),<br />
die direkte Anerkennung einer Bewertungsstelle durch die Bundesrepublik Deutschland<br />
oder<br />
die direkte Anerkennung einer Bewertungsstelle durch eine von der Bundesrepublik<br />
Deutschland benannten Anerkennungsstelle.<br />
Als Unterschied zur der in Kapitel 4 beschriebenen „möglichen Umsetzung nach GSM VO<br />
RB [GsmVoRb]“, sei darauf hingewiesen, dass die GSM VO RB Revision [GsmVoRbRev]<br />
gemäß Vorgabe V.2.1.21, Punkt 1 die Anforderung erhebt, dass<br />
Die Bewertungsstelle erfüllt alle Anforderungen der Norm ISO/IEC 17020:2012 und ihrer späteren Änderungen.<br />
was auf Grundlage der Vorgabe V.2.3.5<br />
<br />
Um Art, Bereich und Umfang ihrer Inspektionstätigkeiten ausführen zu können, muss die Inspektionsstelle Personal beschäftigen<br />
oder Verträge mit einer ausreichenden Zahl von Personen haben, die über die erforderlichen Kompetenzen verfügen<br />
sowie erforderlichenfalls die Eignung zur sachverständigen Beurteilung besitzen.<br />
der DIN EN ISO/IEC 17020 [DinEnIsoIec17020] die Arbeit von „Selbstständigen Sachverständigen<br />
Einzelpersonen“ als „Bewertungsstelle“ gemäß Vorgabe V.2.1.12 ausschließt.<br />
Zusätzlich erlaubt die GSM VO RB Revision [GsmVoRbRev] gemäß Vorgaben V.2.1.21, Punkt 2<br />
und 4 explizit eine Aufteilung von Anerkennungen und Akkreditierungen über Zuständigkeitsbereiche,<br />
was die GSM VO RB [GsmVoRb] nur implizit spezifiziert, jedoch explizit nicht ausschließt.<br />
Seite 13 von 18
AP 2100 – Unabhängige Bewertung<br />
Darüber hinaus regelt die GSM VO RB Revision [GsmVoRbRev] gemäß Vorgaben V.2.1.15,<br />
V.2.1.17 und V.2.1.18 in allen EU-Mitgliedsstaaten die Akkreditierung und Anerkennung von „Bewertungsstellen“<br />
gemäß Vorgabe V.2.1.12, was die unter Kapitel 4 beschriebene aktuelle<br />
Rechtsunsicherheit in Deutschland zum Thema bis spätestens zur Aufhebung der GSM VO<br />
RB [GsmVoRb] und ausschließlicher Gültigkeit der GSM VO RB Revision [GsmVoRbRev]<br />
am 21. Mai 2015 gemäß Vorgaben V.2.1.19 und V.2.1.20 beseitigen wird.<br />
Anmerkung: Gemäß Vorgaben V.2.1.8, V.2.1.9, V.2.1.19 und V.2.1.20 (Präambeltext als europäische<br />
Intention) ist die GSM VO RB [GsmVoRb] mit Datum 23.05.2013 hinfällig (überholt, durch die<br />
neue Version ersetzt) geworden (Datum des Inkrafttretens der GSM VO RB Revision [Gsm-<br />
VoRbRev], 20 Tage nach deren Veröffentlichung im Amtsblatt der Europäischen Union am<br />
03.05.2013) und sollte durch GSM VO RB Revision [GsmVoRbRev] ersetzt werden. Jedoch<br />
sollte Angesichts der mit der GSM VO RB Revision [GsmVoRbRev] neu eingeführten Anforderungen<br />
in Bezug auf Akkreditierung und Anerkennung der Bewertungsstelle die Anwendung<br />
der GSM VO RB Revision [GsmVoRbRev] aufgeschoben werden (spätestens bis zur<br />
Aufhebung der GSM VO RB [GsmVoRb] am 21.05.2015), damit die betroffenen Akteure genügend<br />
Zeit haben, die neuen Konzepte gemeinsam einzuführen und umzusetzen.<br />
6 Unterschiedliche Rahmenbedingungen und Aufgabenstellungen für Bewertungsstellen<br />
nach GSM VO RB [GsmVoRb] und GSM VO RB Revision<br />
[GsmVoRbRev]<br />
Wie bereits in Kapitel 5 ausgeführt, erlaubt die GSM VO RB Revision [GsmVoRbRev] gemäß<br />
Vorgaben V.2.1.21, Punkt 2 und 4 explizit eine Aufteilung von Anerkennungen und Akkreditierungen<br />
als „Bewertungsstelle“ gemäß Vorgabe V.2.1.12 über Zuständigkeitsbereiche, was die GSM<br />
VO RB [GsmVoRb] nur implizit spezifiziert, jedoch explizit nicht ausschließt.<br />
Diese Aufteilung kann sich<br />
(1) innerhalb eines Eisenbahnunternehmens oder Infrastrukturbetreibers (Zweite Seite,<br />
d.h. Anwender, Betreiber, Eisenbahnen des Bundes)<br />
auf die „Unabhängige Bewertung“<br />
o von Tatbeständen in Planungsunterlagen,<br />
o an realisierten Anlagen oder<br />
o der Korrektheit methodischer Vorgehensweisen und der Plausibilität<br />
von Ergebnissen<br />
beziehen, wobei die „Unabhängigen Bewertungen“ im Rahmen von<br />
o aufsichtsrechtlichen Verfahren,<br />
o Verfahren zur Unterstützung der Absicherung der Sicherheitsverantwortung<br />
des Eisenbahnunternehmens oder Infrastrukturbetreibers,<br />
o nicht genehmigungspflichtigen Verfahren oder<br />
o genehmigungspflichtigen Verfahren<br />
• bei generellen (generischen) Genehmigungen (Authorisation for<br />
Placing on the Market, APM) oder<br />
• bei speziellen (spezifischen) Genehmigungen der Inbetriebnahme<br />
(Authorisation for Placing into Service, APS)<br />
erfolgen können.<br />
(2) innerhalb eines Zulieferers (Erste Seite, d.h. Anbieter, Hersteller, Industriebetrieb<br />
der Elektroindustrie)<br />
auf die „Unabhängige Bewertung“<br />
Seite 14 von 18
AP 2100 – Unabhängige Bewertung<br />
o der Produkte des jeweiligen Zulieferers in den Verfahren und „Unabhängigen<br />
Bewertungen“ des jeweiligen Eisenbahnunternehmens oder<br />
Infrastrukturbetreibers unter Punkt (1), sowie<br />
o von „Risikomanagementverfahren“ zu „Signifikanten Änderungen“<br />
struktureller <strong>Teil</strong>systeme des jeweiligen Zulieferers, die der Richtlinie<br />
2008/57/EG [IntOpRl] unterliegen, als „Prüfstelle im Rahmen der GSM<br />
zur RB (GSM-PS)“ gemäß Vorgabe V.2.2.2 an Nachweisen für die<br />
„Technische Kompatibilität“ und „Sichere Integration“ für die strukturellen<br />
<strong>Teil</strong>systeme gemäß Richtlinie 2008/57/EG [IntOpRl] und Vorgabe<br />
V.2.2.1 der Empfehlung 2011/217/EU [IntOpRlIbgEmpf]<br />
beziehen.<br />
Bei der Argumentation möglicher Umsetzungen von „Unabhängigen Bewertungen“ gemäß<br />
Kapitel 4 und 5 müssen die jeweiligen Anforderungen an die Bewertungsstellen und deren<br />
Personal im Kontext der unterschiedlichen Rahmenbedingungen und Aufgabenstellungen<br />
der oben aufgeführten Aufzählungspunkte (1) und (2) bewertet werden.<br />
Generell ist dabei zu unterscheiden zwischen der Anerkennung oder Akkreditierung von<br />
<br />
<br />
wobei<br />
Stellen und Organisationen sowie<br />
der Sachkunde von Einzelpersonen,<br />
sich die Anforderungen der GSM VO RB [GsmVoRb] und GSM VO RB Revision<br />
[GsmVoRbRev] direkt an die Bewertungsstelle richten, jedoch<br />
<br />
die Erfüllung der Anforderungen an die geeignete Kompetenz des ausführenden Personals<br />
aus den Prozessen der Bewertungsstelle nachzuweisen ist.<br />
7 Kompetenzanforderungen zur Risikobewertung<br />
Wie unter Kapitel 4 und 5 bereits ausgeführt, ergeben sich aus der GSM VO RB [GsmVoRb]<br />
und GSM VO RB Revision [GsmVoRbRev] die nachfolgend aufgeführten Qualifikationsanforderungen<br />
zum Nachweis der Kenntnis der „Sachverständigen Inhalte“ durch die „Sachverständigen<br />
Einzelpersonen“ der Bewertungsstellen (Kompetenzanforderungen an die Sachkunde<br />
von Einzelpersonen):<br />
GSM VO RB [GsmVoRb]: Qualifikationsanforderungen gemäß Vorgabe V.2.1.7, Punkt 4<br />
GSM VO RB Revision [GsmVoRbRev]: Qualifikationsanforderungen gemäß Vorgabe<br />
V.2.1.21, Punkt 1 und 3, jeweils Buchstabe (a) bis (c)<br />
Je nach Rahmenbedingung und Aufgabenstellung der jeweiligen Bewertungsstelle gemäß<br />
Kapitel 6 müssen dabei die „Sachverständigen Einzelpersonen“ Kenntnisse und Erfahrungen<br />
in einem, mehreren oder allen der nachfolgend aufgeführten Sachthemen besitzen (Anmerkung:<br />
Die in alphabetischer Reihenfolge nachfolgend aufgeführte Liste der Sachthemen ist<br />
beispielhaft und erhebt nicht den Anspruch auf Vollständigkeit):<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Deterministische Methoden: z.B. Einbindung von Regelwerken<br />
Gesetzliche Grundlagen: z.B. AEG, CSM VO, EBO<br />
Grundlegende Konzepte der Risikobewertung: z.B. CCF, THR<br />
Methoden zur Analyse von Referenzsystemen<br />
Methoden zur Beurteilung von Ereignisstatistiken<br />
Methoden zur Beurteilung von Simulationsdaten<br />
Methoden zur Bewertung menschlicher Zuverlässigkeit<br />
Seite 15 von 18
AP 2100 – Unabhängige Bewertung<br />
<br />
Methoden zur Gefährdungsidentifikation: z.B. Checklisten, FMEA, HAZOP<br />
Methoden zur Signifikanzbewertung<br />
Methoden zur Systemdefinition: z.B. Kontextdiagramme, Use Cases<br />
Quantitative Methoden zur Risikobewertung: z.B. ETA, FTA, Markov<br />
Risikoakzeptanzkriterien: z.B. allgemein vertretbares Risiko, MGS, RAC-TS<br />
Semi-quantitative Methoden zur Risikobewertung: z.B. DIN V 0831-103, EN 5012x,<br />
VDV 331<br />
<br />
Umgang mit Auflagen und sicherheitsrelevanten Anwendungsvorschriften<br />
8 Vorgaben zum Sicherheitsbewertungsbericht<br />
Gemäß Vorgabe V.2.1.22 stellt die GSM VO RB Revision [GsmVoRbRev] Anforderungen an<br />
die minimalen Inhalte eines Sicherheitsbewertungsberichts, wohingegen die GSM VO RB<br />
[GsmVoRb] keine solchen Anforderungen erhebt.<br />
Mit der Vorgabe V.2.1.22 ist nicht das Dokumentationsformat eines Sicherheitsbewertungsberichts<br />
festgeschrieben, sondern lediglich dessen minimal notwendige Bewertungsinhalte (Informationen).<br />
Solcherart Informationen sind aber auch, in vergleichbarer Art und Weise, in<br />
jedem Gutachten oder jeder Inspektion einer „Sachverständigen Bewertung“ im Sektor der<br />
deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) gemäß Kapitel<br />
3 dokumentiert (z.B. Begutachtungsplan/bericht nach DIN EN 50129 oder Inspektionsplan/bericht<br />
nach DIN EN ISO/IEC 17020 [DinEnIsoIec17020]).<br />
Damit lässt sich die Dokumentation eines Gutachtens oder einer Inspektion einer „Sachverständigen<br />
Bewertung“ im Sektor der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen<br />
des Bundes (EdB) gemäß Kapitel 3 als Grundlage für das Dokumentationsformat<br />
eines Sicherheitsbewertungsberichts gemäß GSM VO RB [GsmVoRb] oder GSM VO RB<br />
Revision [GsmVoRbRev] nutzen, wobei im Falle einer Bewertung nach GSM VO RB Revision<br />
[GsmVoRbRev], die Dokumentation der minimal notwendigen Bewertungsinhalte gemäß<br />
Vorgabe V.2.1.22 sicherzustellen ist.<br />
9 Zusammenfassung<br />
Im vorliegenden Bericht ist eine mögliche Umsetzung der „Unabhängigen Bewertung“ gemäß<br />
Artikel 6 der GSM VO RB [GsmVoRb] und GSM VO RB Revision [GsmVoRbRev] im Sektor<br />
der deutschen Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) beschrieben,<br />
die zeigt, dass diese mögliche Umsetzung als Erweiterung der aktuell in Deutschland<br />
bestehenden Umsetzung von „Sachverständiger Bewertung“ im Sektor der deutschen<br />
Leit- und Sicherungstechnik LST der Eisenbahnen des Bundes (EdB) erfolgen kann, welche<br />
bereits heute schon mittels Anerkennung und Akkreditierung legalisiert ist.<br />
Zusätzlich sind Kompetenzanforderungen zur Risikobewertung beispielhaft zusammengestellt<br />
sowie ein mögliches Dokumentationsformat für einen Sicherheitsbewertungsbericht und<br />
dessen notwendige Inhalte beschrieben.<br />
10 Anhang<br />
10.1 Referenzen<br />
[DinEnIso9001]<br />
DIN EN ISO 9001, Qualitätsmanagementsysteme – Anforderungen,<br />
Dezember 2008, Berichtigung 1, Dezember 2009<br />
[DinEnIsoIec17020] DIN EN ISO/IEC 17020, Konformitätsbewertung - Anforderungen an<br />
den Betrieb verschiedener Typen von Stellen, die Inspektionen<br />
durchführen, Juli 2012<br />
[GsmVoRb] VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24.<br />
Seite 16 von 18
AP 2100 – Unabhängige Bewertung<br />
[GsmVoRbRev]<br />
[IntOpRl]<br />
[IntOpRlIbgEmpf]<br />
[RlPrfSte]<br />
[VvPls]<br />
April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken gemäß Artikel<br />
6 Absatz 3 Buchstabe a der Richtlinie 2004/49/EG des Europäischen<br />
Parlaments und des Rates<br />
DURCHFÜHRUNGSVERORDNUNG (EU) Nr. 402/2013 DER<br />
KOMMISSION vom 30. April 2013 über die gemeinsame Sicherheitsmethode<br />
für die Evaluierung und Bewertung von Risiken und<br />
zur Aufhebung der Verordnung (EG) Nr. 352/2009<br />
RICHTLINIE 2008/57/EG DES EUROPÄISCHEN PARLAMENTS<br />
UND DES RATES vom 17. Juni 2008 über die Interoperabilität des<br />
Eisenbahnsystems in der Gemeinschaft<br />
EMPFEHLUNG 2011/217/EU DER KOMMISSION vom 29. März<br />
2011 zur Genehmigung der Inbetriebnahme von strukturellen <strong>Teil</strong>systemen<br />
und Fahrzeugen gemäß der Richtlinie 2008/57/EG des<br />
Europäischen Parlaments und des Rates<br />
Eisenbahn-Bundesamt, Referat 22, Richtlinie über die fachtechnischen<br />
Voraussetzungen und die Anerkennung von Gutachtern und<br />
Prüfern für Signal-, Telekommunikations- und Elektrotechnische Anlagen,<br />
PRÜF-STE, Ausgabe 03, Gültig ab 01.03.2012<br />
Eisenbahn-Bundesamt, Referat 22, Vorläufige Verwaltungsvorschrift<br />
für die Anerkennung und die Arbeitsweise von Prüfleitstellen für Sicherungsanlagen<br />
(VV PLS), Ausgabe 01, Gültig ab 01.09.2007<br />
10.2 Abkürzungen<br />
Abk. Langform<br />
AEG Allgemeines Eisenbahngesetz<br />
APM Authorisation for Placing on the Market<br />
APS Authorisation for Placing into Service<br />
AsBo/PS Assessment Body / Prüfstelle<br />
CCF Common Cause Failure<br />
CSM/GSM Common Safety Method / Gemeinsame Sicherheitsmethode<br />
DAkkS Deutsche Akkreditierungsstelle<br />
DeBo/BBS Designated Body / Benannte Beauftragte Stelle<br />
EBA Eisenbahn-Bundesamt<br />
EBO Eisenbahn-Bau- und Betriebsordnung<br />
EdB Eisenbahnen des Bundes<br />
ERA European Railway Agency<br />
ETA Event Tree Analysis<br />
FMEA Failure Mode and Effect Analysis<br />
FTA Fault Tree Analysis<br />
HAZOP Hazard and Operability study<br />
LST Leit- und Sicherungstechnik<br />
Seite 17 von 18
AP 2100 – Unabhängige Bewertung<br />
MGS<br />
NNTV<br />
NoBo/BS<br />
NSB<br />
PLS<br />
QMS<br />
RAC-TS<br />
RA/RB<br />
REG/VO<br />
RISC<br />
RL<br />
SMS<br />
THR<br />
TSI<br />
VV<br />
Mindestens Gleiche Sicherheit<br />
Notifizierte Nationale Technische Vorschriften<br />
Notified Body / Benannte Stelle<br />
Nationale Sicherheitsbehörde<br />
Prüfleitstelle<br />
Qualitätsmanagementsystem<br />
Risk Assessment Criteria for Technical Systems<br />
Risk Assessment / Risikobewertung<br />
Regulation / Verordnung<br />
Railway Interoperability and Safety Committee<br />
Richtlinie<br />
Sicherheitsmanagementsystem<br />
Tolerable Hazard Rate<br />
Technische Spezifikation Interoperabilität<br />
Verwaltungsvorschrift<br />
Seite 18 von 18
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
Einführung in die "CSM-VO"<br />
(EU-Verordnung Nr. 402/2013)<br />
Ort / Datum einsetzen<br />
Autor (optional)
Zielsetzung dieser Schulung<br />
Die Schulung dient der Information über den Inhalt der CSM-VO<br />
402/2013. Sie hat nicht das Ziel einer allgemeinen Behandlung von<br />
sicherheitstechnischen Methoden, auf denen die CSM-VO 402/2013<br />
teilweise basiert. Derartige Grundkenntnisse werden vorausgesetzt.<br />
Die Schulung besteht aus 2 <strong>Teil</strong>en:<br />
<strong>Teil</strong> 1: Managementinformation (Folien 1 - 12)<br />
<strong>Teil</strong> 2: Information für Anwender der CSM-VO (Folien 13 – 56)<br />
Einführg. CSM-VO, Version 1.0 Folie 2
Auf nachfolgenden Folien abkürzend<br />
meist nur „CSM-VO“ genannt<br />
Entstehung / Bedeutung der CSM-VO (402/2013) (1)<br />
Erarbeitet durch ERA (European Railway Agency) als erste von mehreren<br />
CSM´s (Common Safety Methods).<br />
In Deutschland vereinfacht "die CSM-VO" genannt, genauer wäre<br />
die europäisch übliche Bezeichnung "CSM-RA" (RA = Risk Assessment).<br />
Hintergrund: Infrastrukturbetreiber (IB´s) und Eisenbahnunternehmen<br />
(EiU´s) müssen Sicherheitsmanagementsystem anwenden, aufgeteilt in<br />
Sicherheit des Betriebs,<br />
CSM-VO<br />
Sicherheit der Wartung<br />
Sicherheit im Falle von Änderungen am vorhandenen System<br />
Die CSM-VO 402/2013 ist eine EU-Verordnung (engl.: EU regulation)<br />
-> unmittelbare Gesetzeswirkung für jedes EU-Land.<br />
Die CSM-VO 402/2013 ist zulassungsrelevant.<br />
Die Verordnung ist seit 23.05.2013 in Kraft und wird am 21.05.2015<br />
allgemein gültig. Sie fußt auf der Vorgängerversion CSM-VO 352/2009,<br />
die am 21.05.2015 aufgehoben wird (s. auch Folien zu Artikel 2 und 19).<br />
Die Verordnung bezieht sich auf Änderungen am Bahnsystem.<br />
Betroffen sind primär Infrastrukturbetreiber (IB), Eisenbahnunternehmen<br />
(EiU), Instandhaltungsstellen aber auch die Industrie.<br />
Einführg. CSM-VO, Version 1.0 Folie 3
Entstehung / Bedeutung der CSM-VO (2)<br />
Da die CSM-VO jede Art von Änderung am Bahnsystem (technisch,<br />
betrieblich, organisatorisch) abdecken soll, ist sie sehr allgemein<br />
formuliert. Konkrete Anwendung auf z.B. die Signaltechnik erfordert<br />
einiges an Interpretation, daher gibt es bereits zahlreiche Leitfäden zur<br />
Ergänzung der eigentlichen CSM-VO.<br />
Hinweis: Die auf folgender Folie aufgeführten Leitfäden und Auslegungshilfen beziehen<br />
sich noch auf die Version CSM-VO 352/2009.<br />
Einführg. CSM-VO, Version 1.0 Folie 4
Leitfäden, Auslegungen der CSM-VO<br />
Dipl.-Arbeit<br />
(T. Heinig)<br />
Beispiele (ERA)<br />
Leitlinie (ERA)<br />
Leitfaden (EBC)<br />
Hinweise (EBA)<br />
Artikel in Fachzeitschriften<br />
Leitfaden (BMVIT)<br />
Guidance (ORR)<br />
CSM-VO<br />
(ERA)<br />
Ergebnisberichte<br />
(NeGSt)<br />
Auflistung s. Folie Nr. 51<br />
Hinweise EBA<br />
Hinweise EBA<br />
Entwürfe Auslegungen VDB<br />
(VDB)<br />
Einführg. CSM-VO, Version 1.0 Folie 5
Kerngedanken der CSM-VO (1)<br />
Aufgabenstellung<br />
Sicherheit der Bahnsysteme in der EU ist grundsätzlich in Ordnung.<br />
Bahnsysteme sind jedoch ständigem Änderungsprozess<br />
unterworfen. Aus geänderten Betriebsbedingungen oder neuem<br />
Material können neue Risiken für die Infrastruktur oder den Betrieb<br />
entstehen Änderungen dürfen das Gesamt-Sicherheitsniveau<br />
nicht verschlechtern.<br />
Um dies sicherzustellen fordert die CSM-VO für signifikante Änderungen:<br />
Die mit der Änderung verbundenen Gefährdungen für das<br />
Bahnsystem müssen analysiert und genau verstanden werden.<br />
Dann sind die mit den Gefährdungen verbundenen Risiken zu<br />
beurteilen und es ist festzulegen, nach welchen Kriterien das<br />
akzeptable Risiko bestimmt wird und wie die Risiken beherrscht<br />
werden können.<br />
Daraus sind die Maßnahmen abzuleiten, die notwendig sind, damit<br />
das akzeptable Risiko eingehalten werden kann -> Sicherheitsanforderungen.<br />
Einführg. CSM-VO, Version 1.0 Folie 6
Kerngedanken der CSM-VO (2)<br />
Die Erfüllung der Sicherheitsanforderungen ist nachzuweisen<br />
(Sicherheitsnachweis).<br />
Die Gefährdungen sind für jeden Akteur nachlesbar im<br />
Gefährdungsprotokoll zu dokumentieren (Gefährdungsmanagement).<br />
Für die genannten Aktivitäten ist der (die Änderung) Vorschlagende<br />
verantwortlich.<br />
Die Aktivitäten sind durch eine unabhängige Bewertungsstelle zu<br />
beurteilen.<br />
Einführg. CSM-VO, Version 1.0 Folie 7
Kerngedanken der CSM-VO (3)<br />
Randbedingungen / Besonderheiten<br />
Grundsatz der Verhältnismäßigkeit: Anwendung des<br />
(gemeinsamen) Risikomanagementverfahrens der CSM-VO nur bei<br />
signifikanten Änderungen.<br />
Auch Abstützen auf Bewährtes erlaubt: Es gibt eine Fülle von<br />
Erfahrungen, wie man mit bestimmten Risiken umgeht -><br />
Bestehendes Regelwerk darf weiterhin angewendet werden.<br />
Integrative Gesamtsicht bei Änderungen mit mehreren Akteuren und<br />
Schnittstellen:<br />
Der Vorschlagende koordiniert das Risikomanagement der<br />
verschiedenen Akteure.<br />
Transparenz aller Gefährdungen für jeden Akteur durch das<br />
Gefährdungsprotokoll.<br />
Mitwirkungspflicht aller Akteure im Sinne des<br />
Risikomanagements.<br />
Einführg. CSM-VO, Version 1.0 Folie 8
Anlage: Risikomanagementverfahren und<br />
unabhängige Bewertung<br />
9<br />
UNABHÄNGIGE BEWERTUNG<br />
Überprüfung der Systemdefinition in<br />
Abhängigkeit von den ermitteten<br />
VORLÄUFIGE<br />
SYSTEMDEFINITION<br />
Sicherheitsanforderungen<br />
GEFÄHRDUNGSERMITTLUNG<br />
UND EINSTUFUNG<br />
2<br />
REGELWERKE<br />
3<br />
Anwendung der<br />
Regelwerke<br />
Signifikante<br />
Änderung?<br />
JA<br />
SYSTEMDEFINITION<br />
(Umfang, Funktionen, Schnittstellen usw..)<br />
GEFÄHRDUNGSERMITTLUNG<br />
(Was kann geschehen? Wann?<br />
Wo? Wie? usw..<br />
GEFÄHRDUNGSEINSTUFUNG<br />
(Wie kritisch?)<br />
Allgemein<br />
vertretbares<br />
Risiko?<br />
NEIN<br />
Wahl des<br />
Grundsatzes der<br />
Risikoakzeptanz<br />
ÄHNLICHE<br />
REFERENZSYSTEME<br />
Analyse der<br />
Ähnlichkeit mit<br />
Referenzsystemen<br />
4 5<br />
1<br />
NEIN<br />
JA<br />
Entscheidung anhand von<br />
Unterlagen begründen<br />
Entscheidung anhand<br />
v. Unterlagen<br />
begründen<br />
EXPLIZITE RISIKOABSCHÄTZUNG<br />
Ermittlung von Szenarien und<br />
Sicherheitsmaßnahmen<br />
Qualitativ<br />
Abschätzung<br />
der Häufigkeit<br />
RISIKOBEWERTUNG<br />
Sicherheitskriterien?<br />
Abschätzung<br />
des Risikos<br />
RISIKO-<br />
ANALYSE<br />
6<br />
Quantitativ<br />
Abschätzung<br />
der Schwere<br />
8<br />
GEFÄHRDUNGSMANAGEMENT<br />
Orientierungshilfe: Verweise aus<br />
nachfolgenden Folien z.B.auf dieses<br />
Thema sind mit 8 gekennzeichnet<br />
RISIKOEVALUIERUNG<br />
Vergleich mit<br />
Kriterien<br />
Vergleich mit<br />
Kriterien<br />
Vergleich mit<br />
Kriterien<br />
NEIN<br />
Vertretbares<br />
Risiko?<br />
NEIN<br />
Vertretbares<br />
Risiko?<br />
NEIN<br />
Vertretbares<br />
Risiko?<br />
JA<br />
JA<br />
JA<br />
Sicherheitsanforderungen<br />
(umzusetzende<br />
Sicherheitsmaßnahmen)<br />
Nachweis der Erfüllung der<br />
Sicherheitsanforderungen<br />
7<br />
Einführg. CSM-VO, Version 1.0 Folie 9
Vergleich des Vorgehens nach EN 50126 und<br />
EN 50129 mit dem nach CSM-VO<br />
= "Gewohntes"<br />
Vorgehen<br />
nach EN<br />
Risikoanalyse<br />
CSM-VO-Besonderheiten<br />
gegenüber den EN s<br />
= Inhalt der<br />
CSM-VO<br />
Begutachtung<br />
Anf.-Spezifikation<br />
Realisierung<br />
Nachweis<br />
Führen Gefährdungs-Logbuch<br />
- "Risikoanalyse/-evaluierung"<br />
- Signifikanz<br />
- Allg. vertretbares Risiko<br />
- Zusätzliches Risiko-Akzeptanzkriterium<br />
(Regelwerke)<br />
- "Gefährdungsmanagement"<br />
- Ansonsten ähnlich Gefährd.-<br />
Logbuch nach EN<br />
- "Unabhängige Bewertung"<br />
- soll jetzt aber auch deutlicher<br />
RA/RE abdecken<br />
Durch CSM-VO<br />
überhaupt nicht<br />
angesprochen !<br />
- CSM-VO sehr allg. gehalten<br />
- Durch Sicherheitsnachweis<br />
nach EN voll abgedeckt<br />
Einführg. CSM-VO, Version 1.0 Folie 10
Aufbau der CSM-VO (1)<br />
Präambel (Punkte 1-21)<br />
Artikel<br />
Erläuterung, welche EG-Richtlinien die CSM-VO aus welchen Gründen fordern<br />
Darstellung der Grundprinzipien der CSM-VO<br />
Artikel 1: Gegenstand<br />
Artikel 2: Anwendungsbereich<br />
Artikel 3: Begriffsbestimmungen<br />
Artikel 4: Signifikante Änderungen<br />
Artikel 5: Risikomanagementverfahren<br />
Artikel 6: Unabhängige Bewertung<br />
Artikel 7: Akkreditierung/Anerkennung der Bewertungsstelle<br />
Artikel 8: Akzeptieren der Akkreditierung/Anerkennung<br />
Artikel 9: Arten der Anerkennung der Bewertungsstelle<br />
Artikel 10: Gültigkeit der Anerkennung<br />
Artikel 11: Überwachung durch die Anerkennungsstelle<br />
Artikel 12: Gelockerte Kriterien bei nicht notwendiger gegenseitiger Anerkennung<br />
einer signifikanten Änderung<br />
Artikel 13: Bereitstellung von Informationen für die Agentur<br />
Artikel 14: Unterstützung der Agentur bei der Akkreditierung oder Anerkennung der<br />
Bewertungsstelle<br />
Einführg. CSM-VO, Version 1.0 Folie 11
Aufbau der CSM-VO (2)<br />
Artikel (cont.)<br />
Artikel 15: Sicherheitsbewertungsberichte<br />
Artikel 16: Erklärung des Vorschlagenden<br />
Artikel 17: Risikomanagement und Überprüfungen<br />
Artikel 18: Rückmeldungen und technischer Fortschritt<br />
Artikel 19: Aufhebung<br />
Artikel 20: Inkrafttreten und Geltung<br />
Anhang I: Beschreibung des Risikomanagementverfahrens<br />
1. Allgemeine Grundsätze für das Risikomanagementverfahren<br />
2. Beschreibung des Risikobewertungsverfahrens<br />
3. Nachweis der Erfüllung der Sicherheitsanforderungen<br />
4. Gefährdungsmanagement<br />
5. Nachweise für die Anwendung des Risikomanagementverfahrens<br />
Anlage: Risikomanagementverfahren und unabhängige Bewertung<br />
(Flussdiagramm, s. auch Folie 9)<br />
Anhang II: Kriterien für die Akkreditierung oder Anerkennung der<br />
Bewertungsstelle<br />
Anhang III: Sicherheitsbewertungsbericht der Bewertungsstelle<br />
Einführg. CSM-VO, Version 1.0 Folie 12
Präambel<br />
(1) Im Einklang mit der Richtlinie 2004/49/EG sollten gemeinsame<br />
Sicherheitsmethoden (CSM) schrittweise eingeführt werden, damit ein<br />
hohes Sicherheitsniveau gewährleistet und die Sicherheit, soweit dies<br />
erforderlich und nach vernünftigem Ermessen durchführbar ist,<br />
verbessert wird.<br />
(3) Im Einklang mit der Richtlinie 2004/49/EG sollten die wesentlichen<br />
Bestandteile für das Sicherheitsmanagementsystem Verfahren und<br />
Methoden für die Durchführung von Risikobewertungen und die<br />
Anwendung von Maßnahmen zur Risikobeherrschung für den Fall<br />
umfassen, dass sich aus geänderten Betriebsbedingungen oder<br />
neuem Material neue Risiken für die Infrastruktur oder den Betrieb<br />
ergeben. Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems<br />
ist Gegenstand dieser Verordnung.<br />
(9) … für die Durchführung der Änderung verantwortliche<br />
Unternehmen oder Organisation (im Folgenden „der Vorschlagende“<br />
genannt) …<br />
Einführg. CSM-VO, Version 1.0 Folie 13
Artikel der CSM-VO<br />
Gegenstand der CSM-VO (Artikel 1)<br />
CSM-VO gefordert durch Richtlinie 2004/49/EG ("Sicherheitsrichtlinie")<br />
Die Verordnung erleichtert den Zugang zum Markt für Schienenverkehrsdienste<br />
durch Harmonisierung der Risikomanagementverfahren<br />
Anwendungsbereich (Artikel 2)<br />
CSM-VO gilt für den Vorschlagenden, wenn er technische, betriebliche<br />
oder organisatorische Änderungen am Eisenbahnsystem vornimmt<br />
Risikomanagementverfahren ist anzuwenden bei signifikanten<br />
Änderungen (Definition von „signifikant“ s. Artikel 4)<br />
Bei strukturellen <strong>Teil</strong>systemen (ETCS) nur dann anzuwenden,<br />
wenn TSI das fordert bzw.<br />
hinsichtlich der Integration des <strong>Teil</strong>systems in das Bahnsystem<br />
Von der Anwendung der CSM-VO können Systeme wie U-Bahnen,<br />
Straßenbahnen usw. ausgenommen werden (je nach nationaler<br />
Auslegung von Richtlinie 2004/49/EG)<br />
Einführg. CSM-VO, Version 1.0 Folie 14
Artikel der CSM-VO<br />
Anwendungsbereich (Artikel 2) (cont.)<br />
Die Verordnung (EG) Nr. 352/2009 gilt weiterhin für Projekte, die zum<br />
Geltungsbeginn der vorliegenden Verordnung Vorhaben in<br />
fortgeschrittenem Entwicklungsstadium im Sinne von Artikel 2 Buchstabe t<br />
der Richtlinie 2008/57/EG sind<br />
Überlagerung CSM-VO 402/2013 mit 352/2009 (s. auch Artikel 19<br />
und 20):<br />
2009 07/2012 05/2013<br />
05/2015<br />
CSM-RA 352/2009<br />
teilweise gültig<br />
allgemein gültig<br />
Ersterstellung<br />
CSM-RA 402/2013<br />
in Kraft gesetzt (anwendbar)<br />
allgemein gültig<br />
heute<br />
Einführg. CSM-VO, Version 1.0 Folie 15
Zu Artikel 2, Projektbeispiele<br />
05 / 2013 05 / 2015<br />
heute<br />
Änderungsprojekt 1<br />
CSM-VO (352/2009) weiter anwenden<br />
Änderungsprojekt 2<br />
CSM-VO (352/2009) noch erlaubt;<br />
sinnvoller ist aber CSM-VO 402/2013<br />
Änderungsprojekt 3<br />
CSM-VO (352/2009) noch erlaubt;<br />
sinnvoller ist aber CSM-VO 402/2013<br />
Änderungsprojekt 4<br />
CSM-VO (402/2013) anzuwenden<br />
Einführg. CSM-VO, Version 1.0 Folie 16
Artikel der CSM-VO<br />
Begriffsbestimmungen (Artikel 3) (ausgewählte, spezifische Begriffe)<br />
Gefährdung: Der Umstand, der zu einem Unfall führen könnte<br />
„Risiko“: Die Kombination a) der Häufigkeit des Eintretens von (durch<br />
Gefährdungen verursachten) Unfällen und Zwischenfällen, die zu einem<br />
Schaden führen, und b) des Ausmaßes dieses Schadens<br />
Grundsatz der Risikoakzeptanz: Die Regeln, anhand deren festgestellt<br />
wird, ob das mit einer Gefährdung verbundene Risiko vertretbar ist<br />
Akteure: Alle Parteien, die in die Anwendung dieser Verordnung<br />
einbezogen sind<br />
Bewertungsstelle: Die unabhängige, fachkundige externe oder interne<br />
natürliche Person, Organisation oder Stelle, die eine Untersuchung<br />
vornimmt, um auf der Grundlage von Nachweisen zu beurteilen, ob ein<br />
System die gestellten Sicherheitsanforderungen erfüllt<br />
Einführg. CSM-VO, Version 1.0 Folie 17
Artikel der CSM-VO<br />
Begriffsbestimmungen (Artikel 3) (cont.)<br />
Vorschlagender<br />
Eisenbahnunternehmen oder Infrastrukturbetreiber<br />
Für Instandhaltung zuständige Stelle<br />
Auftraggeber oder Hersteller, der bei einer benannten Stelle das<br />
EG-Prüfverfahren durchführen lässt oder eine benannte Stelle<br />
beauftragt<br />
Antragsteller, die eine Genehmigung für die Inbetriebnahme von<br />
Fahrzeugen beantragen.<br />
Antragsteller, der eine Genehmigung für die Inbetriebnahme<br />
struktureller <strong>Teil</strong>systeme beantragt<br />
Akkreditierung: Eine Akkreditierung im Sinne von Artikel 2 der<br />
Verordnung (EG) Nr. 765/2008<br />
Anerkennung: Eine von einer nationalen Stelle, die nicht die nationale<br />
Akkreditierungsstelle ist, ausgestellte Bescheinigung, dass die<br />
Bewertungsstelle die Anforderungen des Anhangs II erfüllt<br />
Einführg. CSM-VO, Version 1.0 Folie 18
Artikel der CSM-VO<br />
Signifikante Änderungen (Artikel 4)<br />
Hat die Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die<br />
Anwendung des Risikomanagementverfahrens (RMV) verzichtet werden.<br />
Hat die Änderung Auswirkungen auf die Sicherheit, entscheidet der<br />
Vorschlagende auf der Grundlage einer Expertenbewertung über deren<br />
Signifikanz; Kriterien sind:<br />
a) Folgen von Ausfällen [...] (credible worst-case scenario)<br />
b) Innovative Elemente [...]<br />
c) Komplexität der Änderung<br />
d) Überwachung: Unmöglichkeit, die eingeführte Änderung über den<br />
gesamten Lebenszyklus des Systems hinweg zu überwachen und in<br />
geeigneter Weise einzugreifen<br />
e) Umkehrbarkeit: Unmöglichkeit, zu dem vor Einführung der Änderung<br />
bestehenden System zurückzukehren;<br />
f) Additive Wirkung: Sind die in jüngster Zeit vorgenommenen, nicht<br />
signifikanten Änderungen in Summe evtl. doch signifikant?<br />
1<br />
Entscheidung<br />
dokumentieren<br />
Einführg. CSM-VO, Version 1.0 Folie 19
20<br />
Artikel der CSM-VO<br />
Signifikante Änderungen (Artikel 4) (cont.)<br />
Änderung sicherheitsrelevant? nein Ausstieg aus CSM-VO<br />
ja<br />
Änderung signifikant?<br />
nein<br />
Ausstieg aus CSM-VO (Vorschlagender<br />
kann „eigene Sicherheitsmethode“<br />
anwenden)<br />
ja<br />
RMV nach CSM-VO<br />
ist vollständig anzuwenden<br />
Einführg. CSM-VO, Version 1.0 Folie 20
Artikel der CSM-VO<br />
zu Artikel 4 (cont.)<br />
Vorschlag zu Sicherheitsrelevanz<br />
Sicherheitsrelevant<br />
sind alle Änderungen, die – bei fehlerhafter Ausführung – üblicherweise<br />
direkten oder indirekten Personen- und/oder Umweltschaden verursachen<br />
können.<br />
Herleitung / Begründung über Begriff »Sicherheit«:<br />
»Sicherheit«: Nichtvorhandensein von unvertretbaren<br />
Schadensrisiken<br />
[Artikel 3, Ziffer 5 CSM-VO]<br />
»Sicherheit«: Freiheit von unvertretbaren Risiken für die Gesundheit<br />
des Menschen oder für die Umwelt [prEN 50126-1, deutsche<br />
Übersetzung der DKE]<br />
Einführg. CSM-VO, Version 1.0 Folie 21
Artikel der CSM-VO<br />
zu Artikel 4 (cont.)<br />
Signifikanz, Vorschlag aus Forschungsprojekt NeGSt, AP 2100, AG 2<br />
Signifikanzbewertung von Änderungen an technischen Systemen auf<br />
Grundlage Ausfallfolgen-Unsicherheits-Matrix AUM (Ref. [1], Folie 51).<br />
Basiert auf ähnlichem, von der DB angewendetem Verfahren.<br />
Basis ist die Einstufung der geplanten Änderung bzgl. ihrer<br />
Ausfallfolgen<br />
Innovation<br />
Komplexität<br />
Umkehrbarkeit<br />
Überwachbarkeit<br />
Jedem Parameter ist ein Wert von 0 - 4 zuzuordnen.<br />
Die AUM-Excel-Tabelle liefert eine eindeutige Aussage signifikant / nicht<br />
signifikant.<br />
Das Verfahren lässt sich relativ einfach anwenden, erfordert jedoch<br />
Erfahrung bei der Einstufung obiger Parameter.<br />
Einführg. CSM-VO, Version 1.0 Folie 22
AUM-Verfahren (1)<br />
Komplexität<br />
+<br />
Innovation<br />
Umkehrbarkeit<br />
+<br />
Überwachung<br />
Grün<br />
Rot<br />
in jedem Fall nicht signifikant<br />
in jedem Fall signifikant<br />
z.B. nach SIL<br />
Gelb<br />
Zusätzlich die Kriterien der Umkehrbarkeit und Überwachung zur abschließenden<br />
Beurteilung heranziehen, in 2 Ausprägungen (gegeben/nicht gegeben)<br />
Einführg. CSM-VO, Version 1.0 Folie 23
AUM-Verfahren (2)<br />
Ausfallfolgen<br />
der Änderung<br />
SIL 4 Katastrophal 4 Punkte<br />
SIL 3 Kritisch 3 Punkte<br />
SIL 2 Marginal 2 Punkt<br />
SIL 1 Unbedeutend 1 Punkt<br />
Innovation der<br />
Änderung<br />
Komplexität<br />
der Änderung<br />
Der Vorschlagende hat keine Erfahrung mit<br />
Technik bzw. Prozess zur Durchführung der<br />
Änderung<br />
Der Vorschlagende hat in einzelnen Aspekten<br />
keine Erfahrung mit Technik bzw. Prozess zur<br />
Durchführung der Änderung<br />
Der Vorschlagende hat Erfahrung mit Technik<br />
bzw. Prozess zur Durchführung der Änderung,<br />
oder es gibt spezielle Regelwerke für die<br />
Durchführung der Änderung<br />
Die Änderung bezieht sich auf mehrere<br />
Systeme mit vielen Schnittstellen und vielen<br />
Abhängigkeiten zu anderen Systemen<br />
Die Änderung bezieht sich auf ein einzelnes<br />
System mit wenigen Schnittstellen und es gibt<br />
wenige Abhängigkeiten zu anderen Systemen<br />
2 Punkte<br />
1 Punkt<br />
0 Punkte<br />
1 Punkt<br />
0 Punkte<br />
Unsicherheit der Folgenabschätzung<br />
Einführg. CSM-VO, Version 1.0 Folie 24
AUM-Verfahren (3)<br />
Überwachbarkeit<br />
der<br />
Änderung<br />
Umkehrbarkeit<br />
der Änderung<br />
Die Erfüllung sicherheitsrelevanter Eigenschaften<br />
der Änderung ist mit bewährten Prozessen bzw.<br />
Methoden der Qualitätssicherung möglich<br />
Zur Überwachung müssen Prozesse oder<br />
Methoden der Qualitätssicherung neu geschaffen<br />
werden oder es sind <strong>Teil</strong>aspekte der Änderung<br />
nicht überwachbar<br />
Gegeben, z. B. wenn ein Vorzustand wieder<br />
hergestellt werden kann oder es eine<br />
angemessene betriebliche Rückfallebene gibt<br />
Nicht gegeben, z. B. wenn ein neues System<br />
eingesetzt wird, ohne das der Betrieb nicht<br />
durchgeführt werden kann<br />
0 Punkte<br />
1 Punkt<br />
0 Punkte<br />
1 Punkt<br />
Gesamtbewertung 6 oder mehr Punkte Änderung signifikant<br />
Weniger als 6 Punkte<br />
Änderung nicht<br />
signifikant<br />
Einführg. CSM-VO, Version 1.0 Folie 25
AUM-Verfahren (4), Anwendungsbeispiele<br />
Änderungen an technischen Systemen<br />
Signifikanzbew ertung<br />
Technik Art der Änderung<br />
LH-Änderung<br />
RA-Änderung *)<br />
Ausfallfolgen<br />
Innovation<br />
Komplexität<br />
Umkehrbahrkeit<br />
Überwachung<br />
Summe<br />
Signifikanz<br />
1 ESTW Fehlerbehebung nein nein 4 0 0 0 0 4 NEIN<br />
2 geänderte Technik nein nein 4 2 0 0 0 6 JA<br />
3 geänderte Funktion ja nein 4 0 1 0 0 5 NEIN<br />
4 geänderte Funktion ja ja 4 2 1 0 0 7 JA<br />
5 neue Funktion ja ja 4 2 0 0 0 6 JA<br />
6 BÜSA Fehlerbehebung nein nein 3 0 0 0 0 3 NEIN<br />
7 geänderte Funktion ja nein 3 0 1 0 0 4 NEIN<br />
8 geänderte Funktion ja ja 3 2 1 0 0 6 JA<br />
9 neue Funktion ja ja 3 2 0 0 0 5 NEIN<br />
10 Rangiertechnik neue Funktion ja ja 2 2 0 0 0 4 NEIN<br />
11 PZB neue Funktion ja ja 1 2 1 1 0 5 NEIN<br />
12 BÜ-Fzg-Schleife geänderte Technik ja ja 3 2 0 0 0 5 NEIN<br />
13 Signale geänderte Technik ja ja 4 2 0 0 0 6 JA<br />
*) RA hier im Sinne von Risikoanalyse<br />
Einführg. CSM-VO, Version 1.0 Folie 26
Artikel der CSM-VO<br />
Risikomanagementverfahren (Artikel 5)<br />
Das Risikomanagementverfahren wird vom Vorschlagenden angewandt.<br />
Der Vorschlagende gewährleistet das Management der von Zulieferern<br />
und Dienstleistern, einschließlich ihrer Subunternehmer, ausgehenden<br />
Risiken. Vorschlagender kann Mitwirkung einfordern.<br />
Unabhängige Bewertung (Artikel 6)<br />
Bewertungsstelle bewertet Eignung sowohl der Anwendung des RMV als<br />
auch seiner Ergebnisse. Bewertungsstelle muss die in Anhang II<br />
aufgeführten Kriterien erfüllen.<br />
Vorschlagender benennt Bewertungsstelle (es sei denn, es gibt eine<br />
durch EU- oder nationale Rechtsvorschrift festgelegte Bewertungsstelle).<br />
Bewertungsstelle erstellt Sicherheitsbewertungsbericht<br />
Doppelarbeit zwischen Konformitätsbewertungen (z.B. durch Benannte<br />
Stelle) und Unabhängiger Bewertungsstelle gilt es zu vermeiden.<br />
In bestimmten Fällen kann die nationale Sicherheitsbehörde als<br />
Bewertungsstelle agieren (wenn sie das anbietet).<br />
9<br />
Einführg. CSM-VO, Version 1.0 Folie 27
Artikel der CSM-VO<br />
Zur Rolle des Vorschlagenden (Diskussion in Projekt NeGSt)<br />
CSM-VO: Vorschlagender sollte i.a. der Betreiber sein (IB, EiU). Aber<br />
abhängig von der Art der Änderung wird der Betreiber<br />
Unterstützung durch den Hersteller erwarten;<br />
in Grenzfällen wird die Entscheidung, wer Vorschlagender ist, mit<br />
dem Betreiber abzustimmen sein.<br />
Wann wird der Hersteller der Vorschlagende sein?<br />
Im Zusammenhang mit der Beantragung der EG-Prüfung eines<br />
strukturellen <strong>Teil</strong>systems (ETCS)<br />
Wann könnte der Hersteller der Vorschlagende sein?<br />
Bei Erstellung / Änderung rein generischer Komponenten (z.B.<br />
Rechnerplattformen)<br />
Bei Erstellung / funktionaler Änderung von generischen Produkten,<br />
die für mehrere Betreiber gedacht sind<br />
Bei Fehlerbereinigung oder Upgrade auf neue HW/SW-Plattform<br />
Die Verantwortung für die Rolle des Vorschlagenden sollte einer<br />
Fachabteilung zugewiesen werden.<br />
Einführg. CSM-VO, Version 1.0 Folie 28
Artikel der CSM-VO<br />
Akkreditierung/Anerkennung der Bewertungsstelle (Artikel 7)<br />
Die in Artikel 6 genannte Bewertungsstelle muss<br />
a) entweder durch eine nationale Akkreditierungsstelle akkreditiert oder<br />
b) durch eine Anerkennungsstelle anerkannt oder<br />
c) die nationale Sicherheitsbehörde sein.<br />
Akzeptieren der Akkreditierung/Anerkennung (Artikel 8)<br />
Wenn ein Eisenbahnunternehmen oder ein Infrastrukturbetreiber durch<br />
den Mitgliedstaat bereits als unabhängige Bewertungsstelle akkreditiert<br />
oder anerkannt ist, so hat die nationale Sicherheitsbehörde dies bei der<br />
Erteilung der Sicherheitsbescheinigung gemäß Verordnung (EU) Nr.<br />
1158/2010 oder der Sicherheitsgenehmigung gemäß (EU) Nr. 1169/2010<br />
zu akzeptieren (ohne erneutes Anlegen eigener Kriterien).<br />
Wenn eine Instandhaltungsstelle durch den Mitgliedstaat als unabhängige<br />
Bewertungsstelle bereits akkreditiert oder anerkannt ist, so hat die<br />
Zertifizierungsstelle dies bei der Erteilung der Bescheinigung gemäß<br />
Verordnung (EU) Nr. 445/2011 zu akzeptieren (ohne erneutes Anlegen<br />
eigener Kriterien).<br />
Einführg. CSM-VO, Version 1.0 Folie 29
Artikel der CSM-VO<br />
Arten der Anerkennung der Bewertungsstelle (Artikel 9)<br />
Folgende Arten der Anerkennung sind möglich:<br />
Staatliche Anerkennung als Bewertungsstelle (Organisation, <strong>Teil</strong> der<br />
Organisation oder natürliche Person).<br />
Anerkennung durch die nationale Sicherheitsbehörde im Rahmen der<br />
Bewertung und Überwachung des Sicherheitsmanagementssystems<br />
eines Eisenbahnunternehmens oder Infrastrukturbetreibers.<br />
Anerkennung durch die nationale Sicherheitsbehörde im Rahmen der<br />
Bewertung und Überwachung des Instandhaltungssystems einer für die<br />
Instandhaltung zuständigen Stelle (wenn nationale Sicherheitsbehörde<br />
als Zertifizierungsstelle im Einklang mit EU-Verordnung Nr. 445/2011<br />
(Zertifizierung für Instandhaltungsstellen von Güterwagen) agiert).<br />
Anerkennung der Fähigkeit einer für die Instandhaltung zuständigen<br />
Stelle, einer Organisation oder eines <strong>Teil</strong>s davon oder einer natürlichen<br />
Person, eine unabhängige Bewertung durchzuführen, durch eine vom<br />
Mitgliedstaat benannte Anerkennungsstelle.<br />
Einführg. CSM-VO, Version 1.0 Folie 30
Artikel der CSM-VO<br />
Arten der Anerkennung der Bewertungsstelle (Artikel 9) (cont.)<br />
Wenn der Mitgliedstaat die nationale Sicherheitsbehörde als<br />
Bewertungsstelle anerkennt, muss die Funktion der nationalen<br />
Sicherheitsbehörde als Bewertungsstelle von ihren sonstigen Funktionen<br />
nachweisbar unabhängig sein.<br />
Gültigkeit der Anerkennung (Artikel 10)<br />
Die Gültigkeit der Anerkennung ist je nach Art der Anerkennung zeitlich<br />
begrenzt.<br />
Beispiel: Falls die nationale Sicherheitsbehörde als Bewertungsstelle<br />
anerkannt wird, so gilt diese Anerkennung nur 5 Jahre.<br />
Überwachung durch die Anerkennungsstelle (Artikel 11)<br />
Anerkennende Stelle hat regelmäßig die Bewertungsstelle zu<br />
überwachen, ob sie die Kriterien in Anhang II noch erfüllt<br />
Einführg. CSM-VO, Version 1.0 Folie 31
Artikel der CSM-VO<br />
Gelockerte Kriterien der Anerkennung … (Artikel 12)<br />
Wenn die Risikobewertung nicht gegenseitig anerkannt werden muss,<br />
benennt der Vorschlagende eine Bewertungsstelle, die zumindest die<br />
Anforderungen des Anhangs II in Bezug auf Kompetenz, Unabhängigkeit<br />
und Unparteilichkeit erfüllt.<br />
Die sonstigen Anforderungen des Anhangs II Nummer 1 können im<br />
Einvernehmen mit der nationalen Sicherheitsbehörde gelockert werden,<br />
sofern dadurch keine Diskriminierung entsteht.<br />
Einführg. CSM-VO, Version 1.0 Folie 32
Artikel der CSM-VO<br />
Bereitstellung von Informationen für die Agentur (Artikel 13)<br />
Akkreditierungsstelle(n) und Anerkennungsstelle(n) werden der ERA<br />
mitgeteilt.<br />
Ab 21.05.2015 werden auch die akkreditierten bzw. anerkannten<br />
Bewertungsstellen der ERA mitgeteilt.<br />
Unterstützung der Agentur bei der Akkreditierung oder Anerkennung<br />
der Bewertungsstelle (Artikel 14)<br />
ERA organisiert länderübergreifende Beurteilung von<br />
Anerkennungsstellen.<br />
ERA organisiert Schulungen zu dieser Verordnung für die<br />
Akkreditierungs- und Anerkennungsstellen.<br />
Einführg. CSM-VO, Version 1.0 Folie 33
Artikel der CSM-VO<br />
Sicherheitsbewertungsberichte (Artikel 15)<br />
9<br />
RMV-Nachweisbericht *)<br />
s. Artikel 16<br />
Erklärung<br />
Vorschlagender<br />
Details s. Anhang III<br />
Bewertungsstelle<br />
Sicherheitsbewertungsbericht<br />
Verantwortung des Vorschlagenden ist es, zu bestimmen, wie die<br />
Schlussfolgerungen des Sicherheitsbewertungsberichts bei der<br />
Bescheinigung der Sicherheit zu berücksichtigen sind. Ist der Vorschlagende<br />
mit einem <strong>Teil</strong> des Sicherheitsbewertungsberichts nicht einverstanden,<br />
begründet und belegt er diesen Standpunkt.<br />
Bei Inbetriebnahme-Genehmigung von strukturellen <strong>Teil</strong>systemen und<br />
Fahrzeugen wird die Erklärung des Vorschlagenden von der nationalen<br />
Sicherheitsbehörde berücksichtigt.<br />
*) Arbeitstitel für diese Schulung; CSM-VO selbst nennt keinen expliziten Dokumentnamen<br />
Einführg. CSM-VO, Version 1.0 Folie 34
Artikel der CSM-VO<br />
Sicherheitsbewertungsberichte (Artikel 15) (cont.)<br />
Nationale Sicherheitsbehörde kann keine zusätzlichen Prüfungen oder<br />
Risikoanalysen verlangen, es sei denn, sie kann nachweisen, dass ein<br />
erhebliches Sicherheitsrisiko besteht.<br />
Bei der Ausstellung einer Konformitätsbescheinigung akzeptiert die<br />
Benannte Stelle die Erklärung des Vorschlagenden, es sei denn, sie kann<br />
erhebliches Sicherheitsrisiko nachweisen<br />
Sicherheitsbewertungsbericht kann nicht von einer anderen Bewertungsstelle<br />
in Frage gestellt werden, wenn<br />
Einsatz unter denselben funktionalen, betrieblichen und<br />
Umweltbedingungen<br />
Gleichwertige Risikoakzeptanzkriterien.<br />
Erklärung des Vorschlagenden (Artikel 16)<br />
Auf der Grundlage a) der Ergebnisse der Anwendung dieser Verordnung<br />
sowie b) des von der Bewertungsstelle vorgelegten Sicherheitsberichts fasst<br />
der Vorschlagende eine schriftliche Erklärung ab, mit der bestätigt wird, dass<br />
alle ermittelten Gefährdungen und damit verbundenen Risiken auf einem<br />
vertretbaren Niveau gehalten werden.<br />
Einführg. CSM-VO, Version 1.0 Folie 35
Artikel der CSM-VO<br />
Risikomanagement und Prüfungen (Artikel 17)<br />
Regelmäßige Überprüfung der Anwendung der CSM-VO durch<br />
Eisenbahnunternehmen / Infrastrukturbetreiber / Instandhalter<br />
Nationale Sicherheitsbehörde<br />
Rückmeldungen und technischer Fortschritt (Artikel 18)<br />
Infrastrukturbetreiber / Eisenbahnunternehmen / Instandhalter und<br />
nationale Sicherheitsbehörden berichten jährlich kurz über Erfahrungen<br />
mit Anwendung der CSM-VO an die ERA<br />
ERA überwacht die Anwendung, nimmt Rückmeldungen entgegen, sorgt<br />
für Verbesserungen und berichtet der Kommission<br />
Aufhebung (Artikel 19)<br />
Die Verordnung (EG) Nr. 352/2009 wird mit Wirkung vom 21. Mai 2015<br />
aufgehoben.<br />
Inkrafttreten und Geltung (Artikel 20)<br />
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im<br />
Amtsblatt der Europäischen Union in Kraft (also 23.05.2013).<br />
Sie gilt ab dem 21. Mai 2015.<br />
Einführg. CSM-VO, Version 1.0 Folie 36
37 /<br />
Artikel der CSM-VO<br />
zu Artikel 19 und 20<br />
2009 07/2012 05/2013<br />
05/2015<br />
CSM-RA 352/2009<br />
teilweise gültig<br />
allgemein gültig<br />
Ersterstellung<br />
CSM-RA 402/2013<br />
in Kraft gesetzt (anwendbar)<br />
allgemein gültig<br />
heute<br />
Einführg. CSM-VO, Version 1.0 Folie 37
Aufbau der CSM-VO (1)<br />
Präambel (Punkte 1-21)<br />
Artikel<br />
Erläuterung, welche EG-Richtlinien die CSM-VO aus welchen Gründen fordern<br />
Darstellung der Grundprinzipien der CSM-VO<br />
<br />
Artikel 1: Gegenstand<br />
<br />
Artikel 2: Anwendungsbereich<br />
Artikel 3: Begriffsbestimmungen<br />
Artikel 4: Signifikante Änderungen<br />
Artikel 5: Risikomanagementverfahren<br />
Artikel 6: Unabhängige Bewertung<br />
Artikel 7: Akkreditierung/Anerkennung der Bewertungsstelle<br />
Artikel 8: Akzeptieren der Akkreditierung/Anerkennung<br />
Artikel 9: Arten der Anerkennung der Bewertungsstelle<br />
Artikel 10: Gültigkeit der Anerkennung<br />
Artikel 11: Überwachung durch die Anerkennungsstelle<br />
Artikel 12: Gelockerte Kriterien bei nicht notwendiger gegenseitiger Anerkennung<br />
einer signifikanten Änderung<br />
Artikel 13: Bereitstellung von Informationen für die Agentur<br />
Artikel 14: Unterstützung der Agentur bei der Akkreditierung oder Anerkennung der<br />
Bewertungsstelle<br />
Einführg. CSM-VO, Version 1.0 Folie 38
Aufbau der CSM-VO (2)<br />
Artikel (cont.)<br />
<br />
Artikel 15: Sicherheitsbewertungsberichte<br />
Artikel 16: Erklärung des Vorschlagenden<br />
Artikel 17: Risikomanagement und Überprüfungen<br />
Artikel 18: Rückmeldungen und technischer Fortschritt<br />
Artikel 19: Aufhebung<br />
Artikel 20: Inkrafttreten und Geltung<br />
Anhang I: Beschreibung des Risikomanagementverfahrens<br />
1. Allgemeine Grundsätze für das Risikomanagementverfahren<br />
2. Beschreibung des Risikobewertungsverfahrens<br />
3. Nachweis der Erfüllung der Sicherheitsanforderungen<br />
4. Gefährdungsmanagement<br />
5. Nachweise für die Anwendung des Risikomanagementverfahrens<br />
Anlage: Risikomanagementverfahren und unabhängige Bewertung<br />
(Flussdiagramm)<br />
Anhang II: Kriterien für die Akkreditierung oder Anerkennung der<br />
Bewertungsstelle<br />
Anhang III: Sicherheitsbewertungsbericht der Bewertungsstelle<br />
Einführg. CSM-VO, Version 1.0 Folie 39
Anhang I<br />
1. Allgemeine Grundsätze für das RMV: Schnittstellenmanagement<br />
Pflicht aller Akteure, hinsichtlich des Managements gemeinsamer Risiken an<br />
den Schnittstellen zusammenzuarbeiten.<br />
Aufgabe der Koordination liegt beim Vorschlagenden. Er muss sicherstellen,<br />
dass das Risikomanagement das System selbst wie auch die Integration des<br />
Systems in das Eisenbahnsystem als Ganzes abdeckt.<br />
2. Beschreibung des Risikobewertungsverfahrens<br />
Systemdefinition<br />
2<br />
Zweckbestimmung des Systems (vorgesehene Verwendung);<br />
Funktionen und Bestandteile des Systems (einschließlich<br />
menschlicher, technischer und betrieblicher Komponenten);<br />
Systemgrenzen, einschließlich anderer, interagierender Systeme<br />
Systemumgebung (Energie- und Wärmefluss, Vibrationen, EMV,<br />
betriebliche Verwendung);<br />
physische Schnittstellen und funktionale Schnittstellen<br />
bestehende Sicherheitsmaßnahmen<br />
Annahmen, die die Grenzen der Risikobewertung bestimmen.<br />
Einführg. CSM-VO, Version 1.0 Folie 40
Anhang I<br />
3<br />
2. Beschreibung des Risikobewertungsverfahrens (cont.)<br />
Gefährdungsermittlung<br />
Aufgabe des Vorschlagenden unter Rückgriff auf qualifiziertes<br />
Team. Erfassen der Gefährdungen im Gefährdungsprotokoll.<br />
Konzentration der Risikobewertung auf die wichtigsten Risiken.<br />
Allgemein vertretbare Risiken müssen nicht weiter analysiert<br />
werden.<br />
Risiken sind als allgemein vertretbar einzustufen, wenn das Risiko<br />
so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen<br />
nicht angemessen wäre.<br />
Einführg. CSM-VO, Version 1.0 Folie 41
Allgemein vertretbare Risiken ja/nein, Beispiele<br />
Änderung Gefährdung Häufigkeit<br />
Schwere<br />
Denkbare<br />
Gegenmaßnahme<br />
Risiko allg.<br />
vertretbar?<br />
Bau einer<br />
NBS mit 300<br />
km/h<br />
Zug kollidiert<br />
mit Tier im<br />
Gleis<br />
gelegentlich<br />
gering<br />
Einzäunung der<br />
Strecke (teuer)<br />
ja<br />
BÜ: Einführg.<br />
technische<br />
Gefahrraumerkennung<br />
für<br />
Straßen-Fzg.<br />
eingeschlossene<br />
Person<br />
nicht erkannt<br />
gelegentlich<br />
gering<br />
(da Drehkreuz)<br />
Gefahrraumerkennung<br />
muss<br />
auch Personen<br />
erkennen<br />
(schwierig)<br />
ja<br />
Einführung<br />
Achszähler<br />
gleichzeitiges<br />
Abreißen beider<br />
Zählpunkte<br />
selten<br />
katastrophal<br />
technische<br />
Erkennung des<br />
Abreißens<br />
(möglich)<br />
nein<br />
Bau einer<br />
City-Monorailbahn<br />
Kollision<br />
Schiene-<br />
Hubschrauber<br />
sehr selten erheblich hubschrauberfeste<br />
Fahrbahn<br />
(teuer)<br />
ja<br />
Einführg. CSM-VO, Version 1.0 Folie 42
Allgemein vertretbare Risiken<br />
(Arbeitsergebnis aus Projekt NeGSt)<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 30%,<br />
oder<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 10%,<br />
oder<br />
Reduktion der<br />
Leistungsfähigkeit<br />
oder Verfügbarkeit<br />
> 3%,<br />
oder<br />
Sonstiges<br />
Aufwand > 30%<br />
der Gesamtkosten<br />
Aufwand > 10%<br />
der Gesamtkosten<br />
Aufwand > 3%<br />
der Gesamtkosten<br />
Risikobeitrag
Anhang I (cont.)<br />
2. Beschreibung des Risikobewertungsverfahrens (cont.)<br />
Wahl des Grundsatzes der Risikoakzeptanz<br />
Zugrundelegung von Regelwerken 4<br />
Bei Gefährdungen, die durch Regelwerk kontrollierbar sind,<br />
kann das Risiko ohne weitere Analyse als vertretbar angesehen<br />
werden.<br />
Anforderungen an Regelwerke<br />
Im Eisenbahnsektor allg. anerkannt, andernfalls Begründung und<br />
Akzeptanz durch Bewertungsstelle<br />
Für Beherrschung der betreffenden Gefährdung tatsächlich relevant<br />
Für alle Akteure öffentlich zugänglich (zukünftig nur noch „auf<br />
Nachfrage der Bewertungsstelle zugänglich“)<br />
Bei ETCS-Komponenten kann TSI als Regelwerk angesehen<br />
werden.<br />
Heranziehen eines Referenzsystems 5<br />
Anforderungen an ein Referenzsystem<br />
Praxisbewährung zeigt akzeptables Sicherheitsniveau<br />
Ähnlichkeit der Funktionen / Schnittstellen / Einsatzbedingungen<br />
Einführg. CSM-VO, Version 1.0 Folie 44
Anhang I (cont.)<br />
2. Beschreibung des Risikobewertungsverfahrens (cont.)<br />
Heranziehen eines Referenzsystems (cont.)<br />
Für das zu bewertende System gilt dann:<br />
Risiken des Referenzsystems werden als vertretbar angesehen.<br />
Sicherheitsanforderungen können aus Sicherheitsanalysen des<br />
Referenzsystems abgeleitet werden (z.B. THR-Bestimmung).<br />
Explizite Risikoabschätzung 6<br />
Risikoakzeptanzkriterien abzuleiten aus gemeinschaftlichen<br />
Rechtsvorschriften oder notifizierten nationalen Vorschriften.<br />
Bei technischen Systemen, bei denen im Falle eines<br />
funktionellen Ausfalls von unmittelbaren katastrophalen Folgen<br />
auszugehen ist, muss das damit verbundene Risiko nicht<br />
weiter eingedämmt werden, wenn die Ausfallrate pro<br />
Betriebsstunde kleiner oder gleich 10 -9 ist.<br />
Generell: Die Bewertungsstelle sieht davon ab, dem Vorschlagenden<br />
Auflagen zu machen, welchen der 3 Grundsätze der Risikoakzeptanz<br />
er anwendet.<br />
Einführg. CSM-VO, Version 1.0 Folie 45
Anhang I (cont.)<br />
3. Nachweis der Sicherheitsanforderungen<br />
Erfolgt unter Aufsicht des Vorschlagenden.<br />
<strong>Teil</strong>nachweise von jedem der mitverantwortlichen Akteure.<br />
Nachweis selbst und gewählte Vorgehensweise werden einer<br />
unabhängigen Bewertung durch eine Bewertungsstelle unterzogen, die<br />
dann die Sicherheit der Änderung bescheinigt.<br />
4. Gefährdungsmanagement<br />
Führen des Gefährdungsprotokolls und Kontrolle der daraus abzuleitenden<br />
Aktivitäten.<br />
Aufgabe des Vorschlagenden.<br />
8<br />
7<br />
Einführg. CSM-VO, Version 1.0 Folie 46
Anhang I (cont.)<br />
5. Nachweise für die Anwendung des Risikomanagementverfahrens<br />
RMV ist vom Vorschlagenden zu dokumentieren. Mindestinhalt<br />
Organisation, Angaben zu den beteiligten Experten<br />
Ergebnisse der verschiedenen Phasen der Risikobewertung<br />
Auflistung aller Sicherheitsanforderungen.<br />
Nachweis der Erfüllung der Sicherheitsanforderungen<br />
alle für die Integration, den Betrieb oder die Instandhaltung eines<br />
Systems relevanten Annahmen, die im Zuge der Systemdefinition<br />
und -entwurf und der Risikobewertung gemacht wurden<br />
Die Bewertungsstelle hält ihre Schlussfolgerungen in einem<br />
Sicherheitsbewertungsbericht fest.<br />
Hinweis: Auch die Beurteilung, dass eine Änderung nicht sicherheitsrelevant oder nicht<br />
signifikant ist, ist angemessen zu dokumentieren.<br />
Einführg. CSM-VO, Version 1.0 Folie 47
Anhang II<br />
Kriterien für die Akkreditierung oder Anerkennung der 9<br />
Bewertungsstelle<br />
Erfüllung aller Anforderungen von ISO/IEC 17020:2012<br />
Spezielle Kompetenzen<br />
Kenntnisse und Erfahrungen auf dem Gebiet der<br />
Sicherheitsanalyse und der einschlägigen Normen<br />
Kenntnis des von der Änderung betroffenen <strong>Teil</strong>s des<br />
Eisenbahnsystems<br />
Anwendung von Sicherheits- und Qualitätsmanagementsystemen<br />
Unabhängigkeit<br />
Bewertungsstelle muss akkreditiert oder anerkannt sein.<br />
Die Bewertungsstelle wird für die Bewertung der generellen Konsistenz<br />
des Risikomanagements und der sicheren Integration des Systems, das<br />
der Bewertung unterzogen wird, in das Eisenbahnsystem als Ganzes<br />
akkreditiert oder anerkannt.<br />
Einführg. CSM-VO, Version 1.0 Folie 48
Änderungen der neuen Verordnung CSM-VO 402/2013<br />
gegenüber 352/2009 (1)<br />
Zusätzlich zu Eisenbahnunternehmen (EiU s) und Infrastrukturbetreibern<br />
(IB s) jetzt auch Instandhaltungsstellen betroffen<br />
U-Bahnen, Straßenbahnen usw. können weiterhin von der Verordnung<br />
ausgenommen sein, wenn ein Mitgliedstaat diese Bahnen von der<br />
Anwendung der Richtlinie für die Eisenbahnsicherheit (2004/49/EG)<br />
ausgenommen hat.<br />
Akkreditierung/Anerkennung wurde neu aufgenommen<br />
Regelungen für Stellen, die die Eignung von Bewertungsstellen (im<br />
Sinne der CSM-VO) feststellen sollen.<br />
Alternativ zur Akkreditierung auch Anerkennung möglich<br />
Der Vorschlagende soll/kann Position beziehen zu den Schlussfolgerungen<br />
im Sicherheitsbewertungsbericht<br />
Die Sicherheitsbehörde soll den Sicherheitsbewertungsbericht<br />
akzeptieren, nicht nur „kann ihn berücksichtigen“<br />
Die benannte Stelle soll in der Regel den Sicherheitsbewertungsbericht<br />
akzeptieren, nicht nur „kann ihn berücksichtigen“<br />
Einführg. CSM-VO, Version 1.0 Folie 49
50 /<br />
Änderungen der neuen Verordnung CSM-VO 402/2013<br />
gegenüber 352/2009 (2)<br />
Begriffsänderungen<br />
CSM-VO 352-2009 CSM-VO 402/2013<br />
Anerkannte Regeln der Technik<br />
Regelwerk<br />
Sachverständiger<br />
Weitgehend akzeptables Risiko<br />
Experte<br />
Allgemein vertretbares Risiko<br />
Regelwerke müssen nicht mehr „öffentlich verfügbar“ sein. Neue<br />
Fassung: “Sie müssen auf Nachfrage für Bewertungsstellen zugänglich<br />
sein”.<br />
Anhang II mit Kriterien, die Bewertungsstellen erfüllen müssen, wurde<br />
wesentlich überarbeitet. Eine der spezifischen Forderungen ist nun, dass<br />
Bewertungsstellen die Anforderungen der ISO/IEC 17020 erfüllen.<br />
Zusätzlicher Anhang III mit Hinweisen zum Inhalt des Sicherheitsbewertungsberichts<br />
der Bewertungsstelle.<br />
Einführung in die CSM-VO - 05 (UFe) 07.08.2013<br />
Einführg. CSM-VO, Version 1.0 Folie 50
Arbeitsergebnisse aus NeGSt AP 2100 AG 2<br />
http://projekte.fir.de/negst/ -> Veröffentlichungen<br />
[1] Signifikanzbewertung von Änderungen an technischen<br />
Systemen auf Grundlage Ausfallfolgen-Unsicherheits-Matrix<br />
[2] Signifikanz von Änderungen auf Grundlage relevanter<br />
Regelwerke<br />
[3] Allgemein vertretbares Risiko<br />
[4] Risikoakzeptanz auf Basis von ähnlichen Referenzsystemen<br />
[5] Semi-quantitative Verfahren zur expliziten Risikoabschätzung<br />
[6] Unabhängige Bewertung<br />
[7] Einführung in die CSM-VO (dieser Foliensatz)<br />
[8] Erfüllung der CSM-VO durch Anwendung der CENELEC-<br />
Normen<br />
Einführg. CSM-VO, Version 1.0 Folie 51
In den Folien verwendete Abkürzungen (1)<br />
Abk.<br />
Bedeutung<br />
AG 2 Arbeitsgruppe 2<br />
AUM<br />
BMVIT<br />
BÜ<br />
BÜSA<br />
CSM<br />
DKE<br />
EBA<br />
EBC<br />
EG<br />
EiU<br />
Ausfallfolgen-Unsicherheits-Matrix<br />
Bundesministerium für Verkehr, Innovation und<br />
Technologie (Österreich)<br />
Bahnübergang<br />
Bahnübergangssicherungsanlage<br />
Common Safety Method<br />
Deutsche Kommission Elektrotechnik<br />
Eisenbahn-Bundesamt<br />
Eisenbahn-CERT (Notifizierte Stelle in<br />
Deutschland)<br />
Europäische Gemeinschaft<br />
Eisenbahnunternehmen<br />
Einführg. CSM-VO, Version 1.0 Folie 52
In den Folien verwendete Abkürzungen (2)<br />
Abk.<br />
EMV<br />
EN<br />
ERA<br />
ESTW<br />
ETCS<br />
EU<br />
Fzg<br />
IB<br />
LH<br />
NBS<br />
NeGSt<br />
ORR<br />
Bedeutung<br />
Elektromagnetische Verträglichkeit<br />
Europäische Norm<br />
European Railway Agency<br />
Elektronisches Stellwerk<br />
European Train Control System<br />
Europäische Union<br />
Fahrzeug<br />
Infrastrukturbetreiber<br />
Lastenheft<br />
Neubaustrecke<br />
Neue Generation Signaltechnik<br />
(Forschungsprojekt)<br />
Office of Rail Regulation<br />
Einführg. CSM-VO, Version 1.0 Folie 53
In den Folien verwendete Abkürzungen (3)<br />
Abk.<br />
PZB<br />
RA<br />
RE<br />
RMV<br />
SIL<br />
THR<br />
TSI<br />
VDB<br />
VO<br />
Bedeutung<br />
Punktförmige Zugbeeinflussung<br />
Risk Assessment<br />
Risk Evaluation<br />
Risikomanagementverfahren<br />
Safety Integrity Level<br />
Tolerable Hazard Rate<br />
Technical Specifications for Interoperability<br />
Verband der Bahnindustrie in Deutschland<br />
Verordnung<br />
Einführg. CSM-VO, Version 1.0 Folie 54
Zusammenfassung<br />
Grundsätzliche Ähnlichkeit der CSM-VO-Abläufe mit dem Vorgehen nach<br />
EN-Sicherheitsnormen. Beides ist gut kombinierbar. CSM-VO erfordert<br />
jedoch auch spezielle Aktivitäten in begrenztem Umfang.<br />
Gegenüber gewohnten Abläufen neue Akzente durch CSM-VO<br />
Rolle des Vorschlagenden<br />
Kriterium der Signifikanz ("Ausstiegskriterium")<br />
Kriterium des allgemein vertretbaren Risikos<br />
Nutzung bestehender Regelwerke erlaubt (Bestandsschutz<br />
Alttechniken)<br />
Schnittstellenmanagement bei mehreren Akteuren<br />
Die CSM-VO muss vor allem vom Betreiber (IB, EiU) und<br />
Instandhaltungsstellen angewendet werden, in einer ganzen Reihe von<br />
Fällen ist auch der Hersteller betroffen.<br />
Einführg. CSM-VO, Version 1.0 Folie 55
Ende der<br />
Einführung in die<br />
CSM-VO 402/2013<br />
Einführg. CSM-VO, Version 1.0 Folie 56
Neue Generation Signaltechnik<br />
Sektorweite Initiative zur Sicherung der Zukunftsfähigkeit<br />
der Leit- und Sicherungstechnik<br />
<strong>Teil</strong>bericht<br />
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-<br />
Normen<br />
10.01.2013<br />
Laufzeit: 01.09.2011 – 31.08.2013<br />
Projektträger:<br />
TÜV Rheinland Consulting GmbH
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Änderungsverfolgung<br />
Datum Bearbeiter Version Inhalt<br />
13.11.2012 Braband, Griebel (Siemens<br />
V01<br />
Erstellung<br />
AG)<br />
07.12.2012 Braband (Siemens AG) V02 Einarbeitung von Beiträgen von Hrn. Heinig und<br />
Feucht (Thales) sowie Hrn. Griebel (Siemens AG)<br />
10.01.2013 Braband (Siemens AG) V03 Abstimmung durch Walkthrough-Review<br />
Seite 2 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Inhaltsverzeichnis<br />
1 Einleitung ....................................................................................................................4<br />
2 Vorgaben der CSM VO...................................................................................................4<br />
3 Analyse........................................................................................................................ 7<br />
3.1 Voraussetzungen ..................................................................................................... 7<br />
3.2 Prozess-Analyse .......................................................................................................8<br />
3.2.1 Unabhängige Bewertung...............................................................................................8<br />
3.2.2 Gefährdungsmanagement ............................................................................................8<br />
3.2.3 Vorläufige Systemdefinition und Signifikanzbewertung................................................8<br />
3.2.4 Systemdefinition ...........................................................................................................8<br />
3.2.5 Gefährdungsermittlung .................................................................................................8<br />
3.2.6 Gefährdungseinstufung und Weitgehend Akzeptables Risiko .......................................8<br />
3.2.7 Wahl des Grundsatzes der Risikoakzeptanz...................................................................8<br />
3.2.8 Explizite Risikoabschätzung ..........................................................................................9<br />
3.2.9 Risikoevaluierung ..........................................................................................................9<br />
3.2.10 Sicherheitsanforderungen .............................................................................................9<br />
3.2.11 Nachweis der Erfüllung der Sicherheitsanforderungen ..................................................9<br />
4 Analyse der Dokumentation ..........................................................................................9<br />
4.1 Sicherheitsbewertungsbericht ...................................................................................9<br />
4.2 Gefährdungsprotokoll...............................................................................................9<br />
4.3 Nachweis der Erfüllung der Sicherheitsanforderungen............................................... 10<br />
5 Zusammenfassung...................................................................................................... 10<br />
6 Anhang ...................................................................................................................... 12<br />
6.1 Unabhängiger Vergleich der Ergebnisse ................................................................... 12<br />
6.2 Vergleich zwischen CENELEC und Revisions-Entwurf CSM VO.................................... 13<br />
6.3 Vergleich zwischen pr-EN 50126-x(2012) und Revisions-Entwurf CSM VO .................... 15<br />
6.4 Referenzen ............................................................................................................ 16<br />
6.5 Abkürzungen ......................................................................................................... 17<br />
Seite 3 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Einleitung<br />
1 Einleitung<br />
Der Umgang mit Änderungen, die vollständig auf Grundlage von Regelwerken durchgeführt werden,<br />
hat bei der Durchführung der EG Verordnung 352/2009 zu einigen Diskussionen geführt. Dies<br />
liegt unter anderem an teilweise den Sinn der Verordnung verändernden Übersetzungen aus dem<br />
englischen Original, aber auch an unklaren oder unvollständigen Formulierungen.<br />
Insbesondere im Fall, dass das Regelwerk die CENELEC-Normen EN 50126 ff sind, war es eigentlich<br />
Intention der ERA-Arbeitsgruppe, dass bei Einhaltung dieser Normenreihe automatisch auch die<br />
Vorgaben der CSM-VO erfüllt sind. Allerdings wurde dies in der CSM VO nicht direkt hinterlegt, sondern<br />
nur in den Guidance Dokumenten der ERA diskutiert. Außerdem kann es natürlich sein, dass<br />
diese Absicht im komplizierten politischen Komitologie-Prozess der EU, der sich an die Erarbeitung<br />
der technischen Empfehlung der ERA anschließt, verwässert oder verändert wurde.<br />
Deswegen soll in diesem Dokument explizit analysiert werden, ob und ggf. unter welchen Randbedingungen<br />
die Aussage „Mit der Einhaltung der CENELEC-Normen EN 50126 ff werden auch die<br />
Anforderungen der CSM Vo erfüllt“ gültig ist. Mit der Bezeichnung EN 50126ff ist der derzeit gültige<br />
Stand der CENELEC-Normen EN 50126, 50128 und 50129 gemeint. Der Revisionsentwurf wird zur<br />
Unterscheidung als prEN 50126-x bezeichnet.<br />
2 Vorgaben der CSM VO<br />
Der grundsätzliche Prozess aus der CSM VO wird noch einmal dargestellt, um die Lesbarkeit zu erleichtern:<br />
Seite 4 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Vorgaben der CSM VO<br />
Abbildung 1: CSM Prozess<br />
Aus rechtlichen Gründen verweist die CSM VO nicht direkt auf die CENELEC-Normen, aber in Kapitel<br />
2 der Beispielsammlung zur CSM VO [CSM EX] wird explizit auf den Zusammenhang zur CSM VO<br />
eingegangen:<br />
Das Risikomanagementverfahren der CSM lässt sich als V-Darstellung abbilden, beginnend mit der<br />
(vorläufigen) Systemdefinition und endend mit der Systemabnahme: Siehe Abbildung 4. Dieses ver-<br />
Seite 5 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Vorgaben der CSM VO<br />
einfachte V-Bild kann daraufhin auf die klassische V-Darstellung von Bild 10 der Norm EN 50 126-1<br />
{Ref. 8} abgebildet werden. Um die Entsprechung des Risikomanagementverfahrens der CSM nach<br />
Abbildung 1 zu verdeutlichen, wird in Abbildung 5 die V-Darstellung nach Bild 10 der CENELEC übernommen:<br />
(a) die „vorläufige Systemdefinition“ der CSM nach Abbildung 1 entspricht der Phase 1 im V-<br />
Bild der CENELEC, d. h. der „Konzept“-Systemdefinition (siehe BOX 1 in Abbildung 5);<br />
(b) die „Risikobewertung“ der CSM nach Abbildung 1 umfasst die folgenden Phasen der V-<br />
Darstellung der CENELEC (siehe BOX 2 in Abbildung 5):<br />
(1) Phase 2 in Abbildung 5: „Systemdefinitionen und Anwendungsbedingungen“;<br />
(2) Phase 3 in Abbildung 5: „Risikoanalyse“;<br />
(3) Phase 4 in Abbildung 5: „Anforderungen an das System“;<br />
(4) Phase 5 in Abbildung 5: „Zuteilung der Systemanforderungen“ zu den verschiedenen <strong>Teil</strong>systemen<br />
und Komponenten.<br />
Abbildung 2: Vergleiche CSM Prozess und CENELEC V-Modell<br />
Seite 6 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Analyse<br />
Dieser Zusammenhang wird dann in weiteren Ausführungen und Abbildungen noch detailliert. Insbesondere<br />
wird explizit festgestellt:<br />
Diese Ausgaben der CSM-Risikobewertung entsprechen den sicherheitsbezogenen Outputs der Phase<br />
4 in der V-Darstellung der CENELEC, d. h. der Spezifikation der Systemanforderungen in Abbildung<br />
5. …<br />
Das bedeutet, dass der „Nachweis der Übereinstimmung des Systems mit den Sicherheitsanforderungen“<br />
in der CSM nicht nur die Aktivitäten der „Verifizierung und Validierung“ durch Tests und Simulation<br />
beinhaltet. In der Praxis umfasst er alle Phasen „6 bis 10“ (siehe Liste oben und Abbildung 5) der<br />
V-Darstellung der CENELEC. Diese beinhalten die Aktivitäten der Entwicklung/Konstruktion, Fertigung,<br />
Installation/Montage, Verifizierung und Validierung sowie die verbundenen RAMS-Aktivitäten<br />
und die Systemabnahme.<br />
Zusammengefasst kommt die ERA zu folgendem Ergebnis:<br />
Der Vergleich mit der klassischen V-Darstellung der CENELEC nach Abbildung 5 führt zu folgendem<br />
Ergebnis:<br />
(a) Die CSM behandelt die Phasen „1 bis 10“ und „13“ dieser V-Darstellung. Diese beinhalten<br />
die für die Abnahme des zu bewertenden Systems erforderliche Reihe von Aktivitäten;<br />
(b) Die CSM behandelt nicht die Phasen „11“, „12“ und „14“ des Systemlebenszyklus.<br />
(1) Die Phasen „11“ und „12“ beziehen sich auf „Betrieb und Instandhaltung“ bzw.<br />
„Kontrolle der Leistungsfähigkeit“ des Systems nach seiner Abnahme auf Grundlage<br />
der CSM. Diese beiden Phasen werden durch das Sicherheitsmanagementsystem<br />
(SMS) der EBU und FB erfasst – (Siehe BOX 4 in Abbildung 5). Falls jedoch im Zuge<br />
des Betriebs, der Instandhaltung oder der Kontrolle der Leistungsfähigkeit eine Umund<br />
Nachrüstung des Systems für notwendig erachtet wird (Phase 13 in Abbildung 5),<br />
während dieses also bereits betrieben wird, wird die CSM auf die erforderlichen neuen<br />
Änderungen gemäß Artikel 2 noch einmal angewendet. Deshalb gilt, wenn es sich um<br />
eine signifikante Änderung handelt:<br />
(i) Die CSM-Verfahren von Risikomanagement und Risikobewertung kommen<br />
bei diesen neuen Änderungen zur Anwendung;<br />
(ii) Eine Abnahme gemäß Artikel 6 ist für diese neuen Änderungen erforderlich;<br />
(2) Auch die „Stilllegung und Entsorgung“ eines bereits im Betrieb befindlichen Systems<br />
(Phase 14) könnte als signifikante Änderung betrachtet werden, so dass für<br />
Phase 14 der Abbildung 5 die erneute Anwendung der CSM gemäß Artikel 2 in Betracht<br />
käme.<br />
Daraus ist eindeutig die Absicht belegbar, dass CSM VO und CENELEC-Normen vom Entwurf her<br />
kompatibel sein sollen. In den folgenden Abschnitten wird geprüft, ob sich im Detail Abweichungen<br />
davon erkennen lassen.<br />
3 Analyse<br />
3.1 Voraussetzungen<br />
Die folgenden Annahmen bzw. Voraussetzungen werden der Analyse zugrunde gelegt:<br />
1. Es werden nur Änderungen an technischen Systemen betrachtet<br />
2. Die Änderungen erfolgen vollständig auf Grundlage der CENELEC-Normen EN 50126/28/29<br />
3. Es wird der derzeit gültige Stand der CENELEC-Normen betrachtet. Eine Erweiterung der<br />
Analyse auf die neuen prEN 50126-x Entwürfe erfolgt im Anhang<br />
4. Falls der Hersteller Vorschlagender ist, wird ohne Beschränkung der Allgemeingültigkeit der<br />
Analyse angenommen, dass die Änderung wie eine signifikante Änderung behandelt wird.<br />
Damit kann auf die Betrachtung dieses Schrittes verzichtet werden und die Analyse verkürzt<br />
werden.<br />
Seite 7 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Analyse<br />
3.2 Prozess-Analyse<br />
Die Analyse erfolgt aus dem Blickwinkel der CENELEC-Normen, d. h. es wird angenommen, dass<br />
diese erfüllt wurden und es wird argumentiert, wie die CSM VO dadurch ebenso erfüllt wird.<br />
3.2.1 Unabhängige Bewertung<br />
Die CENELEC-Normen machen keine Aussagen über Auswahlkriterien für Bewertungsstellen, sondern<br />
stellen nur Anforderungen an die Unabhängigkeit und Kompetenz eines Gutachters als Ersteller<br />
eines unabhängigen Sicherheitsgutachtens. Insofern gibt es keine Widersprüche, es müssen aber<br />
ggf. zusätzliche Anforderungen bez. Anerkennung von Bewertungsstellen nach CSM VO berücksichtigt<br />
werden. Liegt eine Akkreditierung nach DIN ISO 17020 vor, so sollten die Anforderungen an die<br />
Bewertungsstellen erfüllt sein.<br />
3.2.2 Gefährdungsmanagement<br />
Die Aktivitäten sind inhaltlich in den CENELEC-Normen vorhanden und den entsprechenden Phasen<br />
zugeordnet.<br />
3.2.3 Vorläufige Systemdefinition und Signifikanzbewertung<br />
Die vorläufige Systemdefinition entspricht der Konzeptphase (Phase 1 in CENELEC). Wenn jede<br />
Änderung als signifikant behandelt wird, ist dieser Schritt nicht relevant und kann entfallen.<br />
3.2.4 Systemdefinition<br />
Dieser Schritt ist identisch mit Phase 2 nach CENELEC. Der Inhalt erscheint zunächst in zwei Punkten<br />
detaillierter, und zwar wird in 2.2.6 gefordert<br />
(f) bestehende Sicherheitsmaßnahmen und – nach mehrfacher Anwendung – Definition der im Rahmen<br />
des Risikobewertungsverfahrens ermittelten Sicherheitsanforderungen;<br />
(g) Annahmen, die die Grenzen der Risikobewertung bestimmen.<br />
Bei erstmaliger Anwendung gibt es in der Regel keine bestehenden Sicherheitsmaßnahmen, d. h.<br />
Forderung (f) ist nicht relevant. Bei einer Änderung (Phase 13 Umrüstung und Nachrüstung in CE-<br />
NELEC) wird in die Phase zurückgesprungen, die relevant ist. Wird die Risikoanalyse nicht verändert,<br />
so wird natürlich auf dem vorhandenen Sicherheitsnachweis bzw. den aus der Risikoanalyse abgeleiteten<br />
Sicherheitszielen aufgebaut, aber es erscheint inhaltlich nicht sinnvoll, hier formal noch einmal<br />
die Systemdefinition der Risikoanalyse anzupassen. Außerdem wird im Rahmen des Sicherheitsmanagements<br />
nach EN 50129 für jede Änderung ein Sicherheitsplan erstellt, der wiederum eine Systemdefinition<br />
enthält. Dort sollte Punkt (f) berücksichtigt werden und wird es inhaltlich auch.<br />
Der Punkt (g) ist ein <strong>Teil</strong>aspekt der Annahmen, die der Risikoanalyse zugrunde liegen. Er wird nach<br />
EN 50126 Abschnitt 4.6.2.1 im Rahmen der Risikoanalyse dokumentiert. Aus fachlicher Sicht ist das<br />
ausreichend. Eine Notwendigkeit, dies bereits im Rahmen der Systemdefinition zu tun, ergibt sich<br />
nicht.<br />
3.2.5 Gefährdungsermittlung<br />
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.<br />
3.2.6 Gefährdungseinstufung und Weitgehend Akzeptables Risiko<br />
Die CENELEC Normen benutzen das Konzept des Weitgehend Akzeptablen Risikos nicht. Wenn es<br />
nicht benutzt wird, ist auch der Schritt der Gefährdungseinstufung oder Gefährdungsklassifikation<br />
nicht zwingend notwendig und diese beiden Schritte können entfallen.<br />
3.2.7 Wahl des Grundsatzes der Risikoakzeptanz<br />
Die aktuell gültigen CENELEC-Normen benennen die verschiedenen Grundsätze nicht, sondern<br />
kennen nur die Phase 3 „Risikoanalyse“, die dem Grundsatz der expliziten Risikoabschätzung nach<br />
Seite 8 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Analyse der Dokumentation<br />
CSM VO entspricht. Insofern stellt die CSM VO formal eine Obermenge bez. der CENELEC-Normen<br />
dar, aber die CSM VO wird durch Wahl der Option „ähnliche Referenzsysteme“ oder „explizite Risikoabschätzung“<br />
erfüllt.<br />
Das Risikoakzeptanzkriterium GAMAB ist grundsätzlich sehr ähnlich zum Risikoakzeptanzkriterium<br />
„Vergleich mit Referenzsystem“ nach CSM VO, d. h. diese Vorgehensweise wird auch bei Anwendung<br />
der CENELEC-Normen praktiziert.<br />
3.2.8 Ähnliche Referenzsysteme<br />
Dieser Ansatz wurde auch schon nach den CENELEC-Normen praktiziert.<br />
3.2.9 Explizite Risikoabschätzung<br />
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.<br />
3.2.10 Risikoevaluierung<br />
Dieser Schritt ist enthalten in Phase 3 nach CENELEC.<br />
3.2.11 Sicherheitsanforderungen<br />
Dieser Schritt entspricht, je nach Detaillierungsgrad, Phase 4 oder 5 nach CENELEC. Die Phase „Zuteilung<br />
der Sicherheitsanforderungen“ könnte auch teilweise oder ganz im Schritt „Nachweis der<br />
Erfüllung der Sicherheitsanforderungen“ enthalten sein, wenn es sich z. B. um ein Gesamtsystem<br />
handelt.<br />
3.2.12 Nachweis der Erfüllung der Sicherheitsanforderungen<br />
Dieser Schritt umfasst die Phasen 6-11 sowie 13 nach CENELEC. Die CSM VO enthält diese Schritte<br />
nur der Vollständigkeit halber, macht aber keine konkreten gesetzlichen Vorgaben, sondern überlässt<br />
dieses den einschlägigen Normen.<br />
4 Analyse der Dokumentation<br />
Die CSM VO macht nur wenige Vorgaben bezüglich spezifischer Dokumentation. In den Beispielen<br />
der ERA zur CSM VO wird auch bereits festgestellt, dass „Diese Ausgaben der CSM-<br />
Risikobewertung … den sicherheitsbezogenen Outputs der Phase 4 in der V-Darstellung der CENE-<br />
LEC, d. h. der Spezifikation der Systemanforderungen, [entsprechen] …“, d. h. die ERA hat hier<br />
selbst schon Kompatibilität festgestellt.<br />
Dies bedeutet, dass bez. der Dokumentation nur noch wenige, in der CSM VO direkt genannte Dokumente<br />
zu betrachten sind.<br />
4.1 Sicherheitsbewertungsbericht<br />
Der Inhalt wird nicht detailliert vorgegeben. Das Gutachten nach CENELEC erfüllt die Vorgaben der<br />
CSM VO, soweit dies die technischen Änderungen betrifft. Trotzdem ist es natürlich ratsam , im<br />
Gutachten auf die spezifische Struktur des CSM-Prozesses einzugehen.<br />
4.2 Gefährdungsprotokoll<br />
Der Inhalt entspricht dem Gefährdungsprotokoll nach CENELEC, allerdings sind in der CSM VO zum<br />
<strong>Teil</strong> explizitere Vorgaben als in den CENELEC-Normen gemacht, z. B. explizite Ausweisung der Verantwortlichkeit<br />
für jede Gefährdung. Inhaltlich wird dies in der EN 50129 über die hierarchische Gliederung<br />
der Gefährdungen, siehe zum Beispiel Bild 9 sowie Bild A.4 dort, sowie die Zuordnung in den<br />
entsprechenden Sicherheitsplänen erreicht, aber es ist möglich, dass dies in den Gefährdungsprotokollen<br />
nicht explizit ausgewiesen wird. Bei technischen Änderungen, die nur einen Hersteller betreffen,<br />
ist die Verantwortung klar und muss nicht notwendigerweise explizit aufgeführt werden.<br />
Seite 9 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Zusammenfassung<br />
Weitere Abweichungen betreffen den Nachweis und die Herkunft des mit jeder Gefährdung verbundenen<br />
Risikos (akzeptabel oder nicht) sowie die Angabe und Herkunft des gewählten Risikoakzeptanzgrundsatzes<br />
und deren bestimmte Kriterien. Bei Änderungen an technischen Systemen ist diese<br />
Angabe nicht erforderlich, wenn sich an der Risikoanalyse nichts ändert.<br />
Diesee Aspekte sollten gegebenenfalls in den überarbeiten CENELEC-Normen berücksichtigt werden.<br />
4.3 Nachweis der Erfüllung der Sicherheitsanforderungen<br />
Der Inhalt wird nicht detailliert vorgegeben. Der Sicherheitsnachweis nach CENELEC erfüllt für Änderungen<br />
an technischen Systemen die Vorgaben der CSM VO, da dieser explizit ein gleichnamiges<br />
Kapitel enthält.<br />
5 Zusammenfassung<br />
Die Analyse belegt inhaltlich die Gültigkeit der Aussage „Mit der Einhaltung der CENELEC-Normen<br />
EN 50126 ff werden auch die Anforderungen der CSM VO erfüllt“. Diese Intention ist auch klar in den<br />
Leitlinien und Beispielen der ERA ersichtlich.<br />
Aus formalen Gründen bzw. handwerklichen Unzulänglichkeiten bei der Abstimmung der CSM VO<br />
gibt es einzelne Abweichungen zwischen den CENELEC-Normen und der CSM VO. Eine Anpassung<br />
der Prozesse würde gegebenenfalls den Klärungsbedarf reduzieren. Es wird vorgeschlagen, die folgende<br />
Tabelle als Interpretationshilfe in den eigenen Prozess zu kopieren und diesen Ergebnisbericht<br />
als Erläuterung dazu zu referenzieren. Die Einträge in der Tabelle sind dabei als Vorschläge zu<br />
verstehen, die je nach firmenspezifischen Gegebenheiten angepasst werden können:<br />
Thema Abweichungen Anpassung<br />
Vorschlagender Die CENELEC-Normen kennen den Begriff<br />
nicht.<br />
Diese Rolle wird in der Regel<br />
durch den Betreiber wahrgenommen.<br />
Falls der Hersteller<br />
als Vorschlagender auftritt,<br />
dann sollte dies im Prozess<br />
berücksichtigt werden.<br />
Signifikanzprüfung<br />
Systemdefinition<br />
Risikoeinschätzung<br />
Risikobewertung<br />
Kategorisierung der geplanten Änderung<br />
Prüfung auf Sicherheitsrelevanz<br />
Prüfung der Signifikanz<br />
Auflistung vorhandener systeminterner<br />
Sicherheitsmaßnahmen<br />
Umfang des Verfahrens festlegen (Systemannahmen<br />
und –grenzen)<br />
Prüfung der Anteilseinhaltung und<br />
Zulässigkeit der Gefährdungen nach dessen<br />
Risikohöhen (akzeptabel oder nicht)<br />
Festlegung und Anwendung eines<br />
Risikoakzeptanzgrundsatzes für jede<br />
Nur für Vorschlagende relevant.<br />
Diese Rolle wird in der<br />
Regel durch den Betreiber<br />
wahrgenommen. Falls eine<br />
Signifikanzbewertung notwendig<br />
ist, kann dieses nach<br />
[Ergebnisbericht_Signifikanz]<br />
durchgeführt werden.<br />
Formale Abweichung, inhaltlich<br />
erfüllt siehe 3.2.4<br />
Im Prozessschritt Systemdefinition<br />
sollte eine Erläuterung<br />
nach 3.2.4 aufgenommen<br />
werden, bzw. ein Verweis,<br />
wo die Inhalte (f) und<br />
(g) zu finden sind.<br />
Nicht relevant, siehe 3.2.6.<br />
Nicht relevant, siehe 3.2.7.<br />
Auswahl des Risikoakzep-<br />
Seite 10 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Zusammenfassung<br />
tanzkriteriums ist nach CE-<br />
NELEC nicht vorgegeben.<br />
Formale Abweichung, inhaltlich<br />
erfüllt, soweit dies technische<br />
Änderungen betrifft,<br />
siehe 4.2<br />
Der Aufbau des Gefährdungsprotokolls<br />
sollte entweder<br />
ergänzt werden, oder<br />
es sollten Erläuterungen im<br />
Sinne von 4.2 in die Prozessbeschreibung<br />
aufgenommen<br />
werden.<br />
Gefährdungsmanagement<br />
(Gefährdungsprotokoll)<br />
Gefährdung<br />
Definition von Risikoakzeptanzkriterien<br />
Angabe des beteiligten Akteurs, der<br />
für Gefährdung verantwortlich ist<br />
Nachweis und Herkunft des mit jeder<br />
Gefährdung verbundenen Risikos<br />
(akzeptabel oder nicht)<br />
Angabe und Herkunft des gewählten<br />
Risikoakzeptanzgrundsatzes und<br />
deren bestimmten Kriterium<br />
Gefährdungsmanagement<br />
(Schnittstellenprotokoll)<br />
Nachweis der Erfüllung<br />
der Sicherheitsanforderungen<br />
Unabhängige Bewertung<br />
bzw. Sicherheitsbewertungsbericht<br />
Erstellung eines Schnittstellenprotokolls<br />
(wenn erforderlich) mit folgenden Kriterien:<br />
o Definition von Begriffen und<br />
Meldungen<br />
o Festlegung des Verantwortlichen für<br />
Dokumentation<br />
o Angaben zu allen Systemannahmen<br />
o Angaben zur Gefährdung und deren<br />
Risiken<br />
o Angaben zu den ermittelten<br />
Sicherheitsmaßnahmen durch die<br />
verschiedenen Grundsätze<br />
o Angaben zu den vorhandenen<br />
Verwendungsbeschränkungen<br />
o eigenen Erfahrungen beim Versuch<br />
der Risikokontrolle<br />
Dieser Nachweis ist <strong>Teil</strong> des Sicherheitsnachweises<br />
von CENELEC, soweit dies technische<br />
Änderungen betrifft.<br />
Benennung einer Bewertungsstelle<br />
Bewertung der Vergleiche und Prüfungen<br />
sind in einem Sicherheitsbewertungsbericht<br />
zu dokumentieren<br />
Tabelle 1:Zusammenfassung der Ergebnisse<br />
Die CSM VO definiert nur<br />
informell eine „Meldung“, die<br />
im Rahmen des Sicherheitsmanagements<br />
frei definiert<br />
werden kann. Ein geeigneter<br />
Ort wäre z. B. der Sicherheitsplan,<br />
der auch die Beziehungen<br />
zu Unterauftragnehmern<br />
etc. regeln sollte.<br />
Die Dokumentation kann im<br />
Sicherheitsmanagementbericht<br />
erfolgen.<br />
Nur für Vorschlagende relevant.<br />
Diese Rolle wird in der<br />
Regel durch den Betreiber<br />
wahrgenommen.<br />
Siehe 3.2.1. Das Gutachten<br />
nach CENELEC erfüllt diese<br />
Anforderungen, soweit dies<br />
technische Änderungen betrifft.<br />
Die Kriterien bez. unabhängiger<br />
Bewertung sollte explizit<br />
aus der CSM VO übernommen<br />
werden, wenn nicht<br />
nach DIN ISO 17020 vorgegangen<br />
wird<br />
.<br />
Seite 11 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
6 Anhang<br />
6.1 Unabhängiger Vergleich der Ergebnisse<br />
Eine ähnliche Aufgabenstellung wurde parallel und unabhängig davon in einer Diplomarbeit von<br />
Hrn. Heinig (TU Dresden) untersucht:<br />
Die vorliegende Arbeit untersucht die qualitativen Risikomanagementprozesse für<br />
Bahnanwendungen und deren Anforderungen zum Nachweis einer konformen Anwendung<br />
der CSM-Verordnung und der EN 5012x. In diesem Zusammenhang wird die<br />
Konformität der Vorgehensweisen und Anforderungen nach der CSM-Verordnung und<br />
den EN 5012x analysiert.<br />
Das angestrebte Ergebnis bestand allerdings in einer Synthese der CSM VO und der CENELEC-<br />
Normen, d. h. einer Vorgehensweise, die beide Prozesse unter einem Dach vereint. In der vorliegenden<br />
Analyse wird nur die Erfüllung der Anforderungen der CSM VO bei Vorgehen nach CENELEC<br />
untersucht, d. h. eine wesentlich eingeschränktere Fragestellung. Allerdings eignen sich die Ergebnisse<br />
der Diplomarbeit sehr gut als unabhängiger Check.<br />
In Kapitel 6.2.3 werden die in der Diplomarbeit festgestellten Abweichungen zwischen CSM VO und<br />
CENELEC rot hervorgehoben. Diese Abweichungen werden jetzt in Bezug auf Relevanz für unsere<br />
Analyse untersucht. Es sei bemerkt, dass hier die Terminologie der Diplomarbeit verwendet wird<br />
und nur die dort erkannten Abweichungen diskutiert werden. Eine weitere Überprüfung der Argumentation<br />
bzw. Ergebnisse ist nicht erfolgt.<br />
Thema Abweichungen Diskussion<br />
Signifikanzprüfung<br />
Kategorisierung der geplanten Änderung<br />
Nicht relevant, siehe 3.2.3<br />
Prüfung auf Sicherheitsrelevanz<br />
Prüfung der Signifikanz<br />
Systemdefinition<br />
Auflistung vorhandener systeminterner<br />
Sicherheitsmaßnahmen<br />
Formale Abweichung, inhaltlich<br />
erfüllt siehe 3.2.4<br />
Umfang des Verfahrens festlegen (Systemannahmen<br />
und –grenzen)<br />
Risikoeinschätzung Prüfung der Anteilseinhaltung und<br />
Zulässigkeit der Gefährdungen nach<br />
dessen Risikohöhen (akzeptabel oder<br />
nicht)<br />
Nicht relevant, siehe 3.2.6.<br />
Risikobewertung<br />
Gefährdungsmanagement<br />
(Gefährdungsprotokoll)<br />
Gefährdungsmanagement<br />
(Schnittstellenprotokoll)<br />
Festlegung und Anwendung eines<br />
Risikoakzeptanzgrundsatzes für jede<br />
Gefährdung<br />
Definition von Risikoakzeptanzkriterien<br />
Angabe des beteiligten Akteurs, der<br />
für Gefährdung verantwortlich ist<br />
Nachweis und Herkunft des mit jeder<br />
Gefährdung verbundenen Risikos<br />
(akzeptabel oder nicht)<br />
Angabe und Herkunft des gewählten<br />
Risikoakzeptanzgrundsatzes und<br />
deren bestimmten Kriterium<br />
Erstellung eines Schnittstellenprotokolls<br />
(wenn erforderlich) mit folgenden Kriterien:<br />
Nicht relevant, siehe 3.2.7.<br />
Auswahl des Risikoakzeptanzkriteriums<br />
ist nach CE-<br />
NELEC nicht vorgegeben.<br />
Formale Abweichung, inhaltlich<br />
erfüllt, siehe 4.2<br />
Die CSM VO definiert nur<br />
informell eine „Meldung“,<br />
die im Rahmen des Sicher-<br />
Seite 12 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
Unabhängige Bewertung<br />
o Definition von Begriffen und<br />
Meldungen<br />
o Festlegung des Verantwortlichen für<br />
Dokumentation<br />
o Angaben zu allen Systemannahmen<br />
o Angaben zur Gefährdung und deren<br />
Risiken<br />
o Angaben zu den ermittelten<br />
Sicherheitsmaßnahmen durch die<br />
verschiedenen Grundsätze<br />
o Angaben zu den vorhandenen<br />
Verwendungsbeschränkungen<br />
o eigenen Erfahrungen beim Versuch<br />
der Risikokontrolle<br />
Benennung einer Bewertungsstelle<br />
Bewertung der Vergleiche und Prüfungen<br />
sind in einem Sicherheitsbewertungsbericht<br />
zu dokumentieren<br />
Tabelle 3: Vergleich der Abweichungen<br />
6.2 Vergleich zwischen CENELEC und Revisions-Entwurf CSM VO<br />
heitsmanagements frei<br />
definiert werden kann. Ein<br />
geeigneter Ort wäre z. B.<br />
der Sicherheitsplan, der<br />
auch die Beziehungen zu<br />
Unterauftragnehmern etc.<br />
regeln sollte.<br />
Siehe 3.2.1. Das Gutachten<br />
nach CENELEC erfüllt diese<br />
Anforderungen.<br />
Die folgenden Tabellen stellen zunächst die größeren und kleineren Änderungen zwischen der gültigen<br />
CSM VO und dem Revisionsentwurf DV 36 vom 6.11.2012 dar. Dies war die Version, die in RISC<br />
verteilt wurde.<br />
Größere Änderungen der DV36 gegenüber CSM-VO (352/2009)<br />
Maintenance-Stellen: Auf gleicher Ebene wie Eisenbahnunternehmen (EU´s)<br />
und Fahrwegbetreiber (FB´s) tauchen jetzt zusätzlich Maintenance-Stellen auf,<br />
die auch ein risk assessment betreiben müssen (mit Verweis auf Artikel 14 von<br />
Richtlinie 2004/49/EC bzw. Hinweis auf spezielle Verordnung No 445/2011)<br />
Erweiterter Scope: Im Scope der 352/2009 ist Pkt. 3 (Ausnahmen für Metros,<br />
Trams etc.) gestrichen. D.h. die Verordnung ist dann auch für diese Art von<br />
Bahnen gültig.<br />
Akkreditierung/Recognition: Aufnahme eigener Regelungen für Stellen, die<br />
die Eignung von Bewertungsstellen (im Sinne der CSM-VO) feststellen sollen.<br />
Alternativ zur Akkreditierung wird auch die Option der Recognition einer Bewertungsstelle<br />
behandelt.<br />
Zusätzlicher Annex III mit Hinweisen zum Inhalt des Safety Assessment Reports<br />
siehe DV36 bei<br />
Präambel (4),<br />
(12), viele andere<br />
Stellen, an denen<br />
bisher nur EU´s<br />
bzw. FB´s aufgeführt<br />
waren<br />
Article 2<br />
- Präambel (13),<br />
(14), (15), (17)<br />
- Definitions<br />
(29), (30)<br />
- Article 7<br />
- Article 8<br />
- Article 11<br />
- Article 13<br />
- Article 14<br />
- Annex II<br />
Annex III<br />
Seite 13 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
Tabelle 4: Größere Änderungen im Revisionsentwurf<br />
Weitere Änderungen der DV36 gegenüber CSM-VO (352/2009)<br />
Neue/geänderte Definitionen<br />
Meinungsbildung des Proposers zum Safety Assessment Report: Der Proposer<br />
soll/kann Position beziehen zu den Conclusions im Safety Assessment Report<br />
und ggfs. begründen, an welchen Stellen er nicht zustimmt und warum.<br />
Berücksichtigung des Safety Assessment Report durch die NSA:<br />
- 352/2009, Article 7 Pkt. 2: „... the safety assessment report shall be taken into<br />
account by the national safety authority in its decision ...”.<br />
- DV36: “... the safety assessment report shall be accepted by the national<br />
safety authority in its decision ...”.<br />
Berücksichtigung des Safety Assessment Report durch den NoBo:<br />
siehe DV36 bei<br />
Definitions<br />
(11)<br />
(25)<br />
(27) – (30)<br />
Article 15 Pkt. 1<br />
Article 15, Pkt. 2<br />
und 3<br />
Article 15, Pkt. 4<br />
- 352/2009, Article 7, Pkt. 3: „... the safety assessment report shall be taken<br />
into account by the notified body”.<br />
- DV36: “... the safety assessment report shall be accepted by the notified<br />
body … unless…”<br />
Außerkraftsetzen von 352/2009: 1 Jahr nach Inkraftsetzen von DV31 (bzw. der<br />
dann offiziellen Version der CSM-VO)<br />
Article 18<br />
Datum, ab dem die Verordnung anzuwenden ist: 1 Jahr nach Inkraftsetzen. Article 19<br />
Präzisierung der Bedingungen, dass ein code of practice als relevant zur Gefährdungsabdeckung<br />
angesehen werden kann: “Successful application of a<br />
code of practice for similar cases to manage changes and control effectively<br />
the identified hazards of a system in the sense of this Regulation is sufficient<br />
for it to be considered as relevant”<br />
Codes of practice müssen nicht mehr „publicly available“ sein: In DV36 heißt<br />
es jetzt: “Upon request, they must be available to assessment bodies for them<br />
to either assess or, where relevant, mutually recognise…”<br />
Präzisierung der inhaltlichen Anforderungen an Annex I, 5. „EVIDENCE<br />
FROM THE APPLICATION OF THE RISK MANAGEMENT PROCESS“ .<br />
Annex I, 2.3.2 (b)<br />
Annex I, 2.3.2 (c)<br />
Annex I, 5.<br />
- Ergänzung “… of the appropriateness of its results are accessible.. “<br />
- neu<br />
- neu<br />
Grafik im Appendix, Aussprünge ergänzt: „Justify and document“ bei<br />
Aussprüngen aus „Significant Change?“ und „Broadly Acceptable?“<br />
5.1<br />
5.2 (c) und (d)<br />
5.3<br />
Appendix<br />
Tabelle 5: Weitere Änderungen im Revisionsentwurf<br />
Zusammenfassend kann man feststellen, dass durch die Änderungen im Revisionsentwurf keine<br />
neuen Abweichungen im Vergleich zu Tabelle 1 hinzugekommen sind.<br />
Seite 14 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
6.3 Vergleich zwischen prEN 50126-x(2012) und Revisions-Entwurf CSM VO<br />
Thema Abweichungen zu „alter“ EN50126 Aussage bzgl. prEN50126-<br />
x(2012) [prEN]<br />
Vorschlagender<br />
Die CENELEC-Normen kennen den<br />
Begriff nicht.<br />
Diese Rolle wird in der Regel<br />
durch den Betreiber wahrgenommen.<br />
Falls der Hersteller<br />
als Vorschlagender<br />
auftriitt, dann sollte dies im<br />
Prozess berücksichtigt werden.<br />
Signifikanzprüfung<br />
Systemdefinition<br />
Risikoeinschätzung<br />
Risikobewertung<br />
Gefährdungsmanagement<br />
(Gefährdungsprotokoll)<br />
Gefährdungsmanagement<br />
(Schnittstellenprotokoll)<br />
Kategorisierung der geplanten Änderung<br />
Prüfung auf Sicherheitsrelevanz<br />
Prüfung der Signifikanz<br />
Auflistung vorhandener systeminterner<br />
Sicherheitsmaßnahmen<br />
Umfang des Verfahrens festlegen (Systemannahmen<br />
und –grenzen)<br />
Prüfung der Anteilseinhaltung und<br />
Zulässigkeit der Gefährdungen nach<br />
dessen Risikohöhen (akzeptabel oder<br />
nicht)<br />
Festlegung und Anwendung eines<br />
Risikoakzeptanzgrundsatzes für jede<br />
Gefährdung<br />
Definition von Risikoakzeptanzkriterien<br />
Angabe des beteiligten Akteurs, der<br />
für Gefährdung verantwortlich ist<br />
Nachweis und Herkunft des mit jeder<br />
Gefährdung verbundenen Risikos<br />
(akzeptabel oder nicht)<br />
Angabe und Herkunft des gewählten<br />
Risikoakzeptanzgrundsatzes und<br />
deren bestimmten Kriterium<br />
Erstellung eines Schnittstellenprotokolls<br />
(wenn erforderlich) mit folgenden Kriterien:<br />
o Definition von Begriffen und<br />
Meldungen<br />
o Festlegung des Verantwortlichen für<br />
Dokumentation<br />
Nicht relevant, wie in<br />
Fehler! Verweisquelle<br />
konnte nicht gefunden<br />
werden. aufgezeigt<br />
Systemannahmen und –<br />
grenzen sowie deren<br />
Schnittstellenbeschreibungen<br />
werden in prEN gefordert<br />
Die Auflistung systeminterner<br />
Sicherheitsmaßnahmen<br />
wird im Safety Case verlangt.<br />
In prEN wird für jeder Gefährdung<br />
entweder eine<br />
quantitative Vorgabe (THR)<br />
oder eine anderweitige Vorgabe,<br />
auch qualitativ, ermittelt<br />
und deren Zulässigkeit<br />
ermittelt.<br />
In prEN werden die drei in<br />
der CSM VO stipulierten<br />
Risikoakzeptanzkriterien<br />
aufgeführt.<br />
Die Grundsätze des Safetymanagements,<br />
der Risikoanalyse<br />
sowie der Hazard<br />
Controlphase der prEN<br />
Die Systemdefinition inkl.<br />
der dortigen Schnittstellendefinitionen,<br />
der Nachweis<br />
des Safetymanagements<br />
sowie die Erweiterung um<br />
qualitative Ansätze erfüllen<br />
die Vorgaben der CSM VO.<br />
Zusätzlich werden die Ver-<br />
Seite 15 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
Nachweis der Erfüllung<br />
der Sicherheitsanforderungen<br />
Unabhängige Bewertung<br />
o Angaben zu allen Systemannahmen<br />
o Angaben zur Gefährdung und deren<br />
Risiken<br />
o Angaben zu den ermittelten<br />
Sicherheitsmaßnahmen durch die<br />
verschiedenen Grundsätze<br />
o Angaben zu den vorhandenen<br />
Verwendungsbeschränkungen<br />
o eigenen Erfahrungen beim Versuch<br />
der Risikokontrolle<br />
Benennung einer Bewertungsstelle<br />
Bewertung der Vergleiche und Prüfungen<br />
sind in einem Sicherheitsbewertungsbericht<br />
zu dokumentieren<br />
Tabelle 6 - Vergleich prEN50126-x mit CSM VO<br />
wendungsbeschränkungen<br />
sowie Sicherheitserprobungen<br />
im SafetyCase geplant<br />
und festgeschrieben.<br />
Das Gutachten nach prEN<br />
erfüllt diese Anforderungen.<br />
Änderung der DV36 gegenüber CSM-VO (352/2009) Aussage bzgl.<br />
prEN50126-x(2012)<br />
[prEN]<br />
Erweiterter Scope: Im Scope der 352/2009 ist Pkt. 3 (Ausnahmen für<br />
Metros, Trams etc.) gestrichen. D.h. die Verordnung ist dann auch für<br />
diese Art von Bahnen gültig.<br />
Akkreditierung/Recognition: Aufnahme eigener Regelungen für Stellen,<br />
die die Eignung von Bewertungsstellen (im Sinne der CSM-VO)<br />
feststellen sollen. Alternativ zur Akkreditierung wird auch die Option<br />
der Recognition einer Bewertungsstelle behandelt.<br />
Präzisierung der Bedingungen, dass ein code of practice als relevant<br />
zur Gefährdungsabdeckung angesehen werden kann: “Successful<br />
application of a code of practice for similar cases to manage changes<br />
and control effectively the identified hazards of a system in the sense<br />
of this Regulation is sufficient for it to be considered as relevant”<br />
Diese Arten von Bahnen<br />
waren, sind und werden<br />
<strong>Teil</strong> der prEN sein.<br />
Es bleibt zu klären, ob<br />
der Safety Case von den<br />
Bewertungsstellen angenommen<br />
werden.<br />
Es ist zu bewerten, ob die<br />
prEN eventuelle Verschärfungen<br />
der Anforderungen<br />
an einen code<br />
of practice übernehmen<br />
soll.<br />
Tabelle 7 - Deltaanalyse zu Revisionsentwurf CSM VO<br />
6.4 Referenzen<br />
EN 50 126<br />
CSM VO<br />
CSM GUI<br />
DIN EN 50 126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit (RAMS). 2000 - 03<br />
VERORDNUNG (EG) Nr. 352/2009 DER KOMMISSION vom 24. April 2009 über die<br />
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie<br />
2004/49/EG des Europäischen Parlaments und des Rates, Amtsblatt der Europäischen<br />
Union, L 108/4, 29.4.2009<br />
ERA: Leitlinie zur Anwendung der Verordnung der Kommission über die Festle-<br />
Seite 16 von 17
AP 2100 – Erfüllung der CSM VO durch Anwendung der CENELEC-Normen<br />
Anhang<br />
CSM EX<br />
DV 36<br />
Heinig<br />
gung einer Gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung<br />
von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Eisenbahnsicherheitsrichtlinie,<br />
ERA/GUI/01-2008/SAF<br />
ERA: Sammlung von Beispielen für Risikobewertungen und möglicher Werkzeuge<br />
zur Unterstützung der CSM-Verordnung, ERA/GUI/02-2008/SAF<br />
Revisionsentwurf vom 6.11.2012, Version EN01, RISC65<br />
Heinig, Th.: Vorschlag für ein Verfahren zur Umsetzung der CSM-Verordnung in<br />
einem Industrieunternehmen, Diplomarbeit, TU Dresden, 2012<br />
6.5 Abkürzungen<br />
Abk. Langform / Erläuterung<br />
CSM Common Safety Method<br />
LST Leit- und Sicherungstechnik<br />
Seite 17 von 17