Konfigurator systemu bezpieczeństwa

Podobnie jak w przypadku metody zarządzania ryzykiem zagrożeń, również w konfiguratorze systemu bezpieczeństwa zastosowano koncepcję warstw. Każda warstwa przedstawia tu jedno źródło takich zagrożeń, których ryzyko jest nieak-ceptowane lub tolerowane. Następnie, na warstwach umieszczane są elementy systemu bezpieczeństwa (zwane dalej środkami redukcji ryzyka), które ograni-czają prawdopodobieństwo występowania danego źródła zagrożeń. Dzięki temu prostsze jest równoważenie zmian w systemie bezpieczeństwa, a więc unikanie sytuacji, w których na jedno źródło oddziałuje wiele środków redukcji ryzyka, a na inne źródła nie oddziałuje się wcale.

Zaproponowany model nie umożliwia przedstawienia środków redukcji ryzyka, których celem jest zmniejszenie strat / szkód w wyniku aktywizacji zagrożeń. Ze względu na gwałtowny charakter większości zdarzeń niepożądanych w rozważa-nej domenie analiz (wykolejenia, zderzenia, najechania), redukcja skutków naj-częściej jest możliwa jedynie w bardzo ograniczonym zakresie. Konieczne są tem działania zmierzające do zmniejszania poziomów możliwości aktywizacji za-grożeń.

Nowa metoda zarządzania ryzykiem zagrożeń generowanych podczas… 57 W zaproponowanym modelu systemu bezpieczeństwa założono, że każdy śro-dek redukcji ryzyka jest określony przez dwie zmienne [172]:

 możliwość poprawnej pracy środka redukcji ryzyka,

 podatność źródła zagrożeń na dany środek redukcji ryzyka.

Należy zwrócić uwagę, że druga ze zmiennych może przyjmować różne warto-ści dla różnych źródeł zagrożeń, względem których rozpatrywane jest jego dzia-łanie. Przyjęte rozumienie podatności bazuje na pracy [1] i oznacza stopień, w ja-kim dane źródło nie jest odporne na pozytywne działanie elementu systemu bez-pieczeństwa. Kombinację obu zmiennych nazywa się skutecznością 𝐸 (ang. effi-cacy) i może być ona wyznaczona przy wykorzystaniu rachunku prawdopodo-bieństwa.

Niech 𝐶 oznacza zdarzenie „element systemu bezpieczeństwa wypełnia funkcję bezpieczeństwa”, gdzie wypełnienie funkcji bezpieczeństwa rozumiane jest jako skuteczne zapobieżenie wystąpieniu źródła zagrożenia. Zakłada się, że zdarzenie to wystąpi, gdy wystąpią także zdarzenia:

𝐴 – środek redukcji ryzyka pracuje poprawnie,

𝐵 – źródło zagrożenia zareagowało na działanie środka redukcji ryzyka.

Zdarzenie 𝐵 zależy statystycznie od zdarzenia 𝐴. Prawdopodobieństwo ilo-czynu dwóch zdarzeń zależnych 𝐴 i 𝐵 jest dane iloczynem prawdopodobieństwa P(𝐴) jednego ze zdarzeń oraz prawdopodobieństwa warunkowego P(𝐵|𝐴) dru-giego ze zdarzeń. Jeżeli P(𝐵|𝐴̅) = 0, to:

P(𝐶) = P(𝐴 ∩ 𝐵).

P(𝐶) = P(𝐵|𝐴) ⋅ P(𝐴) (4.8)

Ponadto, zakładając, że:

P(𝐴) = 𝑝_𝑖 oraz P(𝐵|𝐴) = 𝑣_𝑖,HS, (4.9) to wartość 𝐸_𝑖,HS skuteczności 𝑖-tego środka redukcji ryzyka względem źródła zagrożenia HS można wyrazić równaniem:

𝐸_𝑖,HS = 𝑝_𝑖⋅ 𝑣_𝑖,HS, (4.10) gdzie:

𝑝_𝑖 – prawdopodobieństwo poprawnej pracy 𝑖-tego środka redukcji ryzyka, 𝑣_𝑖,HS – prawdopodobieństwo reakcji źródła zagrożenia HS na działanie 𝑖-tego środka redukcji ryzyka.

Środki redukcji ryzyka mogą współpracować ze sobą w ramach wypełniania jednej funkcji bezpieczeństwa. W modelu wyróżniono dwie zasady takiej współ-pracy – wzmacniającą i sekwencyjną.

58 Rozdział 4 Połączenie wzmacniające

Połączenie wzmacniające jest podstawowym typem połączenia między środ-kami redukcji ryzyka wypełniającymi jedną funkcję bezpieczeństwa. Dla działa-jących niezależnie od siebie środków redukcji ryzyka, zdarzenie 𝐷 „grupa środ-ków redukcji ryzyka wypełnia funkcję bezpieczeństwa” jest sumą zdarzeń 𝐷_𝑖, ta-kich, że 𝑖-ty (𝑖 = 1,2, … , 𝑛) środek redukcji ryzyka wypełnia funkcję bezpieczeń-stwa:

𝐷 = 𝐷₁∪ 𝐷₂∪ … ∪ 𝐷_𝑛 . (4.11) Można zauważyć, że zasada współpracy środków redukcji ryzyka połączonych wzmacniająco jest tożsama z niezawodnością systemu składającego się z elemen-tów połączonych równolegle. Dzięki temu, dalsze analizy można prowadzić w oparciu o aparat matematyczny teorii niezawodności, rozważając ich niepo-prawne działanie [178].

Dla struktury opisanej formułą (4.11), zdarzenie 𝐷̅ „żaden ze środków redukcji ryzyka w grupie nie wypełnia funkcji bezpieczeństwa” jest iloczynem zdarzeń 𝐷̅_𝑖, oznaczających niewypełnienie funkcji bezpieczeństwa przez pojedynczy środek redukcji ryzyka. Spowodowane to jest faktem, że grupa środków nie wypełni funkcji bezpieczeństwa tylko wtedy, gdy żaden ze środków nie wypełni funkcji bezpieczeństwa:

𝐷̅ = 𝐷̅₁∩ 𝐷̅₂∩ … ∩ 𝐷̅_𝑛 (4.12) oraz

P(𝐷̅) = P(𝐷̅₁∩ 𝐷̅₂∩ … ∩ 𝐷̅_𝑛) . (4.13) Jeżeli zdarzenia 𝐷̅_𝑖 są niezależne statystycznie, to prawdopodobieństwo ilo-czynu takich zdarzeń jest równe iloczynowi ich prawdopodobieństw:

P(𝐷̅) = ∏^𝑛_𝑖=1P(𝐷̅_𝑖) . (4.14) Skoro zdarzenia 𝐷 oraz 𝐷̅ (tak jak 𝐷_𝑖 oraz 𝐷̅_𝑖) są dopełniające się, to prawdziwe są także następujące zależności dotyczące podziału przestrzeni prawdopodobień-stwa:

P(𝐷) + P(𝐷̅) = 1 (4.15)

P(𝐷 ∩ 𝐷̅) = 0 (4.16)

P(𝐷𝑖) + P(𝐷̅_𝑖) = 1 (4.17)

P(𝐷_𝑖∩ 𝐷̅_𝑖) = 0 (4.18)

Jeżeli skuteczność grupy środków redukcji ryzyka jest wyrażona wzorem

𝐸 = 1 − P(𝐷̅) , (4.19)

Nowa metoda zarządzania ryzykiem zagrożeń generowanych podczas… 59 a skuteczność poszczególnych środków redukcji ryzyka oznacza się przez 𝐸_𝑖,HS (𝑖 = 1,2, … , 𝑛), to skuteczność działania grupy środków redukcji ryzyka można wyznaczyć z formuły:

𝐸_HS= 1 − ∏^𝑛_𝑖=1(1 − 𝐸_𝑖,HS) , (4.20) albo, uwzględniając zależność (4.10):

𝐸_HS = 1 − ∏^𝑛_𝑖=1(1 − 𝑝_𝑖∙ 𝑣_𝑖,HS) . (4.21) Połączenie sekwencyjne

Drugim modelowanym typem połączenia środków redukcji ryzyka jest połącze-nie sekwencyjne, w którym kolejny środek redukcji ryzyka włączany jest dopiero wtedy, gdy poprzedni nie wypełni funkcji bezpieczeństwa. Niech 𝐴_𝑖 (𝑖 = 1,2, … , 𝑛) określa zdarzenie, że 𝑖-ty środek redukcji ryzyka wypełnia funkcję bezpieczeństwa, gdy zostanie aktywowany. Następnie, niech 𝐵_𝑖 (𝑖 = 1,2, … , 𝑛) oznacza zdarzenie, że 𝑖-ty środek redukcji ryzyka jest aktywo-wany i wypełnia swoją funkcję. Ze względu na sekwencyjne załączanie środków redukcji ryzyka, prawdopodobieństwa zdarzeń 𝐵_𝑖 (𝑖 = 1,2, … , 𝑛) można zapisać:

P(𝐵₁) = P(𝐴₁) P(𝐵₂) = P(𝐴₂|𝐴̅₁) ∙ P(𝐴̅₁)

P(𝐵₃) = P(𝐴₃|𝐴̅₂∩ 𝐴̅₁) ∙ P(𝐴̅₂) ∙ P(𝐴̅₁) (4.22)

…

P(𝐵_𝑛) = P(𝐴_𝑛|𝐴̅_𝑛−1∩ … ∩ 𝐴̅₂∩ 𝐴̅₁) ∙ P(𝐴̅_𝑛−1) ∙ … ∙ P(𝐴̅₂) ∙ P(𝐴̅₁) . Realizacja jakiegokolwiek ze zdarzeń 𝐵_𝑖 pociąga za sobą brak realizacji pozo-stałych 𝑛 − 1 zdarzeń, w związku z czym założono, że zdarzenia 𝐵_𝑖 (𝑖 = 1,2, … , 𝑛) wzajemnie się wykluczają (są rozłączne).

Niech 𝐵 oznacza zdarzenie, w którym grupa połączonych sekwencyjnie środ-ków redukcji ryzyka wypełnia funkcję bezpieczeństwa. Prawdopodobieństwo ta-kiego zdarzenia jest równe prawdopodobieństwu wystąpienia przynajmniej jed-nego ze zdarzeń 𝐵_𝑖:

P(𝐵) = P(𝐵₁∪ 𝐵₂∪ … ∪ 𝐵_𝑛) = P(𝐵₁) + P(𝐵₂) + ⋯ + P(𝐵_𝑛). (4.23) Zapisując P(𝐵) = 𝐸_HS oraz P(𝐴_𝑖) = 𝐸_𝑖,HS, możemy zapisać:

𝐸HS = ∑^𝑛_𝑖=1𝐸_𝑖,HS∙ ∏^𝑖_𝑘=1(1 − 𝐸_{𝑘−1, HS}), gdzie 𝐸_0,HS= 0 . (4.24) Dla dwóch środków redukcji ryzyka połączonych sekwencyjnie, wzór (4.24) przyjmuje postać:

𝐸_HS = 𝐸_1,HS+ (1 − 𝐸_1,HS) ∙ 𝐸_2,HS . (4.25)

60 Rozdział 4

4.5 Podsumowanie

Wprowadzenie systemów zarządzania bezpieczeństwem w działalności za-rządcy infrastruktury wpłynęło przede wszystkim na pracę najwyższego szczebla organizacyjnego, jednak nie pozostało bez znaczenia także dla szczebla Zakładów Linii Kolejowych i Sekcji Eksploatacji. Wyróżnić tu należy przede wszystkim ko-nieczność sztywnego dostosowywania się do zapisów obowiązujących procedur i instrukcji wewnętrznych, a także wymóg szerszego spojrzenia na zagrożenia ge-nerowane podczas eksploatacji infrastruktury kolejowej. Są to zadania, które nie zostały w wyczerpujący sposób uwzględnione podczas wdrażania systemu zarzą-dzania bezpieczeństwem, co ma swoje odzwierciedlenie w protokołach z kontroli prowadzonych przez Prezesa UTK oraz w protokołach powypadkowych.

Przedstawiona w niniejszym rozdziale metoda zarządzania ryzykiem zagrożeń oraz zestaw narzędzi mają za zadanie wypełnić istniejącą lukę pomiędzy zapisami procedur systemu zarządzania bezpieczeństwem oraz wynikającą z wielu lat do-świadczeń działalnością jednostek organizacyjnych zarządcy infrastruktury. Pod-czas ich opracowywania szczególny nacisk położono na zapisanie tego doświad-czenia w postaci zgodnej z wymaganiami systemów zarządzania bezpieczeń-stwem, dzięki czemu mogą być one od razu wdrożone i wykorzystywane w zasto-sowaniach praktycznych.

5 Weryfikacja narzędzi nowej metody zarządzania ryzykiem zagrożeń

5.1 Wprowadzenie

W 2017 roku PKP PLK wraz z Narodowym Centrum Badań i Rozwoju rozpo-częły wspólne przedsięwzięcie „Badania i Rozwój w Infrastrukturze Kolejowej – BRIK”, mające na celu wsparcie badań naukowych i prac rozwojowych w ob-szarze infrastruktury kolejowej. W jego ramach ogłoszono konkurs na projekty odpowiadające na zadania zdefiniowane przez zarządcę infrastruktury [119]. Bu-dżet konkursu wynosił 50 mln złotych i obejmował pięć obszarów tematycznych.

W zakresie tej rozprawy znajduje się obszar nr 5 – usprawnienie procesu utrzy-mania i modernizacji infrastruktury kolejowej. Polegać ono miało m.in. na dobo-rze czynności utrzymaniowych z uwzględnieniem dostępnych środków finanso-wych oraz zasobów ludzkich. Jest to jedno z głównych zadań, które miałyby być realizowane przez Radę ds. utrzymania, funkcjonującą w ramach nowej metody zarządzania ryzykiem zagrożeń.

Podstawowym warunkiem wdrożenia nowej metody zarządzania ryzykiem za-grożeń zaproponowanej w rozprawie jest jednak zmiana w procesie przepływu informacji związanych z utrzymaniem infrastruktury kolejowej. Bez jej przepro-wadzenia nie ma możliwości kompleksowego wykorzystywania wszystkich do-stępnych danych do podejmowania decyzji utrzymaniowych. Na fakt ten wska-zują również autorzy zakresu tematycznego konkursu BRIK: „sprawne podejmo-wanie [decyzji utrzymaniowych] wymaga zapewnienia rzetelnej i szczegółowej oceny stanu toru oraz sprawnego systemu przekazywania informacji w ramach PLK S.A., co biorąc pod uwagę skalę działalności Spółki, jest jedną z kluczowych kwestii” [119].

Niestety, wprowadzenie zmian w działalności zarządcy infrastruktury wyłącz-nie w celu weryfikacji założeń nowej metody zarządzania ryzykiem zagrożeń wyłącz-nie jest możliwe w dającym się przewidzieć czasie. W konsekwencji zdecydowano się na ograniczeniu tej weryfikacji do zaproponowanych następujących narzędzi tej metody: segmentowego modelu ryzyka, graficznej charakterystyki zagrożenia, konfiguratora systemu bezpieczeństwa. Polegać ona będzie na pokazaniu sposobu działania tych narzędzi w rzeczywistych zastosowaniach i wykazaniu, że uzyski-wane wyniki są logiczne i spójne.

W przypadku segmentowego modelu ryzyka zagrożeń, potencjalnym proble-mem mogłoby być niedostosowanie zaproponowanego modelu matematycznego, obejmującego kryteria tablicowe i wzmacniacze ryzyka, do rzeczywistych potrzeb w opisie sposobu podejmowania decyzji utrzymaniowych przez ekspertów. Aby zweryfikować przydatność zaproponowanego narzędzia, pokazano sposób opra-cowywania segmentowego modelu ryzyka w oparciu o kryteria wskazane przez

62 Rozdział 5

grupę ekspertów. Kalibrację tego modelu wykonano w oparciu o teoretyczne, ale realne zalecenia dotyczące utrzymania infrastruktury kolejowej.

Podobną zasadę przyjęto również dla pozostałych narzędzi metody – graficznej charakterystyki zagrożenia oraz konfiguratora systemu bezpieczeństwa. W mode-lowej miejscowości leżącej przy linii kolejowej dokonano oceny ryzyka zagrożeń generowanych podczas eksploatacji infrastruktury kolejowej. Zagrożenia o ry-zyku nieakceptowanym przedstawiono graficznie i zaproponowano dla nich sto-sowne środki redukcji ryzyka.

5.2 Weryfikacja segmentowego modelu ryzyka zagrożeń