Veiledning om bruk av barrierer for jernbanevirksomheter

Like dokumenter
Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: Oppdatert:

Oppfølging av avvik og uønskede hendelser

Forskriftsspeil forskriftsutkast gjeldende kravforskrift

Risikoanalysens verdi etter ulykken. Ida H. Grøndahl, Statens havarikommisjon for transport ESRA seminar

PETERSON RAIL AB TILSYNSRAPPORT

NSB Gjøvikbanen AS Persontransport. Sikkerhetsstyring TILSYNSRAPPORT

RAPPORT OM ALVORLIG JERNBANEHENDELSE PÅ BERGENSBANEN VED VOSS STASJON 14. FEBRUAR 2012 TOG 1813

Veiledning om leverandørstyring

Sikkerhetsrapport 2014

Forskrift om krav til privat sidespor og godsbane (sidesporforskriften)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Ulykkesstatistikk 2011

Foreløpig ulykkesstatistikk 2013

Nytt barrierenotat. Øyvind Lauridsen og Gerhard Ersdal, Ptil PTIL/PSA

«Ja Well» Brønnkontroll og styring av barrierer

Nytt barrierenotat PTIL/PSA

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Uønskede hendelser med taubane

OSLO HAVN KF TILSYNSRAPPORT

Jernbaneverket. TILSYNSRAPPORT NR Kontroll av sporsperrer Lodalen

SJ AB. TILSYNSRAPPORT NR Sikkerhetssertifikat del B Risikoformidling og rapportering av hendelser

Sikkerhetsrapport 2016

Sikkerhetsrapport 2015

Jernbaneverket Norsk Jernbanemuseum. Tilsynsmøte TILSYNSRAPPORT. Rapport nr 20-10

statens jernbanetilsyn NSB Gjøvikbanen AS TILSYNSRAPPORT NR Sikkerhetsstyring og vedlikehold

Barrierer, aldring og levetidsforlengelse

Sikkerhetsstyringsforskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet jf. sikkerhetsstyringsforskriften 1-1.

Sikkerhet i Jernbaneverket

Sikkerhetsrapport 2017

Museene i Sør- Trøndelag AS sin museumsbanedrift ved Thamshavnbanen. Dokumentgjennomgang TILSYNSRAPPORT. Rapport nr 17-10

Hector Rail AB. TILSYNSRAPPORT NR Sikkerhetssertifikat del B Risikoformidling og rapportering av hendelser

Norsk Jernbaneklubb Gamle Vossebanen TILSYNSRAPPORT. Rapport nr Vedlegg til rapport x-00

Jernbaneverket Behandling av uønskede hendelser TILSYNSRAPPORT. Rapport nr 7-07

TX Logistik AB. TILSYNSRAPPORT NR Operativ kontroll av skifting og lasting - Koppang

MORGENMØTE BEREDSKAP. Statens jernbanetilsyn jernbane taubane park og tivoli Side 1

Hector Rail AB TILSYNSPPORT NR Inspeksjon Kjøring av tog

NSB AS. Oppfølging av avvik og uønskede hendelser

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

TX Logistik AB. TILSYNSRAPPORT NR Godstransport

Ulykkesstatistikk 2007

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Agenda. Om sikkerhet og jernbane Utbygging Drift

RAPPORT OM JERNBANEULYKKE DOMBÅS ST DOVREBANEN 12. DESEMBER 2006 TOG 5709

FORSLAG TIL KOMMENTARER TIL FORSLAG TIL SIKRINGSFORSKRIFT

Barrierer. med eksempler relatert til konstruksjoner, marine systemer og aldring og levetidsforlengelse

Morgenmøte Rapportering av uønskede hendelser og sikkerhetsindikatorer

Bergen Elektriske Sporvei TILSYNSRAPPORT

Sikkerhetsrapport 2018 for tog, trikk og T-bane

Veiledning til årlig rapportering etter sikkerhetsstyringsforskriften 8-1 annet ledd (veiledning om årlig sikkerhetsrapport)

Green Cargo AB. TILSYNSRAPPORT Revisjon av sikkerhetssertifikat del B for godstrafikk. Rapport nr statens jernbanetilsyn

TILSYNSRAPPORT NR

Veiledning om fareidentifisering for togframføring

Norsk Industriarbeidermuseum. Revisjon

TILSYNSRAPPORT Strekningskunnskap

Tilsynserfaringer. Mange gode løsningsforslag i industrien, men ikke helt i mål. Bjørn Thomas Bache, tilsynsdirektør Elisabeth Lootz, sjefingeniør

Bane NOR SF. TILSYNSRAPPORT NR Tilsynsmøte om oppfølging av interne revisjoner

statens jernbanetilsyn LKAB Malmtrafik AB TILSYNSRAPPORT NR

Barrierestyring. Hermann Steen Wiencke PREPARED.

statensjernbanetilsyn Jernbaneverket TILSYNSRAPPORT Rapport nr 11-11

JERNBANEVERKET TILSYNSRAPPORT NR REVISJON AV GROPA SIDESPOR - KONGSVINGERBANEN

Kunstnerdalen Kulturmuseum avdeling Krøderbanen TILSYNSRAPPORT

GRENLAND RAIL AS TILSYNSRAPPORT NR REVISJON AV SIKKERHETSSTYRINGSSYSTEMET

Begrenset Fortrolig. Bryn A Kalberg. Aina Eltervåg, Einar Ravnås, Arne Johan Thorsen og Bryn A Kalberg

NSB as Granskningsrutiner TILSYNSRAPPORT. Rapport nr Statens jernbanetilsyn. Rapport Side 1 av 11

Rjukanbanen Dokumentgjennomgang TILSYNSRAPPORT. Rapport nr 15-11

Norsk jernbanemuseum. Revisjon sikkerhetsstyring TILSYNSRAPPORT NR

Jernbaneverket. TILSYNSRAPPORT NR Leverandørstyring

Ulykkesstatistikk 2009

Keolis Norge AS Revisjon. Risikovurderinger, avviksbehandling og leverandørstyring TILSYNSRAPPORT NR

Forskrift om krav til sporvei, tunnelbane, forstadsbane m.m. (kravforskriften).

Bane NOR TILSYNSRAPPORT NR

Jernbaneverket. TILSYNSRAPPORT NR Arbeid i og ved spor leverandørstyring, prosjekt ombygging av Råde stasjon

Oslo T-banedrift AS TILSYNSRAPPORT

Eksempel: Et typisk avvik

Hector Rail AB Tilsynsrapport Rapport nr 02-11

Trafikkregler for ERTMS på Østfoldbanen østre linje - Kap. 3 Skifting

BANE NOR SF. Revisjon oppfølging av uønskede hendelser TILSYNSRAPPORT NR

Fremtiden på skinner. Havarikommisjonens rolle og arbeid, eksempel Sjursøya. 26. oktober 2010.

RAPPORT OM ALVORLIG JERNBANEHENDELSE MELLOM ROMBAK OG BJØRNFJELL STASJONER OFOTBANEN 20. JUNI 2011 TOG OG 59007

Jernbaneverket. TILSYNSRAPPORT NR Kjente risikoforhold

Tågåkeriet i Bergslagen AB Tilsynsrapport nr Vedlikehold av kjøretøy, oppfølging av forutsetninger og av tidligere tilsyn

Museene i Sør-Trøndelag AS Orkla Industrimuseum Thamshavnbanen. Revisjon

Merknad: Det er feil i revisjonsoversikten på s. 7, som ikke er mulig å rette opp.

Oslotrikken AS TILSYNSRAPPORT

TX Logistik AB. Kontroll av tog på Lillestrøm

RAPPORT. JB Rapport: 3/2006. Postboks Lillestrøm Telefon: Faks: E-post:

Trafikkregler for ERTMS på Østfoldbanen østre linje - Kap. 1 Innledende bestemmelser

Bybanen AS TILSYNSRAPPORT. Rapport nr 01-11

Risikoanalyser i petroleumsvirksomheten. Behov for å endre/justere kursen? Vidar Kristensen

Barrierestyring og samspillet mellom mennesker og teknologi. Elisabeth Lootz, Petroleumstilsynet Sikkerhetsforum

Bybanen AS Revisjon med tema. Risikostyring, avviksoppfølging og leverandørstyring TILSYNSRAPPORT NR

Jernbaneverket TILSYNSRAPPORT NR Beredskap Oslotunnelen

statens jernbanetilsyn jerribane taubane park og tivoli Flytoget AS Sikkerhetsstyring TILSYNSRAPPORT Rapport nr

Ny i Norge? Sikkerhetssertifikat og tilsyn. Geir-Rune Samstad Ine Ancher Grøn Øystein Ravik

Utkast til forskrift om krav til sporvei, tunnelbane, forstadsbane m.m. (kravforskriften).

Barrierestyring Geir Erik Frafjord Petroleumstilsynet ESRA årsmøteseminar DNV Parken, Oslo

Grenland Rail AS Tilsynsrapport nr Sikkerhetsstyring

Vi viser videre til vårt tilsynsmøte 24.juni 2010 der utestående pålegg fra ovennevnte revisjoner ble gjennomgått.

Risiko og beredskap i NSB. Informasjonsmøte på Utsikten hotell i Kvinesdal mandag 5. mars

Transkript:

Veiledning om bruk av barrierer for jernbanevirksomheter Utgitt februar 2015

Innhold 1 Bakgrunn... 3 2 Hensikt... 3 3 Omfang... 3 4 Sentrale regelverkskrav... 3 5 Hva er en barriere?... 5 5.1 Definisjoner på barrierebegreper... 5 5.2 Barrierer en del av sikkerhetsstyringen... 6 5.2.1 Koordinerte aktiviteter... 6 5.2.2 Riktig valg av styringselementer... 7 5.2.3 Hvor mange barrierer må vi ha?... 8 5.2.4 Ytelseskrav til barriereelementer... 8 5.2.5 Barrierene må være kjent... 8 5.2.6 Uavhengige barrierer... 9 5.2.7 Systematisk oppfølging av barrierer...10 6 Eksempler på verktøy og metodikk...11 6.1 Planlegge...11 6.2 Utføre...11 6.3 Kontrollere og korrigere...12 7 Eksempler fra revisjoner og hendelser...13 7.1 Eksempel 1, Enkeltfeilprinsippet (revisjon):...13 7.2 Eksempel 2, Rullende materiell (revisjon):...13 7.3 Eksempel 3, Manglende barrierer (revisjon):...13 7.4 Eksempel 4, Sammenstøt (alvorlig jernbanehendelse):...14 7.5 Eksempel 5, Snøoverbygg i brann (jernbaneulykke):...14 7.6 Eksempel 6, Flankekollisjon (alvorlig jernbanehendelse):...14 7.7 Eksempel 7, Skinnebrudd (alvorlig jernbanehendelse):...15 8 Barrierer som har brutt spesifiserte uønskede hendelsesforløp...15 8.1 Eksempel 1, Passhendelse uten virksom ATC...15 8.2 Eksempel 2, Tog sporer av i avsporingsveksel...16 8.3 Eksempel 3, Værberedskap...16 8.4 Eksempel 4, Vedlikehold av materiell...16 9 Vanlige tilsynsspørsmål om barrierestyring:...16 10 Henvendelser...17 11 Referansedokumenter...17 2

12 Vedlegg...17 1 Bakgrunn Bruk av barrierer er utfordring for mange jernbanevirksomheter, og mange virksomheter har de samme utfordringene: Mangelfull forståelse av barrierebegrepet. Varierende grad av implementering av krav om barrierer. Mangelfull systematikk og manglende/mangelfull synliggjøring av barrierer. 2 Hensikt Hensikten med veiledningen er å bidra til bedre forståelse av barrierebegrepet og bruken av barrierer. Tilsynet håper at veiledningen vil gjøre det lettere for virksomhetene å implementere kravet til bruk av barrierer i sin virksomhet på en systematisk og tydelig måte. Veiledningen er ikke uttømmende eller bindende. Virksomhetene har et selvstendig ansvar for å kjenne og etterleve jernbanelovgivningen. 3 Omfang Veiledningen omhandler prinsipper for etablering, formidling og bruk av barrierer, viser eksempler og gir praktisk veiledning til verktøy og metodikk. Veiledningen har fokus på barrierer som reduserer sannsynlighet for at en hendelse inntreffer, og den fokuserer på den daglige drift. Den kan brukes både av jernbanevirksomheter som har lisens og sikkerhetssertifikat for å operere på det nasjonale jernbanenettet og av jernbanevirksomheter som har tillatelse til å operere utenfor det nasjonale jernbanenettet (sporvei, tunnelbane, forstadsbane mm). Det stilles ikke krav til bruk av barrierer for jernbanevirksomheter som er underlagt sidesporforskriften (private sidespor og godsbaner) eller museumsbaneforskriften (museumsjernbaner). Denne veilederen baserer seg i helhet på gjeldende regelverk og på anerkjent teori omkring barrierer. Den innebærer ikke skjerping av eksisterende regelverkskrav. 4 Sentrale regelverkskrav Kravet til bruk av barrierer er forskriftsfestet for jernbanevirksomheter som er underlagt sikkerhetsstyringsforskriften (jernbanevirksomheter på det nasjonale jernbanenettet) og kravforskriften (sporvei, tunnelbane, forstadsbane m.m). Kravene til bruk av barrierer de samme: Virksomheten skal planlegges, organiseres og utføres med henblikk på at en enkeltfeil ikke skal føre til en jernbaneulykke, tap av menneskeliv eller alvorlig personskade. Jernbanevirksomheten skal ha barrierer som reduserer sannsynligheten for at feil, fare- og ulykkessituasjoner utvikler seg. Det skal være kjent i virksomheten hvilke barrierer som er etablert og hvilke funksjoner de skal ivareta. 3

Der det er nødvendig med flere barrierer, skal det være tilstrekkelig uavhengighet mellom barrierene. Barrierene skal være identifisert og dokumentert. 4

5 Hva er en barriere? 5.1 Definisjoner på barrierebegreper Mennesker gjør feil og tekniske komponenter svikter. Dette kan vi forebygge, men vi klarer aldri å unngå det helt. For å forebygge jernbaneulykker, tap av menneskeliv eller alvorlig personskade, må vi forsøke å hindre at feil handling og teknisk svikt fører til ulykker, og her kommer barrierene inn i bildet. Definisjonen på en barriere er: Teknisk, operasjonell, organisatorisk eller andre planlagte og iverksatte tiltak som har til hensikt å bryte en identifisert uønsket hendelseskjede Eller med andre ord: Tiltak som hver for seg eller i samspill skal hindre eller bryte spesifiserte uønskede hendelsesforløp En barriere kan altså være en fysisk ting eller en teknisk innretning, et menneske som skal utføre en spesifikk handling eller organisatoriske forhold som for eksempel en beskrevet arbeidsprosess. Barrierer er alltid rettet mot et bestemt hendelsesforløp. Et eksempel på et slikt hendelsesforløp kan være Hensatt materiell kommer utilsiktet i bevegelse ut på trafikkert spor og kolliderer med rutegående materiell. Her ønsker vi å ha kontroll med hensatt materiell. Dersom en har effektiv kontroll med hensatt materiell, kan en unngå at materiell kommer utilsiktet i bevegelse og ut på trafikkert spor, og dermed bryte hendelsesforløpet. Figur 1 Barrierer bryter spesifiserte, uønskede hendelsesforløp Det kan ofte være nyttig å tenke på en barriere som en funksjon og ikke som en ting (dvs. en fysisk gjenstand). Hvis vi tenker på kontroll med hensatt materiell som en funksjon, forstår vi at dette er en oppgave som kan utføres på flere måter. Hvis vi vil understreke at vi tenker på en barriere som en funksjon, snakker vi om barrierefunksjoner. For å vite om barrierefunksjonen er ivaretatt, må vi vite hvem eller hva som utfører eller ivaretar barrierefunksjonen. Menneskene, utstyret eller systemene som utfører eller ivaretar barrierefunksjoner kalles barriereelementer. 5

Barrierefunksjon Kontroll med hensatt materiell Barriereelementer Sporsperre Parkeringsbrems Bremsesko Håndbrems Avledende sporveksel Ansvarlig for skifting Tillatelse Arbeidsprosedyre for hensetting av materiell Tabell 1 Eksempel på barrierefunksjoner og barriereelementer Sikkerhetstiltak som ikke er rettet mot et spesifisert hendelsesforløp er ikke barrierer. Rapportering av ulykkestilløp er et eksempel på et sikkerhetstiltak som normalt ikke er rettet mot et bestemt hendelsesforløp, og som derfor heller ikke er en barriere. 5.2 Barrierer en del av sikkerhetsstyringen 5.2.1 Koordinerte aktiviteter Barrierer er en del av virksomhetens sikkerhetsstyring og kontinuerlige forbedring. Gjennom sikkerhetsstyring i virksomheten koordineres aktiviteter for å etablere og opprettholde barrierer slik at de til enhver tid opprettholder sin funksjon. Aktiviteter/styringselementer knyttet til barrierer finner vi igjen i alle deler av kvalitetssirkelen: Figur 2 Aktiviteter/styringselementer i hele kvalitetssirkelen 6

For eksempel vil det gjennom en risikoanalyse kunne identifiseres funksjoner i et teknisk system som gir uakseptabel risiko dersom de feiler. Tiltakene som besluttes gjennomført for å ha kontroll selv om funksjonene feiler, er barrierene. For at dette skal gi mening, må barrierene følges opp også i forbindelse med operativ drift. For å være sikker på at dette blir gjort, må barrierene som knyttes til funksjonen være formidlet til de som skal utføre kontroll og vedlikehold av det tekniske systemet. Formidling og synliggjøring kan for eksempel gjøres ved bruk av S-merking. Videre følges den operative driften opp gjennom for eksempel årsaksanalyser og revisjoner/inspeksjoner, og nødvendig forbedring utføres. Man kan også illustrere arbeid med barrierer som en prosess: Figur 3 Eksempel på barriereprosess 5.2.2 Riktig valg av styringselementer Styringselementene er alle de tingene virksomheten gjør for å ha kontroll på barrierene. Det er viktig å være klar over at det kan være stor forskjell på hvilke styringselementer en virksomhet trenger. En liten og oversiktlig virksomhet vil ha et annet behov for styringselementer/aktiviteter enn en stor og komplisert virksomhet. 7

5.2.3 Hvor mange barrierer må vi ha? Det er veldig lett å ende opp med for mange barrierer fordi man "deler opp" en identifisert barriere i flere deler. Hvis et gjerde er identifisert å være et barriereelement som skal hindre barn i en barnehage i å løpe ut på veien, kan man S-merke det. Det gir liten mening å S-merke alle spiker og plankebord som gjerdet består av. Her er det viktig at virksomheten gjør en vurdering av behov ut i fra virksomhetens aktiviteter. 5.2.4 Ytelseskrav til barriereelementer Det er viktig at kravene til barriereelementene spesifiseres slik at det kommer tydelig fram hva det er de skal ivareta. Barriereelement Sporsperre Ytelseskrav Skal kunne stanse materiell som utilsiktet kommer i bevegelse: Den skal dimensjoneres til å stanse persontog, enkeltsett, med hastighet opp til 40km/h Tabell 2 Eksempel på ytelseskrav til barriereelement Det må identifiseres og etableres ytelseskrav til de barriereelementene man mener er nødvendige for å kunne realisere en barrierefunksjon. Noen barrierefunksjoner vil ha en overvekt av tekniske barriereelementer, mens det for andre systemer vil være en overvekt av operasjonelle elementer. Det er ikke alltid lett å vite om det er den ene eller andre merkelappen som passer til de ulike barriereelementene, og det er heller ikke det viktigste. Det er hva barriereelementet skal gjøre (ytelseskravet) som er viktig for at man skal vite om barrierefunksjonen er realisert, men generelt bør tekniske barrierer i størst mulig grad velges fremfor menneskelige barrierer fordi de normalt har større pålitelighet. I tillegg bør sannsynlighetsreduserende barrierer velges fremfor konsekvensreduserende barrierer. 5.2.5 Barrierene må være kjent De skal være kjent i virksomheten at barrierene er etablert og hvilke funksjoner de skal ivareta. Det betyr at barrierene skal være kjent for alle som har behov for å ha kunnskap om dem i forbindelse med det arbeidet de utfører. Relevant personell skal vite hvilke barrierer som er etablert og hva som er forutsetningene for at de skal fungere. Dette kan f.eks. gjøres ved at vedlikeholdsdokumentasjon og arbeidsordre inneholder informasjon om hvilke oppgaver som er relatert til barrierer mot enkeltfeil, og som derfor krever spesiell oppmerksomhet. Det skal også være kjent hvilke barrierer som eventuelt er ute av funksjon eller er svekket, og det skal settes i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. I tillegg er læring i hele virksomheten en vesentlig del av sikkerhetsstyring og bruk av barrierer. Det er viktig at erfaring om barrierer som ikke virker slik de var tiltenkt, eller forbedringer i barrierer, gjøres kjent i hele virksomheten. Virksomheter som har aktivitet på flere steder må være spesielt oppmerksomme på dette. 8

5.2.6 Uavhengige barrierer Krav til uavhengige barrierer skal øke systemets robusthet mot feil. Fordi verken mennesker eller tekniske systemer er feilfrie, kan det være situasjoner der én enkelt barriere ikke gir tilstrekkelig sikkerhet. Risikoen kan da reduseres ytterligere ved å etablere flere barrierer. Eksempel: Ved å utstyre en sykkel med to bremser, reduserer vi sannsynligheten for å skades på grunn av bremsesvikt. Dersom en feil alene kan føre til en ulykke, må virksomheten, dersom det er mulig, etablere minst én ekstra barriere mot at dette skjer. Dette kan for eksempel gjøres ved at det iverksettes ekstra overvåkning, dobbeltsjekking eller redundante systemer. Et eksempel på redundante systemer er datasystemer der to eller flere datamaskiner jobber parallelt med samme oppgaver og speiler hverandre, slik at dersom en av dem skulle gå ned så kan den andre ta over. Eksempel på redundant system: Ved noen av de tidlige romferdene løste tre datamaskiner de samme oppgavene, og for å beskytte seg mot programfeil var programmene deres skrevet av tre uavhengige personer. Dersom én av maskinene skulle komme fram til et feil resultat brukte man resultatet som de to andre var enige om. Noen ganger er det hensiktsmessig å vurdere uavhengighet mellom barriereelementer, mens andre ganger kan det være mer hensiktsmessig å vurdere uavhengighet mellom barrierefunksjoner. Figur 4 Eksempel på uavhengighet mellom ulike barrierefunksjoner 9

Barrierer som er etablert for å hindre at enkeltfeil utvikler seg til en større ulykke må følges opp og vedlikeholdes med tilsvarende stor prioritet. Det forventes at virksomhetene legger spesiell vekt på å unngå storulykker. 5.2.7 Systematisk oppfølging av barrierer Barrierer skal følges opp systematisk. Først når en barriere blir fulgt opp på en troverdig måte, gir det mening å godskrive effekten av barrieren i beslutninger om å akseptere risiko. Her ligger det også en forpliktelse til å gjennomføre kompenserende tiltak dersom en barriere må fjernes eller deaktiveres for eksempel for å utføre vedlikeholdsarbeid. 10

6 Eksempler på verktøy og metodikk 6.1 Planlegge Nødvendige barrierer identifiseres gjennom risikovurderinger. Hvilken metode for risikovurdering som bør benyttes vil avhenge av hvilket system det er som skal analyseres. Feiltreanalyser og hendelsestreanalyser 1 er anerkjent og logisk analysemetodikk som er godt egnet til å identifisere og vurdere barrierer. I en feiltreanalyse tar man utgangspunkt i den uønskede hendelsen (som like gjerne kan være svikt i en barrierefunksjon), og årsaker til den uønskede hendelsen modelleres i feiltreet. En stor fordel med feiltrær og hendelsestrær er at de er visuelle og intuitive, og metoden er godt egnet for å finne årsakssammenhenger, konsekvenser og nødvendige barrierer. Systematisk bruk av risikoanalyser og årsaksanalyser gir et godt grunnlag for å identifisere eksisterende barrierer, manglende barrierer og til å vurdere hvor robuste barrierene er. I arbeidet med å identifisere barrierer kan det være nyttig å stille seg noen spørsmål Forslag til kontrollspørsmål for å identifisere barrierer: Kan våre aktiviteter føre til en jernbaneulykke, tap av menneskeliv eller alvorlig skade? Kjenner vi til hvilke barrierer som er tilstede i eksisterende systemer? Kan en enkelt feil alene føre til en ulykke? Hvis det gjøres en feil, hva kan skje da? Er det noe annet som blir farlig? Har vi valgt tekniske barrierer framfor menneskelige barrierer der det er mulig? Har vi valgt sannsynlighetsreduserende barrierer framfor konsekvensreduserende barrierer der det er mulig? Har vi sikret at de barrierene vi planlegger er uavhengige av hverandre? Vil de andre barrierene virke selv om én feiler? (Hvis bommen blir stående oppe, vil det fortsatt lyse rødt mot vei og signal stopp til fører?) Hvilke mulige skader og/eller ulemper har vi identifisert, og på hvilken måte har vi sikret at identifiserte barrierer begrenser disse? Har vi beskrevet hva barrierene skal gjøre? Hvilke forutsetninger eller begrensninger hav vi lagt til grunn for barrierene? Er barrierene identifisert på et hensiktsmessig nivå? God bruk av barrierer forutsetter en spesifikk beskrivelse og forståelse av hvilken fare en kan bli eksponert for og hvordan man vil forhindre eller håndtere dem. Formålstjenlige risikoanalyser til rett tid er en forutsetning for å lykkes med bruk av barrierer. Resultatene og beslutningsstøtten som produseres gjennom analysene bidrar til å sikre robuste løsninger. 6.2 Utføre I forbindelse med daglig drift skal risiko håndteres. Her må man operere i samsvar med grunnlaget fra planleggingen av arbeidet. I tillegg må alle endringer vurderes og følges opp. Dette kan gjøres på mange måter. Noen eksempler på styringselementer som kan brukes her er: Prosedyrer Rutiner/praksis dersom barrierer er ute av funksjon Farelogger S-merking av barrierer Etablering av kompenserende tiltak Vedlikeholdsprogrammer Arbeidsinstrukser Sjekklister 1 Se "Risikoanalyse" av Terje Aven, Willy Røed, Herman S. Wiencke (ISBN 978-82-15-01185-1) 11

I tillegg kan det være aktuelt å etablere barrierer som strakstiltak i forbindelse med avvik. Eksempel på strakstiltak: Midlertidig nedsettelse av hastighet ved redusert sikt til usikret planovergang på grunn av vegetasjon. Også i driftsfasen er det lurt å stille seg selv noen kontrollspørsmål: Utfører vi jobben slik vi planla den? Etterlever vi tiltaksplaner/farelogger/virksomhetsplaner/beredskapsplaner? Har vi synliggjort alle sikkerhetskritiske elementer/funksjoner? Hvordan har vi gjort relevant personell kjent med ulike barrierefunksjoner og barriereelementer som er iverksatt/planlagt iverksatt? Har vi synliggjort hvilke arbeidsoppgaver som er relatert til barrierer mot enkeltfeil i arbeidsprosedyrer og/eller vedlikeholds dokumentasjon? Har vi S-merket tekniske barrierer? På hvilken måte har vi sikret at tiltakene (barrierene) effektueres? Har det skjedd endringer i forutsetningene for at barrierene skal virke slik de var tenkt? 6.3 Kontrollere og korrigere En gjennomgående årsaksfaktor ved uønskede hendelser er svikt i én eller flere barrierer. For å finne ut hvorfor det gikk galt og hvilke barrierer som sviktet, kan det være en fordel å benytte seg av feiltreanalyser og STEP-analyser (Sequence Time Event Plotting). Disse metodene egner seg godt for å studere årsakene til at barrierer svikter. Når man benytter feiltrær og hendelsestrær tar man utgangspunkt i hendelsen og jobber seg «bakover» til man kommer til et punkt hvor det ikke er lenger hensiktsmessig å detaljere videre. Denne grensen finner man ofte naturlig i løpet av analysen men den kan også bestemmes på forhånd, før man starter prosessen. Verifikasjonsaktiviteter og indikatorer må sikre at en kjenner til hvilke barrierer som ikke virker eller som er svekket før en går i gang med en jobb. Kompenserende tiltak som iverksettes må ha en reell risikoreduksjon i forhold til de barrierefunksjonene og områdene som blir berørt av at barrierer mangler eller er svekket. God kommunikasjon og samarbeid mellom ulike fagdisipliner er avgjørende for å lykkes. Det er viktig at læring foregår i hele organisasjonen. I tillegg må overgang fra prosjekt til operasjon/drift vies stor oppmerksomhet. 12

7 Eksempler fra revisjoner og hendelser Statens jernbanetilsyn finner flere eksempler på mangelfulle barrierer eller manglende bruk av barrierer i forbindelse med revisjoner og innrapporterte uønskede hendelser. Hovedtendensen er at det ikke er tenkt systematisk omkring bruk av barrierer og at det er manglende eller mangelfull synliggjøring av barrierer i den enkelte virksomhet. Eksemplene under er hentet fra virksomheter som opererer på og utenfor nasjonalt nett. 7.1 Eksempel 1, Enkeltfeilprinsippet (revisjon): Avvik: Virksomheten mangler beskrivelser av enkeltfeilprinsippet, og sikkerhetsstyringsforskriftens krav til barrierer er ikke svart ut. Revisjonsbevis: Virksomheten kunne ikke redegjøre for hvordan enkeltfeilprinsippet og sikkerhetsstyringsforskriftens krav til barrierer er svart ut. Virksomhetens sikkerhetsstyringssystem mangler beskrivelser av dette. Merknad: For kjørende personell er det utarbeidet en A-feilliste, og i vedlikeholdet anvendes et system med S- merking for å synliggjøre sikkerhetspriorterte oppgaver, men prinsippene som ligger til grunn er ikke tydeliggjort. Virksomheten viser blant annet til UIC-normer som barrierer i sine risikovurderinger. 7.2 Eksempel 2, Rullende materiell (revisjon): Avvik: Det er ikke kjent i virksomheten hvilken funksjon etablerte barrierer som gjelder rullende materiell skal ivareta. Revisjonsbevis: 1. Det er ikke kjent blant intervjuet personell med oppgaver knyttet til vedlikehold, hvilken funksjon etablerte barrierer skal ivareta. 2. Det ble opplyst at barrierer er synliggjort i vedlikeholdet gjennom S-merking i vedlikeholdsdokumentasjon for lokomotiver. Det kunne ikke redegjøres for hvilken funksjon barrierene skal ivareta utover at S-merkede punkter har sikkerhetsmessig betydning, at de skal gis særskilt oppmerksomhet og at lokomotiver ikke kan tas ut fra vedlikehold med utestående S-punkter. Hva særskilt oppmerksomhet innebærer kunne ikke virksomheten redegjøre for. For vogner ble det opplyst at feilklasse 5 skal tilsvare S-merking. 7.3 Eksempel 3, Manglende barrierer (revisjon): Avvik: Virksomheten har manglende beskrivelser av etablerte barrierer på operativt nivå. Revisjonsbevis: Det er ikke etablert bestemmelser om barrierer som er anvendelige i operativt arbeid. Merknad: 13

Forskriftens bestemmelser om barrierer innebærer at virksomheten har oversikt over fysiske eller operasjonelle tiltak som er etablert for å forhindre eller begrense hendelser som innebærer uakseptabel risiko. Forskriften understreker særlig betydningen av identifisering av barrierer mot enkeltfeil som kan føre til tap av menneskeliv. Hensikten med bestemmelsen er blant annet at personell som utfører kontroll eller vedlikehold av infrastruktur skal vite om de konkrete elementene de vedlikeholder eller kontrollerer er så betydningsfulle at en eventuell svikt kan føre til en ulykke. Operativt personell må derfor være gjort kjent med barrierer som er etablert på deres arbeidsområde og hensikten med disse. Dette kan gjøres for eksempel gjennom særskilt markering i vedlikeholdsdokumentasjon kombinert med opplæringsaktiviteter e.l. Føringer og systematikk vedrørende barrierer må være beskrevet hos virksomheten. 7.4 Eksempel 4, Sammenstøt (alvorlig jernbanehendelse): Saksbeskrivelse: Sammenstøt mellom materiell i drift og et persontog inne på stasjon. Persontoget stod i spor 1 da en åpen vogn med containere trillet fra Lokstallen og ned i spor 1. Det ble ingen personskader og kun mindre materielle skader. Denne hendelsen har vist at det er nødvendig å verifisere at barrierer mot løpsk materiell er på plass. Barrieresvikt: Ingen funksjonelle eller fysiske barrierer på plass som kunne forhindre at løpsk materiell fra lokstallområdet kom inn i togspor så lenge sporveksel ikke manuelt hadde blitt lagt over. Parkeringsbrems virket ikke. Sporsperre for avgrensing av hensettingsområde var ikke etablert. Ingen automatisk pulsing av sporveksler som kunne forhindre at løpsk materiell fra lokstallområdet kunne rulle gjennom stasjonen og ut på trafikkert spor, avhengig av hvordan sporveksler lå, eller hvis det ikke sto togmateriell i stasjonssporene. I dette tilfellet stod det materiell i spor 1, noe som hindret vogna med containere i å komme ut på trafikkert spor. Barrierer som var foreslått i risikovurderinger var ikke gjennomført. Endringer var utsatt i påvente av en større utbygning på stasjonen. 7.5 Eksempel 5, Snøoverbygg i brann (jernbaneulykke): Saksbeskrivelse: Persontog kjørte inn i snøoverbygg som stod i brann. Føreren av toget foretok nødbrems, og det ble iverksatt evakuering av passasjerene umiddelbart. Det ble ingen personskader som følge av hendelsen, men hele toget samt store deler av infrastrukturen på stedet ble ødelagt av brannen. Mangelfulle barrierer og barrieresvikt: Det var svakheter i prosedyrer for varme arbeider vedrørende krav til risikovurderinger og etterkontroll. Brannfare i snøoverbygg var ikke fanget opp i beredskapsplaner og annen styrende dokumentasjon. 7.6 Eksempel 6, Flankekollisjon (alvorlig jernbanehendelse): Saksbeskrivelse: Flankekollisjon mellom godstog og persontog i sporveksel på stasjon. Godstoget startet å kjøre fra spor 2 på signalbildet som gjaldt for persontoget som stod i spor 1. Feilen ble oppdaget før toget passerte eget utkjørsignal som viste stopp, og nødbrems ble aktivert. Det var likevel for kort bremsevei til at toget klarte å stoppe før dette hadde kommet ut i middel for spor 1. I spor 1 var persontoget ferdig med passasjerutvekslingen og startet fra plattformen, samtidig som godstoget 14

startet fra spor 2. Føreren av persontoget ble oppmerksom på at godstoget hadde startet fra spor 2, men da dette ble oppdaget var bremseveien litt for kort til at persontoget klarte å stoppe. Ingen personer ble skadet, og det oppstod kun små materielle skader. Mangelfulle barrierer: Fører i godstog trodde utkjørhovedsignal for spor 1 gjaldt for spor 2. Toget ble derfor satt i bevegelse og passerte utkjørhovedsignal i stopp. ATC, sammen med stasjonsutforming, signalplassering og tilgjengelig bremsevei fungerte ikke som fullstendig barriere og stoppet ikke toget før dette var kommet ut i middel for annen togvei. Systemet som barriere mot enkeltfeil fungerte ikke. 7.7 Eksempel 7, Skinnebrudd (alvorlig jernbanehendelse): Saksbeskrivelse: Flere meldinger fra tog om kraftig slag mellom hjul og skinne inne i tunnel. En fører som hadde rapportert forholdet, stoppet og undersøkte sporet. Han fant da et skinnebrudd hvor en del av skinnehodet hadde falt ut. Undersøkelse etter hendelsen konkluderte med at langvarig vanndrypp mot skinnen og togpasseringer gjennom dryppvannssonen hadde ført til en korrosjon/erosjonsprosess som hadde gitt et materialtap på toppen av skinnehodet over et kortere parti. Ved togpasseringer gav dette store dynamiske impulslaster mellom hjul og skinne, noe som førte til initiering og videre utvikling av sprekker fra skinnens kjøreflate. Det kloridholdige miljøet i dryppsonen kan ha bidratt til å akselerere så vel korrosjon/erosjonsprosessen som sprekkveksten. Mangelfulle barrierer: På hendelsestidspunktet var de etablerte kontrollrutinene ikke tilstrekkelige til å fange opp og håndtere utviklingen før et større materialutfall og skinnebrudd var et faktum. Man hadde et system med visuelle kontroller uten tilstrekkelig støtte i faglige veiledninger, samt en indikasjon fra en ultralydkontroll som ikke ble fulgt opp tidsnok til å stoppe utviklingen. Med andre ord: Man hadde ikke tilstrekkelige barrierer mot at en enkeltfeil kunne føre til en avsporing. Virksom barriere: System for melding av feil observert fra tog fungerte, slik at feilutvikling ble oppdaget og håndtert før det inntraff en avsporing. 8 Barrierer som har brutt spesifiserte uønskede hendelsesforløp Statens Jernbanetilsyn mottar svært mange rapporter om hendelser som inntreffer hos de enkelte jernbanevirksomhetene. Her finner vi også flere eksempler på virksomme barrierer: 8.1 Eksempel 1, Passhendelse uten virksom ATC Saksbeskrivelse: Et tog passerte utkjørhovedsignal i stopp. På grunn av feil med togets ATC, ble det ikke stanset. Rødlysalarmen gikk imidlertid hos togleder, som da ringte lokfører og ba om at toget umiddelbart måtte returnere til spor 2 på den aktuelle stasjonen. Togleder ringte deretter opp lokfører i et tømmertog som var på vei mot toget og ba det stanse umiddelbart. Virksomme barrierer: Rødlysalarm hos togleder og virksom togradio er eksempler på tekniske barriereelementer som hindret at toget uten virksom ATC havnet ut i trafikkert spor. 15

8.2 Eksempel 2, Tog sporer av i avsporingsveksel Saksbeskrivelse: Et godstog passerte et dvergsignal som viste kjøring forbudt fordi lokfører misforsto signalene på stasjonen. Da lokfører oppdaget at han hadde passert dvergsignalet tilsatte han nødbrems, men toget lot seg ikke stanse tidsnok. Toget havnet ut i avledende sporveksel og sporet av i endebutt. Virksomme barrierer: Avledende sporveksel er eksempel på et teknisk barriereelement som hindret godstoget i å havne ut i trafikkert spor. 8.3 Eksempel 3, Værberedskap Saksbeskrivelse: Tilsynet ser stadig oftere at infrastrukturforvalter iverksetter tiltak på banestrekninger som følge av meldinger om store nedbørsmengder, snøsmelting og flomvarsler. Virksomme barrierer: Innføring av trinnvis værberedskap er et eksempel på en operasjonell barriere som hindrer at rullende materiell kjører inn i ras. Det er også en barriere som hindrer at materiell sporer av på grunn av utglidninger. 8.4 Eksempel 4, Vedlikehold av materiell Saksbeskrivelse: En jernbanevirksomhet rapporterte om gjentatte hendelser med hjulslag og materialutfall fra hjul. Virksomme barrierer: Virksomheten endret sitt kontrollregime for hjulsett. Spesifikke kontroller av hjulsett er eksempel på en operasjonell barrierefunksjon som skal hindre at materiell sporer av på grunn av feil på hjulgang. 9 Vanlige tilsynsspørsmål om barrierestyring: Følgende er typiske spørsmål som virksomheten må forvente at tilsynet søker svar på i dokumentgjennomgang av styringssystemet eller i tilsynsintervjuer: 1. Hvordan er de overordnede prinsipper for barrierestyring i virksomheten beskrevet? 2. Hvilket nivå på hendelsespotensiale er det etablert barrierer mot? 3. Hvordan svares forholdet enkeltfeil barrierer ut? 4. Hvordan beskrives kvaliteten på barrierene? (tekniske barrierer, menneskelige barrierer, uavhengige barrierer, konsekvensreduserende barrierer) 5. Hvordan identifiseres barrierer (for eksempel på gammelt materiell der det ikke finnes risikoanalyser) 6. Hvordan synliggjøres barrierer i virksomheten? (For eksempel S-merking i vedlikehold, korrektivt vedlikehold, A-feilliste i drift, farelogger, risikoanalyser) 7. Hvordan gjøres kunnskap om barrierer kjent i virksomheten? 16

10 Henvendelser Tilsynet ønsker å sikre at aktørene er kjent med gjeldende regelverk. Tilsynet har derfor fokus på veiledning. Kontakt oss gjerne dersom dere ønsker utdypende informasjon. Vi oppfordrer dessuten til å komme med tips om andre emner som dere mener bør være tema for veiledning. Henvendelser rettes til: post@sjt.no eller til: Statens jernbanetilsyn, Postboks 7113 St. Olavs plass, 0130 Oslo 11 Referansedokumenter 1/ Sikkerhetsstyringsforskriften 2/ Kravforskriften 3/ Sidesporforskriften 4/ Museumsbaneforskriften 5/ "Risikoanalyse" av Terje Aven, Willy Røed, Herman S. Wiencke (ISBN 978-82-15-01185-1) 6/"Ulykkesforebyggende arbeid" Hovden, Ingstad, Mostue, Rosness, Rundmo, Tinnmannsvik (ISBN 82-584-0158-0) 7/ SINTEF rapport "Feiltoleranse, barrierer og sårbarhet" R.Rosness m.fl.(isbn 82-14-02714-4) 8/ "Prinsipper for barrierestyring i petroleumsvirksomheten" (PTIL, 2011) 9/ "Ti tommeltotter og null ulykker?" Om feiltoleranse og barrierer, Rossness m.fl 10/ " Barrierestyring" Geir Erik Frafjord Petroleumstilsynet (ESRA årsmøteseminar 07.06.12) 11/ " Kombinert bruk av barrieremodell og STEP-analyser ved ulykkesanalyse i vegtrafikken" Per Hokstad, Dagfinn Moe, Kristian Sakshaug, Ranveig Kviseth Tinmannsvik ((ISBN 978-82-14-04148-4) 12 Vedlegg 1/ Eksempel på et feiltre 17

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding