Beurteilung potenzieller Sicherheitsmängel Weiterentwicklung der DIN VDE V 0831-100 11. Workshop SiT - Safety in Transportation DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Einleitung zur DIN VDE V 0831-100: Hintergrund Ein potenzieller Sicherheitsmangel (PSM) liegt vor, wenn eine Abweichung vom spezifizierten Normalverhalten einer sicherheitsrelevanten Funktion vorliegt bzw. ein entsprechender Verdacht besteht. Durch einen PSM kann ein betrieblich unsicherer Zustand verursacht werden. Technische Randbedingungen Betrieblich unsicherer Zustand Vom PSM betroffene Funktion Schadensereignis / Schaden Randbedingungen Betriebliche Menschliche Gefahrenabwehr Es muss kurzfristig bewertet werden, wie hoch das Risiko des (Wieder-)Eintritts des PSM ist und welche (Sofort-)Maßnahmen ggf. ergriffen werden müssen, um mindestens gleiche Sicherheit bis zur Behebung des PSM zu gewährleisten. 2 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Einleitung zur DIN VDE V 0831-100: Zielstellung Die Vornorm beschreibt Verfahren für die robuste Entscheidungsfindung nach der Offenbarung eines potenziellen Sicherheitsmangels in einem System und gibt Anleitung, wie diese Verfahren angewandt werden können, indem die notwendigen Verfahrensschritte zur Durchführung einer Bewertung bereitgestellt werden, geeignete Benennungen, Voraussetzungen, Maßgrößen für die Ausfall-Kritizität von PSM sowie die Beurteilung von risikoreduzierende Maßnahmen (RM) genannt werden, grundlegende Prinzipien erklärt werden, Beispiele für die notwendigen Arbeitsblätter oder andere Tabellenformen bereitgestellt werden. 3 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Zuständigkeiten / Gremien Deutsche Kommission Elektrotechnik Elektronik Komitees: Informationstechnik im DIN und... VDE DKE/K 351 Elektrische Ausrüstungen für Bahnen... Unterkomitees: DKE/UK 351.1 Fahrzeuge DKE/UK 351.2 Ortsfeste Anlagen DKE/UK 351.3 Bahn-Signalanlagen Arbeitskreise: DKE/AK 351.3.1 Software DKE/AK 351.3.2 Elektronische Systeme DKE/AK 351.3.3 Universelles Sicherheitsprotokoll nach EN 50159 DKE/AK 351.3.4 Nahverkehr DKE/AK 351.3.6 Semi-quantitative Methoden zur Risikoanalyse technischer Funktionen in der Eisenbahnsignaltechnik DKE/AK 351.3.7 Security Anforderungen an signaltechnische Einrichtungen DKE/AK 351.3.8 Revision EN 50129 DKE/AK 351.3.9 Leittechnik (GAA 9.7) 4 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung der DIN VDE V 0831-100 Motivation Eine Vornorm ist regelmäßig (mindestens alle 3 Jahre) daraufhin zu überprüfen, ob sie zu überarbeiten ist. Die derzeit gültige Ausgabe stammt aus dem Jahr 2009 und die bisherigen Anwendererfahrungen sollten in eine Weiterentwicklung einfließen. Es war beabsichtigt, ein europäisches Normungsverfahren für den Anwendungsbereich der Vornorm zu starten und hierfür sollte eine konsolidierte Version ohne kurzfristigen Änderungsbedarf als Grundlage vorgelegt werden können. Aktivitäten 2018 Erstellung eines Entwurfes Entwurf wurde für verkürztes Stellungnahmeverfahren veröffentlicht. Frist für Stellungnahmen endete am 03.10.2018. Der zuständige Arbeitskreis DKE/AK 351.3.6 hat Empfehlungen für die Behandlung der Einsprüche am 17.10.2018 erarbeitet. 5 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung der DIN VDE V 0831-100 Wesentliche Änderungen Konkretisierung Anwendungsbereich; Anforderung, dass alle Entscheidungen von einem Expertenkreis zu beschließen sind; Festlegung zum Beginn des Verfahrens; Anpassung von Formulierungen an geänderte Bezugsdokumente (insbes. VO (EU) Nr. 402/2013); Weiterentwicklung des im Anhang B (bisher informativ, neu normativ) beschriebenen Verfahrens PSM-RPZ Muster für die Bewertung eines PSM im neuen Anhang D (informativ). 6 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Konkretisierung Anwendungsbereich Klarstellung, dass die Vornorm nur bei potenziellen Sicherheitsmängeln angewendet werden darf und nicht als Ersatz für Sicherheitsanalysen. Konkretisierung, dass die Anwendbarkeit auch für Systeme / Teilsysteme / Einrichtungen gegeben ist, wenn (äquivalent zur SIL-Einstufung nach den Regelungen in DIN EN 50126-1 und DIN EN 50129) ein SIL auf Basis der Sicherheitsfunktion abgeleitet werden kann. Dies stellt auch klar, dass die Vornorm ebenfalls anwendbar ist, wenn die Entwicklung nicht nach den genannten Normen erfolgt ist Beispiel: Funktion»Zugstraßensicherung«in einem Relaisstellwerk signaltechnisch sichere Funktion, es kann SIL 4 angenommen werden 7 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Expertenkreis Definition 3.4 Expertenkreis Gremium aus mindestens 3 Fachleuten [Änderung nach Einspruchsberatung], das sicherheitliche Einschätzungen durchführt Anmerkung 1 zum Begriff: In der Regel ist der für das Fachgebiet (die Funktion) zuständige Gutachter Mitglied im Expertenkreis. Änderungen Expertenkreis bisher eher nur optional; neu:»zentrales Gremium«für das Treffen von Entscheidungen im Zusammenhang mit allen Fragen zum PSM Mindestanzahl von 3 Personen wurde als sinnvoll angesehen:»mehraugenprinzip«und Möglichkeit im Zweifelsfall ein eindeutiges Abstimmungsergebnis zu erzielen Ergänzung aus Einspruchsberatung: Festlegung, dass neben dem Hersteller zwingend ein Vertreter des Betreibers im Rahmen der Betreiberverantwortung zu beteiligen ist und die Aufsichtsbehörde einbezogen werden sollte. 8 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Start des Prozesses und Abschluss des Verfahrens Klarstellung, dass der Behebungszeitraum mit der Einstufung eines Sachverhalts als PSM beginnt d.h. nicht mit dem erstmaligen Auftreten eines PSM. Hintergrund: Es ist oftmals ein entsprechender Analyse- und damit Zeitaufwand erforderlich. Bei kurzen Behebungszeiträumen (ergeben sich häufig bei Funktionen mit hoher Anforderung an deren Sicherheitsintegrität) wäre dieser mit Ende der Analyse ggf. bereits überschritten. Somit würde das Verfahren hier kein sinnvolles Ergebnis liefern.»spezieller Anwendungsfall«: Vorgehensweise, wenn PSM innerhalb der ermittelten Frist nicht behebbar und/oder die Ursache nicht ermittelbar ist. Hier wird eine einzelfallbezogene Abstimmung mit Beteiligung der / Entscheidung durch die Aufsichtsbehörde notwendig. Daher kein Normungsgegenstand. 9 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (1) Abschätzung der Häufigkeit des PSM Klarstellung: Bewertet wird die Häufigkeit des Auftretens eines PSM bei einer Funktion, d.h. die Anzahl betroffener Elemente (z.b. Anzahl in Betrieb befindlicher Stellwerkes der betreffenden Bauform) bleibt unberücksichtigt. Tabelle B.1 wird mit einer Spalte ergänzt, in der die Häufigkeit in der»gängigen«einheit 1/h dargestellt ist. Änderung nach Einspruchsberatung 10 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018 ANMERKUNG: Die Spalte»Erläuterung«dient der zusätzlichen Orientierung; maßgebend ist die Spalte»H [1/h]«.
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (2) Erweiterung des zulässigen Behebungszeitraumes Bisher maximal 60 Monate, neu 120 Monate und Erweiterung auf maximal 360 Monate Ergänzung aus Einspruchsberatung: Wurde ein Behebungszeitraum von mehr als 36 Monaten ermittelt, so ist alle 3 Jahre der Stand der Umsetzung der Maßnahmen und alle 5 Jahre die Aktualität der zu Grunde liegenden Randbedingungen / Annahmen zu prüfen. 11 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (3) Verfahren zur Entscheidung über die Notwendigkeit risikoreduzierender Maßnahmen Neu: Zusätzliche Prüfung auf Notwendigkeit risikoreduzierender Maßnahmen in Abhängigkeit von dem zu erwartenden Schadensausmaß, der Sicherheitsintegrität der betroffenen Funktion, der Identifizierung des PSM im Feld oder im Labor, der ermittelten Häufigkeit des Auftretens des PSM. 12 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (4a) Ermittlung des Schadensausmaßes Neu: Tabelle mit Unfallklassen und Ereignisarten (entsprechend Tabelle 4 in DIN VDE V 0831-103) Hinweis: Teil 1 nicht dargestellt. Änderung nach Einspruchs- Beratung siehe Folgeseite 13 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (4b) Ermittlung des Schadensausmaßes Änderung nach Einspruchsberatung: Tabelle mit Unfallklassen,»maßgebendem Schadensausmaß«und typischen Ereignisarten (entsprechend Tabelle 4 in DIN VDE V 0831-103) 14 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (5) Bewertung risikoreduzierender Maßnahmen Risikoreduzierende Maßnahmen (RM) können ihre Wirkung in folgenden Bereichen haben: im Bereich Häufigkeit (Tabelle B.1), im Bereich Schadensausmaß (Tabelle B.3), im Bereich Gefahrenabwehr (Tabelle B.5). bei G RM i.d.r. nicht zutreffend! 15 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (6) Ermittlung des Behebungszeitraums unter Berücksichtigung der Wirksamkeit risikoreduzierender Maßnahmen (W RM ) Formel: W RM = G RM + S Beispiel: Für einen PSM bei einer SIL 3-Funktion sei ein Behebungszeitraum von einem Monat ermittelt worden. Es wurden RM eingeführt und deren Wirksamkeit mit dem Wert 4 bewertet. Somit verlängert sich der zulässige Behebungszeitraum auf 120 Monate. 16 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Muster für die Bewertung eines PSM (Teil 1) Neuer Anhang D (informativ) Basis: unternehmensinterne Unterlagen der Anwender Aufbau: Allgemeine Angaben zum PSM und zum Expertenkreis (s. dargestellten Auszug) und Darstellung der Tabellen zum Verfahren nach Anhang B. 17 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Muster für die Bewertung eines PSM (Teil 2) 18 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018...
Ausblick Entscheidung über Veröffentlichung der revidierten Version der Vornorm (einschließlich Änderungen aus Einspruchsberatung) wird im Unterkomitee DKE/UK 351.3 bei der nächsten Sitzung (04/2019) getroffen. Stand europäisches Normungsvorhaben (CENELEC): Empfehlung des Convenors der WG21 an TC9X, keine Aktivitäten zu starten, sondern Erfahrungen mit der Anwendung der revidierten EN 50126x abzuwarten. Begründung u.a.: Die Prinzipien für die Behandlung eines PSM sind die gleichen, wie die für Risikobewertungen in der EN 50126x definierten. Statistischer Ansatz wird in einigen Ländern nicht verwendet. Die meisten Anwender haben bereits eigene Methoden implementiert; damit kein Bedarf nach einer Standardisierung in Europa. Somit ggf. Überführung der Vornorm in eine DIN. 19 DB Netz AG Rainer Beck I.NPS 51 04./05.12.2018
Vielen Dank für Ihre Aufmerksamkeit