Risikoanalyse mit Risk Score Matrix (RSM) und CSM-Design ...ifev.rz.tu-bs.de/SiT_SafetyinTransportation/SiT2015_freigabe/Beck.pdf · Braunschweig, 16. / 17.11.2015 DB Netz AG Rainer

Braunschweig, 16. / 17.11.2015

DB Netz AG

Rainer Beck

Unabhängige Bewertungsstelle (I.NVS 2(B))

Risikoanalyse mit Risk Score Matrix (RSM) und CSM-Design Targets (CSM-DT)8. Workshop SiT - Safety in Transportation

Ausgangslage

2DB Netz AG | Rainer Beck | I.NVS 2(B) | 16. / 17.11.2015

CSM

RSM

RAC-TS

CSM-DT

RA

Risk Score Matrix: Allgemeine Darstellung

Die Risk Score Matrix ist • eine semi-quantitative Methode zur expliziten Risikoabschätzung,• auf Basis der (beispielhaften) Risikomatrix in DIN EN 50126,• mit Methodik zur Berücksichtigung von Barrieren.

DB Netz AG | Rainer Beck | I.NVS 2(B) | 16. / 17.11.2015

Klasse für Sicherheits-anforderung

Risk Score Matrix

1

2

3

4

5

6

7

8

9

10

A B C D E F G

Klasse für Schadensausmaß

Verschiebung der »Akzeptanzlinie« entsprechend des Wertes für Barrieren

Anforderungen an den Aufbau einer RSM

4

Anforderungen an semi-quantitative Verfahren nach DIN V VDE V 0831-101:• Mindestens 4 Kategorien für SicherheitsanforderungenGranularität: übliche Abstufung

• Gleichmäßige AbstufungSensitivität: kleine Änderungen in der Einstufung bedingen nur kleine Auswirkungen bezüglich derAnforderungen! Daraus ergibt sich auch: mindestens 4 Unfallklassen !

• Bei der Konstruktion der Klassen im Zweifel Abschätzungen zur sicheren Seite vornehmenKonservativität: deutliches Abweichen vom Mittelwert – jedoch nicht Worst Case!

• Kalibrierung anhand eines Risikoakzeptanzkriteriums

Weitere Anforderungen:• Für Sicherheitsanforderungen Wertebereiche vermeidenEindeutigkeit für Nachweisführung, keine zusätzlichen Festlegungen erforderlich

• Kompatibilität zum Wertebereich (SIL-Tabelle) nach DIN EN 50129 (künftig: DIN EN 50126-2)Keine widersprüchlichen Sicherheitsanforderungen, Wertebereich abgedeckt


Rückblick: Vorschlag der ERA Task Force zur Weiterentwicklung von RAC-TS aus 2011


RAC-TS: Risikoakzeptanzkriterium für technische Systemenach VO (EG) Nr. 352/2009

RSM in der DIN VDE V 0831-103 und Kalibrierung auf Basis RAC-TS

6

Sicherheits-anforderung

1/h

Risk Score Matrix

keine

10-5

3 x 10-6

10-6

3 x 10-7

10-7

3 x 10-8

10-8

3 x 10-9

10-9

A B C D E F G

Unfallklasse

Klassenbreite ≈ √10

X

»Referenzpunkt« nachRAC-TS X

X

X

Weitere »Referenzpunkte«nach Vorschlag

der ERA Task Force


Unfallklassen in DIN VDE V 0831-103

Unfall-klasse

»maßgebendes« Schadensausmaß

A Kein Personenschaden

B Ein Leichtverletzter

C Mehrere Leichtverletzte

D Ein Schwerverletzter oder viele Leichtverletzte oder erheblicherSachschaden

E Mehrere Schwerverletzte

F Ein Todesfall oder viele Schwerverletzte oder beträchtlicher Sachschaden

G Mehrere Todesfälle


Erläuterungen im Zusammenhang mit Quantifizierung:

»Ein«: 1 ≤ x < 3»Mehrere«: 3 ≤ x < 10»Viele«: x ≥ 10»Erheblicher Sachschaden«: 150.000 €»Beträchtlicher Sachschaden«: 2 Mio. €

Aktueller Stand der CSM RA-VO

8

Aus den Erwägungsgründen:

(5) Die Agentur übermittelte der Kommission ihre Empfehlung für die Änderungder Durchführungsverordnung (EU) Nr. 402/2013, mit der der Teil desAuftrags der Kommission abgeschlossen werden soll, der sich mit der nochoffenen Frage der harmonisierten Entwurfsziele befasst. Die Empfehlungder Agentur bildet die Grundlage der vorliegenden Verordnung.

Im Weiteren wird in Anlehnung an den englischen Originalbegriff »CSM DesignTargets« als Abkürzung CSM-DT verwendet.


»CSM-RA VO«

Harmonisierte Entwurfsziele (1)

2.5.5. Führen Funktionsausfälle eines technischen Systems zu Gefährdungen, gelten unbeschadet der Nummern 2.5.1 und 2.5.4 die folgenden harmonisierten Entwurfsziele für diese Ausfälle:

a) Ist bei einem Ausfall davon auszugehen, dass dieser unmittelbar zu einem katastrophalen Unfall führt, muss das damit verbundene Risiko nicht weiter reduziert werden, wenn es nachweislich höchst unwahrscheinlich ist, dass es zu einem Ausfall der Funktion kommt.

b) Ist bei einem Ausfall davon auszugehen, dass dieser unmittelbar zu einem kritischen Unfallführt, muss das damit verbundene Risiko nicht weiter reduziert werden, wenn es nachweislich unwahrscheinlich ist, dass es zu einem Ausfall der Funktion kommt.

Die Einordnung in die Begriffsbestimmung Nummer 23 oder Nummer 35 ergibt sich aus der als am wahrscheinlichsten anzunehmenden nicht mehr tolerierbaren Folge eines Ausfalls.


Harmonisierte Entwurfsziele (2)

Artikel 3 (Begriffsbestimmungen)...Darüber hinaus bezeichnet der Ausdruck...23. »katastrophaler Unfall« einen Unfall, bei dem in der Regel eine große Zahl von Personen Schaden

erleidet und mehrere Menschen zu Tode kommen;...34. »Vorkehrung« eine technische, betriebliche oder organisatorische Risikokontrollmaßnahme

außerhalb des zu bewertenden Systems, mit der entweder die Häufigkeit des Auftretens einer Gefährdung verringert oder die Schwere der möglichen Folgen dieser Gefährdung abgemildert werden;

35. »kritischer Unfall« einen Unfall, bei dem in der Regel eine sehr geringe Zahl von Personen Schaden erleidet und mindestens ein Mensch zu Tode kommt;

36. »höchst unwahrscheinlich« das Auftreten eines Ausfalls mit einer Ausfallrate von höchstens 10– 9

je Betriebsstunde;

37. »unwahrscheinlich« das Auftreten eines Ausfalls mit einer Ausfallrate von höchstens 10– 7 je Betriebsstunde.


Fragen und Interpretationsspielräume (1)

»Unmittelbar«:Der entsprechende Ausfall muss direkt zu einem unerwünschten Ereignis (Unfall) führen. Dies ist jedoch bei der etlichen Funktionen innerhalb des Eisenbahnsystems nicht der Fall.Interpretation: CSM-DT müssen dann für Funktionen auf nächsthöherer Ebene angewendet werden.Problem: Richtige Berücksichtigung von Barrieren und Unterschied zu dem neu eingeführten Begriff der »Vorkehrungen«? Gegenseitige Anerkennung möglicherweise nicht mehr möglich.

»... zu Tode kommen:Im Fokus stehen nur Funktionsausfälle, die das Potenzial für Unfälle mit Todesfolge haben.Interpretation 1: CSM-DT ist nicht anwendbar, wenn alle potenziellen Unfälle typischerweise geringere Auswirkungen haben.Interpretation 2: Prospektive Unterscheidung zwischen Schwerverletzten und Todesfällen schwierig / nicht möglich, daher: Unfälle mit Schwerverletzten sind denjenigen mit Todesfällen gleichzusetzen (konservativere Auslegung)Problem: Tendenz zu Worst Case-Betrachtungen.



»in der Regel ... Schaden erleidet«:Wenn viele Tote die Folge eines Unfalles sind, erleidet auch zwangsläufig eine große Zahl von Personen Schaden. Die deutsche Übersetzung gibt die Intention des Originaltextes »typically affecting a large number of people« nicht korrekt wieder.Interpretation: Hinter der Formulierung steht das Konzept der Abschätzung des Effektes eines potenziellen Schadens (»lokal« oder »global«). Dieses ist vergleichbar mit dem entsprechenden Kriterium aus der Luftfahrt. Es kann (in vielen Fällen) alternativ die Frage gestellt werden: »Ist der gesamte Zug betroffen?«Problem: Das Konzept ist nicht anwendbar, wenn die Analyse auf Basis statistischer Daten erfolgen soll. Es sind Expertenschätzungen erforderlich, die nachweislich eher zu Worst Case-Annahmen tendieren.

»mehrere Menschen (zu Tode kommen)«Abgrenzung zu »mindestens ein (Mensch)« ist interpretationsbedürftig, da der Originaltext »multiple« eher mit »viele« zu übersetzen wäre.Interpretation: Bei Verwendung statistischer Daten sind 1,# Todesfälle bereits »mehrere«.Problem: Tendenz zu Worst Case-Betrachtungen.



»Am wahrscheinlichsten anzunehmende nicht mehr tolerierbaren Folge eines Ausfalls«:Nicht mehr tolerierbare Folge eines Ausfalls ist i.d.R. ein Unfall mit Personen- oder Umweltschaden. Wahrscheinlichste (= häufigste) Folge eines Unfalls ist jedoch in den meistens Fällen nur Sachschaden.Interpretation 1: Somit ist i.d.R. weder Klasse a) noch Klasse b) anwendbar, da nur Schadensereignisse mit potenziellen Todesfällen relevant sind.Interpretation 2: Gemeint ist die glaubwürdigste schlimmste Folge eines Unfalls.Problem: Was ist richtig?

»Vorkehrung«Impliziert im Gegensatz zum englischen Originaltext einen Unterschied zum ansonsten üblichen Begriff »Barriere«.Interpretation: Es dürfen nur Barrieren betrachtet werden, die im Einflussbereich des Vorschlagenden liegen. Dies ist vor Allem erforderlich, um eine gegenseitige Anerkennung zu erreichen, da viele Barrieren in den Mitgliedsstaaten unterschiedlich wirksam sind.Problem: Wie ist mit anderen Barrieren umzugehen, die typischerweise in Risikobewertungen berücksichtigt werden, z.B. Verhaltensregeln im Straßenverkehr, Selbstrettung, »Gesunder Menschenverstand«? Tendenz geht zu Worst Case-Einschätzungen.



Darstellung des Entscheidungsprozesses:



Zusammenfassung / Ausblick:

Der Verordnungstext enthält eine große Anzahl interpretationsbedürftiger Begriffe.

Die deutsche Übersetzung weicht in Nuancen vom englischen Originaltext ab und gibt dadurch die ursprüngliche Intention nicht immer wieder.

Zur Unterstützung der Anwender ist ein Leitfaden sinnvoll / erforderlich. Dieser wurde entgegen ursprünglicher Absicht nicht zeitgleich mit dem Verordnungstext veröffentlicht. Im Entwurf des Leitfadens ist bereits die Tendenz zu Worst Case-Betrachtungen erkennbar.

Worst Case-Betrachtungen sind vor dem Hintergrund, dass CSM-DT die strengsten Entwurfsziele darstellen sollen, ggf. gerechtfertigt. Es wird jedoch das Konzept des »Credible Worst Case«, das erst mit der CSM RA-VO eingeführt wurde, aufgegeben. Außerdem gilt: Wenn Worst Case als erforderlich angesehen wird, sollte dies dem Anwender klar dargestellt werden!


CSM-DT als Kalibrierungsmöglichkeit für eine RSM?

16

Im Fokus der CSM-DT stehen insbesondere:

• Gegenseitige AnerkennungCSM-DT als strengste Entwurfsziele

• Andere Sichtweise auf das zu erwartende SchadensausmaßExpertenschätzung des »möglichen Schadens« vor statistischer Grundlage

• Beschränkung auf Ausfälle / Unfälle mit potenzieller TodesfolgeDaher nur 2 Klassen

• Andere Sichtweise auf BarrierenDefinition der »Vorkehrung« als »bewusst installierte« Risikokontrollmaßnahme

CSM-DT und damit verbundene Sichtweise als Kalibrierung für RSM nur bedingt geeignet!



1/h

Risk Score Matrix

keine

10-5

3 x 10-6

10-6

3 x 10-7

10-7

3 x 10-8

10-8

3 x 10-9

10-9

A B C D E F G

Unfallklasse

RSM nach DIN V VDE V 0831-103 mit Abbildung der CSM-DT


CSM-DTKlasse a)

CSM-DTKlasse b)

Die »Überlappungsbereiche« zwischen den Klassen der CSM-DT und den Unfallklassen ergeben sich aus den Interpretationsspielräumen!

Ausblick: Weiterentwicklung der RSMaus DIN V VDE V 0831-103 (1)

Vorschlag aus Projekt NeGSt:


NeGSt: Neue Generation Signaltechnik


1/h

Risk Score Matrix

keine

10-5

3 x 10-6

10-6

3 x 10-7

10-7

3 x 10-8

10-8

3 x 10-9

10-9

A B C D E F G

Unfallklasse


1/h

Risk Score Matrix

keine

10-5

3 x 10-6

10-6

3 x 10-7

10-7

3 x 10-8

10-8

3 x 10-9

10-9

A B C D E F G

Unfallklasse

Ausblick: Weiterentwicklung der RSMaus DIN V VDE V 0831-103 (2)


X

X

CSM-DTKlasse a)

CSM-DTKlasse b)

Abbildung der CSM-DT unter Auflösung der »Überlappungsbereiche«:

Weniger strenge Entwurfsziele: zulässig, wenn keine gegenseitige Anerkennung angestrebt wird.Interpretationsspielraum zwischen den Begriffen »ein«, »mehrere« und »viele« bei Anwendung statistischer Methoden.

Zusammenfassung und Ausblick

RSM und CSM-DT haben unterschiedliche Anwendungsgebiete / Zielstellungen.

Demzufolge sind die Anforderungen an semi-quantitative Methoden für die CSM-DT nicht übertragbar.

Die Anwendbarkeit der CSM-DT leidet unter einer Vielzahl interpretationsbedürftiger Begriffe.

Die Verständlichkeit leidet zusätzlich an der Ungenauigkeit der deutschen Übersetzung an einigen Stellen.

Für Unterstützung des Anwenders und Erfüllung der Anforderungen an semi-quantitative Methoden gem. DIN V VDE V 0831-101 sind jedoch konkrete Vorgaben erforderlich.

Die Methode RSM kann so gestaltet werden, dass die Kompatibilität zu den CSM-DT abbildbar ist.

Eine entsprechender Vorschlag wurde vorgestellt. Dieser berücksichtigt auch weitere Anforderungen an die Konstruktion einer RSM, die in DIN VDE V 0831-103 nicht vollumfänglich erfüllt sind.


Ergebnis?


CSM

RSM

RAC-TS

CSM-DT

RA

22

Vielen Dank für Ihre Aufmerksamkeit


Documents

Risikoanalyse mit Risk Score Matrix (RSM) und CSM-Design ...ifev.rz.tu-bs.de/SiT_SafetyinTransportation/SiT2015_freigabe/Beck.pdf · Braunschweig, 16. / 17.11.2015 DB Netz AG Rainer