Godkendelse af infrastruktur

Sikkerhedsrelaterede anvendelsesbetingelser blev i 1990erne defineret af standardiseringsorganisationen Cenelec som:

Safety Related Application Conditions (SRAC): Rules, conditions and constraints relevant for safety which need to be observed in the application of the system/sub-system/equipment.

Den engelske betegnelse ”SRAC” er direkte adopteret i det danske sprog og betyder det samme, altså de sikkerhedsrelaterede anvendelsesbetingelser, der stilles til brugen af et system eller et udstyr, sådan at dets sikkerhedsfunktioner vil være opfyldt i hele dets levetid.

En SRAC opstår, når ikke alle sikkerhedsmæssige forhold er løst af systemet selv, og der derfor er en restrisiko, der er opstået ved, at en valgt teknisk løsning ikke kan nedbringe risikoen helt til det acceptable niveau.

Når systemet er et system, der skal ibrugtages til drift, vil SRAC's bestå af de krav, der stilles til henholdsvis drift og vedligeholdelsen af systemet, for at sikkerheden kan bevares for systemet i drift. Det kan f.eks. være krav om, at der skal foretages periodisk tjek og vedligehold af systemet, eller f.eks. at der er behov for særlige forholdsregler i unormale driftssituationer, når systemet er helt eller delvis fejlbehæftet.

Man skal være opmærksom på, at der kan eksistere SRAC's, som er imødekommet og dermed opfyldt ved designet og udførelsen af det system, der ønskes idriftsat. Disse vil normalt ikke optræde som SRAC's, der overdrages til drift og vedligehold, men vil optræde så snart en ændring af systemet kommer på tale.

Når et projekt udarbejder dokumentationen for henholdsvis godkendelsen og overdragelsen til drift, er det vigtigt, at SRAC's krav er synlige og let tilgængelige i sikkerhedsdokumentationen.

Følgende retningslinjer kan opstilles for disse SRAC's: 

• De skal oplyse, hvad kravet til anvendelsen er, men ikke nødvendigvis hvordan kravet skal løses. Dvs. at SRAC kravet bør defineres med flest mulig frihedsgrader og undlade at beskrive en bestemt løsning. Derved kan drifts- og vedligeholdelsesorganisationen vælge en måde at opfylde kravet på, som er bedst set ud fra et drifts- og vedligeholdelses (D&V) synspunkt. 
• SRAC's relevant for D&V bør fremgå af systemdefinitionen, eftersom en ibrugtagningstilladelse, jf. Kommissionens henstilling 2014/897/EU punkt 23, bør henvise til ”betingelser for og begrænsninger i anvendelsen”, og det er i Danmark håndteret, ved at ibrugtagningstilladelser henviser til/hviler på den bagvedliggende systemdefinition.
• Informationen til den bagvedliggende årsag til SRAC bør være sporbar til fx både fare og sikkerhedskrav. Forståelse for den fare, SRAC oprindelig kommer fra, modvirker og nedsætter sandsynligheden for, at D&V-organisationen misforstår kravet, og gør det muligt for modtageren at identificere den bedste håndtering. Sporbarheden er også vigtig for at kende og fastholde viden om den bagvedliggende årsag til sikkerhedskrav (og SRAC's), sådan at fremtidige projekter/ændringer kan se, hvorfor bestemte krav er opstået. Dermed kan det vurderes, hvilke farer en eventuel ændring eller fravigelse fra en SRAC medfører.
• En vigtig egenskab at være opmærksom på er, at det er modtageren / det modtagende system, der skal være i stand til at håndtere en SRAC og gøre den operationel, uden at intentionen bag SRAC’en negligeres. Det vil bl.a. sige, at SRAC skal være mulig at implementere for drift og vedligeholdelsen. 
• Hvis det er muligt og relevant bør der skelnes mellem SRAC's, der er nye for systemet eller nye for organisationen, og de SRAC's, der har været implementeret i længere tid. Dette hensyn er relevant for større systemer eller store organisationer, for at det nye ikke udvandes i mængden af eksisterende SRAC's. 

Sikkerhedskrav optræder i flere faser ved et jernbanesystem. Før systemet eksisterer, indgår sikkerhedskravene som en del af kravspecifikationen til det system, der etableres. Sikkerhedskravene identificeres ved hjælp af risikoanalyse, jf. CSM-RA forordningen. Når systemet er designet og udført, kan sikkerhedskravene til, hvordan systemet skal bruges og vedligeholdes tilføjes, idet disse er systemets sikkerhedsmæssige anvendelsesbetingelser.

Sikkerhedskravenes tilblivelse er illustreret som de blå bokse i figuren herunder:

Sikkerhedskrav består således af en samling af følgende krav:

• Krav til udvikling og design for at imødegå fejl i disse faser
• Krav til hvilke sikkerhedsfunktioner systemet skal løse
• Krav til hvilket sikkerhedsniveau det samlede system skal have og evt. sikkerhedsmål
• Eksisterende sikkerhedskrav, altså hvis der i forvejen gælder krav for det system, der skal etableres
• Myndighedskrav eller andre udefra kommende krav
• Sikkerhedskrav til anvendelsen (SRAC), herunder eventuelle sikkerhedsregler

I CSM-RA står, at assessor skal have adgang til dokumentation, der påviser at systemet opfylder alle de fastlagte sikkerhedskrav. 

Hvad der forstås ved ’sikkerhedskrav’, vil blive omtalt i en kommende Spørgsmål & Svar.

Dokumentation for kravopfyldelse

En god farelog indeholder farer nedbrudt til et niveau, hvor fareårsag, sikkerhedskrav og imødegåelser (mitigeringer) hænger logisk sammen for hver fare, sådan at imødegåelsen af faren netop modsvarer den bagvedliggende fareårsag, som faren i fareloggen omhandler. Det er en fordel, hvis det samme sted i fareloggen fremgår, hvilken dokumentation forslagsstiller har tænkt sig at fremlægge som bevis på, at sikkerhedskravet er opfyldt. 

Hvis forslagsstiller har været omhyggelig og præcis nok i sin farelog, har assessor mulighed for tidligt i processen at tage stilling til, om den dokumentation forslagsstiller påtænker at levere, svarer til assessors forventninger. Desuden kan assessor senere via fareloggen finde den relevante dokumentation, der håndterer faren, fordi fareloggen senest på håndteringstidspunktet bør indeholde en entydig reference til et versionsstyret dokument med angivelse af, hvor i dokumentet (side/afsnit/punkt nummer) beviset findes. 

Erfaringen viser, at forslagsstillere, der gennemfører simpel dokumentstyring, sparer mange kræfter og diskussioner. Ligeledes er det en god ting når dokumenter har følgende: 

• Dokumentnummer
• Dokumentdato
• Version
• Titel
• Udfyldte rubrikker, der angiver forfatter, reviewer og godkender.

Helt generelt vil assessor, hvis det overhovedet er muligt, forvente skriftlig dokumentation, der beviser, at sikkerhedskravet er opfyldt.

Ligeledes vil assessor normalt ikke acceptere en eftervisning baseret på fravær af negative kommentarer i en rapport eller et tilsynsnotat. Det skal forstås sådan, at hvis f.eks. et fagtilsyns noter skal fungere som dokumentation for opfyldelse af et sikkerhedskrav, skal noterne eksplicit omtale, at kontrollen er foretaget.

Der kan være mange årsager til, at assessor må ’nøjes’ med dokumentation, der ligger et sted mellem det perfekte og det uacceptable, og assessor vurderer i hvert enkelt tilfælde, om den dokumentation, der fremlægges, er tilstrækkelig.

Det er altid en god idé, at forslagsstiller så tidligt som muligt noterer i fareloggen, hvilken dokumentation forslagsstiller har tænkt sig at fremlægge som dokumentation for overholdelse af sikkerhedskravet, og dermed populært sagt ’bruges til at håndtere (lukke) faren med’.

Forslagsstiller skal være opmærksom på, at såkaldte erklæringer er et ’meget svagt bevis’ for overholdelse af et sikkerhedskrav, og forslagsstiller bør derfor overveje, om et mere tungtvejende bevis kan fremlægges i stedet. Erklæringer bør kun i visse situationer være nødvendigt, når det ikke er muligt at påvise opfyldelsen af sikkerhedskrav på anden vis. Hvis en forslagsstiller er nødt til at vælge at levere dokumentation for overholdelse af et sikkerhedskrav i form af en erklæring, bør erklæringen være eksplicit og præcis med hensyn til det, den dækker.

Eksempler på eftervisningsdokumentation, der kan bevise at et sikkerhedskrav er opfyldt:

• Sikringstekniske valideringsrapporter (projektering)
• Sikringstekniske valideringsrapporter (afprøvningsmateriale)
• Konstruktionstekniske valideringsrapporter
• Målinger (husk at beskrive måleudstyr og kalibrering) som f. eks.
  • Spormålinger
  • Målinger af fritrumsprofil
• Rapport over simulering
• Testrapporter (f.eks. udfyldt afprøvningsmateriale)
• Sikringsteknisk ibrugtagningsprotokol
• Svejsedokumentation (evt. inklusiv erklæring fra svejseansvarlig om gennemgang af svejsedokumentation)
• Udfyldt sporskiftekor
• Inspektionsrapporter
• Rapport fra TV inspektion af afvanding
• Reviewrapporter
• Tilsynsrapporter (f.eks. byggetilsynets eller fagtilsynets tilsynsnoter)
• Datablade eller anden dokumentation fra leverandør
• Argumentationsrapport (f.eks. en kvalitativ risikovurdering – husk konklusion)
• Foto (f.eks. af at en tavle er monteret korrekt på korrekt sted – flere fotos kan være nødvendige overblik + detalje)

Trafikstyrelsen er som forvaltningsmyndighed underlagt officialprincippet (også kaldet undersøgelsesprincippet). Sagt med andre ord går det ud på, at styrelsen har pligt til at sørge for at tilvejebringe sagens faktiske grundlag – og således træffe afgørelse på et tilstrækkeligt oplyst grundlag. Det vil sige, at styrelsen skal sørge for, at alle nødvendige oplysninger foreligger i sagen, og at alle nødvendige undersøgelser foretages, før styrelsen træffer afgørelse.

Med hensyn til ibrugtagningstilladelse (IBT) skal projektet først og fremmest være så langt fremme på ansøgningstidspunktet, at det giver mening at ansøge om IBT. Det vil sige, at ændringen skal være fuldt projekteret inden for alle fagområder, og der skal foreligge planer og aktører for sikkerhedsaktiviteter for udførelsesfasen og ibrugtagning til drift samt planer og aktører for de resterende sikkerhedsaktiviteter efter ibrugtagning til drift. Der skal være udført formaliseret kontrol af projekteringen, og assessor skal have haft mulighed for at se og vurdere:

• Dokumentation for design og udført kontrol samt
• Planerne og aktører for sikkerhedsaktiviteter for udførelsesfasen og ibrugtagning til drift, og
• Planerne og aktører for de resterende sikkerhedsaktiviteter efter ibrugtagning til drift.

Derudover skal ansøgningsmaterialet være komplet. Der må ikke være mangler i eksempelvis udfyldelsen af ansøgningsskema. 

Når selve afgørelsen går ud på at udstede en IBT, skal det naturligvis være helt klart, hvad IBT udstedes til. Uklarheder i systemdefinitionen eller mellem systemdefinition og andet ansøgningsmateriale må derfor altid undersøges og afklares, inden IBT kan udstedes. 

Det skal klart fremgå, at sikkerhedsvurderingsrapporten (SVR) er dækkende for alle de ændringer, der søges IBT til, og det må ikke være uklart, hvad assessor mener/hvad vurderingen går ud på.

Hvis der er modstridende oplysninger i SVR – eventuelt at enkelte afsnit peger på noget andet, end hvad der fremgår af konklusionen, eller hvis der er modstrid mellem oplysninger i SVR og andre dele af ansøgningsmaterialet -  skal det undersøges og afklares, hvad der er rigtigt.

Der kan også i ansøgningsmaterialet være forudsætninger eller forbehold, som kan være uklare – eller som eventuelt vurderes at være for vidtrækkende. I en sådan situation vil styrelsen indlede en dialog med henblik på at få afklaret forudsætningerne/forbeholdene, så en IBT vil kunne udstedes.

Særligt med hensyn til Tillæg 1 og Tillæg 2 til SVR:

Udover at de samme betragtninger vedrørende uklarheder og mangler også gør sig gældende for så vidt angår Tillæg 1 og Tillæg 2 til SVR, er der forhold her som er helt specielle.

Tillæg 1 til SVR skal fremsendes 6 uger efter ibrugtagning til drift af ændringer, der kan påvirke jernbanesikkerheden, og Tillæg 2 til SVR skal fremsendes 6 måneder efter ibrugtagning til drift. Det er derfor vigtig, at der er klarhed over, hvornår ibrugtagning til drift af den ændrede jernbaneinfrastruktur finder sted. Se også Spørgsmål & Svar ”Tidspunkt for ibrugtagning til drift af ændret infrastruktur”.

Tillæg 1 til SVR skal dokumentere, at ibrugtagning til drift er sket sikkert, hvilket medfører, at alle farer, der vedrører projektering, udførelse, installation, anlæg mv. skal være håndteret, og assessor skal have haft mulighed for at vurdere håndteringen tilfredsstillende. Er der på Tillæg 1 tidspunkt resterende sikkerhedsmæssige aktiviteter, som skal udføres på et senere tidspunkt, og som er nye eller ændrede i forhold til de resterende sikkerhedsmæssige aktiviteter vurderet i SVR, skal Tillæg 1 indeholde assessors vurdering af, at forslagsstillers plan for håndtering af disse resterende sikkerhedsmæssige aktiviteter, er tilfredsstillende.

Tillæg 2 anvendes kun, hvis der på tidspunktet for Tillæg 1 er resterende sikkerhedsmæssige aktiviteter, som ikke har kunnet lukkes. Tillæg 2 skal dokumentere den endelige afslutning af disse aktiviteter. Der må således ikke være udeståender på tidspunktet for Tillæg 2.

Særligt med hensyn til sag-til-sag-godkendte assessorer:

Styrelsen fortager også sag-til-sag-godkendelse af assessorer. Hvis SVR er udarbejdet af et sag-til-sag-godkendt assessorteam, og der i ændringen, der søges IBT til, indgår fagområder, som ikke er dækket af assessorteamets kompetencer vil styrelsen stille spørgsmål. Det kan være på baggrund af de oplistede fagområder i ansøgningsskemaet eller en beskrivelse af ændringerne i systemdefinitionen. 

Ved ansøgning om IBT, hvor assesseringen er foretaget af et sag-til-sag-godkendt assessorteam, kan styrelsen – alt efter hvilke forhold der er uklare i ansøgningsmaterialet – vælge at føre tilsyn med assessor (enten skriftligt eller mundtligt på et møde).

Tidspunktet for, hvornår en ændret jernbaneinfrastruktur er ibrugtaget til drift, er vigtigt til bestemmelsen af tidsfristen for fremsendelse af Tillæg 1 til sikkerhedsvurderingsrapporten (SVR) og Tillæg 2 til SVR mv. til styrelsen. Her tænkes kun på ændringer af jernbaneinfrastruktur, der har betydning for jernbanesikkerheden.

Det tidspunkt, hvor en ændret jernbaneinfrastruktur ibrugtages til drift, defineres som det tidspunkt, hvor det første tog i drift har mulighed for at køre forbi den ændrede jernbaneinfrastruktur. Dette tidspunkt er ikke nødvendigvis sammenfaldende med tidspunktet for, hvornår det bestilte anlæg overdrages til den, som har bestilt anlægget, og dette tages i drift.

I en situation, hvor der f.eks. er gennemført en sporombygning på en enkeltsporet strækning under en sporspærring, vil den ændrede jernbaneinfrastruktur blive taget i brug til drift, når spærringen ophæves, og der er mulighed for drift på strækningen igen. Dette tidspunkt vil her være sammenfaldende med, at det bestilte anlæg overdrages til infrastrukturforvalteren og kan tages i drift.

I et andet eksempel vil en kommune etablere en ny stibro over jernbanen. Udførelsen sker i en række spærringer, hvor der f.eks. i den første etableres afskærmning mod spor og udgraves til fundamenter til broen. Når denne første sporspærring hæves, vil der være tale om en ændret jernbaneinfrastruktur, fordi udgravningen er sporbærende, og dermed er tidspunkt for ibrugtagning til drift af denne ændrede infrastruktur, når sporspærringen ophæves. Tilsvarende vil der være tidspunkter for ibrugtagning til drift af ændret infrastruktur ved ophævelsen af de efterfølgende spærringer. Hermed vil der være flere tidsfrister for fremsendelse af Tillæg 1 til SVR og Tillæg 2 til SVR mv. svarende til hver af tidspunkterne for ibrugtagning til drift af ændret jernbaneinfrastruktur. I dette eksempel vil tidspunktet for overlevering af det bestilte anlæg (stibroen) til kommunen ikke være sammenfaldende med tidspunktet for ibrugtagning til drift af jernbaneinfrastrukturen, da stibroen først overleveres til kommunen for idriftsættelse, når konstruktionen af stibroen er helt færdig, hvilket typisk vil være et stykke tid efter den sidste sporspærring. 

I et tredje eksempel vil et forsyningsselskab etablere en ledningskrydsning under banen ved en styret underboring. Start- og modtagegruberne ligger langt fra sporet og har derfor ikke betydning for jernbanen. Selve underboringen foretages, mens der er spor i drift. I denne situation betragtes jernbaneinfrastrukturen som ændret i det øjeblik borehovedet krydser CC3 linjen, og der vil ske en løbende ændring af infrastrukturen i hele den efterfølgende udførelsesperiode. Da der i udførelsesperioden er fortsat drift på strækningen, vil der være ibrugtagning til drift af ændret jernbaneinfrastruktur kontinuerligt samtidig med fremdrift i udførelsen. Hvis der er tale om en kort udførelsesperiode, f.eks. 12 timer, vil tidsfristen for fremsendelse af Tillæg 1 til SVR og Tillæg 2 til SVR mv. være regnet fra første tidspunkt, hvor borehovedet krydser CC3 linjen. Hvis der derimod er tale om en længere udførelsesperiode over flere dage eller uger, vil der skulle laves en plan for hvor mange Tillæg 1 til SVR og Tillæg 2 til SVR mv., der er nødvendige at levere. For alle Tillæg 1 til SVR vil der gælde, at der ikke må gå længere end 6 uger, fra en ændret jernbaneinfrastruktur er ibrugtaget til, der leveres Tillæg 1 til SVR mv. til styrelsen. I dette eksempel vil der også være forskel på tidspunktet for overlevering af det bestilte anlæg (ledningskrydsningen) til forsyningsselskabet for idriftsættelse og tidspunktet for ibrugtagning til drift af ændret jernbaneinfrastruktur, da jernbaneinfrastrukturen ibrugtages løbende i udførelsesperioden, mens ledningskrydsningen først er klar til idriftsættelse (i dens funktion som ledning) senere.