IGT mbh Inbetriebnahmegesellschaft für Transporttechnik mbh. Dr.-Ing. Jörg May Braunschweiger Verkehrskolloquium 03. Mai 2012

Transkript

1 Theorie und Praxis der funktionalen Sicherheitsnachweisführung bei Schienenfahrzeugen IGT mbh Inbetriebnahmegesellschaft für Transporttechnik mbh Dr.-Ing. Jörg May Braunschweiger Verkehrskolloquium 03. Mai 2012

2 Inbetriebnahmegesellschaft Transporttechnik mbh Ingenieurbüro und Eisenbahnverkehrsunternehmen Allgemeine Informationen Gründungsjahr: 2005 Mitarbeiter: 22 Umsatz 2011: > 3 Mio. Eigentümer einer Lok: BR 246 Standorte: Lengede (Hauptsitz), zzgl. projektbedingte Standorte Projekte Europaweit Tochterunternehmen ITF in Frankreich Tätigkeitsfelder im Eisenbahnwesen Safety Engineering im Schienenfahrzeugbereich inkl. EBA anerkannter Sachverständigenkompetenz Ingenieurdienstleister im Schienenfahrzeugsektor / Fahrzeugtests, Validierungen etc. Öffentliches nichtbundeseigenes EVU mit Spezialisierung auf Probe- und Überführungsfahrten (SiBe Teile A und B)

3 Gliederung Einleitung Normative Anforderungen Praxissicht Funktionale Sicherheitsbetrachtung Fazit

4 Einleitung Das Eisenbahnsystem in der Gemeinschaft verfügt generell über ein hohes Sicherheitsniveau, insbesondere im Vergleich zum Straßenverkehr. Die Sicherheit sollte in Übereinstimmung mit dem technischen und wissenschaftlichen Fortschritt und unter Berücksichtigung der Wettbewerbsfähigkeit der Eisenbahn, soweit nach vernünftigem Ermessen durchführbar, weiter verbessert werden. Richtlinie 2004/49/EG des europäischen Parlaments und des Rates ("Richtlinie über die Eisenbahnsicherheit")

5 Problemstellungen Lücke zwischen Theorie (Vorgaben) und Praxis Unterschiedliche Sichten und Erfahrungen der Experten Keine ausreichende Abgrenzung zwischen Risikoanalyse und Sicherheitsnachweis Umfangsabgrenzung des Sicherheitsnachweises SAS, SIL, SSAS werden vermischt Erfüllung der EN 5012X, SIRF, CSM etc. gilt als Belastung Vorteile und Nutzen sind weniger präsent Einkauf von Beratern statt Eigeninitiative zur eigenen Verbesserung

6 Problemstellungen Lücke zwischen Theorie (Vorgaben) und Praxis Unterschiedliche Sichten und Erfahrungen der Experten Keine ausreichende Abgrenzung zwischen Risikoanalyse und Sicherheitsnachweis Umfang des Sicherheitsnachweises SAS, SIL, SSAS werden vermischt Erfüllung der EN 5012X, SIRF, CSM etc. gilt als Belastung Vorteile und Nutzen sind weniger präsent Einkauf von Beratern statt Eigeninitiative zur eigenen Verbesserung

7 Normative Einordnung des Sicherheitsnachweises EU-Recht Direktiven, Verordnungen z.b. CSM VO, TSI Verfassung Grundgesetz Gesetze Allgemeines Eisenbahngesetz / BGB z.b. AEG 4 (1) - Sicherheitspflicht Verordnung EBO, TEIV z.b. 2 (2) MGS, z.b. 6 IBG z.b. CENELEC Anerkannte Regeln der Technik Verwaltungsvorschriften z.b. VV-IBG Sicherheitsrelevante Anwendungsbedingungen Unternehmensinterne Regelwerke Systembeschreibung, Common Safety Rules

8 Funktionale Sicherheit im Normenumfeld Funktionale Sicherheit IEC Funktionale Sicherheit Eisenbahnsektor DIN EN 5012x Fokus LST Stationäre Systeme (1 Betreiber) festgelegte Bedingungen Funktionale Sicherheit Maschinensektor DIN EN DIN EN Funktionale Eisenbahn- Sicherheit SIRF Fokus Rolling Stock Instationäre Systeme (wechselnde Betreiber) variable Bedingungen

9 Terminologien am Beispiel der Risikowaage Risiko Gefährdung Zustand, Bedingung + - Sicherheit Zustand, Bedingung Bestandteil Risikoanalyse Bestandteil Sicherheitsnachweis

10 Hürden in der praktischen Umsetzung Unklare Abgrenzungen im System zwischen technisch-, betrieblichem Umfeld und dem Personal. Unzureichende Abgrenzung von Begriffen, welche nicht im Kontext mit internationalen Normen stehen. Unzureichende Umsetzung von System-, Funktions- und Schnittstellenbeschreibungen. Teilweise inkonsistente Aufstellung von Gefährdungen als Fehlfunktion oder als Fehlfunktion gekoppelt mit einer Bedingung.

11 Hürden in der praktischen Umsetzung Unklare Abgrenzungen im System zwischen technisch-, betrieblichem Umfeld und dem Personal. Unzureichende Abgrenzung von Begriffen, welche nicht im Kontext mit internationalen Normen stehen. Unzureichende Umsetzung von System-, Funktions- und Schnittstellenbeschreibungen. Teilweise inkonsistente Aufstellung von Gefährdungen als Fehlfunktion oder als Fehlfunktion gekoppelt mit einer Bedingung.

12 Abgrenzung zwischen Software- und Funktionsebene Software-Ebene Validierung Spezifikation Gesamtsystem Funktionale Ebene Systemgrenze Fahrdraht Umwelt Personal Fahrweg Betriebliche Regeln Fahrweg Verifikation Verifikation Verifikation Validierer prüft SW-Änderungen SSAS>0 gegen SW-Spezifikationen SW-Gutachter prüft Einhaltung des SW-Entwicklungsprozesses Hersteller führt Regressionstests durch und erklärt Rückwirkungsfreiheit Sonstige Randbedingungen Prüfung Gesamtsystem mit Schnittstellen in seinem Umfeld System + Umfeld + Schnittstellen bestimmen den Inhalt und Umfang der Prüfungen Änderungen? Neubewertungen Funktionsprüfungen unter allen Betriebs- und Umgebungseinflüssen (ausfallfreier Zustand) Sicherheitsgerichtete Ausfallreaktion

13 Rollenverteilung Sonderfall: instationäre Systeme Risikoanalyse -Systemdefinition -Ableitung aller Funktionen - Gefährdungsindentifikation - Risikoabschätzung - SAS-Ermittlung Potentielle Risiken Verantwortungsbereich Betreiber Bedeutung für die Fahrzeughersteller: betriebliche Kenntnisse Aufstellung + Übergabe aller sicherheitsrelevanten Anwendungsbedingungen (SAB) als Bestandteil des Produktes Sicherheitsanforderungsstufen - Aufteilung der Sicherheitsverantwortung Stationäre Systeme Verantwortungsbereich Hersteller Instationäre Systeme Aufstellung von Common Safety Rules als Festlegung Definition der Umgebungsbedingungen Quelle: in Anlehnung an DIN EN Sicherheitsnachweis

14 Rollenverteilung Sonderfall: instationäre Systeme Risikoanalyse -Systemdefinition -Ableitung aller Funktionen - Gefährdungsindentifikation - Risikoabschätzung - SAS-Ermittlung Potentielle Risiken Verantwortungsbereich Betreiber Bedeutung für die Fahrzeughersteller: betriebliche Kenntnisse Aufstellung + Übergabe aller sicherheitsrelevanten Anwendungsbedingungen (SAB) als Bestandteil des Produktes Sicherheitsanforderungsstufen - Aufteilung der Sicherheitsverantwortung Stationäre Systeme Verantwortungsbereich Hersteller Instationäre Systeme Aufstellung von Common Safety Rules als Festlegung Definition der Umgebungsbedingungen Quelle: in Anlehnung an DIN EN Sicherheitsnachweis

15 Systemdefinition im bahnbetrieblichen Umfeld Fahrdraht Systemgrenze Umwelt Personal Fahrweg Betriebliche Regeln Fahrweg Sonstige Randbedingungen

16 Arbeitsschritte der Risikoanalyse bis zum Ermittlung der Sicherheitsanforderungsstufe Systembeschreibung und projektspezifische Abgrenzung Ermittlung und Beschreibung von Fahrzeugfunktionen auf Grundlage des projektspezifischen TeSiP Betrachtung des funktionalen Ausfallverhaltens Bewertung und Gefährdungsableitung Semiquantitative Gefährdungseinstufung Ermittlung von Sicherheitsanforderungen Alle Schritte, Bewertungen, Annahmen, SAB, Einstufungen sind zu begründen und zu dokumentieren! Quelle: SIRF, Anlage 2 Entwurf V4.0_VDB

17 Systemdefinition als Grundlage der Gefährdungsermittlung Der Anspruch aus dem Umfeld (Qualifikation / Art des Betriebes / Instandhaltung etc.) bestimmt die Anforderungen an die Technik und den Betrieb! Infrastruktur, ext. Einflüsse, - + Betr. Regeln, Instandhaltung, SAB Technikkomplexität Gegenstand des SiNa

18 Prozessablauf Risikoanalyse Gesamtsystem Systemdefinition Gesamtsystem Systemdefinition Teilsystem Ermittlung der Funktionen Siehe auch SIRF 200 Abschnitt 2 Absatz 1 Nr. 1 Identifikation der Gefährdungen Zuordnung der Funktionen zu Sicherheitsanforderungsstufen SAS

19 Prozessschritte des Sicherheitsnachweises Wahl des Risikoakzeptanzgrundsatzes (CSM-VO, laut SIRF: Validation Decider) Explizite Sicherheitsnachweisführung: Aufteilung der Sicherheitsverantwortung z.b. mit Gefährdungsbaumanalyse (FTA) auf alle Systembeteiligten Aufteilung der Funktionserfüllung auf die berücksichtigten technischen Systeme Entwicklung einer technischen Lösung, die der Aufteilung der Funktionserfüllung auf Komponentenebene gerecht wird Sicherheitsnachweis über den Nachweis die Einhaltung der Sicherheitsanforderungen an die Auslegung der Hard- & Software

20 Prozessablauf Sicherheitsnachweisführung SAS Prüfung der Signifikanz (CSM-VO) Prüfung aller Funktionen mit der Sicherheitsanforderungsstufe > 0 hinsichtlich: 1. des schlimmsten anzunehmenden Schadensausmaß bei Ausfall des zu bewertenden Systems 2. des Innovationsgrades (bewertete System ist eine für den Eisenbahnsektor völlig neue Innovation) 3. der Komplexität der Änderung 4. der Möglichkeit die Funktion / das System zu überwachen 5. der Umkehrbarkeit der Änderung (Unmöglichkeit, zu dem Zustand vor der Änderung zurückzukehren) 6. der additiven Wirkung (Bewertung der Änderung in der Gesamtheit aller sicherheitsrelevanten Änderungen) Wahl des Risikoakzeptanzgrundsatzes Anerkannte Regeln der Technik (Nachweis dass die Änderung ausschließlich normkonform umgesetzt wurde) Heranziehung eines Referenzsystems (Konformität zu einem zugelassenen betriebsbewerten System) Explizite Sicherheitsnachweis (Nachweis der Erfüllung der SAS auf der Ebene der beteiligten Architekturelemente) Sicherheitsbericht (Dokumentation des Verfahrens) nach SIRF 200 Abschnitt 8

21 System in Funktionsebenen SAS Exemplarische Aufteilung der SAS SIRF 200 Abschnitt 8 Abs. 4 SAS = 4 Gesamtsystem Systembestandteil Betrieb / Betriebliche Regeln / SAB SAS = 1 Systembestandteil Fahrzeug als Summe aller Funktionen SAS = 2 Systembestandteil Technische Regeln / Instandhaltung / SAB SAS = 1 Funktion SAS = 2 Subfunktion A SAS = 1 Subfunktion C SAS = 0 Übergang von Funktion auf System durch Design Subsystem 1 Nachweis für SAS = 2 Komponente A Komponente C Subfunktion B SAS = 2 Subfunktion D SAS = 1 Komponente B Komponente D Behandlung gem. SIRF 200 Abschnitt 8 Abs. 6 Komponente B HW SW

22 Profits der systematischen funktionalen Sicherheitsnachweisführung Vollständige Funktionsbetrachtung durch systematisches Vorgehen Nachweis der Erfüllung der Sorgfaltspflicht und Reduktion des Haftungsrisikos ( 823 BGB) Bedarfsgerechte Produktentwicklung Reproduzierbare Produkte und Teile Ableitung aller sicherheitsrelevante Anwendungsbedingungen (SAB) Prognostizierbare Ergebnisse Terminsicherheit und Kosteneinsparung für die Zulassung Zusammenfassung: Wettbewerbsvorteile des Unternehmens durch transparente Produkt- und Entwicklungskosten mit Einsparpotenzial.

23 Fazit 1. Nur durch eine vollständige Fahrzeugbetrachtung mit Definition des zu betrachtenden Systems und der Systemgrenzen lässt sich eine sinnvolle Risikoanalyse sowie ein nachvollziehbarer Sicherheitsnachweis erbringen. 2. Der Einbezug des Systemumfeldes und der betrieblichen Bedingungen sind von Projektbeginn an unabdingbar für die Zielerreichung. 3. Sämtliche extrahierte Gefährdungen haben nur im Zusammenhang mit dem jeweiligen Zustand und der Bedingung Bestand. 4. Sicherheitsanforderungen müssen projektspezifisch ermittelt werden und haben nur dann einen Sinn. Alternativ gilt die Frage: Wie sicher ist sicher und zu welchem Preis? 5. Durch Einhaltung einer systematischen und umfänglichen Vorgehensweise können nachhaltig die Sicherheit erhöht, Kosten eingespart und ein Mehrfachnutzen erzielt werden.

24 Kontakt IGT mbh IGT mbh Dr.-Ing. Jörg May Dipl.-Ing. (FH) Jens Bertrand Grubenweg 2 Grubenweg 2 D Lengede D Lengede joerg.may@igt-bahn.de Tel.: +49 (0) jens.bertrand@igt-bahn.de

25 Vielen Dank für Ihre Aufmerksamkeit! Risikopotenzial oder Vertrauen durch vernünftiges Ermessen? IGT mbh Inbetriebnahme Gesellschaft für Transporttechnik Dr.-Ing. Jörg May Braunschweiger Verkehrskolloquium 03. Mai