beurteilung potenzieller sicherheitsmängel...

Beurteilung potenzieller Sicherheitsmängel –Weiterentwicklung der DIN VDE V 0831-10011. Workshop SiT - Safety in Transportation

DB Netz AG | Rainer Beck | I.NPS 51 | 04./05.12.2018

Einleitung zur DIN VDE V 0831-100: Hintergrund

2

Ein potenzieller Sicherheitsmangel (PSM) liegt vor, wenn eine Abweichung vom spezifizierten Normalverhalten einer sicherheitsrelevanten Funktion vorliegt bzw. ein entsprechender Verdacht besteht.

Durch einen PSM kann ein betrieblich unsicherer Zustand verursacht werden.

Es muss kurzfristig bewertet werden, wie hoch das Risiko des (Wieder-)Eintritts des PSM ist und welche (Sofort-)Maßnahmen ggf. ergriffen werden müssen, um mindestens gleiche Sicherheit bis zur Behebung des PSM zu gewährleisten.

DB Netz AG | Rainer Beck | I.NPS 51 | 04./05.12.2018

Schadensereignis /Schaden

Vom PSMbetroffeneFunktion

TechnischeRandbedingungen

RandbedingungenBetriebliche

BetrieblichunsichererZustand

MenschlicheGefahrenabwehr

Einleitung zur DIN VDE V 0831-100: Zielstellung

3 DB Netz AG | Rainer Beck | I.NPS 51 | 04./05.12.2018

Die Vornorm beschreibt Verfahren für die robuste Entscheidungsfindung nach der Offenbarung eines potenziellen Sicherheitsmangels in einem System und gibt Anleitung, wie diese Verfahren angewandt werden können, indem

die notwendigen Verfahrensschritte zur Durchführung einer Bewertung bereitgestellt werden,

geeignete Benennungen, Voraussetzungen, Maßgrößen für die Ausfall-Kritizität von PSM sowie die Beurteilung von risikoreduzierende Maßnahmen (RM) genannt werden,

grundlegende Prinzipien erklärt werden,

Beispiele für die notwendigen Arbeitsblätter oder andere Tabellenformen bereitgestellt werden.

Zuständigkeiten / Gremien


Deutsche Kommission Elektrotechnik Elektronik

Informationstechnik im DIN und VDE

Komitees:...DKE/K 351 Elektrische Ausrüstungen für Bahnen...

Unterkomitees:DKE/UK 351.1 FahrzeugeDKE/UK 351.2 Ortsfeste AnlagenDKE/UK 351.3 Bahn-Signalanlagen

Arbeitskreise:• DKE/AK 351.3.1 Software• DKE/AK 351.3.2 Elektronische Systeme• DKE/AK 351.3.3 Universelles Sicherheitsprotokoll nach

EN 50159• DKE/AK 351.3.4 Nahverkehr• DKE/AK 351.3.6 Semi-quantitative Methoden zur

Risikoanalyse technischer Funktionen in der Eisenbahnsignaltechnik

• DKE/AK 351.3.7 Security Anforderungen an signaltechnische Einrichtungen

• DKE/AK 351.3.8 Revision EN 50129• DKE/AK 351.3.9 Leittechnik (GAA 9.7)

Weiterentwicklung der DIN VDE V 0831-100


Motivation Eine Vornorm ist regelmäßig (mindestens alle 3 Jahre) daraufhin zu überprüfen, ob sie zu

überarbeiten ist.

Die derzeit gültige Ausgabe stammt aus dem Jahr 2009 und die bisherigen Anwendererfahrungen sollten in eine Weiterentwicklung einfließen.

Es war beabsichtigt, ein europäisches Normungsverfahren für den Anwendungsbereich der Vornorm zu starten und hierfür sollte eine „konsolidierte“ Version ohne kurzfristigen Änderungsbedarf als Grundlage vorgelegt werden können.

Aktivitäten 2018 Erstellung eines Entwurfes

Entwurf wurde für verkürztes Stellungnahmeverfahren veröffentlicht.

Frist für Stellungnahmen endete am 03.10.2018.

Der zuständige Arbeitskreis DKE/AK 351.3.6 hat Empfehlungen für die Behandlung der Einsprüche am 17.10.2018 erarbeitet.

Weiterentwicklung der DIN VDE V 0831-100


Wesentliche Änderungen Konkretisierung Anwendungsbereich;

Anforderung, dass alle Entscheidungen von einem Expertenkreis zu beschließen sind;

Festlegung zum Beginn des Verfahrens;

Anpassung von Formulierungen an geänderte Bezugsdokumente (insbes. VO (EU) Nr. 402/2013);

Weiterentwicklung des im Anhang B (bisher informativ, neu normativ) beschriebenen Verfahrens PSM-RPZ

Muster für die Bewertung eines PSM im neuen Anhang D (informativ).

Konkretisierung Anwendungsbereich


Klarstellung, dass die Vornorm nur bei potenziellen Sicherheitsmängeln angewendet werden darf und nicht als Ersatz für Sicherheitsanalysen.

Konkretisierung, dass die Anwendbarkeit auch für Systeme / Teilsysteme / Einrichtungen gegeben ist, wenn (äquivalent zur SIL-Einstufung nach den Regelungen in DIN EN 50126-1 und DIN EN 50129) ein SIL auf Basis der Sicherheitsfunktion abgeleitet werden kann.

Dies stellt auch klar, dass die Vornorm ebenfalls anwendbar ist, wenn die Entwicklung nicht nach den genannten Normen erfolgt ist

Beispiel: Funktion »Zugstraßensicherung« in einem Relaisstellwerk signaltechnisch sichere Funktion, es kann SIL 4 angenommen werden

Expertenkreis


Definition

Änderungen Expertenkreis bisher eher nur optional; neu: »zentrales Gremium« für das Treffen von

Entscheidungen im Zusammenhang mit allen Fragen zum PSM

Mindestanzahl von 3 Personen wurde als sinnvoll angesehen: »Mehraugenprinzip« und Möglichkeit im Zweifelsfall ein eindeutiges Abstimmungsergebnis zu erzielen

Ergänzung aus Einspruchsberatung: Festlegung, dass neben dem Hersteller zwingend ein Vertreter des Betreibers im Rahmen der Betreiberverantwortung zu beteiligen ist und die Aufsichtsbehörde einbezogen werden sollte.

3.4ExpertenkreisGremium aus mindestens 3 Fachleuten [Änderung nach Einspruchsberatung], das sicherheitliche Einschätzungen durchführt

Anmerkung 1 zum Begriff: In der Regel ist der für das Fachgebiet (die Funktion) zuständige Gutachter Mitglied im Expertenkreis.

Start des Prozesses und Abschluss des Verfahrens


Klarstellung, dass der Behebungszeitraum mit der Einstufung eines Sachverhalts als PSM beginnt –d.h. nicht mit dem erstmaligen Auftreten eines PSM.Hintergrund: Es ist oftmals ein entsprechender Analyse- und damit Zeitaufwand erforderlich. Bei kurzen Behebungszeiträumen (ergeben sich häufig bei Funktionen mit hoher Anforderung an deren Sicherheitsintegrität) wäre dieser mit Ende der Analyse ggf. bereits überschritten. Somit würde das Verfahren hier kein sinnvolles Ergebnis liefern.

»Spezieller Anwendungsfall«: Vorgehensweise, wenn PSM innerhalb der ermittelten Frist nicht behebbar und/oder die Ursache nicht ermittelbar ist. Hier wird eine einzelfallbezogene Abstimmung mit Beteiligung der / Entscheidung durch die Aufsichtsbehörde notwendig. Daher kein Normungsgegenstand.

Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (1)


Abschätzung der Häufigkeit des PSMKlarstellung: Bewertet wird die Häufigkeit des Auftretens eines PSM bei einer Funktion, d.h. die Anzahl betroffener Elemente (z.B. Anzahl in Betrieb befindlicher Stellwerkes der betreffenden Bauform) bleibt unberücksichtigt.

Tabelle B.1 wird mit einer Spalte ergänzt, in der die Häufigkeit in der »gängigen« Einheit 1/h dargestellt ist.

Änderungnach

Einspruchs-beratung

ANMERKUNG: Die Spalte »Erläuterung« dient der zusätzlichen Orientierung; maßgebend ist die Spalte »H [1/h]«.



Erweiterung des zulässigen Behebungszeitraumes Bisher maximal 60 Monate, neu 120 Monate und Erweiterung auf maximal 360 Monate

Ergänzung aus Einspruchsberatung: Wurde ein Behebungszeitraum von mehr als 36 Monaten ermittelt, so ist alle 3 Jahre der Stand der Umsetzung der Maßnahmen und alle 5 Jahre die Aktualität der zu Grunde liegenden Randbedingungen / Annahmen zu prüfen.



Verfahren zur Entscheidung über die Notwendigkeit risikoreduzierender MaßnahmenNeu: Zusätzliche Prüfung auf Notwendigkeit risikoreduzierender Maßnahmen in Abhängigkeit von

dem zu erwartenden Schadensausmaß,

der Sicherheitsintegrität der betroffenen Funktion,

der Identifizierung des PSM im Feld oder im Labor,

der ermittelten Häufigkeit des Auftretens des PSM.

Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (4a)


Ermittlung des SchadensausmaßesNeu: Tabelle mit Unfallklassen und Ereignisarten (entsprechend Tabelle 4 in DIN VDE V 0831-103)

Hinweis: Teil 1 nicht dargestellt.

Änderungnach

Einspruchs-Beratung

siehe Folgeseite

Weiterentwicklung des Bewertungsverfahrens PSM-RPZ (4b)


Ermittlung des SchadensausmaßesÄnderung nach Einspruchsberatung: Tabelle mit Unfallklassen, »maßgebendem Schadensausmaß« und typischen Ereignisarten (entsprechend Tabelle 4 in DIN VDE V 0831-103)



Bewertung risikoreduzierender MaßnahmenRisikoreduzierende Maßnahmen (RM) können ihre Wirkung in folgenden Bereichen haben:

im Bereich Häufigkeit (Tabelle B.1),

im Bereich Schadensausmaß (Tabelle B.3),

im Bereich Gefahrenabwehr (Tabelle B.5).

bei GRM i.d.R. nicht zutreffend !



Ermittlung des Behebungszeitraums unter Berücksichtigung der Wirksamkeit risikoreduzierender Maßnahmen (WRM)Formel: WRM = GRM + S

Beispiel:

Für einen PSM bei einer SIL 3-Funktion sei ein Behebungszeitraum von einem Monat ermittelt worden. Es wurden RM eingeführt und deren Wirksamkeit mit dem Wert 4 bewertet. Somit verlängert sich der zulässige Behebungszeitraum auf 120 Monate.

Muster für die Bewertung eines PSM (Teil 1)


Neuer Anhang D (informativ)

Basis: unternehmensinterne Unterlagen der Anwender

Aufbau: Allgemeine Angaben zum PSM und zum Expertenkreis (s. dargestellten Auszug) und Darstellung der Tabellen zum Verfahren nach Anhang B.

Muster für die Bewertung eines PSM (Teil 2)


...

Ausblick


Entscheidung über Veröffentlichung der revidierten Version der Vornorm (einschließlich Änderungen aus Einspruchsberatung) wird im Unterkomitee DKE/UK 351.3 bei der nächsten Sitzung (04/2019) getroffen.

Stand europäisches Normungsvorhaben (CENELEC): Empfehlung des Convenors der WG21 an TC9X, keine Aktivitäten zu starten, sondern Erfahrungen mit der Anwendung der revidierten EN 50126x abzuwarten. Begründung u.a.:

Die Prinzipien für die Behandlung eines PSM sind die gleichen, wie die für Risikobewertungen in der EN 50126x definierten.

Statistischer Ansatz wird in einigen Ländern nicht verwendet.

Die meisten Anwender haben bereits eigene Methoden implementiert; damit kein Bedarf nach einer Standardisierung in Europa.

Somit ggf. Überführung der Vornorm in eine DIN.

Vielen Dank für Ihre Aufmerksamkeit

beurteilung potenzieller sicherheitsmängel...

Documents