Bakgrunn
I aktivitetene for tilsyn og tillatelser har Statens jernbanetilsyn (SJT) funnet at flere jernbanevirksomheter har hatt mangler i sine risikovurderinger. En del av manglene går igjen hos flere virksomheter. Denne veilederen er ment å hjelpe virksomheter med å etterkomme kravene i jernbanelovgivningen.
Omfang
Veilederen er ment for jernbanevirksomheter på jernbanenettet. Den er ikke uttømmende. Den peker på de mest sentrale kravene til risikovurderinger i regelverket.
Det er viktig at den enkelte jernbanevirksomhet har et sikkerhetsstyringssystem tilpasset egen aktivitet, art og omfang, og at alle elementene i sikkerhetsstyringssystemet henger sammen.
Forslag til sjekkliste
Til høyre er et eksempel på en sjekkliste som kan lastes ned. Den har kontrollspørsmål en virksomhet kan svare på for å sikre at den etterlever jernbanelovgivningens krav til risikovurderinger. Utgangspunktet for innholdet er de mest sentrale regelverkskrav og publiserte veiledninger fra Det europeiske jernbanebyrået (ERA). SJT bruker lignende sjekklister i tilsyn med risikostyring.
Sentrale regelverkskrav
Krav til risikovurderinger finnes blant annet i disse tre forskriftene:
Forskriften har overordnede krav til risikovurderinger. Her står det blant annet at jernbanevirksomhetene skal ha et sikkerhetsstyringssystem med framgangsmåter og metoder for risikovurdering og gjennomføring av tiltak for risikohåndtering.
Forskriften stiller flere detaljerte krav til planlegging, gjennomføring, oppfølging og oppdatering av risikovurderinger.
Forskriften stiller spesielle krav til risikovurderingsprosessen når det er snakk om vesentlige endringer.
Mangler i risikovurderinger
Dette er eksempler på avvik vi finner i aktiviteter for tilsyn og tillatelser:
- manglende identifisering av vesentlig sikkerhetsrisiko
- mangler i identifisering av omfang for analysen
- mangelfull identifisering av risiko som følge av at ikke alle relevante interessenter er inkludert
- manglende eller mangelfull dokumentering av risikovurderinger
- mangel på identifisering av sikkerhetstiltak
- manglende gjennomføring av sikkerhetstiltak
- mangler i informasjon til personalet og eksterne berørte parter om risiko
- risikoakseptkriterier som ikke er tilpasset nivået til den aktuelle risikovurderingen
- manglende oppdatering av risikovurderinger
- manglende evaluering av sikkerhetstiltak
Mangler knyttet til kravene i CSM RA-forskriften
Dette er eksempler på avvik fra kravene i CSM RA-forskriften vi finner i aktiviteter for tilsyn og tillatelser:
- Mangler i gjennomføring av vesentlighetsvurdering.
- Relevante interessenter er ikke tatt med i vesentlighetsvurderinger.
- Manglende vesentlighetsvurdering, enten ved at den ikke gjøres eller at den feilaktig konkluderer med at endringen ikke er signifikant.
- Virksomheten gjennomfører kun risikovurdering når vesentlighetsvurdering konkluderer med at endringen er vesentlig.
- Henvisning til en regel eller prosedyre, uten at det tydelig er vist til at regelen svarer ut den aktuelle risikoen.
- Risiko svares ut ved å peke på et referansesystem, men det er grunnleggende forskjeller på referansesystemet og system som er under vurdering, for eksempel i miljøet rundt eller operasjonelle forhold.
- Misbruk av begrepet «allment akseptert risiko».
Vurdering av risiko
Risikovurderinger er kjernen i sikkerhetsstyringssystemet. Kravene sier at jernbanevirksomheten må kunne vise hvordan deres systemer identifiserer farer, vurderer risiko og håndterer den risiko de står overfor. Jernbanevirksomheten skal planlegge og gjennomføre risikovurderinger som er nødvendige for å fastslå om driften av virksomheten er innenfor akseptabel risiko. Dette må skje systematisk og koordinert gjennom alle virksomhetsfaser.
Regelverket krever også at jernbanevirksomhetene skal kunne vise hvordan de bruker resultatet av risikovurderinger til å forbedre styring av risiko og hvordan de følger med på effekten av de risikoreduserende tiltakene som besluttes.
- Systemdefinisjon – en beskrivelse av hva risikovurderingen skal omhandle.
- Valg av en anerkjente og hensiktsmessig metode for å vurdere problemstillingen.
- Tilstrekkelig og gjerne ulik kompetanse hos de som skal utføre risikovurderingen, både om den aktuelle analysemetoden og om farene og problemstillingene som skal vurderes.
- Planlegging ved å definere rammer, systembeskrivelse, innledende analyse og problemformulering.
- Vurdering av formål, forutsetninger, for eksempel fra tidligere og tilgrensende risikovurderinger, og avgrensninger for analysen.
- Vurderinger ut ifra et tilstrekkelig og relevant dataunderlag, for eksempel fra avviksrapportering, hendelsesrapportering, vedlikeholdshistorikk, og interne/eksterne revisjoner.
- Vurdering av om risikoforhold som oppstår som følge av andre jernbanevirksomheter og tredjeparts virksomheter, må med i vurderingen.
- Gjennomføring av risikovurderingens alle faser: fareidentifisering, årsaksanalyse, sannsynlighetsanalyse, konsekvensanalyse, risikobeskrivelse eller bilde og eventuelle forslag om nødvendige tiltak.
- Identifisere og vurdere farene knyttet til virksomhetens drift før den settes i gang, og ved endringer som kan påvirke risikoen.
- Identifisere muligheter for enkeltfeil som kan føre til ulykker, og identifisere behovet for å etablere barrierer mot enkeltfeil.
- Begrense mulige skader og ulemper når planlagte oppgaver utføres.
- Dokumentere at en oppgave er planlagt sikkert.
- Gi virksomhetens beslutningstakere forslag til tiltak for å utføre oppgaven/endringen sikkert.
- Vise at sannsynligheten for jernbaneulykker, alvorlige jernbanehendelser og jernbanehendelser er på et akseptabelt nivå.
- Vise at virksomheten drives sikkerhetsmessig forsvarlig ved å dokumentere at alle virksomhetens aktiviteter med betydning for trafikksikkerheten er omfattet av en risikovurdering.
Eget krav til risikovurderinger ved vesentlige endringer
I tillegg til det generelle kravet om at jernbanevirksomheter må gjennomføre risikovurderinger for å ha kontroll med risiko, er det krav om risikovurderinger når virksomheten skal gjennomføre tekniske, operasjonelle eller organisatoriske endringer som er vesentlige.
Virksomheten må dokumentere om endringen er vesentlig eller ikke. Dersom konklusjonen er at endringen er vesentlig, må virksomheten følge kravene til risikovurdering i CSM RA-forskriften.
Kravene i CSM RA-forskriften skal være en integrert del av sikkerhetsstyringen i virksomheten. Denne veilederen går ikke inn i metoden for risikovurdering etter CSM RA. Vi viser til veiledere fra ERA.
Kriterier for å vurdere vesentlighet:
Addisjonalitet er et prinsipp som kan utvide omfanget av hva som skal inkluderes i signifikansvurderingen. Det er naturlig å vurdere dette kriteriet først. Hvis det er gjennomført endringer i samme system tidligere, og disse endringene da ble vurdert som ikke signifikante, må de likevel tas med i vurdering av en samlet endringer fordi de er i samme system. Den samlede endringen vil være signifikant.
For å få et bilde av feilkonsekvenser er det viktig å vurdere usikkerheten som følger med endring og konsekvens ved feil. Nøkkelspørsmål er:
- Hva er det verste som kan skje som følge av å innføre den foreslåtte/planlagte endringen?
- Hvor stor er usikkerheten som følge av nyskaping og kompleksitet i den foreslåtte/planlagte endringen?
Nyskapende endring omfatter usikkerhet som oppstår som følge av at løsningene ikke er prøvd før den skal vurderes. Det gjelder også om det er kjente løsninger som anvendes på nye måter, for eksempel kjente løsninger som ikke er brukt på jernbane i Norge, eller kjente løsninger som er satt sammen på en måte som ikke er prøvd før.
Sammen med nyskapning må kompleksiteten ses på som et uttrykk for usikkerhet forbundet med endringen. Jo større grad av nyskapning og kompleksitet, jo større sjanse for at systemet oppfører seg på en uventet eller uønsket måte, og dermed større sannsynlighet for at den må vurderes som signifikant.
Nøkkelspørsmål om overvåking:
- Er det mulig å overvåke den innførte endringen gjennom hele systemets levetid?
- Er det mulig å gjennomføre tiltak basert på overvåkingen eller oppfølgingen som planlegges gjennomført?
- Er det mulig å identifisere eller oppdage feil som oppstår som følge av endring tidsnok?
- Vil det være mulig å iverksette hensiktsmessige tiltak tidsnok til å ha kontroll på risiko?
For mer komplekse systemer vil det være relevant å vurdere om det er hensiktsmessig og mulig å «bygge inn» en overvåking som varsler om farer eller feil tidlig nok til å gjøre tiltak for å hindre eller redusere konsekvens av feil, avvik eller svakheter som er introdusert sammen med endringen. Overvåking kan for eksempel være teknisk, men da skal samtidig operasjonelle rutiner og prosedyrer vurderes.
Reversibilitet innebærer å vurdere om det – ved feil og farer som bringer systemet ut av kontroll – er mulig å gå tilbake til en tilstand med kontroll på systemet. Reversibilitet må ses i sammenheng med evnen eller muligheten til å overvåke systemet etter endring.
Reversibilitet betyr ikke nødvendigvis mulighet til fysisk å gå tilbake til systemet slik det var før endring. Det er kun reversibilitet på det som påvirker det jernbanetekniske systemet som skal vurderes. Reversibilitet kan også vurderes for deler av prosessen, for eksempel ved beslutningspunkter.