Godkendelse af infrastruktur

Sikkerhedsrelaterede anvendelsesbetingelser blev i 1990erne defineret af standardiseringsorganisationen Cenelec som:

Safety Related Application Conditions (SRAC): Rules, conditions and constraints relevant for safety which need to be observed in the application of the system/sub-system/equipment.

Den engelske betegnelse ”SRAC” er direkte adopteret i det danske sprog og betyder det samme, altså de sikkerhedsrelaterede anvendelsesbetingelser, der stilles til brugen af et system eller et udstyr, sådan at dets sikkerhedsfunktioner vil være opfyldt i hele dets levetid.

En SRAC opstår, når ikke alle sikkerhedsmæssige forhold er løst af systemet selv, og der derfor er en restrisiko, der er opstået ved, at en valgt teknisk løsning ikke kan nedbringe risikoen helt til det acceptable niveau.

Når systemet er et system, der skal ibrugtages til drift, vil SRAC's bestå af de krav, der stilles til henholdsvis drift og vedligeholdelsen af systemet, for at sikkerheden kan bevares for systemet i drift. Det kan f.eks. være krav om, at der skal foretages periodisk tjek og vedligehold af systemet, eller f.eks. at der er behov for særlige forholdsregler i unormale driftssituationer, når systemet er helt eller delvis fejlbehæftet.

Man skal være opmærksom på, at der kan eksistere SRAC's, som er imødekommet og dermed opfyldt ved designet og udførelsen af det system, der ønskes idriftsat. Disse vil normalt ikke optræde som SRAC's, der overdrages til drift og vedligehold, men vil optræde så snart en ændring af systemet kommer på tale.

Når et projekt udarbejder dokumentationen for henholdsvis godkendelsen og overdragelsen til drift, er det vigtigt, at SRAC's krav er synlige og let tilgængelige i sikkerhedsdokumentationen.

Følgende retningslinjer kan opstilles for disse SRAC's: 

• De skal oplyse, hvad kravet til anvendelsen er, men ikke nødvendigvis hvordan kravet skal løses. Dvs. at SRAC kravet bør defineres med flest mulig frihedsgrader og undlade at beskrive en bestemt løsning. Derved kan drifts- og vedligeholdelsesorganisationen vælge en måde at opfylde kravet på, som er bedst set ud fra et drifts- og vedligeholdelses (D&V) synspunkt. 
• SRAC's relevant for D&V bør fremgå af systemdefinitionen, eftersom en ibrugtagningstilladelse, jf. Kommissionens henstilling 2014/897/EU punkt 23, bør henvise til ”betingelser for og begrænsninger i anvendelsen”, og det er i Danmark håndteret, ved at ibrugtagningstilladelser henviser til/hviler på den bagvedliggende systemdefinition.
• Informationen til den bagvedliggende årsag til SRAC bør være sporbar til fx både fare og sikkerhedskrav. Forståelse for den fare, SRAC oprindelig kommer fra, modvirker og nedsætter sandsynligheden for, at D&V-organisationen misforstår kravet, og gør det muligt for modtageren at identificere den bedste håndtering. Sporbarheden er også vigtig for at kende og fastholde viden om den bagvedliggende årsag til sikkerhedskrav (og SRAC's), sådan at fremtidige projekter/ændringer kan se, hvorfor bestemte krav er opstået. Dermed kan det vurderes, hvilke farer en eventuel ændring eller fravigelse fra en SRAC medfører.
• En vigtig egenskab at være opmærksom på er, at det er modtageren / det modtagende system, der skal være i stand til at håndtere en SRAC og gøre den operationel, uden at intentionen bag SRAC’en negligeres. Det vil bl.a. sige, at SRAC skal være mulig at implementere for drift og vedligeholdelsen. 
• Hvis det er muligt og relevant bør der skelnes mellem SRAC's, der er nye for systemet eller nye for organisationen, og de SRAC's, der har været implementeret i længere tid. Dette hensyn er relevant for større systemer eller store organisationer, for at det nye ikke udvandes i mængden af eksisterende SRAC's. 

Sikkerhedskrav optræder i flere faser ved et jernbanesystem. Før systemet eksisterer, indgår sikkerhedskravene som en del af kravspecifikationen til det system, der etableres. Sikkerhedskravene identificeres ved hjælp af risikoanalyse, jf. CSM-RA forordningen. Når systemet er designet og udført, kan sikkerhedskravene til, hvordan systemet skal bruges og vedligeholdes tilføjes, idet disse er systemets sikkerhedsmæssige anvendelsesbetingelser.

Sikkerhedskravenes tilblivelse er illustreret som de blå bokse i figuren herunder:

Sikkerhedskrav består således af en samling af følgende krav:

• Krav til udvikling og design for at imødegå fejl i disse faser
• Krav til hvilke sikkerhedsfunktioner systemet skal løse
• Krav til hvilket sikkerhedsniveau det samlede system skal have og evt. sikkerhedsmål
• Eksisterende sikkerhedskrav, altså hvis der i forvejen gælder krav for det system, der skal etableres
• Myndighedskrav eller andre udefra kommende krav
• Sikkerhedskrav til anvendelsen (SRAC), herunder eventuelle sikkerhedsregler

I CSM-RA står, at assessor skal have adgang til dokumentation, der påviser at systemet opfylder alle de fastlagte sikkerhedskrav. 

Hvad der forstås ved ’sikkerhedskrav’, vil blive omtalt i en kommende Spørgsmål & Svar.

Dokumentation for kravopfyldelse

En god farelog indeholder farer nedbrudt til et niveau, hvor fareårsag, sikkerhedskrav og imødegåelser (mitigeringer) hænger logisk sammen for hver fare, sådan at imødegåelsen af faren netop modsvarer den bagvedliggende fareårsag, som faren i fareloggen omhandler. Det er en fordel, hvis det samme sted i fareloggen fremgår, hvilken dokumentation forslagsstiller har tænkt sig at fremlægge som bevis på, at sikkerhedskravet er opfyldt. 

Hvis forslagsstiller har været omhyggelig og præcis nok i sin farelog, har assessor mulighed for tidligt i processen at tage stilling til, om den dokumentation forslagsstiller påtænker at levere, svarer til assessors forventninger. Desuden kan assessor senere via fareloggen finde den relevante dokumentation, der håndterer faren, fordi fareloggen senest på håndteringstidspunktet bør indeholde en entydig reference til et versionsstyret dokument med angivelse af, hvor i dokumentet (side/afsnit/punkt nummer) beviset findes. 

Erfaringen viser, at forslagsstillere, der gennemfører simpel dokumentstyring, sparer mange kræfter og diskussioner. Ligeledes er det en god ting når dokumenter har følgende: 

• Dokumentnummer
• Dokumentdato
• Version
• Titel
• Udfyldte rubrikker, der angiver forfatter, reviewer og godkender.

Helt generelt vil assessor, hvis det overhovedet er muligt, forvente skriftlig dokumentation, der beviser, at sikkerhedskravet er opfyldt.

Ligeledes vil assessor normalt ikke acceptere en eftervisning baseret på fravær af negative kommentarer i en rapport eller et tilsynsnotat. Det skal forstås sådan, at hvis f.eks. et fagtilsyns noter skal fungere som dokumentation for opfyldelse af et sikkerhedskrav, skal noterne eksplicit omtale, at kontrollen er foretaget.

Der kan være mange årsager til, at assessor må ’nøjes’ med dokumentation, der ligger et sted mellem det perfekte og det uacceptable, og assessor vurderer i hvert enkelt tilfælde, om den dokumentation, der fremlægges, er tilstrækkelig.

Det er altid en god idé, at forslagsstiller så tidligt som muligt noterer i fareloggen, hvilken dokumentation forslagsstiller har tænkt sig at fremlægge som dokumentation for overholdelse af sikkerhedskravet, og dermed populært sagt ’bruges til at håndtere (lukke) faren med’.

Forslagsstiller skal være opmærksom på, at såkaldte erklæringer er et ’meget svagt bevis’ for overholdelse af et sikkerhedskrav, og forslagsstiller bør derfor overveje, om et mere tungtvejende bevis kan fremlægges i stedet. Erklæringer bør kun i visse situationer være nødvendigt, når det ikke er muligt at påvise opfyldelsen af sikkerhedskrav på anden vis. Hvis en forslagsstiller er nødt til at vælge at levere dokumentation for overholdelse af et sikkerhedskrav i form af en erklæring, bør erklæringen være eksplicit og præcis med hensyn til det, den dækker.

Eksempler på eftervisningsdokumentation, der kan bevise at et sikkerhedskrav er opfyldt:

• Sikringstekniske valideringsrapporter (projektering)
• Sikringstekniske valideringsrapporter (afprøvningsmateriale)
• Konstruktionstekniske valideringsrapporter
• Målinger (husk at beskrive måleudstyr og kalibrering) som f. eks.
  • Spormålinger
  • Målinger af fritrumsprofil
• Rapport over simulering
• Testrapporter (f.eks. udfyldt afprøvningsmateriale)
• Sikringsteknisk ibrugtagningsprotokol
• Svejsedokumentation (evt. inklusiv erklæring fra svejseansvarlig om gennemgang af svejsedokumentation)
• Udfyldt sporskiftekor
• Inspektionsrapporter
• Rapport fra TV inspektion af afvanding
• Reviewrapporter
• Tilsynsrapporter (f.eks. byggetilsynets eller fagtilsynets tilsynsnoter)
• Datablade eller anden dokumentation fra leverandør
• Argumentationsrapport (f.eks. en kvalitativ risikovurdering – husk konklusion)
• Foto (f.eks. af at en tavle er monteret korrekt på korrekt sted – flere fotos kan være nødvendige overblik + detalje)

Trafikstyrelsen er som forvaltningsmyndighed underlagt officialprincippet (også kaldet undersøgelsesprincippet). Sagt med andre ord går det ud på, at styrelsen har pligt til at sørge for at tilvejebringe sagens faktiske grundlag – og således træffe afgørelse på et tilstrækkeligt oplyst grundlag. Det vil sige, at styrelsen skal sørge for, at alle nødvendige oplysninger foreligger i sagen, og at alle nødvendige undersøgelser foretages, før styrelsen træffer afgørelse.

Med hensyn til ibrugtagningstilladelse (IBT) skal projektet først og fremmest være så langt fremme på ansøgningstidspunktet, at det giver mening at ansøge om IBT. Det vil sige, at ændringen skal være fuldt projekteret inden for alle fagområder, og der skal foreligge planer og aktører for sikkerhedsaktiviteter for udførelsesfasen og ibrugtagning til drift samt planer og aktører for de resterende sikkerhedsaktiviteter efter ibrugtagning til drift. Der skal være udført formaliseret kontrol af projekteringen, og assessor skal have haft mulighed for at se og vurdere:

• Dokumentation for design og udført kontrol samt
• Planerne og aktører for sikkerhedsaktiviteter for udførelsesfasen og ibrugtagning til drift, og
• Planerne og aktører for de resterende sikkerhedsaktiviteter efter ibrugtagning til drift.

Derudover skal ansøgningsmaterialet være komplet. Der må ikke være mangler i eksempelvis udfyldelsen af ansøgningsskema. 

Når selve afgørelsen går ud på at udstede en IBT, skal det naturligvis være helt klart, hvad IBT udstedes til. Uklarheder i systemdefinitionen eller mellem systemdefinition og andet ansøgningsmateriale må derfor altid undersøges og afklares, inden IBT kan udstedes. 

Det skal klart fremgå, at sikkerhedsvurderingsrapporten (SVR) er dækkende for alle de ændringer, der søges IBT til, og det må ikke være uklart, hvad assessor mener/hvad vurderingen går ud på.

Hvis der er modstridende oplysninger i SVR – eventuelt at enkelte afsnit peger på noget andet, end hvad der fremgår af konklusionen, eller hvis der er modstrid mellem oplysninger i SVR og andre dele af ansøgningsmaterialet -  skal det undersøges og afklares, hvad der er rigtigt.

Der kan også i ansøgningsmaterialet være forudsætninger eller forbehold, som kan være uklare – eller som eventuelt vurderes at være for vidtrækkende. I en sådan situation vil styrelsen indlede en dialog med henblik på at få afklaret forudsætningerne/forbeholdene, så en IBT vil kunne udstedes.

Særligt med hensyn til Tillæg 1 og Tillæg 2 til SVR:

Udover at de samme betragtninger vedrørende uklarheder og mangler også gør sig gældende for så vidt angår Tillæg 1 og Tillæg 2 til SVR, er der forhold her som er helt specielle.

Tillæg 1 til SVR skal fremsendes 6 uger efter ibrugtagning til drift af ændringer, der kan påvirke jernbanesikkerheden, og Tillæg 2 til SVR skal fremsendes 6 måneder efter ibrugtagning til drift. Det er derfor vigtig, at der er klarhed over, hvornår ibrugtagning til drift af den ændrede jernbaneinfrastruktur finder sted. Se også Spørgsmål & Svar ”Tidspunkt for ibrugtagning til drift af ændret infrastruktur”.

Tillæg 1 til SVR skal dokumentere, at ibrugtagning til drift er sket sikkert, hvilket medfører, at alle farer, der vedrører projektering, udførelse, installation, anlæg mv. skal være håndteret, og assessor skal have haft mulighed for at vurdere håndteringen tilfredsstillende. Er der på Tillæg 1 tidspunkt resterende sikkerhedsmæssige aktiviteter, som skal udføres på et senere tidspunkt, og som er nye eller ændrede i forhold til de resterende sikkerhedsmæssige aktiviteter vurderet i SVR, skal Tillæg 1 indeholde assessors vurdering af, at forslagsstillers plan for håndtering af disse resterende sikkerhedsmæssige aktiviteter, er tilfredsstillende.

Tillæg 2 anvendes kun, hvis der på tidspunktet for Tillæg 1 er resterende sikkerhedsmæssige aktiviteter, som ikke har kunnet lukkes. Tillæg 2 skal dokumentere den endelige afslutning af disse aktiviteter. Der må således ikke være udeståender på tidspunktet for Tillæg 2.

Særligt med hensyn til sag-til-sag-godkendte assessorer:

Styrelsen fortager også sag-til-sag-godkendelse af assessorer. Hvis SVR er udarbejdet af et sag-til-sag-godkendt assessorteam, og der i ændringen, der søges IBT til, indgår fagområder, som ikke er dækket af assessorteamets kompetencer vil styrelsen stille spørgsmål. Det kan være på baggrund af de oplistede fagområder i ansøgningsskemaet eller en beskrivelse af ændringerne i systemdefinitionen. 

Ved ansøgning om IBT, hvor assesseringen er foretaget af et sag-til-sag-godkendt assessorteam, kan styrelsen – alt efter hvilke forhold der er uklare i ansøgningsmaterialet – vælge at føre tilsyn med assessor (enten skriftligt eller mundtligt på et møde).

Tidspunktet for, hvornår en ændret jernbaneinfrastruktur er ibrugtaget til drift, er vigtigt til bestemmelsen af tidsfristen for fremsendelse af Tillæg 1 til sikkerhedsvurderingsrapporten (SVR) og Tillæg 2 til SVR mv. til styrelsen. Her tænkes kun på ændringer af jernbaneinfrastruktur, der har betydning for jernbanesikkerheden.

Det tidspunkt, hvor en ændret jernbaneinfrastruktur ibrugtages til drift, defineres som det tidspunkt, hvor det første tog i drift har mulighed for at køre forbi den ændrede jernbaneinfrastruktur. Dette tidspunkt er ikke nødvendigvis sammenfaldende med tidspunktet for, hvornår det bestilte anlæg overdrages til den, som har bestilt anlægget, og dette tages i drift.

I en situation, hvor der f.eks. er gennemført en sporombygning på en enkeltsporet strækning under en sporspærring, vil den ændrede jernbaneinfrastruktur blive taget i brug til drift, når spærringen ophæves, og der er mulighed for drift på strækningen igen. Dette tidspunkt vil her være sammenfaldende med, at det bestilte anlæg overdrages til infrastrukturforvalteren og kan tages i drift.

I et andet eksempel vil en kommune etablere en ny stibro over jernbanen. Udførelsen sker i en række spærringer, hvor der f.eks. i den første etableres afskærmning mod spor og udgraves til fundamenter til broen. Når denne første sporspærring hæves, vil der være tale om en ændret jernbaneinfrastruktur, fordi udgravningen er sporbærende, og dermed er tidspunkt for ibrugtagning til drift af denne ændrede infrastruktur, når sporspærringen ophæves. Tilsvarende vil der være tidspunkter for ibrugtagning til drift af ændret infrastruktur ved ophævelsen af de efterfølgende spærringer. Hermed vil der være flere tidsfrister for fremsendelse af Tillæg 1 til SVR og Tillæg 2 til SVR mv. svarende til hver af tidspunkterne for ibrugtagning til drift af ændret jernbaneinfrastruktur. I dette eksempel vil tidspunktet for overlevering af det bestilte anlæg (stibroen) til kommunen ikke være sammenfaldende med tidspunktet for ibrugtagning til drift af jernbaneinfrastrukturen, da stibroen først overleveres til kommunen for idriftsættelse, når konstruktionen af stibroen er helt færdig, hvilket typisk vil være et stykke tid efter den sidste sporspærring. 

I et tredje eksempel vil et forsyningsselskab etablere en ledningskrydsning under banen ved en styret underboring. Start- og modtagegruberne ligger langt fra sporet og har derfor ikke betydning for jernbanen. Selve underboringen foretages, mens der er spor i drift. I denne situation betragtes jernbaneinfrastrukturen som ændret i det øjeblik borehovedet krydser CC3 linjen, og der vil ske en løbende ændring af infrastrukturen i hele den efterfølgende udførelsesperiode. Da der i udførelsesperioden er fortsat drift på strækningen, vil der være ibrugtagning til drift af ændret jernbaneinfrastruktur kontinuerligt samtidig med fremdrift i udførelsen. Hvis der er tale om en kort udførelsesperiode, f.eks. 12 timer, vil tidsfristen for fremsendelse af Tillæg 1 til SVR og Tillæg 2 til SVR mv. være regnet fra første tidspunkt, hvor borehovedet krydser CC3 linjen. Hvis der derimod er tale om en længere udførelsesperiode over flere dage eller uger, vil der skulle laves en plan for hvor mange Tillæg 1 til SVR og Tillæg 2 til SVR mv., der er nødvendige at levere. For alle Tillæg 1 til SVR vil der gælde, at der ikke må gå længere end 6 uger, fra en ændret jernbaneinfrastruktur er ibrugtaget til, der leveres Tillæg 1 til SVR mv. til styrelsen. I dette eksempel vil der også være forskel på tidspunktet for overlevering af det bestilte anlæg (ledningskrydsningen) til forsyningsselskabet for idriftsættelse og tidspunktet for ibrugtagning til drift af ændret jernbaneinfrastruktur, da jernbaneinfrastrukturen ibrugtages løbende i udførelsesperioden, mens ledningskrydsningen først er klar til idriftsættelse (i dens funktion som ledning) senere.

Risikoen knyttet til en fare kan være så lille, at den betragtes som alment accepteret i henhold til CSM-RA forordningen hhv. bekendtgørelse nr. 711 af 20/05/202 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen. Det vil den være, hvis enten

• farehyppigheden vurderes tilstrækkelig lav, uanset den potentielle alvorsgrad (fx meteornedslag på sporet),
• den potentielle alvorsgrad af farens konsekvenser vurderes tilstrækkelig beskeden, uanset med hvilken hyppighed faren opstår, eller
• risikoen holdes under kontrol på et acceptabelt niveau af eksisterende sikkerhedsforanstaltninger, og der ikke er behov for håndtering af risikoen ud over den kontrol, som de eksisterende sikkerhedsforanstaltninger har af risikoen.

Det er forslagsstillerens ansvar at vurdere, om risikoen, der er forbundet med de respektive farer, er alment acceptabel (den organisation, der planlægger og udfører en infrastrukturændring). Med ”alment acceptabel” menes, at risikoen er så lille, at det ikke er rimeligt at gennemføre yderligere sikkerhedsforanstaltninger ud over eventuelle eksisterende sikkerhedsforanstaltninger. ”Rimeligt” skal ses i forhold til risikoacceptkriteriet.

Eksisterende sikkerhedsforanstaltninger i henhold til CSM-RA forordningen hhv. bekendtgørelse nr. 711 af 20/05/2020 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen er foranstaltninger, som allerede er til stede i systemet inden ændringen, og som ikke kræver ændring af sikkerhedsledelsessystemet. De eksisterende sikkerhedsforanstaltninger og de deraf følgende sikkerhedskrav kan være

• anerkendt praksis,
• udledt af sikkerhedsanalyser eller en evaluering af sikkerhedsredegørelser for et referencesystem eller
• udledt af en eksplicit risikoestimering,

hvis de lever op til kravene i CSM-RA forordningen, Bilag I, hhv. afsnit 2.3, 2.4, og 2.5, eller bekendtgørelse nr. 711 af 20/05/2020 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen, Bilag 2, herunder afsnit 3.3, 3.4 og 3.5.

Trafikale sikkerhedsregler og tekniske sikkerhedsregler for ændringer, drift og vedligeholdelse (af jernbaneinfrastruktur), som er implementeret i infrastrukturforvalterens sikkerhedsledelsessystem inden infrastrukturændringen, kan betragtes som sikkerhedskrav knyttet til eksisterende sikkerhedsforanstaltninger i form af anerkendt praksis, hvis alle tre nedenstående forhold er opfyldt:

• de er almindeligt anerkendt i jernbanesektoren (hvis dette ikke er tilfældet, skal sikkerhedsreglerne begrundes, og assessor skal kunne acceptere dem)
• de er relevante i forhold til at holde de pågældende farer under kontrol
• de på anmodning stilles til rådighed for assessor.

De pågældende sikkerhedsregler skal registreres i fareloggen sporbart til den fare, de er knyttet til, og overholdelse af sikkerhedsreglerne skal påvises, hhv. overdrages (sammen med de farer, de er knyttet til) til drifts- og vedligeholdelsesorganisationen til opfyldelse.

Hvis TSI-krav anvendes som anerkendt praksis til at holde risici under kontrol på et acceptabelt niveau, kan TSI-kravene betragtes som sikkerhedskrav knyttet til eksisterende sikkerhedsforanstaltninger, og de tilknyttede farer kan klassificeres som havende alment accepterede risici, hvis kravene i TSI’en er relevante i forhold til at holde de pågældende farer og risici under kontrol.

De relevante TSI-krav skal registreres som sikkerhedskrav i fareloggen sporbart til den fare, de er knyttet til, og overholdelse af TSI-kravene skal påvises.

Hvis TSI-krav bruges som sikkerhedsforanstaltninger, kan dokumentationen for NoBo’s verifikation bruges til at påvise overholdelse af sikkerhedsforanstaltningerne. Som det følger af artikel 6(3) i CSM-RA forordningen, udføres der ikke dobbeltassessering, hvilket betyder, at NoBo’s vurdering bruges og accepteres af assessoren som led i dennes vurdering af risikostyringsprocessen og resultaterne heraf.

Det primære formål med risikostyring er, at der sker en systematisk identifikation af farer, og at de til farerne knyttede risici kontrolleres på et acceptabelt niveau.

Fareidentifikationen skal omfatte alle de jernbanefarer, der med rimelighed kan forudses for det samlede system, dettes funktioner, når det er relevant, og dets grænseflader, herunder farer knyttet til projektering, udførelse samt drift og vedligeholdelse, uanset om der er tale om farer, der indebærer alment accepterede risici eller ej.

Farerne skal registreres i fareloggen, som er centralnerven i risikostyringsprocessen. Fareloggen skal for signifikante ændringer

• indeholde alle de identificerede jernbanefarer og
• overdrages til drift- og vedligeholdelsesorganisationen med henblik på styring og overvågning af farer og risici samt overholdelse af sikkerhedskrav i drift- og vedligeholdelsesfasen. Drift- og vedligeholdelsesorganisationen skal have været involveret i evalueringen af risiciene, og anlægsorganisationen samt drift- og vedligeholdelsesorganisationen skal være enige om løsningerne.

Der skal i fareloggen bl.a. være registrering af, hvilket risikoacceptprincip der er valgt til håndtering af risiciene, hvilke sikkerhedsforanstaltninger og de deraf følgende sikkerhedskrav, der er valgt til at holde risiciene på et acceptabelt niveau, samt hvordan sikkerhedskravene er dokumenteret overholdt, implementeret eller overdraget (sammen med de farer, de er knyttet til) til drifts- og vedligeholdelsesorganisationen til opfyldelse. Registreringerne skal være sporbare i forhold til den/de farer, de er knyttet til.

For hver af de farer, der indebærer alment accepterede risici, er der ovenfor tale om det risikoacceptprincip, som er knyttet til de eksisterende sikkerhedsforanstaltninger, der holder risikoen under kontrol på et acceptabelt niveau.

Farer, der både vedrører jernbanesikkerhed og andre myndighedsområder, skal identificeres og medtages i fareloggen på lige fod med andre farer, der vedrører jernbanesikkerhed. Det vil fx sige, at farer, der både vedrører jernbanesikkerhed og arbejdsmiljø, og farer, der både vedrører jernbanesikkerhed og elsikkerhed, skal medtages i fareloggen.

Hele risikostyringsprocessen skal udføres og dokumenteres, uanset om der er tale om en signifikant eller ikke en signifikant ændring, og uanset om de farer, der opstår som følge af infrastrukturændringen indebærer alment accepterede risici eller ej. Ifølge (EU) 2018/762 CSM for sikkerhedsledelsessystemer, hhv. bekendtgørelse nr. 712 af 20/05/2020 om sikkerhedsgodkendelse, EU-sikkerhedscertifikat og sikkerhedscertifikat på jernbaneområdet, skal infrastrukturforvalteren følge et sæt af sikkerheds- og kvalitetsprocesser i infrastrukturforvalterens sikkerhedsledelsessystem, der angiver, hvordan farer identificeres systematisk, samt hvordan risici evalueres, kontrolleres og overvåges. 

Det vil sige, at fyldestgørende beskrivelser af fremgangsmåde skal findes i sikkerhedsledelsessystemet, og at den organisation, der planlægger og udfører en infrastrukturændring (forslagsstilleren), bl.a. skal dokumentere følgende i forbindelse med risikostyringsprocessen for ALLE jernbanefarer, der med rimelighed kan forudses:

• identifikation af farer
• identifikation af de til farerne knyttede risici,
• identifikation af de til risiciene tilknyttede sikkerhedsforanstaltninger og de deraf følgende sikkerhedskrav,
• relevansen af de tilknyttede sikkerhedsforanstaltninger/sikkerhedskrav,
• evaluering af, hvorvidt risikoen er acceptabel og
• påvisning af, at sikkerhedskravene er opfyldt, implementeret eller overdraget til drifts- og vedligeholdelsesorganisationen til opfyldelse.

For farer, der indebærer alment accepterede risici, og som er knyttet til en signifikant infrastrukturændring, skal relevansen af de eksisterende sikkerhedsforanstaltninger således dokumenteres, og de eksisterende sikkerhedsforanstaltninger med dertil hørende sikkerhedskrav anføres i fareloggen. Dertil kommer, at den organisation, der planlægger og udfører en infrastrukturændring (forslagsstilleren), skal dokumentere, at sikkerhedskravene er opfyldt, implementeret eller overdraget til drifts- og vedligeholdelsesorganisationen til opfyldelse – helt på lige fod med dokumentation af farehåndteringen for de farer, der ikke indebærer alment accepterede risici, men som skal håndteres yderligere ud over eksisterende sikkerhedsforanstaltninger.

Der er ikke forskel på kravene til – og dokumentationen af – ”anerkendt praksis”, ”referencesystem” og ”eksplicit risikoestimering”, hvad enten disse risikoacceptprincipper anvendes i forbindelse med eksisterende sikkerhedsforanstaltninger til kontrol af farer, der indebærer alment accepterede risici, eller i forbindelse med nye sikkerhedsforanstaltninger til kontrol af farer, der ikke indebærer alment accepterede risici.

Det er forventningen, at det vil være forholdsvis rutinemæssigt at vurdere, hvilke farer, der indebærer alment accepterede risici, og i den forbindelse at identificere de tilknyttede eksisterende sikkerhedsforanstaltninger med afledte sikkerhedskrav, så kræfterne kan fokuseres på at identificere, risikoanalysere og håndtere de farer, der ikke er forbundet med alment accepterede risici.

Signifikante ændringer skal vurderes af en uafhængig assessor. Assessors scope er hele risikostyringsprocessen og dens resultater, det vil sige både systemdefinition, fareidentifikationsproces og den efterfølgende håndtering af de identificerede farer. Assessors scope omfatter både de farer, der indebærer alment accepterede risici, og de farer, der skal håndteres yderligere ud over de eksisterende sikkerhedsforanstaltninger.

Det er fx inden for assessors scope at vurdere sikkerhedsforanstaltningerne – både de eksisterende og de nye sikkerhedsforanstaltninger, der er afledt af risikostyringen af infrastrukturændringen - i forhold til opfyldelse af CSM-RA forordningen, herunder Bilag I, hhv. afsnit 2.3, 2.4 og 2.5, eller bekendtgørelse nr. 711 af 20/05/2020 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen, Bilag 2, herunder afsnit 3.3, 3.4 og 3.5.

Farer, der både vedrører jernbanesikkerhed og andre myndighedsområder, skal medtages i risikostyringen og er inden for assessors scope i forbindelse med signifikante infrastrukturændringer. Det vil fx sige, at farer, der både vedrører jernbanesikkerhed og arbejdsmiljø, og farer, der både vedrører jernbanesikkerhed og elsikkerhed, skal medtages i risikostyringen og er inden for assessors scope i forbindelse med signifikante infrastrukturændringer.

Dokumentationen for håndtering af alle identificerede farer skal således være til rådighed for assessor, men ud fra en risikovurderingsbetragtning forventes det, at assessors hovedfokus er på håndteringen af de farer, der ikke indebærer alment accepterede risici.

Det står dog assessor frit for at vurdere dokumentationen for håndtering af farer, der indebærer alment accepterede risici, for at kunne sikre sig, at infrastrukturforvalteren håndterer alle kategorier af farer stringent efter de foreskrevne processer i sikkerhedsledelsessystemet. Hvis assessor aldrig udvælger dokumentation knyttet til farer, der indebærer alment accepterede risici, til grundig gennemgang, vil valget af stikprøver være for forudsigeligt.

Assessors vurderingsmetode inkluderer vurderingen af korrekt anvendelse af sikkerheds- og kvalitetsprocesser for ændringshåndteringen, herunder anvendelse af kompetent personale.

Det forventes, at assessor benytter stikprøver udvalgt på baggrund af en risikovurderingstilgang til at vurdere dokumentationen af risikostyringen og dennes resultater. Stikprøverne er således ikke tilfældigt valgt. Udvælgelsen af stikprøverne forventes at være drevet af assessors opfattelse af de farer med tilknyttede risici, der opstår på baggrund af ændringen. Assessor tjekker dermed i udgangspunktet ikke alle detaljer i dokumentationen, men mængden af stikprøver vil afhænge dels af assessors opfattelse af, hvilke dele af ændringen der er forbundet med de højeste eller mest kritiske risici, dels af de iagttagelser, som assessor gør sig under assesseringen, samt prøvetagningens resultater.

Hvis dokumentationen ikke er dækkende, eller hvis dokumentationen er af ringe kvalitet, vil dette ofte lede til flere spørgsmål fra assessor. Det kan fx være i tilfælde af

• utilstrækkelig dokumentation for korrekt anvendelse af sikkerhedsledelsessystemets processer i forhold til overensstemmelse med risikostyringsprocessen i CSM-RA forordningen hhv. bekendtgørelse nr. 711 af 20/05/2020 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen,
• utilstrækkelig fareidentifikation,
• hvis ikke alle risikostyringsmæssige aktiviteter er dokumenteret, herunder manglende dokumentation for
• såvel selve opfyldelsen af sikkerhedskrav
• som dokumentation for den fremgangsmåde, som er valgt med henblik på at dokumentere opfyldelse af sikkerhedskrav
• uklar eller manglende sammenhæng i dokumentationen, også selv om den manglende sammenhæng kan forklares af forslagsstilleren (den organisation, der planlægger og udfører en infrastrukturændring) på forespørgsel af assessor – sammenhængen skal sikres af sikkerhedsledelsessystemet og fremgå af dokumentationen.

På ERA’s hjemmeside er der vejledning om assessor og dennes arbejdsmetode m.m.

(link: https://www.era.europa.eu/domains/common-safety-methods/risk-evaluation-assessment-csm_en)

Forudsætningen for udstedelse af ibrugtagningstilladelse til ny eller ændret infrastruktur er, at hele risikostyringen og dens resultater skal være

• procesdækket i sikkerhedsledelsessystemet,
• dokumenteret og
• vurderet af en assessor.

En begrænsning af assessors scope til ikke at omfatte farer, der indebærer alment accepterede risici, vil bl.a. medføre:

• Assessor kan ikke vurdere hele risikostyringen i forbindelse med den signifikante ændring
• Assessor kan ikke udtale sig om, hvorvidt den signifikante ændring er tilstrækkelig sikker
• Assessors konklusion i sikkerhedsvurderingsrapporten vil indeholde udeståender
• Ansvaret for assessering af risikostyringen flyttes fra assessor til Trafikstyrelsen, og Trafikstyrelsen skal dermed i sin sagsbehandling kompensere for den manglende assessering
• Ansøgeren om ibrugtagningstilladelse vil over for Trafikstyrelsen skulle dokumentere den del af risikostyringsprocessen, der ikke er dokumenteret over for assessor,
• Der vil være en forsinkelse i udstedelsen af ibrugtagningstilladelsen
• Der vil være risiko for forsinket ibrugtagning til drift, særligt hvis det bliver erkendt på et sent tidspunkt i projektet/sagsforløbet for ibrugtagningstilladelsen.

Hvis kvaliteten af dokumentationen ikke er tilstrækkelig, eller hvis dokumentationen er af ringe kvalitet, vil dette ofte lede til flere spørgsmål fra assessor. Herunder fx i tilfælde af utilstrækkelig dokumentation for korrekt anvendelse af risikostyringsprocessen i CSM-RA forordningen hhv. bekendtgørelse nr. 711 af 20/05/2020 om ibrugtagningstilladelse for delsystemer i jernbaneinfrastrukturen, utilstrækkelig fareidentifikation, eller hvis ikke alle risikostyringsmæssige aktiviteter er dokumenteret. Det kan også være i tilfælde af, at der er manglende sammenhæng i dokumentationen, og forklaringerne ikke er skrevet specifikt i dokumentation, selvom den manglende sammenhæng kan forklares af forslagsstilleren (den organisation, der planlægger og udfører en infrastrukturændring) på forespørgsel fra assessor.

Farer, der både vedrører jernbanesikkerhed og arbejdsmiljø, skal medtages i risikostyringen. Disse farer skal dermed identificeres, risikostyres og dokumenteres på lige fod med farer, der kun vedrører jernbanesikkerhed. Det skal i den forbindelse medtages i risikostyringsprocessen, at systemet skal være sikkert at holde i drift og at vedligeholde, når ændringen er udført og idriftsat – det skal ikke blot være sikkert at udføre ændringen.

En rettesnor for, om en fare, der vedrører arbejdsmiljø, også vedrører jernbanesikkerhed, er, at hvis faren kan føre til en given ulykke eller forløber til en ulykke, der er omfattet af en indberetningsbekendtgørelse på jernbaneområdet og vægter i det nationale mål for jernbanesikkerhed, vil faren også vedrøre jernbanesikkerhed (se bekendtgørelse nr. 707 af 20/05/2020 om indberetning af data på jernbaneområdet vedrørende ulykker og forløbere til ulykker m.v. til Trafik-, Bygge- og Boligstyrelsen og bekendtgørelse nr. 1181 af 22/09/2016 om indberetning af data vedrørende ulykker på letbaneområdet til Trafik- og Byggestyrelsen).

Hvis projektet foregår på det danske jernbanenet (S-bane, metro og letbaner er undtaget), og er et større anlægsarbejde i interoperabilitetsdirektivets forstand, skal projektet følge kravene for TSI. Om et projekt skal følge TSI’erne vil herefter kun afhænge af, hvorvidt der er tale om et nyanlæg, et større anlægsarbejde eller ej.

Hvis ændringen er et større arbejde i interoperabilitetsdirektivets forstand, skal den have en ibrugtagningstilladelse - uanset om det alene er omfattet af TSI'er (og altså ikke er en signifikant ændring i sikkerhedsmæssig forstand). Projektet skal i givet fald verificeres af et bemyndiget organ (en NoBo).

Læs mere om bemyndigede organer NoBo (nyt vindue)

Du kan på EU Kommissionens database, Nando, finde en liste over virksomheder/organisationer, som er godkendt til at være NoBo for de pågældende TSI’er. 

Læs mere om Nando (New Approach Notified and Designated Organisations) på EU Kommissionens hjemmeside (nyt vindue)
 

TSI’erne er opdelt i delsystemer, så det afhænger af, hvilke anlægsarbejder/delsystemer projektet omfatter. Relevante TSI’er for et infrastrukturprojekt kan være Infrastruktur (INF), energi/ kørestrøm (ENE), tilgængelighed (PRM), togkontrol og signaler (CCS), drift og trafikstyring (OPE) og tunnelsikkerhed (SRT).