6.1 Główne osiągnięcia rozprawy
Systemy zarządzania bezpieczeństwem są w polskich podmiotach kolejowych odbierane najczęściej jako źródło dodatkowych obciążeń biurokratycznych, które nie mają żadnej wartości dodanej. Nie jest to jednak wcale pogląd charaktery-styczny wyłącznie dla polskich kolei. Na podobne zjawisko wskazywali autorzy prac wydanych w numerze specjalnym prestiżowego czasopisma Safety Science, poświęconym kluczowym zagadnieniom inżynierii bezpieczeństwa. Przyznali oni, że opracowywane w dobrej wierze koncepcje naukowe, po ich narzuceniu za pomocą aktów prawnych, przyczyniają się do spadku znaczenia wiedzy praktycz-nej oraz zbyt dużego wpływu różnego typu firm consultingowych [3, 41].
Paradoksalnie, niepełne wdrażanie systemów zarządzania bezpieczeństwem w polskich podmiotach kolejowych sprawiło, że wiele decyzji wciąż podejmowa-nych jest w oparciu o wieloletnie doświadczenie, a nie – pod dyktando procedur pisanych przez pracowników firm doradczych. Szczególnie widoczne jest to w podmiotach o bardziej rozbudowanej strukturze, w których pracownicy posłu-gują się instrukcjami opracowanymi jeszcze w czasach jednolitych Polskich Kolei Państwowych. Środowisko naukowe ma zatem jeszcze szansę zaproponowania zmian w systemach zarządzania bezpieczeństwem, które będą jednocześnie do-pracowane merytorycznie i możliwe do zastosowania w rzeczywistych warun-kach pracy.
Celem niniejszej rozprawy było przygotowanie składowych nowej metody za-rządzania ryzykiem zagrożeń generowanych podczas eksploatacji infrastruktury kolejowej, które pozwolą na sformalizowanie procesu istniejącego oraz zapewnią jego powtarzalność i przejrzystość. Proponowane zmiany mają z jednej strony aplikować pozytywne cechy inżynierii bezpieczeństwa, a z drugiej – utrzymywać znaczenie zdobywanej latami wiedzy pracowników zarządcy infrastruktury.
W rozprawie przedstawiono uwarunkowania prawne dotyczące zarządzania ry-zykiem zagrożeń generowanych podczas eksploatacji infrastruktury kolejowej oraz wskazano obecnie stosowaną metodę zarządzania ich ryzykiem. Na tej pod-stawie opracowano nową metodę zarządzania ryzykiem oraz zestaw narzędzi nie-zbędnych do sformalizowania istniejących procesów i zintegrowania ich z wdro-żonym systemem zarządzania bezpieczeństwem.
Przeprowadzono pozytywną weryfikację możliwości zastosowania narzędzi:
segmentowego modelu ryzyka, graficznej charakterystyki zagrożenia oraz konfi-guratora systemu bezpieczeństwa. Zaproponowany zapis wyników szacowania i wyceny ryzyka zagrożeń pozwala na udokumentowanie przyczyn podejmowa-nia wypracowanych decyzji, co samo w sobie jest ważne w przypadku korzystapodejmowa-nia ze środków publicznych [78].
76 Rozdział 6
6.2 Uwagi końcowe
Proponowana w rozprawie metoda zarządzania ryzykiem zagrożeń generowa-nych podczas eksploatacji infrastruktury korzysta z koncepcji warstwowych mo-deli systemów, wykorzystując je do modelowania:
1. Procesu utrzymania infrastruktury kolejowej 2. Sposobu współdziałania środków redukcji ryzyka.
Takie wykorzystanie modeli warstwowych jest w literaturze przedmiotu stosun-kowo rzadko spotykane. Praktycznie jedyną w pełni sformalizowaną metodą ba-zującą na modelach warstwowych i wykorzystywaną w domenie techniki i bez-pieczeństwa jest Analiza Warstw Ochronnych (LOPA – od ang. Layer of Protec-tion Analysis), opisana m.in. w pracach [5, 171]. Jej zastosowanie w proponowa-nym w tej rozprawie modelu nie było jednak możliwe ze względu na specyfikę LOPA (dedykowanej dla systemów bezpieczeństwa w przemyśle chemicznym), związanych z zastosowaną w niej koncepcją „ochrony w głąb” [26, 50].
Zarówno w modelowaniu procesu utrzymania infrastruktury kolejowej, jak i za-leżności między środkami redukcji ryzyka, niezbędne jest odwzorowanie powią-zań pomiędzy warstwami.
W literaturze przedmiotu spotyka się wiele sposobów wyróżniania warstw, ale nie są one zazwyczaj zdefiniowane w sposób bezpośredni. Typowe są podziały bazujące na typach elementów systemu, np. logicznych i fizycznych [122], czy sprzętowych i behawioralnych [63], a także na własności elementów [22, 55]. Pro-ponuje się także wykorzystywanie typów interakcji pomiędzy ludźmi [30] czy stopnia ochrony w zastosowaniach informatycznych [151]. Nieco inny charakter mają modele warstwowe stosowane do opisania stanu pewnego obszaru, np.
w wyniku ulatniania się gazu [71].
Oprócz wykorzystanego w niniejszej rozprawie podejścia procesowego i syste-mowego, do opisu poszczególnych warstw można wykorzystać także model dra-biny decyzyjnej, bazujący na opracowaniu [153] i pracach Reasona i Rasmussena.
W modelu tym rozróżnia się interakcje wymagające wyłącznie umiejętności (S – od ang. skill), a także wymagających wykorzystania reguł (R – rule) oraz wiedzy (K – knowledge). Określenie typu interakcji jest o tyle cenne, że umożli-wia oszacowanie prawdopodobieństwa popełnienia błędu przez człowieka [72].
Przybliżone oszacowanie udziału tych interakcji na poszczególnych warstwach przedstawiono na rysunku 6.1.
Zauważa się, że warstwa 2 (Zarządzanie danymi) oraz warstwa 4 (Czynności utrzymaniowe), mają jednoznaczny charakter w rozumieniu modelu drabiny de-cyzyjnej. Warstwa 2, na której sprawdza się warunki dotyczące zwołania Rady ds. utrzymania, ma charakter działania według reguł; czynności utrzymaniowe, wykonywane w ramach warstwy 4, wymagają natomiast przede wszystkim umie-jętności.
Podsumowanie rozprawy i kierunki dalszych badań 77
Rys. 6.1. Schemat ideowy szacunkowego udziału umiejętności (S), reguł (R) oraz wiedzy (K) na poszczególnych warstwach. Opracowanie własne
Pozostałe dwie warstwy mają charakter mieszany. Pomiary i wstępna analiza ich wyników, wykonywane w ramach warstwy 1, opisane są co prawda w odno-śnych instrukcjach i mogłyby mieć charakter działania według reguł. Wyniki ba-dań [194] wskazują jednak, że w rzeczywistości osoby przeprowadzające pomiary wykorzystują przede wszystkim swoje umiejętności i wiedzę dotyczącą badanych obiektów. Z kolei Rada ds. utrzymania (warstwa 3) wykorzystuje przede wszyst-kim wiedzę swoich członków, ale mogą być wykorzystywane również pewne re-guły, np. w postaci list kontrolnych.
6.3 Wnioski
1. Zarządzanie ryzykiem zagrożeń może być i jest wykonywane w sposób intuicyjny w każdym przejawie działalności człowieka, także przy po-dejmowaniu decyzji dotyczących utrzymania systemów technicznych.
Dotyczy to również sytuacji, w których wdrożono systemy zarządzania bezpieczeństwem, ale zapisy ich procedur są one zbyt ogólne, aby pra-widłowo odzwierciedlać specyfikę regulowanej działalności.
2. Możliwe i zasadne jest opracowywanie koncepcji naukowych z zakresu inżynierii bezpieczeństwa, które są zgodne z wdrożonymi w podmio-tach kolejowych systemami zarządzania bezpieczeństwem, ale są bar-dziej dostosowane do rozwiązywania rzeczywistych problemów z wy-korzystaniem praktycznej wiedzy pracowników.
3. Segmentowy model ryzyka wraz z propozycją algorytmu jego kalibracji jest dobrym sposobem zapisu wiedzy praktycznej dotyczącej ważności wykonywania czynności utrzymaniowych infrastruktury kolejowej w sposób umożliwiający formalizację zapisu podstaw podejmowanych decyzji, a w konsekwencji – ich zgodność z zasadami systemowego za-rządzania bezpieczeństwem.
78 Rozdział 6
4. Graficzna charakterystyka zagrożeń jest propozycją zastosowania za-pisu graficznego do zarządzania ryzykiem zagrożeń, pozwalając na ko-ordynację działań różnych podmiotów działających w ramach systemu kolejowego.
5. Konfigurator systemu bezpieczeństwa może być wykorzystywany do skutecznego komunikowania się z przedstawicielami innych podmio-tów kolejowych oraz stron spoza systemu kolejowego, np. władz samo-rządowych.
6. Wprowadzenie do systemu zarządzania bezpieczeństwem narzędzi de-dykowanych konkretnym grupom pracowników i uwzględniających ich wiedzę i doświadczenie może wpłynąć na poprawę ich stosunku do po-zostałych procedur systemów zarządzania bezpieczeństwem.
6.4 Kierunki dalszych badań
Przedstawiona w rozprawie metoda zarządzania ryzykiem zagrożeń jest oparta na tradycyjnym podejściu do bezpieczeństwa, zwanego obecnie „Safety-I” („Bez-pieczeństwo-I”). W przyszłości należałoby ją uzupełnić o elementy Bezpieczeń-stwa-II, w ramach którego identyfikowane byłyby przyczyny poprawnych decyzji podejmowanych przez pracowników zarządcy infrastruktury w związku z jej utrzymaniem. Wzmacnianie takich przyczyn z pewnością doprowadziłoby do wzrostu odporności systemu kolejowego.
Wdrożenie segmentowego modelu ryzyka w większej liczbie jednostek organi-zacyjnych zarządcy infrastruktury umożliwiłoby wykonanie analizy porównaw-czej kryteriów stosowanych w różnych częściach systemu kolejowego. Ciekawym zagadnieniem badawczym byłoby także poszukiwanie zależności pomiędzy przyjmowanymi na danym terenie kryteriami i wynikami utrzymania infrastruk-tury kolejowej oraz poziomem bezpieczeństwa.
Poprawność wyników uzyskiwanych przy zastosowaniu konfiguratora systemu bezpieczeństwa zależy w dużej mierze od poprawności przyjętej charakterystyki środków redukcji ryzyka. Zasadnym jest zatem przeprowadzenie badań empirycz-nych pozwalających na wyznaczanie rzeczywistej skuteczności tych środków, np.
poprzez obserwację z wykorzystaniem ukrytych kamer lub badania z wykorzysta-niem symulatora pojazdu drogowego i/lub kolejowego.