Search for a command to run...
(Kommissionens forordning (EF) nr. 352/2009 om vedtagelse af en fælles sikkerhedsmetode til risikoevaluering og -vurdering inden for jernbanesektoren)
1. Ved denne forordning oprettes en fælles sikkerhedsmetode til risikoevaluering og -vurdering som nævnt i .
2. Formålet med den fælles sikkerhedsmetode til risikoevaluering og -vurdering er at bevare eller forbedre sikkerhedsniveauet for Fællesskabets jernbaner, når dette er nødvendigt og praktisk muligt. Den fælles sikkerhedsmetode skal lette markedsadgangen til jernbanetransporttjenester ved at harmonisere:
a) de risikostyringsprocesser, der benyttes til at vurdere sikkerhedsniveauerne og opfyldelsen af sikkerhedskravene
b) udvekslingen af sikkerhedsrelevante oplysninger mellem forskellige aktører i jernbanesektoren for at styre sikkerheden på tværs af de forskellige grænseflader, der måtte findes inden for denne sektor
c) den dokumentation, der følger af anvendelsen af en risikostyringsproces.
1. Den fælles sikkerhedsmetode til risikoevaluering og -vurdering anvendes på alle de ændringer af en medlemsstats jernbanesystem, jf. punkt 2, litra d), i bilag III til direktiv 2004/49/EF, som anses for at være væsentlige i henhold til artikel 4 i denne forordning. Ændringerne kan være af teknisk, driftsmæssig eller organisatorisk art. For så vidt angår organisatoriske ændringer tages der kun hensyn til de ændringer, som kunne få indflydelse på driftsvilkårene.
2. Når de væsentlige ændringer vedrører strukturelt definerede delsystemer, som er omfattet af direktiv 2008/57/EF, finder den fælles sikkerhedsmetode til risikoevaluering og -vurdering anvendelse:
a) hvis en risikovurdering er påkrævet ifølge de relevante tekniske specifikationer for interoperabilitet (TSI’er). I dette tilfælde skal TSI i givet fald specificere, hvilke dele af den fælles sikkerhedsmetode der finder anvendelse
b) for at sikre, at de strukturelt definerede delsystemer, som TSI'erne gælder for, integreres på en sikker måde i et eksisterende system i medfør af .
Anvendelsen af den fælles sikkerhedsmetode i det tilfælde, der er nævnt i første afsnit, litra b), må dog ikke føre til krav, der strider mod de obligatoriske krav i de relevante TSI'er.
Hvis anvendelsen af den fælles sikkerhedsmetode fører til krav, der strider mod et krav i den relevante TSI, informerer initiativtageren den pågældende medlemsstat, som kan beslutte at anmode om en revision af den pågældende TSI efter , eller eller anmode om en undtagelse efter artikel 9 i samme direktiv.
3. Denne forordning finder ikke anvendelse på:
a) metroer, sporvogne og andre letbanesystemer
b) net, som funktionsmæssigt er adskilt fra resten af jernbanesystemet, og som kun er beregnet til personbefordring i lokal-, by- og forstadsområder, samt jernbanevirksomheder, der udelukkende opererer på disse net
c) privatejet jernbaneinfrastruktur, der udelukkende bruges til ejerens egen godstransport
d) veterankøretøjer, der kører på nationale net, når de opfylder de nationale sikkerhedsrelaterede love og administrative forskrifter, således at sikkerheden i forbindelse med kørslen med disse køretøjer er sikret
e) veteran-, museums- og turistjernbaner, der opererer på eget net, herunder workshopper, køretøjer og personale.
4. Denne forordning finder ikke anvendelse på systemer og ændringer, der på datoen for denne forordnings ikrafttrædelse er et projekt på et avanceret udviklingstrin, jf. .
I denne forordning finder definitionerne i anvendelse.
Følgende definitioner finder endvidere anvendelse:
»risiko«: den relative hyppighed, hvormed ulykker og hændelser medfører skade (forårsaget af en fare) og denne skades alvorsgrad
»risikoanalyse«: den systematiske anvendelse af alle tilgængelige oplysninger til at identificere farer og estimere risikoen
»risikoevaluering«: den procedure, der med afsæt i risikoanalysen fastslår, om der er opnået en acceptabel risiko
»risikovurdering«: den samlede proces, som omfatter en risikoanalyse og en risikoevaluering
»sikkerhed«: fravær af uacceptable skadesrisici
»risikostyring«: den systematiske anvendelse af forvaltningspolitikker, -procedurer og -praksis med henblik på at analysere og evaluere risici og holde risici under kontrol
»grænseflader«: alle interaktionspunkter i løbet af et systems eller et delsystems driftslevetid, herunder drift og vedligeholdelse, hvor forskellige aktører i jernbanesektoren samarbejder om at styre risiciene
»aktører«: alle parter, som direkte eller via aftaleforhold deltager i anvendelsen af denne forordning i henhold til artikel 5, stk. 2
»sikkerhedskrav«: de nødvendige sikkerhedsegenskaber (kvalitative eller kvantitative) for et system og driften heraf (herunder driftsforskrifter) med henblik på at opfylde lovbestemte eller virksomheders sikkerhedsmål
»sikkerhedsforanstaltninger«: en række tiltag, der enten mindsker den relative hyppighed af en fare eller afbøder dens virkninger med henblik på at nå frem til eller bibeholde et acceptabelt risikoniveau
»initiativtager«: jernbanevirksomheder eller infrastrukturforvaltere inden for rammerne af de risikokontrolforanstaltninger, de skal gennemføre i henhold til ; ordregivere eller fabrikanter, når de opfordrer et bemyndiget organ til at anvende »EF«-verifikationsproceduren i overensstemmelse med , eller den, der ansøger om tilladelse til at tage et køretøj i brug
»sikkerhedsvurderingsrapport«: et dokument, der indeholder konklusionerne af en vurdering, der er foretaget af et vurderingsorgan, af det vurderede system
1. Er der ingen meddelte nationale forskrifter, der fastlægger, hvorvidt en ændring er væsentlig eller ej i en medlemsstat, tager initiativtageren stilling til den pågældende ændrings potentielle indflydelse på sikkerheden i jernbanesystemet.
Har den foreslåede ændring ingen indflydelse på sikkerheden, er der ikke behov for at anvende den risikostyringsproces, som er beskrevet i artikel 5.
2. Har den foreslåede ændring indflydelse på sikkerheden, træffer initiativtageren på grundlag af en ekspertvurdering afgørelse om, hvor væsentlig ændringen er ud fra følgende kriterier:
a) følger af svigt: situationen i tilfælde af, at det vurderede system svigter på den værst tænkelige måde under hensyn til sikkerhedsforanstaltninger uden for systemet
b) nyskabelser, der anvendes til at gennemføre ændringen: dette gælder både for det, der er innovativt for jernbanesektoren, og det, som alene er nyt for den organisation, der gennemfører ændringen
c) ændringens kompleksitet
d) overvågning: manglende evne til at kontrolovervåge den gennemførte ændring i systemets samlede driftslevetid og foretage hensigtsmæssige indgreb
e) reversibilitet: manglende evne til at vende tilbage til systemet, som det var før ændringen
f) additionalitet: vurdering af ændringens væsentlighed under hensyn til alle nylige sikkerhedsrelaterede ændringer, som ikke blev anset for væsentlige, af det system, der er taget op til vurdering.
Initiativtageren skal opbevare tilstrækkelig dokumentation til at kunne begrunde sin afgørelse.
1. Den i bilag I beskrevne risikostyringsproces finder anvendelse:
a) ved væsentlige ændringer som specificeret i artikel 4, herunder ved ibrugtagning af strukturelt definerede delsystemer som nævnt i artikel 2, stk. 2, litra b)
b) når der i TSI, jf. artikel 2, stk. 2, litra a), henvises til nærværende forordning for at påbyde den i bilag I beskrevne risikostyringsproces.
2. Den i bilag I beskrevne risikostyringsproces anvendes af initiativtageren.
3. Initiativtageren sikrer, at der tages højde for de risici, som foranlediges af leverandører, tjenesteudbydere og deres underleverandører. Initiativtageren kan med henblik herpå anmode om, at leverandører, tjenesteudbydere og deres underleverandører deltager i den i bilag I beskrevne risikostyringsproces.
1. En uafhængig vurdering af, hvorvidt den i bilag I beskrevne risikostyringsproces anvendes korrekt, samt af resultaterne af denne anvendelse udføres af et organ, som skal opfylde de i bilag II anførte kriterier. Hvis vurderingsorganet ikke allerede er udpeget i fællesskabslovgivningen eller i national lovgivning, udnævner initiativtageren sit eget vurderingsorgan, der kan være en anden organisation eller en intern afdeling.
2. Dobbeltarbejde skal undgås for så vidt angår den overensstemmelsesvurdering af sikkerhedsledelsessystemet, som kræves i henhold til direktiv 2004/49/EF, den overensstemmelsesvurdering, der udføres af et bemyndiget organ eller et nationalt organ i henhold til direktiv 2008/57/EF, og den sikkerhedsvurdering, der udføres af vurderingsorganet i overensstemmelse med nærværende forordning.
3. Sikkerhedsmyndigheden kan fungere som vurderingsorgan, når de væsentlige ændringer vedrører et af følgende tilfælde:
a) når et køretøj har brug for en tilladelse til ibrugtagning som nævnt i , og
b) når et køretøj har brug for en supplerende tilladelse til ibrugtagning som nævnt i , og
c) når et sikkerhedscertifikat skal ajourføres på grund af en væsentlig ændring af karakteren eller omfanget af de pågældende aktiviteter som nævnt i
d) når et sikkerhedscertifikat skal ajourføres på grund af væsentlige ændringer i de overordnede sikkerhedsforskrifter som nævnt i
e) når sikkerhedsgodkendelsen skal ajourføres på grund af væsentlige ændringer af infrastrukturen, signalsystemet eller energiforsyningen eller principperne for deres drift og vedligeholdelse, som nævnt i dette direktivs
f) når sikkerhedsgodkendelsen skal ajourføres på grund af væsentlige ændringer i de overordnede sikkerhedsforskrifter som nævnt i
1. Vurderingsorganet forelægger initiativtageren en sikkerhedsvurderingsrapport.
2. I det i artikel 5, stk. 1, litra a), nævnte tilfælde tager den nationale sikkerhedsmyndighed sikkerhedsvurderingsrapporten i betragtning i forbindelse med afgørelsen om ibrugtagning af delsystemer og køretøjer.
3. I det i artikel 5, stk. 1, litra b), nævnte tilfælde udgør den uafhængige vurdering en del af det bemyndigede organs opgaver, medmindre andet er foreskrevet i TSI.
Er den uafhængige vurdering ikke en del af det bemyndigede organs opgaver, tages sikkerhedsvurderingsrapporten i betragtning af det bemyndigede organ, der har ansvaret for at udstede overensstemmelsesattesten, eller af ordregiveren, der har ansvaret for at udfærdige EF-verifikationserklæringen.
4. Er et system eller et delsystem allerede accepteret som afslutning på den risikostyringsproces, der specificeres i nærværende forordning, må den deraf følgende sikkerhedsvurderingsrapport ikke drages i tvivl af noget andet vurderingsorgan med ansvar for at udføre en ny vurdering af det samme system. Anerkendelsen gives alene, hvis det dokumenteres, at systemet vil blive anvendt på de samme funktionelle, operationelle og miljømæssige betingelser, som det er tilfældet for det allerede accepterede system, og at der er benyttet ækvivalente risikoacceptkriterier.
1. Jernbanevirksomheder og infrastrukturforvaltere lader revisioner af anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering indgå i deres løbende revisionsordning for sikkerhedsledelsessystemet, jf. .
2. Inden for rammerne af de opgaver, der er opstillet i , fører den nationale sikkerhedsmyndighed tilsyn med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering.
1. Hver jernbanevirksomhed og infrastrukturforvalter rapporterer i sin årlige sikkerhedsrapport, jf. , kortfattet om sine erfaringer med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering. Rapporten skal også indeholde en sammenfatning af afgørelserne om ændringernes væsentlighed.
2. Hver national sikkerhedsmyndighed rapporterer i sin årlige sikkerhedsrapport, jf. , om initiativtagernes erfaringer med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering og om egne erfaringer, hvor dette er relevant.
3. Det Europæiske Jernbaneagentur fører tilsyn med og indsamler tilbagemeldinger om anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering og — hvor dette er relevant — forelægger Kommissionen anbefalinger af muligheder for at forbedre denne.
4. Det Europæiske Jernbaneagentur forelægger senest den 31. december 2011 Kommissionen en rapport, der skal indeholde:
a) en analyse af erfaringerne med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering, herunder tilfælde, hvor initiativtagere på frivillig basis har anvendt den fælles sikkerhedsmetode før den relevante dato for anvendelse i artikel 10
b) en analyse af initiativtagernes erfaringer med afgørelserne om ændringernes væsentlighed
c) en analyse af de tilfælde, hvor en adfærdskodeks er benyttet, jf. beskrivelsen i afsnit 2.3.8, i bilag I
d) en analyse af den samlede effektivitet af den fælles sikkerhedsmetode til risikoevaluering og -vurdering.
Sikkerhedsmyndighederne bistår agenturet ved fastlæggelsen af de tilfælde, hvor den fælles sikkerhedsmetode til risikoevaluering og -vurdering er taget i anvendelse.
1. Denne forordning træder i kraft på tyvende dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
2. Denne forordning finder anvendelse fra 1. juli 2012.
Den finder dog anvendelse fra 19. juli 2010:
a) på alle væsentlige tekniske ændringer, som får indflydelse på køretøjer, jf.
b) på alle væsentlige ændringer vedrørende strukturelle delsystemer, når det er påkrævet i henhold til eller i henhold til en TSI.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 24. april 2009.
EUT L 164 af 30.4.2004, s. 44. Berigtiget i EUT L 220 af 21.6.2004, s. 16.
EFT L 237 af 24.8.1991, s. 25.
1.1.1. Risikostyringsprocessen i denne forordning tager udgangspunkt i en definition af det vurderede system og omfatter følgende aktiviteter:
a) risikovurderingsprocessen, hvori der foretages en identifikation af farerne, risiciene, de tilknyttede sikkerhedsforanstaltninger og de deraf følgende sikkerhedskrav, som det vurderede system skal opfylde
»fare«: en situation, der kunne føre til en ulykke
»vurderingsorgan«: en uafhængig og kompetent person, organisation eller enhed, der foretager efterforskninger med henblik på at nå frem til en dokumenteret afgørelse om et systems egnethed til at opfylde sikkerhedskravene til dette
»risikoacceptkriterier«: referencegrundlaget for vurderingen af, hvorvidt en specifik risiko er acceptabel. Disse kriterier benyttes til at fastslå, at risikoniveauet er så lavt, at det er unødvendigt at træffe øjeblikkelige tiltag for at mindske det yderligere
»fareredegørelse«: det dokument, hvori der registreres og henvises til kendte farer, foranstaltninger i tilknytning hertil og deres årsager, og hvori der henvises til den organisation, som tager højde for dem
»fareidentifikation«: den proces, der består i at afdække, registrere og karakterisere farer
»risikoacceptprincip«: de regler, der anvendes for at fastslå, hvorvidt risikoen ved en eller flere specifikke farer er acceptabel
»adfærdskodeks«: et skriftligt regelsæt, der, når det følges, kan benyttes til at holde en eller flere specifikke farer under kontrol
»referencesystem«: et system, som i praksis har vist sig at have et acceptabelt sikkerhedsniveau, og som kan benyttes til sammenligning af, hvorvidt risikoen er acceptabel i et system, der er taget op til vurdering
»risikoestimering«: en proces, som benyttes til at kvantificere niveauet for de risici, der analyseres, og som består af følgende trin: estimering af frekvens, konsekvensanalyse og deres indbyrdes integration
»teknisk system«: et produkt eller en helhed af produkter, herunder udformning, implementering og dokumentation. Udviklingen af et teknisk system indledes med kravspecifikationer til dette og afsluttes med en godkendelse af systemet. Selv om udformningen af grænseflader, hvor menneskelig adfærd får betydning, tages i betragtning, inddrages menneskelige operatører og deres handlinger ikke i et teknisk system. Vedligeholdelsesprocessen beskrives i vedligeholdelseshåndbøgerne, men er ikke i sig selv en del af det tekniske system
»katastrofale følger«: dødsfald og/eller flere alvorlige kvæstelser og/eller betydelige miljøskader som følge af en ulykke
»accept af sikkerhed«: den status, som initiativtageren giver ændringen ud fra vurderingsorganets sikkerhedsvurderingsrapport
»system«: enhver del af jernbanesystemet, hvori der foretages ændringer
»meddelt national forskrift«: alle nationale forskrifter, som medlemsstaterne har meddelt i medfør af Rådets direktiv 96/48/EF , Europa-Parlamentets og Rådets direktiv 2001/16/EF og direktiv 2004/49/EF samt direktiv 2008/57/EF.
4. Hvis de væsentlige ændringer vedrører strukturelt definerede delsystemer, hvor der er behov for en tilladelse til ibrugtagning som nævnt i , eller , kan sikkerhedsmyndigheden fungere som vurderingsorgan, medmindre initiativtageren allerede har overdraget denne opgave til et bemyndiget organ i henhold til nævnte direktivs artikel 18, stk. 2.
b) påvisning af, at systemet opfylder de fastlagte sikkerhedskrav, og
c) styring af alle identificerede farer og de tilknyttede sikkerhedsforanstaltninger.
Denne risikostyringsproces er en iterativ proces, og den er afbildet i diagrammet i tillægget. Processen afsluttes, når det er påvist, at systemet opfylder alle sikkerhedskrav, der er nødvendige for at acceptere de risici, der er forbundet med de identificerede farer.
1.1.2. Denne iterative risikostyringsproces:
a) skal omfatte egnede kvalitetssikringsaktiviteter og udføres af kompetente medarbejdere
b) skal vurderes af et eller flere uafhængige vurderingsorganer.
1.1.3. Initiativtageren med ansvar for den risikostyringsproces, der kræves ifølge denne forordning, udarbejder løbende en fareredegørelse i henhold til afsnit 4.
1.1.4. De aktører, der allerede har indført risikovurderingsmetoder eller -værktøjer, kan fortsat anvende disse, såfremt de kan forenes med denne forordnings bestemmelser og på følgende betingelser:
a) risikovurderingsmetoderne eller -værktøjerne beskrives i et sikkerhedsledelsessystem, der er accepteret af en national sikkerhedsmyndighed i henhold til , eller eller
b) risikovurderingsmetoderne eller -værktøjerne er påkrævet i henhold til TSI eller opfylder offentligt tilgængelige anerkendte standarder, der er specificeret i meddelte nationale forskrifter.
1.1.5. Medmindre andet fremgår af medlemsstaternes retsforskrifter vedrørende civilt erstatningsansvar, har initiativtageren ansvaret for risikovurderingsprocessen. Med de berørte aktørers samtykke træffer initiativtageren bl.a. afgørelse om, hvem der bærer ansvaret for at opfylde de sikkerhedskrav, der følger af risikovurderingen. Denne afgørelse skal afhænge af den type sikkerhedsforanstaltninger, som er valgt med henblik på at holde risiciene på et acceptabelt niveau. Opfyldelsen af sikkerhedskravene påvises i overensstemmelse med afsnit 3.
1.1.6. I risikostyringsprocessens første fase bør initiativtageren skriftligt dokumentere de forskellige aktørers opgaver og risikostyringsaktiviteter. Initiativtageren koordinerer et tæt samarbejde mellem de forskellige berørte aktører i henhold til deres respektive opgaver med henblik på at håndtere farerne og de tilknyttede sikkerhedsforanstaltninger.
1.1.7. Det påhviler det uafhængige vurderingsorgan at evaluere, om den i denne forordning beskrevne risikostyringsproces anvendes korrekt.
1.2.1. For hver grænseflade af relevans for det vurderede system og med forbehold af grænsefladespecifikationer, der er defineret i relevante TSI, samarbejder de berørte jernbanesektoraktører om at identificere og i fællesskab håndtere farer og tilknyttede sikkerhedsforanstaltninger, der må tages fat på i disse grænseflader. Initiativtageren koordinerer styringen af delte risici i grænsefladerne.
1.2.2. Når en aktør ved opfyldelsen af et sikkerhedskrav konstaterer et behov for en sikkerhedsforanstaltning, som aktøren ikke selv kan gennemføre, overdrager aktøren efter aftale med en anden aktør håndteringen af den pågældende fare til sidstnævnte med den i afsnit 4 beskrevne proces.
1.2.3. For så vidt angår det vurderede system er enhver aktør, der konstaterer, at en sikkerhedsforanstaltning ikke er i overensstemmelse, eller at den er utilstrækkelig, ansvarlig for at meddele dette til initiativtageren, der efterfølgende informerer den aktør, som gennemfører sikkerhedsforanstaltningen.
1.2.4. Den aktør, der gennemfører sikkerhedsforanstaltningen, informerer derefter alle berørte aktører om problemet enten inden for rammerne af det vurderede system eller — såfremt aktøren har kendskab til dette — inden for andre eksisterende systemer, hvor den samme sikkerhedsforanstaltning benyttes.
1.2.5. Opstår der uenighed mellem to eller flere aktører, påhviler det initiativtageren at finde en egnet løsning.
1.2.6. Kan en aktør ikke opfylde et krav i meddelte nationale forskrifter, søger initiativtageren rådgivning hos den relevante kompetente myndighed.
1.2.7. Uafhængigt af definitionen af det vurderede system bærer initiativtageren ansvaret for at sikre, at risikostyringen omfatter selve systemet og dettes integration i det samlede jernbanesystem.
2.1.1. Risikovurderingsprocessen er den overordnede iterative proces, som omfatter:
a) systemdefinitionen
b) risikoanalysen, herunder fareidentifikationen
c) risikoevalueringen.
Risikovurderingsprocessen skal indgå i et samspil med håndteringen af farer i overensstemmelse med afsnit 4.1.
2.1.2. Systemdefinitionen bør som minimum tage fat på følgende områder:
a) en systemmålsætning, f.eks. det tilsigtede formål
b) systemfunktioner og -elementer, når dette er relevant (herunder eksempelvis menneskelige, tekniske og operationelle elementer)
c) systemafgrænsning, herunder vekselvirkninger med andre systemer
d) fysiske (dvs. vekselvirkende systemer) og funktionelle (dvs. funktionelt input og output) grænseflader
e) systemmiljøet (f.eks. energi- og varmestrømme, stød, vibrationer, elektromagnetisk interferens, operationel anvendelse)
f) eksisterende sikkerhedsforanstaltninger og, efter en iterativ proces, definition af de sikkerhedskrav, der er identificeret i forbindelse med risikovurderingsprocessen
g) antagelser med henblik på at afgrænse risikovurderingen.
2.1.3. En fareidentifikation for det definerede system udføres i henhold til afsnit 2.2.
2.1.4. Et eller flere af de følgende risikoacceptprincipper benyttes ved evalueringen af, hvorvidt risikoen for det vurderede system er acceptabel:
a) anvendelse af adfærdskodekser (afsnit 2.3)
b) sammenligning med tilsvarende systemer (afsnit 2.4)
c) eksplicit risikoestimering (afsnit 2.5).
I overensstemmelse med det overordnede princip som omhandlet i punkt 1.1.5 afstår vurderingsorganet fra at pålægge initiativtageren at benytte et specifikt risikoacceptprincip.
2.1.5. Initiativtageren dokumenterer i risikoevalueringen, at det valgte risikoacceptprincip er anvendt hensigtsmæssigt. Initiativtageren kontrollerer desuden, at de valgte risikoacceptprincipper benyttes konsekvent.
2.1.6. Ved anvendelsen af disse risikoacceptprincipper udpeges mulige sikkerhedsforanstaltninger, der gør risikoen eller risiciene ved det vurderede system acceptabel. Blandt disse sikkerhedsforanstaltninger skal de, som udvælges med henblik på at begrænse risikoen eller risiciene, gøres til sikkerhedskrav, der skal opfyldes af systemet. Dokumentationen af, at disse sikkerhedskrav er overholdt, foretages i overensstemmelse med afsnit 3.
2.1.7. Den iterative risikovurderingsproces kan anses for at være afsluttet, når det er dokumenteret, at alle sikkerhedskrav er opfyldt, og der ikke skal tages hensyn til yderligere farer, som med rimelighed kan forudses.
2.2.1. Initiativtageren identificerer på systematisk vis og med bistand fra et bredtfavnende hold af kompetente eksperter alle farer, der med rimelighed kan forudses for det samlede vurderede system, dettes funktioner, når dette er relevant, og dets grænseflader:
Alle identificerede farer registreres i fareredegørelsen i henhold til afsnit 4.
2.2.2. For at målrette risikovurderingsindsatsen mod de væsentligste risici skal farerne klassificeres i henhold til den estimerede risiko, de indebærer. På grundlag af en ekspertvurdering skal farer, der indebærer stort set acceptable risici, ikke analyseres yderligere, men registreres i fareredegørelsen. Klassificeringen af disse skal begrundes således, at et vurderingsorgan kan foretage en uafhængig vurdering.
2.2.3. Risici fra farer kan klassificeres som stort set acceptable ud fra det kriterium, at risikoen skal være så lille, at det ikke er rimeligt at gennemføre yderligere sikkerhedsforanstaltninger. Ekspertvurderingen skal tage i betragtning, at bidraget fra alle de stort set acceptable risici ikke må overstige en fastsat andel af den samlede risiko.
2.2.4. Sikkerhedsforanstaltninger kan udpeges i forbindelse med fareidentifikationen. De registreres i fareredegørelsen i henhold til afsnit 4.
2.2.5. Fareidentifikationen udføres kun til det detailniveau, der er nødvendigt for at fastslå, at sikkerhedsforanstaltninger kan forventes at holde risiciene under kontrol i overensstemmelse med et af de risikoacceptprincipper, der er nævnt i punkt 2.1.4. Der kan således være behov for en iterativ proces mellem risikoanalyse- og risikoevalueringsfasen, indtil der er opnået et tilstrækkeligt detailniveau med hensyn til fareidentifikationen.
2.2.6. Når en adfærdskodeks eller et referencesystem anvendes til at holde risikoen under kontrol, kan fareidentifikationen afgrænses til:
a) en verifikation af adfærdskodeksens eller referencesystemets relevans
b) en identifikation af afvigelserne fra adfærdskodeksen eller referencesystemet.
2.3.1. Initiativtageren analyserer med støtte fra andre deltagende aktører og på grundlag af kravene i punkt 2.3.2, om en eller flere farer er tilstrækkeligt dækket ind med anvendelsen af en relevant adfærdskodeks.
2.3.2. Adfærdskodekser skal som minimum opfylde følgende krav. De skal:
a) være almindeligt anerkendt i jernbanesektoren. Er dette ikke tilfældet, skal adfærdskodekserne begrundes, og vurderingsorganet skal kunne acceptere dem
b) have relevans for, at de pågældende farer i det vurderede system holdes under kontrol
c) være offentligt tilgængelige for alle aktører, som ønsker at benytte dem.
2.3.3. Når der i direktiv 2008/57/EF stilles krav om overensstemmelse med TSI, og den relevante TSI ikke pålægger den risikostyringsproces, der er fastlagt ved denne forordning, kan TSI betragtes som adfærdskodekser med henblik på at holde farer under kontrol under den forudsætning, at kravet i litra c) i punkt 2.3.2 er opfyldt.
2.3.4. Nationale forskrifter, der er meddelt i overensstemmelse med , og , kan betragtes som adfærdskodekser under forudsætning af, at kravene i punkt 2.3.2 er opfyldt.
2.3.5. Hvis en eller flere farer holdes under kontrol med adfærdskodekser, som opfylder kravene i punkt 2.3.2, anses risiciene ved disse farer for at være acceptable. Dette indebærer følgende:
a) der ikke er behov for at analysere disse risici yderligere
b) anvendelsen af adfærdskodekser skal registreres i fareredegørelsen som sikkerhedskrav til de relevante farer.
2.3.6. I tilfælde af, at en alternativ fremgangsmåde ikke er i fuld overensstemmelse med en adfærdskodeks, skal initiativtageren påvise, at den alternative fremgangsmåde fører til mindst det samme sikkerhedsniveau.
2.3.7. Kan risikoen ved en særlig fare ikke bringes på et acceptabelt niveau ved anvendelse af adfærdskodekser, skal der identificeres yderligere sikkerhedsforanstaltninger ved at anvende et af de to andre risikoacceptprincipper.
2.3.8. Når alle farer holdes under kontrol med adfærdskodekser, kan risikostyringsprocessen afgrænses til:
a) fareidentifikation, jf. afsnit 2.2.6
b) registrering af anvendelsen af adfærdskodekser i fareredegørelsen, jf. afsnit 2.3.5
c) dokumentation af anvendelsen af risikostyringsprocessen, jf. afsnit 5
d) en uafhængig vurdering, jf. artikel 6.
2.4.1. Initiativtageren analyserer med bistand fra andre deltagende aktører, om en eller flere farer er dækket ind ved et tilsvarende system, der kunne benyttes som et referencesystem.
2.4.2. Et referencesystem skal som minimum opfylde følgende krav:
a) det skal allerede i praksis have vist sig at have et acceptabelt sikkerhedsniveau, og det skal fortsat kunne godkendes i den medlemsstat, hvor ændringen skal indføres
b) dets funktioner og grænseflader svarer til det vurderede systems
c) det anvendes under driftsbetingelser, der svarer til det vurderede systems
d) det anvendes under miljøforhold, der svarer til det vurderede systems.
2.4.3. Opfylder et referencesystem kravene i punkt 2.4.2, gælder det for det vurderede system, at:
a) de risici ved farer, der er dækket ind af referencesystemet, anses for at være acceptable
b) sikkerhedskravene angående farerne, der er dækket ind af referencesystemet, kan udledes af sikkerhedsanalyser eller af en evaluering af sikkerhedsredegørelser for referencesystemet
c) disse sikkerhedskrav skal registreres i fareredegørelsen som sikkerhedskrav til de relevante farer.
2.4.4. Afviger det vurderede system fra referencesystemet, skal det i risikoevalueringen dokumenteres, at det vurderede system opnår mindst det samme sikkerhedsniveau som referencesystemet. De risici ved farer, der er dækket ind af referencesystemet, anses i så tilfælde for at være acceptable.
2.4.5. Kan det ikke dokumenteres, at der opnås et sikkerhedsniveau svarende til referencesystemets, identificeres der yderligere sikkerhedsforanstaltninger for afvigelserne, idet et af de to øvrige risikoacceptprincipper anvendes.
2.5.1. Når farerne ikke dækkes ind af et af de to risikoacceptprincipper, der er beskrevet i afsnit 2.3 og 2.4, påvises det, at risikoen for det vurderede system er acceptabel, med en eksplicit risikoestimering og -evaluering. Risici, der opstår som følge af disse farer, skal estimeres enten kvantitativt eller kvalitativt under hensyntagen til eksisterende sikkerhedsforanstaltninger.
2.5.2. Evalueringen af, hvorvidt de estimerede risici er acceptable, foretages ud fra risikoacceptkriterier, som enten udledes af eller bygger på retsforskrifter i enten fællesskabslovgivningen eller i meddelte nationale forskrifter. Afhængig af risikoacceptkriterierne kan evalueringen af, hvorvidt de estimerede risici er acceptable, foretages enten hver for sig for hver tilknyttet fare eller samlet for alle farer under ét, der tages i betragtning i den eksplicitte risikoestimering.
Kan den estimerede risiko ikke accepteres, skal der identificeres og gennemføres yderligere sikkerhedsforanstaltninger for at begrænse risikoen til et acceptabelt niveau.
2.5.3. Når risikoen ved en fare eller en kombination af flere farer anses for at være acceptabel, registreres de identificerede sikkerhedsforanstaltninger i fareredegørelsen.
2.5.4. Opstår farer som følge af svigt i tekniske systemer, der ikke er omfattet af adfærdskodekser eller anvendelsen af et referencesystem, finder det følgende risikoacceptkriterium anvendelse i forbindelse med udformningen af det tekniske system:
For tekniske systemer, hvor en funktionsfejl har et troværdigt direkte potentiale for katastrofale følger, skal den tilknyttede risiko ikke begrænses yderligere, hvis den relative fejlhyppighed er mindre end eller lig 10-9 pr. driftstime.
2.5.5. Medmindre andet fremgår af proceduren i , kan der på grundlag af en national forskrift opfordres til, at et strengere kriterium benyttes for at opretholde et nationalt sikkerhedsniveau. Drejer det sig imidlertid om supplerende tilladelser til ibrugtagning af køretøjer, finder procedurerne i og anvendelse.
2.5.6. Udvikles et teknisk system under anvendelse af 10-9-kriteriet, jf. punkt 2.5.4, gælder princippet om gensidig anerkendelse efter denne forordnings artikel 7, stk. 4.
Kan initiativtageren imidlertid dokumentere, at det nationale sikkerhedsniveau i anvendelsesmedlemsstaten kan opretholdes med en relativ fejlhyppighed, som er højere end 10-9 pr. driftstime, kan initiativtageren benytte dette kriterium i denne medlemsstat.
2.5.7. Den eksplicitte risikoestimering og -evaluering skal som minimum opfylde følgende krav:
a) de metoder, der benyttes til eksplicit risikoestimering, skal på korrekt vis afspejle det vurderede system og dettes parametre (herunder alle driftstilstande)
b) resultaterne skal være tilstrækkeligt nøjagtige til at danne et solidt beslutningsgrundlag, dvs. at mindre ændringer i inddatagrundlaget eller forudsætningerne ikke må medføre væsentlige ændringer af kravene.
3.1. Forud for accepten af sikkerheden i forbindelse med ændringen dokumenteres opfyldelsen af sikkerhedskravene, der følger af risikovurderingsfasen, under initiativtagerens tilsyn.
3.2. Denne dokumentation udføres af hver af de aktører, som bærer ansvaret for at opfylde sikkerhedskravene, således som det er besluttet i overensstemmelse med punkt 1.1.5.
3.3. Den fremgangsmåde, som er valgt med henblik på at dokumentere overensstemmelse med sikkerhedskravene, og selve dokumentationen skal underkastes et vurderingsorgans uafhængige vurdering.
3.4. Eventuelle mangler med hensyn til de sikkerhedsforanstaltninger, der forventes at skulle opfylde sikkerhedskravene, eller eventuelle farer, der opdages i forbindelse med dokumentationen af overensstemmelse med sikkerhedskravene, skal føre til, at initiativtageren på ny overvejer og evaluerer de tilknyttede risici i henhold til afsnit 2. De nye farer registreres i fareredegørelsen i henhold til afsnit 4.
4.1.1. En eller flere fareredegørelser skal udarbejdes eller ajourføres (hvis de allerede eksisterer) af initiativtageren i løbet af projekterings- og gennemførelsesfasen, og indtil ændringen er accepteret, eller indtil sikkerhedsvurderingsrapporten er forelagt. Fareredegørelsen skal følge fremskridt angående kontrolovervågning af risici ved de identificerede farer. I henhold til punkt 2, litra g), i bilag III til direktiv 2004/49/EF skal fareredegørelsen, når systemet er accepteret og sat i drift, efterfølgende ajourføres af infrastrukturforvalteren eller jernbanevirksomheden, som bærer ansvaret for driften af det system, der er taget op til vurdering, som en integreret del af dennes sikkerhedsledelsessystem.
4.1.2. Fareredegørelsen skal indbefatte alle farer sammen med alle relaterede sikkerhedsforanstaltninger og antagelser vedrørende systemet, som er identificeret i forbindelse med risikovurderingsprocessen. Den skal navnlig indeholde en klar henvisning til oprindelsen og de udvalgte risikoacceptprincipper samt en klar udpegning af den eller de aktører, der er ansvarlige for at holde hver fare under kontrol.
Alle farer og tilknyttede sikkerhedskrav, der ikke kan holdes under kontrol af en enkelt aktør, skal meddeles til andre relevante aktører for i fællesskab at finde en egnet løsning. De farer, der er registreret i fareredegørelsen af den aktør, som overdrager dem, skal kun »holdes under kontrol«, når den anden aktør har foretaget evalueringen af de risici, som er tilknyttet disse farer, og alle berørte parter er enige om løsningen.
5.1. Initiativtageren dokumenterer den risikostyringsproces, der benyttes til at vurdere sikkerhedsniveauer og opfyldelsen af sikkerhedskrav, således at et vurderingsorgan har adgang til den samlede nødvendige dokumentation for, at risikostyringsprocessen er anvendt korrekt. Vurderingsorganet opstiller sine konklusioner i en sikkerhedsvurderingsrapport.
5.2. Det dokument, som initiativtageren udarbejder efter punkt 5.1, skal som minimum indeholde:
a) en beskrivelse af den organisation og de eksperter, der er udpeget til at udføre risikovurderingsprocessen
b) resultaterne af risikovurderingens forskellige faser og en liste over alle de nødvendige sikkerhedskrav, som må opfyldes for at holde risikoen på et acceptabelt niveau.
1. Vurderingsorganet må hverken direkte eller som godkendte repræsentanter være involveret i projektering, fremstilling, konstruktion, markedsføring, drift eller vedligeholdelse af det system, der er taget op til vurdering. Dette udelukker ikke, at der kan udveksles tekniske oplysninger mellem dette organ og alle de deltagende aktører.
2. Vurderingsorganet skal udføre vurderingen med den største faglige integritet og tekniske kompetence og være uafhængige af enhver form for pression eller incitament, navnlig af økonomisk art, som kunne øve indflydelse på deres vurdering eller resultaterne af deres vurdering, især fra personer eller grupper af personer, der har interesse i vurderingerne.
3. Vurderingsorganet skal råde over de nødvendige midler til på fyldestgørende måde at udføre de tekniske og administrative opgaver i forbindelse med udførelsen af vurderinger; det skal også have adgang til det udstyr, der er nødvendigt for at gennemføre ekstraordinære vurderinger.
4. Vurderingspersonalet skal være i besiddelse af:
— en god teknisk og faglig uddannelse
— tilstrækkeligt kendskab til forskrifterne for den vurdering, det udfører, og tilstrækkelig erfaring med en sådan vurdering
— den fornødne færdighed i at udarbejde de sikkerhedsvurderingsrapporter, som gengiver konklusionerne af den udførte vurdering.
5. Personalet, der bærer ansvaret for den uafhængige vurdering, skal sikres fuld uafhængighed. Aflønningen af hver enkelt ansat må hverken være afhængig af, hvor mange vurderinger den pågældende udfører, eller af vurderingens resultater.
6. Hvis vurderingsorganet ikke er en del af initiativtagerens organisation, skal organet have en forsikring, som dækker dettes civilretlige ansvar, medmindre dette ansvar ifølge nationale retsregler dækkes af staten, eller medlemsstaten selv er direkte ansvarlig for vurderingen.
7. Hvis vurderingsorganet ikke er en del af initiativtagerens organisation, har organets personale tavshedspligt (undtagen over for de kompetente administrative myndigheder i den stat, hvor det udøver sin virksomhed) om alt, hvad det får kendskab til under udøvelsen af sin virksomhed i henhold til denne forordning.
