Signal/Utledning av tolerable farerater for spesifikke sikringsanlegg: Forskjell mellom sideversjoner
(66 mellomliggende revisjoner av samme bruker vises ikke) | |||
Linje 5: | Linje 5: | ||
I forbindelse med nybygging eller større endringer av sikringsanlegg i Jernbaneverkets infrastruktur, legges det til grunn at anleggene skal oppfylle de generiske kravene til tolerable farerater gitt i Jernbaneverkets tekniske regelverk. Dette innebærer prinsipielt at samme krav stilles til alle anlegg, uansett hvor de befinner seg i infrastrukturen. Et slikt prinsipp er relevant så lenge anleggene skal godkjennes på basis av godkjente generiske produkter og generiske applikasjoner, men kan hevdes å være unødvendig rigid i de tilfeller det er aktuelt å godkjenne sikringsanlegg som spesifikke applikasjoner. Slike spesifikke godkjenninger vil kunne baseres på dokumentasjon og risikoanalyser av den enkelte stasjon og strekning, herunder de tolerable farerater som utledes for sikringsanleggene (eller mer presist sikkerhetsfunksjonene disse utfører) på den aktuelle strekningen. | I forbindelse med nybygging eller større endringer av sikringsanlegg i Jernbaneverkets infrastruktur, legges det til grunn at anleggene skal oppfylle de generiske kravene til tolerable farerater gitt i Jernbaneverkets tekniske regelverk. Dette innebærer prinsipielt at samme krav stilles til alle anlegg, uansett hvor de befinner seg i infrastrukturen. Et slikt prinsipp er relevant så lenge anleggene skal godkjennes på basis av godkjente generiske produkter og generiske applikasjoner, men kan hevdes å være unødvendig rigid i de tilfeller det er aktuelt å godkjenne sikringsanlegg som spesifikke applikasjoner. Slike spesifikke godkjenninger vil kunne baseres på dokumentasjon og risikoanalyser av den enkelte stasjon og strekning, herunder de tolerable farerater som utledes for sikringsanleggene (eller mer presist sikkerhetsfunksjonene disse utfører) på den aktuelle strekningen. | ||
Siktemålet med denne | Siktemålet med denne artikkelen er å angi en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Hensiktsmessigheten med å gjøre slike spesifikke analyser er basert på hypotesen om at strekninger med færre farepunkter, mindre togtetthet, lavere hastighet osv. tillater høyere farerater for sikringsanleggene uten at dette gir høyere individuell risiko enn på andre strekninger. | ||
Videre i kapittel 1 gis en oversikt over prinsippene for sikkerhetsintegritet, sikkerhetsbegrepet i CENELEC-normene, utledning av tolerable farerater i henhold til disse normene, og relasjonen til Jernbaneverkets sikkerhetshåndbok og tekniske regelverk. Kapittel 2 beskriver en metode for utledning av tolerable farerater for sikringsanlegg som spesifikke applikasjoner. Kapittel 3 oppsummerer metoden. | Videre i kapittel 1 gis en oversikt over prinsippene for sikkerhetsintegritet, sikkerhetsbegrepet i CENELEC-normene, utledning av tolerable farerater i henhold til disse normene, og relasjonen til Jernbaneverkets sikkerhetshåndbok og tekniske regelverk. | ||
Kapittel 2 beskriver en metode for utledning av tolerable farerater for sikringsanlegg som spesifikke applikasjoner. | |||
Kapittel 3 oppsummerer metoden. | |||
=== Sikkerhetsintegritet === | === Sikkerhetsintegritet === | ||
I europeisk jernbanesammenheng er utviklingen av en moderne, risikoorientert definisjon av sikkerhet blant annet reflektert i etableringen av EUs “new concept”, som har til hensikt å legge til rette for teknisk harmonisering og således forhindre restriksjoner på fri flyt av varer mellom medlemslandene. Begrepet stiller krav til | I europeisk jernbanesammenheng er utviklingen av en moderne, risikoorientert definisjon av sikkerhet blant annet reflektert i etableringen av EUs “new concept”, som har til hensikt å legge til rette for teknisk harmonisering og således forhindre restriksjoner på fri flyt av varer mellom medlemslandene. Begrepet stiller krav til spesifikasjon og implementering av de essensielle sikkerhetskravene til et system, og er basert på de samme definisjoner av sikkerhet, risiko, etc. som CENELEC-normene. Det forutsettes en risikoorientert tilnærming til sikkerhet, det vil si en tilnærming der sikkerhet defineres på basis av spesifiseringen av risikonivå. Denne tilnærmingen innebærer en demonstrasjon av at systemet gjennom sin levetid vil kunne settes i drift, opereres, vedlikeholdes, avvikles og avhendes under et tolererbart risikonivå. Sikkerhet betraktes med andre ord ikke som absolutt fravær av risiko, men i relasjon til hva som anses som en akseptabel restrisiko etter at alle sikkerhetsforanstaltninger er implementert. | ||
spesifikasjon og implementering av de essensielle sikkerhetskravene til et system, og er | |||
basert på de samme definisjoner av sikkerhet, risiko, etc. som CENELEC-normene. Det | |||
forutsettes en risikoorientert tilnærming til sikkerhet, det vil si en tilnærming der | |||
sikkerhet defineres på basis av spesifiseringen av risikonivå. Denne tilnærmingen | |||
innebærer en demonstrasjon av at systemet gjennom sin levetid vil kunne settes i drift, | |||
opereres, vedlikeholdes, avvikles og avhendes under et tolererbart risikonivå. Sikkerhet | |||
betraktes med andre ord ikke som absolutt fravær av risiko, men i relasjon til hva som | |||
anses som en akseptabel restrisiko etter at alle sikkerhetsforanstaltninger er | |||
implementert. | |||
I enhver tilnærming til risiko vil det være nødvendig å skille mellom systematiske og | I enhver tilnærming til risiko vil det være nødvendig å skille mellom systematiske og tilfeldige feil. Systematiske feil er relatert til resultatene av menneskelige feilgrep, eksempelvis feil i programvare, designfeil, etc. Tilfeldige feil er på sin side relatert til svikt og forstyrrelser som skjer som resultat av rene fysiske forhold, for eksempel svikt i et relé, korrosjon, materialtretthet, etc. Erfaring fra sikkerhetskritiske systemer indikerer | ||
tilfeldige feil. Systematiske feil er relatert til resultatene av menneskelige feilgrep, | |||
eksempelvis feil i programvare, designfeil, etc. Tilfeldige feil er på sin side relatert til | |||
svikt og forstyrrelser som skjer som resultat av rene fysiske forhold, for eksempel svikt i | |||
et relé, korrosjon, materialtretthet, etc. Erfaring fra sikkerhetskritiske systemer indikerer | |||
at systematiske feil har et større farepotensial enn tilfeldige feil. | at systematiske feil har et større farepotensial enn tilfeldige feil. | ||
Et grunnleggende begrep i EN 50126 er sikkerhetsintegritetsnivå (safety integrity level, | Et grunnleggende begrep i EN 50126 er sikkerhetsintegritetsnivå (safety integrity level, SIL). Et systems integritetsnivå er definert som et mål for hvor kritisk det er at systemet opererer korrekt. På basis av en grundig sikkerhetsanalyse tilordnes systemet et sikkerhetsintegritetsnivå, som igjen bestemmer hvilke metoder som skal benyttes for design og implementering av systemet. Høyere nivå gir strengere krav til valg av metoder. Generelt skal alle systemer som kan ha innflytelse på sikkerhet tilordnes et sikkerhetsintegritetsnivå. | ||
SIL). Et systems integritetsnivå er definert som et mål for hvor kritisk det er at systemet | |||
opererer korrekt. På basis av en grundig sikkerhetsanalyse tilordnes systemet et | |||
sikkerhetsintegritetsnivå, som igjen bestemmer hvilke metoder som skal benyttes for | |||
design og implementering av systemet. Høyere nivå gir strengere krav til valg av | |||
metoder. Generelt skal alle systemer som kan ha innflytelse på sikkerhet tilordnes et | |||
sikkerhetsintegritetsnivå. | |||
Allokeringen av SIL til de forskjellige delsystemene og komponentene i et system gjør | Allokeringen av SIL til de forskjellige delsystemene og komponentene i et system gjør det mulig å arbeide preventivt for å forebygge systematiske feil, i den forstand at det kan defineres ulike tiltak for å redusere sannsynligheten for slike feil. Bruken av begrepet reflekterer en tilnærming til feil der fokus er på hvordan feil kan forebygges i de ulike livsløpsfasene ved å benytte metoder og teknikker som mest mulig effektivt forhindrer at feil som introduseres i en livsløpsfase blir med videre i neste livsløpsfase. Feilforebyggende tiltak blir relativt sett viktigere med høyere SIL, ettersom det her i mindre grad kan anvendes erfaringsdata eller testresultater for å demonstrere sikkerhetsnivået. | ||
det mulig å arbeide preventivt for å forebygge systematiske feil, i den forstand at det | |||
kan defineres ulike tiltak for å redusere sannsynligheten for slike feil. Bruken av | |||
begrepet reflekterer en tilnærming til feil der fokus er på hvordan feil kan forebygges i | |||
de ulike livsløpsfasene ved å benytte metoder og teknikker som mest mulig effektivt | |||
forhindrer at feil som introduseres i en livsløpsfase blir med videre i neste livsløpsfase. | |||
Feilforebyggende tiltak blir relativt sett viktigere med høyere SIL, ettersom det her i | |||
mindre grad kan anvendes erfaringsdata eller testresultater for å demonstrere | |||
sikkerhetsnivået. | |||
SIL-begrepet må forstås i sammenheng med CENELEC-normenes risikoanalytiske, | SIL-begrepet må forstås i sammenheng med CENELEC-normenes risikoanalytiske, systemorienterte tilnærming til sikkerhet, der sikkerhet betraktes i forhold til tolererbar risiko. Det er Jernbaneverkets ansvar å utlede de tolerable fareratene for systemene, og det er essensielt at disse utledes fra overordnede kriterier. Leverandøren skal på sin side spesifisere en systemarkitektur som gir et system som tilfredsstiller de tolerable fareratene (tolerable hazard rate, THR) for hver identifiserte fare, analysere de mulige årsakene til hver fare, og fastsette sikkerhetskravene til de ulike funksjonene og/eller til | ||
systemorienterte tilnærming til sikkerhet, der sikkerhet betraktes i forhold til tolererbar | delsystemene som utfører disse. I leverandørens analyse av årsakene til den enkelte identifiserte fare skal den tolerable fareraten allokeres på de forskjellige systemfunksjonene ved at det spesifiseres sikkerhetsintegritetsnivåer (SIL) for delsystemene som implementerer de forskjellige funksjonene. | ||
risiko. Det er Jernbaneverkets ansvar å utlede de tolerable fareratene for systemene, og | |||
det er essensielt at disse utledes fra overordnede kriterier. Leverandøren skal på sin side | |||
spesifisere en systemarkitektur som gir et system som tilfredsstiller de tolerable | |||
fareratene (tolerable hazard rate, THR) for hver identifiserte fare, analysere de mulige | |||
årsakene til hver fare, og fastsette sikkerhetskravene til de ulike funksjonene og/eller til | |||
delsystemene som utfører disse. I leverandørens analyse av årsakene til den enkelte | |||
identifiserte fare skal den tolerable fareraten allokeres på de forskjellige | |||
systemfunksjonene ved at det spesifiseres sikkerhetsintegritetsnivåer (SIL) for | |||
delsystemene som implementerer de forskjellige funksjonene. | |||
Selv om CENELEC-normene benytter begrepet tolerabel farerate for både tilfeldige og | Selv om CENELEC-normene benytter begrepet tolerabel farerate for både tilfeldige og systematiske feil, aksepteres det at det per i dag kun er mulig å verifisere bidrag fra tilfeldige feil. CENELEC-normene antar at sikkerhet mot systematiske feil ikke er kvantifiserbar, i hvert fall når det gjelder anvendelser med høyt sikkerhetsnivå. I stedet skal sikkerhetsintegritetsnivået utledes fra fastsatte THR, og benyttes for å definere tiltak mot systematiske feil, herunder feil i programvare. Utledningen gjøres på basis av følgende tabell: | ||
systematiske feil, aksepteres det at det per i dag kun er mulig å verifisere bidrag fra | |||
tilfeldige feil. CENELEC-normene antar at sikkerhet mot systematiske feil ikke er | |||
kvantifiserbar, i hvert fall når det gjelder anvendelser med høyt sikkerhetsnivå. I stedet | |||
skal sikkerhetsintegritetsnivået utledes fra fastsatte THR, og benyttes for å definere | |||
tiltak mot systematiske feil, herunder feil i programvare. Utledningen gjøres på basis av | |||
følgende tabell: | |||
{| class="wikitable" | {| class="wikitable" style="text-align: center;" | ||
|- | |- | ||
! Tolererbar farerate per time og funksjon (THR)!! Sikkerhetsintegritetsnivå (SIL) | ! Tolererbar farerate per time og funksjon (THR)!! Sikkerhetsintegritetsnivå (SIL) | ||
|- | |- | ||
| 10<sup>−9</sup> ≤ p < 10<sup>−8</sup> | | 10<sup>−9</sup> ≤ p < 10<sup>−8</sup> || 4 | ||
|- | |- | ||
| 10<sup>−8</sup> ≤ p < 10<sup>−7</sup> || 3 | | 10<sup>−8</sup> ≤ p < 10<sup>−7</sup> || 3 | ||
Linje 80: | Linje 42: | ||
|} | |} | ||
Dersom en sikkerhetsfunksjon gis THR lavere enn 10<sup>-9</sup>/h, krever EN 50129 at systemet i stedet designes med flere uavhengige sikkerhetsfunksjoner. Det er verdt å merke seg at dagens krav i Jernbaneverkets tekniske regelverk fastsetter THR for blant annet forriglingsutrustningen til nettopp 10<sup>-9</sup>, hvilket således er helt på grensen til at det kreves et slikt design. Kravet, som er utledet på basis av [8], gjelder generelt for all nybygging og vesentlige endringer i Jernbaneverkets infrastruktur. | |||
I denne artikkelen refererer begrepet sikkerhetsintegritetskrav både til THR og SIL, men hvor SIL forutsettes utledet fra THR. Det understrekes imidlertid at det prinsipielt ikke er Jernbaneverkets ansvar å fastsette SIL for de ulike delene av leverandørens system. I henhold til EN 50129 begrenser Jernbaneverkets ansvar seg til fastsettelsen av THR. | |||
=== Utledning av sikkerhetsintegritetskrav === | |||
I kapittel 2 etableres en metode for utledning av tolerable farerater for spesifikke sikringsanlegg, dvs. for forriglingsutrustningen av disse anleggene. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko). | |||
CENELEC-normene stiller krav til en systematisk anvendelse av en metodikk for fastsettelse av sikkerhetsintegritetskrav til signalsystemer. Kravene til en slik metodikk er hovedsakelig gitt i EN 50126 og EN 50129, Annex A. Oppfyllelse av disse kravene er en forutsetning for å kunne dokumentere at fastsettelsen av sikkerhetsintegritetskravene har vært utført i samsvar med CENELEC-normene. I det følgende gis en kort beskrivelse av kravene, med referanser til de aktuelle avsnittene i normene. | |||
EN 50129 definerer et sikkerhetsrelatert system som et system med sikkerhetsansvar (3.1.56). Sikringsanlegg faller således naturlig inn i denne definisjonen. | |||
Sikkerhetsansvaret realiseres gjennom de sikkerhetsfunksjoner som allokeres til systemet (EN 50126, 3.38). Allokering av sikkerhetsfunksjoner er en del av RAMSprosessen beskrevet i EN 50126. | |||
Sikkerhetsfunksjonene er de sikkerhetsrelaterte funksjonene systemet skal utføre (EN 50129, A.2). En funksjons sikkerhetsintegritet er sannsynligheten for at systemet utfører sikkerhetsfunksjonen (EN 50126, 3.37, EN 50129, A.3). Sikkerhetsintegritetskravet spesifiseres som funksjonens sikkerhetsintegritetsnivå, SIL (EN 50126, 3.38). Sikkerhetsfunksjonskravene og tilhørende sikkerhetsintegritetskrav utgjør (system)sikkerhetskravene (EN 50129, A.2) | |||
Sikkerhetsintegritet spesifiseres som ett av fire nivåer, der SIL-1 er lavest og SIL-4 er høyest (EN 50129, A.5.1). SIL-0 benyttes for å indikere at det ikke er noen sikkerhetskrav (EN 50129, A. 5.1). Det innebærer at dersom alle systemfunksjonene allokeres SIL-0, har systemet formelt sett ingen sikkerhetskrav. For signalsystemer må imidlertid RAMS-prosessen i EN 50126 uansett gjennomføres, slik at eventuelle sikkerhetskrav blir identifisert (EN 50129, 1). | |||
En metodikk for fastsettelse og fordeling av sikkerhetsintegritetskrav skal ta hensyn til det aktuelle signalsystemets driftsomgivelser og arkitektur, basert på et veldefinert grensesnitt mellom disse. Dette grensesnittet skal beskrives fra en sikkerhetsvinkling, som innebærer at det defineres en liste av farer (hazards) og assosierte tolerable farerater (tolerable hazard rates, THR) for systemet. | |||
Denne grensesnittsbeskrivelsen skal danne grunnlag både for Jernbaneverkets risikoanalyse og for leverandørens farekontroll. I følge EN 50129 skal | |||
i | sikkerhetsmyndigheten, i dette tilfellet Statens jernbanetilsyn, godkjenne begge disse aktivitetene. Begge analyser tar utgangspunkt i de identifiserte farene. Mens risikoanalysen skal identifisere mulige konsekvenser av farene og risikoene relatert til disse, skal farekontrollen identifisere årsakene til de samme farene. De to aktivitetene er relatert på den måten at risikoanalysen utleder de THR som er nødvendig for SIL-allokeringen i farekontrollen. | ||
EN 50129 angir ikke noen bestemt metodikk for verken risikoanalysen eller farekontrollen, men gir eksempler på de respektive prosessene. Disse eksemplene, | |||
sammen med kravene i CENELEC-normene, gir Jernbaneverket og leverandøren et grunnlag for å etablere metoder for de to prosessene. Det er i praksis en forutsetning for sikkerhetsmyndighetens godkjenning at metodene etableres på dette grunnlaget. | |||
CENELEC-normene | |||
er | |||
I dette dokumentet rettes fokus mot risikoanalysen, siden det er denne prosessen som er Jernbaneverkets ansvar og som skal benyttes for utledningene av THR for de aktuelle systemene. | |||
I dette dokumentet rettes fokus mot risikoanalysen, siden det er denne prosessen som er | |||
Jernbaneverkets ansvar og som skal benyttes for utledningene av THR for de aktuelle | |||
systemene. | |||
=== Jernbaneverkets sikkerhetshåndbok === | === Jernbaneverkets sikkerhetshåndbok === | ||
Jernbaneverkets forvaltningsansvar for det nasjonale jernbanenettet innebærer et | Jernbaneverkets forvaltningsansvar for det nasjonale jernbanenettet innebærer et overordnet systemansvar for sikkerheten på jernbanenettet. Dette innebærer at | ||
overordnet systemansvar for sikkerheten på jernbanenettet. Dette innebærer at | Jernbaneverket har et ansvar for at jernbanevirksomhet ikke medfører alvorlig tap eller skade på reisende, tredjeperson, personale eller omgivelser. Sikkerhetsstyring i Jernbaneverket er beskrevet i Sikkerhetshåndboken, som inngår som en del av Jernbaneverkets prosesser “styre og kontrollere virksomheten”. Håndboken beskriver Jernbaneverkets sikkerhetsstyring som del av Jernbaneverkets totale styringssystem, og gir detaljerte sikkerhetsmål og akseptkriterier basert på Jernbaneverkets sikkerhetsfilosofi og overordnede sikkerhetsmål. | ||
Jernbaneverket har et ansvar for at jernbanevirksomhet ikke medfører alvorlig tap eller | |||
skade på reisende, tredjeperson, personale eller omgivelser. Sikkerhetsstyring i | I forhold til øvrige dokumenter på Sikkerhetshåndbokens nivå, har Sikkerhetshåndboken primært følgende to funksjoner: | ||
Jernbaneverket er beskrevet i Sikkerhetshåndboken, som inngår som en del av | |||
Jernbaneverkets prosesser “styre og kontrollere virksomheten”. Håndboken beskriver | * Beskrivelse av metodikk og prinsipper for Jernbaneverkets sikkerhetsstyring som skal benyttes for all aktivitet innenfor virksomheten, og innenfor de øvrige styringsdokumenter. | ||
Jernbaneverkets sikkerhetsstyring som del av Jernbaneverkets totale styringssystem, og | * Beskrivelse av hvorledes Jernbaneverket skal ivareta lovgivningens spesifikke krav til sikkerhetsstyring. | ||
gir detaljerte sikkerhetsmål og akseptkriterier basert på Jernbaneverkets | |||
sikkerhetsfilosofi og overordnede sikkerhetsmål. | De viktigste lover og forskrifter for Sikkerhetshåndboken er Jernbaneloven og Sikkerhetsstyringsforskriften. Sikkerhetsstyringsforskriften stiller krav til at Jernbanevirksomheten skal ha et sikkerhetsstyringssystem som er tilpasset virksomheten og den aktivitet som drives, og omfatter alle forhold knyttet til virksomheten, herunder bruk av leverandører. Videre skal det tas hensyn til risikoforhold som oppstår som følge av andre jernbanevirksomheters og tredjeparts virksomhet. Jernbanevirksomhetens ledelse skal regelmessig foreta en gjennomgang av sikkerhetsstyringssystemet for å sikre at det er hensiktsmessig, tilstrekkelig og effektivt. | ||
I forhold til øvrige dokumenter på Sikkerhetshåndbokens nivå, har | |||
Sikkerhetshåndboken primært følgende to funksjoner: | Jernbaneverkets sikkerhetshåndbok formulerer Jernbaneverkets overordnede mål for jernbanesikkerhet på følgende måte: “Det etablerte sikkerhetsnivå for jernbanetransport i Norge skal opprettholdes. Alle endringer skal sikre en utvikling i positiv retning”. Samtidig understrekes det at det skal kontinuerlig arbeides med, fokuseres på og iverksettes risikoreduserende tiltak og aktivitet selv om kravet til akseptabelt risikonivå er tilfredsstilt. | ||
som skal benyttes for all aktivitet innenfor virksomheten, og innenfor de øvrige | Jernbaneverkets metodikk for sikkerhetsstyring er analytisk basert. I dette ligger identifikasjon, gjennomføring og bruk av analyser og vurderinger som nødvendige aktiviteter for kartlegging av jernbanevirksomhetens risikopotensial. Med analytisk sikkerhetsstyring forstår Jernbaneverket at det skal gjennomføres analyser og vurderinger som underlag for beslutninger gjennom hele livsløpsprosessen. Resultatene av analyser og vurderinger skal inngå i planer, drift og avvikling. Resultatene skal danne basis for identifikasjon av nødvendige tiltak og korreksjoner. Analyser og vurderinger skal foretas slik at aktiviteter, organisasjon, funksjoner og teknikk korrigeres før skade har oppstått. | ||
styringsdokumenter. | |||
Ett annet hovedelement i den analytiske sikkerhetsstyringen er et sterkt fokus på registrerte uønskede hendelser. Disse skal følges opp “som om uhell/ulykke virkelig hadde skjedd”, dvs. aktuelle tiltak skal identifiseres og iverksettes. | |||
krav til sikkerhetsstyring. | |||
De viktigste lover og forskrifter for Sikkerhetshåndboken er Jernbaneloven og | Sikkerhetshåndboken vurderer risikoen for passasjerer og togpersonale til å være primært en funksjon av togkilometer og personkilometer. Sikkerhetshåndboken opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10<sup>-9</sup>. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10<sup>-4</sup> per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10<sup>-7</sup>. | ||
ha et sikkerhetsstyringssystem som er tilpasset virksomheten og den aktivitet som | Sikkerhetshåndboken aksepterer risikoanalyser utført i henhold til EN 50126 og med bruk av Jernbaneverkets risikoakseptkriterier. Det ligger i intensjonen bak herværende dokument at metoden som etableres for utledning av sikkerhetsintegritetskrav således er i henhold til både CENELEC-normene og Jernbaneverkets sikkerhetshåndbok. | ||
drives, og omfatter alle forhold knyttet til virksomheten, herunder bruk av leverandører. | |||
Videre skal det tas hensyn til risikoforhold som oppstår som følge av andre | |||
jernbanevirksomheters og tredjeparts virksomhet. Jernbanevirksomhetens ledelse skal | |||
regelmessig foreta en gjennomgang av sikkerhetsstyringssystemet for å sikre at det er | |||
hensiktsmessig, tilstrekkelig og effektivt. | |||
Jernbaneverkets sikkerhetshåndbok formulerer Jernbaneverkets overordnede mål for | |||
jernbanesikkerhet på følgende måte: “Det etablerte sikkerhetsnivå for jernbanetransport | |||
i Norge skal opprettholdes. Alle endringer skal sikre en utvikling i positiv retning”. | |||
Samtidig understrekes det at det skal kontinuerlig arbeides med, fokuseres på og | |||
iverksettes risikoreduserende tiltak og aktivitet selv om kravet til akseptabelt risikonivå | |||
er tilfredsstilt. | |||
Jernbaneverkets metodikk for sikkerhetsstyring er analytisk basert. I dette ligger | |||
identifikasjon, gjennomføring og bruk av analyser og vurderinger som nødvendige | |||
aktiviteter for kartlegging av jernbanevirksomhetens risikopotensial. Med analytisk | |||
sikkerhetsstyring forstår Jernbaneverket at det skal gjennomføres analyser og | |||
vurderinger som underlag for beslutninger gjennom hele livsløpsprosessen. Resultatene | |||
av analyser og vurderinger skal inngå i planer, drift og avvikling. Resultatene skal | |||
danne basis for identifikasjon av nødvendige tiltak og korreksjoner. Analyser og | |||
vurderinger skal foretas slik at aktiviteter, organisasjon, funksjoner og teknikk | |||
korrigeres før skade har oppstått. | |||
Ett annet hovedelement i den analytiske sikkerhetsstyringen er et sterkt fokus på | |||
registrerte uønskede hendelser. Disse skal følges opp “som om uhell/ulykke virkelig | |||
hadde skjedd”, dvs. aktuelle tiltak skal identifiseres og iverksettes. | |||
Sikkerhetshåndboken vurderer risikoen for passasjerer og togpersonale til å være | |||
primært en funksjon av togkilometer og personkilometer. Sikkerhetshåndboken opererer | |||
med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer | |||
per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10 9 | |||
Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko | |||
for passasjerer, nemlig 10 4 | |||
tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per | |||
dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette | |||
THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en | |||
togreise på 100 kilometer være 10 7 | |||
Sikkerhetshåndboken aksepterer risikoanalyser utført i henhold til EN 50126 og med | |||
bruk av Jernbaneverkets risikoakseptkriterier. Det ligger i intensjonen bak herværende | |||
dokument at metoden som etableres for utledning av sikkerhetsintegritetskrav således er | |||
i henhold til både CENELEC-normene og Jernbaneverkets sikkerhetshåndbok. | |||
=== Jernbaneverkets tekniske regelverk === | === Jernbaneverkets tekniske regelverk === | ||
I forbindelse med Teknisk regelverks overgang til å sette krav til sikkerhetsfunksjoner, | I forbindelse med Teknisk regelverks overgang til å sette krav til sikkerhetsfunksjoner, utførte SINTEF IKT et arbeid som tok sikte på å fastsette minimumskrav til tolerable farerater (tolerable hasardrater – THR) [8]. Rapporten tok utgangspunkt i fem sentrale sikkerhetsfunksjoner for signalanlegg, herunder funksjonen Forriglingsutrustning (SKF1), med en tolerabel farerate på 10<sup>-9</sup> per time per enhet og dermed SIL-4. Kravet er helt på grensen til at det kreves at signalsystemene designes med flere uavhengige sikkerhetsfunksjoner. SKF1 defineres på følgende måte: | ||
utførte SINTEF IKT et arbeid som tok sikte på å fastsette minimumskrav til tolerable | |||
farerater (tolerable hasardrater – THR) [8]. Rapporten tok utgangspunkt i fem sentrale | ''En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.'' | ||
sikkerhetsfunksjoner for signalanlegg, herunder funksjonen Forriglingsutrustning | |||
(SKF1), med en tolerabel farerate på 10 9 | |||
helt på grensen til at det kreves at signalsystemene designes med flere uavhengige | |||
sikkerhetsfunksjoner. SKF1 defineres på følgende måte: | |||
En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data | |||
til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen. | |||
Kravet detaljeres gjennom definisjon av følgende delfunksjoner: | Kravet detaljeres gjennom definisjon av følgende delfunksjoner: | ||
enn det som er tillatt ut fra forutsetningene. | * ''Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til et lyssignal enn det som er tillatt ut fra forutsetningene.'' | ||
* ''Forriglingsutrustningen skal ikke gi kommando til en sporvekselutrustning uten at betingelsene er oppfylt.'' | |||
at betingelsene er oppfylt. | * ''Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til ATC-infrastrukturutrustningen enn det som er tillatt ut fra forutsetningene.'' | ||
enn det som er tillatt ut fra forutsetningene. | Lignende krav er stilt til sporvekselutrustning (SKF2), togdeteksjon (SKF3), lyssignal (SKF4), og ATC infrastruktur (SKF5). | ||
(SKF4), og ATC infrastruktur (SKF5). | |||
== Metode == | == Metode == | ||
I dette kapitlet etableres en generell metode for utledning av tolerable farerater for | I dette kapitlet etableres en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko). Mens kollektiv risiko gjerne måles i antall dødsfall per år, måles individuell risiko gjerne i sannsynlighet for å omkomme per år per individ. | ||
sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Metoden er | |||
utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av | Individuell risiko er derfor relativ, mens kollektiv risiko er absolutt. Det betyr samtidig at et mål på kollektiv risiko i prinsippet enten må justeres i forhold til antall reisende, eller at det iverksettes tilstrekkelige tiltak for å øke sikkerheten med antallet reisende. Til sammenlikning kan individuell risiko håndteres som en fast størrelse uavhengig av antallet reisende. I tekniske anvendelser vil derfor som regel individuell risiko være mest hensiktsmessig. Individuell risiko kan måles i forhold til personkilometer eller reisetid, og det er relativt enkelt å konvertere beregningene: Årsgjennomsnittet for passasjerenes individuelle risiko kan beregnes som produktet av gjennomsnittlig reisehastighet og antall omkomne per år, dividert med antall personkilometer per år. Dette kan beregnes for landet som sådan eller for et mer avgrenset område. En aktuell anvendelse er å bruke årsgjennomsnittet for hele landet som et måltall for individuell risiko for den enkelte strekning. Beregningen vil ta høyde for ulikheter i hastigheter og antall passasjerer, og således gjøre det lettere å sammenlikne de ulike strekningene. | ||
sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter | |||
at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar | I dette dokument beregnes individuell risiko i forhold til personkilometer. Beregningen tar utgangspunkt i den generelle risikoformelen gitt i [1]. Formelen gir en modell for beregning av individuell risiko for dødsfall ved å benytte et gitt system, og kan brukes som basis for beregning av THR. Nedenfor gis først en stegvis utledning av den generelle formelen, og deretter en beskrivelse med et eksempel på hvordan formelen kan benyttes til utledning av tolerable farerater for spesifikke sikringsanlegg. | ||
utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av | |||
risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner | |||
eller grupper av enkeltpersoner utsettes for (individuell risiko). | |||
Mens kollektiv risiko gjerne måles i antall dødsfall per år, måles individuell risiko | |||
gjerne i sannsynlighet for å omkomme per år per individ. Individuell risiko er derfor | |||
relativ, mens kollektiv risiko er absolutt. Det betyr samtidig at et mål på kollektiv risiko | |||
i prinsippet enten må justeres i forhold til antall reisende, eller at det iverksettes | |||
tilstrekkelige tiltak for å øke sikkerheten med antallet reisende. Til sammenlikning kan | |||
individuell risiko håndteres som en fast størrelse uavhengig av antallet reisende. I | |||
tekniske anvendelser vil derfor som regel individuell risiko være mest hensiktsmessig. | |||
Individuell risiko kan måles i forhold til personkilometer eller reisetid, og det er relativt | |||
enkelt å konvertere beregningene: Årsgjennomsnittet for passasjerenes individuelle | |||
risiko kan beregnes som produktet av gjennomsnittlig reisehastighet og antall omkomne | |||
per år, dividert med antall personkilometer per år. Dette kan beregnes for landet som | |||
sådan eller for et mer avgrenset område. En aktuell anvendelse er å bruke | |||
årsgjennomsnittet for hele landet som et måltall for individuell risiko for den enkelte | |||
strekning. Beregningen vil ta høyde for ulikheter i hastigheter og antall passasjerer, og | |||
således gjøre det lettere å sammenlikne de ulike strekningene. | |||
I dette dokument beregnes individuell risiko i forhold til personkilometer. Beregningen | |||
tar utgangspunkt i den generelle risikoformelen gitt i [1]. Formelen gir en modell for | |||
beregning av individuell risiko for dødsfall ved å benytte et gitt system, og kan brukes | |||
som basis for beregning av THR. Nedenfor gis først en stegvis utledning av den | |||
generelle formelen, og deretter en beskrivelse med et eksempel på hvordan formelen | |||
kan benyttes til utledning av tolerable farerater for spesifikke sikringsanlegg. | |||
=== Generell risikoformel === | === Generell risikoformel === | ||
I det følgende gis en stegvis utledning av den generelle risikoformelen gitt i [1]. | I det følgende gis en stegvis utledning av den generelle risikoformelen gitt i [1]. | ||
(år eller time). | * Et individ ''i'' benytter et gitt teknisk system ''S'' et antall ganger ''N<sub>i</sub>'' per tidsenhet (år eller time). | ||
* Gjennom å benytte ''S'' utsettes ''i'' for farer forbundet med at ''S'' svikter. | |||
* Farene ''H<sub>j</sub>'' som ''i'' utsettes for ved å benytte ''S'' identifiseres og listes opp, og assosieres med separate farerater ''HR<sub>j</sub>''. | |||
assosieres med separate farerater j | * Fareratene ''HR<sub>j</sub>'' kan alternativt beregnes ut fra kjente data, eller introdusere ukjente variable for beregning av tolerable farerater ''THR<sub>j</sub>''. | ||
* Hver fare ''H<sub>j</sub>'' assosieres med en varighet ''D<sub>j</sub>'' som er tiden det tar før den underliggende svikten er oppdaget og utbedret. | |||
ukjente variable for beregning av tolerable farerater j | * Individet ''i'' utsettes for ''H<sub>j</sub>'' enten ved at ''H<sub>j</sub>'' allerede eksisterer når ''i'' kommer i kontakt med ''S'' eller ved at ''H<sub>j</sub>'' oppstår mens ''i'' er i kontakt med ''S''. | ||
* Sannsynligheten for at ''H<sub>j</sub>'' allerede eksisterer når ''i'' kommer i kontakt med ''S'' er gitt ved produktet ''HR<sub>j</sub> x D<sub>j</sub>'', hvor ''D<sub>j</sub>'' er tiden det tar før ''H<sub>j</sub>'' opphører (den underliggende svikten er oppdaget og utbedret). | |||
underliggende svikten er oppdaget og utbedret. | * Sannsynligheten for at ''H<sub>j</sub>'' oppstår mens ''i'' er i kontakt med ''S'' er gitt ved produktet ''HR<sub>j</sub> x E<sub>ij</sub>'', hvor ''E<sub>ij</sub>'' er tiden i utsettes for ''H<sub>j</sub>''. | ||
* Sannsynligheten for at ''i'' utsettes for ''H<sub>j</sub>'' er ''HR<sub>j</sub> × D<sub>j</sub> + HR<sub>j</sub> × E<sub>ij</sub>''. | |||
kontakt med S eller ved at j | * For hver fare ''H<sub>j</sub>'' identifiseres mulige, distinkte ulykker ''A<sub>k</sub>'' som kan oppstå som en følge av ''H<sub>j</sub>''. | ||
* For hver fare ''H<sub>j</sub>'' og ulykke ''A<sub>k</sub>'' assosieres en sannsynlighet ''C<sub>jk</sub>'' for at ''A<sub>k</sub>'' oppstår som en følge av ''H<sub>j</sub>''. | |||
gitt ved produktet j j | * For hver ulykke ''A<sub>k</sub>'' assosieres en sannsynlighet ''F<sub>ik</sub>'' for at ''i'' omkommer i ''A<sub>k</sub>''. | ||
underliggende svikten er oppdaget og utbedret). | * Sannsynligheten for at ''i'' omkommer i ulykken ''A<sub>k</sub>'' når ''i'' utsettes for ''H<sub>j</sub>'' er gitt ved produktet | ||
<math>C_{\text{jk}} \times F_{\text{ik}}</math> | |||
produktet j ij | * Sannsynligheten for at ''i'' omkommer når ''i'' utsettes for ''H<sub>j</sub>'' er gitt ved summen | ||
<math>\sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | |||
* Sannsynligheten for at ''i'' omkommer som en følge av ''H<sub>j</sub>'' er gitt ved produktet | |||
en følge av j | <math>(HR_{\text{j}} \times D_{\text{j}} + HR_{\text{j}} \times E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | ||
* Sannsynligheten for at ''i'' omkommer ved å benytte ''S'' er gitt ved summen | |||
oppstår som en følge av j | <math>\sum_{H_{\text{j}}}(HR_{\text{j}} \times D_{\text{j}} + HR_{\text{j}} \times E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | ||
* Sannsynligheten for at ''i'' omkommer ved å benytte ''S'' over den gitte perioden er gitt ved | |||
<math>IRF_{\text{i}} = N_{\text{i}}\sum_{H_{\text{j}}}(HR_{\text{j}} \times D_{\text{j}} + HR_{\text{j}} \times E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | |||
ved produktet jk ik | * Sannsynligheten ''IRF<sub>i</sub>'' kan betraktes som den individuelle risikoen for dødsfall ved bruk av systemet ''S''. | ||
k | |||
jk ik | |||
( | |||
j j j ij jk ik | |||
j j j ij jk ik | |||
gitt ved | |||
i i j j j ij jk ik | |||
ved bruk av systemet S . | |||
=== Anvendelse for sikringsanlegg === | === Anvendelse for sikringsanlegg === | ||
Individet i kan betraktes som en passasjer på et persontog over en gitt strekning, på en | Individet ''i'' kan betraktes som en passasjer på et persontog over en gitt strekning, på en gitt rute og dato. Risikoen som beregnes vil dermed være passasjerens risiko på den aktuelle reisen, avgrenset til farer forårsaket av feil i sikringsanlegg (forriglingsutrustningen) på strekningen. En slik avgrensing reduserer selvsagt den beregnede risikoen, men er hensiktsmessig for utledningen av tolerate farerater for sikringsanleggene. Ettersom siktemålet med analysen er å beregne risiko relatert til feil i sikringsanleggene, defineres systemet S som settet av sikringsanlegg på den aktuelle strekningen. | ||
gitt rute og dato. Risikoen som beregnes vil dermed være passasjerens risiko på den | |||
aktuelle reisen, avgrenset til farer forårsaket av feil i sikringsanlegg | Eksemplene nedenfor er hentet fra Nordlandsbanen, rutetermin 159.1. Metodikken er imidlertid uavhengig av strekning og anleggstype. | ||
(forriglingsutrustningen) på strekningen. En slik avgrensing reduserer selvsagt den | |||
beregnede risikoen, men er hensiktsmessig for utledningen av tolerate farerater for | '''Eksempel:''' En tenkt passasjer reiser med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010. Risikoen som beregnes vil være passasjerens individuelle risiko under denne reisen, avgrenset til farer forårsaket av et eller flere av sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana. | ||
sikringsanleggene. Ettersom siktemålet med analysen er å beregne risiko relatert til feil i | |||
sikringsanleggene, defineres systemet S som settet av sikringsanlegg på den aktuelle | Da risikoen vurderes relativ til personkilometer og ikke antall ganger per tidsenhet systemet benyttes, settes ''N<sub>i</sub>'' til 1. | ||
strekningen. | |||
Eksemplene nedenfor er hentet fra Nordlandsbanen, rutetermin 159.1. Metodikken er | Farene ''H<sub>j</sub>'' kan betraktes som farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen. Mange av disse farene vil være de samme fra stasjon til stasjon. En identifisering av farer kan derfor gjøres på basis av generiske analyser, supplert med eventuelle farer knyttet spesifikt til de aktuelle stasjonene. Fareidentifiseringen kan dels baseres på erfaringsdata, og dels på bruk av fareidentifiseringsteknikker som FMEA og HazOp. | ||
imidlertid uavhengig av strekning og anleggstype. | |||
Eksempel: En tenkt passasjer reiser med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. | De identifiserte farene vil i prinsippet være direkte relatert til systemets sikkerhetsfunksjoner. Identifisering av sikkerhetsfunksjoner og farer kan således | ||
mai 2010. Risikoen som beregnes vil være passasjerens individuelle risiko under denne | betraktes som to sider av samme sak: Svikt i en sikkerhetsfunksjon innebærer per definisjon en eller flere farer, og fareraten kan tilsvarende behandles som | ||
reisen, avgrenset til farer forårsaket av et eller flere av sikringsanleggene på Mosjøen, | |||
Drevvatn, Bjerka og Mo i Rana. | |||
Da risikoen vurderes relativ til personkilometer og ikke antall ganger per tidsenhet | |||
systemet benyttes, settes i | |||
Farene j | |||
sikringsanlegg på strekningen. Mange av disse farene vil være de samme fra stasjon til | |||
stasjon. En identifisering av farer kan derfor gjøres på basis av generiske analyser, | |||
supplert med eventuelle farer knyttet spesifikt til de aktuelle stasjonene. | |||
Fareidentifiseringen kan dels baseres på erfaringsdata, og dels på bruk av | |||
fareidentifiseringsteknikker som FMEA og HazOp. | |||
De identifiserte farene vil i prinsippet være direkte relatert til systemets | |||
sikkerhetsfunksjoner. Identifisering av sikkerhetsfunksjoner og farer kan således | |||
betraktes som to sider av samme sak: Svikt i en sikkerhetsfunksjon innebærer per | |||
definisjon en eller flere farer, og fareraten kan tilsvarende behandles som | |||
sannsynligheten for at sikkerhetsfunksjonen svikter. | sannsynligheten for at sikkerhetsfunksjonen svikter. | ||
Eksempel: På reisen med Pt. 471 fra Mosjøen til Mo i Rana vil den enkelte passasjer | |||
utsettes for en rekke farer som kan forårsakes av feil i sikringsanleggene på Mosjøen, | '''Eksempel:''' På reisen med Pt. 471 fra Mosjøen til Mo i Rana vil den enkelte passasjer utsettes for en rekke farer som kan forårsakes av feil i sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana, eksempelvis (farene kan deles opp ytterligere): | ||
Drevvatn, Bjerka og Mo i Rana, eksempelvis (farene kan deles opp ytterligere): | * Samtidig kjøretillatelse fra spor 1 og 2 fra Mosjøen stasjon i retning Mo i Rana. | ||
* Sporveksel på strekningen legges i feil posisjon eller legges om under togpassering. | |||
* Innkjørstillatelse til belagt sporavsnitt på Mo i Rana stasjon. | |||
togpassering. | |||
Fareratene ''HR<sub>j</sub>'' beregnes for hver enkelt av de identifiserte farene. For beregning av fareratene kan det være aktuelt å gjøre årsaksanalyser med f.eks. FTA [6]. Ettersom analysen her avgrenses til farer forårsaket av feil i sikringsanleggene vil disse fareratene være sentrale for utledningen av sikkerhetsintegritetskrav til anleggene. De farene som gjør mest utslag i resultatene er generelt de som er direkte forårsaket av enkeltfeil i | |||
Fareratene j | |||
fareratene kan det være aktuelt å gjøre årsaksanalyser med f.eks. FTA [6]. Ettersom | |||
analysen her avgrenses til farer forårsaket av feil i sikringsanleggene vil disse fareratene | |||
være sentrale for utledningen av sikkerhetsintegritetskrav til anleggene. De farene som | |||
gjør mest utslag i resultatene er generelt de som er direkte forårsaket av enkeltfeil i | |||
sikringsanleggene. | sikringsanleggene. | ||
Eksempel: Fareraten for flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen | '''Eksempel:''' Fareraten for flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon, forårsaket av feil i sikringsanlegget på stasjonen, reduseres som en følge av faktorer som sannsynligheten for at Gt. 5991 er satt opp den aktuelle tirsdagen (kjøres kun etter spesiell ordre) og sannsynligheten for at Gt. 5991 avviker tjenesteruteboken og kjører ut samtidig med Pt. 471. Sammen med sannsynligheten for at sikringsanlegget feilaktig gir kjøretillatelse fra spor 1 og 2, blir risikoen ekstremt liten, og sannsynligvis mye mindre enn risikoen for flankekollisjon uten feil i sikringsanlegget. | ||
stasjon, forårsaket av feil i sikringsanlegget på stasjonen, reduseres som en følge av | |||
faktorer som sannsynligheten for at Gt. 5991 er satt opp den aktuelle tirsdagen (kjøres | '''Eksempel:''' Fareraten for sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon, forårsaket av feil i sikringsanlegget på stasjonen, er relatert til sannsynligheten for forriglingsmessige feil som for eksempel sporveksel i feil posisjon eller feilaktig kjøretillatelse inn på stasjonen. Tiden ''D<sub>j</sub>'' det tar før den underliggende svikten bak faren ''H<sub>j</sub>'' er oppdaget og utbedret avhenger av effektiviteten av systemets selvovervåkning og andre barrierer som f.eks. TXPs eller togleders årvåkenhet. Tiden ''D<sub>j</sub>'' skal i prinsippet beregnes fra tidspunktet | ||
kun etter spesiell ordre) og sannsynligheten for at Gt. 5991 avviker tjenesteruteboken og | hvor systemets evne til å utføre den aktuelle sikkerhetsfunksjonen svikter, hvilket kan skje før funksjonen faktisk benyttes (dvs. før korrekt utføring av funksjonen har sikkerhetsmessig betydning). Denne tidsfaktoren er essensiell både for systemer der funksjonen utføres kontinuerlig og systemer der funksjonen utføres som respons på spesielle utløsende betingelser. Sammen med krav til tolerabel farerate er det derfor nødvendig å også stille krav til maksimal tid for å oppdage og utbedre en underliggende svikt, uavhengig av hvorvidt funksjonen benyttes i denne perioden. Dersom det ikke er mulig å oppdage svikten før funksjonen faktisk benyttes, vil sannsynligheten for at sikkerhetsfunksjonen svikter for en gitt rute generelt være høyere på en strekning med liten trafikk enn på en strekning med stor trafikk. | ||
kjører ut samtidig med Pt. 471. Sammen med sannsynligheten for at sikringsanlegget | |||
feilaktig gir kjøretillatelse fra spor 1 og 2, blir risikoen ekstremt liten, og sannsynligvis | Tiden ''E<sub>ij</sub>'' hvor individet ''i'' utsettes for faren ''H<sub>j</sub>'' kommer i tillegg til tiden ''D<sub>j</sub>'', ettersom den reflekterer situasjonen at faren ikke allerede er oppstått når ''i'' kommer i kontakt med systemet, men oppstår mens ''i'' er i kontakt med systemet. | ||
mye mindre enn risikoen for flankekollisjon uten feil i sikringsanlegget. | |||
Eksempel: Fareraten for sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon, | '''Eksempel:''' Like etter at Pt. 471 har passert innkjørhovedsignalet til Mo i Rana stasjon legges sporveksel 1 feilaktig over i avviksposisjon. Ulykkene ''A<sub>k</sub>'' som kan oppstå som en følge av ''H<sub>j</sub>'' kan betraktes som topphendelsene i analysen, og går ofte indirekte frem av formuleringen av den identifiserte faren. I andre tilfeller vil det være flere mulige ulykkesscenarioer. Når det gjelder en analyse av farer for passasjerer på persontog, forårsaket av feil i sikringsanlegg, vil de aktuelle ulykkene primært falle inn under Jernbaneverkets ulykkeskategorier avsporing og sammenstøt | ||
forårsaket av feil i sikringsanlegget på stasjonen, er relatert til sannsynligheten for | |||
forriglingsmessige feil som for eksempel sporveksel i feil posisjon eller feilaktig | |||
kjøretillatelse inn på stasjonen. | |||
Tiden j | |||
avhenger av effektiviteten av systemets selvovervåkning og andre barrierer som f.eks. | |||
TXPs eller togleders årvåkenhet. Tiden j | |||
hvor systemets evne til å utføre den aktuelle sikkerhetsfunksjonen svikter, hvilket kan | |||
skje før funksjonen faktisk benyttes (dvs. før korrekt utføring av funksjonen har | |||
sikkerhetsmessig betydning). Denne tidsfaktoren er essensiell både for systemer der | |||
funksjonen utføres kontinuerlig og systemer der funksjonen utføres som respons på | |||
spesielle utløsende betingelser. Sammen med krav til tolerabel farerate er det derfor | |||
nødvendig å også stille krav til maksimal tid for å oppdage og utbedre en underliggende | |||
svikt, uavhengig av hvorvidt funksjonen benyttes i denne perioden. Dersom det ikke er | |||
mulig å oppdage svikten før funksjonen faktisk benyttes, vil sannsynligheten for at | |||
sikkerhetsfunksjonen svikter for en gitt rute generelt være høyere på en strekning med | |||
liten trafikk enn på en strekning med stor trafikk. | |||
Tiden ij | |||
den reflekterer situasjonen at faren ikke allerede er oppstått når i kommer i kontakt med | |||
systemet, men oppstår mens i er kontakt med systemet. | |||
Eksempel: Like etter at Pt. 471 har passert innkjørhovedsignalet til Mo i Rana stasjon | |||
legges sporveksel 1 feilaktig over i avviksposisjon. | |||
Ulykkene k | |||
analysen, og går ofte indirekte frem av formuleringen av den identifiserte faren. I andre | |||
tilfeller vil det være flere mulige ulykkesscenarioer. Når det gjelder en analyse av farer | |||
for passasjerer på persontog, forårsaket av feil i sikringsanlegg, vil de aktuelle ulykkene | |||
primært falle inn under Jernbaneverkets ulykkeskategorier avsporing og sammenstøt | |||
tog-tog. | tog-tog. | ||
Eksempel: Potensielle ulykker som følge av eksemplene gitt ovenfor på farer den | |||
enkelte passasjer utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana | '''Eksempel:''' Potensielle ulykker som følge av eksemplene gitt ovenfor på farer den enkelte passasjer utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana inkluderer: | ||
inkluderer: | * flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon (dersom Gt. 5991 er satt opp den aktuelle tirsdagen) | ||
* avsporing i en av sporvekslene på strekningen | |||
5991 er satt opp den aktuelle tirsdagen) | * sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon | ||
Sannsynligheten ''C<sub>jk</sub>'' for at ''A<sub>k</sub>'' oppstår som en følge av ''H<sub>j</sub>'' vil avhenge av en rekke forhold, og vil kunne beregnes ulikt fra stasjon til stasjon, og mellom ulike ruter. | |||
Sannsynligheten jk | |||
forhold, og vil kunne beregnes ulikt fra stasjon til stasjon, og mellom ulike ruter. | '''Eksempel:''' Sannsynligheten for at Pt. 471 støter sammen med Gt. 5790 (i spor 2) ved innkjøring på Mo i Rana stasjon, gitt at sporveksel er lagt over til spor 2, reduseres av faktorer som for eksempel førers og TXP/togleders årvåkenhet, togets hastighet, avstand til Gt. 5790 og siktforhold. | ||
Eksempel: Sannsynligheten for at Pt. 471 støter sammen med Gt. 5790 (i spor 2) ved | |||
innkjøring på Mo i Rana stasjon, gitt at sporveksel er lagt over til spor 2, reduseres av | Sannsynligheten ''F<sub>ik</sub>'' for at ''i'' omkommer i ''A<sub>k</sub>'', avhenger av en rekke forhold. | ||
faktorer som for eksempel førers og TXP/togleders årvåkenhet, togets hastighet, avstand | |||
til Gt. 5790 og siktforhold. | '''Eksempel:''' Sannsynligheten for at en gitt passasjer omkommer dersom Pt. 471 støter sammen med Gt. 5790 avhenger først og fremst av togets hastighet, men også av faktorer som materielltype, togets lengde, etc. | ||
Sannsynligheten ik | |||
Eksempel: Sannsynligheten for at en gitt passasjer omkommer dersom Pt. 471 støter | Oppsummert er den individuelle risikoen for dødsfall for en gitt passasjer ''i'' på et persontog over en gitt strekning, på en gitt rute og dato, forårsaket av feil i sikringsanlegg på strekningen, gitt ved | ||
sammen med Gt. 5790 avhenger først og fremst av togets hastighet, men også av | |||
faktorer som materielltype, togets lengde, etc. | <math>IRF_{\text{i}} =\sum_{H_{\text{j}}}(HR_{\text{j}} \times D_{\text{j}} + HR_{\text{j}} \times E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | ||
Oppsummert er den individuelle risikoen for dødsfall for en gitt passasjer i på et | |||
persontog over en gitt strekning, på en gitt rute og dato, forårsaket av feil i | |||
sikringsanlegg på strekningen, gitt ved | |||
= | |||
der | der | ||
* ''H<sub>j</sub>'' er farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen | |||
strekningen | * ''HR<sub>j</sub>'' er den separate fareraten assosiert med ''H<sub>j</sub>'' | ||
* ''D<sub>j</sub>'' er tiden det tar før den underliggende svikten bak ''H<sub>j</sub>'' er oppdaget og utbedret | |||
* ''E<sub>ij</sub>'' er tiden passasjeren utsettes for ''H<sub>j</sub>'' | |||
utbedret | * ''A<sub>k</sub>'' er ulykkene som kan oppstå som en følge av ''H<sub>j</sub>'' | ||
* ''C<sub>jk</sub>'' er sannsynligheten for at ''A<sub>k</sub>'' oppstår som en følge av ''H<sub>j</sub>'' | |||
* ''F<sub>ik</sub>'' er sannsynligheten for at passasjeren omkommer i ''A<sub>k</sub>'' | |||
Formelen for beregning av individuell risiko kan benyttes direkte som skissert ovenfor, alternativt som et ledd i utledning av tolerable farerater for sikringsanleggene på den aktuelle strekningen. | |||
Formelen for beregning av individuell risiko kan benyttes direkte som skissert ovenfor, | |||
alternativt som et ledd i utledning av tolerable farerater for sikringsanleggene på den | I førstnevnte tilfelle er det nødvendig å fastsette fareratene for de identifiserte farene. En viktig faktor i denne forbindelse er sannsynligheten for at sikringsanlegget svikter i utføringen av sine sikkerhetsfunksjoner. I de tilfeller hvor enkeltfeil direkte forårsaker faren, kan fareraten betraktes som identisk med sannsynligheten for at den aktuelle sikkerhetsfunksjonen svikter. Fordi konsekvensene av svikt vil være forskjellig for de ulike sikkerhetsfunksjonene, vil fareratene kunne differensieres for de ulike farene. Alternativt kan det med hver fare ''H<sub>j</sub>'' assosieres en felles farerate HR. Ettersom sikringsanleggets utføring av de ulike sikkerhetsfunksjonene ikke nødvendigvis er tilstrekkelig atskilt, vil det kunne være hensiktsmessig å operere med en fast tolerabel farerate THR for svikt i sikringsanleggets sikkerhetsfunksjoner (SKF1). | ||
aktuelle | |||
Bruk av en fast felles farerate HR gjør at formelen utledet ovenfor kan forenkles ved å sette HR utenfor uttrykket på høyresiden: | |||
<math>IRF_{\text{i}} = HR \sum_{H_{\text{j}}}(D_{\text{j}} + E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}</math> | |||
Den tolerable fareraten THR for svikt i sikringsanleggenes sikkerhetsfunksjoner kan dermed baseres på de andre parametrene og et gitt måltall i IRF for den individuelle risikoen: | |||
<math>THR = \frac{IRF_{\text{i}}}{\sum_{H_{\text{j}}}(D_{\text{j}} + E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}}</math> | |||
=== Overordnet metode === | |||
I utledningen og anvendelsen av risikoformelen i de forrige to avsnittene ble det indikert en rekke aktiviteter for anvendelsen av formelen i en konkret risikoanalyse. I det følgende behandles disse aktivitetene som elementer i en metode for utledning av sikkerhetsintegritetskrav for spesifikke sikringsanlegg. Metoden beskrives på et overordnet nivå i dette avsnittet, og mer detaljert i de neste. | |||
Den overordende metoden kan varieres noe avhengig av hvorvidt siktemålet er estimering av risiko eller utledning av THR. | |||
På overordnet nivå består den generelle metoden av følgende fem steg: | På overordnet nivå består den generelle metoden av følgende fem steg: | ||
# Systemdefinisjon: Modellering og analyse av systemet | |||
# Fareidentifisering: Identifisering av farer, estimering av farerater | |||
# Konsekvensanalyse: Identifisering av potensielle ulykker | |||
# Risikoestimering: Fastsettelse av individuell risiko | |||
# Allokering av THR: Sammenlikning med mål for individuell risiko | |||
Ettersom siktemålet i dette dokumentet er å utlede tolerable farerater, fastsettes først et | Ettersom siktemålet i dette dokumentet er å utlede tolerable farerater, fastsettes først et måltall for individuell risiko for svikt i sikringsanleggets sikkerhetsfunksjoner. Allokering av THR for svikt i disse funksjonene gjøres på basis av formelen for beregning av THR utledet i forrige avsnitt. | ||
måltall for individuell risiko for svikt i sikringsanleggets sikkerhetsfunksjoner. | |||
Allokering av THR for svikt i disse funksjonene gjøres på basis av formelen for | Gjennomføring av risikoanalyser krever at funksjonen for de ulike delsystemene, og interaksjonen mellom disse, er vel forstått. Uten en presis systemdefinisjon kan risikoanalysen lede til feilaktige eller ugyldige resultater. For samme system vil det kunne være hensiktsmessig å produsere mer enn én systembeskrivelse, avhengig av hvilke synsvinkler som best understøtter analysene. Kvaliteten av risikoanalysen avhenger av hvor relevant systembeskrivelsen er for den aktuelle analysen. I noen tilfeller er det systemets bestanddeler (delsystemer og komponenter, samt grensesnittene mellom disse) som er i fokus – i andre tilfeller er det bedre å fokusere på systemets funksjoner. Denne problemstillingen er i hovedsak den samme som for systemanalyse | ||
beregning av THR utledet i forrige avsnitt. | |||
Gjennomføring av risikoanalyser krever at funksjonen for de ulike delsystemene, og | |||
interaksjonen mellom disse, er vel forstått. Uten en presis systemdefinisjon kan | |||
risikoanalysen lede til feilaktige eller ugyldige resultater. For samme system vil det | |||
kunne være hensiktsmessig å produsere mer enn én systembeskrivelse, avhengig av | |||
hvilke synsvinkler som best understøtter analysene. Kvaliteten av risikoanalysen | |||
avhenger av hvor relevant systembeskrivelsen er for den aktuelle analysen. I noen | |||
tilfeller er det systemets bestanddeler (delsystemer og komponenter, samt grensesnittene | |||
mellom disse) som er i fokus – i andre tilfeller er det bedre å fokusere på systemets | |||
funksjoner. Denne problemstillingen er i hovedsak den samme som for systemanalyse | |||
generelt. | generelt. | ||
Konsekvensanalysen vil identifisere de potensielle ulykkene k | I dette dokumentet vil systemdefinisjonen ta utgangspunkt i den aktuelle strekningen, og knytte risikoen til den enkelte togreise på denne strekningen. Ved å basere allokeringen av THR på basis av den mest risikoutsatte strekningen, vil kravet være relevant for alle togreiser på strekningen. Det bør imidlertid tas hensyn til at eventuelle endringer i trafikkmønsteret vil kunne kreve en revidering av kravet. En slik vurdering bør gjøres i analysen for den aktuelle strekningen. | ||
følge av j | |||
årsaksanalyse med hensyn til fordeling av sikkerhetsansvar på ulike systemer, | Systemdefinisjonen vil således delvis være knyttet til hver enkelt stasjon og til strekningen som sådan. For den enkelte stasjon kan følgende figur fra Jernbaneverkets Tekniske regelverk benyttes som generell systembeskrivelse: | ||
delsystemer og komponenter. | |||
Risikoestimeringen og allokering av THR vil omfatte beregning av de ulike | [[Fil:Systemdefinisjon.png|miniatyr|center|900px|Generell systembeskrivelse for signalanlegg]] | ||
parametrene som inngår i beregningsformelen ( i | |||
Systemdefinisjonen for strekningen som sådan vil på overordnet nivå omfatte en beskrivelse av sikringsanleggene på strekningen, og på et detaljert nivå først og fremst de skjematiske planene og forriglingstabellene for den enkelte stasjon. | |||
Fareidentifiseringen vil på basis av systemdefinisjonen identifisere de ulike farene ''H<sub>j</sub>'' knyttet til svikt i forriglingsutrustningens sikkerhetsfunksjoner. To aktuelle fareidentifiseringsteknikker er FMEA [5] og HazOp [7]. | |||
Konsekvensanalysen vil identifisere de potensielle ulykkene ''A<sub>k</sub>'' som kan oppstå som en følge av ''H<sub>j</sub>''. En aktuell teknikk er CCA/ETA, eventuelt supplert med FTA [6] for årsaksanalyse med hensyn til fordeling av sikkerhetsansvar på ulike systemer, delsystemer og komponenter. | |||
Risikoestimeringen og allokering av THR vil omfatte beregning av de ulike parametrene som inngår i beregningsformelen (''IRF<sub>i</sub>'' er allerede fastsatt som et måltall): | |||
* Tiden ''D<sub>j</sub>'' det tar før den underliggende svikten bak ''H<sub>j</sub>'' er oppdaget og utbedret | |||
* Tiden ''E<sub>ij</sub>'' passasjeren utsettes for ''H<sub>j</sub>'' | |||
* Sannsynligheten ''C<sub>jk</sub>'' for at ''A<sub>k</sub>'' oppstår som en følge av ''H<sub>j</sub>'' | |||
* Sannsynligheten ''F<sub>ik</sub>'' for at passasjeren omkommer i ''A<sub>k</sub>'' | |||
=== Detaljert metode === | === Detaljert metode === | ||
En forutsetning for metoden beskrevet på overordnet nivå i forrige avsnitt er at det kan | En forutsetning for metoden beskrevet på overordnet nivå i forrige avsnitt er at det kan fastlegges et måltall for forriglingsutrustningens risikobidrag til individuell risiko. Dette kan gjøres på følgende måte: | ||
fastlegges et måltall for forriglingsutrustningens risikobidrag til individuell risiko. Dette | |||
kan gjøres på følgende måte: | * Finn antall personkilometer per år (i Norge). | ||
* Fastlegg antall akseptable dødsfall for reisende per år forårsaket av svikt i forriglingsutrustningen. | |||
* Beregn antall aksepterte dødsfall per personkilometer. | |||
forriglingsutrustningen. | * Multipliser med antall kilometer for den aktuelle strekningen. | ||
Denne fremgangsmåten vil være relevant for fastleggelse av måltall for den enkelte strekning. For måltall for skiftestasjoner og godsterminaler vil en noe annen fremgangsmåte være nødvendig. Her vil det være mer aktuelt å se på andre personellgrupper, først og fremst de som kjører skiftene. Da er personkilometer lite aktuelt, og det er bedre å bruke risiko per tidsenhet. Det vil også kunne være aktuelt å skille mellom trafikken på selve godsterminalen og trafikk ut på hovedsporet. For sistnevnte farepunkt kan sikkerhetsnivået eventuelt økes gjennom bruk av flere uavhengige sikkerhetsfunksjoner. | |||
Denne fremgangsmåten vil være relevant for fastleggelse av måltall for den enkelte | |||
strekning. For måltall for skiftestasjoner og godsterminaler vil en noe annen | I det følgende fokuseres det på måltallene for individuell risiko knyttet til den enkelte strekning. Måltallet kan utledes på basis av kriteriene gitt i Jernbaneverkets sikkerhetshåndbok, som opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10<sup>-9</sup>/km. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10<sup>-4</sup> per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10<sup>-7</sup>. | ||
fremgangsmåte være nødvendig. Her vil det være mer aktuelt å se på andre | |||
personellgrupper, først og fremst de som kjører skiftene. Da er personkilometer lite | For å kunne fastsette et måltall for individuell risiko knyttet til svikt i sikringsanleggets sikkerhetsfunksjoner, er det nødvendig å fastsette det akseptable risikobidraget fra sikringsanleggene. [8] benytter måltallet 0,162 for antall drepte individer per år som kan tilskrives sikkerhetskritisk feil i forriglingsutrustningen. Dette måltallet omfatter imidlertid alle personellgrupper. Med utgangspunkt i Sikkerhetshåndbokens forventning om 11 drepte per år, utgjør drepte passasjerer en andel på 0,27 av totalt antall drepte. Multiplisert med måltallet 0,162 og fordelt over 2.54 milliarder personkilometer per år | ||
aktuelt, og det er bedre å bruke risiko per tidsenhet. Det vil også kunne være aktuelt å | |||
skille mellom trafikken på selve godsterminalen og trafikk ut på hovedsporet. For | |||
sistnevnte farepunkt kan sikkerhetsnivået eventuelt økes gjennom bruk av flere | |||
uavhengige sikkerhetsfunksjoner. | |||
I det følgende fokuseres det på måltallene for individuell risiko knyttet til den enkelte | |||
strekning. Måltallet kan utledes på basis av kriteriene gitt i Jernbaneverkets | |||
sikkerhetshåndbok, som opererer med 2.54 milliarder personkilometer per år, og en | |||
forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle | |||
risikoen for ett individ på ca. 10 9 | |||
akseptkriterium for individuell risiko for passasjerer, nemlig 10 4 | |||
eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet | |||
av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet | |||
et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall | |||
for individuell risiko for en togreise på 100 kilometer være 10 7 | |||
For å kunne fastsette et måltall for individuell risiko knyttet til svikt i sikringsanleggets | |||
sikkerhetsfunksjoner, er det nødvendig å fastsette det akseptable risikobidraget fra | |||
sikringsanleggene. [8] benytter måltallet 0,162 for antall drepte individer per år som kan | |||
tilskrives sikkerhetskritisk feil i forriglingsutrustningen. Dette måltallet omfatter | |||
imidlertid alle personellgrupper. Med utgangspunkt i Sikkerhetshåndbokens forventning | |||
om 11 drepte per år, utgjør drepte passasjerer en andel på 0,27 av totalt antall drepte. | |||
Multiplisert med måltallet 0,162 og fordelt over 2.54 milliarder personkilometer per år | |||
gir det følgende måltall: | gir det følgende måltall: | ||
Sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 beregnes | :IRF<sub>i</sub> = 1,72·10<sup>-11</sup>/km | ||
gjennom en følgeanalyse der de ulike risikoreduserende faktorer identifiseres og | |||
Dette måltallet benyttes som basis for de konkrete analysene i dette dokumentet. Resultatene kan enkelt justeres i henhold til alternative måltall. | |||
På basis av følgeanalysen settes sannsynligheten for at faren faktisk forårsaker | |||
sammenstøt med Gt. 5790 til 0,005. | Med denne fremgangsmåten vil den mest eksponerte passasjeren være den som benytter ruten med størst farerate. THR for sikringsanleggene bestemmes derfor ut fra denne fareraten. | ||
Generelt vil de ulike greinene i følgeanalysen ikke gi like stort utslag på | |||
analyseresultatet, og sensitiviteten av analysen i forhold til kvantifiseringen vil således | Den konkrete analysen vil ta for seg en konkret strekning. Systemdefinisjonen vil omfatte forriglingsutrustningen på denne strekningen. En viktig del av | ||
variere. Analysen gir dermed også en indikasjon på hvilke faktorer det er viktigst å | systemdefinisjonen er skjematisk plan og forriglingstabell for den enkelte stasjon. De skjematiske planene og forriglingstabellene for de aktuelle stasjonen på strekningen vil i kombinasjon med de grafiske rutene og tjenesteruteboken utgjøre et godt grunnlag for identifisering av hvilke farer som er aktuelle på de ulike farepunktene på strekningen. | ||
kvalitetssikre for å gi et best mulig estimat av risikoen knyttet til faren. | |||
Med disse estimatene på de ulike parametrene blir den individuelle risikoen for en gitt | Den videre analysen gjøres for alle persontogrutene for den aktuelle strekningen. Analysen gjøres ut fra togets/passasjerens sted, hvilket innebærer at alle relevante farer passasjerene om bord utsettes på den enkelte rute tas med i beregningen. Dette gir et tak på estimert risiko som er relevant også for de mindre risikoutsatte rutene. Ettersom unntak fra rutetabellen på grunn av forsinkelser i eventuelle tog ikke øker antallet tog på strekningen, antas det at analysen kan gjøres på basis av rutetabellen. Analysen bør imidlertid kontrolleres med hensyn til sensitivitet i forhold til dette. | ||
passasjer dersom Pt. 471 feilaktig gis kjøretillatelse inn på spor 2 på Mo i Rana stasjon | |||
10 9 1 10 2 5 10 3 5 10 14 | Fareidentifiseringen kan ta utgangspunkt i farer identifisert i tidligere analyser, supplert med identifisering av farer som er spesifikke for den aktuelle stasjonen. I risikoestimeringen kan man ta hensyn til stedlige forhold og den aktuelle ruten. Dette kan omfatte faktorer som for eksempel estimert tid før svikten i sikkerhetsfunksjonen oppdages, siktavstand til hovedsignal, generelle siktforhold på stasjonen og lengde på sikkerhetssone. Eksempelvis vil en risikoestimering av sammenstøt med stillestående tog ved innkjøring på stasjonen være avhengig av togets hastighet og eventuelt om toget i følge ruten skal stoppe på stasjonen. | ||
I dette eksemplet er fareraten satt lik kravet til SKF1 i Teknisk regelverk. Metoden | |||
beskrevet i dette kapitlet er imidlertid utviklet med det formål å kunne fastsette en slik | De grafiske rutene og tjenesteruteboken gir mye av den samme informasjonen. Mens de grafiske rutene presenterer informasjonen på en måte som egner seg for togledelse og planlegging av togfremføringen, er tjenesteruteboken lettere å bruke for å finne informasjon som er relevant for den enkelte rute og dermed for den enkelte fører. Med hensyn til risikoanalyse og beregning av THR, har tjenesteruteboken den viktige fordel at den gir informasjon om hvilket spor den aktuelle ruten faktisk benytter. | ||
farerate. Fremgangsmåten blir da i første omgang å gjøre beregningene uten fareraten, | |||
hvilket i dette eksemplet gir 5 | Beregningen av THR bruker en rekke informasjonskilder for å gi en mest mulig presis risikoanalyse. Disse kildene er knyttet både til infrastruktur og trafikk. For sistnevnte type informasjon må det naturligvis tas høyde for endringer i trafikkmønsteret, men det er uansett nyttig å ta utgangspunkt i dagens trafikkmønster og analysere sensitiviteten av analyseresultatene ut fra dette. De viktigste informasjonskildene er: | ||
andre identifiserte farene for den aktuelle ruten. Dette gir en beregning av tallverdien til | |||
nevneren i formelen | * Tjenesterutebok for ruter som trafikkerer strekningen | ||
* Grafiske ruter for strekningen | |||
= | * Skjematiske planer og forriglingstabeller for stasjonene på strekningen | ||
j | * Bildedatabase og annen informasjon om stedlige forhold | ||
j ij jk ik | * Statistikk over feil, hendelser og avvikssituasjoner | ||
* Planlagte endringer av trafikkmønsteret | |||
Metoden beskrevet i det foregående tillater at separate delstrekninger kan analyseres særskilt. Ved å estimere risikoen for de mest risikoutsatte rutene på de forskjellige delstrekningene, vil summen av disse definere et tak for risikoen for hele strekningen. Analysen for en hel strekning vil således ta høyde for at den mest utsatte passasjeren benytter de mest risikoutsatte rutene på de enkelte delstrekningene. | |||
Analysemetoden som beskrives i denne | Følgende eksempel indikerer hvordan risikoberegningene kan gjøres. Kvantifiseringen er gjort kun gjort som et eksempel. I den faktiske risikoberegningen benyttes en kombinasjon av erfaringsdata og ekspertvurdering. Dette kan gjøres f.eks. gjennom en fast tabell for de ulike scenarioene, med en vekting av de ulike faktorene vurdert opp mot stedlige forhold (f.eks. avstand fra utkjørhovedsignal). | ||
delstrekning slik at resultatene for de enkelte delstrekningene kan kombineres som | |||
grunnlag for en analyse av hele eller større deler av strekningen. | En av farene passasjerene utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010 er at Pt. 471 får kjøretillatelse inn på riktig spor i Mo i Rana, men sporveksel legges om til spor 2, hvor Gt. 5790 står oppført for avgang mot Mosjøen. Den potensielle ulykken er sammenstøt med Gt. 5790. Anta følgende estimater: | ||
Som beskrevet i avsnitt 1.4, opererer Jernbaneverkets tekniske regelverk med følgende | * Fareraten settes lik kravet til SKF1 i Teknisk regelverk, 10<sup>-9</sup>/h. | ||
sikkerhetskritiske funksjon for forriglingsutrustningen: | * Summen av tiden det tar før den underliggende svikten bak faren er oppdaget og utbedret, og tiden passasjeren utsettes for faren, settes for enkelhets skyld konservativt til 1 time. | ||
* På grunn av den lave hastigheten ved et eventuelt sammenstøt settes sannsynligheten for at en gitt passasjer omkommer i et eventuelt sammenstøt til 10<sup>-2</sup>. | |||
Sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 beregnes gjennom en følgeanalyse der de ulike risikoreduserende faktorer identifiseres og kvantifiseres: | |||
[[Fil:F analyse.png|sentrer|600px|Følgeanalyse]] | |||
På basis av følgeanalysen settes sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 til 0,005. | |||
Generelt vil de ulike greinene i følgeanalysen ikke gi like stort utslag på analyseresultatet, og sensitiviteten av analysen i forhold til kvantifiseringen vil således variere. Analysen gir dermed også en indikasjon på hvilke faktorer det er viktigst å kvalitetssikre for å gi et best mulig estimat av risikoen knyttet til faren. | |||
Med disse estimatene på de ulike parametrene blir den individuelle risikoen for en gitt passasjer dersom Pt. 471 feilaktig gis kjøretillatelse inn på spor 2 på Mo i Rana stasjon | |||
:IRF<sub>i</sub> = 10<sup>-9</sup> · 1 · 10<sup>-2</sup> · 5 · 10<sup>-3</sup> = 5 · 10<sup>-14</sup> | |||
I dette eksemplet er fareraten satt lik kravet til SKF1 i Teknisk regelverk. Metoden beskrevet i dette kapitlet er imidlertid utviklet med det formål å kunne fastsette en slik farerate. Fremgangsmåten blir da i første omgang å gjøre beregningene uten fareraten, hvilket i dette eksemplet gir 5·10<sup>-5</sup>. Tilsvarende beregninger gjøres og summeres for de andre identifiserte farene for den aktuelle ruten. Dette gir en beregning av tallverdien til nevneren i formelen | |||
<math>THR = \frac{IRF_{\text{i}}}{\sum_{H_{\text{j}}}(D_{\text{j}} + E_{\text{ij}}) \sum_{A_{\text{k}}}C_{\text{jk}} \times F_{\text{ik}}}</math> | |||
Analysemetoden som beskrives i denne artikkelen kan utføres separat på den enkelte delstrekning slik at resultatene for de enkelte delstrekningene kan kombineres som grunnlag for en analyse av hele eller større deler av strekningen. | |||
=== Fareidentifisering/-analyse === | |||
Som beskrevet i avsnitt 1.4, opererer Jernbaneverkets tekniske regelverk med følgende sikkerhetskritiske funksjon for forriglingsutrustningen: | |||
''En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.'' | |||
Kravet detaljeres gjennom definisjon av delfunksjoner for beskjeder til lyssignal, kommando til sporvekselutrustning, og beskjeder til ATC-infrastrukturutrustningen. I dette avsnittet identifiseres og analyseres farer for de to første av disse. Analysen tar ikke med farer knyttet til for lite restriktive beskjeder til ATC-infrastrukturutrustningen, ettersom disse er underordnet feil i lyssignal. Som det påpekes i [8] vil sikkerhetskritisk | |||
feil i forriglingsutrustning som gir feilaktig kommando om kjørsignal medføre at ATC ikke vil gripe inn. Videre vil en eksklusiv feil i ATC-beskjed fra | |||
forriglingsutrustningen, som ikke gir tilsvarende feilbeskjed til signalene, innebære at fører i tillegg overser ytre signal for at sammenstøt tog-tog skal kunne inntreffe. | |||
I følgende tabell identifiseres ulike scenarioer, farer og mulige konsekvenser knyttet til sammenstøt tog-tog med utgangspunkt i svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF1). Tabellen reflekterer en systematisk tilnærming der de ulike kombinasjoner av innkjøring, utkjøring og retning for to tog håndteres for seg. Ettersom tolkningen av tog 1 og tog 2 kan varieres med hensyn til det aktuelle scenarioet (dvs. hvorvidt passasjerens tog er tog 1 eller tog 2), er symmetriske tilfeller dekket av samme kombinasjon og derfor ikke gjentatt. | |||
{| class="wikitable" | |||
|- | |||
! Tog 1 !! Tog 2 !! Retning !! Scenario !! Fare !! Konsekvens | |||
|- | |||
| rowspan="7"|Inn || rowspan="2"|Inn || Samme || Togene skal inn på stasjonen i samme ende || Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning || Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning | |||
|- | |||
| Motsatt || Togene skal inn på stasjonen fra hver sin side (samtidig innkjør) || Togene får kjøretillatelse inn på riktig spor, men sporvekslene ligger inn til samme spor || Togene kjører inn i fronten på hverandre | |||
|- | |||
| rowspan="5"|Ut || rowspan="3"|Samme || rowspan="3"| Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende || Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen || Tog 1 kjører inn i enden på tog 2 | |||
|- | |||
| Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av || | |||
|- | |||
| Tog 2 får feilaktig utkjørsignal || Ingen | |||
|- | |||
| rowspan="2"|Motsatt || rowspan="2"|Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning || Tog 1 får kjøretillatelse inn på riktig spor, sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av || Tog 1 kjører inn i fronten på tog 2 | |||
|- | |||
| Tog 2 får feilaktig utkjørssignal || Tog 2 kjører inn i fronten/flanken på tog 1 | |||
|- | |||
| rowspan="2"| Ut || rowspan="2"| Ut || Samme || Togene skal ut fra stasjonen i samme retning || Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal || Tog 1 kjører inn i flanken/enden på tog 2 | |||
|- | |||
| Motsatt || Togene skal ut fra stasjonen i hver sin ende || || Ingen | |||
|} | |||
I tillegg kommer farer knyttet til avsporing i sporveksel. | I tillegg kommer farer knyttet til avsporing i sporveksel. | ||
Ved å utelate tilfeller som ikke har noen konsekvens, kan det settes opp følgende tabell | |||
over syv ulike scenarioer som analyseres for de aktuelle stasjonene på de enkelte | Ved å utelate tilfeller som ikke har noen konsekvens, kan det settes opp følgende tabell over syv ulike scenarioer som analyseres for de aktuelle stasjonene på de enkelte strekninger og ruter. Referansene er til scenarioene i [8]. | ||
strekninger og ruter. Referansene er til scenarioene i [8]. | |||
Nr Scenario Fare Konsekvens Ref | {| class="wikitable" | ||
1 Togene skal inn på | |- | ||
stasjonen fra hver sin | ! Nr !! Scenario !! Fare !! Konsekvens !! Ref | ||
side (samtidig innkjør) | |- | ||
Tog 1 får kjøretillatelse | | 1 || Togene skal inn på stasjonen fra hver sin side (samtidig innkjør) || Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av || Togene kjører inn i fronten på hverandre || | ||
inn på riktig spor, men | |- | ||
sporveksel legges om til | | 2 || rowspan="2"|Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende || Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen || rowspan="2"|Tog 1 kjører inn i enden på tog 2 || 131A | ||
samme spor som tog 2, | |||
uten at tog 1 sporer av | |||
Togene kjører inn i | |||
fronten på hverandre | |||
2 Tog 1 skal inn på samme | |||
spor som tog 2. Tog 1 får | |||
kjøretillatelse før tog 2 | |||
har forlatt stasjonen | |||
132A | 132A | ||
3 | |- | ||
| 3 || Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av || 131B | |||
|- | |||
| 4 || rowspan="2"|Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning || Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av || Tog 1 kjører inn i fronten på tog 2 || 111A | |||
Tog 1 får kjøretillatelse | |||
inn på et annet spor enn | |||
tog 2, men sporveksel | |||
legges om til samme | |||
spor som tog 2, uten at | |||
tog 1 sporer av | |||
Tog 1 | |||
på tog 2 | |||
inn på riktig spor, men | |||
sporveksel legges om til | |||
samme spor som tog 2, | |||
uten at tog 1 sporer av | |||
Tog 1 kjører inn i fronten | |||
på tog 2 | |||
111B | 111B | ||
5 | |- | ||
| 5 || Tog 2 får feilaktig utkjørsignal || Tog 2 kjører inn i fronten/flanken på tog 1 || 113A | |||
Tog 2 får feilaktig | |||
utkjørsignal | |||
Tog 2 kjører inn i | |||
fronten/flanken på tog 1 | |||
121A | 121A | ||
6 Togene skal ut fra | |- | ||
stasjonen i samme | | 6 || Togene skal ut fra stasjonen i samme retning || Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal || Tog 1 kjører inn i flanken/enden på tog 2 || 135A | ||
retning | |||
Tog 1 får feilaktig | |||
utkjørsignal, etter at tog 2 | |||
har passert sitt | |||
utkjørsignal | |||
Tog 1 kjører inn i | |||
flanken/enden på tog 2 | |||
136A | 136A | ||
7 Tog 1 kjører gjennom | |- | ||
sporveksel | | 7 || Tog 1 kjører gjennom sporveksel || Sporvekselen ligger i feil stilling eller legges om under passering || Tog 1 sporer av 141A || 141B | ||
Sporvekselen ligger i feil | |||
stilling eller legges om | |||
under passering | |||
Tog 1 sporer av 141A | |||
142B | 142B | ||
145B | 145B | ||
146B | 146B | ||
149B | 149B | ||
1410B | 1410B | ||
|} | |||
=== Risikoanalyse === | === Risikoanalyse === | ||
I dette avsnittet gjøres en generisk risikoanalyse for hvert enkelt av scenarioene | I dette avsnittet gjøres en generisk risikoanalyse for hvert enkelt av scenarioene identifisert i forrige avsnitt. Ved å differensiere på enkelte parametre, kan analysene gjenbrukes for de aktuelle scenarioene på den enkelte strekning, rute og stasjon. | ||
identifisert i forrige avsnitt. Ved å differensiere på enkelte parametre, kan analysene | |||
gjenbrukes for de aktuelle scenarioene på den enkelte strekning, rute og stasjon. | For å legge et best mulig grunnlag for anvendelsen av analyseresultatene er det lagt vekt på å etablere konservative men realistiske estimater av sannsynlighetene for de ulike parametrene. Slike estimater vil ofte kunne bli gjenstand for diskusjon, særlig dersom det ikke eksisterer gode nok erfaringsdata. Det kan også være fristende å være i overkant konservativ for å gardere seg. Eksempelvis antar [8] at tog vil passere feilaktig | ||
For å legge et best mulig grunnlag for anvendelsen av analyseresultatene er det lagt vekt | kjørsignal i 100 % av tilfellene hvor feilaktig kjør inntreffer, men peker samtidig på at dette er en konservativ antakelse som kan diskuteres (side 44). Spesielt fremstår dette som et for pessimistisk anslag i de tilfeller som gjelder utkjørende tog som normalt møter kryssende tog på den aktuelle stasjonen. | ||
på å etablere konservative men realistiske estimater av sannsynlighetene for de ulike | |||
parametrene. Slike estimater vil ofte kunne bli gjenstand for diskusjon, særlig dersom | Både [8] og denne artikkelen antar en viss sannsynlighet for dødsfall ved sammenstøt tog-tog også ved lave hastigheter, for eksempel mellom innkjørende tog og ventende tog på stasjon. Det kan hevdes at dette er for konservativt, ettersom Jernbaneverkets sikkerhetshåndbok anslår at sammenstøt tog-tog normalt ikke vil være fatalt dersom hastigheten er mindre enn 60 km/t. | ||
det ikke eksisterer gode nok erfaringsdata. Det kan også være fristende å være i | |||
overkant konservativ for å gardere seg. Eksempelvis antar [8] at tog vil passere feilaktig | De følgende scenarioene dekker alle de aktuelle scenarioene for enkeltspor i [8]. Hvilke scenarioer som er aktuelle avhenger av rute og stasjon. Dette vil måtte vurderes i den enkelte analyse. | ||
kjørsignal i 100 % av tilfellene hvor feilaktig kjør inntreffer, men peker samtidig på at | |||
dette er en konservativ antakelse som kan diskuteres (side 44). Spesielt fremstår dette | |||
som et for pessimistisk anslag i de tilfeller som gjelder utkjørende tog som normalt | |||
møter kryssende tog på den aktuelle stasjonen. | |||
Både [8] og | |||
tog-tog også ved lave hastigheter, for eksempel mellom innkjørende tog og ventende tog | |||
på stasjon. Det kan hevdes at dette er for konservativt, ettersom Jernbaneverkets | |||
sikkerhetshåndbok anslår at sammenstøt tog-tog normalt ikke vil være fatalt dersom | |||
hastigheten er mindre enn 60 km/t. | |||
De følgende scenarioene dekker alle de aktuelle scenarioene for enkeltspor i [8]. Hvilke | |||
scenarioer som er aktuelle avhenger av rute og stasjon. Dette vil måtte vurderes i den | |||
enkelte analyse. | |||
==== Scenario 1 ==== | ==== Scenario 1 ==== | ||
Togene skal inn på stasjonen fra hver sin side (samtidig innkjør). Tog 1 får | |||
kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, | Togene skal inn på stasjonen fra hver sin side (samtidig innkjør). Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av. | ||
uten at tog 1 sporer av. | |||
Dette scenarioet er ikke tatt med i denne | Dette scenarioet er ikke tatt med i denne artikkelen, men vil være nødvendig for analyse av strekninger med samtidig innkjør. | ||
nødvendig for analyse av strekninger med samtidig innkjør. | |||
==== Scenario 2 ==== | ==== Scenario 2 ==== | ||
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 skal | |||
inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen. | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen. | ||
[[Fil:Scenario 2.png|center|500px]] | |||
[8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,4: | [8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,4: | ||
p1 0,4 | |||
Da tog 1 skal stoppe på stasjonen, anslås den individuelle sannsynligheten for dødsfall | {| class="wikitable" | ||
til 0,01: | |width="50"|p1 | ||
F 0,01 | |width="50"|0,4 | ||
|width="800"| | |||
|} | |||
Da tog 1 skal stoppe på stasjonen, anslås den individuelle sannsynligheten for dødsfall til 0,01: | |||
{| class="wikitable" | |||
|width="50"|F | |||
|width="50"|0,01 | |||
|width="800"| | |||
|} | |||
Dette gir følgende risikobidrag for scenario 2: | Dette gir følgende risikobidrag for scenario 2: | ||
R = | |||
''R = p1 × F'' | |||
==== Scenario 3 ==== | ==== Scenario 3 ==== | ||
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 får | |||
kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av. | ||
som tog 2, uten at tog 1 sporer av. | |||
Sannsynligheten for at feilen inntreffer etter at toget har passert innkjørhovedsignal og | [[Fil:Scenario 3.png|center|800px]] | ||
før toget har passert sporvekselen settes til 0,01. Dette er identisk med estimatet som | |||
benyttes in [8]. | Sannsynligheten for at feilen inntreffer etter at toget har passert innkjørhovedsignal og før toget har passert sporvekselen settes til 0,01. Dette er identisk med estimatet som benyttes in [8]. | ||
p1 0,01 | |||
Det antas konservativt at toget ikke sporer av i sporvekselen (avsporing er dekket av | {| class="wikitable" | ||
scenario 7). | |width="50"|p1 | ||
Det antas at sannsynligheten for at fører oppdager at toget ledes over i feil spor er | |width="50"|0,01 | ||
relativt høy, og at dette bidrar til å avverge et sammenstøt. Sannsynligheten for at fører | |width="800"| | ||
|} | |||
avverger sammenstøt anslås til 0,5 ved planlagt stopp og 0 ved planlagt | |||
gjennomkjøring: | Det antas konservativt at toget ikke sporer av i sporvekselen (avsporing er dekket av scenario 7). | ||
p2 0,5 Planlagt stopp | |||
0 Planlagt gjennomkjøring | Det antas at sannsynligheten for at fører oppdager at toget ledes over i feil spor er relativt høy, og at dette bidrar til å avverge et sammenstøt. Sannsynligheten for at fører avverger sammenstøt anslås til 0,5 ved planlagt stopp og 0 ved planlagt gjennomkjøring: | ||
{| class="wikitable" | |||
|width="50"|p2 | |||
|width="50"|0,5 | |||
|width="800"|Planlagt stopp | |||
|- | |||
|width="50"| | |||
|width="50"|0 | |||
|width="800"|Planlagt gjennomkjøring | |||
|} | |||
Det anslås følgende individuelle sannsynlighet før dødsfall: | Det anslås følgende individuelle sannsynlighet før dødsfall: | ||
F 0,01 Planlagt stopp eller gjennomkjøring med lav hastighet | |||
0,05 Planlagt gjennomkjøring | {| class="wikitable" | ||
|width="50"|F | |||
|width="50"|0,01 | |||
|width="800"|Planlagt stopp eller gjennomkjøring med lav hastighet | |||
|- | |||
|width="50"| | |||
|width="50"|0,05 | |||
|width="800"|Planlagt gjennomkjøring | |||
|} | |||
Dette gir følgende risikobidrag for scenario 3: | Dette gir følgende risikobidrag for scenario 3: | ||
R = | |||
''R = p1 × (1− p2) × F'' | |||
==== Scenario 4 ==== | ==== Scenario 4 ==== | ||
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 1 får | |||
kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av. | ||
uten at tog 1 sporer av. | |||
[[Fil:Scenario 4.png|center|800px]] | |||
Det benyttes samme parametre som for scenario 3: | Det benyttes samme parametre som for scenario 3: | ||
p1 0 | |||
p2 0 | {| class="wikitable" | ||
0 Planlagt gjennomkjøring | |width="50"|p1 | ||
F 0 | |width="50"|0.01 | ||
0 | |width="800"| | ||
|- | |||
|width="50"|p2 | |||
|width="50"|0.5 | |||
|width="800"|Planlagt stopp | |||
|- | |||
|width="50"| | |||
|width="50"|0 | |||
|width="800"|Planlagt gjennomkjøring | |||
|- | |||
|width="50"|F | |||
|width="50"|0.01 | |||
|width="800"|Planlagt stopp eller gjennomkjøring med lav hastighet | |||
|- | |||
|width="50"| | |||
|width="50"|0.05 | |||
|width="800"|Planlagt gjennomkjøring | |||
|} | |||
Dette gir følgende risikobidrag for scenario 4: | Dette gir følgende risikobidrag for scenario 4: | ||
R = | |||
''R = p1 × (1− p2) × F'' | |||
==== Scenario 5 ==== | ==== Scenario 5 ==== | ||
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 2 får | |||
feilaktig utkjørsignal. | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 2 får feilaktig utkjørsignal. | ||
[8] antar at tog 2 alltid kjører ut på et feilaktig kjørsignal, men antyder samtidig at dette | [[Fil:Scenario 5.png|center|800px]] | ||
kan diskuteres. I herværende analyse benyttes generelt samme konservative antakelse, | |||
men med en noe lavere sannsynlighet i enkelte tilfeller: | [8] antar at tog 2 alltid kjører ut på et feilaktig kjørsignal, men antyder samtidig at dette kan diskuteres. I herværende analyse benyttes generelt samme konservative antakelse, men med en noe lavere sannsynlighet i enkelte tilfeller: | ||
p1 1,0 | |||
0,5 Utkjørende tog er et persontog med ankomst maksimalt 3 minutter før forventet | {| class="wikitable" | ||
|width="50"|p1 | |||
|width="50"|1,0 | |||
|width="800"| | |||
|- | |||
|width="50"| | |||
|width="50"|0,5 | |||
|width="800"|Utkjørende tog er et persontog med ankomst maksimalt 3 minutter før forventet | |||
ankomst for kryssende tog | ankomst for kryssende tog | ||
0,5 Utkjørende tog starter sin rute på stasjonen | |- | ||
0,5 Utkjørende tog har avgang minst 30 minutter etter forventet ankomst for | |width="50"| | ||
kryssende tog | |width="50"|0,5 | ||
0,25 Utkjørende tog starter sin rute på stasjonen og har avgang minst 30 minutter etter | |width="800"|Utkjørende tog starter sin rute på stasjonen | ||
forventet ankomst for kryssende tog | |- | ||
0,25 Utkjørende tog har avgang minst 60 minutter etter forventet ankomst for | |width="50"| | ||
kryssende tog | |width="50"|0,5 | ||
Sannsynligheten for at tog 1 og tog 2 vil kunne avverge sammenstøt anslås konservativt | |width="800"|Utkjørende tog har avgang minst 30 minutter etter forventet ankomst for kryssende tog | ||
til 0: | |- | ||
p2 0 | |width="50"| | ||
Sannsynligheten for at togleder vil kunne avverge sammenstøt anslås til 0,65. Dette er i | |width="50"|0,25 | ||
samsvar med estimatet i [8]. | |width="800"|Utkjørende tog starter sin rute på stasjonen og har avgang minst 30 minutter etter forventet ankomst for kryssende tog | ||
p3 0,65 | |- | ||
|- | |||
|width="50"| | |||
|width="50"|0,25 | |||
|width="800"|Utkjørende tog har avgang minst 60 minutter etter forventet ankomst for kryssende tog | |||
|} | |||
Sannsynligheten for at tog 1 og tog 2 vil kunne avverge sammenstøt anslås konservativt til 0: | |||
{| class="wikitable" | |||
|width="50"|p2 | |||
|width="50"|0 | |||
|width="800"| | |||
|} | |||
Sannsynligheten for at togleder vil kunne avverge sammenstøt anslås til 0,65. Dette er i samsvar med estimatet i [8]. | |||
{| class="wikitable" | |||
|width="50"|p3 | |||
|width="50"|0,65 | |||
|width="800"| | |||
|} | |||
Det anslås følgende individuelle sannsynlighet før dødsfall: | Det anslås følgende individuelle sannsynlighet før dødsfall: | ||
F 0,1 | |||
{| class="wikitable" | |||
|width="50"|F | |||
|width="50"|0,1 | |||
|width="800"| | |||
|} | |||
Dette gir følgende risikobidrag for scenario 5: | Dette gir følgende risikobidrag for scenario 5: | ||
R = | |||
''R = p1 × (1− p2) × (1− p3) × F'' | |||
==== Scenario 6 ==== | ==== Scenario 6 ==== | ||
Togene skal ut fra stasjonen i samme retning. Tog 1 får feilaktig utkjørsignal, etter at | |||
tog 2 har passert sitt utkjørsignal. | Togene skal ut fra stasjonen i samme retning. Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal. | ||
[8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,025, med 1 drept | |||
(lav hastighet). | [[Fil:Scenario_6.png|center|800px]] | ||
I | |||
kjørsignal: | [8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,025, med 1 drept (lav hastighet). | ||
p1 1,0 | |||
Gitt at tog 1 har kjørt ut på feilaktig kjørsignal, vil det være en viss sannsynlighet for at | I denne analysen følges antakelsen i [8] om at tog 1 alltid kjører ut på et feilaktig kjørsignal: | ||
tog 1 faktisk kjører inn i flanken på tog 2. Denne sannsynligheten er på grunn av det | |||
korte tidsvinduet imidlertid relativt liten, og anslås til 0,025: | {| class="wikitable" | ||
p2 0 | |width="50"|p1 | ||
|width="50"|1,0 | |||
|width="800"| | |||
|} | |||
Gitt at tog 1 har kjørt ut på feilaktig kjørsignal, vil det være en viss sannsynlighet for at tog 1 faktisk kjører inn i flanken på tog 2. Denne sannsynligheten er på grunn av det korte tidsvinduet imidlertid relativt liten, og anslås til 0,025: | |||
{| class="wikitable" | |||
|width="50"|p2 | |||
|width="50"|0.025 | |||
|width="800"| | |||
|} | |||
Sannsynligheten for at tog 1 tar igjen tog 2 anslås til 0,05: | Sannsynligheten for at tog 1 tar igjen tog 2 anslås til 0,05: | ||
p3 0,05 | |||
Gitt at tog 1 når igjen tog 2, vil det være en viss sannsynlighet for at fører av tog 1 | {| class="wikitable" | ||
avverger et sammenstøt med tog 2. Denne sannsynligheten vil avhenge av forhold som | |width="50"|p3 | ||
sikt, hastighet, hvorvidt tog 2 er i bevegelse etc. Et konservativt fast anslag er 0,5: | |width="50"|0,05 | ||
|width="800"| | |||
p4 0,5 | |} | ||
For både flankekollisjon og front-ende anslås individuell sannsynlighet før dødsfall til | |||
0,01. Dette er i samsvar med estimatet i [8]. | Gitt at tog 1 når igjen tog 2, vil det være en viss sannsynlighet for at fører av tog 1 avverger et sammenstøt med tog 2. Denne sannsynligheten vil avhenge av forhold som sikt, hastighet, hvorvidt tog 2 er i bevegelse etc. Et konservativt fast anslag er 0,5: | ||
{| class="wikitable" | |||
|width="50"|p4 | |||
|width="50"|0,5 | |||
|width="800"| | |||
|} | |||
For både flankekollisjon og front-ende anslås individuell sannsynlighet før dødsfall til 0,01. Dette er i samsvar med estimatet i [8]. | |||
Dette gir følgende risikobidrag for scenario 6: | Dette gir følgende risikobidrag for scenario 6: | ||
R = | |||
''R = p1 × ( p2 + (1− p2) × p3 × (1− p4)) × F'' | |||
==== Scenario 7 ==== | ==== Scenario 7 ==== | ||
Tog 1 kjører gjennom sporveksel. Sporvekselen ligger i feil stilling eller legges om | |||
under passering. | Tog 1 kjører gjennom sporveksel. Sporvekselen ligger i feil stilling eller legges om under passering. | ||
[[Fil:Scenario_7.png|center|400px]] | |||
For enkelthets skyld antas konservativt at sannsynligheten for avsporing er 0,5: | For enkelthets skyld antas konservativt at sannsynligheten for avsporing er 0,5: | ||
p1 0,5 | |||
F 0 Avgang, planlagt stopp eller gjennomkjøring med lav hastighet | {| class="wikitable" | ||
0,001 Planlagt gjennomkjøring med | |width="50"|p1 | ||
0,01 Planlagt gjennomkjøring med høy hastighet | |width="50"|0,5 | ||
|width="800"| | |||
|- | |||
|width="50"|F | |||
|width="50"|0 | |||
|width="800"|Avgang, planlagt stopp eller gjennomkjøring med lav hastighet | |||
|- | |||
|width="50"| | |||
|width="50"|0,001 | |||
|width="800"|Planlagt gjennomkjøring med middel hastighet | |||
|- | |||
|width="50"| | |||
|width="50"|0,01 | |||
|width="800"|Planlagt gjennomkjøring med høy hastighet | |||
|} | |||
Dette gir følgende risikobidrag for scenario 7: | Dette gir følgende risikobidrag for scenario 7: | ||
R = | ''R = p1 × F'' | ||
== Oppsummering == | == Oppsummering == | ||
I denne | I denne artikkelen er det beskrevet en generell metode for utledning av tolerable farerater for svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF-1) som del av underlaget for godkjenning av sikringsanlegg som spesifikke applikasjoner. I en slik utledning er det viktig å ta hensyn til følgende usikkerhetsfaktorer: | ||
farerater for svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF-1) som del av | |||
underlaget for godkjenning av sikringsanlegg som spesifikke applikasjoner. I en slik | # Eventuelle sikkerhetsforhold som ikke er tilstrekkelig dekket av analysen. | ||
utledning er det viktig å ta hensyn til følgende usikkerhetsfaktorer: | # For optimistiske anslag for sannsynligheten av de ulike parametrene som inngår i analysen. | ||
# Økt risikonivå som følge av endringer i ruteplanen eller økt trafikkmengde. | |||
i analysen. | På grunn av systematikken i metoden vil et eventuelt risikopåslag på grunn av 1 være relativt liten. Det klart sterkeste risikobidraget vil i de fleste tilfeller være knyttet til scenario 5, og eventuelle sikkerhetsforhold som ikke er dekket av metoden må kunne antas å ha et relativt lite bidrag sammenliknet med dette scenarioet. Uansett er det mulig å utvide metoden med flere scenarioer dersom dette skulle være aktuelt. Metoden er slik sett uavhengig av de scenarioene som benyttes. | ||
På grunn av systematikken i metoden vil et eventuelt risikopåslag på grunn av 1 være | Vedrørende punkt 2 henvises til vurderingen av hver enkelt parameter, der det er lagt vekt på å benytte tilstrekkelig men ikke unødvendig konservative anslag. Den av parametrene som påvirker resultatet mest er sannsynligheten for at et tog som venter på kryssende tog kjører ut på feilaktig utkjørsignal før kryssende tog har ankommet stasjonen. I likhet med [8], antas det at toget alltid vil kjøre ut (med enkelte unntakstilfeller), hvilket selvsagt vil gjøre et stort utslag på analyseresultatene. Som [8] påpeker, kan denne antakelsen diskuteres. Dersom et tog etter ruten skal vente | ||
relativt liten. Det klart sterkeste risikobidraget vil i de fleste tilfeller være knyttet til | på et kryssende tog, framstår det som lite sannsynlig at fører vil kjøre ut fra stasjonen før kryssende tog har ankommet, uten å undersøke dette nærmere. Selv om mange av de faktiske kryssingene skjer utenfor oppsatt rute, bør informasjon om og årvåkenhet på planlagte kryssinger kunne antas å redusere sannsynligheten for at fører kjører ut på feilaktig utkjørsignal. Dagens togframføringsforskrift [9] forutsetter imidlertid ingen slik menneskelig barriere for fjernstyrte strekninger, og det er derfor heller ikke antatt en slik risikoreduserende faktor i herværende analyse (bortsett fra i unntakstilfellene). | ||
scenario 5, og eventuelle sikkerhetsforhold som ikke er dekket av metoden må kunne | Når det gjelder endringer i ruteplanen eller økt trafikkmengde vil det ofte være rom for dette uten at de mest utsatte rutene, og dermed den mest utsatte passasjeren, blir mer risikoutsatt. | ||
antas å ha et relativt lite bidrag sammenliknet med dette scenarioet. Uansett er det mulig | |||
å utvide metoden med flere scenarioer dersom dette skulle være aktuelt. Metoden er slik | Anvendelse av metodikken på konkrete strekninger er ikke del av denne artikkelen. | ||
sett uavhengig av de scenarioene som benyttes. | |||
Vedrørende punkt 2 henvises til vurderingen av hver enkelt parameter, der det er lagt | |||
vekt på å benytte tilstrekkelig men ikke unødvendig konservative anslag. Den av | |||
parametrene som påvirker resultatet mest er sannsynligheten for at et tog som venter på | |||
kryssende tog kjører ut på feilaktig utkjørsignal før kryssende tog har ankommet | |||
stasjonen. I likhet med [8], | |||
enkelte unntakstilfeller), hvilket selvsagt vil gjøre et stort utslag på analyseresultatene. | |||
Som [8] påpeker, kan denne antakelsen diskuteres. Dersom et tog etter ruten skal vente | |||
på et kryssende tog, framstår det som lite sannsynlig at fører vil kjøre ut fra stasjonen | |||
før kryssende tog har ankommet, uten å undersøke dette nærmere. Selv om mange av de | |||
faktiske kryssingene skjer utenfor oppsatt rute, bør informasjon om og årvåkenhet på | |||
planlagte kryssinger kunne antas å redusere sannsynligheten for at fører kjører ut på | |||
feilaktig utkjørsignal. Dagens togframføringsforskrift [9] forutsetter imidlertid ingen | |||
slik menneskelig barriere for fjernstyrte strekninger, og det er derfor heller ikke antatt | |||
en slik risikoreduserende faktor i herværende analyse (bortsett fra i unntakstilfellene). | |||
Når det gjelder endringer i ruteplanen eller økt trafikkmengde vil det ofte være rom for | |||
dette uten at de mest utsatte rutene, og dermed den mest utsatte passasjeren, blir mer | |||
risikoutsatt. | |||
Anvendelse av metodikken på konkrete strekninger er ikke del av | |||
== Referanser == | == Referanser == | ||
[1] J. Braband, Risikoanalysen in der Eisenbahn-Automatisierung, Eurailpress, 2005. | [1] J. Braband, Risikoanalysen in der Eisenbahn-Automatisierung, Eurailpress, 2005. | ||
[2] CENELEC, “EN 50126: Railway applications – The specification and | |||
demonstration of Reliability, Availability, Maintainability and Safety (RAMS)”, | [2] CENELEC, “EN 50126: Railway applications – The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS)”, Sep. 1999. | ||
Sep. 1999. | |||
[3] CENELEC, “EN 50128: Railway applications – Communication, signalling and | [3] CENELEC, “EN 50128: Railway applications – Communication, signalling and processing systems – Software for railway control and protection systems”, Mar. 2001. | ||
processing systems – Software for railway control and protection systems”, Mar. | |||
2001. | [4] CENELEC, “EN 50129: Railway applications – Communications, signalling and processing systems – Safety related electronic systems for signalling”, Feb. 2003. | ||
[4] CENELEC, “EN 50129: Railway applications – Communications, signalling and | |||
processing systems – Safety related electronic systems for signalling”, Feb. 2003. | [5] IEC, “IEC 60812: Analysis techniques for system reliability – Procedure for failure mode and effect analysis (FMEA)”, Jan. 2006. | ||
[5] IEC, “IEC 60812: Analysis techniques for system reliability – Procedure for | |||
failure mode and effect analysis (FMEA)”, Jan. 2006. | |||
[6] IEC, “IEC 61025: Fault tree analysis (FTA)”, Dec. 2006. | [6] IEC, “IEC 61025: Fault tree analysis (FTA)”, Dec. 2006. | ||
[7] IEC, “IEC 61882: Hazard and operability studies (HAZOP studies) – Application | |||
guide”, May 2001. | [7] IEC, “IEC 61882: Hazard and operability studies (HAZOP studies) – Application guide”, May 2001. | ||
[8] O. Løkberg, K. Øien, “Fordeling av Tolerable Hazard Rates i signalanlegg”, | [8] O. Løkberg, K. Øien, “Fordeling av Tolerable Hazard Rates i signalanlegg”, Rapport STF90 F05136, Sintef IKT, 2005-11-15. | ||
Rapport STF90 F05136, Sintef IKT, 2005-11-15. | |||
[9] FOR 2008-02-29 nr 240: “Forskrift om togfremføring på det nasjonale | [9] FOR 2008-02-29 nr 240: “Forskrift om togfremføring på det nasjonale jernbanenettet (togframføringsforskriften)”. | ||
jernbanenettet (togframføringsforskriften)”. |
Siste sideversjon per 17. sep. 2014 kl. 11:42
__numberedheadings__
Introduksjon
I forbindelse med nybygging eller større endringer av sikringsanlegg i Jernbaneverkets infrastruktur, legges det til grunn at anleggene skal oppfylle de generiske kravene til tolerable farerater gitt i Jernbaneverkets tekniske regelverk. Dette innebærer prinsipielt at samme krav stilles til alle anlegg, uansett hvor de befinner seg i infrastrukturen. Et slikt prinsipp er relevant så lenge anleggene skal godkjennes på basis av godkjente generiske produkter og generiske applikasjoner, men kan hevdes å være unødvendig rigid i de tilfeller det er aktuelt å godkjenne sikringsanlegg som spesifikke applikasjoner. Slike spesifikke godkjenninger vil kunne baseres på dokumentasjon og risikoanalyser av den enkelte stasjon og strekning, herunder de tolerable farerater som utledes for sikringsanleggene (eller mer presist sikkerhetsfunksjonene disse utfører) på den aktuelle strekningen.
Siktemålet med denne artikkelen er å angi en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Hensiktsmessigheten med å gjøre slike spesifikke analyser er basert på hypotesen om at strekninger med færre farepunkter, mindre togtetthet, lavere hastighet osv. tillater høyere farerater for sikringsanleggene uten at dette gir høyere individuell risiko enn på andre strekninger.
Videre i kapittel 1 gis en oversikt over prinsippene for sikkerhetsintegritet, sikkerhetsbegrepet i CENELEC-normene, utledning av tolerable farerater i henhold til disse normene, og relasjonen til Jernbaneverkets sikkerhetshåndbok og tekniske regelverk.
Kapittel 2 beskriver en metode for utledning av tolerable farerater for sikringsanlegg som spesifikke applikasjoner.
Kapittel 3 oppsummerer metoden.
Sikkerhetsintegritet
I europeisk jernbanesammenheng er utviklingen av en moderne, risikoorientert definisjon av sikkerhet blant annet reflektert i etableringen av EUs “new concept”, som har til hensikt å legge til rette for teknisk harmonisering og således forhindre restriksjoner på fri flyt av varer mellom medlemslandene. Begrepet stiller krav til spesifikasjon og implementering av de essensielle sikkerhetskravene til et system, og er basert på de samme definisjoner av sikkerhet, risiko, etc. som CENELEC-normene. Det forutsettes en risikoorientert tilnærming til sikkerhet, det vil si en tilnærming der sikkerhet defineres på basis av spesifiseringen av risikonivå. Denne tilnærmingen innebærer en demonstrasjon av at systemet gjennom sin levetid vil kunne settes i drift, opereres, vedlikeholdes, avvikles og avhendes under et tolererbart risikonivå. Sikkerhet betraktes med andre ord ikke som absolutt fravær av risiko, men i relasjon til hva som anses som en akseptabel restrisiko etter at alle sikkerhetsforanstaltninger er implementert.
I enhver tilnærming til risiko vil det være nødvendig å skille mellom systematiske og tilfeldige feil. Systematiske feil er relatert til resultatene av menneskelige feilgrep, eksempelvis feil i programvare, designfeil, etc. Tilfeldige feil er på sin side relatert til svikt og forstyrrelser som skjer som resultat av rene fysiske forhold, for eksempel svikt i et relé, korrosjon, materialtretthet, etc. Erfaring fra sikkerhetskritiske systemer indikerer at systematiske feil har et større farepotensial enn tilfeldige feil.
Et grunnleggende begrep i EN 50126 er sikkerhetsintegritetsnivå (safety integrity level, SIL). Et systems integritetsnivå er definert som et mål for hvor kritisk det er at systemet opererer korrekt. På basis av en grundig sikkerhetsanalyse tilordnes systemet et sikkerhetsintegritetsnivå, som igjen bestemmer hvilke metoder som skal benyttes for design og implementering av systemet. Høyere nivå gir strengere krav til valg av metoder. Generelt skal alle systemer som kan ha innflytelse på sikkerhet tilordnes et sikkerhetsintegritetsnivå.
Allokeringen av SIL til de forskjellige delsystemene og komponentene i et system gjør det mulig å arbeide preventivt for å forebygge systematiske feil, i den forstand at det kan defineres ulike tiltak for å redusere sannsynligheten for slike feil. Bruken av begrepet reflekterer en tilnærming til feil der fokus er på hvordan feil kan forebygges i de ulike livsløpsfasene ved å benytte metoder og teknikker som mest mulig effektivt forhindrer at feil som introduseres i en livsløpsfase blir med videre i neste livsløpsfase. Feilforebyggende tiltak blir relativt sett viktigere med høyere SIL, ettersom det her i mindre grad kan anvendes erfaringsdata eller testresultater for å demonstrere sikkerhetsnivået.
SIL-begrepet må forstås i sammenheng med CENELEC-normenes risikoanalytiske, systemorienterte tilnærming til sikkerhet, der sikkerhet betraktes i forhold til tolererbar risiko. Det er Jernbaneverkets ansvar å utlede de tolerable fareratene for systemene, og det er essensielt at disse utledes fra overordnede kriterier. Leverandøren skal på sin side spesifisere en systemarkitektur som gir et system som tilfredsstiller de tolerable fareratene (tolerable hazard rate, THR) for hver identifiserte fare, analysere de mulige årsakene til hver fare, og fastsette sikkerhetskravene til de ulike funksjonene og/eller til delsystemene som utfører disse. I leverandørens analyse av årsakene til den enkelte identifiserte fare skal den tolerable fareraten allokeres på de forskjellige systemfunksjonene ved at det spesifiseres sikkerhetsintegritetsnivåer (SIL) for delsystemene som implementerer de forskjellige funksjonene.
Selv om CENELEC-normene benytter begrepet tolerabel farerate for både tilfeldige og systematiske feil, aksepteres det at det per i dag kun er mulig å verifisere bidrag fra tilfeldige feil. CENELEC-normene antar at sikkerhet mot systematiske feil ikke er kvantifiserbar, i hvert fall når det gjelder anvendelser med høyt sikkerhetsnivå. I stedet skal sikkerhetsintegritetsnivået utledes fra fastsatte THR, og benyttes for å definere tiltak mot systematiske feil, herunder feil i programvare. Utledningen gjøres på basis av følgende tabell:
Tolererbar farerate per time og funksjon (THR) | Sikkerhetsintegritetsnivå (SIL) |
---|---|
10−9 ≤ p < 10−8 | 4 |
10−8 ≤ p < 10−7 | 3 |
10−7 ≤ p < 10−6 | 2 |
10−6 ≤ p < 10−5 | 1 |
Dersom en sikkerhetsfunksjon gis THR lavere enn 10-9/h, krever EN 50129 at systemet i stedet designes med flere uavhengige sikkerhetsfunksjoner. Det er verdt å merke seg at dagens krav i Jernbaneverkets tekniske regelverk fastsetter THR for blant annet forriglingsutrustningen til nettopp 10-9, hvilket således er helt på grensen til at det kreves et slikt design. Kravet, som er utledet på basis av [8], gjelder generelt for all nybygging og vesentlige endringer i Jernbaneverkets infrastruktur.
I denne artikkelen refererer begrepet sikkerhetsintegritetskrav både til THR og SIL, men hvor SIL forutsettes utledet fra THR. Det understrekes imidlertid at det prinsipielt ikke er Jernbaneverkets ansvar å fastsette SIL for de ulike delene av leverandørens system. I henhold til EN 50129 begrenser Jernbaneverkets ansvar seg til fastsettelsen av THR.
Utledning av sikkerhetsintegritetskrav
I kapittel 2 etableres en metode for utledning av tolerable farerater for spesifikke sikringsanlegg, dvs. for forriglingsutrustningen av disse anleggene. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko).
CENELEC-normene stiller krav til en systematisk anvendelse av en metodikk for fastsettelse av sikkerhetsintegritetskrav til signalsystemer. Kravene til en slik metodikk er hovedsakelig gitt i EN 50126 og EN 50129, Annex A. Oppfyllelse av disse kravene er en forutsetning for å kunne dokumentere at fastsettelsen av sikkerhetsintegritetskravene har vært utført i samsvar med CENELEC-normene. I det følgende gis en kort beskrivelse av kravene, med referanser til de aktuelle avsnittene i normene.
EN 50129 definerer et sikkerhetsrelatert system som et system med sikkerhetsansvar (3.1.56). Sikringsanlegg faller således naturlig inn i denne definisjonen. Sikkerhetsansvaret realiseres gjennom de sikkerhetsfunksjoner som allokeres til systemet (EN 50126, 3.38). Allokering av sikkerhetsfunksjoner er en del av RAMSprosessen beskrevet i EN 50126.
Sikkerhetsfunksjonene er de sikkerhetsrelaterte funksjonene systemet skal utføre (EN 50129, A.2). En funksjons sikkerhetsintegritet er sannsynligheten for at systemet utfører sikkerhetsfunksjonen (EN 50126, 3.37, EN 50129, A.3). Sikkerhetsintegritetskravet spesifiseres som funksjonens sikkerhetsintegritetsnivå, SIL (EN 50126, 3.38). Sikkerhetsfunksjonskravene og tilhørende sikkerhetsintegritetskrav utgjør (system)sikkerhetskravene (EN 50129, A.2)
Sikkerhetsintegritet spesifiseres som ett av fire nivåer, der SIL-1 er lavest og SIL-4 er høyest (EN 50129, A.5.1). SIL-0 benyttes for å indikere at det ikke er noen sikkerhetskrav (EN 50129, A. 5.1). Det innebærer at dersom alle systemfunksjonene allokeres SIL-0, har systemet formelt sett ingen sikkerhetskrav. For signalsystemer må imidlertid RAMS-prosessen i EN 50126 uansett gjennomføres, slik at eventuelle sikkerhetskrav blir identifisert (EN 50129, 1).
En metodikk for fastsettelse og fordeling av sikkerhetsintegritetskrav skal ta hensyn til det aktuelle signalsystemets driftsomgivelser og arkitektur, basert på et veldefinert grensesnitt mellom disse. Dette grensesnittet skal beskrives fra en sikkerhetsvinkling, som innebærer at det defineres en liste av farer (hazards) og assosierte tolerable farerater (tolerable hazard rates, THR) for systemet.
Denne grensesnittsbeskrivelsen skal danne grunnlag både for Jernbaneverkets risikoanalyse og for leverandørens farekontroll. I følge EN 50129 skal sikkerhetsmyndigheten, i dette tilfellet Statens jernbanetilsyn, godkjenne begge disse aktivitetene. Begge analyser tar utgangspunkt i de identifiserte farene. Mens risikoanalysen skal identifisere mulige konsekvenser av farene og risikoene relatert til disse, skal farekontrollen identifisere årsakene til de samme farene. De to aktivitetene er relatert på den måten at risikoanalysen utleder de THR som er nødvendig for SIL-allokeringen i farekontrollen.
EN 50129 angir ikke noen bestemt metodikk for verken risikoanalysen eller farekontrollen, men gir eksempler på de respektive prosessene. Disse eksemplene, sammen med kravene i CENELEC-normene, gir Jernbaneverket og leverandøren et grunnlag for å etablere metoder for de to prosessene. Det er i praksis en forutsetning for sikkerhetsmyndighetens godkjenning at metodene etableres på dette grunnlaget.
I dette dokumentet rettes fokus mot risikoanalysen, siden det er denne prosessen som er Jernbaneverkets ansvar og som skal benyttes for utledningene av THR for de aktuelle systemene.
Jernbaneverkets sikkerhetshåndbok
Jernbaneverkets forvaltningsansvar for det nasjonale jernbanenettet innebærer et overordnet systemansvar for sikkerheten på jernbanenettet. Dette innebærer at Jernbaneverket har et ansvar for at jernbanevirksomhet ikke medfører alvorlig tap eller skade på reisende, tredjeperson, personale eller omgivelser. Sikkerhetsstyring i Jernbaneverket er beskrevet i Sikkerhetshåndboken, som inngår som en del av Jernbaneverkets prosesser “styre og kontrollere virksomheten”. Håndboken beskriver Jernbaneverkets sikkerhetsstyring som del av Jernbaneverkets totale styringssystem, og gir detaljerte sikkerhetsmål og akseptkriterier basert på Jernbaneverkets sikkerhetsfilosofi og overordnede sikkerhetsmål.
I forhold til øvrige dokumenter på Sikkerhetshåndbokens nivå, har Sikkerhetshåndboken primært følgende to funksjoner:
- Beskrivelse av metodikk og prinsipper for Jernbaneverkets sikkerhetsstyring som skal benyttes for all aktivitet innenfor virksomheten, og innenfor de øvrige styringsdokumenter.
- Beskrivelse av hvorledes Jernbaneverket skal ivareta lovgivningens spesifikke krav til sikkerhetsstyring.
De viktigste lover og forskrifter for Sikkerhetshåndboken er Jernbaneloven og Sikkerhetsstyringsforskriften. Sikkerhetsstyringsforskriften stiller krav til at Jernbanevirksomheten skal ha et sikkerhetsstyringssystem som er tilpasset virksomheten og den aktivitet som drives, og omfatter alle forhold knyttet til virksomheten, herunder bruk av leverandører. Videre skal det tas hensyn til risikoforhold som oppstår som følge av andre jernbanevirksomheters og tredjeparts virksomhet. Jernbanevirksomhetens ledelse skal regelmessig foreta en gjennomgang av sikkerhetsstyringssystemet for å sikre at det er hensiktsmessig, tilstrekkelig og effektivt.
Jernbaneverkets sikkerhetshåndbok formulerer Jernbaneverkets overordnede mål for jernbanesikkerhet på følgende måte: “Det etablerte sikkerhetsnivå for jernbanetransport i Norge skal opprettholdes. Alle endringer skal sikre en utvikling i positiv retning”. Samtidig understrekes det at det skal kontinuerlig arbeides med, fokuseres på og iverksettes risikoreduserende tiltak og aktivitet selv om kravet til akseptabelt risikonivå er tilfredsstilt.
Jernbaneverkets metodikk for sikkerhetsstyring er analytisk basert. I dette ligger identifikasjon, gjennomføring og bruk av analyser og vurderinger som nødvendige aktiviteter for kartlegging av jernbanevirksomhetens risikopotensial. Med analytisk sikkerhetsstyring forstår Jernbaneverket at det skal gjennomføres analyser og vurderinger som underlag for beslutninger gjennom hele livsløpsprosessen. Resultatene av analyser og vurderinger skal inngå i planer, drift og avvikling. Resultatene skal danne basis for identifikasjon av nødvendige tiltak og korreksjoner. Analyser og vurderinger skal foretas slik at aktiviteter, organisasjon, funksjoner og teknikk korrigeres før skade har oppstått.
Ett annet hovedelement i den analytiske sikkerhetsstyringen er et sterkt fokus på registrerte uønskede hendelser. Disse skal følges opp “som om uhell/ulykke virkelig hadde skjedd”, dvs. aktuelle tiltak skal identifiseres og iverksettes.
Sikkerhetshåndboken vurderer risikoen for passasjerer og togpersonale til å være primært en funksjon av togkilometer og personkilometer. Sikkerhetshåndboken opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10-9. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10-4 per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10-7.
Sikkerhetshåndboken aksepterer risikoanalyser utført i henhold til EN 50126 og med bruk av Jernbaneverkets risikoakseptkriterier. Det ligger i intensjonen bak herværende dokument at metoden som etableres for utledning av sikkerhetsintegritetskrav således er i henhold til både CENELEC-normene og Jernbaneverkets sikkerhetshåndbok.
Jernbaneverkets tekniske regelverk
I forbindelse med Teknisk regelverks overgang til å sette krav til sikkerhetsfunksjoner, utførte SINTEF IKT et arbeid som tok sikte på å fastsette minimumskrav til tolerable farerater (tolerable hasardrater – THR) [8]. Rapporten tok utgangspunkt i fem sentrale sikkerhetsfunksjoner for signalanlegg, herunder funksjonen Forriglingsutrustning (SKF1), med en tolerabel farerate på 10-9 per time per enhet og dermed SIL-4. Kravet er helt på grensen til at det kreves at signalsystemene designes med flere uavhengige sikkerhetsfunksjoner. SKF1 defineres på følgende måte:
En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.
Kravet detaljeres gjennom definisjon av følgende delfunksjoner:
- Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til et lyssignal enn det som er tillatt ut fra forutsetningene.
- Forriglingsutrustningen skal ikke gi kommando til en sporvekselutrustning uten at betingelsene er oppfylt.
- Forriglingsutrustningen skal ikke gi mindre restriktive beskjeder til ATC-infrastrukturutrustningen enn det som er tillatt ut fra forutsetningene.
Lignende krav er stilt til sporvekselutrustning (SKF2), togdeteksjon (SKF3), lyssignal (SKF4), og ATC infrastruktur (SKF5).
Metode
I dette kapitlet etableres en generell metode for utledning av tolerable farerater for sikringsanlegg (forriglingsutrustning) som spesifikke applikasjoner. Metoden er utarbeidet med basis i EN 50129, som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet. EN 50129 forutsetter at det benyttes en risikoorientert tilnærming som, direkte eller indirekte, tar utgangspunkt i en definert tolererbar risiko. Dette kan alternativt gjøres på basis av risikoen samfunnet som sådan utsettes for (kollektiv risiko) eller risikoen enkeltpersoner eller grupper av enkeltpersoner utsettes for (individuell risiko). Mens kollektiv risiko gjerne måles i antall dødsfall per år, måles individuell risiko gjerne i sannsynlighet for å omkomme per år per individ.
Individuell risiko er derfor relativ, mens kollektiv risiko er absolutt. Det betyr samtidig at et mål på kollektiv risiko i prinsippet enten må justeres i forhold til antall reisende, eller at det iverksettes tilstrekkelige tiltak for å øke sikkerheten med antallet reisende. Til sammenlikning kan individuell risiko håndteres som en fast størrelse uavhengig av antallet reisende. I tekniske anvendelser vil derfor som regel individuell risiko være mest hensiktsmessig. Individuell risiko kan måles i forhold til personkilometer eller reisetid, og det er relativt enkelt å konvertere beregningene: Årsgjennomsnittet for passasjerenes individuelle risiko kan beregnes som produktet av gjennomsnittlig reisehastighet og antall omkomne per år, dividert med antall personkilometer per år. Dette kan beregnes for landet som sådan eller for et mer avgrenset område. En aktuell anvendelse er å bruke årsgjennomsnittet for hele landet som et måltall for individuell risiko for den enkelte strekning. Beregningen vil ta høyde for ulikheter i hastigheter og antall passasjerer, og således gjøre det lettere å sammenlikne de ulike strekningene.
I dette dokument beregnes individuell risiko i forhold til personkilometer. Beregningen tar utgangspunkt i den generelle risikoformelen gitt i [1]. Formelen gir en modell for beregning av individuell risiko for dødsfall ved å benytte et gitt system, og kan brukes som basis for beregning av THR. Nedenfor gis først en stegvis utledning av den generelle formelen, og deretter en beskrivelse med et eksempel på hvordan formelen kan benyttes til utledning av tolerable farerater for spesifikke sikringsanlegg.
Generell risikoformel
I det følgende gis en stegvis utledning av den generelle risikoformelen gitt i [1].
- Et individ i benytter et gitt teknisk system S et antall ganger Ni per tidsenhet (år eller time).
- Gjennom å benytte S utsettes i for farer forbundet med at S svikter.
- Farene Hj som i utsettes for ved å benytte S identifiseres og listes opp, og assosieres med separate farerater HRj.
- Fareratene HRj kan alternativt beregnes ut fra kjente data, eller introdusere ukjente variable for beregning av tolerable farerater THRj.
- Hver fare Hj assosieres med en varighet Dj som er tiden det tar før den underliggende svikten er oppdaget og utbedret.
- Individet i utsettes for Hj enten ved at Hj allerede eksisterer når i kommer i kontakt med S eller ved at Hj oppstår mens i er i kontakt med S.
- Sannsynligheten for at Hj allerede eksisterer når i kommer i kontakt med S er gitt ved produktet HRj x Dj, hvor Dj er tiden det tar før Hj opphører (den underliggende svikten er oppdaget og utbedret).
- Sannsynligheten for at Hj oppstår mens i er i kontakt med S er gitt ved produktet HRj x Eij, hvor Eij er tiden i utsettes for Hj.
- Sannsynligheten for at i utsettes for Hj er HRj × Dj + HRj × Eij.
- For hver fare Hj identifiseres mulige, distinkte ulykker Ak som kan oppstå som en følge av Hj.
- For hver fare Hj og ulykke Ak assosieres en sannsynlighet Cjk for at Ak oppstår som en følge av Hj.
- For hver ulykke Ak assosieres en sannsynlighet Fik for at i omkommer i Ak.
- Sannsynligheten for at i omkommer i ulykken Ak når i utsettes for Hj er gitt ved produktet
- Sannsynligheten for at i omkommer når i utsettes for Hj er gitt ved summen
- Sannsynligheten for at i omkommer som en følge av Hj er gitt ved produktet
- Sannsynligheten for at i omkommer ved å benytte S er gitt ved summen
- Sannsynligheten for at i omkommer ved å benytte S over den gitte perioden er gitt ved
- Sannsynligheten IRFi kan betraktes som den individuelle risikoen for dødsfall ved bruk av systemet S.
Anvendelse for sikringsanlegg
Individet i kan betraktes som en passasjer på et persontog over en gitt strekning, på en gitt rute og dato. Risikoen som beregnes vil dermed være passasjerens risiko på den aktuelle reisen, avgrenset til farer forårsaket av feil i sikringsanlegg (forriglingsutrustningen) på strekningen. En slik avgrensing reduserer selvsagt den beregnede risikoen, men er hensiktsmessig for utledningen av tolerate farerater for sikringsanleggene. Ettersom siktemålet med analysen er å beregne risiko relatert til feil i sikringsanleggene, defineres systemet S som settet av sikringsanlegg på den aktuelle strekningen.
Eksemplene nedenfor er hentet fra Nordlandsbanen, rutetermin 159.1. Metodikken er imidlertid uavhengig av strekning og anleggstype.
Eksempel: En tenkt passasjer reiser med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010. Risikoen som beregnes vil være passasjerens individuelle risiko under denne reisen, avgrenset til farer forårsaket av et eller flere av sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana.
Da risikoen vurderes relativ til personkilometer og ikke antall ganger per tidsenhet systemet benyttes, settes Ni til 1.
Farene Hj kan betraktes som farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen. Mange av disse farene vil være de samme fra stasjon til stasjon. En identifisering av farer kan derfor gjøres på basis av generiske analyser, supplert med eventuelle farer knyttet spesifikt til de aktuelle stasjonene. Fareidentifiseringen kan dels baseres på erfaringsdata, og dels på bruk av fareidentifiseringsteknikker som FMEA og HazOp.
De identifiserte farene vil i prinsippet være direkte relatert til systemets sikkerhetsfunksjoner. Identifisering av sikkerhetsfunksjoner og farer kan således betraktes som to sider av samme sak: Svikt i en sikkerhetsfunksjon innebærer per definisjon en eller flere farer, og fareraten kan tilsvarende behandles som sannsynligheten for at sikkerhetsfunksjonen svikter.
Eksempel: På reisen med Pt. 471 fra Mosjøen til Mo i Rana vil den enkelte passasjer utsettes for en rekke farer som kan forårsakes av feil i sikringsanleggene på Mosjøen, Drevvatn, Bjerka og Mo i Rana, eksempelvis (farene kan deles opp ytterligere):
- Samtidig kjøretillatelse fra spor 1 og 2 fra Mosjøen stasjon i retning Mo i Rana.
- Sporveksel på strekningen legges i feil posisjon eller legges om under togpassering.
- Innkjørstillatelse til belagt sporavsnitt på Mo i Rana stasjon.
Fareratene HRj beregnes for hver enkelt av de identifiserte farene. For beregning av fareratene kan det være aktuelt å gjøre årsaksanalyser med f.eks. FTA [6]. Ettersom analysen her avgrenses til farer forårsaket av feil i sikringsanleggene vil disse fareratene være sentrale for utledningen av sikkerhetsintegritetskrav til anleggene. De farene som gjør mest utslag i resultatene er generelt de som er direkte forårsaket av enkeltfeil i sikringsanleggene.
Eksempel: Fareraten for flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon, forårsaket av feil i sikringsanlegget på stasjonen, reduseres som en følge av faktorer som sannsynligheten for at Gt. 5991 er satt opp den aktuelle tirsdagen (kjøres kun etter spesiell ordre) og sannsynligheten for at Gt. 5991 avviker tjenesteruteboken og kjører ut samtidig med Pt. 471. Sammen med sannsynligheten for at sikringsanlegget feilaktig gir kjøretillatelse fra spor 1 og 2, blir risikoen ekstremt liten, og sannsynligvis mye mindre enn risikoen for flankekollisjon uten feil i sikringsanlegget.
Eksempel: Fareraten for sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon, forårsaket av feil i sikringsanlegget på stasjonen, er relatert til sannsynligheten for forriglingsmessige feil som for eksempel sporveksel i feil posisjon eller feilaktig kjøretillatelse inn på stasjonen. Tiden Dj det tar før den underliggende svikten bak faren Hj er oppdaget og utbedret avhenger av effektiviteten av systemets selvovervåkning og andre barrierer som f.eks. TXPs eller togleders årvåkenhet. Tiden Dj skal i prinsippet beregnes fra tidspunktet hvor systemets evne til å utføre den aktuelle sikkerhetsfunksjonen svikter, hvilket kan skje før funksjonen faktisk benyttes (dvs. før korrekt utføring av funksjonen har sikkerhetsmessig betydning). Denne tidsfaktoren er essensiell både for systemer der funksjonen utføres kontinuerlig og systemer der funksjonen utføres som respons på spesielle utløsende betingelser. Sammen med krav til tolerabel farerate er det derfor nødvendig å også stille krav til maksimal tid for å oppdage og utbedre en underliggende svikt, uavhengig av hvorvidt funksjonen benyttes i denne perioden. Dersom det ikke er mulig å oppdage svikten før funksjonen faktisk benyttes, vil sannsynligheten for at sikkerhetsfunksjonen svikter for en gitt rute generelt være høyere på en strekning med liten trafikk enn på en strekning med stor trafikk.
Tiden Eij hvor individet i utsettes for faren Hj kommer i tillegg til tiden Dj, ettersom den reflekterer situasjonen at faren ikke allerede er oppstått når i kommer i kontakt med systemet, men oppstår mens i er i kontakt med systemet.
Eksempel: Like etter at Pt. 471 har passert innkjørhovedsignalet til Mo i Rana stasjon legges sporveksel 1 feilaktig over i avviksposisjon. Ulykkene Ak som kan oppstå som en følge av Hj kan betraktes som topphendelsene i analysen, og går ofte indirekte frem av formuleringen av den identifiserte faren. I andre tilfeller vil det være flere mulige ulykkesscenarioer. Når det gjelder en analyse av farer for passasjerer på persontog, forårsaket av feil i sikringsanlegg, vil de aktuelle ulykkene primært falle inn under Jernbaneverkets ulykkeskategorier avsporing og sammenstøt tog-tog.
Eksempel: Potensielle ulykker som følge av eksemplene gitt ovenfor på farer den enkelte passasjer utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana inkluderer:
- flankekollisjon med Gt. 5991 ved utkjøring fra Mosjøen stasjon (dersom Gt. 5991 er satt opp den aktuelle tirsdagen)
- avsporing i en av sporvekslene på strekningen
- sammenstøt med Gt. 5790 ved innkjøring på Mo i Rana stasjon
Sannsynligheten Cjk for at Ak oppstår som en følge av Hj vil avhenge av en rekke forhold, og vil kunne beregnes ulikt fra stasjon til stasjon, og mellom ulike ruter.
Eksempel: Sannsynligheten for at Pt. 471 støter sammen med Gt. 5790 (i spor 2) ved innkjøring på Mo i Rana stasjon, gitt at sporveksel er lagt over til spor 2, reduseres av faktorer som for eksempel førers og TXP/togleders årvåkenhet, togets hastighet, avstand til Gt. 5790 og siktforhold.
Sannsynligheten Fik for at i omkommer i Ak, avhenger av en rekke forhold.
Eksempel: Sannsynligheten for at en gitt passasjer omkommer dersom Pt. 471 støter sammen med Gt. 5790 avhenger først og fremst av togets hastighet, men også av faktorer som materielltype, togets lengde, etc.
Oppsummert er den individuelle risikoen for dødsfall for en gitt passasjer i på et persontog over en gitt strekning, på en gitt rute og dato, forårsaket av feil i sikringsanlegg på strekningen, gitt ved
der
- Hj er farene passasjeren utsettes for, forårsaket av feil i sikringsanlegg på strekningen
- HRj er den separate fareraten assosiert med Hj
- Dj er tiden det tar før den underliggende svikten bak Hj er oppdaget og utbedret
- Eij er tiden passasjeren utsettes for Hj
- Ak er ulykkene som kan oppstå som en følge av Hj
- Cjk er sannsynligheten for at Ak oppstår som en følge av Hj
- Fik er sannsynligheten for at passasjeren omkommer i Ak
Formelen for beregning av individuell risiko kan benyttes direkte som skissert ovenfor, alternativt som et ledd i utledning av tolerable farerater for sikringsanleggene på den aktuelle strekningen.
I førstnevnte tilfelle er det nødvendig å fastsette fareratene for de identifiserte farene. En viktig faktor i denne forbindelse er sannsynligheten for at sikringsanlegget svikter i utføringen av sine sikkerhetsfunksjoner. I de tilfeller hvor enkeltfeil direkte forårsaker faren, kan fareraten betraktes som identisk med sannsynligheten for at den aktuelle sikkerhetsfunksjonen svikter. Fordi konsekvensene av svikt vil være forskjellig for de ulike sikkerhetsfunksjonene, vil fareratene kunne differensieres for de ulike farene. Alternativt kan det med hver fare Hj assosieres en felles farerate HR. Ettersom sikringsanleggets utføring av de ulike sikkerhetsfunksjonene ikke nødvendigvis er tilstrekkelig atskilt, vil det kunne være hensiktsmessig å operere med en fast tolerabel farerate THR for svikt i sikringsanleggets sikkerhetsfunksjoner (SKF1).
Bruk av en fast felles farerate HR gjør at formelen utledet ovenfor kan forenkles ved å sette HR utenfor uttrykket på høyresiden:
Den tolerable fareraten THR for svikt i sikringsanleggenes sikkerhetsfunksjoner kan dermed baseres på de andre parametrene og et gitt måltall i IRF for den individuelle risikoen:
Overordnet metode
I utledningen og anvendelsen av risikoformelen i de forrige to avsnittene ble det indikert en rekke aktiviteter for anvendelsen av formelen i en konkret risikoanalyse. I det følgende behandles disse aktivitetene som elementer i en metode for utledning av sikkerhetsintegritetskrav for spesifikke sikringsanlegg. Metoden beskrives på et overordnet nivå i dette avsnittet, og mer detaljert i de neste.
Den overordende metoden kan varieres noe avhengig av hvorvidt siktemålet er estimering av risiko eller utledning av THR.
På overordnet nivå består den generelle metoden av følgende fem steg:
- Systemdefinisjon: Modellering og analyse av systemet
- Fareidentifisering: Identifisering av farer, estimering av farerater
- Konsekvensanalyse: Identifisering av potensielle ulykker
- Risikoestimering: Fastsettelse av individuell risiko
- Allokering av THR: Sammenlikning med mål for individuell risiko
Ettersom siktemålet i dette dokumentet er å utlede tolerable farerater, fastsettes først et måltall for individuell risiko for svikt i sikringsanleggets sikkerhetsfunksjoner. Allokering av THR for svikt i disse funksjonene gjøres på basis av formelen for beregning av THR utledet i forrige avsnitt.
Gjennomføring av risikoanalyser krever at funksjonen for de ulike delsystemene, og interaksjonen mellom disse, er vel forstått. Uten en presis systemdefinisjon kan risikoanalysen lede til feilaktige eller ugyldige resultater. For samme system vil det kunne være hensiktsmessig å produsere mer enn én systembeskrivelse, avhengig av hvilke synsvinkler som best understøtter analysene. Kvaliteten av risikoanalysen avhenger av hvor relevant systembeskrivelsen er for den aktuelle analysen. I noen tilfeller er det systemets bestanddeler (delsystemer og komponenter, samt grensesnittene mellom disse) som er i fokus – i andre tilfeller er det bedre å fokusere på systemets funksjoner. Denne problemstillingen er i hovedsak den samme som for systemanalyse generelt.
I dette dokumentet vil systemdefinisjonen ta utgangspunkt i den aktuelle strekningen, og knytte risikoen til den enkelte togreise på denne strekningen. Ved å basere allokeringen av THR på basis av den mest risikoutsatte strekningen, vil kravet være relevant for alle togreiser på strekningen. Det bør imidlertid tas hensyn til at eventuelle endringer i trafikkmønsteret vil kunne kreve en revidering av kravet. En slik vurdering bør gjøres i analysen for den aktuelle strekningen.
Systemdefinisjonen vil således delvis være knyttet til hver enkelt stasjon og til strekningen som sådan. For den enkelte stasjon kan følgende figur fra Jernbaneverkets Tekniske regelverk benyttes som generell systembeskrivelse:
Systemdefinisjonen for strekningen som sådan vil på overordnet nivå omfatte en beskrivelse av sikringsanleggene på strekningen, og på et detaljert nivå først og fremst de skjematiske planene og forriglingstabellene for den enkelte stasjon.
Fareidentifiseringen vil på basis av systemdefinisjonen identifisere de ulike farene Hj knyttet til svikt i forriglingsutrustningens sikkerhetsfunksjoner. To aktuelle fareidentifiseringsteknikker er FMEA [5] og HazOp [7].
Konsekvensanalysen vil identifisere de potensielle ulykkene Ak som kan oppstå som en følge av Hj. En aktuell teknikk er CCA/ETA, eventuelt supplert med FTA [6] for årsaksanalyse med hensyn til fordeling av sikkerhetsansvar på ulike systemer, delsystemer og komponenter.
Risikoestimeringen og allokering av THR vil omfatte beregning av de ulike parametrene som inngår i beregningsformelen (IRFi er allerede fastsatt som et måltall):
- Tiden Dj det tar før den underliggende svikten bak Hj er oppdaget og utbedret
- Tiden Eij passasjeren utsettes for Hj
- Sannsynligheten Cjk for at Ak oppstår som en følge av Hj
- Sannsynligheten Fik for at passasjeren omkommer i Ak
Detaljert metode
En forutsetning for metoden beskrevet på overordnet nivå i forrige avsnitt er at det kan fastlegges et måltall for forriglingsutrustningens risikobidrag til individuell risiko. Dette kan gjøres på følgende måte:
- Finn antall personkilometer per år (i Norge).
- Fastlegg antall akseptable dødsfall for reisende per år forårsaket av svikt i forriglingsutrustningen.
- Beregn antall aksepterte dødsfall per personkilometer.
- Multipliser med antall kilometer for den aktuelle strekningen.
Denne fremgangsmåten vil være relevant for fastleggelse av måltall for den enkelte strekning. For måltall for skiftestasjoner og godsterminaler vil en noe annen fremgangsmåte være nødvendig. Her vil det være mer aktuelt å se på andre personellgrupper, først og fremst de som kjører skiftene. Da er personkilometer lite aktuelt, og det er bedre å bruke risiko per tidsenhet. Det vil også kunne være aktuelt å skille mellom trafikken på selve godsterminalen og trafikk ut på hovedsporet. For sistnevnte farepunkt kan sikkerhetsnivået eventuelt økes gjennom bruk av flere uavhengige sikkerhetsfunksjoner.
I det følgende fokuseres det på måltallene for individuell risiko knyttet til den enkelte strekning. Måltallet kan utledes på basis av kriteriene gitt i Jernbaneverkets sikkerhetshåndbok, som opererer med 2.54 milliarder personkilometer per år, og en forventning om 2.6 drepte passasjerer per år. Dette gir et måltall for den individuelle risikoen for ett individ på ca. 10-9/km. Sikkerhetshåndboken bruker imidlertid et annet akseptkriterium for individuell risiko for passasjerer, nemlig 10-4 per år for mest eksponerte individ. Sammenliknet med tallet over tilsvarer det 100.000 kilometer i løpet av ett år, eller ca. 274 kilometer per dag. Med utgangspunkt i disse tallene, er måltallet et godt utgangspunkt for å fastsette THR for en gitt strekning. Eksempelvis vil et måltall for individuell risiko for en togreise på 100 kilometer være 10-7.
For å kunne fastsette et måltall for individuell risiko knyttet til svikt i sikringsanleggets sikkerhetsfunksjoner, er det nødvendig å fastsette det akseptable risikobidraget fra sikringsanleggene. [8] benytter måltallet 0,162 for antall drepte individer per år som kan tilskrives sikkerhetskritisk feil i forriglingsutrustningen. Dette måltallet omfatter imidlertid alle personellgrupper. Med utgangspunkt i Sikkerhetshåndbokens forventning om 11 drepte per år, utgjør drepte passasjerer en andel på 0,27 av totalt antall drepte. Multiplisert med måltallet 0,162 og fordelt over 2.54 milliarder personkilometer per år gir det følgende måltall:
- IRFi = 1,72·10-11/km
Dette måltallet benyttes som basis for de konkrete analysene i dette dokumentet. Resultatene kan enkelt justeres i henhold til alternative måltall.
Med denne fremgangsmåten vil den mest eksponerte passasjeren være den som benytter ruten med størst farerate. THR for sikringsanleggene bestemmes derfor ut fra denne fareraten.
Den konkrete analysen vil ta for seg en konkret strekning. Systemdefinisjonen vil omfatte forriglingsutrustningen på denne strekningen. En viktig del av systemdefinisjonen er skjematisk plan og forriglingstabell for den enkelte stasjon. De skjematiske planene og forriglingstabellene for de aktuelle stasjonen på strekningen vil i kombinasjon med de grafiske rutene og tjenesteruteboken utgjøre et godt grunnlag for identifisering av hvilke farer som er aktuelle på de ulike farepunktene på strekningen.
Den videre analysen gjøres for alle persontogrutene for den aktuelle strekningen. Analysen gjøres ut fra togets/passasjerens sted, hvilket innebærer at alle relevante farer passasjerene om bord utsettes på den enkelte rute tas med i beregningen. Dette gir et tak på estimert risiko som er relevant også for de mindre risikoutsatte rutene. Ettersom unntak fra rutetabellen på grunn av forsinkelser i eventuelle tog ikke øker antallet tog på strekningen, antas det at analysen kan gjøres på basis av rutetabellen. Analysen bør imidlertid kontrolleres med hensyn til sensitivitet i forhold til dette.
Fareidentifiseringen kan ta utgangspunkt i farer identifisert i tidligere analyser, supplert med identifisering av farer som er spesifikke for den aktuelle stasjonen. I risikoestimeringen kan man ta hensyn til stedlige forhold og den aktuelle ruten. Dette kan omfatte faktorer som for eksempel estimert tid før svikten i sikkerhetsfunksjonen oppdages, siktavstand til hovedsignal, generelle siktforhold på stasjonen og lengde på sikkerhetssone. Eksempelvis vil en risikoestimering av sammenstøt med stillestående tog ved innkjøring på stasjonen være avhengig av togets hastighet og eventuelt om toget i følge ruten skal stoppe på stasjonen.
De grafiske rutene og tjenesteruteboken gir mye av den samme informasjonen. Mens de grafiske rutene presenterer informasjonen på en måte som egner seg for togledelse og planlegging av togfremføringen, er tjenesteruteboken lettere å bruke for å finne informasjon som er relevant for den enkelte rute og dermed for den enkelte fører. Med hensyn til risikoanalyse og beregning av THR, har tjenesteruteboken den viktige fordel at den gir informasjon om hvilket spor den aktuelle ruten faktisk benytter.
Beregningen av THR bruker en rekke informasjonskilder for å gi en mest mulig presis risikoanalyse. Disse kildene er knyttet både til infrastruktur og trafikk. For sistnevnte type informasjon må det naturligvis tas høyde for endringer i trafikkmønsteret, men det er uansett nyttig å ta utgangspunkt i dagens trafikkmønster og analysere sensitiviteten av analyseresultatene ut fra dette. De viktigste informasjonskildene er:
- Tjenesterutebok for ruter som trafikkerer strekningen
- Grafiske ruter for strekningen
- Skjematiske planer og forriglingstabeller for stasjonene på strekningen
- Bildedatabase og annen informasjon om stedlige forhold
- Statistikk over feil, hendelser og avvikssituasjoner
- Planlagte endringer av trafikkmønsteret
Metoden beskrevet i det foregående tillater at separate delstrekninger kan analyseres særskilt. Ved å estimere risikoen for de mest risikoutsatte rutene på de forskjellige delstrekningene, vil summen av disse definere et tak for risikoen for hele strekningen. Analysen for en hel strekning vil således ta høyde for at den mest utsatte passasjeren benytter de mest risikoutsatte rutene på de enkelte delstrekningene.
Følgende eksempel indikerer hvordan risikoberegningene kan gjøres. Kvantifiseringen er gjort kun gjort som et eksempel. I den faktiske risikoberegningen benyttes en kombinasjon av erfaringsdata og ekspertvurdering. Dette kan gjøres f.eks. gjennom en fast tabell for de ulike scenarioene, med en vekting av de ulike faktorene vurdert opp mot stedlige forhold (f.eks. avstand fra utkjørhovedsignal).
En av farene passasjerene utsettes for på reisen med Pt. 471 fra Mosjøen til Mo i Rana tirsdag 4. mai 2010 er at Pt. 471 får kjøretillatelse inn på riktig spor i Mo i Rana, men sporveksel legges om til spor 2, hvor Gt. 5790 står oppført for avgang mot Mosjøen. Den potensielle ulykken er sammenstøt med Gt. 5790. Anta følgende estimater:
- Fareraten settes lik kravet til SKF1 i Teknisk regelverk, 10-9/h.
- Summen av tiden det tar før den underliggende svikten bak faren er oppdaget og utbedret, og tiden passasjeren utsettes for faren, settes for enkelhets skyld konservativt til 1 time.
- På grunn av den lave hastigheten ved et eventuelt sammenstøt settes sannsynligheten for at en gitt passasjer omkommer i et eventuelt sammenstøt til 10-2.
Sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 beregnes gjennom en følgeanalyse der de ulike risikoreduserende faktorer identifiseres og kvantifiseres:
På basis av følgeanalysen settes sannsynligheten for at faren faktisk forårsaker sammenstøt med Gt. 5790 til 0,005.
Generelt vil de ulike greinene i følgeanalysen ikke gi like stort utslag på analyseresultatet, og sensitiviteten av analysen i forhold til kvantifiseringen vil således variere. Analysen gir dermed også en indikasjon på hvilke faktorer det er viktigst å kvalitetssikre for å gi et best mulig estimat av risikoen knyttet til faren.
Med disse estimatene på de ulike parametrene blir den individuelle risikoen for en gitt passasjer dersom Pt. 471 feilaktig gis kjøretillatelse inn på spor 2 på Mo i Rana stasjon
- IRFi = 10-9 · 1 · 10-2 · 5 · 10-3 = 5 · 10-14
I dette eksemplet er fareraten satt lik kravet til SKF1 i Teknisk regelverk. Metoden beskrevet i dette kapitlet er imidlertid utviklet med det formål å kunne fastsette en slik farerate. Fremgangsmåten blir da i første omgang å gjøre beregningene uten fareraten, hvilket i dette eksemplet gir 5·10-5. Tilsvarende beregninger gjøres og summeres for de andre identifiserte farene for den aktuelle ruten. Dette gir en beregning av tallverdien til nevneren i formelen
Analysemetoden som beskrives i denne artikkelen kan utføres separat på den enkelte delstrekning slik at resultatene for de enkelte delstrekningene kan kombineres som grunnlag for en analyse av hele eller større deler av strekningen.
Fareidentifisering/-analyse
Som beskrevet i avsnitt 1.4, opererer Jernbaneverkets tekniske regelverk med følgende sikkerhetskritiske funksjon for forriglingsutrustningen:
En forriglingsutrustning skal sette korrekte utgangssignaler/sende korrekte data til styrte objekter, gitt korrekte innsignaler/data inn til forriglingsutrustningen.
Kravet detaljeres gjennom definisjon av delfunksjoner for beskjeder til lyssignal, kommando til sporvekselutrustning, og beskjeder til ATC-infrastrukturutrustningen. I dette avsnittet identifiseres og analyseres farer for de to første av disse. Analysen tar ikke med farer knyttet til for lite restriktive beskjeder til ATC-infrastrukturutrustningen, ettersom disse er underordnet feil i lyssignal. Som det påpekes i [8] vil sikkerhetskritisk feil i forriglingsutrustning som gir feilaktig kommando om kjørsignal medføre at ATC ikke vil gripe inn. Videre vil en eksklusiv feil i ATC-beskjed fra forriglingsutrustningen, som ikke gir tilsvarende feilbeskjed til signalene, innebære at fører i tillegg overser ytre signal for at sammenstøt tog-tog skal kunne inntreffe.
I følgende tabell identifiseres ulike scenarioer, farer og mulige konsekvenser knyttet til sammenstøt tog-tog med utgangspunkt i svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF1). Tabellen reflekterer en systematisk tilnærming der de ulike kombinasjoner av innkjøring, utkjøring og retning for to tog håndteres for seg. Ettersom tolkningen av tog 1 og tog 2 kan varieres med hensyn til det aktuelle scenarioet (dvs. hvorvidt passasjerens tog er tog 1 eller tog 2), er symmetriske tilfeller dekket av samme kombinasjon og derfor ikke gjentatt.
Tog 1 | Tog 2 | Retning | Scenario | Fare | Konsekvens |
---|---|---|---|---|---|
Inn | Inn | Samme | Togene skal inn på stasjonen i samme ende | Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning | Dekkes av scenarioene for tog 1 inn og tog 2 ut i samme retning |
Motsatt | Togene skal inn på stasjonen fra hver sin side (samtidig innkjør) | Togene får kjøretillatelse inn på riktig spor, men sporvekslene ligger inn til samme spor | Togene kjører inn i fronten på hverandre | ||
Ut | Samme | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende | Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen | Tog 1 kjører inn i enden på tog 2 | |
Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av | |||||
Tog 2 får feilaktig utkjørsignal | Ingen | ||||
Motsatt | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning | Tog 1 får kjøretillatelse inn på riktig spor, sporveksel ligger inn til samme spor som tog 2, uten at tog 1 sporer av | Tog 1 kjører inn i fronten på tog 2 | ||
Tog 2 får feilaktig utkjørssignal | Tog 2 kjører inn i fronten/flanken på tog 1 | ||||
Ut | Ut | Samme | Togene skal ut fra stasjonen i samme retning | Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal | Tog 1 kjører inn i flanken/enden på tog 2 |
Motsatt | Togene skal ut fra stasjonen i hver sin ende | Ingen |
I tillegg kommer farer knyttet til avsporing i sporveksel.
Ved å utelate tilfeller som ikke har noen konsekvens, kan det settes opp følgende tabell over syv ulike scenarioer som analyseres for de aktuelle stasjonene på de enkelte strekninger og ruter. Referansene er til scenarioene i [8].
Nr | Scenario | Fare | Konsekvens | Ref |
---|---|---|---|---|
1 | Togene skal inn på stasjonen fra hver sin side (samtidig innkjør) | Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av | Togene kjører inn i fronten på hverandre | |
2 | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende | Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen | Tog 1 kjører inn i enden på tog 2 | 131A
132A |
3 | Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av | 131B | ||
4 | Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning | Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av | Tog 1 kjører inn i fronten på tog 2 | 111A
111B |
5 | Tog 2 får feilaktig utkjørsignal | Tog 2 kjører inn i fronten/flanken på tog 1 | 113A
121A | |
6 | Togene skal ut fra stasjonen i samme retning | Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal | Tog 1 kjører inn i flanken/enden på tog 2 | 135A
136A |
7 | Tog 1 kjører gjennom sporveksel | Sporvekselen ligger i feil stilling eller legges om under passering | Tog 1 sporer av 141A | 141B
142B 145B 146B 149B 1410B |
Risikoanalyse
I dette avsnittet gjøres en generisk risikoanalyse for hvert enkelt av scenarioene identifisert i forrige avsnitt. Ved å differensiere på enkelte parametre, kan analysene gjenbrukes for de aktuelle scenarioene på den enkelte strekning, rute og stasjon.
For å legge et best mulig grunnlag for anvendelsen av analyseresultatene er det lagt vekt på å etablere konservative men realistiske estimater av sannsynlighetene for de ulike parametrene. Slike estimater vil ofte kunne bli gjenstand for diskusjon, særlig dersom det ikke eksisterer gode nok erfaringsdata. Det kan også være fristende å være i overkant konservativ for å gardere seg. Eksempelvis antar [8] at tog vil passere feilaktig kjørsignal i 100 % av tilfellene hvor feilaktig kjør inntreffer, men peker samtidig på at dette er en konservativ antakelse som kan diskuteres (side 44). Spesielt fremstår dette som et for pessimistisk anslag i de tilfeller som gjelder utkjørende tog som normalt møter kryssende tog på den aktuelle stasjonen.
Både [8] og denne artikkelen antar en viss sannsynlighet for dødsfall ved sammenstøt tog-tog også ved lave hastigheter, for eksempel mellom innkjørende tog og ventende tog på stasjon. Det kan hevdes at dette er for konservativt, ettersom Jernbaneverkets sikkerhetshåndbok anslår at sammenstøt tog-tog normalt ikke vil være fatalt dersom hastigheten er mindre enn 60 km/t.
De følgende scenarioene dekker alle de aktuelle scenarioene for enkeltspor i [8]. Hvilke scenarioer som er aktuelle avhenger av rute og stasjon. Dette vil måtte vurderes i den enkelte analyse.
Scenario 1
Togene skal inn på stasjonen fra hver sin side (samtidig innkjør). Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av.
Dette scenarioet er ikke tatt med i denne artikkelen, men vil være nødvendig for analyse av strekninger med samtidig innkjør.
Scenario 2
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 skal inn på samme spor som tog 2. Tog 1 får kjøretillatelse før tog 2 har forlatt stasjonen.
[8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,4:
p1 | 0,4 |
Da tog 1 skal stoppe på stasjonen, anslås den individuelle sannsynligheten for dødsfall til 0,01:
F | 0,01 |
Dette gir følgende risikobidrag for scenario 2:
R = p1 × F
Scenario 3
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt ende. Tog 1 får kjøretillatelse inn på et annet spor enn tog 2, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av.
Sannsynligheten for at feilen inntreffer etter at toget har passert innkjørhovedsignal og før toget har passert sporvekselen settes til 0,01. Dette er identisk med estimatet som benyttes in [8].
p1 | 0,01 |
Det antas konservativt at toget ikke sporer av i sporvekselen (avsporing er dekket av scenario 7).
Det antas at sannsynligheten for at fører oppdager at toget ledes over i feil spor er relativt høy, og at dette bidrar til å avverge et sammenstøt. Sannsynligheten for at fører avverger sammenstøt anslås til 0,5 ved planlagt stopp og 0 ved planlagt gjennomkjøring:
p2 | 0,5 | Planlagt stopp |
0 | Planlagt gjennomkjøring |
Det anslås følgende individuelle sannsynlighet før dødsfall:
F | 0,01 | Planlagt stopp eller gjennomkjøring med lav hastighet |
0,05 | Planlagt gjennomkjøring |
Dette gir følgende risikobidrag for scenario 3:
R = p1 × (1− p2) × F
Scenario 4
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 1 får kjøretillatelse inn på riktig spor, men sporveksel legges om til samme spor som tog 2, uten at tog 1 sporer av.
Det benyttes samme parametre som for scenario 3:
p1 | 0.01 | |
p2 | 0.5 | Planlagt stopp |
0 | Planlagt gjennomkjøring | |
F | 0.01 | Planlagt stopp eller gjennomkjøring med lav hastighet |
0.05 | Planlagt gjennomkjøring |
Dette gir følgende risikobidrag for scenario 4:
R = p1 × (1− p2) × F
Scenario 5
Tog 1 skal inn på stasjonen, mens tog 2 skal ut fra stasjonen i motsatt retning. Tog 2 får feilaktig utkjørsignal.
[8] antar at tog 2 alltid kjører ut på et feilaktig kjørsignal, men antyder samtidig at dette kan diskuteres. I herværende analyse benyttes generelt samme konservative antakelse, men med en noe lavere sannsynlighet i enkelte tilfeller:
p1 | 1,0 | |
0,5 | Utkjørende tog er et persontog med ankomst maksimalt 3 minutter før forventet
ankomst for kryssende tog | |
0,5 | Utkjørende tog starter sin rute på stasjonen | |
0,5 | Utkjørende tog har avgang minst 30 minutter etter forventet ankomst for kryssende tog | |
0,25 | Utkjørende tog starter sin rute på stasjonen og har avgang minst 30 minutter etter forventet ankomst for kryssende tog | |
0,25 | Utkjørende tog har avgang minst 60 minutter etter forventet ankomst for kryssende tog |
Sannsynligheten for at tog 1 og tog 2 vil kunne avverge sammenstøt anslås konservativt til 0:
p2 | 0 |
Sannsynligheten for at togleder vil kunne avverge sammenstøt anslås til 0,65. Dette er i samsvar med estimatet i [8].
p3 | 0,65 |
Det anslås følgende individuelle sannsynlighet før dødsfall:
F | 0,1 |
Dette gir følgende risikobidrag for scenario 5:
R = p1 × (1− p2) × (1− p3) × F
Scenario 6
Togene skal ut fra stasjonen i samme retning. Tog 1 får feilaktig utkjørsignal, etter at tog 2 har passert sitt utkjørsignal.
[8] anslår sannsynligheten for at tog 1 kjører inn i enden på tog 2 til 0,025, med 1 drept (lav hastighet).
I denne analysen følges antakelsen i [8] om at tog 1 alltid kjører ut på et feilaktig kjørsignal:
p1 | 1,0 |
Gitt at tog 1 har kjørt ut på feilaktig kjørsignal, vil det være en viss sannsynlighet for at tog 1 faktisk kjører inn i flanken på tog 2. Denne sannsynligheten er på grunn av det korte tidsvinduet imidlertid relativt liten, og anslås til 0,025:
p2 | 0.025 |
Sannsynligheten for at tog 1 tar igjen tog 2 anslås til 0,05:
p3 | 0,05 |
Gitt at tog 1 når igjen tog 2, vil det være en viss sannsynlighet for at fører av tog 1 avverger et sammenstøt med tog 2. Denne sannsynligheten vil avhenge av forhold som sikt, hastighet, hvorvidt tog 2 er i bevegelse etc. Et konservativt fast anslag er 0,5:
p4 | 0,5 |
For både flankekollisjon og front-ende anslås individuell sannsynlighet før dødsfall til 0,01. Dette er i samsvar med estimatet i [8].
Dette gir følgende risikobidrag for scenario 6:
R = p1 × ( p2 + (1− p2) × p3 × (1− p4)) × F
Scenario 7
Tog 1 kjører gjennom sporveksel. Sporvekselen ligger i feil stilling eller legges om under passering.
For enkelthets skyld antas konservativt at sannsynligheten for avsporing er 0,5:
p1 | 0,5 | |
F | 0 | Avgang, planlagt stopp eller gjennomkjøring med lav hastighet |
0,001 | Planlagt gjennomkjøring med middel hastighet | |
0,01 | Planlagt gjennomkjøring med høy hastighet |
Dette gir følgende risikobidrag for scenario 7: R = p1 × F
Oppsummering
I denne artikkelen er det beskrevet en generell metode for utledning av tolerable farerater for svikt i et sikringsanleggs sikkerhetsfunksjoner (SKF-1) som del av underlaget for godkjenning av sikringsanlegg som spesifikke applikasjoner. I en slik utledning er det viktig å ta hensyn til følgende usikkerhetsfaktorer:
- Eventuelle sikkerhetsforhold som ikke er tilstrekkelig dekket av analysen.
- For optimistiske anslag for sannsynligheten av de ulike parametrene som inngår i analysen.
- Økt risikonivå som følge av endringer i ruteplanen eller økt trafikkmengde.
På grunn av systematikken i metoden vil et eventuelt risikopåslag på grunn av 1 være relativt liten. Det klart sterkeste risikobidraget vil i de fleste tilfeller være knyttet til scenario 5, og eventuelle sikkerhetsforhold som ikke er dekket av metoden må kunne antas å ha et relativt lite bidrag sammenliknet med dette scenarioet. Uansett er det mulig å utvide metoden med flere scenarioer dersom dette skulle være aktuelt. Metoden er slik sett uavhengig av de scenarioene som benyttes.
Vedrørende punkt 2 henvises til vurderingen av hver enkelt parameter, der det er lagt vekt på å benytte tilstrekkelig men ikke unødvendig konservative anslag. Den av parametrene som påvirker resultatet mest er sannsynligheten for at et tog som venter på kryssende tog kjører ut på feilaktig utkjørsignal før kryssende tog har ankommet stasjonen. I likhet med [8], antas det at toget alltid vil kjøre ut (med enkelte unntakstilfeller), hvilket selvsagt vil gjøre et stort utslag på analyseresultatene. Som [8] påpeker, kan denne antakelsen diskuteres. Dersom et tog etter ruten skal vente på et kryssende tog, framstår det som lite sannsynlig at fører vil kjøre ut fra stasjonen før kryssende tog har ankommet, uten å undersøke dette nærmere. Selv om mange av de faktiske kryssingene skjer utenfor oppsatt rute, bør informasjon om og årvåkenhet på planlagte kryssinger kunne antas å redusere sannsynligheten for at fører kjører ut på feilaktig utkjørsignal. Dagens togframføringsforskrift [9] forutsetter imidlertid ingen slik menneskelig barriere for fjernstyrte strekninger, og det er derfor heller ikke antatt en slik risikoreduserende faktor i herværende analyse (bortsett fra i unntakstilfellene).
Når det gjelder endringer i ruteplanen eller økt trafikkmengde vil det ofte være rom for dette uten at de mest utsatte rutene, og dermed den mest utsatte passasjeren, blir mer risikoutsatt.
Anvendelse av metodikken på konkrete strekninger er ikke del av denne artikkelen.
Referanser
[1] J. Braband, Risikoanalysen in der Eisenbahn-Automatisierung, Eurailpress, 2005.
[2] CENELEC, “EN 50126: Railway applications – The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS)”, Sep. 1999.
[3] CENELEC, “EN 50128: Railway applications – Communication, signalling and processing systems – Software for railway control and protection systems”, Mar. 2001.
[4] CENELEC, “EN 50129: Railway applications – Communications, signalling and processing systems – Safety related electronic systems for signalling”, Feb. 2003.
[5] IEC, “IEC 60812: Analysis techniques for system reliability – Procedure for failure mode and effect analysis (FMEA)”, Jan. 2006.
[6] IEC, “IEC 61025: Fault tree analysis (FTA)”, Dec. 2006.
[7] IEC, “IEC 61882: Hazard and operability studies (HAZOP studies) – Application guide”, May 2001.
[8] O. Løkberg, K. Øien, “Fordeling av Tolerable Hazard Rates i signalanlegg”, Rapport STF90 F05136, Sintef IKT, 2005-11-15.
[9] FOR 2008-02-29 nr 240: “Forskrift om togfremføring på det nasjonale jernbanenettet (togframføringsforskriften)”.