7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
České Budějovice 10.-12.11.2015
NOVINKY V HODNOCENÍ BEZPEČNOSTNÍCH RIZIK DLE NAŘÍZENÍ EU Ing. Miroslav Šídlo SŽDC, Technická ústředna dopravní cesty VŠEOBECNĚ V železniční dopravě je z pohledu bezpečnosti uplatňován při realizaci technických, provozních a organizačních změn proces řízení rizik. Organizační jednotka SŽDC, Technická ústředna dopravní cesty (TÚDC), vytvořila uznaný Subjekt pro posuzování technických změn SPB TÚDC typu B ve smyslu ISO ČSN EN 17020 pro následující rozsah strukturálních a/nebo funkčních subsystémů a jejich částí: infrastruktura (INF), energie (ENE), traťové řízení a zabezpečení (CCT) a pro vyjmenovaná zařízení kolejových vozidel, která souvisí s palubním řízením a zabezpečením. 1.
ROZDÍLY V PROCESU NEZÁVISLÉHO NAŘÍZENÍ EU 352/2009 A 402/2013
POSUZOVÁNÍ
PODLE
Přestože předmět a postupy nezávislého posuzování zůstávají téměř stejné, lze rozdíly procesu nezávislého posuzování z hlediska obou nařízení porovnat v následující tabulce: tabulka 1.: Rozdíly procesu nezávislého posuzování
Metody řízení rizik při realizaci změn se s nařízením EU č. 402/2013 nezměnily a v praxi se využívají všechny tři dříve uznávané metody: -
uplatnění kodexů správné praxe
-
metoda srovnání s referenčním systémem
-
metoda jednoznačného odhadu rizik
Postupy nezávislého posuzování musí být podle nařízení Komise EU prováděny v souladu s normou ISO ČSN EN 17020, která je platná pro inspekční činnost. Management takového systému posuzování je složitý, musí být dokumentován a podléhá tzv. uznání způsobilosti vnitrostátním uznávacím subjektem nebo akreditaci. Řízení subjektu pro posuzování (SPB) je složitější, musí být dokumentované, splňovat celou řadu náležitostí a funkcionalita řízení musí být ověřována pomocí auditů. Komplikovanější jsou rovněž postupy při posuzování, které musí být rovněž dokumentované.
43
7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
2.
České Budějovice 10.-12.11.2015
OBECNÉ POSTUPY UPLATŇOVANÉ PŘI ANALÝZE RIZIK PODLE CSM
Zacházení s riziky se podle CSM zabývá zjišťováním a hodnocením nebezpečí a stanovováním nežádoucích důsledků. Všechna známá nebezpečí musí být usměrněna na společensky přijatelnou úroveň. Zacházení s riziky se tedy týká řízení projektů změn i procesů. U projektů změn se začíná s hodnocením rizik, která mohou být způsobena špatně vydefinovaným cílem a postupuje se přes všechny etapy životního cyklu podle RAMS ČSN EN 50126 platné pro drážní zařízení. Zpravidla navrhovatel uplatňuje dva základní přístupy v oblasti usměrňování rizik: -
ochranu před důsledky
-
preventivní opatření, která ke snížení pravděpodobnosti výskytu nežádoucí události
Oba přístupy lze kolem čáry grafu, která popisuje míru rizika znázornit cestami, kterými se každý z přístupů ubírá (ochrana snižuje důsledky, prevence snižuje pravděpodobnost výskytu rizika).
Typickým příkladem ochrany je například technické řešení ochrany před nežádoucím dotykem neživé části elektrického zařízení při jeho poruše s následujícím automatickým odpojením části zařízení, které je známé například jako ochrana nulováním. Typickým příkladem prevence je například pravidelné provádění prohlídek a revizí technického zařízení během jeho provozu. Všimněte si, že oba přístupy jsou běžně známé a uplatňované v každodenní praxi. Jsou dostatečně definované tzv. kodexy správné praxe (v uvedených příkladech to jsou elektrotechnické normy). Prostřednictvím kodexů bývá zpravidla konkrétní riziko usměrněno na společensky přijatelnou úroveň a podle obou nařízení CSM nemusí být dále analyzováno. 44
7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
3.
České Budějovice 10.-12.11.2015
NEBEZPEČÍ, KTERÁ JSOU USMĚRNĚNA JEN Z ČÁSTI
V praxi nastávají případy, že ani uplatněním kodexů správné praxe a ani srovnáním s dříve posouzeným referenčním systémem nedochází k úplnému usměrnění rizik. U části subsystému to poznáme poměrně rychle, minimálně např. ze statistiky, ve které nám počet nežádoucích nebo nebezpečných událostí roste nebo alespoň neklesá. Jako příklad uvedu četnost mimořádných událostí (incidentů, MU) na železničních přejezdech:
V posledních 5 letech se četnost šetřených mimořádných událostí zastavila na poměrně vysoké hodnotě, a to kolem 180 šetřených nežádoucích událostí za rok. Bylo rozhodnuto, že se provede podrobnější přezkoumání statistik s následujícím cílem: - zda se mohlo jednat o tzv. projektové riziko; příznakem je, že se četnost MU vyskytuje vícenásobně nebo častěji na jednom zařízení nebo na skupině zařízení - zda bylo v době výskytu MU události zařízení ve funkčním stavu; s tím souvisí hodnota projektovaných a dosahovaných parametrů RAMS - zda bylo zařízení za plánovanou dobou svého technického života - zda šlo o tzv. riziko vyšší moci; to jsou rizika náhodná, kterým se nelze vyhnout, např. přírodní katastrofa, válečný konflikt - zda šlo o riziko interní nebo externí; typický příklad u MU na přejezdech je, že riziko je pro účastníky železniční dopravy vnucené, nedobrovolné. Pro účastníky silničního provozu může jít o tzv. dobrovolně přijímané riziko („ještě to stihnu i při výstraze“ ...) - zda šlo o riziko způsobené po změně technických a provozních parametrů (např. nahrazením mechanických závor světelným zabezpečovacím zařízením) - zda šlo o systémové riziko způsobené zavedením dalšího technického opatření (např. investice), které má nezanedbatelnou vlastní míru rizika. 4.
RIZIKO INTERNÍ A EXTERNÍ
Rizika interní lze zpravidla projektovým týmem navrhovatele ovlivňovat a řídit ve smyslu preventivních i ochranných opatření. Takových interních rizik, spojených s projektem, 45
7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
České Budějovice 10.-12.11.2015
existuje celá řada. Patří sem samozřejmě i rizika finanční nebo rizika přírodní. Existuje však mnoho technik na jejich rozpoznání, například: -
vytvoření kontrolní databáze se seznamem předem stanovených nebezpečí, podmínek a opatření; rizika jsou zpravidla nějakým způsobem kategorizovaná, kontrolní otázky (checklist) je generován na základě charakteristik zařízení, u kterého navrhovatel provádí změnu nebo činnosti, které souvisejí se subsystémem, možnými dopady, selháním, apod. Základy podobných databází a checklistů jsou v dnešní době k dispozici u jednotlivých navrhovatelů změn a pracuje na ní i vnitrostátní uznávací subjekt NSA CZ – Drážní úřad
-
safety audit; jde o postupy hledání potencionálně možných událostí nebo provozních problémů
-
metoda „co se stane, když ...“; jde o řízené diskuze ve skupině odborníků obeznámených s provozovaným procesem a subsystémem, na kterém se budou provádět změny
-
analýza stromu událostí; jedná se o graficko-statistickou metodu, ve které se sleduje proces na základě dvou událostí (příznivé a nepříznivé), vzniká tzv. rozvětvený strom, ze kterého se stanovuje míra rizika
-
analýzy spolehlivosti; jedná se o poměrně rozsáhlou disciplínu, jejíž podrobný popis je nad rámec mého krátkého příspěvku. Proto zde uvádím několik základních pojmů a souvislostí, které jsou důležité. Zdůrazním zejména místo a úlohu specifikace požadavků na spolehlivost v kvalitativní i kvantitativní formě, které je v etapě návrhu a koncepce subsystémů nebo jejich změn. V této fázi musí být provedena rovněž provedena analýza rizik spojených s poruchami subsystému nebo zařízení
-
analýza dostupných statistických dat; statistická data nám nejen umožňují sledovat četnost výskytu nežádoucích událostí, ale zpravidla dokážeme provádět základní kategorizace takových událostí. Například v tomto příspěvku a v této kapitole jsem zdůraznil kategorizaci rizik na rizika interní a externí, v jiné části kategorizuji riziko podle toho, zda je dobrovolně přijímané nebo vnucené. U technických systémů jsem zase zmínil kategorizaci, která se týká skutečností, které souvisejí se spolehlivostí zařízení. V okamžiku výskytu MU mohou být zařízení v bezporuchovém stavu nebo mimo svou funkci. Zařízení také mohou být v okamžiku výskytu za plánovanou dobou svého technického života.
Rizika externí nejsou jednoduše ovlivnitelná projektovým týmem navrhujícím změnu a projektový tým nemá možnost je jednoduše řídit. Na příkladu statistických dat z MU na železničních přejezdech je např. zřejmé, že velké množství mimořádných událostí je způsobené chováním řidičů a účastníků silničního provozu. Nesprávný a nebezpečný způsob jízdy silničních vozidel je zřejmý i z rozložení četnosti událostí. Větší četnost je zjevná v zimním období, kdy řidiči nepřizpůsobí rychlost stavu vozovky a vozidlo před přejezdem neubrzdí. Větší četnost je zjevná v období dovolených. V hustém provozu na sebe řidiči dobrovolně přijímají vyšší míru rizika. Navrhovatel dokáže často taková externí nebezpečí rozpoznat a identifikovat, přestože je nedokáže sám usměrnit nebo správně analyzovat. Proto by u významných změn měla být tato rizika analyzována i jinými týmy odborníků, např. sociology a psychology, abychom obdrželi relevantní popisy chování jednotlivců, kteří na sebe dobrovolně přijímají rizika až o několik řádů větší, než jsou ochotni přijímat u nedobrovolných (vnucených) rizik. Tato rizika by měla být projednávána i s osobami, které jsou zodpovědné za jiný druh dopravy s cílem přijmout opatření, která povedou např. k jiné motivaci řidičů na železničních přejezdech, k větší intenzitě a kvalitě dopravní výchovy apod. Rizika způsobená změnou nastavení technických a provozních parametrů mohou také významně ovlivňovat celkové riziko navrhované změny. K tomuto příkladu uvedu ilustrativní 46
7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
České Budějovice 10.-12.11.2015
obrázek – grafické znázornění míry rizika (červená čára) v případě, kdy jsou technické a provozní parametry nastaveny podle používaných kodexů. Graf je ilustrativní a používá pro příklad pouze poměrné hodnoty na škále míry rizika (0 až 100) a na škále nastavení parametrů (0 až 20). Lomená červená čára reprezentuje míru rizika, které lze docílit optimálním nastavením technických a provozních parametrů v konkrétní instalaci. V našem příkladu je konkrétně optimálním nastavením míra rizika snížena z poměrné hodnoty 90 na hodnotu 10. Některé parametry však mohou mít vlastní míru rizika. U dvou parametrů jsou nakreslené míry jejich vlastního rizika zelenými přerušovanými čárami. Výsledné riziko je však v takovém případě dané součtem míry rizika systému nastaveného podle kodexu a míry rizika dané nastavením kritického parametru s vlastní mírou rizika. Součtová čára, která reprezentuje výslednou míru rizika, je modrá. Všimněte si, jak dalece se může hodnota celkové míry rizika vzdalovat od optimálního nastavení. Pokud bych měl uvést jeden z příkladů v souvislosti s mírou rizika na železničních přejezdech, uvedl bych, že při určitém nastavení tzv. předzváněcí doby v souladu s kodexy správné praxe se podařilo docílit optimálního nastavení. V některých konkrétních případech (složitější konfigurace, umístění přejezdů na specifickém místě, vazby na staniční zařízení) musely však být parametry upraveny mimo optimální nastavení. Např. předzváněcí doby jsou delší. Tento parametr je však zatížen externím rizikem, který souvisí s dobrovolně přijímaným rizikem řidičů („ještě to stihnu“) nebo jiným externím rizikem, kdy se řidič domnívá, že přejezdové zařízení je v poruše (v trvalé výstraze) a jede. Výsledná míra rizika může být v takovém případě značně vysoká, vysoce nad běžně dosahovanou optimální mírou rizika.
Podobný charakter mají rizika, která mohou být označována jako systémová, která se týkají zavedení dalšího, často i technicky náročného a nákladného opatření, které má vlastní míru rizika. Opět uvedu v názorném grafu. Riziková funkce stávajícího subsystému, tentokrát v závislosti na celkových vynaložených nákladech je znázorněna zelenou čárou „1“. Vlastní riziková funkce zaváděných technických opatření je znázorněna červenou čarou „2“. Výsledná riziková funkce je znázorněna modrou čárou „3“. V uvedeném grafu je pro ni typické, že míra rizika výsledné funkce má minimum (optimum označené O). Dalším zvyšováním nákladů nadále míra rizika neklesá.
47
7. konference - Zabezpečovací a telekomunikační systémy na železnici Aktuální výzvy moderního řízení železniční dopravy a zajištění její bezpečnosti
České Budějovice 10.-12.11.2015
ZÁVĚR V příspěvku jsou popsány pouze základní odlišnosti jednotlivých nařízení EU (č. 352/2009 a č. 402/2013), které ovlivnily činnost navrhovatelů změn a subjektů pro nezávislé posuzování. Důraz byl kladen na situace, co se stane, když jsou po identifikaci a analýze nebezpečí rizika usměrněna jen zčásti, příklad, jaký příznak takovou situaci provází, jak lze rizika kategorizovat a příklad, co všechno může ovlivňovat rizikovou funkci. Dále byla popsána skutečnost, že rizika u navrhovatelů změn železničních subsystémů obsahují zpravidla rizika externí, která nelze jednoduše usměrnit projektovým týmem, který navrhuje změnu a situace musí být řešena jinak. Cílem však byla maximální jednoduchost a obecnost popisu problematiky. LITERATURA: PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) č. 402/2013 VERSLYPE M.: Průvodce pro uplatňování nařízení Komise o přijetí společné bezpečnostní metody pro hodnocení a posuzování rizik. Označováno také jako CSM. Vydala Evropská agentura pro železnice ERA, 2009. Značka v ERA: ERA/GUI/01-2008/SAF Materiály ze 47 semináře odborné skupiny pro spolehlivost: Specifikace, alokace a optimalizace požadavků na spolehlivost; materiály publikovala Česká společnost pro jakost (ČSJ), Novotného lávka 5, 116 68 Praha 1 KLÍČOVÁ SLOVA: Riziko, analýza rizik, posuzování rizik, řízení rizik, kategorizace rizik, kodex správné praxe, CSM, RAMS
48