Signal/Utledning av tolerable farerater for spesifikke sikringsanlegg
__numberedheadings__
Introduksjon
I forbindelse med nybygging eller større endringer av sikringsanlegg i Jernbaneverkets infrastruktur, legges det til grunn at anleggene skal oppfylle de generiske kravene til tolerable farerater gitt i Jernbaneverkets tekniske regelverk. Dette innebærer prinsipielt at samme krav stilles til alle anlegg, uansett hvor de befinner seg i infrastrukturen. Et slikt prinsipp er relevant så lenge anleggene skal godkjennes på basis av godkjente generiske produkter og generiske applikasjoner, men kan hevdes å være unødvendig rigid i de tilfeller det er aktuelt å godkjenne sikringsanlegg som spesifikke applikasjoner. Slike spesifikke godkjenninger vil kunne baseres på dokumentasjon og risikoanalyser av den enkelte stasjon og strekning, herunder de tolerable farerater som utledes for sikringsanleggene (eller mer presist sikkerhetsfunksjonene disse utfører) på den aktuelle strekningen.
Siktemålet med denne artikkelen er å etablere en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Hensiktsmessigheten med å gjøre slike spesifikke analyser er basert på hypotesen om at strekninger med færre farepunkter, mindre togtetthet, lavere hastighet osv. tillater høyere farerater for sikringsanleggene uten at dette gir høyere individuell risiko enn på andre strekninger.
Videre i kapittel 1 gis en oversikt over prinsippene for sikkerhetsintegritet, sikkerhetsbegrepet i CENELEC-normene, utledning av tolerable farerater i henhold til disse normene, og relasjonen til Jernbaneverkets sikkerhetshåndbok og tekniske regelverk.
Kapittel 2 beskriver en metode for utledning av tolerable farerater for sikringsanlegg som spesifikke applikasjoner.
Kapittel 3 oppsummerer metoden.
Sikkerhetsintegritet
I europeisk jernbanesammenheng er utviklingen av en moderne, risikoorientert definisjon av sikkerhet blant annet reflektert i etableringen av EUs “new concept”, som har til hensikt å legge til rette for teknisk harmonisering og således forhindre restriksjoner på fri flyt av varer mellom medlemslandene. Begrepet stiller krav til spesifikasjon og implementering av de essensielle sikkerhetskravene til et system, og er basert på de samme definisjoner av sikkerhet, risiko, etc. som CENELEC-normene. Det forutsettes en risikoorientert tilnærming til sikkerhet, det vil si en tilnærming der sikkerhet defineres på basis av spesifiseringen av risikonivå. Denne tilnærmingen innebærer en demonstrasjon av at systemet gjennom sin levetid vil kunne settes i drift, opereres, vedlikeholdes, avvikles og avhendes under et tolererbart risikonivå. Sikkerhet betraktes med andre ord ikke som absolutt fravær av risiko, men i relasjon til hva som anses som en akseptabel restrisiko etter at alle sikkerhetsforanstaltninger er implementert.
I enhver tilnærming til risiko vil det være nødvendig å skille mellom systematiske og tilfeldige feil. Systematiske feil er relatert til resultatene av menneskelige feilgrep, eksempelvis feil i programvare, designfeil, etc. Tilfeldige feil er på sin side relatert til svikt og forstyrrelser som skjer som resultat av rene fysiske forhold, for eksempel svikt i et relé, korrosjon, materialtretthet, etc. Erfaring fra sikkerhetskritiske systemer indikerer at systematiske feil har et større farepotensial enn tilfeldige feil.
Et grunnleggende begrep i EN 50126 er sikkerhetsintegritetsnivå (safety integrity level, SIL). Et systems integritetsnivå er definert som et mål for hvor kritisk det er at systemet opererer korrekt. På basis av en grundig sikkerhetsanalyse tilordnes systemet et sikkerhetsintegritetsnivå, som igjen bestemmer hvilke metoder som skal benyttes for design og implementering av systemet. Høyere nivå gir strengere krav til valg av metoder. Generelt skal alle systemer som kan ha innflytelse på sikkerhet tilordnes et sikkerhetsintegritetsnivå.
Allokeringen av SIL til de forskjellige delsystemene og komponentene i et system gjør det mulig å arbeide preventivt for å forebygge systematiske feil, i den forstand at det kan defineres ulike tiltak for å redusere sannsynligheten for slike feil. Bruken av begrepet reflekterer en tilnærming til feil der fokus er på hvordan feil kan forebygges i de ulike livsløpsfasene ved å benytte metoder og teknikker som mest mulig effektivt forhindrer at feil som introduseres i en livsløpsfase blir med videre i neste livsløpsfase. Feilforebyggende tiltak blir relativt sett viktigere med høyere SIL, ettersom det her i mindre grad kan anvendes erfaringsdata eller testresultater for å demonstrere sikkerhetsnivået.
SIL-begrepet må forstås i sammenheng med CENELEC-normenes risikoanalytiske, systemorienterte tilnærming til sikkerhet, der sikkerhet betraktes i forhold til tolererbar risiko. Det er Jernbaneverkets ansvar å utlede de tolerable fareratene for systemene, og det er essensielt at disse utledes fra overordnede kriterier. Leverandøren skal på sin side spesifisere en systemarkitektur som gir et system som tilfredsstiller de tolerable fareratene (tolerable hazard rate, THR) for hver identifiserte fare, analysere de mulige årsakene til hver fare, og fastsette sikkerhetskravene til de ulike funksjonene og/eller til delsystemene som utfører disse. I leverandørens analyse av årsakene til den enkelte identifiserte fare skal den tolerable fareraten allokeres på de forskjellige systemfunksjonene ved at det spesifiseres sikkerhetsintegritetsnivåer (SIL) for delsystemene som implementerer de forskjellige funksjonene.
Selv om CENELEC-normene benytter begrepet tolerabel farerate for både tilfeldige og systematiske feil, aksepteres det at det per i dag kun er mulig å verifisere bidrag fra tilfeldige feil. CENELEC-normene antar at sikkerhet mot systematiske feil ikke er kvantifiserbar, i hvert fall når det gjelder anvendelser med høyt sikkerhetsnivå. I stedet skal sikkerhetsintegritetsnivået utledes fra fastsatte THR, og benyttes for å definere tiltak mot systematiske feil, herunder feil i programvare. Utledningen gjøres på basis av følgende tabell:
Tolererbar farerate per time og funksjon (THR) | Sikkerhetsintegritetsnivå (SIL) |
---|---|
10−9 ≤ p < 10−8 | 4 |
10−8 ≤ p < 10−7 | 3 |
10−7 ≤ p < 10−6 | 2 |
10−6 ≤ p < 10−5 | 1 |
Dersom en sikkerhetsfunksjon gis THR lavere enn 10-9/h, krever EN 50129 at systemet i stedet designes med flere uavhengige sikkerhetsfunksjoner. Det er verdt å merke seg at dagens krav i Jernbaneverkets tekniske regelverk fastsetter THR for blant annet forriglingsutrustningen til nettopp 10-9, hvilket således er helt på grensen til at det kreves et slikt design. Kravet, som er utledet på basis av [8], gjelder generelt for all nybygging og vesentlige endringer i Jernbaneverkets infrastruktur.
I denne artikkelen refererer begrepet sikkerhetsintegritetskrav både til THR og SIL, men hvor SIL forutsettes utledet fra THR. Det understrekes imidlertid at det prinsipielt ikke er Jernbaneverkets ansvar å fastsette SIL for de ulike delene av leverandørens system. I henhold til EN 50129 begrenser Jernbaneverkets ansvar seg til fastsettelsen av THR.
Utledning av sikkerhetsintegritetskrav
I kapittel 2 etableres en metode for utledning av tolerable farerater for spesifikke sikringsanlegg, dvs. for forriglingsutrustningen av disse anleggene. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko).
CENELEC-normene stiller krav til en systematisk anvendelse av en metodikk for fastsettelse av sikkerhetsintegritetskrav til signalsystemer. Kravene til en slik metodikk er hovedsakelig gitt i EN 50126 og EN 50129, Annex A. Oppfyllelse av disse kravene er en forutsetning for å kunne dokumentere at fastsettelsen av sikkerhetsintegritetskravene har vært utført i samsvar med CENELEC-normene. I det følgende gis en kort beskrivelse av kravene, med referanser til de aktuelle avsnittene i normene.
EN 50129 definerer et sikkerhetsrelatert system som et system med sikkerhetsansvar (3.1.56). Sikringsanlegg faller således naturlig inn i denne definisjonen. Sikkerhetsansvaret realiseres gjennom de sikkerhetsfunksjoner som allokeres til systemet (EN 50126, 3.38). Allokering av sikkerhetsfunksjoner er en del av RAMSprosessen beskrevet i EN 50126.
Sikkerhetsfunksjonene er de sikkerhetsrelaterte funksjonene systemet skal utføre (EN 50129, A.2). En funksjons sikkerhetsintegritet er sannsynligheten for at systemet utfører sikkerhetsfunksjonen (EN 50126, 3.37, EN 50129, A.3). Sikkerhetsintegritetskravet spesifiseres som funksjonens sikkerhetsintegritetsnivå, SIL (EN 50126, 3.38). Sikkerhetsfunksjonskravene og tilhørende sikkerhetsintegritetskrav utgjør (system)sikkerhetskravene (EN 50129, A.2)
Sikkerhetsintegritet spesifiseres som ett av fire nivåer, der SIL-1 er lavest og SIL-4 er høyest (EN 50129, A.5.1). SIL-0 benyttes for å indikere at det ikke er noen sikkerhetskrav (EN 50129, A. 5.1). Det innebærer at dersom alle systemfunksjonene allokeres SIL-0, har systemet formelt sett ingen sikkerhetskrav. For signalsystemer må imidlertid RAMS-prosessen i EN 50126 uansett gjennomføres, slik at eventuelle sikkerhetskrav blir identifisert (EN 50129, 1).
En metodikk for fastsettelse og fordeling av sikkerhetsintegritetskrav skal ta hensyn til det aktuelle signalsystemets driftsomgivelser og arkitektur, basert på et veldefinert grensesnitt mellom disse. Dette grensesnittet skal beskrives fra en sikkerhetsvinkling, som innebærer at det defineres en liste av farer (hazards) og assosierte tolerable farerater (tolerable hazard rates, THR) for systemet.
Denne grensesnittsbeskrivelsen skal danne grunnlag både for Jernbaneverkets risikoanalyse og for leverandørens farekontroll. I følge EN 50129 skal sikkerhetsmyndigheten, i dette tilfellet Statens jernbanetilsyn, godkjenne begge disse aktivitetene. Begge analyser tar utgangspunkt i de identifiserte farene. Mens risikoanalysen skal identifisere mulige konsekvenser av farene og risikoene relatert til disse, skal farekontrollen identifisere årsakene til de samme farene. De to aktivitetene er relatert på den måten at risikoanalysen utleder de THR som er nødvendig for SIL-allokeringen i farekontrollen.
EN 50129 angir ikke noen bestemt metodikk for verken risikoanalysen eller farekontrollen, men gir eksempler på de respektive prosessene. Disse eksemplene, sammen med kravene i CENELEC-normene, gir Jernbaneverket og leverandøren et grunnlag for å etablere metoder for de to prosessene. Det er i praksis en forutsetning for sikkerhetsmyndighetens godkjenning at metodene etableres på dette grunnlaget.
I dette dokumentet rettes fokus mot risikoanalysen, siden det er denne prosessen som er Jernbaneverkets ansvar og som skal benyttes for utledningene av THR for de aktuelle systemene.
Jernbaneverkets sikkerhetshåndbok
Jernbaneverkets forvaltningsansvar for det nasjonale jernbanenettet innebærer et overordnet systemansvar for sikkerheten på jernbanenettet. Dette innebærer at Jernbaneverket har et ansvar for at jernbanevirksomhet ikke medfører alvorlig tap eller skade på reisende, tredjeperson, personale eller omgivelser. Sikkerhetsstyring i Jernbaneverket er beskrevet i Sikkerhetshåndboken, som inngår som en del av Jernbaneverkets prosesser “styre og kontrollere virksomheten”. Håndboken beskriver Jernbaneverkets sikkerhetsstyring som del av Jernbaneverkets totale styringssystem, og gir detaljerte sikkerhetsmål og akseptkriterier basert på Jernbaneverkets sikkerhetsfilosofi og overordnede sikkerhetsmål.
I forhold til øvrige dokumenter på Sikkerhetshåndbokens nivå, har Sikkerhetshåndboken primært følgende to funksjoner:
- Beskrivelse av metodikk og prinsipper for Jernbaneverkets sikkerhetsstyring som skal benyttes for all aktivitet innenfor virksomheten, og innenfor de øvrige styringsdokumenter.
- Beskrivelse av hvorledes Jernbaneverket skal ivareta lovgivningens spesifikke krav til sikkerhetsstyring.
De viktigste lover og forskrifter for Sikkerhetshåndboken er Jernbaneloven og Sikkerhetsforskriften. Sikkerhetsforskriften stiller krav til at Jernbanevirksomheten skal ha et sikkerhetsstyringssystem som er tilpasset virksomheten og den aktivitet som drives, og omfatter alle forhold knyttet til virksomheten, herunder bruk av leverandører. Videre skal det tas hensyn til risikoforhold som oppstår som følge av andre jernbanevirksomheters og tredjeparts virksomhet. Jernbanevirksomhetens ledelse skal regelmessig foreta en gjennomgang av sikkerhetsstyringssystemet for å sikre at det er hensiktsmessig, tilstrekkelig og effektivt.
Jernbaneverkets sikkerhetshåndbok formulerer Jernbaneverkets overordnede mål for jernbanesikkerhet på følgende måte: “Det etablerte sikkerhetsnivå for jernbanetransport i Norge skal opprettholdes. Alle endringer skal sikre en utvikling i positiv retning”. Samtidig understrekes det at det skal kontinuerlig arbeides med, fokuseres på og iverksettes risikoreduserende tiltak og aktivitet selv om kravet til akseptabelt risikonivå er tilfredsstilt.
Jernbaneverkets metodikk for sikkerhetsstyring er analytisk basert. I dette ligger identifikasjon, gjennomføring og bruk av analyser og vurderinger som nødvendige aktiviteter for kartlegging av jernbanevirksomhetens risikopotensial. Med analytisk sikkerhetsstyring forstår Jernbaneverket at det skal gjennomføres analyser og vurderinger som underlag for beslutninger gjennom hele livsløpsprosessen. Resultatene av analyser og vurderinger skal inngå i planer, drift og avvikling. Resultatene skal danne basis for identifikasjon av nødvendige tiltak og korreksjoner. Analyser og vurderinger skal foretas slik at aktiviteter, organisasjon, funksjoner og teknikk korrigeres før skade har oppstått.
Ett annet hovedelement i den analytiske sikkerhetsstyringen er et sterkt fokus på registrerte uønskede hendelser. Disse skal følges opp “som om uhell/ulykke virkelig hadde skjedd”, dvs. aktuelle tiltak skal identifiseres og iverksettes.
Sikkerhetshåndboken vurderer risikoen for passasjerer og togpersonale til å være primært en funksjon av togkilometer og personkilometer. Sikkerhetshåndboken opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10-9. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10-4 per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10-7.
Sikkerhetshåndboken aksepterer risikoanalyser utført i henhold til EN 50126 og med bruk av Jernbaneverkets risikoakseptkriterier. Det ligger i intensjonen bak herværende dokument at metoden som etableres for utledning av sikkerhetsintegritetskrav således er i henhold til både CENELEC-normene og Jernbaneverkets sikkerhetshåndbok.
Jernbaneverkets tekniske regelverk
I forbindelse med Teknisk regelverks overgang til å sette krav til sikkerhetsfunksjoner, utførte SINTEF IKT et arbeid som tok sikte på å fastsette minimumskrav til tolerable farerater (tolerable hasardrater – THR) [8]. Rapporten tok utgangspunkt i fem sentrale sikkerhetsfunksjoner for signalanlegg, herunder funksjonen Forriglingsutrustning (SKF1), med en tolerabel farerate på 10-9 per time per enhet og dermed SIL-4. Kravet er helt på grensen til at det kreves at signalsystemene designes med flere uavhengige sikkerhetsfunksjoner. SKF1 defineres på følgende måte:
En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.
Kravet detaljeres gjennom definisjon av følgende delfunksjoner:
- Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til et lyssignal enn det som er tillatt ut fra forutsetningene.
- Forriglingsutrustningen skal ikke gi kommando til en sporvekselutrustning uten at betingelsene er oppfylt.
- Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til ATC-infrastrukturutrustningen enn det som er tillatt ut fra forutsetningene.
Lignende krav er stilt til sporvekselutrustning (SKF2), togdeteksjon (SKF3), lyssignal (SKF4), og ATC infrastruktur (SKF5).
Metode
I dette kapitlet etableres en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko). Mens kollektiv risiko gjerne måles i antall dødsfall per år, måles individuell risiko gjerne i sannsynlighet for å omkomme per år per individ.
Individuell risiko er derfor relativ, mens kollektiv risiko er absolutt. Det betyr samtidig at et mål på kollektiv risiko i prinsippet enten må justeres i forhold til antall reisende, eller at det iverksettes tilstrekkelige tiltak for å øke sikkerheten med antallet reisende. Til sammenlikning kan individuell risiko håndteres som en fast størrelse uavhengig av antallet reisende. I tekniske anvendelser vil derfor som regel individuell risiko være mest hensiktsmessig. Individuell risiko kan måles i forhold til personkilometer eller reisetid, og det er relativt enkelt å konvertere beregningene: Årsgjennomsnittet for passasjerenes individuelle risiko kan beregnes som produktet av gjennomsnittlig reisehastighet og antall omkomne per år, dividert med antall personkilometer per år. Dette kan beregnes for landet som sådan eller for et mer avgrenset område. En aktuell anvendelse er å bruke årsgjennomsnittet for hele landet som et måltall for individuell risiko for den enkelte strekning. Beregningen vil ta høyde for ulikheter i hastigheter og antall passasjerer, og således gjøre det lettere å sammenlikne de ulike strekningene.
I dette dokument beregnes individuell risiko i forhold til personkilometer. Beregningen tar utgangspunkt i den generelle risikoformelen gitt i [1]. Formelen gir en modell for beregning av individuell risiko for dødsfall ved å benytte et gitt system, og kan brukes som basis for beregning av THR. Nedenfor gis først en stegvis utledning av den generelle formelen, og deretter en beskrivelse med et eksempel på hvordan formelen kan benyttes til utledning av tolerable farerater for spesifikke sikringsanlegg.
Generell risikoformel
I det følgende gis en stegvis utledning av den generelle risikoformelen gitt i [1].
- Et individ i benytter et gitt teknisk system S et antall ganger Ni per tidsenhet (år eller time).
- Gjennom å benytte S utsettes i for farer forbundet med at S svikter.
- Farene Hj som i utsettes for ved å benytte S identifiseres og listes opp, og assosieres med separate farerater HRj.
- Fareratene HRj kan alternativt beregnes ut fra kjente data, eller introdusere ukjente variable for beregning av tolerable farerater THRj.
- Hver fare Hj assosieres med en varighet Dj som er tiden det tar før den underliggende svikten er oppdaget og utbedret.
- Individet i utsettes for Hj enten ved at Hj allerede eksisterer når i kommer i kontakt med S eller ved at Hj oppstår mens i er i kontakt med S.
- Sannsynligheten for at Hj allerede eksisterer når i kommer i kontakt med S er gitt ved produktet HRj X Dj, hvor Dj er tiden det tar før Hj opphører (den underliggende svikten er oppdaget og utbedret).
- Sannsynligheten for at Hj oppstår mens i er i kontakt med S er gitt ved produktet HRj X Eij, hvor Eij som er tiden i utsettes for Hj.
- Sannsynligheten for at i utsettes for Hj er HRj × Dj + HRj × Eij.
- For hver fare Hj identifiseres mulige, distinkte ulykker Ak som kan oppstå som en følge av Hj.
- For hver fare Hj og ulykke Ak assosieres en sannsynlighet Cjk for at Ak oppstår som en følge av Hj.
- For hver ulykke Ak assosieres en sannsynlighet Fik for at i omkommer i Ak.
- Sannsynligheten for at i omkommer i ulykken Ak når i utsettes for Hj er gitt ved produktet Cjk X Fik.
- Sannsynligheten for at i omkommer når i utsettes for Hj er gitt ved summen × k A jk ik C F .
- Sannsynligheten for at i omkommer som en følge av Hj er gitt ved produktet ( × + × )� × k A j j j ij jk ik HR D HR E C F
- Sannsynligheten for at i omkommer ved å benytte S er gitt ved summen �( × + × )� × j k H A j j j ij jk ik HR D HR E C F
- Sannsynligheten for at i omkommer ved å benytte S over den gitte perioden er gitt ved = �( × + × )� × j k H A i i j j j ij jk ik IRF N HR D HR E C F .
- Sannsynligheten IRFi kan betraktes som den individuelle risikoen for dødsfall ved bruk av systemet S.
Anvendelse for sikringsanlegg
Individet i kan betraktes som en passasjer på et persontog over en gitt strekning, på en gitt rute og dato. Risikoen som beregnes vil dermed være passasjerens risiko på den aktuelle reisen, avgrenset til farer forårsaket av feil i sikringsanlegg (forriglingsutrustningen) på strekningen. En slik avgrensing reduserer selvsagt den beregnede risikoen, men er hensiktsmessig for utledningen av tolerate farerater for sikringsanleggene. Ettersom siktemålet med analysen er å beregne risiko relatert til feil i sikringsanleggene, defineres systemet S som settet av sikringsanlegg på den aktuelle strekningen.
Eksemplene nedenfor er hentet fra Nordlandsbanen, rutetermin 159.1. Metodikken er imidlertid uavhengig av strekning og anleggstype.
Eksempel: En tenkt passasjer reiser med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010. Risikoen som beregnes vil være passasjerens individuelle risiko under denne reisen, avgrenset til farer forårsaket av et eller flere av sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana.
Da risikoen vurderes relativ til personkilometer og ikke antall ganger per tidsenhet systemet benyttes, settes Ni til 1.
Farene Hj kan betraktes som farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen. Mange av disse farene vil være de samme fra stasjon til stasjon. En identifisering av farer kan derfor gjøres på basis av generiske analyser, supplert med eventuelle farer knyttet spesifikt til de aktuelle stasjonene. Fareidentifiseringen kan dels baseres på erfaringsdata, og dels på bruk av fareidentifiseringsteknikker som FMEA og HazOp.
De identifiserte farene vil i prinsippet være direkte relatert til systemets sikkerhetsfunksjoner. Identifisering av sikkerhetsfunksjoner og farer kan således betraktes som to sider av samme sak: Svikt i en sikkerhetsfunksjon innebærer per definisjon en eller flere farer, og fareraten kan tilsvarende behandles som sannsynligheten for at sikkerhetsfunksjonen svikter.
Eksempel: På reisen med Pt. 471 fra Mosjøen til Mo i Rana vil den enkelte passasjer utsettes for en rekke farer som kan forårsakes av feil i sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana, eksempelvis (farene kan deles opp ytterligere):
- Samtidig kjøretillatelse fra spor 1 og 2 fra Mosjøen stasjon i retning Mo i Rana.
- Sporveksel på strekningen legges i feil posisjon eller legges om under togpassering.
- Innkjørstillatelse til belagt sporavsnitt på Mo i Rana stasjon.
Fareratene HRj beregnes for hver enkelt av de identifiserte farene. For beregning av fareratene kan det være aktuelt å gjøre årsaksanalyser med f.eks. FTA [6]. Ettersom analysen her avgrenses til farer forårsaket av feil i sikringsanleggene vil disse fareratene være sentrale for utledningen av sikkerhetsintegritetskrav til anleggene. De farene som gjør mest utslag i resultatene er generelt de som er direkte forårsaket av enkeltfeil i sikringsanleggene.
Eksempel: Fareraten for flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon, forårsaket av feil i sikringsanlegget på stasjonen, reduseres som en følge av faktorer som sannsynligheten for at Gt. 5991 er satt opp den aktuelle tirsdagen (kjøres kun etter spesiell ordre) og sannsynligheten for at Gt. 5991 avviker tjenesteruteboken og kjører ut samtidig med Pt. 471. Sammen med sannsynligheten for at sikringsanlegget feilaktig gir kjøretillatelse fra spor 1 og 2, blir risikoen ekstremt liten, og sannsynligvis mye mindre enn risikoen for flankekollisjon uten feil i sikringsanlegget.
Eksempel: Fareraten for sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon, forårsaket av feil i sikringsanlegget på stasjonen, er relatert til sannsynligheten for forriglingsmessige feil som for eksempel sporveksel i feil posisjon eller feilaktig kjøretillatelse inn på stasjonen. Tiden Dj det tar før den underliggende svikten bak faren Hj er oppdaget og utbedret avhenger av effektiviteten av systemets selvovervåkning og andre barrierer som f.eks. TXPs eller togleders årvåkenhet. Tiden Dj skal i prinsippet beregnes fra tidspunktet hvor systemets evne til å utføre den aktuelle sikkerhetsfunksjonen svikter, hvilket kan skje før funksjonen faktisk benyttes (dvs. før korrekt utføring av funksjonen har sikkerhetsmessig betydning). Denne tidsfaktoren er essensiell både for systemer der funksjonen utføres kontinuerlig og systemer der funksjonen utføres som respons på spesielle utløsende betingelser. Sammen med krav til tolerabel farerate er det derfor nødvendig å også stille krav til maksimal tid for å oppdage og utbedre en underliggende svikt, uavhengig av hvorvidt funksjonen benyttes i denne perioden. Dersom det ikke er mulig å oppdage svikten før funksjonen faktisk benyttes, vil sannsynligheten for at sikkerhetsfunksjonen svikter for en gitt rute generelt være høyere på en strekning med liten trafikk enn på en strekning med stor trafikk.
Tiden Eij hvor individet i utsettes for faren Hj kommer i tillegg til tiden Dj, ettersom den reflekterer situasjonen at faren ikke allerede er oppstått når i kommer i kontakt med systemet, men oppstår mens i er kontakt med systemet.
Eksempel: Like etter at Pt. 471 har passert innkjørhovedsignalet til Mo i Rana stasjon legges sporveksel 1 feilaktig over i avviksposisjon. Ulykkene Ak som kan oppstå som en følge av Hj kan betraktes som topphendelsene i analysen, og går ofte indirekte frem av formuleringen av den identifiserte faren. I andre tilfeller vil det være flere mulige ulykkesscenarioer. Når det gjelder en analyse av farer for passasjerer på persontog, forårsaket av feil i sikringsanlegg, vil de aktuelle ulykkene primært falle inn under Jernbaneverkets ulykkeskategorier avsporing og sammenstøt tog-tog.
Eksempel: Potensielle ulykker som følge av eksemplene gitt ovenfor på farer den enkelte passasjer utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana inkluderer:
- Flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon (dersom Gt. 5991 er satt opp den aktuelle tirsdagen).
- Avsporing i en av sporvekslene på strekningen.
- Sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon.
Sannsynligheten Cjk for at Ak oppstår som en følge av Hj vil avhenge av en rekke forhold, og vil kunne beregnes ulikt fra stasjon til stasjon, og mellom ulike ruter.
Eksempel: Sannsynligheten for at Pt. 471 støter sammen med Gt. 5790 (i spor 2) ved innkjøring på Mo i Rana stasjon, gitt at sporveksel er lagt over til spor 2, reduseres av faktorer som for eksempel førers og TXP/togleders årvåkenhet, togets hastighet, avstand til Gt. 5790 og siktforhold.
Sannsynligheten Fik for at i omkommer Aik, avhenger av en rekke forhold.
Eksempel: Sannsynligheten for at en gitt passasjer omkommer dersom Pt. 471 støter sammen med Gt. 5790 avhenger først og fremst av togets hastighet, men også av faktorer som materielltype, togets lengde, etc.
Oppsummert er den individuelle risikoen for dødsfall for en gitt passasjer i på et persontog over en gitt strekning, på en gitt rute og dato, forårsaket av feil i sikringsanlegg på strekningen, gitt ved =�( × + × )� × j k H A i j j j ij jk ik IRF HR D HR E C F der
- Hj er farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen
- HRj er den separate fareraten assosiert med Hj
- Dj er tiden det tar før den underliggende svikten bak Hj er oppdaget og utbedret
- Eij er tiden passasjeren utsettes for Hj
- Ak er ulykkene som kan oppstå som en følge av Hj
- Cjk er sannsynligheten for at Ak oppstår som en følge av Hj
- Fik er sannsynligheten for at passasjeren omkommer i Ak
Formelen for beregning av individuell risiko kan benyttes direkte som skissert ovenfor, alternativt som et ledd i utledning av tolerable farerater for sikringsanleggene på den aktuelle strekningen.
I førstnevnte tilfelle er det nødvendig å fastsette fareratene for de identifiserte farene. En viktig faktor i denne forbindelse er sannsynligheten for at sikringsanlegget svikter i utføringen av sine sikkerhetsfunksjoner. I de tilfeller hvor enkeltfeil direkte forårsaker faren, kan fareraten betraktes som identisk med sannsynligheten for at den aktuelle sikkerhetsfunksjonen svikter. Fordi konsekvensene av svikt vil være forskjellig for de ulike sikkerhetsfunksjonene, vil fareratene kunne differensieres for de ulike farene. Alternativt kan det med hver fare Hj assosieres en felles farerate HR. Ettersom sikringsanleggets utføring av de ulike sikkerhetsfunksjonene ikke nødvendigvis er tilstrekkelig atskilt, vil det kunne være hensiktsmessig å operere med en fast tolerabel farerate THR for svikt i sikringsanleggets sikkerhetsfunksjoner (SKF1).
Bruk av en fast felles farerate HR gjør at formelen utledet ovenfor kan forenkles ved å sette HR utenfor uttrykket på høyresiden: = �( + )� × j k H A i j ij jk ik IRF HR D E C F Den tolerable fareraten THR for svikt i sikringsanleggenes sikkerhetsfunksjoner kan dermed baseres på de andre parametrene og et gitt måltall i IRF for den individuelle risikoen: �( + )� × = j k H A j ij jk ik i D E C F IRF THR
Overordnet metode
I utledningen og anvendelsen av risikoformelen i de forrige to avsnittene ble det indikert en rekke aktiviteter for anvendelsen av formelen i en konkret risikoanalyse. I det følgende behandles disse aktivitetene som elementer i en metode for utledning av sikkerhetsintegritetskrav for spesifikke sikringsanlegg. Metoden beskrives på et overordnet nivå i dette avsnittet, og mer detaljert i de neste.
Den overordende metoden kan varieres noe avhengig av hvorvidt siktemålet er estimering av risiko eller utledning av THR.
På overordnet nivå består den generelle metoden av følgende fem steg:
- Systemdefinisjon: Modellering og analyse av systemet
- Fareidentifisering: Identifisering av farer, estimering av farerater
- Konsekvensanalyse: Identifisering av potensielle ulykker
- Risikoestimering: Fastsettelse av individuell risiko
- Allokering av THR: Sammenlikning med mål for individuell risiko
Ettersom siktemålet i dette dokumentet er å utlede tolerable farerater, fastsettes først et måltall for individuell risiko for svikt i sikringsanleggets sikkerhetsfunksjoner. Allokering av THR for svikt i disse funksjonene gjøres på basis av formelen for beregning av THR utledet i forrige avsnitt.
Gjennomføring av risikoanalyser krever at funksjonen for de ulike delsystemene, og interaksjonen mellom disse, er vel forstått. Uten en presis systemdefinisjon kan risikoanalysen lede til feilaktige eller ugyldige resultater. For samme system vil det kunne være hensiktsmessig å produsere mer enn én systembeskrivelse, avhengig av hvilke synsvinkler som best understøtter analysene. Kvaliteten av risikoanalysen avhenger av hvor relevant systembeskrivelsen er for den aktuelle analysen. I noen tilfeller er det systemets bestanddeler (delsystemer og komponenter, samt grensesnittene mellom disse) som er i fokus – i andre tilfeller er det bedre å fokusere på systemets funksjoner. Denne problemstillingen er i hovedsak den samme som for systemanalyse generelt.
I dette dokumentet vil systemdefinisjonen ta utgangspunkt i den aktuelle strekningen, og knytte risikoen til den enkelte togreise på denne strekningen. Ved å basere allokeringen av THR på basis av den mest risikoutsatte strekningen, vil kravet være relevant for alle togreiser på strekningen. Det bør imidlertid tas hensyn til at eventuelle endringer i trafikkmønsteret vil kunne kreve en revidering av kravet. En slik vurdering bør gjøres i analysen for den aktuelle strekningen.
Systemdefinisjonen vil således delvis være knyttet til hver enkelt stasjon og til strekningen som sådan. For den enkelte stasjon kan følgende figur fra Jernbaneverkets Tekniske regelverk benyttes som generell systembeskrivelse:
Systemdefinisjonen for strekningen som sådan vil på overordnet nivå omfatte en beskrivelse av sikringsanleggene på strekningen, og på et detaljert nivå først og fremst de skjematiske planene og forriglingstabellene for den enkelte stasjon.
Fareidentifiseringen vil på basis av systemdefinisjonen identifisere de ulike farene Hj knyttet til svikt i forriglingsutrustningens sikkerhetsfunksjoner. To aktuelle fareidentifiseringsteknikker er FMEA [5] og HazOp [7].
Konsekvensanalysen vil identifisere de potensielle ulykkene Ak som kan oppstå som en følge av Hj. En aktuell teknikk er CCA/ETA, eventuelt supplert med FTA [6] for årsaksanalyse med hensyn til fordeling av sikkerhetsansvar på ulike systemer, delsystemer og komponenter.
Risikoestimeringen og allokering av THR vil omfatte beregning av de ulike parametrene som inngår i beregningsformelen (IRFi er allerede fastsatt som et måltall):
- Tiden Dj det tar før den underliggende svikten bak Hj er oppdaget og utbedret
- Tiden Eij passasjeren utsettes for Hj
- Sannsynligheten Cjk for at Ak oppstår som en følge av Hj
- Sannsynligheten Fik for at passasjeren omkommer i Ak
Detaljert metode
En forutsetning for metoden beskrevet på overordnet nivå i forrige avsnitt er at det kan fastlegges et måltall for forriglingsutrustningens risikobidrag til individuell risiko. Dette kan gjøres på følgende måte:
- Finn antall personkilometer per år (i Norge).
- Fastlegg antall akseptable dødsfall for reisende per år forårsaket av svikt i forriglingsutrustningen.
- Beregn antall aksepterte dødsfall per personkilometer.
- Multipliser med antall kilometer for den aktuelle strekningen.
Denne fremgangsmåten vil være relevant for fastleggelse av måltall for den enkelte strekning. For måltall for skiftestasjoner og godsterminaler vil en noe annen fremgangsmåte være nødvendig. Her vil det være mer aktuelt å se på andre personellgrupper, først og fremst de som kjører skiftene. Da er personkilometer lite aktuelt, og det er bedre å bruke risiko per tidsenhet. Det vil også kunne være aktuelt å skille mellom trafikken på selve godsterminalen og trafikk ut på hovedsporet. For sistnevnte farepunkt kan sikkerhetsnivået eventuelt økes gjennom bruk av flere uavhengige sikkerhetsfunksjoner.
I det følgende fokuseres det på måltallene for individuell risiko knyttet til den enkelte strekning. Måltallet kan utledes på basis av kriteriene gitt i Jernbaneverkets sikkerhetshåndbok, som opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10-9/km. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10-4 per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10-7.
For å kunne fastsette et måltall for individuell risiko knyttet til svikt i sikringsanleggets sikkerhetsfunksjoner, er det nødvendig å fastsette det akseptable risikobidraget fra sikringsanleggene. [8] benytter måltallet 0,162 for antall drepte individer per år som kan tilskrives sikkerhetskritisk feil i forriglingsutrustningen. Dette måltallet omfatter imidlertid alle personellgrupper. Med utgangspunkt i Sikkerhetshåndbokens forventning om 11 drepte per år, utgjør drepte passasjerer en andel på 0,27 av totalt antall drepte. Multiplisert med måltallet 0,162 og fordelt over 2.54 milliarder personkilometer per år gir det følgende måltall:
IRFi = 1,72·10-11/km.
Dette måltallet benyttes som basis for de konkrete analysene i dette dokumentet. Resultatene kan enkelt justeres i henhold til alternative måltall.
Med denne fremgangsmåten vil den mest eksponerte passasjeren være den som benytter ruten med størst farerate. THR for sikringsanleggene bestemmes derfor ut fra denne fareraten.
Den konkrete analysen vil ta for seg en konkret strekning. Systemdefinisjonen vil omfatte forriglingsutrustningen på denne strekningen. En viktig del av systemdefinisjonen er skjematisk plan og forriglingstabell for den enkelte stasjon. De skjematiske planene og forriglingstabellene for de aktuelle stasjonen på strekningen vil i kombinasjon med de grafiske rutene og tjenesteruteboken utgjøre et godt grunnlag for identifisering av hvilke farer som er aktuelle på de ulike farepunktene på strekningen.
Den videre analysen gjøres for alle persontogrutene for den aktuelle strekningen. Analysen gjøres ut fra togets/passasjerens sted, hvilket innebærer at alle relevante farer passasjerene om bord utsettes på den enkelte rute tas med i beregningen. Dette gir et tak på estimert risiko som er relevant også for de mindre risikoutsatte rutene. Ettersom unntak fra rutetabellen på grunn av forsinkelser i eventuelle tog ikke øker antallet tog på strekningen, antas det at analysen kan gjøres på basis av rutetabellen. Analysen bør imidlertid kontrolleres med hensyn til sensitivitet i forhold til dette.
Fareidentifiseringen kan ta utgangspunkt i farer identifisert i tidligere analyser, supplert med identifisering av farer som er spesifikke for den aktuelle stasjonen. I risikoestimeringen kan man ta hensyn til stedlige forhold og den aktuelle ruten. Dette kan omfatte faktorer som for eksempel estimert tid før svikten i sikkerhetsfunksjonen oppdages, siktavstand til hovedsignal, generelle siktforhold på stasjonen og lengde på sikkerhetssone. Eksempelvis vil en risikoestimering av sammenstøt med stillestående tog ved innkjøring på stasjonen være avhengig av togets hastighet og eventuelt om toget i følge ruten skal stoppe på stasjonen.
De grafiske rutene og tjenesteruteboken gir mye av den samme informasjonen. Mens de grafiske rutene presenterer informasjonen på en måte som egner seg for togledelse og planlegging av togfremføringen, er tjenesteruteboken lettere å bruke for å finne informasjon som er relevant for den enkelte rute og dermed for den enkelte fører. Med hensyn til risikoanalyse og beregning av THR, har tjenesteruteboken den viktige fordel at den gir informasjon om hvilket spor den aktuelle ruten faktisk benytter.
Beregningen av THR bruker en rekke informasjonskilder for å gi en mest mulig presis risikoanalyse. Disse kildene er knyttet både til infrastruktur og trafikk. For sistnevnte type informasjon må det naturligvis tas høyde for endringer i trafikkmønsteret, men det er uansett nyttig å ta utgangspunkt i dagens trafikkmønster og analysere sensitiviteten av analyseresultatene ut fra dette. De viktigste informasjonskildene er:
- Tjenesterutebok for ruter som trafikkerer strekningen
- Grafiske ruter for strekningen
- Skjematiske planer og forriglingstabeller for stasjonene på strekningen
- Bildedatabase og annen informasjon om stedlige forhold
- Statistikk over feil, hendelser og avvikssituasjoner
- Planlagte endringer av trafikkmønsteret
Metoden beskrevet i det foregående tillater at separate delstrekninger kan analyseres særskilt. Ved å estimere risikoen for de mest risikoutsatte rutene på de forskjellige delstrekningene, vil summen av disse definere et tak for risikoen for hele strekningen. Analysen for en hel strekning vil således ta høyde for at den mest utsatte passasjeren benytter de mest risikoutsatte rutene på de enkelte delstrekningene.
Følgende eksempel indikerer hvordan risikoberegningene kan gjøres. Kvantifiseringen er gjort kun gjort som et eksempel. I den faktiske risikoberegningen benyttes en kombinasjon av erfaringsdata og ekspertvurdering. Dette kan gjøres f.eks. gjennom en fast tabell for de ulike scenarioene, med en vekting av de ulike faktorene vurdert opp mot stedlige forhold (f.eks. avstand fra utkjørhovedsignal).
En av farene passasjerene utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010 er at Pt. 471 får kjøretillatelse inn på riktig spor i Mo i Rana, men sporveksel legges om til spor 2, hvor Gt. 5790 står oppført for avgang mot Mosjøen. Den potensielle ulykken er sammenstøt med Gt. 5790. Anta følgende estimater:
- Fareraten settes lik kravet til SKF1 i Teknisk regelverk, 10-9/h.
- Summen av tiden det tar før den underliggende svikten bak faren er oppdaget og utbedret, og tiden passasjeren utsettes for faren, settes for enkelhets skyld konservativt til 1 time.
- På grunn av den lave hastigheten ved et eventuelt sammenstøt settes sannsynligheten for at en gitt passasjer omkommer i et eventuelt sammenstøt til 10-2.
Sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 beregnes gjennom en følgeanalyse der de ulike risikoreduserende faktorer identifiseres og kvantifiseres:
På basis av følgeanalysen settes sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 til 0,005.
Generelt vil de ulike greinene i følgeanalysen ikke gi like stort utslag på analyseresultatet, og sensitiviteten av analysen i forhold til kvantifiseringen vil således variere. Analysen gir dermed også en indikasjon på hvilke faktorer det er viktigst å kvalitetssikre for å gi et best mulig estimat av risikoen knyttet til faren.
Med disse estimatene på de ulike parametrene blir den individuelle risikoen for en gitt passasjer dersom Pt. 471 feilaktig gis kjøretillatelse inn på spor 2 på Mo i Rana stasjon 10 9 1 10 2 5 10 3 5 10 14 − − − − = × × × × = × i IRF
I dette eksemplet er fareraten satt lik kravet til SKF1 i Teknisk regelverk. Metoden beskrevet i dette kapitlet er imidlertid utviklet med det formål å kunne fastsette en slik farerate. Fremgangsmåten blir da i første omgang å gjøre beregningene uten fareraten, hvilket i dette eksemplet gir 5 10 5 − × . Tilsvarende beregninger gjøres og summeres for de andre identifiserte farene for den aktuelle ruten. Dette gir en beregning av tallverdien til nevneren i formelen �( + )� × = j k H A j ij jk ik i D E C F IRF THR
Analysemetoden som beskrives i denne rapporten kan utføres separat på den enkelte delstrekning slik at resultatene for de enkelte delstrekningene kan kombineres som grunnlag for en analyse av hele eller større deler av strekningen.
Fareidentifisering/-analyse
Som beskrevet i avsnitt 1.4, opererer Jernbaneverkets tekniske regelverk med følgende sikkerhetskritiske funksjon for forriglingsutrustningen:
En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.
Kravet detaljeres gjennom definisjon av delfunksjoner for beskjeder til lyssignal, kommando til sporvekselutrustning, og beskjeder til ATC-infrastrukturutrustningen. I dette avsnittet identifiseres og analyseres farer for de to første av disse. Analysen tar ikke med farer knyttet til for lite restriktive beskjeder til ATC-infrastrukturutrustningen, ettersom disse er underordnet feil i lyssignal. Som det påpekes i [8] vil sikkerhetskritisk feil i forriglingsutrustning som gir feilaktig kommando om kjørsignal medføre at ATC ikke vil gripe inn. Videre vil en eksklusiv feil i ATC-beskjed fra forriglingsutrustningen, som ikke gir tilsvarende feilbeskjed til signalene, innebære at fører i tillegg overser ytre signal for at sammenstøt tog-tog skal kunne inntreffe.
I følgende tabell identifiseres ulike scenarioer, farer og mulige konsekvenser knyttet til sammenstøt tog-tog med utgangspunkt i svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF1). Tabellen reflekterer en systematisk tilnærming der de ulike kombinasjoner av innkjøring, utkjøring og retning for to tog håndteres for seg. Ettersom tolkningen av tog 1 og tog 2 kan varieres med hensyn til det aktuelle scenarioet (dvs. hvorvidt passasjerens tog er tog 1 eller tog 2), er symmetriske tilfeller dekket av samme kombinasjon og derfor ikke gjentatt.
Tog 1 | Tog 2 | Retning | Scenario | Fare | Konsekvens |
---|---|---|---|---|---|
Inn | Inn | Samme | Togene skal inn på stasjonen i samme ende | Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning | Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning |
Motsatt | Togene skal inn på stasjonen fra hver sin side (samtidig innkjør) | Togene får kjøretillatelse inn på riktig spor, men sporvekslene ligger inn til samme spor | Togene kjører inn i fronten på hverandre | ||
Ut | Samme | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende | Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen | Tog 1 kjører inn i enden på tog 2 | |
Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av | |||||
Tog 2 får feilaktig utkjørsignal | Ingen | ||||
Motsatt | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning | Tog 1 får kjøretillatelse inn på riktig spor, sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av | Tog 1 kjører inn i fronten på tog 2 | ||
Tog 2 får feilaktig utkjørssignal | Tog 2 kjører inn i fronten/flanken på tog 1 | ||||
Ut | Ut | Samme | Togene skal ut fra stasjonen i samme retning | Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal | Tog 1 kjører inn i flanken/enden på tog 2 |
Motsatt | Togene skal ut fra stasjonen i hver sin ende | Ingen |
I tillegg kommer farer knyttet til avsporing i sporveksel.
Ved å utelate tilfeller som ikke har noen konsekvens, kan det settes opp følgende tabell
over syv ulike scenarioer som analyseres for de aktuelle stasjonene på de enkelte
strekninger og ruter. Referansene er til scenarioene i [8].
Nr Scenario Fare Konsekvens Ref
1 Togene skal inn på
stasjonen fra hver sin
side (samtidig innkjør)
Tog 1 får kjøretillatelse
inn på riktig spor, men
sporveksel legges om til
samme spor som tog 2,
uten at tog 1 sporer av
Togene kjører inn i
fronten på hverandre
2 Tog 1 skal inn på samme
spor som tog 2. Tog 1 får
kjøretillatelse før tog 2
har forlatt stasjonen
131A
132A
3
Tog 1 skal inn på
stasjonen, mens tog 2
skal ut fra stasjonen i
motsatt ende
Tog 1 får kjøretillatelse
inn på et annet spor enn
tog 2, men sporveksel
legges om til samme
spor som tog 2, uten at
tog 1 sporer av
Tog 1 kjører inn i enden
på tog 2
131B
4 Tog 1 får kjøretillatelse
inn på riktig spor, men
sporveksel legges om til
samme spor som tog 2,
uten at tog 1 sporer av
Tog 1 kjører inn i fronten
på tog 2
111A
111B
5
Tog 1 skal inn på
stasjonen, mens tog 2
skal ut fra stasjonen i
motsatt retning
Tog 2 får feilaktig
utkjørsignal
Tog 2 kjører inn i
fronten/flanken på tog 1
113A
121A
6 Togene skal ut fra
stasjonen i samme
retning
Tog 1 får feilaktig
utkjørsignal, etter at tog 2
har passert sitt
utkjørsignal
Tog 1 kjører inn i
flanken/enden på tog 2
135A
136A
7 Tog 1 kjører gjennom
sporveksel
Sporvekselen ligger i feil
stilling eller legges om
under passering
Tog 1 sporer av 141A
141B
142B
145B
146B
149B
1410B
Risikoanalyse
I dette avsnittet gjøres en generisk risikoanalyse for hvert enkelt av scenarioene identifisert i forrige avsnitt. Ved å differensiere på enkelte parametre, kan analysene gjenbrukes for de aktuelle scenarioene på den enkelte strekning, rute og stasjon. For å legge et best mulig grunnlag for anvendelsen av analyseresultatene er det lagt vekt på å etablere konservative men realistiske estimater av sannsynlighetene for de ulike parametrene. Slike estimater vil ofte kunne bli gjenstand for diskusjon, særlig dersom det ikke eksisterer gode nok erfaringsdata. Det kan også være fristende å være i overkant konservativ for å gardere seg. Eksempelvis antar [8] at tog vil passere feilaktig kjørsignal i 100 % av tilfellene hvor feilaktig kjør inntreffer, men peker samtidig på at dette er en konservativ antakelse som kan diskuteres (side 44). Spesielt fremstår dette som et for pessimistisk anslag i de tilfeller som gjelder utkjørende tog som normalt møter kryssende tog på den aktuelle stasjonen. Både [8] og herværende rapport antar en viss sannsynlighet for dødsfall ved sammenstøt tog-tog også ved lave hastigheter, for eksempel mellom innkjørende tog og ventende tog på stasjon. Det kan hevdes at dette er for konservativt, ettersom Jernbaneverkets sikkerhetshåndbok anslår at sammenstøt tog-tog normalt ikke vil være fatalt dersom hastigheten er mindre enn 60 km/t. De følgende scenarioene dekker alle de aktuelle scenarioene for enkeltspor i [8]. Hvilke scenarioer som er aktuelle avhenger av rute og stasjon. Dette vil måtte vurderes i den enkelte analyse.
Scenario 1
Togene skal inn på stasjonen fra hver sin side (samtidig innkjør). Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av.
Dette scenarioet er ikke tatt med i denne utgaven av herværende rapport, men vil være nødvendig for analyse av strekninger med samtidig innkjør.
Scenario 2
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen.
[8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,4:
p1 | 0.4 |
Da tog 1 skal stoppe på stasjonen, anslås den individuelle sannsynligheten for dødsfall til 0,01:
F | 0.01 |
Dette gir følgende risikobidrag for scenario 2:
R = p1 × F
Scenario 3
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av. Sannsynligheten for at feilen inntreffer etter at toget har passert innkjørhovedsignal og før toget har passert sporvekselen settes til 0,01. Dette er identisk med estimatet som benyttes in [8]. p1 0,01 Det antas konservativt at toget ikke sporer av i sporvekselen (avsporing er dekket av scenario 7). Det antas at sannsynligheten for at fører oppdager at toget ledes over i feil spor er relativt høy, og at dette bidrar til å avverge et sammenstøt. Sannsynligheten for at fører 22 avverger sammenstøt anslås til 0,5 ved planlagt stopp og 0 ved planlagt gjennomkjøring: p2 0,5 Planlagt stopp 0 Planlagt gjennomkjøring Det anslås følgende individuelle sannsynlighet før dødsfall: F 0,01 Planlagt stopp eller gjennomkjøring med lav hastighet 0,05 Planlagt gjennomkjøring Dette gir følgende risikobidrag for scenario 3: R = p1× (1− p2) × F
Scenario 4
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av. Det benyttes samme parametre som for scenario 3: p1 0,01 p2 0,5 Planlagt stopp 0 Planlagt gjennomkjøring F 0,01 Planlagt stopp eller gjennomkjøring med lav hastighet 0,05 Planlagt gjennomkjøring Dette gir følgende risikobidrag for scenario 4: R = p1× (1− p2) × F
Scenario 5
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 2 får feilaktig utkjørsignal. 23 [8] antar at tog 2 alltid kjører ut på et feilaktig kjørsignal, men antyder samtidig at dette kan diskuteres. I herværende analyse benyttes generelt samme konservative antakelse, men med en noe lavere sannsynlighet i enkelte tilfeller: p1 1,0 0,5 Utkjørende tog er et persontog med ankomst maksimalt 3 minutter før forventet ankomst for kryssende tog 0,5 Utkjørende tog starter sin rute på stasjonen 0,5 Utkjørende tog har avgang minst 30 minutter etter forventet ankomst for kryssende tog 0,25 Utkjørende tog starter sin rute på stasjonen og har avgang minst 30 minutter etter forventet ankomst for kryssende tog 0,25 Utkjørende tog har avgang minst 60 minutter etter forventet ankomst for kryssende tog Sannsynligheten for at tog 1 og tog 2 vil kunne avverge sammenstøt anslås konservativt til 0: p2 0 Sannsynligheten for at togleder vil kunne avverge sammenstøt anslås til 0,65. Dette er i samsvar med estimatet i [8]. p3 0,65 Det anslås følgende individuelle sannsynlighet før dødsfall: F 0,1 Dette gir følgende risikobidrag for scenario 5: R = p1× (1− p2) × (1− p3) × F 24
Scenario 6
Togene skal ut fra stasjonen i samme retning. Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal. [8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,025, med 1 drept (lav hastighet). I herværende analyse følges antakelsen i [8] om at tog 1 alltid kjører ut på et feilaktig kjørsignal: p1 1,0 Gitt at tog 1 har kjørt ut på feilaktig kjørsignal, vil det være en viss sannsynlighet for at tog 1 faktisk kjører inn i flanken på tog 2. Denne sannsynligheten er på grunn av det korte tidsvinduet imidlertid relativt liten, og anslås til 0,025: p2 0,025 Sannsynligheten for at tog 1 tar igjen tog 2 anslås til 0,05: p3 0,05 Gitt at tog 1 når igjen tog 2, vil det være en viss sannsynlighet for at fører av tog 1 avverger et sammenstøt med tog 2. Denne sannsynligheten vil avhenge av forhold som sikt, hastighet, hvorvidt tog 2 er i bevegelse etc. Et konservativt fast anslag er 0,5: 25 p4 0,5 For både flankekollisjon og front-ende anslås individuell sannsynlighet før dødsfall til 0,01. Dette er i samsvar med estimatet i [8]. Dette gir følgende risikobidrag for scenario 6: R = p1× ( p2 + (1− p2) × p3× (1− p4)) × F
Scenario 7
Tog 1 kjører gjennom sporveksel. Sporvekselen ligger i feil stilling eller legges om under passering. For enkelthets skyld antas konservativt at sannsynligheten for avsporing er 0,5: p1 0,5 F 0 Avgang, planlagt stopp eller gjennomkjøring med lav hastighet 0,001 Planlagt gjennomkjøring med middels hastighet 0,01 Planlagt gjennomkjøring med høy hastighet Dette gir følgende risikobidrag for scenario 7: R = p1× F
Oppsummering
I denne rapporten er det beskrevet en generell metode for utledning av tolerable farerater for svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF-1) som del av underlaget for godkjenning av sikringsanlegg som spesifikke applikasjoner. I en slik utledning er det viktig å ta hensyn til følgende usikkerhetsfaktorer: 1. Eventuelle sikkerhetsforhold som ikke er tilstrekkelig dekket av analysen. 2. For optimistiske anslag for sannsynligheten av de ulike parametrene som inngår i analysen. 3. Økt risikonivå som følge av endringer i ruteplanen eller økt trafikkmengde. På grunn av systematikken i metoden vil et eventuelt risikopåslag på grunn av 1 være relativt liten. Det klart sterkeste risikobidraget vil i de fleste tilfeller være knyttet til 26 scenario 5, og eventuelle sikkerhetsforhold som ikke er dekket av metoden må kunne antas å ha et relativt lite bidrag sammenliknet med dette scenarioet. Uansett er det mulig å utvide metoden med flere scenarioer dersom dette skulle være aktuelt. Metoden er slik sett uavhengig av de scenarioene som benyttes. Vedrørende punkt 2 henvises til vurderingen av hver enkelt parameter, der det er lagt vekt på å benytte tilstrekkelig men ikke unødvendig konservative anslag. Den av parametrene som påvirker resultatet mest er sannsynligheten for at et tog som venter på kryssende tog kjører ut på feilaktig utkjørsignal før kryssende tog har ankommet stasjonen. I likhet med [8], antar herværende rapport at toget alltid vil kjøre ut (med enkelte unntakstilfeller), hvilket selvsagt vil gjøre et stort utslag på analyseresultatene. Som [8] påpeker, kan denne antakelsen diskuteres. Dersom et tog etter ruten skal vente på et kryssende tog, framstår det som lite sannsynlig at fører vil kjøre ut fra stasjonen før kryssende tog har ankommet, uten å undersøke dette nærmere. Selv om mange av de faktiske kryssingene skjer utenfor oppsatt rute, bør informasjon om og årvåkenhet på planlagte kryssinger kunne antas å redusere sannsynligheten for at fører kjører ut på feilaktig utkjørsignal. Dagens togframføringsforskrift [9] forutsetter imidlertid ingen slik menneskelig barriere for fjernstyrte strekninger, og det er derfor heller ikke antatt en slik risikoreduserende faktor i herværende analyse (bortsett fra i unntakstilfellene). Når det gjelder endringer i ruteplanen eller økt trafikkmengde vil det ofte være rom for dette uten at de mest utsatte rutene, og dermed den mest utsatte passasjeren, blir mer risikoutsatt. Anvendelse av metodikken på konkrete strekninger er ikke del av herværende rapport.
Referanser
[1] J. Braband, Risikoanalysen in der Eisenbahn-Automatisierung, Eurailpress, 2005.
[2] CENELEC, “EN 50126: Railway applications – The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS)”, Sep. 1999.
[3] CENELEC, “EN 50128: Railway applications – Communication, signalling and processing systems – Software for railway control and protection systems”, Mar. 2001.
[4] CENELEC, “EN 50129: Railway applications – Communications, signalling and processing systems – Safety related electronic systems for signalling”, Feb. 2003.
[5] IEC, “IEC 60812: Analysis techniques for system reliability – Procedure for failure mode and effect analysis (FMEA)”, Jan. 2006.
[6] IEC, “IEC 61025: Fault tree analysis (FTA)”, Dec. 2006.
[7] IEC, “IEC 61882: Hazard and operability studies (HAZOP studies) – Application guide”, May 2001.
[8] O. Løkberg, K. Øien, “Fordeling av Tolerable Hazard Rates i signalanlegg”, Rapport STF90 F05136, Sintef IKT, 2005-11-15.
[9] FOR 2008-02-29 nr 240: “Forskrift om togfremføring på det nasjonale jernbanenettet (togframføringsforskriften)”.