Nawigacja

Praktyczne stosowanie wspólnej metody oceny bezpieczeństwa

W ramach funkcjonowania systemów zarządzania bezpieczeństwem - SMS i utrzymaniem - MMS, przewoźnicy kolejowi, zarządcy infrastruktury oraz podmioty odpowiedzialne za utrzymanie (ECM) mają obowiązek prowadzić proces zarządzania zmianami, które mają wpływ na bezpieczeństwo systemu kolejowego.

Rozporządzenie Komisji Europejskiej 402/2013 ma na celu ujednolicenie metod przeprowadzania oceny ryzyka, w tym stosowania środków bezpieczeństwa w przypadku zmiany warunków prowadzenia działalności lub wprowadzania nowego materiału, tzw. „zarządzanie zmianą”.

Rozporządzenie zobowiązuje przedsiębiorców do oceny każdej zmiany przede wszystkim pod względem wpływu na bezpieczeństwo. Przez „wpływ na bezpieczeństwo” rozumiemy takie działanie (zmianę), które bezpośrednio lub pośrednio oddziałuje na system, wpływając na poziom ryzyka. Oddziaływanie na system może dotyczyć zarówno systemu zarządzania przedsiębiorstwa, jak również systemu kolejowego.   

Przy zmianach ocenianych jako mające wpływ na bezpieczeństwo należy zdecydować o ich znaczeniu w oparciu o sześć kryteriów określonych w rozporządzeniu 402/2013:

  1. skutki awarii,
  2. monitorowanie,
  3. innowacyjność,
  4. złożoność,
  5. odwracalność,
  6. dodatkowość.

Każdorazowo decyzję o klasyfikacji zmiany jako znaczącej lub nieznaczącej należy uzasadnić wskazując konkretne wnioski z przeprowadzonych analiz.

Przede wszystkim należy analizować zmiany w procesach. Wynikające z nich zmiany w dokumentacji mają natomiast charakter wtórny. Kiedy określamy, czego dotyczy zmiana, należy uwzględnić w pierwszej kolejności proces, a nie zmianę zapisu w procedurze lub księdze. Dla przykładu, w przypadku planowanej zmiany cyklu przeglądowo-naprawczego, zmiana w systemie, którą należy ocenić „wydłużenie cyklu przeglądowo naprawczego na poziomie P3 z 1 roku do 2 lat”, a nie aktualizację dokumentacji systemu utrzymania. Aktualizacja dokumentacji jest następstwem wprowadzenia zmiany, a nie jej przedmiotem.

Zmiany zasadniczo klasyfikuje się jako techniczne, organizacyjne lub eksploatacyjne. Należy jednak pamiętać, że zmiany mogą mieć również charakter mieszany, np. zmiana techniczna może wpływać również na aspekty organizacyjne lub eksploatacyjne.

Przykładem zdarzenia, do którego, doszło m.in. z uwagi na nieuwzględnienie skutków wprowadzonej zmiany technicznej, był wypadek na przejeździe kolejowym kat. A na szlaku Piotrków Trybunalski – Rozprza. Zmiana dotyczyła przywrócenia maksymalnej prędkości na odcinku linii kolejowej po rewitalizacji. Z uwagi na brak analizy możliwych skutków takiej zmiany, nie zidentyfikowano zagrożeń związanych z organizacją pracy. Zwiększenie maksymalnej prędkości na linii skróci czas na powiadomienie dróżnika o nadjeżdżającym pociągu. W wyniku takiego błędu w zdarzeniu zginął kierujący samochodem.

Kolejnym przykładem, zmiany technicznej, która ma również charakter eksploatacyjny jest np. wprowadzenie do eksploatacji pojazdu trakcyjnego po modernizacji. Modernizacja pojazdu obejmowała m.in. zwiększenie siły hamowania. Z uwagi na brak oceny ryzyka wiązanej z eksploatacja zmodernizowanego pojazdu maszynista nie wiedział o zwiększeniu siły hamowania, co bezpośrednio mogło zagrażać bezpieczeństwu w ruchu kolejowym oraz bezpieczeństwu pasażerów. W przypadku zmian technicznych związanych z inwestycjami infrastrukturalnymi, modernizacjami albo zakupem taboru, proces analizy związanej z bezpieczeństwem należy rozpocząć już na etapie projektowania, a następnie kontynuować na etapie realizacji oraz wdrożenia do eksploatacji.

Proces zarządzania zmianą jest ściśle powiązany z oceną ryzyka, ponieważ może ona posłużyć jako narzędzie do rzetelnego określenia znaczenia zmiany.

Proces oceny ryzyka zasadniczo składa się z:

gdzie:

  • analiza ryzyka to systematyczne wykorzystywanie wszystkich dostępnych informacji do identyfikowania zagrożeń i szacowania ryzyka;
  • szacowanie ryzyka to przypisanie „wagi” dla poszczególnych parametrów ryzyka, np. prawdopodobieństwa, skutków, wykrywalności, a następnie na ich podstawie określenia poziomu ryzyka;
  • wycena ryzyka to ocena, czy określony poziom ryzyka w konkretnym funkcjonującym systemie jest dopuszczalny, czy poziom ten został przekroczony (przyrównując osiągniętą wartość ryzyka do wartości ryzyka, jaka uznana została za progową);
  • środki bezpieczeństwa to konkretne działania, które są podejmowane lub które należy podjąć w przypadku zidentyfikowanego zagrożenia, dla utrzymania ryzyka na poziome dopuszczalnym. W przypadku, gdy poziom ryzyka przekracza poziom dopuszczalny, należy określić dodatkowe środki bezpieczeństwa czyli takie, które przyczynią się do obniżenia wartości ryzyka.

Środki bezpieczeństwa powinny być określane dla każdego zidentyfikowanego zagrożenia. Są to działania podejmowane w codziennej pracy, stale utrzymujące ryzyko na poziomie dopuszczalnym.

Środki bezpieczeństwa należy formułować w taki sposób, aby określały konkretne działania, których wynik w sposób ilościowy można wykorzystać w trakcie procesu monitorowania ich wdrożenia i oceny skuteczności. Przykładowo dla zidentyfikowanego zagrożenia „nieprawidłowe wypełnienie karty pomiarowej ramy wózka” często formułowanym środkiem bezpieczeństwa jest „bieżący nadzór”. Takie sformułowanie nie określa osoby odpowiedzialnej, częstotliwości ani zakresu nadzoru, więc nie może podlegać monitorowaniu. Sformułowanie środka bezpieczeństwa poprzez np. „zwiększenie liczby audytów w obszarze nadzoru nad dokumentacją dotyczącą utrzymania do 1 na kwartał, zgodnie z procedurą audytu”, pozwala stwierdzić, że proces będzie powadzony w oparciu o konkretną procedurę określającą przebieg procesu audytu oraz poszczególne odpowiedzialności, a dane wejściowe do monitorowania będą dostępne raz na kwartał.

Formułowanie stosowanych środków bezpieczeństwa, jako „bieżący nadzór”, nie umożliwia systemowego zarządzania ryzykiem ponieważ jest niemierzalne.

Każda zmiana w systemie może mieć wpływ na wcześniej zidentyfikowane zagrożenia lub może generować nowe. Kryteria oceny znaczenia zmiany zostały tak dobrane, aby podczas analizy wziąć pod uwagę wpływ danej zmiany na wszystkie aspekty prowadzonej działalności w ramach funkcjonujących systemów.

Podczas dokonywania oceny należy skupić się na analizie zagrożeń, odnosząc się do sześciu kryteriów oceny znaczenia zmiany, a zagrożenia, ich źródła oraz środki bezpieczeństwa powinny być sformułowane precyzyjnie oraz adekwatnie do zidentyfikowanych problemów. 

Rozporządzenie nie określa, ile kryteriów musi być spełnionych, aby uznać zmianę za znaczącą lub nieznaczącą. W praktyce oznacza to, że analiza znaczenia zmiany powinna być tak wykonana, aby w oparciu o konkretne wyniki podjąć decyzję co do znaczenia zmiany. Podczas analizy zmiany nie należy dzielić jej na obszary, np. strukturalny, eksploatacyjny, gdyż może to doprowadzić do „rozdrobnienia” ryzyka. Podczas analizy istotna jest również identyfikacja zależności i powiązań pomiędzy poszczególnymi obszarami jak również wpływu systemu zarządzania na system kolejowy. Należy pamiętać, że spełnienie nawet jednego z kryteriów może przesądzić o decyzji czy zmiana jest znacząca.

Dla przykładu przy analizie kryterium skutków awarii pomocna jest identyfikacja nowych zagrożeń, jakie mogą spowodować wprowadzenie zmiany (w tym przewidywanych skutków tych zagrożeń) oraz wpływu zmiany na już zidentyfikowane zagrożenia w systemie. Natomiast kryterium dotyczące monitorowania to nic innego jak określenie metod kontrolowania poziomu ryzyka dla zagrożeń powiązanych ze zmianą i określania konieczności wdrożenia dodatkowych środków bezpieczeństwa. Ocena kryterium złożoności to określenie m.in. oddziaływania zmiany na procesy funkcjonujące w firmie, a analiza zmiany pod względem innowacyjności to proces, w którym odnosimy się do funkcjonujących już rozwiązań zarówno w organizacji jak i poza nią, w tym pod kątem stosowanych już środków bezpieczeństwa.

Niezależnie czy zmiana została oceniona, jako znacząca czy nieznacząca, w ramach obowiązku okresowej aktualizacji oceny ryzyka należy przeanalizować wpływ zmiany na istniejące zagrożenia oraz zidentyfikować nowe.

Obowiązek aktualizowania oceny ryzyka wynika z definicji analizy ryzyka zawartej w rozporządzeniu 402/2013, która definiuje analizę ryzyka, jako „systematyczne wykorzystywanie wszystkich dostępnych informacji do identyfikowania zagrożeń i szacowania ryzyka”. Ponadto odnosi się do tego również kryterium K.2 z rozporządzenia 1158/2010, które mówi o tym że cele bezpieczeństwa mają być opracowane w oparciu o odnośne ryzyko w organizacji. A cele te są określane w programach poprawy bezpieczeństwa, które podmioty opracowują w cyklach rocznych.

Podejście do oceny zmiany poprzez proces zarządzania ryzykiem pozwoli na kompleksowe spojrzenie na zmianę oraz identyfikowanie wpływu zamiany na wszystkie procesy w systemie. Zarządzanie zmianą to jeden z filarów proaktywnego zarządzania bezpieczeństwem. Jest to proces, na który oprócz samej oceny ryzyka składa się również monitorowanie, a co za tym idzie bieżące reagowanie na skuteczności tego procesu.

Dlatego też Prezes UTK zaleca, już na etapie oceny znaczenia zmiany, prowadzenie oceny ryzyka oraz monitorowanie skuteczności wdrożonych środków bezpieczeństwa.

Podstawa prawna:

Rozporządzenie Komisji (UE) nr 402/2013 z dnia 30 kwietnia 2013 r. w sprawie wspólnej metody oceny bezpieczeństwa w zakresie wyceny i oceny ryzyka i uchylającym rozporządzenie (WE) nr 352/2009 (Dz. Urz. UE L 121 z 03.05.2013, str. 8 z późn. zm.)

 

do góry