3. STAN OBECNY ZARZĄDZANIA RYZYKIEM ZAGROŻEŃ
3.4. Ocena ryzyka zagrożeń związanych z wprowadzanymi zmianami
W przypadku wprowadzania zmian do systemu kolejowego UE zastosowanie ma rozdział M rozporządzenia 1169 [100] oraz jego rozwinięcie w rozporządze-niu Komisji (UE) nr 402/2013 [99]. Rozporządzenie [99] obejmuje wszystkie zmiany o charakterze organizacyjnym, eksploatacyjnym i technicznym, wprowa-dzane nie tylko przez zarządców infrastruktury, ale także m.in. przewoźników ko-lejowych i podmioty odpowiedzialne za utrzymanie wagonów towarowych. Listę przykładowych zmian należących do każdej z trzech grup przedstawiono w ta-beli 3.2.
Tabela 3.2. Przykłady zmian w systemie kolejowym o charakterze technicznym, eksploatacyjnym i organizacyjnym
Zmiany
Techniczne Eksploatacyjne Organizacyjne
Budowa nowej infrastruktury
Źródło: opracowanie własne na podstawie [48]
W praktyce rozporządzenie [99] obejmuje w zasadzie wszystkie wprowadzane zmiany. Takie podejście jest zrozumiałe, gdyż nawet decyzja z pozoru wyłącznie biznesowa może skutkować zmniejszeniem poziomu bezpieczeństwa systemu
ko-Stan obecny zarządzania ryzykiem zagrożeń przez zarządców infrastruktury… 31 lejowego. Związek pomiędzy wprowadzoną zmianą i skutkiem w postaci zwięk-szenia ryzyka niektórych zagrożeń może nie być oczywisty na pierwszy rzut oka – dlatego wymagana jest świadoma ocena wpływu każdej zmiany na bezpieczeń-stwo systemu kolejowego.
W sytuacji, gdy zmiana ma wpływ na bezpieczeństwo systemu kolejowego, nie-zbędna jest jej dalsza ocena. Rozporządzenie [99] nakazuje określenie znaczenia zmiany na podstawie sześciu kryteriów:
1. Skutki awarii: wiarygodny najgorszy scenariusz w przypadku awarii ocenianego systemu, uwzględniający istnienie barier zabezpieczają-cych poza ocenianym systemem;
2. Innowacja wykorzystana przy wprowadzaniu zmiany: kryterium to obejmuje innowacje dotyczące zarówno całego sektora kolejowego, jak i organizacji wprowadzającej zmianę;
3. Złożoność zmiany;
4. Monitoring: niezdolność monitorowania wprowadzonej zmiany pod-czas całego cyklu życia systemu i dokonywania odpowiednich inter-wencji;
5. Odwracalność zmiany: niezdolność powrotu do systemu sprzed zmiany;
6. Dodatkowość: ocena znaczenia zmiany z uwzględnieniem wszystkich przeprowadzonych niedawno zmian ocenianego systemu, które były związane z bezpieczeństwem i nie zostały ocenione jako znaczące.
Kryterium dodatkowości ma zastosowanie w przypadku wielu niewielkich zmian wprowadzanych w krótkim okresie, np. podnoszenie prędkości maksymal-nej na linii o 10 km/h przez 10 kolejnych miesięcy. W takim przypadku niezbędne jest traktowanie wszystkich zmian nieznaczących jako jedną zmianę znaczącą.
Kryteria podane w rozporządzeniu [99] mają jedynie charakter wspomagający ocenę znaczenia zmiany. Pełną odpowiedzialność za ostateczną decyzję doty-czącą oceny znaczenia zmiany ponosi jej wnioskodawca, np. zarządca infrastruk-tury. Zarówno Agencja Kolejowa Unii Europejskiej, jak i krajowe organy ds. bez-pieczeństwa wielu państw członkowskich UE starają się pomóc w przeprowadza-niu tej oceny, opracowując i publikując poradniki (np. [48, 124, 184]) dedyko-wane rozporządzeniu [99].
Szczególnie duże znaczenie ma podejście zaproponowane przez krajowy organ ds. bezpieczeństwa Wielkiej Brytanii (Office of Rail Regulation) [124], gdyż jest ono wykorzystywane także m.in. w Niemczech [179] i w Polsce [184]. Zgodnie z nim, pierwszym branym pod uwagę kryterium jest dodatkowość – kryterium to ustala pełen zakres ocenianej zmiany. Następnie analizowana jest innowacja i zło-żoność proponowanej zmiany. Zakłada się, że im zmiana jest bardziej
innowa-32 Rozdział 3
cyjna i złożona, tym większa jest niepewność wyniku jej wprowadzenia. Niepew-ność ta, wraz z przewidywanymi skutkami awarii, służy do oceny znaczenia zmiany zgodnie z macierzą przedstawioną na rysunku 3.2.
Przewidywane skutki
Niepewność Nieznaczące (1) Marginalne (2) Krytyczne (3) Katastroficzne (4)
Wysoka (4) Średnia (3) Niska (2) Bardzo mała (1)
Rys. 3.2. Macierz do oceny znaczenia zmiany (opis w tekście) [124]
Zarówno niepewność, jak i dla przewidywane skutki określić należy w cztero-stopniowej skali, od 1 (bardzo mała niepewność wyniku, nieznaczące skutki awa-rii) do 4 (wysoka niepewność, katastroficzne skutki). Kolor zielony oznacza zmianę nieznaczącą; kolor czerwony – zmianę znaczącą. Gdy ocena znaczenia zmiany przy wykorzystaniu macierzy z rysunku 3.2 nie jest jednoznaczna (żółty kolor pola macierzy), należy wziąć pod uwagę dwa dodatkowe kryteria z rozpo-rządzenia [99]: monitoring i odwracalność zmiany. Monitoring może polegać za-równo na prostej obserwacji, jak i na zabudowaniu dedykowanej aparatury po-miarowej. W drugim przypadku przewidzieć należy oczywiście procedury gwa-rantujące odczyt pomiarów i właściwą reakcję na nie.
Odwracalność zmiany w rozumieniu rzeczywistego odtworzenia sytuacji sprzed wprowadzenia zmiany jest w ocenie autorów przewodnika [124] możliwa jedynie w szczególnych przypadkach. Proponują więc oni szersze rozumienie tego kryte-rium, jako „możliwość podjęcia szybkiej interwencji w reakcji na odczyty z mo-nitoringu, mającej na celu zapobieganie aktywizacji zagrożeń związanych z wpro-wadzaną zmianą lub złagodzenie ich skutków” [124]. Jeżeli wynik wprowadzenia zmiany nie może być skutecznie monitorowany lub reakcja na ewentualne niepra-widłowości nie jest możliwa, zmiana najprawdopodobniej powinna zostać oce-niona jako znacząca.
Stan obecny zarządzania ryzykiem zagrożeń przez zarządców infrastruktury… 33 Należy zauważyć, że niepewności przypisano mniejsze znaczenie niż skutkom awarii. Wykorzystanie dodatkowego kryterium zalecane jest w przypadku kata-stroficznych skutków awarii nawet wtedy, gdy niepewność wyniku wprowadze-nia zmiany jest bardzo mała (rys. 3.2).
W przypadku zmian znaczących, niezbędne jest wdrożenie pełnego procesu za-rządzania ryzykiem zagrożeń, zgodnie z metodą opisaną w rozporządzeniu [99], a której schemat ideowy przedstawiono na rysunku 3.3.
OCENA RYZYKA
REAGOWANIE NA RYZYKO REAGOWANIE NA RYZYKO
Określanie ryzyka zagrożeń
Rys. 3.3. Schemat ideowy wskazanej w rozporządzeniu [99] metody zarządzania ryzykiem zagrożeń [167]
Przedstawiony na rysunku 3.3 schemat metody z rozporządzenia [99] opiera się w dużym stopniu na klasycznej metodzie zarządzania ryzykiem. Jej celem jest identyfikacja zagrożeń związanych ze zmianą i utrzymywanie ich ryzyka na po-ziomach poniżej obszaru ryzyka kategorii nieakceptowane. Różnica polega na do-puszczeniu trzech zasad określania i wyceny ryzyka (w rozporządzeniu nazywa-nych zasadami akceptacji ryzyka).:
powołanie się na kodeksy postępowania, a więc np. normy czy karty UIC. Wnioskodawca ma prawo założyć, że stosowanie powszechnie uznanych standardów skutecznie redukuje ryzyko zagrożeń generowa-nych w ramach proponowanej zmiany
porównanie proponowanej zmiany z istniejącym rozwiązaniem. W tym celu należy oczywiście dysponować wiarygodnymi informacjami o tym rozwiązaniu i jego wpływie na bezpieczeństwo
oszacowanie i wycena ryzyka przy pomocy modelu ryzyka adekwat-nego do proponowanej zmiany.
34 Rozdział 3
Poprawność wyboru zasady określania i wyceny ryzyka, a także środków re-dukcji ryzyka niezbędnych do jego utrzymania na poziomach poniżej obszaru ry-zyka kategorii nieakceptowane, jest oceniana przez niezależną jednostkę ocenia-jącą (AsBo, od ang. Assessment Body), posiadaocenia-jącą odpowiednie uprawnienia wy-nikające z rozporządzenia [99].
Tematyce rozporządzenia [99] poświęcone jest wiele publikacji w polskich cza-sopismach naukowych i branżowych oraz w materiałach konferencyjnych. Przed-stawienie treści rozporządzenia znaleźć można w pracach Chruzik [33] oraz Ja-błońskich [84]. Przykład możliwości wykonania niektórych czynności wymaga-nych rozporządzeniem zawiera praca Białonia i Pawlika [21] oraz Smoczyń-skiego, Finke i Kadzińskiego [164]. Sowa w pracy [169] przedstawił analizę po-prawności użycia w rozporządzeniu [99] wybranych pojęć z zakresu inżynierii bezpieczeństwa.