PDF to HTML - Convert PDF files to HTML files

Transportudvalget 2014-15 (1. samling)
TRU Alm.del
Offentligt

Working together

for a safer world

Enmandsbetjening - Nordjylland

CSM-RA Sikkerhedsvurderingsrapport

for DSB

11-07-2014

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Document history and authorisation

Issue

Date

21-03-2014

11-07-2014

Changes

Første udgave

Anden udgave

Compiled by:

Signed:

Katrine Frellsen

e-sig: kfz-242002/048 ................................................. Date: 11-07-2014 .....................

Verified by:

Signed:

Mark Dodsworth

e-sig: mcd-242002/047............................................... Date: 11-07-2014 .....................

Approved by:

Signed:

Mark Dodsworth

e-sig: mcd-242002/048............................................... Date: 11-07-2014 .....................

Distribution list

Name

Helena Welander

Carsten Dam Sønderbo-

Jacobsen

Lloyd’s Register Rail EMEA

Organisation

DSB

Project file

From (Issue)

To (Issue)

Current

Uncontrolled copies as required (242002rkfz140711 Enmandsbetjening NJ udgave 02)

This document was prepared for DSB. The information herein is confidential and shall not be

divulged to a third party without the prior permission of Lloyd's Register EMEA.

Lloyd’s Register EMEA, its affiliates and subsidiaries and their respective officers, employees

or agents are, individually and collectively, referred to in this clause as the ‘Lloyd’s Register

Group’. The Lloyd’s Register Group assumes no responsibility and shall not be liable to any

person for any loss, damage or expense caused by reliance on the information or advice in

this document or howsoever provided, unless that person has signed a contract with the

relevant Lloyd’s Register Group entity for the provision of this information or advice and in that

case any responsibility or liability is exclusively on the terms and conditions set out in that

contract.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

2 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Contents

Introduktion til ændringen Enmandsbetjening i Nordjylland .................................................................. 4

1.1 Rapport struktur..................................................................................................................................... 4

1.2 Omfang af assessment ......................................................................................................................... 4

1.3 CSM-RA Risikostyringsproces .............................................................................................................. 5

1.4 Assessor Team ..................................................................................................................................... 6

1.5 Metode .................................................................................................................................................. 7

Det gennemførte assessment ..................................................................................................................... 8

2.1 Planlægning af risikostyringsprocessen ................................................................................................ 8

2.2 Systemdefinitionen ................................................................................................................................ 9

2.3 Fareidentifikation ................................................................................................................................. 10

2.4 Fareklassifikation................................................................................................................................. 12

2.5 Risikovurdering og fareregister ........................................................................................................... 12

2.6 Opfyldelse af sikkerhedskravene ........................................................................................................ 14

Konklusion .................................................................................................................................................. 16

Referencer ................................................................................................................................................... 18

Appendices

Appendix A

Appendix B

Appendix C

Appendix D

List of Figures

Figur 1: CSM-RA Risikostyringsproces ................................................................................................................... 6

List of Tables

Tabel 1: Overblik over Safety Notices ..................................................................................................................... 8

Tabel 2: DSBs deltagere ved fareidentifikation ..................................................................................................... 11

Oversigt over Safety Notices

Assesseret dokumentation

DSB’s dokumentliste, beviser for sikkerhedskrav

Klassifikation af observationer

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

3 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Introduktion til ændringen Enmandsbetjening i Nordjylland

DSB ønsker, ud fra forretningsmæssige overvejelser, at udvide kørsel med enmandsbetjente tog af

typerne MR, MF og MG. på TIB strækning 24 og 25 i Nordjylland, hvor togene hidtil har været betjent

med togpersonale, og kun undtagelsesvis har kørt uden togpersonale om bord.

DSB’s sikkerhedsmålsætning i forbindelse med ændringen er, at DSB ønsker at fastholde eksisterende

sikkerhedsniveau efter ændring.

Enmandsbetjening indebærer, at der ikke mere medgives togfører og at togførerens

sikkerhedsmæssige opgaver overføres til lokoføreren. Yderligere er enmandsbetjening i Nordjylland et

led i DSB’s plan om at indføre Enmandsbetjening på flere strækninger, bl.a. på Kystbanen.

Dette assessment er en fortsættelse af et forløb, der blev afsluttet med sikkerhedsvurderingsrapport

udstedt 21. marts 2014[18].

DSB identificerer fire sikkerhedsrelaterede funktioner der er relevante for ændringen i

systemdefinitionen [3]:



Afgangsprocedure (Passagersikkerhed og andre forhold under ud- og indstigning.)

Evakuering

Hændelser i toget (indrapportering af fejl på toget)

Afslutning af tog

Ansvaret for disse sikkerhedsfunktioner overføres gennem ændringen fra togfører til lokofører.

DSB har allerede en procedure i sikkerhedsledelsessystemet ’Sikkerhedsmæssige forudsætninger for

kørsel uden togfører’[4], som ligger til grund for introduktionen, herunder en standard ’Gennemførelse

af strækningsbesigtigelse forud for kørsel uden togfører’[5].

DSB har vurderet, at kørsel uden togfører i Nordjylland er en signifikant ændring i jernbanesystemet og

at der derfor skal gennemføres risikovurdering af ændringen ifølge CSM RA[1].

1.1

Rapport struktur

Denne sikkerhedsvurderingsrapport er struktureret på følgende måde:

Sektion 1

Sektion 2

Sektion 3

Sektion 4

Appendiks

Overblik over projektet samt beskrivelse af CSM-RA assessorens scope og metode.

Opsummering af gennemførte aktiviteter i forbindelse med den uafhængige vurdering.

CSM-RA assessorens konklusioner.

Dokumentreferencer.

Detaljer om de udarbejdede spørgsmål/svar skemaer (Safety Notice), som

dokumenterer den uafhængige vurdering, samt assesseret dokumentation.

1.2

Omfang af assessment

Assessment er foretaget på baggrund af DSB’s definition af systemet:

”Litra MF, MG og MR vil ved maksimal længde af 90 meter blive fremført uden togfører på

strækningerne 24 og 25”[3]

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

4 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Omfanget af denne sikkerhedsvurderingsrapport er assessment i henhold til CSM RA, dvs. assessors

vurdering af forslagsstillers risikostyringsproces, som forslagsstiller har anvendt til at vurdere

sikkerhedsniveauet og opfyldelse af de identificerede sikkerhedskrav. Dette indebærer en vurdering af,

om risikostyringsprocessen, der er beskrevet i CSM RA, er fulgt og dokumenteret, herunder at

sikkerhedskravene er dækkende og opfyldt og at ændringen kan implementeres sikkert i

jernbanesystemet.

Assessors vurdering foretages på baggrund af den dokumentation, DSB som forslagsstiller har

fremlagt.

Sikkerhedsvurderingsrapporten skal understøtte DSB’s indførsel af Enmandsbetjening på TIB

strækninger 24 og 25 med litra MG, MF og MR.

Assessment er afgrænset af systemdefinitionen [3], der skal definere systemet før og efter ændringen

og fastlægge grænseflader til andre systemer samt identificere relevante vekselvirkninger mellem

systemerne. Assessor har søgt DSB’s demonstration af, at relevante farer i systemet og på systemets

grænseflade er identificeret og håndteret i henhold til CSM RA og Trafikstyrelsens vejledning[19].

Der hvor ændringen har medført opdaterede procedurer i DSB’s sikkerhedsledelsessystem, har

assessor søgt DSB’s demonstration af, at de identificerede sikkerhedskrav er opfyldt, fx. i form af

opdaterede procedurer.

Afgrænsning

Der hvor et certificeret sikkerhedsledelsessystem har håndteret opfyldelse af et sikkerhedskrav, har

assessor ikke foretaget vurdering af, hvordan sikkerhedsledelsessystemet har produceret den

nødvendige evidens, men blot konstateret, om procedurer eller inspektioner er opdateret i henhold til

sikkerhedskravet.

1.3

CSM-RA Risikostyringsproces

CSM forordning 352/2009 [1] i relation til en fælles sikkerhedsmetode til risikoevaluering og vurdering

beskriver en risikostyringsproces i bilag I, som er opsummeret grafisk og gengivet i Figur 1.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

5 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Signifikansvurdering

Systemdefinition

Sikkerhedsplanlægning

Fareidentifikation og klassifikation

Risikoanalyse og evaluering

i) Anerkendt praksis

ii) Referencesystem

iii) Eksplicit risikoestimering

Dokumentation af opfyldelsen af

sikkerhedskravene

Farehåndtering og fareregister

Uafhængig assessment

Figur 1: CSM-RA Risikostyringsproces

Selvom det ikke er illustreret i ovenstående proces flowdiagram, indeholder forordningen et specifikt

krav i relation til sikkerhedsplanlægning. Dette krav fremgår af bilag I[1] i afsnit 1.1.6 og 5.2 a).

I henhold til forordningens krav i bilag I, afsnit 5.1 skal CSM-RA assessoren sammenstille den

uafhængige vurdering i en sikkerhedsvurderingsrapport (dette dokument).

1.4

Assessor Team

Lloyd’s Register Rail er godkendt som CSM-assessor i henhold til Bekendtgørelse 56 [6]. En CSM-RA

Assessor skal vurdere, om projektet har gennemført alle ændringer i jernbanesystemet i henhold til

kravene i CSM-RA forordningen.

Trafikstyrelsen har godkendt følgende assessorer i mail dateret 18-12-2013[1]:



Thomas Elklint: Projektansvarlig assessor med det overordnede ansvar for CSM-RA assessment

(fagassessor på rullende materiel).

Katrine Frellsen: CSM-RA assessor, primær ressource (lead assessor).

Roger Merryweather: Fag assessor (ikke benyttet, erstattet af Ole E. Mogensen, se nedenfor).

I løbet af projektet, af hensyn til skiftende tidsplaner, har DSB yderligere stået for godkendelsen af:

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

6 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Ole E. Mogensen (fagassessor, togdrift og regler) ref. [8]

Arvid Schjeldrup-Andersen (fagassessor på eksplicit risikovurdering) ref. [7]

Ingemar Ingemarsson (fagassessor på eksplicit risikovurdering) ref. [9].

I denne version af assessmentrapporten, har assessmentteamet bestået af: Katrine Frellsen

(leadassessor, CSM proces), Arvid Schjeldrup-Andersen (fagassessor, risikovurdering) og Thomas

Elklint (fagassessor, rullende materiel). Yderligere har Mark Dodsworh fungeret som reviewer.

1.5

Metode

Assessor har ikke udarbejdet en egentlig plan for den uafhængige vurdering, idet aktiviteterne er

tilrettelagt i henhold CSM-RA forordningens krav, som er opsummeret i forordningens tillæg.

Vurdering af forslagsstillers dokumentation er foretaget løbende, som dokumentationen er færdiggjort

og forelagt assessor. Den løbende vurdering er dokumenteret i spørgsmål/svar skemaer (Safety Notice

[Appendix A]), som er skemaer, hvor observationer kan rejses af assessor og besvares af forslagsstiller

med henvisning til relevant dokumentation.

Hvert enkelt spørgsmål/svar skema har fået tildelt et unikt reference og versionsnummer. Hver

observation har fået tildelt et entydigt nummer og er blevet kategoriseret. Appendix D indeholder en

ikke-projektspecifik definition af de forskellige kategorier, som assessor støtter sig i forbindelse med

kategorisering af observationerne.

Observationer lukkes altid på baggrund af skriftlige svar eller bevis fra projektet. Der, hvor det er anset

for hensigtsmæssig for at understøtte processen, er der afholdt møder eller telefonkonferencer med

eventuel afklaring/uddybning af udestående observationer.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

7 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Det gennemførte assessment

Assessors sikkerhedsvurdering er beskrevet i dette kapitel og består af vurdering af dokumenter og

assessors deltagelse i DSB’s workshop for fareidentifikation som observatør.

I løbet af assessment, er der udarbejdet 5 Safety Notices, der fremgår af Tabel 1. Yderligere er der

afholdt møder med DSB, for at diskutere rejste observationer i Safety Notices.

SN no.

SN007

SN008

SN009

SN010

SN011

Title

Fareidentifikation

Systemdefinition

Sikkerhedsplan

Risikovurdering og fareregister

Opfyldelse af identificerede sikkerhedskrav

Ref.

242002-EMB-SN007

242002-EMB-SN008

242002-EMB-SN009

242002-EMB-SN010

242002-EMB-SN011

Tabel 1: Overblik over Safety Notices

Appendix A indeholder en liste over Safety Notices.

Appendix B indeholder en liste over dokumenter, der er assesseret.

2.1

Planlægning af risikostyringsprocessen

Afsnit 1.1.6 i CSM RA Bilag 1 kræver, at der tidligt i forløbet fremstilles et dokument af forslagsstiller,

der identificerer de forskellige aktørers opgaver og sikkerhedsaktiviteter.

Afsnit 5.2 (a) kræver, at der foreligger et dokument, der beskriver organisationen og de eksperter, der

er udpeget til at udføre risikovurderingsprocessen.

DSB har fremlagt et dokument, Projektbeskrivelse af sikkerhedsarbejdet til indførelse af

Enmandsbetjening i Nordjylland [10].

DSB har i forbindelse med assessment i SN009 opdateret sikkerhedsplanen i forhold til assessors

observationer. Formelt set kræver CSM bilag 1, 1.1.6, at forslagsstiller skriftligt dokumenterer de

forskellige aktørers opgaver og risikostyringsaktiviteter, hvilket DSB har gjort, men assessor har ikke set

et samlet skriftligt overblik over planlægning og styring af sikkerhedsaktiviteterne i sikkerhedsplanen ref.

CSM 1.1.6 og 5.2(a).

Af DSB’s sikkerhedsledelsessystem 12-1 afsnit 4.2) fremgår det yderligere, at ”Sikkerhedsplanen er

normalt et selvstændigt dokument og vil som udgangspunkt indeholde følgende afsnit: Organisation,

Acceptkriterier, Sikkerhedsaktiviteter, Tidsplan (Milepæle) og Godkendelsesforløb”. Det beskrevne

normale selvstændige dokument er ikke forelagt for assessor.

Åbne observationer, SN009/002 og 009: Assessor efterspørger i henhold til god praksis

sikkerhedsstyringsaktiviteter som sikkerhedsmål, acceptkriterier, milepælsplan, lukning af

sikkerhedskrav mv. DSB henviser generelt til risikovurderingen og i systemdefinitionen har DSB

yderligere anført sikkerhedsmålsætningen.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

8 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Assessor er derfor ikke overbevist om, at sikkerhedsplanen er et dokument, der er brugt aktivt til

planlægning og styring af sikkerhedsaktiviteterne, idet den relevante information findes rundt omkring i

flere dokumenter, uden at sikkerhedsplanen leverer et overblik, der kan anvendes operationelt.

Assessor vurderer samlet set, at CSM’s formelle krav om skriftlig dokumentation er opfyldt, men at DSB

ikke har demonstreret, at dokumentationen som sådan er benyttet til at planlægge og styre

sikkerhedsaktiviteterne.

2.2

Systemdefinitionen

DSB har udarbejdet Systemdefinition for Indførelse af Enmandsbetjening i Nordjylland[3]. Dokumentet

definerer systemet som

”Litra MF, MG og MR vil ved maksimal længde af 90 meter blive fremført uden

togfører på strækningerne 24 og 25”.

Ændringen af jernbanesystemet beskrives heri som

Lokomotivføreren overtager togførerens sikkerhedsmæssige opgaver.

Kapitel 4.2 beskriver togførerens sikkerhedsmæssige opgaver som følgende:



Afgangsprocedure (Passagersikkerhed og andre forhold under ud- og indstigning.)

Evakuering

Hændelser i toget (indrapportering af fejl på toget)

Afslutning af tog

Systemdefinitionen er grundlag for fareidentifikationen og afgrænser risikovurderingen. I SN008/010

bemærker assessor, at det havde været ønskeligt med en mere detaljeret beskrivelse af togførers

sikkerhedsmæssige funktioner til brug for risikovurderingen, herunder sammenligning med situationen

før og efter ændringen.

DSB forudsætter, at den eksisterende lokomotivføreruddannelse indeholder de relevante elementer af

enmandsbetjening i forbindelse med afgangsprocedure og evakuering. Assessor har i SN008/009

spurgt ind til indholdet af uddannelsen, og DSB har besvaret observationen tilfredsstillende.

DSB har oplyst systemets grænseflader, og dermed grundlaget for ændringens sikre integration i

jernbanesystemet, som fjernstyringscentral (FC), passagerer, materieldisponering, standsningsmærker

og monitorer. Hertil kommer udsyn til døre og gab mellem tog og perron baseret på afstand, lysforhold

og passagerer/genstande på perron.

Opsætning af monitorer og flytning af standsningsmærker på strækningerne er altså ikke omfattet af

systemdefinitionen og er håndteret i separate projekter, som assessor ikke har vurderet. Den

Standard[11] for opsætning af monitorer, som blev præsenteret for assessor i det tidligere forløb, er

ikke forelagt assessor i denne omgang, og figurerer ikke i risikoanalysen, bortset fra at den indgik i

systemet på tidspunktet for fareidentifikationen.

DSB benytter som grundlag for indførelse af enmandsbetjening eksisterende procedurer SLS 10-11[4]

Sikkerhedsmæssige forudsætninger for kørsel uden togfører og SLS 10-12[5] Gennemførelse af

strækningsbesigtigelse forud for kørsel uden togfører. Det fremgår af systemdefinitionen, at

procedurerne tidligere har været anvendt til godkendelse af enmandsbetjente strækninger.

Det har været vanskeligt for assessor at få overblik over, hvilke eksisterende sikkerhedsforanstaltninger

systemet var omfattet af og evt. hvilke, der forventedes opdateret som følge af ændringen. Dette

behandles nærmere under fareidentifikation og fareregister.

Generelt skal det bemærkes, at DSB’s dokumentstyring ikke er optimal, idet assessor har modtaget

indtil flere versioner af systemdefintionen, hvor versionsangivelser og datoer i hhv. filnavn og på

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

9 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

dokumentets forside ikke har været overensstemmende. Den sidste version, som assessor har set, er

dog den version 10, som er dateret 03-07-2014.

Assessor har vurderet systemet tilstrækkelig kendt og afgrænset, til at DSB har kunnet identificere

relevante farer. Systemdefinitionen er ikke opdateret med en endelig liste med sikkerhedskrav i forhold

til kravet i CSM RA bilag 1, 2.1.2 f), men sådan en liste findes i Risikovurderingens Bilag 1[16].

Assessor støtter derfor den seneste udgave af systemdefinitionen[3] som velbearbejdet og tilstrækkelig

til at afgrænse risikoanalysen.

2.3

Fareidentifikation

Formålet med denne fase er at identificere alle farer, der med rimelighed kan forudses for det samlede

vurderede system, dets funktioner (når det er relevant), og dets grænseflader (CSM-RA, bilag I, afsnit

2.2.1). For at understøtte dette, bør fareidentifikationen være (1) Grundig, (2) Systematisk og (3)

Reproducerbar, herunder udført af kvalificerede personer.

Assessment af fareidentifikation er dokumenteret i SN007.

Fareidentifikationen tog udgangspunkt i den generiske fareidentifikation, udført ved en workshop den

30. august 2013[12] og formålet med workshoppen var at identificere yderligere farer i forbindelse med

kørsel på strækning 24/25 med de oprindeligt planlagte materieltyper (MR, MF, MQ, MP og MG).

Navn

Lotte Sandlykke

Ansvarsområder/ rolle

Ekspert, Gruppeleder, Drift F&R,

Aalborg/Frederikshavn

Ekspert, Lokomotivfører, Aalborg,

Medlem af signalkommissionen

Lokomotivfører med

strækningskundskab, strækning 24 og

25, litra MF og MR

Lokomotivfører med

strækningskundskab, strækning 24 og

25, litra MG, MF og MR

Lokomotivfører med

strækningskundskab, strækning 24 og

25, litra MG, MF og MR

Kendskab til driftsinstrukser

Theis Depenau

Møller

Bo Wilken Halle

Ekspert, Aaborg, Lokomotivfører

Ekspert, DSB Operation Sikkerhed og

arbejdsmiljø, togfører, ansvarlig for

ODI

Ekspert, DSB Operation Sikkerhed og

arbejdsmiljø, togfører

Ekspert, Lokomotivinstruktør LKI

vagten

Chef DSB Operation, Sikkerhed og

arbejdsmiljø

Erik Vang Olsen

Brian Nygaard

Jensen

Svend Hyldgaard

Pedersen

Carsten Dam

Sønderbo-Jacobsen

Togfører

Lokomotivinstruktør LKI vagten, litra

MG, MP, MF, MQ og MR

Observatør

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

10 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Navn

Ansvarsområder/ rolle

Repræsenterer Banedanmark,

Teknisk systemansvarlig for fast ATC

og HKT og har udover det lang

erfaring med jernbanen

Analyse og data behandling af

sikkerhedssager, DSB Operation

Sikkerhed og arbejdsmiljø

Facilitator, DSB Sikkerhed

Assessor, Lloyd’s

Referent, ansvarlig for at opdatere

fareregister under workshop, Rambøll

Erik Cletus Petersen

Repræsentant Banedanmark

Julie Skov Laursen

[DSB]

Helena Welander

Katrine Frellsen

[Lloyd’s]

Thomas Samuelsen

[Rambøll]

Referent

Facilitator

Assessor

Referent

Tabel 2: DSBs deltagere ved fareidentifikation

Fareidentifikationen blev udført på baggrund af Systemdefinition for Indførelse af enmandsbetjening i

Nordjylland[17]. Systemet er efterfølgende blevet afgrænset til litra MR, MF og MG.

Formålet med fareidentifikationen blev præsenteret som at identificere alle farer, der kan opstå i

forbindelse med enmandsbetjening med henblik på 1) at opdatere Standarden for det generiske system

for indførsel af enmandsbetjening[11] og 2) at påvirke designet af de to igangværende projekter

vedrørende indførsel af enmandsbetjening på Kystbanen og i Nordjylland[13].

Assessor deltog i den del af fareidentifikationen, som omhandlede identifikation af farer i grænsefladen

mod Banedanmark og den strækningsspecifikke fareidentifikation for strækning 24/25[14]. Assessor

deltog ikke i den del, der omhandlede indholdet af systemdefinitionen eller den materielspecifikke

fareidentifikation.

Deltagerne i workshoppen fremstod kompetente indenfor deres områder og workshoppen var styret

effektivt mens assessor deltog.

Assessor konstaterede, at fareidentifikationen foregik i en åben og positiv atmosfære og assessor har

overordnet vurderet, at fareidentifikationen er dækkende for den del af systemmålsætningen, der

omhandler indførsel af enmandsbetjening på strækning 24 og 25 med litra MR, MF og MG og at farer,

der med rimelighed kan forudses indenfor dette scope blev identificeret.

DSB fremsendte efter workshoppen et dokument benævnt farelog i en velstruktureret skabelon, identisk

med s. 42-46 i Beskrivelse af Fareidentifikation[13].

Opfølgning fra andre safety notices:

Assessor observerede i SN007/005, at de registrerede farer var opført med oplysninger om årsager og

konsekvenser som en del af beskrivelsen af den enkelte fare. Det betyder, at der var registreret 31

farer, hvor assessor vurderer, at der reelt var tale om 10-15 farer. DSB har efterfølgende struktureret

fareregisteret sådan at det indeholder 13 farer med underliggende årsager.

SN008/008: Tabel 4-4 Sikring af passagererne på stationer med perronovergang. Systemdefinitionen er

opdateret med oplysning om, at LKF overtager denne funktion. Projektet bedes overveje, om der er

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

11 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

farer, som bør adresseres i fareregisteret. DSB har ikke tilføjet farer/årsager til fareregisteret i den

forbindelse.

SN008/014: Systemdefinitionen er opdateret med oplysning om, at LKF kun kan lukke døre fra

førerrummet. Assessor bad projektet overveje, om der er farer i denne forbindelse, som bør adresseres

i fareregisteret. DSB har i SN010/012 uddybet, at oplysningen i systemdefinitionen skal forstås sådan,

at lkf ikke kan overtage togførers del efterkontrollen i det set-up, der involverer begge parter. Lkf kan

dog lukke egen dør i forbindelse med nødprocedure og lkf’s efterkontrol fra perron.

Der er i den efterfølgende risikoanalyse ikke tilføjet yderligere farer, men DSB har struktureret

fareregisteret, sådan at det indeholder 13 farer med underliggende årsager.

Assessor støtter med SN007, at DSB i den indledende fareidentifikation har identificeret de farer, der

med rimelighed kan forudses i systemet. Assessor ser ikke de farer, der ligger i grænsefladen, fx i

kommunikation med fjernstyringscentralen, forkert placerede standsningsmærker og monitorer

(SN010/016 og 017) i det bearbejdede fareregister. DSB har dog fremlagt sikkerhedsbeviser i form af

besigtigelsesrapporter og mødereferat med Banedanmark, som håndterer farerne, men uden at farerne

og bevisførelsen er sporbare i forhold til CSM-processen.

Assessor har vurderet det bearbejdede fareregister i forbindelse med risikovurderingen.

2.4

Fareklassifikation

DSB har valgt ikke at gennemføre en klassificering af de identificerede farer (ref. CSM bilag 1, 2.2.2).

Assessor tager derfor i SN007/006 udgangspunkt i, at alle identificerede farer behandles i den

efterfølgende risikovurdering.

2.5

Risikovurdering og fareregister

DSB har fremsendt risikovurdering dækkende litra MG, MR og MF med tilhørende bilag, der indeholder

fejltræer, hændelsestræer, sikkerhedskrav, dokumentliste med sikkerhedsbeviser og fareregister.

DSB har opdateret systemdefinitionen siden forløbet i efteråret/vinteren 2013, og definerer ændringen

som ”Lokomotivføreren overtager togførerens sikkerhedsmæssige opgaver”. Risikovurderingen tager

ikke tydeligt afsæt i de opgaver lokomotivføreren allerede har og dem, som yderligere overføres fra

togfører, se fx SN010/013 (brand på åbent spor) og SN010/015 (person i overgang ved afgang).

Alle (på nær én af) de identificerede farer med tilhørende årsager er valgt behandlet med

risikoacceptprincippet eksplicit risikovurdering. Det medfører ifølge CSM RA 2.5.1, at risici afledt af de

identificerede farer, skal estimeres enten kvantitativt eller kvalitativt, under hensyntagen til eksisterende

sikkerhedsforanstaltninger.

I relation til CSM RA bilag 1, 2.5.2, har den nationale sikkerhedsmyndighed, Trafikstyrelsen, ikke

fastlagt krav i form af et kvantitativt sikkerhedsmål for enmandsbetjening og det overordnede

risikoacceptkriterium er derfor alene fastholdt eller forbedret sikkerhedsniveau i henhold til

Sikkerhedsdirektivets målsætning. DSB’s eget sikkerhedsmål er ’ikke reduceret sikkerhed’ og delvist

den kalibrerede risikomatrice fra DSB’s sikkerhedsledelsessystem (SN010/023).

DSB har opdateret fejltræer og udarbejdet hændelsestræer for visse af farerne, men assessor har

fortsat fundet fejl og manglende systematik i dem, og har derfor valgt at se bort fra de kvantitative

estimater i risikovurderingen (SN010/007). Beskrevne forløb og sikkerhedskrav, der er beskrevet i

fejltræerne, er dog medtaget i assessors vurdering i et vist omfang. DSB anfører selv i svar på

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

12 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

SN010/016, at fejltræerne er understøttende men ikke bærende elementer i risikovurderingen

(undtagen faren brand på åbent spor).

Der er 7 observationer i SN010, som ikke er besvaret fuldt tilfredsstillende i Safety Notice SN010 inden

DSB ønskede assessment afsluttet. Safety Notice er lukket med henvisning til, at observationerne

overføres til sikkerhedsvurderingsrapporten (dette dokument) og udgør følgende:

SN010/009 adresserer, at der ikke er fuld sporbarhed mellem sikkerhedsforanstaltninger i

fareregisteret, risikoanalysen (fejltræer), risikovurderingen og den separate liste med sikkerhedskrav.

Assessor tilskriver dette forhold mangelfuld systematik og kvalitetssikring.

SN010/010 adresserer, at det ikke fremgår klart, hvilke sikkerhedsforanstaltninger, der er eksisterende

og uændrede, og hvilke krav der er supplerende risikoreducerende tiltag, for at bringe risikoen i

forbindelse med ændringen under kontrol. Assessor har indtryk af, at DSB’s sædvanlige procedurer i

sikkerhedsledelsessystemet har styret implementering af risikoreducerende tiltag.

SN010/014 adresserer, at assessor savner en konklusion, der er opdelt på ATC/ikke-ATC samt

fremføring/igangsætning før det konkluderes, at risikoen for signalforbikørsel er uændret. Assessor

vurderer, at risikoen for signalforbikørsel er lettere forhøjet på ikke-ATC-strækninger ud fra en alt-andet-

lige-betragtning, mens ændringen i risiko ikke er målbar på ATC-strækninger.

SN010/015, adresserer, at assessor generelt savner at togførerens overførte/udgående funktioner ref.

systemdefinitionen indgår mere tydeligt i analyserne. Assessor er dog klar over, at projektets

tidsmæssige udstrækning og de ændringer, der er foretaget i systemdefinition mv undervejs, har gjort

fuld sporbarhed svært opnåeligt. Assessor vurderer, at DSB har de vigtigste, officielle (fra SIN mv.)

sikkerhedsbærende funktioner med, men vurderer også, at risikoestimeringen kunne have været

forenklet med et skarpere fokus på overflyttede og udgåede delfunktioner i før – og eftersituationen.

SN010/016, assessor støtter ikke projektets konklusion om, at risikoen falder (lidt) ved afgang uden

togfører, men dog at risikoen er sammenlignelig før og efter, forudsat standsningsmærker, kameraer og

monitorer er placeret og fungerer korrekt. Placering af disse elementer er udenfor systemet og ikke

underlagt assessment.

Assessor savner registrering af farer, der håndterer evt. forkert placerede standsningsmærker/monitorer

i det bearbejdede fareregister (selv om DSB forelægger beviser i form af besigtigelsesrapporter).

SN010/017 adresserer, at det fastsatte krav på/forudsætning om max 90m tog, oversat til antal togsæt i

SIN på baggrund af perronlængderne i Nordjylland, ikke fremgår af fareregisteret som et krav, der er

afledt af risikovurderingen eller som en forudsætning. Dette har betydning for håndtering af fremtidige

ændringer i Nordjylland, der kan påvirke den gennemførte risikoanalyse.

SN010/021 adresserer, at assessor ikke er enig i konklusionen om, at evakuering kan fortages lige så

sikkert uden lkf som med lkf i enmandsbetjent drift. Assessor anerkender, at denne fare er svær at gøre

noget ved, når der kun er lkf om bord – og at sandsynligheden for, at lkf bliver ukampdygtig, er lille

baseret på hændelsesstatistikker.

Assessor har oprettet SN010/013 og lukket den efter at have konstateret, at DSB’s risikomatrice er

kalibreret og godkendt af DSB Jernbanesikkerhed ref. DSB’s sikkerhedsledelsessystem.

Assessor vurderer, at DSB ikke helt har demonstreret overblik over, hvilke supplerende

risikoreducerende tiltag, der er afledt af risikovurderingen, fx i behov for ændringer af eksisterende

procedurer (hvoraf de fleste nok er gennemført nu). Fx kan nævnes S15, Krav om at passagerer har

forladt toget før det parkeres, er underopdelt i krav til gennemgang af tog, krav til ledsagelse, krav til

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

13 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

uddannelse, lov om uddannelse, krav til piktogrammer i manual og krav om klargøring. Dette krav er

anført under ét som et eksisterende krav. Det er assessors indtryk, at de fremsendte

piktogrammanualer, dateret april 2014, er opdateret i forbindelse med projektet - men assessor må nok

sige, at det ikke er let at gennemskue.

Assessor konstaterer, at DSB har



valgt risikoacceptprincip (kvalitativ og kvantitativ risikoanalyse) og en enkelt anerkendt praksis

(fareregisteret er dog ikke helt opdateret med oplysningerne)



analyseret de 13 farer og deres underliggende årsager med primært kvalitative betragtninger,

understøttet af hændelses- og fejltræer

ikke tydeligt registreret farer på systemets grænseflade (Banedanmark, standsningsmærker,

monitorer) men dog håndteret farerne

opført sikkerhedskrav i fareregisteret (som dog ikke er fuldt sporbare til separat dokument med

sikkerhedskrav)

opført ansvarlige for at implementere risikoreducerende tiltag i separat dokument med

sikkerhedskrav

ikke tydeligt anført hvilke eksisterende sikkerhedsforanstaltninger og hvilke supplerende krav om

risikoreducerende foranstaltninger, der er identificeret i risikoestimeringen.

Assessor vurderer samlet set, at DSB har struktureret projektets dokumentation efter principperne i

CSM, men at den sporbarhed, som også fordres i CSM (systemdefinition -> fareidentifikation ->

risikoestimering -> risikovurdering -> fastlæggelse af supplerende risikoreducerende foranstaltninger)

ikke er optimal.

Assessor har dog opfattelsen af, at DSB har implementeret flere ændringer i procedurer og instrukser,

end dokumentationen umiddelbart redegør for. Fx er SIN allerede opdateret med relevante litra til

enmandsbetjening i Nordjylland.

Risikoestimering og eksport af farer på systemets grænseflade (Banedanmark, monitorer,

standsningsmærker) er tilsvarende håndteret separat og er ikke en del af den systematiske CSM

risikoanalyse.

DSB har leveret risikoestimering og –evaluering der svarer til CSM’s forskrifter, men den resulterende

liste med sikkerhedskrav ikke er så sporbar til fareregisteret at assessor kan konkludere, at CSM

processen faktisk er fulgt. Assessor kan dog konstatere, at DSB har identificeret mange rimelige

sikkerhedskrav, og også, at visse krav ikke er registrerede, men dog håndterede.

2.6

Opfyldelse af sikkerhedskravene

DSB har oplistet de identificerede sikkerhedskrav i Bilag 1.1 til Risikovurderingen[16]. Dokumentet

indeholder sikkerhedskrav og henvisning til dokumentation for sikkerhedskravenes opfyldelse og DSB

har leveret en dokumentliste i risikovurderingens bilag 1.2, der er gengivet i Appendix C.

Assessor har modtaget beviserne på en USB-nøgle.

Assessment af sikkerhedskravenes opfyldelse fremgår af SN011.

Idet DSB har ønsket udarbejdelsen af denne rapport afsluttet inden sommerferien, er følgende

observationer ikke afsluttet tilfredsstillende i safety notice og gengives her:

SN011/003: DSB præsenterer et dokument for materielgodkendelse, og assessor kan ikke se, hvordan

kravene i dokumentet er identificeret eller sammenhængen med DSB’s eksisterende procedurer.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

14 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Assessor savner derfor oplysning om, hvilken baggrund materielgodkendelsen er givet på. Fx kan

assessor ikke se krav om brandslukkere komme fra systemdefinitionen, risikovurderingen, fejltræerne

eller fareregisteret og konkluderer generelt, at kravene ikke kan ses identificeret i en CSM-proces, men

at de virker rimelige.

SN011/005, 007, 009: Manglende beviser for implementering af sikkerhedskrav. Observationernes

essens er 'gammel' og kan genfindes i SN006. I CSM processen identificeres de sikkerhedskrav, der

skal opfyldes for at risikoen ved ændringen holdes under kontrol. Den allersidste fase i CSM-processen

er at demonstrere, ét for ét, at disse krav er opfyldt og foranstaltningerne er implementeret. Assessor

savner sikkerhedsbeviser generelt. Assessor tror nok, at DSB har styr på det, men beviserne er ikke

altid fremlagt.

SN011/ 011: Ikke besvaret observation, assessor efterspørger kvalitetssikring af at sikkerhedskrav i

listen ikke gentages.

SN011/012: Her præsenteres et cirkulære, der begrænser toglængden til ét togsæt pga. nedtagning af

et standsningmærke. Assessor efterspørger, hvilke sikkerhedsmæssige overvejelser DSB har gjort sig

omkring introduktion af enmandsbetjening inden projektet er klar. DSB oplyser, at der er tale om en fejl,

men har ikke rettet dokumentationen. At DSB har forkortet togsættet, fordi standsningsmærket var

forkert placeret, er en rimelig foranstaltning, men assessor savner, at disse overvejelser indgår klart i

risikoanalysen.

SN011/014: ID62, Vrå, projektet bedes uddybe, hvad kravet er og i hvilken del af risikovurderingen

behovet for sikkerhedskravet er identificeret. DSB oplyser, at kravet var en reminiscens og har fjernet

det. Essensen er tilsyneladende, at en risiko i forbindelse med en ikke registreret fare er eksporteret til

Banedanmark og håndteret og implementeret der (ændret sporbenyttelse). Igen ser assessor, at DSB

har håndteret risici, men ikke dokumenteret overvejelserne korrekt i forhold til CSM.

Assessor konkluderer samlet set, at essensen i de observationer, som assessor rejste i det tidligere

forløb i SN006 (og SN005), fortsat er gældende. Fremlæggelsen af bevisførelse for at

risikoreducerende tiltag er implementeret er mangelfuld. Og som udgangspunkt er listen med

sikkerhedskrav ikke fuldt sporbar i forhold til risikoanalysen, ligesom kravene for en stor dels

vedkommende fortsat er upræcist beskrevet, hvilket gør det svært at eftervise, at de er opfyldt.

Assessor konkluderer endnu engang, at DSB har tilstræbt at følge CSM-processen, men at det

egentlige sikkerhedsarbejde nok mest har fulgt DSB’s sædvanlige processer.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

15 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Konklusion

Denne Sikkerhedsvurderingsrapport sammenfatter CSM Assessors observationer på DSB’s egen

sikkerhedsvurdering og dokumentation af projekt Enmandsbetjening – Nordjylland.

DSB’s fremsendte dokumentation og DSB’s besvarelser af observationer i SN suppleret med

oplysninger fra møder mellem assessor og DSB ligger til grund for assessors evaluering af hvorvidt

DSB, som forslagstiller, har anvendt risikostyringsprocessen i CSM RA korrekt og har fremlagt beviser

for, at de identificerede sikkerhedskrav er opfyldt.

DSB’s fremsendte dokumentation omfatter alle dele i risikostyringsprocessen: Systemdefinition, roller

og ansvar, fareidentifikation, risikoestimering, risikoevaluering og påvisning af at sikkerhedskravene er

opfyldt.

Specifikt vurderer assessor følgende:

Sikkerhedsplanlægning: Assessor vurderer samlet set, at CSM’s formelle krav om skriftlig

dokumentation er opfyldt, men at DSB ikke har demonstreret, at dokumentationen som sådan

er benyttet til at planlægge og styre sikkerhedsaktiviteterne.

DSB’s har lavet en grundig opdatering af systemdefinition og assessor har vurderet systemet

tilstrækkelig kendt og afgrænset, til at DSB har kunnet identificere relevante farer.

Systemdefinitionen er ikke opdateret med en endelig liste med sikkerhedskrav i forhold til CSM

RA bilag 1, 2.1.2 f), men denne liste findes i Risikovurderingens Bilag 1.1[16] og assessor

støtter systemdefinitionen.

Assessor støtter, at DSB i den indledende fareidentifikation har identificeret de farer, der med

rimelighed kan forudses i systemet. Assessor ser ikke de farer, der ligger i grænsefladen, fx i

kommunikation med FC, forkert placerede standsningsmærker og monitorer i det efterfølgende

bearbejdede fareregister. DSB har dog fremlagt sikkerhedsbeviser i form af

besigtigelsesrapporter og mødereferat med Banedanmark, som håndterer farerne, men uden at

farerne og bevisførelsen er sporbare i forhold til CSM-processen

DSB har valgt ikke at gennemføre en indledende klassificering af de identificerede farer (ref.

CSM bilag 1, 2.2.2). Alle identificerede farer behandles derfor i den efterfølgende

risikovurdering.

Alle (på nær én af) de identificerede farer med tilhørende årsager er valgt behandlet med

risikoacceptprincippet eksplicit risikovurdering. DSB har primært benyttet kvalitativ

risikoestimering.

DSB’s sikkerhedsmål er ’ikke reduceret sikkerhed’ er suppleret med DSB’s kalibrerede

risikomatrice som risikoacceptkriterium.

En række af assessors observationer er ikke besvaret tilfredsstillende på tidspunktet for

afslutning af assessment. Samlet set konkluderer DSB, at risikoniveauet efter ændringen er

højere end før, men indenfor det acceptable område ud fra en alarp-betragtning. Assessor

konkluderer også, på baggrund af DSB’s risikoestimering, at det resulterende risikoniveau er

(evt. lettere) forhøjet men kan ikke på det foreliggende grundlag vurdere hvor meget, grundet

den uklare sporbarhed.

Det er assessors samlede indtryk, at DSB’s dokumentation for gennemførsel af risikoanalysen

for ændringen er blevet noget kompliceret grundet manglende systematik og kvalitetssikring og

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

16 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

måske også tidspres i DSB.

Resultatet af risikoanalysen, den samlede liste med sikkerhedskrav, der skal opfyldes for at

integrere ændringen sikkert, indeholder andre sikkerhedskrav, end risikovurderingen

(fareregisteret) afspejler. Listen mangler til gengæld vigtige sikkerhedskrav, der er eksporteret

til anden part og allerede håndteret.

Den manglende sporbarhed gør, at assessor ikke kan konkludere, at DSB i en CSM proces har

etableret dækkende sikkerhedskrav for ændringen, men assessors fornemmelse er, at DSB er

kommet godt omkring ændringen.

De sikkerhedskrav, som er identificerede i risikostyringsprocessen er ikke i alle tilfælde i

tilstrækkelig grad demonstreret opfyldt men assessor vurderer, at DSB har fulgt sædvanlige

processer i DSB og er kommet godt omkring håndtering af ændringen.

Den sikre integration i jernbanesystemet er ikke i alle dele fuldt ud demonstreret ved at

ændringer i instrukser og procedurer er dokumenteret implementeret i DSB’s

sikkerhedsledelsessystem.

DSB’s resulterende fareregister for Enmandsbetjening er ikke komplet, da de farer, der befinder

sig på systemets grænseflade og håndteres af andre aktører er udgået efter bearbejdningen af

fareregisteret, men håndteret på anden vis.

10.

11.

Assessors fornemmelse er, at DSB har rimeligt styr på implementeringen af enmandsbetjening med

DSB’s normale processer, men må konkludere, ref. CSM bilag 1, 5.2 b), at DSB ikke har

leveret en liste

over alle de nødvendige sikkerhedskrav, som må opfyldes for at holde risikoen på et acceptabelt

niveau,

primært grundet uklar sporbarhed. Ref. CSM bilag 1, 3. har DSB yderligere ikke fuldt

dokumenteret opfyldelsen af sikkerhedskravene.

Det er assessors opfattelse, at DSB har arbejdet under tidspres, da mange observationer bunder i

manglende sporbarhed og kvalitetssikring, som kan tilskrives utilstrækkelig ’oprydning’ fra første del af

projektet, efter hvilken projektets formål og systemdefinitionen er ændret.

Assessor har tilsvarende haft begrænset tid til rådighed, især til assessering af risikoestimering,

risikovurdering, fareregister og opfyldelse af sikkerhedskravene. Da assessor ikke har haft tiden til at

forfølge detaljer, der måske ville kunne spores, kan assessmentrapporten i visse dele måske være

mere forbeholden, end hvis DSB havde givet kvalitetssikring større fokus.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

17 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Referencer

[1] Kommissionens forordning (EF) Nr. 352/2009 af 24. april 2009 om vedtagelse af en

fælles sikkerhedsmetode til risikoevaluering og vurdering

[2] Assessorgodkendelse, mail fra DSB den 30. September 2013 09:50, den 18.

December 2013 16:23 og fra Trafikstyrelsen den 27. November 2013 11:00

[3] Systemdefinition for Indførelse af enmandsbetjening i Nordjylland, DSB, 03-07-2014,

Revision 10

[4] Sikkerhedsmæssige forudsætninger for kørsel uden togfører, DSB SLS 10-11, 10-11-

2011

[5] Gennemførelse af strækningsbesigtigelse forud for kørsel uden togfører, DSB SLS 10-

12, 24-03-2006

[6] Bekendtgørelse om godkendelse af køretøjer på jernbaneområdet, BEK 56,

26.01.2013.

[7] DSB’s Mail 18-12-2013 15:39 angående godkendelse af Arvid Schjeldrup-Andersen

som assessor/reviewer

[8] Lloyds mail 25-09-2013 angående godkendelse af Ole E. Mogensen som assessor

[9] DSB’s mail 06 March 2014 10:05 angående godkendelse af Ingemar Ingemarsson som

assessor

[10] Projektbeskrivelse af sikkerhedsarbejdet i forbindelse med indførelse af

enmandsbetjening i Nordjylland, , version 5, 03-07-2014

[11] Standard for etablering af kørsel med enmandsbetjente tog, DSB, 11-10-2013,

Revision 3

[12] Beskrivelse af fareidentifikation i projekt – Enmandsbetjening, DSB, 06-09-2013

[13] Beskrivelse af fareidentifikation forud indførsel af enmandsbetjening i Nordjylland,

revision 2, 01-05-2014

[14] Lloyds mødenoter fra fareidentifikationen 11-04-2010, 2014-04-25 HAZID EMB NJ-

2.docx

[15] Risikovurdering for Indførelse af enmandsbetjening i Nordjylland, DSB, 30-06-2014,

Revision 8

[16] Bilag til Risikovurdering: 1843 - 6 - Risikovurdering for indførsel af enmandsbetjening i

Nordjylland_V008_09-07-2014.xlsm (Et regneark i MS Excel, der bl.a. indeholder

fareregisteret og listen med sikkerhedskrav)

[17] Systemdefinition for Indførelse af enmandsbetjening i Nordjylland, revision 6, 08-04-

2014 (benyttet på workshop for fareidentifikation)

[18] Sikkerhedsvurderingsrapport for Enmandsbetjening – Nordjylland 242002rkfz140317,

21-03-2014, version 01

[19] Trafikstyrelsens Vejledning i udformning af systemdefinition Version3, 08-05-2014

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

18 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Appendices

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

19 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Appendix A

Oversigt over Safety Notices

Safety Notice Number / Title

SN007- Fareidentifikation

SN008 - Systemdefinition

SN009 - Sikkerhedsplan

SN010 – Risikovurdering

SN011 – Sikkerhedskrav

Issue

Action

Closed

Total

Raised

Still

Open

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

20 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Appendix B

Assesseret dokumentation

I fortegnelsen nedenfor er de dokumenter, der har været underlagt assessment i en Safety Notice.

SN007: Hazid

Beskrivelse af fareidentifikation forud indførsel af

enmandsbetjening i Nordjylland

Beskrivelse af fareidentifikation forud indførsel af

enmandsbetjening i Nordjylland

Referat, Fareidentifikation Enmandsbetjening Nordjylland

1843 -102 - Bilag 2 Farelog.xlxs

1843 -102 - Bilag 2 Farelog_V02_06-05-2014.xlsx

Systemdefinition for Indførsel af enmandsbetjening i

Nordjylland

1843 - 4 - Systembeskrivelse for indførsel af

enmandsbetjening i Nordjylland_ V008_10-06-2014.doc

Version 0.1

Version 2

Revision 6

Revision 8

Revision 1

Revision 2

22-04-2014

01-05-2014

11-04-2014

10-04-2014

06-05-2014

08-04-2014

10-6-2014

SN008: Systemdefinition

Systemdefinition for Indførelse af enmandsbetjening i

Nordjylland

Systemdefinition for Indførelse af enmandsbetjening i

Nordjylland

Systembeskrivelse for indførsel af enmandsbetjening i

Nordjylland_ V009_17-06-2014_.doc

DSB's Mail "Systemdefinition - opdateret DSB", 19-06-

2014 13:38

Revision 8

Revision 9

Revision 10

20-5-2014

10-6-2014

17-6-2014

19-06-2014

SN009: Sikkerhedsplan

1843-7 Projektbeskrivelse og sikkerhedsplan

Enmandsbetjening_V003.docx

Projektbeskrivelse for sikkerhedsarbejdet i forbindelse

med indførelse af enmandsbetjening i Nordjylland

Revision 3

Revision 5

03-07-2014

SN010: Risikovurdering

1843-6-Risikovurdering for indførsel af enmandsbetjening i

Nordjylland_V007_24-06-2014.docm

Revision 7

24-06-2014

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

21 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

1843-6 Risikovurdering for indførsel af enmandsbetjening i

Nordjylland:V007_24-06-2014.xlsx

1843- 6 - Risikovurdering for indførsel af enmandsbetjening i

Nordjylland_ V008_04-07-2014.docm

1843 - 6 - Risikovurdering for indførsel af Enmandsbetjening

i Nordjylland_V008_04-07-2014.xlsm

Servicemanual for Ombord Service Fjern- og Regionaltog

Systembeskrivelse for indførsel af enmandsbetjening i

Nordjylland_ V009_17-06-2014_.doc

Revision 7

Revision 8

Revision 10

24-06-2014

30-06-2014

17-6-2014

SN011: Bevisførelse for sikkerhedskravs opfyldelse

1843-6 Risikovurdering for indførsel af enmandsbetjening

i Nordjylland:V007_24-06-2014.xlsx, bilag 1.1

Sikkerhedskrav

1843-6 Risikovurdering for indførsel af enmandsbetjening

i Nordjylland:V007_24-06-2014.xlsx, bilag 1.2

Dokumentliste til sikkerhedskrav (dokumenter udleveret

på USB)

1843 - 6 - Risikovurdering for indførsel af

enmandsbetjening i Nordjylland_V008_09-07-2014.xlsm

4 x e-mails fremsendt af CDSJ/DSB: SV: 242002:

Sikkerhedskravene SN011 version 1 til besvarelse,

modtaget 09-07-2014 15:28-15:30

Revision 7

24-06-2014

Revision 7

24-06-2014

Revision 8

09-07-2014

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

22 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Appendix C

Nr. Titel

DSB’s dokumentliste, beviser for sikkerhedskrav

Ver.

Dato

Nyt, opdat.

eller eksis.

dokument

eksisterende

10/11/2011

dokument

24/03/2006

14/02/2014

eksisterende

dokument

nyt dokument

Status

[1] - Sikkerhedsledelse - 10-11 - Sikkerhedsmæssige

forudsætninger for kørsel uden togfører.

[2] 1843 - 30 Godkendelse af strækningsbesigtigelse

_V01

[3] 1843 - 31 Godkendelse af materiel

enmandsbetjening på strækning 24 og 25_V01

[4] - 1843 - 41_ Vedligehold af sikkerhedskritiske

komponenter i forbindelse med

enmandsbetjening_24_02_2014

[5] - Redegørelse omkring klemsikring 26-09 2013

[6] - USTD 9-11 Uddannelse af lokomotivfører i DSB

_certifikat B_ Til persontrafik

[7] - USTD 9-15 Uddannelse af personale til

evakueringsassistent

[8] 1843 - 21 ProcesBeskrivelse_Uddanelser_V001

[9] Information om håndtering af signalforbikørsler.

[10] Bilag 3 DSB F&R folder Enmandsbetjening

[11] - DSB_SLS_std 15.2_Undersogelser

[12] - Bilag 1 Samlet konceptbeskrivelser

[13] - 5258_20131025_SINDSB

[14] - 5564_TIBV_20012014

[15] - 4658_ATC_01012013

[16] - 1843 - 23 - Beskrivelse af Klargøring_V001

[17] - 4817_sikkerhedsfolder - Passagervendt

Tom

Lukket

23/01/2014

26/09/2013

20/06/2011

22/01/2014

09/04/2014

10/10/2013

04/10/2013

20/10/2013

25/10/2013

20/01/2014

01/01/2013

21/01/2014

30/10/2013

nyt dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

nyt dokument

eksisterende

dokument

nyt dokument

eksisterende

dokument

nyt dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

nyt dokument

eksisterende

dokument

Lukket

[19] SLA Nordjylland ITV

[20] - Politik 3.0. Sikkerhedspolitik 29.08.2012

20/02/2014

29.08.2012

nyt dokument

eksisterende

dokument

Mangler

underskrift

Lukket

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

23 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

[21] DSB Sikkerhedsledelsesystem Kap 7-1 SIN DSB

[22] Procesbeskrivelse Efterlevned af regelværk i

planlægning_V001

[23 - IC3. 28 Jan. 2014

[24] - IC4 int. 7 April 2014

[25] - MR manual 10 Jan 2014

[26] - INSTA hæfte MR januar 2014

[27] - INSTA hæfte IC3 marts 2014

[28] - INSTA hæfte IC4 marts 2014

[29] - 5057_ODI MF lkf version 1 (5)

[30] - odi_mg_lkf_version 1.2_12-05-2014

tom

[33] - odi mr lkf version 1.2 17-02-2014

[34] - Direktiv dsb_ordensreglement

tom

[36] - Sikkerhedskulturdag_ver2.0_18.12.2013

[37] - Lokal undervisningsplan for

lokomotivføreruddannelsen, 14 juni 2010

[38] - Praktik Uddannelsesordning fra 08 07 2010

godkendt af TS 13 07 2010

[39 ] - 6074_ODI generel version 1.4_26-05-2014

[40] - 5939_SR_28042014_version2

[41] - Røgdetektorer SF1087 - funktionstest -IC2

[42] - Røgdetektering MF 9400-ic3

[43] - Røgdetekteringsanlæg MF og ER

1.1

1.2

23/12/2009

24/01/2014

28/01/2014

07/04/2014

10/01/2013

01/01/2014

01/03/2014

14/07/2013

12/05/2014

opdateret

dokument

nyt dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

eksisterende

dokument

opdateret

dokument

Lukket

1.2

1.4

17/02/2014

25/04/2014

18/12/2013

14/06/2014

08/07/2010

26/05/2014

28/04/2014

06/05/2014

01/02/2006

opdateret

dokument

eksisterende

dokument

nyt dokument

eksisterende

dokument

eksisterende

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

eksisterende

dokument

Lukket

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

24 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

[44] - Røgdetektorer SF1087 - funktionstest - IC4

[45] - Dokumentation - Enmandsbetjening -

[46] - Tjekliste inden IC3 sættes i drift QF297

[47] - Tjekliste inden IC3 togsæt sættes i drift

[48] - Dokumentation - Enmandsbetjening -

Beskrivelse af dørvarslingssystemer MR og MQ

[49] - 1300-ic2.06 ADVARSELSLYDGIVER

(funktionstest)

[50] - 1300-ic4.06 ADVARSELSLYDGIVER

(funktionstest)

[51] - 6086_SING_02062014

[52] - GSM-R PA udkald

[53] - Dokumentation - Enmandsbetjening -

Driftscenter Danmark

[54] - 1360_1240_MSR3_radio_bv

[55] - 4127_DMCB i MSR-3

[56] - Retsinformation.dk - BEK nr 676 af 26062008

[57] - EVAK efteruddannelse 1311127.9

[58] - EVAK grunduddannelse 1311127.9

[59] - Evakueringskursus EVAK BF

[60] - Uddannelsesordning for

lokomotivføreruddannelsen 09 07 2010

[61] - 6087_SINL_02062014

[62] - 5525_SINC_111_2014_20131231_1

[63] - Retsinformation.dk - BEK nr 1190 af

12122011

[64] - std 9-02

24/03/2014

06/05/2014

14/02/2014

07/05/2014

06/05/2014

02/06/2014

01/05/2014

09/05/2014

01/02/2004

01/01/2005

06/06/2008

13/11/2011

01/01/2014

09/07/2010

02/06/2014

01/01/2014

12/12/2011

15/03/2012

opdateret

dokument

opdateret

dokument

opdateret

dokument

opdateret

dokument

Lukket

opdateret

dokument

opdateret

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

eksisterende

dokument

Lukket

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

25 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

[65] - std 9-11

27/05/2014

eksisterende

dokument

Lukket

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

26 of 28

PDF to HTML - Convert PDF files to HTML files

Enmandsbetjening - Nordjylland: CSM-RA Sikkerhedsvurderingsrapport

Appendix D

Kat

Klassifikation af observationer

Dokumenter, der ikke er

grundlag for ansøgning om

ibrugtagningstilladelse

Forholdet vedrører

fundamentale fejl,

udeladelser, el.lign. der har

direkte indflydelse på

hvorvidt dokumentet kan

accepteres eller ej.

Forholdet skal være afklaret

inden:

Dokumenter, der baserer sig

på det aktuelle dokument,

kan godkendes

Systemet, der hører til

dokumentet, tillyses

Audit

Signifikante afvigelser

–

Enten er et eller flere krav i

kvalitetsledelsessystemet

ikke opfyldt, eller der er

betydelig usikkerhed om,

hvorvidt

kvalitetsledelsessystemet vil

sikre et ensartet produkt. Der

skal foretages korrigerende

handlinger inden der kan

udstedes et certifikat.

Dokumenter, der er

grundlag for ansøgning om

ibrugtagningstilladelse

Forholdet er så vigtigt, at det

skal afklares inden

systemet/udstyret indstilles til

godkendelse.

Alternativt kan der

implementeres

risikoreducerende tiltag, der

varetager sikkerheden i en

kortere periode.

Forholdet er tilstrækkeligt

vigtigt til, at det skal afklares

inden 6 måneder.

Systemet/udstyret kan

tillyses og være i drift i de 6

måneder, dog formentlig

enten med en reduceret

funktionalitet eller med

indførelse af ekstra

risikoreducerende tiltag.

Forholdet kræver en

tilfredsstillende løsning enten

før den samlede

sikkerhedsdokumentation

kan accepteres eller indenfor

6 måneder.

Mindre Afvigelse

– Mindre

fejl i systemet eller

uhensigtsmæssigheder i

procedurer, som kan føre til

større afvigelser, hvis de ikke

rettes. Afvigelsen forhindrer

ikke certificering, men

kunden skal udarbejde en

plan for udbedring /

opdatering af systemet.

Implementeringen af planen

kontrolleres ved næste audit.

Dokumentation

– Forholdet kræver ingen umiddelbare aktioner, men kan rettes ved næste

dokumentopdatering. Kategorien benyttes ved mindre fejl som f.eks. stavefejl og mindre

tekniske fejl, der ikke har direkte betydning for sikkerheden. Forholdet skal registreres og

rettes ved næste dokumentopdatering.

Såfremt, der er mange kategori 3 fejl, vil det blive vurderet om det samlede antal kategori 3

fejl bevirker at sikkerheden påvirkes, og at fejlene derfor samlet set, skal lede til en højere

kategori. I det tilfælde vil det blive vurderet, om der skal indføres risikoreducerende tiltag, og

om den udførte review-proces har været af tilstrækkelig kvalitet.

Audit Observationer–

enten:

Områder, hvor der er risiko for fremtidige afvigelser, med mindre der foretages afhjælpende

handlinger/forbedringer, eller områder, hvor der med fordel kan indføres forbedringer, uden

der dog er risiko for fremtidige afvigelser.

Ikke kategoriseret observation

som kan indeholde en generel udtalelse, anbefaling eller

forklaring. Observationer med kategorien NC forventes ikke besvaret af projektet og assessor

giver dem status lukket allerede ved oprettelsen.

Reference: 242002rkfz140711 - Enmandsbetjening NJ

Issue: 02

27 of 28

PDF to HTML - Convert PDF files to HTML files

Lloyd’s Register Rail

Strandvejen 104A, DK-2900

Hellerup, Denmark

T +45 3531 1029

F +45 32 96 18 81

www.lr.org/rail

Services are provided by members of the Lloyd’s Register Group.

July 2014