Analiza ryzyka w transporcie szynowym metoda FMEA i dobre praktyki jej stosowania

Transkrypt

1 MAŃKA Adam 1 Analiza ryzyka w transporcie szynowym metoda FMEA i dobre praktyki jej stosowania WSTĘP Analiza ryzyka stanowi kluczowy element systemu zarządzania bezpieczeństwem w transporcie szynowym. Od zastosowanej metody, dobrych praktyk, rzeczowego i sumiennego podejścia do analizy ryzyka w znacznej mierze zależy skuteczność działań i efektywność środków asygnowanych na rzecz poprawy bezpieczeństwa na kolei. Niniejsza publikacja ma za zadanie skodyfikowanie i przedstawienie dobrych praktyk stosowanych w branży kolejowej w zakresie zarządzania bezpieczeństwem a w szczególności zasad i wytycznych stosowanych podczas analizy ryzyka, które wynikają z wieloletniego doświadczenia zdobytego podczas realizacji dziesiątek szkoleń i analiz ryzyka w całej branży kolejowej realizowanych w ramach prac Katedry Transportu Szynowego Wydziału Transportu Politechniki Śląskiej. Istnieje szereg metod analizy ryzyka budowanych na rzecz różnych branż przemysłu i skodyfikowanych w postaci norm lub dyrektyw. Metody te nie uwzględniają jednak specyfiki branży kolejowej, która wymaga uwzględnienia faktu współistnienia producentów, przewoźników kolejowych, zarządców infrastruktury, użytkowników bocznic oraz podmiotów świadczących usługi utrzymania, naprawy i modernizacji taboru i jego elementów oraz infrastruktury kolejowej. Wybór metody FMEA(ang. Failure Mode and Effect Analysis) do analizy ryzyka w branży kolejowej zainicjowany został standardem IRIS (International Railway Industry Standard) [1], który bazował na doświadczeniach i dobrych praktykach innych branżowych systemów zapewniania jakości w tym w szczególności wymaganiach branży samochodowej, w której metoda FMEA była stosowana od lat siedemdziesiątych po przejęciu jej z normy wojskowej MIL-P 1629 utworzonej 9 listopada 1949 roku. W standardzie IRIS metoda FMEA jako zalecana metoda analizy ryzyka stosowana jest na każdym etapie cyklu życia wyrobu a w szczególności w procedurze analizy ryzyka i możliwości oraz procedurze RAMS. Należy na tym etapie zaznaczyć, że standard IRIS bierze pod uwagę nie tylko zagrożenia życia i zdrowia ludzkiego, systemu kolejowego ale również zagrożenia dla projektu (w tym ryzyko biznesowe). Oprócz powszechnego stosowania metody FMEA przez producentów taboru i jego elementów oraz firmy zajmujące się projektowaniem i utrzymaniem pojazdów szynowych, metoda ta stosowana jest bardzo często nie tylko w branży szynowej (ISO, IRIS, SMS, MMS) ale również w innych branżach np.:w branży samochodowej (ISO TS), lotniczej AS9100, bankowej, spożywczej, chemicznej, zbrojeniowej, badaniach naukowych, zarządzaniu projektami, itd. Tak częste wykorzystanie tej metody w innych branżach i jej wstępne dostosowanie do specyficznych wymagań producentów branży kolejowej wymuszone standardem IRIS stanowiło podstawę jej sukcesu i powszechnego stosowania w obligatoryjnych systemach bezpieczeństwa tj. SMS i MMS (SMS Safety Management System oraz MMS Maintenance Management SYSTEM) [7, 8]. Z uwagi na pochodzenie tej metody z branży wojskowej a następnie samochodowej (SAE J- 1739, IEC i QS-9000 a następnie PN-EN 60812) [2] istniała potrzeba jej dalszego dostosowania do specyfiki działań przewoźników kolejowych, zarządców infrastruktury i podmiotów odpowiedzialnych za utrzymanie. To dostosowanie do specyfiki branży kolejowej wymagało integracji wiedzy w zakresie podstaw i metodyki analizy ryzyka jak i znajomości "funkcjonowania" nie tylko procesu przewozowego ale również pozostałych podmiotów branży kolejowej. Przyjmując za początek praktycznego wykorzystywania FMEA w branży kolejowej rok 2006tj. rok opublikowania rewizji 00 standardu IRIS i wejście w życie Dyrektywy 2004/49/WE można 1 Dane teleadresowe autorów (Times New Roman, 8pt wyrównanie do lewej) 7058

2 stwierdzić, że branża kolejowa stosując metodę FMEA dopracowała się już spójnego podejścia, specyficznych wytycznych branżowych oraz dobrych praktyk, których najważniejsze elementy zostaną przedstawione w tej publikacji. 1 CZY TRANSPORT SZYNOWY POTRZEBUJE PROCEDUR DLA ZARZĄDZANIA BEZPIECZEŃSTWEM? Systemowe podejście do zarządzania bezpieczeństwem a w tym również do analizy ryzyka pojawiło się stosunkowo niedawno w branży kolejowej tj. wraz z pojawieniem się Dyrektywy 2004/49/WE, która weszła w życie w 2006 roku. Doświadczeni pracownicy kolei mieli często sceptyczne podejście do stosowania "sztywnych i odgórnych" procedur argumentując również swoją niechęć do obligatoryjnych systemów zarządzania bezpieczeństwem - nadmierną biurokracją, która ich zdaniem nie dawała poprawy bezpieczeństwa. Argumentacja ta w początkowym czasie wdrażania tych systemów wydawała się słuszna jednak wraz z dopracowywaniem i optymalizacją procedur SMS i MMS redukowano ilość niezbędnych dokumentów i zdobywano niezbędne doświadczenie praktyczne w realizacji analizy ryzyka i jej skutecznego wykorzystania. Na postawione w tytule rozdziału pytanie można dziś jednoznacznie i z pełnym przekonaniem odpowiedzieć "tak", transport szynowy dziś potrzebuje procedur zarządzania ryzykiem pomimo iż od 1825 roku kiedy to uruchomiono w Wielkiej Brytanii linię kolei publicznej łączącą Stockton z Darlington wyposażoną w parowozy George a Stephensona, do roku 2006 formalnie ich nie stosowała. Argumenty za koniecznością stosowania zarządzania bezpieczeństwem i analizą ryzyka wraz z podejściem systemowym (proceduralnym) wynikają z nałożenia się kilku czynników. Jednym z nich jest aspekt społeczny i zmiana podejścia do wykonywania zawodu kolejarza ze "służby" na świadczenie pracy i idącym stąd zakresem obowiązków i uprawnień oraz odpowiedzialności za swój zakres pracy. Związane jest to nie tylko ze zmianą statusu "kolejarza" jako urzędnika Państwowego, który miał kiedyś znacznie wyższy status społeczny wraz z prawem do posiadania broni ale również faktem coraz rzadszego przekazywania i dziedziczenia tego zawodu "z dziada, pradziada". Powstała aktualnie luka pokoleniowa powoduje dodatkowo konieczność pozyskiwania pracowników z innych branży i ich "szybkiego" przekwalifikowania na stanowiska mające znaczny wpływ na bezpieczeństwo na kolei. Niezbędne staje się zatem tworzenie precyzyjnych opisów czynności prac, które mają być realizowane na tych stanowiskach. Takie opisy to właśnie procedury i instrukcje, które mają zapewnić spójne rozumienie i funkcjonowanie nie tylko kolejowego systemu transportowego ale i systemu bezpieczeństwa. Powstała luka pokoleniowa spowodowała również, że nie możemy mieć pewności, że niezbędna dla bezpieczeństwa wiedza i doświadczenie w branży kolejowej zostanie przekazane poprzez wieloletnią współpracę młodszego pokolenia z doświadczonymi pracownikami nadzorującymi ich pracę. To właśnie szczególnie ważna dziś potrzeba przekazania wiedzy i doświadczenia kolejowego młodszym pracownikom jest argumentem przekonującym starszych pracowników kolei do kodyfikowania ich sposobu postępowania w taki sposób aby funkcjonowała zasada poprawnego opracowania i wdrożenia systemu tj. "zapisz jak działasz działaj jak zapisałeś". Zasada ta jednocześnie eliminuje często sztucznie wytworzoną dokumentację systemową, która to właśnie powoduje niechęć do procedur. Udowodniono ponadto, że brak uzasadnienia wprowadzenia dodatkowych wymogów powoduje naturalną niechęć i opór w ich realizacji. W branży kolejowej wynikało to w początkowej fazie z braku szkoleń i przekazywania podstaw wymagań narzucanych przez Europejską Agencję Kolejową. Kolejnym aspektem stosowania sformalizowanego podejścia do branży kolejowej jest bardzo istotny wzrost wykorzystanych nowych złożonych technologii, które nie pozwalają na intuicyjne zrozumienie zasad ich funkcjonowania tak jak to przykładowo miało miejsce przy wykorzystaniu układów mechanicznych czy elektromechanicznych poprzedzających sterowanie z wykorzystaniem oprogramowania i mikrokontrolerów. Ciągła tendencja do wzrostu prędkości, bardzo duża liczba przewoźników kolejowych zupełnie niezależnych funkcjonalnie od zarządców(y) infrastruktury również wymuszają konieczność sformalizowania aspektów związanych nie tylko z prowadzeniem ruchu ale również z systemem bezpieczeństwa gdzie zachodzi potrzeba wymuszenia konieczności 7059

3 analizy ryzyka wspólnego i obligatoryjnego przekazywania zagrożeń pomiędzy niezależnymi podmiotami branży kolejowej (Rozporządzenie 1078/2012) [4]. Jednym z najważniejszych argumentów stosowania procedur do zarządzania bezpieczeństwem w tym w szczególności do analizy ryzyka jest fakt, że podejście przyczynowo skutkowe do podejmowania działań na rzecz poprawy bezpieczeństwa jest w tej branży nie skuteczne. Wynika to z stąd, że szczególnie dotkliwe w skutkach katastrofy kolejowe nie są poprzedzane wyraźnymi symptomami i nie dają się przewidzieć statystycznie. Przerysowując fakty można powiedzieć, że niesłuszne jest wnioskowanie "skoro przez ostatnie kilka lat w danej firmie nie miała miejsca katastrofa kolejowa wynikająca z analizowanej przyczyny to przyczyna ta jest bezpieczna". Bez systematycznego procesowego podejścia wymuszającego cykliczne analizy ryzyka, mogłoby okazać się, że sprawami bezpieczeństwa zajmowalibyśmy się w branży dopiero w przypadku katastrofy o medialnym charakterze. Analiza zachowania społecznego w odniesieniu do bezpieczeństwa [10] wskazuje, że częste drobne błędy, awarie, incydenty, nie są poparte odpowiednią reakcją zmierzającą ku poprawie bezpieczeństwa i powodują uśpienie czujności, co jednocześnie dowodzi konieczności stosowania odpowiednich procedur wymuszających zgłaszanie i analizę wszystkich zagrożeń i incydentów a następnie systemowe zarządzanie bezpieczeństwem. W branży chemicznej dowiedziono, że częste wypadki skutkujące stosunkowo niewielkimi konsekwencjami w cale nie powodują wzrostu czujności i działań na rzecz zwiększenia bezpieczeństwa, wręcz przeciwnie powodują, jak już wspomniano wcześniej uśpienie czujności i zaskoczenie katastrofą, która to dopiero wymusza działania związane z poprawą bezpieczeństwa. Przykłady tego typu postępowania można również znaleźć w branży kolejowej. Dowodzi to jednoznacznie, że należy systematycznie identyfikować, wartościować (oceniać ilościowo) i klasyfikować zagrożenia czyli prowadzić analizę ryzyka, której wyniki w postaci działań zapobiegawczych i korygujących oraz planów awaryjnych stanowią element zarządzania bezpieczeństwem, które, co należy podkreślić, jest procesem ciągłym. W przeciwnym wypadku, bez stosowania systematycznego i metodycznego podejścia katastrofa kolejowa zawsze nas zaskoczy a działania podejmowane będą "od katastrofy do katastrofy". Jak wykazało kilkuletnie doświadczenie, często dopiero po wyjaśnieniu, zgodnie z wyżej przedstawionymi argumentami "dlaczego" i "w jakim celu" wymaga się od pracownika stosowania działań zawartych w procedurach, akceptowano systematyczne i procesowego podejście do analizy ryzyka w przeciwieństwie do argumentacji "bo takie jest wymaganie ERA" (Europejskiej Agencji Kolejowej).Sukces praktycznego stosowania analizy ryzyka metodą FMEA wynika z jednej strony z przejrzystości proponowanej metodyki i krótkiego czasu jej realizacji z drugiej strony pozwala organowi zarządzającemu pogodzić dwa rozbieżne cele tj. poprawę bezpieczeństwa oraz redukcję kosztów funkcjonowania. Możliwość pogodzenia tych dwóch zadań wynika z faktu, że stosując zarządzanie ryzykiem oparte na metodycznym wyznaczania przez interdyscyplinarny zespół fachowców zagrożeń, które powinny być zażegnane w pierwszej kolejności oraz zagrożeń, które ich zdaniem są na poziomie akceptowalnym. Pozwala to skupić się na zidentyfikowanych zagrożeniach bez konieczności wykazywania poprawy bezpieczeństwa we wszystkich elementach systemu jednocześnie dla uwidocznienia podejmowania działań na rzecz bezpieczeństwa co stanowi również dowód formalny realizacji działań w celu poprawy bezpieczeństwa. Aktualnie coraz częściej nie tylko identyfikuje się zagrożenia a następnie wyznacza działania zapobiegawcze lub korygujące, ale docieka się rzeczywistych przyczyn wskazywanych zagrożeń co świadczy o znacznym wzroście kultury bezpieczeństwa w tych firmach a jednocześnie pozwala na redukcję kosztów związanych z przeciwdziałaniem. Należy również zaznaczyć, że firmy branży kolejowej stosują analizę ryzyka metodą FMEA nie tylko dla zagrożeń systemu kolejowego lub zdrowia i życia ludzkiego ale również zagrożeń biznesowych. 2 PODSTAWY ANALIZY RYZYKA W BRANŻY KOLEJOWEJ Podstawowe wymagania w zakresie analizy ryzyka wynikają w pierwszej kolejności z Dyrektywy 2004/49/WE [3], a następnie z Rozporządzenia Komisji (WE) NR 352/2009 [5], które precyzuje zasady zarządzania ryzykiem w branży kolejowej. Rozporządzenie to, zwane często CSM RA (ang. 7060

4 common safety method risk assessment), zostało już zaktualizowane Rozporządzeniem Komisji (WE) NR 402/2013, które wchodzi w życie r i wnosi zmiany głównie w zakresie Jednostek Oceniających [6].W zakresie podstaw zarządzania bezpieczeństwem rozporządzenia te wskazują metodykę postępowania w przypadku analizy znaczenia zmiany nie wchodząc jednak w szczegóły dotyczące samej analizy ryzyka. Do konieczności realizacji analizy ryzyka odwołują się również wymagania prawne związane z systemem SMS i MMS. Jak już wspomniano wcześniej, metoda FMEA zawarta w normie PN-EN wywodzi się z branży samochodowej i nie uwzględnia specyfiki transportu szynowego. Dlatego też w pierwszej kolejności należało dostosować tabele z opisem skutków, prawdopodobieństwem wystąpienia i możliwością detekcji oraz przypisane im wartości do realiów branży kolejowej. W trakcie wieloletniego doświadczenia związanego z realizacją analizy ryzyka w ramach prac Katedry Transportu Szynowego Wydziału Transportu Politechniki Śląskiej dopracowano się dwóch zestawów takich tabel tj. dla producentów branży kolejowej (IRIS) i podmiotów odpowiedzialnych za utrzymanie (MMS) oraz przewoźników i zarządców infrastruktury wraz użytkownikami bocznic kolejowych (SMS). Należy zaznaczyć, że stosowanie tych tabel jest ważne w realizacji kilku pierwszych analiz ryzyka i sprzyja zwiększeniu obiektywizmu oceny zagrożenia. Zwiększenie obiektywizmu przyjmowanych wartości wynika również z prowadzenia analizy ryzyka przez grupę osób. W kolejnych analizach ryzyka jej uczestnicy powinni kierować się już nabytym doświadczeniem i fachowym osądem wspartym informacjami ze szkolenia w tym zakresie. Opracowanie wspomnianych tabel z opisem słownym dla poszczególnych wartości czynników analizy ryzyka i ich powszechne stosowanie w branży kolejowej w Polsce pozwoliło na uzyskanie ujednolicenia poziomów w całej branży. Na tej podstawie możliwe było również przyjęcie jednolitego poziomu ryzyka dopuszczalnego, które w Polsce dla większości firm wynosi RPN dop 120 i w nielicznych przypadkach RPN dop 125.Należy zaznaczyć, że wartość ryzyka dopuszczalnego nie jest unormowana żadnymi wymaganiami prawnymi. Przyjmowane wartości wynikają z dobrych praktyk branży kolejowej w tym poziomu, który w trakcie ponad stu przeprowadzonych przez Katedrę Transportu Szynowego Wydziału Transportu Politechniki Śląskiej szkoleń i warsztatów w tym zakresie przyjęto na zasadzie eksperckiej. W trakcie przeprowadzanych analiz ryzyka stwierdzono, że zagrożenia uznawane przez grono ekspertów za dopuszczalne opisane były następnie przez wartości, których iloczyn powodował RPN na poziomie do 120.Idea proponowanych przez autora dwóch poziomów wartości RPN tj. RPN zapobiegawcze (najczęściej dla RPN>120) i RPN korygujące (dla RPN>150) zaczerpnięta została z ciągłego doskonalenia, które zaimplementowano w branży kolejowej w standardzie IRIS wprowadzając ocenę punktową w skali 0-4 a nie zero-jedynkową jak w ówczesnym PN-EN ISO Zważywszy, że wartości RPN przyjmowane w początkowym okresie przez producentów branży kolejowej mieściły się w zakresie od 150 do 200, to wprowadzenie wartości 150 jako RPN korygującego i dodatkowo RPN zapobiegawczego na poziomie 120 powodowało podniesienie kultury bezpieczeństwa nakazując podejmowanie działań już na poziomie RPN>120. Należy zaznaczyć, że prowadzone analizy ryzyka w branży kolejowej poprzedzone były analizą doświadczeń w innych rodzajach transportu [10] oraz innych branżach w tym branży chemicznej i zarządzaniu ryzykiem elektrowni jądrowych. W branżach tych problematyką analizy ryzyka zajmowano się od dłuższego czasu i dopracowano się szeregu dobrych praktyk, z których część można przenieść do branży kolejowej. 3 FMEA W BRANŻY KOLEJOWEJ Podstawowa dobra praktyka w zarządzaniu bezpieczeństwem w branży kolejowej to realizacja analizy ryzyka (AR) przez interdyscyplinarną grupę osób zwanych często zespołem ds. analizy ryzyka. Potrzeba realizacji AR a w szczególności identyfikacji zagrożeń wynika ze specyfiki branży kolejowej i szerokiego spektrum aspektów prowadzonej działalności. Niezbędne jest uwzględnienie w AR wiedzy i doświadczenia osób reprezentujących wszystkie działy firmy mające wpływ na bezpieczeństwo i to z uwzględnieniem aspektów organizacyjnych, ekonomicznych i technicznych. Realizacja AR przez jedną osobę może spowodować jej jednoosobową odpowiedzialność i narazić na 7061

5 zarzut braku obiektywności lub wiedzy we wszystkich aspektach związanych z bezpieczeństwem w firmie. Przyjmuje się zatem, że jednoosobowa realizacja AR to błąd w sztuce a podejście sprawy związane z bezpieczeństwem załatwia jednoosobowo w naszej firmie Pełnomocnik ds. SMS powoduje, że zarządzanie bezpieczeństwem staje się nieskuteczne. Identyfikacja zagrożeń jest etapem szczególnie ważnym i pracochłonnym. Nakład pracy jest szczególnie duży przy pierwszej analizie ryzyka, podczas gdy w kolejnych AR dopisuje się kolejne zagrożenia. Prawidłowy system zarządzania bezpieczeństwem w branży kolejowej niezależnie od tego czy dotyczy producenta, przewoźnika czy też zarządcę infrastruktury lub podmiot odpowiedzialny za utrzymanie, powinien generować listę zagrożeń lub zdarzeń, które stanowią podstawowy materiał wejściowy do AR. W przypadku producenta danymi wejściowymi, które grupa ds. analizy ryzyka powinna przeanalizować pod kątem zagrożeń będą rejestry usterek, braków, reklamacje klienta, opóźnienia dostaw. W przypadku przewoźników kolejowych analiza ryzyka powinna rozpoczynać się od przestudiowania rejestru zagrożeń, rejestru zdarzeń, uwag przełożonych dotyczących analizy zapisów w księgach pokładowych pojazdów trakcyjnych oraz zagrożeń zgłaszanych przez jednostki zewnętrzne tj. innych przewoźników, zarządców infrastruktury itd. Fakt uwzględnienia tych informacji w analizie ryzyka (identyfikacja zagrożeń kolumna opis zagrożenia rysunek 1a) stanowi nie tylko dobrą praktykę branży kolejowej w zakresie AR ale warunkuje skuteczną poprawę bezpieczeństwa. Brak podejmowanych działań w zakresie zgłaszanych przez załogę zagrożeń, uwag lub zdarzeń w krótkim okresie czasu spowoduje przekonanie pracowników o braku rzetelnego podejścia kadry zarządzającej do bezpieczeństwa i traktowanie tego systemu jako fikcji uwierzytelnianej jedynie przez Pełnomocnika przed audytem. Dlatego też ważne są nie tylko szkolenia i pouczenia okresowe w zakresie bezpieczeństwa, ale również wymiana informacji i przekazywanie dowodów pracownikom o analizie i podejmowaniu działań związanych ze zgłaszanymi przez nich zagrożeniami. Po uwzględnieniu przez grupę ds. analizy ryzyka materiałów wejściowych dalszy tok postępowania polega na systematycznym wypełnianiu tabeli FMEA rysunek 1. a) b) Rys. 1. Przykład szablonu do analizy ryzyka metodą FMEA a) pierwsza część formularza wypełniana zawsze, b) druga część formularza wypełniana, gdy RPN> RPN dopuszczalne Kluczowym elementem dla skutecznej poprawy bezpieczeństwa jest prawidłowa identyfikacja zagrożeń. W tym miejscu (kolumna "opis zagrożenia" na rysunku 1) należy wstawić opis zagrożenia lub wady (opis wady jest adekwatny do procesu wytwarzania i utrzymania). Zakłada się, że każde źródło informacji dla identyfikacji zagrożeń jest dobre. Przede wszystkim bierze się pod uwagę własne doświadczenie zawodowe, przywołując zdarzenia które zaszły lub mogłyby zajść w danej 7062

6 firmie lub innych jednostkach branży kolejowej. Informacje płynące z mediów, szkoleń i spotkań branżowych również są brane pod uwagę. Jeżeli dostępne są bazy zagrożeń to należy je wziąć pod uwagę po wyczerpaniu źródeł zagrożeń podawanych przez grupę roboczą i przeanalizować możliwość ich wystąpienia i skutków z uwzględnieniem możliwości wcześniejszego wykrycia w firmie. Przedstawia się wiarygodny najgorszy scenariusz analizowanego zagrożenia. W trakcie wielu analiz ryzyka występowały sytuacje, w których poszczególne osoby proponowały drastycznie różne wartości dla określenia skutków zajścia zdarzenia (Zn - znaczenie). Oznacza to dla moderatora, że grupa ds. analizy ryzyka ma na myśli dwa odmienne scenariusze zagrożeń. W tej sytuacji oba scenariusze powinny zostać uwzględnione i opisane w dwóch lub większej liczbie wierszy oddzielnie i ocenione niezależnie. Przykładem jest tu zagrożenie pęknięcia tarczy hamulca. Najczęstszą konsekwencją takiej sytuacji jest samo uszkodzenie współpracujących elementów i wypadnięcie pękniętego elementu w obszarze torowiska. Znaczenie takiego zagrożenia nie jest szczególnie duże i z uwagi na brak bezpośredniego zagrożenia życia oraz zapisy tabeli z wartościami czynników Zn, Pr i Dt mogłoby zostać ocenione na poziomie Zn=5 [-]. Należy tu zaznaczyć, że proponując wartość znaczenia "nie oszczędzamy". W tej kolumnie proponuje się najwyższe wartości podawane przez ekspertów. W szczególności przyjęto, że jeżeli założono scenariusz, w którym istnieje zagrożenie życia ludzkiego to zawsze przyjmuje się wartość Zn=10! Dlatego też drugim krokiem w analizie FMEA jest zaraz po podaniu scenariusza wpisanie jego konsekwencji tak, aby grupa ds. analizy ryzyka miała świadomość jaki scenariusz jest aktualnie rozpatrywany. W zakładanym pierwszym scenariuszu jedyne konsekwencję dla przewoźnika kolejowego to konieczność wycofania pojazdu z eksploatacji i jego naprawa stąd wartość Zn=5. Prawdopodobieństwo wystąpienia zdarzenia będzie tu zależało oczywiście od firmy, realizowanej pracy przewozowej i podejścia do procesu utrzymania taboru. O ile wartość Zn jest niezależna od firmy i może zostać zakwestionowana przez ekspertów branży kolejowej o tyle wartość prawdopodobieństwa wystąpienia Pr zależy już od specyfiki firmy, jej pracy przewozowej i innych elementów, w tym statystyki wystąpienia omawianych sytuacji. Biorąc pod uwagę przykładową firmę "X" można na potrzeby tego przykładu zaproponować prawdopodobieństwo wystąpienia na poziomie Pr=3 [-] "małe prawdopodobieństwo" zdarzenia występują pojedynczo i bardzo rzadko. Możliwość detekcji, opisywana przez ekspertów słownie w kolumnie "Dotychczasowe środki detekcji i zapobiegania" odnosi się do praktyk stosowanych w branży kolejowej wynikających z przepisów, instrukcji itd. oraz od praktyk przyjmowanych w firmie. Po sprecyzowaniu słownym w jaki sposób można wykryć zdarzenie lub wadę ale co ważne, przed wystąpieniem zakładanych w opisie "Znaczenie" negatywnych konsekwencji lub jakie działania prowadzi firma dla zapobieganiawystąpieniu takich zdarzeń, należy podać wartość w kolumnie Dt rysunek 1. Należy tu pamiętać, że zgodnie z opisem w tabeli proponującej wartości Dt, im większa pewność wykrycia lub lepszy mechanizm zapobiegania tym wartości Dt będą niższe. W kolumnie z opisem metod detekcji i zapobiegania eksperci wskazaliby zapewne możliwość wykrycie wady przez Rewidenta oraz możliwość wykrycie wady przy realizacji przeglądów. Na świecie wdraża się również systemy automatycznej i półautomatycznej detekcji wad konstrukcji pojazdu w oparciu o obraz z kamer i analizę tego obrazu ale technika ta jest jeszcze w fazie testów i nie można jej uznać za powszechnie stosowaną i mogącą wykryć wadę w naszym przypadku. Również obecne systemy ASDEK do wykrywania stanów awaryjnych w taborze kolejowym podczas jazdy nie będą miały technicznej możliwości wykrycia omawianej wady. Te i inne argumenty ekspertów będą brane pod uwagę dla wyznaczenia poziomu detekcji, która przykładowo w tym przypadku, z uwagi na niewielkie możliwości wykrycia wady przed wystąpieniem zagrożenia będzie wynosiła Dt=8 [-] "Wykrycie wady jest utrudnione. Kontrola wizualna przez operatora a defekt stosunkowo trudny do wykrycia". Wymnożenie proponowanych przez ekspertów wartości wskaźników Zn, Pr i Dt wyznacza wartość RPN (ang. Risk Priority Number) tzw. liczbę priorytetową ryzyka. W analizowanym przykładzie wartość ta to RPN=5 3 8=120. Oznacza to, że uzyskano wartość ryzyka dopuszczalnego (choć na najwyższym dopuszczalnym poziomie) i dlatego nie ma obowiązku realizacji działań zapobiegawczych lub korygujących. Jednak w myśl kultury bezpieczeństwa powinno się zagrożenia na tym poziomie również redukować. Szczególnym przypadkiem podejścia do analizy ryzyka z 7063

7 uwzględnieniem wysokiego poziomu kultury bezpieczeństwa stosowanym w części przedsiębiorstw kolejowych jest dobra praktyka podejmowania działań w przypadku, gdy jeden ze wskaźników (Zm, Pr lub Dt) osiąga maksymalny poziom tj.10 [-] nawet, gdy RPN jest w zakresie dopuszczalnym. Jednym z wariantów podejmowanych w takim przypadku działań jest stały monitoring zagrożenia. Monitorowanie zagrożeń jest w transporcie szynowym często wymogiem formalnym jak np. w przypadku analizy znaczenia zmiany, w której w przypadku uznania, że zmiana ma wpływ na bezpieczeństwo ale uznano, że nie jest znacząca można ją wdrożyć w życie dopiero po zagwarantowaniu możliwości monitorowania wprowadzonej zmiany. Podejście w którym, podejmuje się dodatkowe działania pomimo zachowania RPN na poziomie dopuszczalnym wdrożyli w Polsce m.in. zarządcy infrastruktury zwiększając w ten sposób poziom bezpieczeństwa. Kolejną dobrą praktyką, która uzyskała od niedawna status działania obligatoryjnego, jest konieczność wymiany informacji o zagrożeniach pomiędzy poszczególnymi podmiotami branży kolejowej w tym przede wszystkim pomiędzy przewoźnikami a zarządcą infrastruktury. Z tym zakresie prowadzi się spotkania w ramach który strony wymieniają się spostrzeżeniami i przekazują zagrożenia w taki sposób aby możliwe był minimalizowanie ryzyka w obszarach, które mogły by zostać pominięte przez pojedyncze podmioty. W omawianym przykładzie zagrożenia wspomniano, że często bierze się pod uwagę różne scenariusze i analizuje je oddzielnie. Analizując zatem drugi scenariusz, w którym pęka tarcza hamulcowa a następnie pokonuje przeszkodę w postaci osłony i podłogi wagonu a następnie rani pasażera będzie oczywiście miała znaczenie na poziomie Zn=10 [-], możliwość wcześniejszej detekcji lub zapobiegania pozostanie bez zmian Dt=8 [-] natomiast prawdopodobieństwo takiego zbiegu nieszczęśliwych okoliczności będzie znacznie niższe niż w pierwszym scenariuszu tj. Pr=1 [-] co w rezultacie da wynik RPN=80 [-]. Należy jednak zaznaczyć, że wartość Pr=1 dla określenia prawdopodobieństwa przyznaje się w praktyce bardzo rzadko i jest ona zarezerwowana dla sytuacji, których możliwość wystąpienia jest nieprawdopodobna i praktycznie nigdy nie wystąpiła. Po wyznaczeniu RPN i uzyskaniu wartości na poziomie dopuszczalnym można zaakceptować taki poziom ryzyka lecz w myśl kultury bezpieczeństwa zaleca się podejmowanie działań dla systematycznej redukcji tych zagrożeń, szczególnie jeżeli wartość RPN jest bliska RPN dopuszczalne. W praktyce najczęściej jednak dopiero po przekroczeniu RPN dopuszczalnego podejmuję się działania zapobiegawcze tj. najczęściej, gdy (120<RPN 150) lub działania korygujące, gdy RPN>150. W sytuacji przekroczenia RPN dopuszczalnego przechodzi się do drugiej części formularza FMEA rysunek 1 b). W przedstawionym przykładzie wykorzystano dobre praktyki stosowane przez producentów branży kolejowej tj. identyfikację rzeczywistych przyczyn zagrożenia i przydzielenie realizacji wyznaczonych działań korygujących lub zapobiegawczych z wykorzystaniem dobrych zasad zarządzania. Pierwszy element tej części formularza FMEA, tj. identyfikacja przyczyn zagrożenia, pozwala na określenie rzeczywistych przyczyn i problemów w przedsiębiorstwie. Pominięcie tego etapu powoduje najczęściej podejmowanie działań doraźnych, które nie eliminują rzeczywistych przyczyn zagrożeń. Z pomocą na tym etapie przychodzą dwie podstawowe metody zaczerpnięte z branży samochodowej tj. Diagram Ishikawy tzw. rybia ość lub metoda 5 why?.metody te, choć prostew swojej technice, pozwalają pochylić się głębiej nad analizowanym problemem i często są źródłem przemyśleń, które pozwalają na dotknięcie istoty problemu i podjęcie działań, które usuwają rzeczywiste źródła nieprawidłowości. Takie podejście do identyfikacji źródeł zagrożeń prowadzi najczęściej do znacznej redukcji kosztów bezpieczeństwa przy jednoczesnej znacznej poprawie poziomu bezpieczeństwa w transporcie szynowym. Bez dogłębnej analizy źródła problemu podejmuje się często działania kosztowne i mało skuteczne. Jednym z typowym problemów nie tylko analizy ryzyka ale całego zarządzania bezpieczeństwem jest nazbyt częste formułowanie wniosku błąd człowieka. Wśród osób zajmujących się czynnikiem ludzkim w branży lotniczej, chemicznej lub elektrowniach atomowych panuje opinia, że z tych wszystkich przyczyn zagrożeń, które określono mianem błąd człowieka, tak na prawdę jedynie 30% jest słuszne, pozostałe 70% stanowi często nadużycie tego często wygodnego określenia. Błąd ludzki, szczególnie w branży kolejowej, powinien mieć w swoim założeniu marginalne znaczenie. Wszystkie 7064

8 systemy bezpieczeństwa, systemy sterowania ruchem kolejowym (SRK) budowane są od pokoleń w taki sposób aby błąd człowieka nie spowodował katastroficznych konsekwencji. W pełni funkcjonuje tu zasada sera szwajcarskiego, które poszczególne plastry przepuszczają pojedyncze zagrożenia ale kolejne z nich, symbolizujące kolejne systemy zabezpieczeń wyłapują te zagrożenia pozostawiając nadzorowany system bezpieczny. Przykładem jest tu maszynista, którego błąd lub nagłą utratę świadomości wyłapie pomocnik maszynisty (wymóg obligatoryjny powyżej 120 [km/h]). Gdyby oboje maszynistów zawiodło pozostaje jeszcze czuwak aktywny i kolejne elementy systemu SHP. Przy formułowaniu jako rzeczywistą przyczynę zagrożenia określenia błąd człowieka należy jako minimum wziąć pod uwagę czy możliwe jest wprowadzenie zmian: w systemie zarządzania i organizacji pracy, w systemie szkoleń i precyzowania wymagań normatywnych oraz procedur systemowych, środków technicznych i innych elementach związanych z otoczeniem człowieka w środowisku pracy, które mogą wyeliminować lub istotnie zredukować zagrożenia do poziomu akceptowalnego. Należy wskazać, że etap określania potencjalnych przyczyn zagrożenia jest aktualnie najmniej wykorzystywany w branży kolejowej pomimo, że niesie za sobą duży potencjał redukcji zagrożenia często przy jednoczesnej redukcji kosztów. Po prawidłowymzidentyfikowaniu rzeczywistych przyczyn zagrożeń, należy opisać ustalone działania zapobiegawcze lub korygujące podając jednocześnie osobę odpowiedzialną za realizację tych działań, termin ich realizacji i przydzielone środki. Takie podejście do problemu gwarantuje realne działania w celu poprawy bezpieczeństwa. Na podstawie doświadczeń z niektórymi systemami jakości można stwierdzić, że brak tak precyzyjnych ustaleń z jednej strony gwarantowałby brak możliwości wskazania niezgodności podczas audytu (żadnych konkretów i deklaracji do zweryfikowania) jednak z drugiej strony powodowałby brak skuteczności podejmowanych działań. W podejściu przedstawionym na rysunku 1 b) grupa robocza jednoznacznie precyzuje co należy zrobić w celu zapewnienia bezpieczeństwa, definiuje się osobę za to odpowiedzialną, która ma świadomość powagi nie wykonania powierzonych zadań w wyznaczonym terminie i odpowiedzialności za ewentualne skutki wystąpienia zdarzenia. Umieszczenie w formularzu FMEA kolumny przydzielone środki stanowi jednocześnie deklarację Zarządu, po jego akceptacji programu poprawy bezpieczeństwa opracowanego na podstawie części b) formularza, że asygnuje on odpowiednie środki na zapewnienie bezpieczeństwa w realizowanej przez firmę działalności. Po realizacji zalecanych działań zapobiegawczych lub korygujących należy przeprowadzić powtórną ocenę ryzyka z wykorzystaniem przedstawionej wcześniej metodyki określając Zn, Pr i Dt a na tej podstawie wartość RPN. Uzyskanie na tym etapie ryzyka na poziomie dopuszczalnym wskazuje na skuteczność podjętych działań. W standardzie IRIS stosuje się również wskaźniki (tzw. KPI) określające skuteczność podejmowanych działań i w tym przypadku wskaźnik taki można zdefiniować jako iloraz RPN po podjętych działaniach do RPN z części a) formularza FMEA (rysunek 1) wyrażony w procentach. Wskaźnik taki określa na ile skutecznie zredukowano zagrożenie realizując opisane działania. Na podstawie wieloletnich doświadczeń związanych z analizą ryzyka można stwierdzić, że znaczenie Zn określone w części a) powinno zostać przepisane bez zmian w części b) rysunek 1. Wprowadzenie działań korygujących lub zapobiegawczych pozwala najczęściej na zmniejszenie prawdopodobieństwa wystąpienia zagrożenia lub zwiększenie możliwości jego wcześniejszego wykrycia jednak nie ma racjonalnych podstaw aby znaczenie ZN dla bezpieczeństwa systemu kolejowego w tym w szczególności zdrowia i życia ludzkiego zdefiniowane na początku uległo zmianie. Przykładowo, jeżeli na samym początku założona zostanie możliwość utraty życia człowieka i przydzielona wartość Zn=10 to nie ma racjonalnych wskazań, aby w wyniku podejmowanych działań np. wprowadzeniu dodatkowych kontroli, testów, szkoleń, poprawy własności technicznych, można było zmniejszyć tą wartość. Zmniejszeniu w takim przypadku ulegną dwa pozostałe wskaźniki o ile interdyscyplinarna grupa ds. analizy ryzyka określi, że działania te mogą być skuteczne. Należy mieć na uwadze, że należy monitorować zidentyfikowane zagrożenia. Ważne jest również aby proces analizy ryzyka w tym wypełnienie formularza FMEA traktować jako fragment całego procesu zarządzania bezpieczeństwem w którym analiza ryzyka jest jedynie jego fragmentem realizowanym cyklicznie. 7065

9 Mimo znacznego ujednolicenia w branży kolejowej w Polsce metodyki stosowanej w zakresie analizy ryzyka, wkradły się niestety trzy różne oznaczania czynników analizy ryzyka metodą FMEA tj. normatywne (PN-EN 60812) oraz dwa wynikające ze spolszczenia tj. odpowiednio: Sr, Oc, Dt; Zn, Pr i Dt oraz S, W i Z a liczbę priorytetową ryzyka oznacza się nie tylko jako RPN ale również jako R. W procesie analizy ryzyka wspomina się też często o klasyfikacji ryzyka i jego hierarchizacji. Klasyfikacja odnosi się do przydziału zidentyfikowanego zagrożenia do odpowiedniej kategorii ryzyka tj. określenia jako ryzyka dopuszczalnego lub niedopuszczalnego na podstawie uzyskanej wartości RPN. Hierarchizacja ryzyka określa możliwość jego uszeregowania (np. sortowanie w arkuszu kalkulacyjnym) według wyznaczonych wartości RPN co umożliwi określenie priorytetów prowadzenia działań zapobiegawczych lub korygujących. Wracając do identyfikacji zagrożeń jako szczególnie ważnego elementu analizy ryzyka i całego procesu zarządzania bezpieczeństwem w branży kolejowej można zaznaczyć, że rozporządzenie (WE) 352/2009 wskazuje, że przedmiotem analizy znaczenie zmiany są zmiany o charakterze technicznym, eksploatacyjnym lub organizacyjnym o ile te ostatnie mają wpływ na warunki eksploatacji w odniesieniu do bezpieczeństwa systemu kolejowego. Można zatem wprowadzić kolejną klasyfikację zagrożeń wynikającą z charakteru lub źródła wprowadzonej zmiany tj. zagrożeń technicznych (wynikających z projektowania, wytwarzania, weryfikacji, eksploatacji i utrzymania środków technicznych), eksploatacyjnych (wynikających z prowadzenia procesu przewozowego, procesu utrzymania i zarządzania infrastrukturą) i organizacyjnych (wynikających z przyjętych wymagań prawnych i normatywnych a także systemów zarządzania bezpieczeństwem, jakością, środowiskiem oraz instrukcji kolejowych). Podczas identyfikacji zagrożeń warto jednocześnie mieć na uwadze nie tylko zagrożenia życia i zdrowia człowieka, jego mienia i środowiska naturalnego ale również zagrożenia dla realizowanego przez firmę procesu głównego w tym świadczenia procesu przewozowego i jego parametrów, procesu utrzymania i naprawy, procesu produkcji itp.zagrożenia dla procesu głównego w przedsiębiorstwie realizuje się w wielu branżach z wykorzystaniem FMEA lub jego niewielkiej modyfikacji pfmea, wykorzystując analizę ryzyka nie tylko dla wypełnienia obligatoryjnych wymagań prawnych ale również dla poprawy efektywności procesu zarządzania i maksymalizowania niezawodności realizowanego procesu lub dla analizy ryzyka w projekcie. Oprócz tego celowe jest również zweryfikowanie, czy podczas identyfikacji zagrożeń nie wzięto pod uwagę wyłącznie ryzyka własnego zaniedbując ryzyko wspólne (w punkcie styku różnych podmiotów branży kolejowej) czy też ryzyko pozostałe wynikające z sytuacji stwarzanych przez środowisko naturalne czy też osoby postronne w tym niezamierzonych i zamierzonych działań zagrażających bezpieczeństwu w transporcie szynowym. WNIOSKI Przedstawiona w artykule metodyka prowadzenia analizy ryzyka w transporcie szynowym a w szczególności sprawdzone w branży kolejowej dobre praktyki wynikają nie tylko z analizy metod i dobrych praktyk zaczerpniętych z innych rodzajów transportu [10] i innych branż w tym chemicznej, lotniczej i elektrowni atomowych ale przede wszystkim z wieloletniej praktyki prowadzenia analiz ryzyka od tzw. lokomotyw parowych po kolej dużych prędkości realizowanych w ramach prac Katedry Transportu Szynowego Wydziału Transportu Politechniki Śląskiej. Opisana analiza ryzyka w oparciu o metodę FMEA została dostosowana do specyfiki transportu szynowego i jest z powodzeniem stosowana w całej branży kolejowej w Polsce. Przedstawione kompleksowe podejście do analizy ryzyka z wykorzystaniem metody FMEA powinno stanowić podstawę do jej dalszego doskonalenia tj. z uwzględnieniem proponowanego przedstawiania wyników analizy ryzyka nie tylko w postaci RPN ale również z uwzględnieniem zysków wynikających ze zwiększenia niezawodności i dostępności taboru oraz redukcji kosztów niedotrzymania bezpieczeństwa tzw. aspekt ekonomiczny analizy ryzyka (EA of RA economical aspect of risk assessment). Przedstawione w artykule dobre praktyki analizy ryzyka z wykorzystaniem metody FEMA powinny stanowić podstawę dalszego wzrostu kultury bezpieczeństwa w transporcie 7066

10 szynowym a w rezultacie również do zminimalizowania liczby i skutków niekorzystnych zdarzeń kolejowych w Polsce. Streszczenie W artykule przedstawiono podstawy prawne w zakresie konieczności stosowania analizy ryzyka i dowody na konieczność stosowania podejścia procesowego w zarządzaniu bezpieczeństwem w tym SMS i MMS jako systemów dodatkowych do systemów typowo kolejowych tj. sterowania ruchem kolejowym, procesem przewozowym i procesem utrzymania i naprawy. W artykule szczegółowo omówiono metodykę i podano przykłady analizy ryzyka metodą FMEA z omówieniem dobrych praktyk zweryfikowanych i stosowanych w transporcie kolejowym w Polsce. Risk analysis in rail transport - the FMEA method and good practices of its application Abstract The article presents the legal basis in terms of the need for risk analysis and proof of the need for a process approach in safety management including SMS and MMS systems as additional systems to typical rail traffic control, transport process and the process of maintenance. The article discusses in detail the methodology and gives examples of risk analysis using FMEA method with a discussion of best practices validated and applied in railway transport in Poland. BIBLIOGRAFIA 1. IRIS, International Railway Industry Standard, rew. 2.0, UNIFE, IRIS Management Centre, Bruxelles, Belgium, 2009, 2. PN-EN 60812:2009 Techniki analizy nieuszkadzalności systemów procedura analizy rodzajów i skutków uszkodzeń, Warszawa 2009, 3. Dyrektywa 2004/49/WE Parlamentu Europejskiego i Rady, Dyrektywa w sprawie bezpieczeństwa kolei, Dz.U. L 220 z , str. 16, Warszawa 2004, 4. Rozporządzenie Komisji (UE) nr 1078/2012 z dnia 16 listopada 2012 r., 5. Rozporządzenie Komisji (WE) nr 352/2009 z dnia 24 kwietnia 2009 r. w sprawie przyjęcia wspólnej metody oceny bezpieczeństwa w zakresie wyceny i oceny ryzyka, Warszawa 2009, 6. Rozporządzenie Wykonawcze Komisji (UE) nr 402/2013 z dnia 30 kwietnia 2013 r. w sprawie wspólnej metody oceny bezpieczeństwa w zakresie wyceny i oceny ryzyka, Warszawa 2013, 7. Adam Mańka, Rafał Wachnik: Analiza ryzyka technicznego pojazdów kolejowych Journal of KONBIN ISSN str ; 8. Rafał Wachnik, Adam Mańka: Zintegrowany system zarządzania bezpieczeństwem w transporcie kolejowym. Ocena ryzyka operacyjnego w aspekcie ryzyka technicznego. Część IX TTS, 11/2011, ISSN , str ; 9. Marek Sitarz, Katarzyna Chruzik, Adam Mańka, Rafał Wachnik: Zintegrowany system zarządzania bezpieczeństwem w transporcie kolejowym. Cz. 10: Podmioty odpowiedzialne za utrzymanie ECM. -TTS Tech. Transp. Szyn R. 17 nr 12, s , bibliogr. 3 poz., 10. Praca zbiorowa pod redakcją Ryszarda Krystka Zintegrowany System Bezpieczeństwa Transportu Tom 1 Diagnoza bezpieczeństwa transportu w Polsce, Wydaw. Komunikacji i Łączności, 2009, s