Anhand des Grenzrisikos wird festgelegt, welche Fehler oder welches Risiko als sicher und welches als unsicher gilt. Mehr zum Grenzrisiko liest du in folgendem Artikel.
Um dieses Risiko jedoch so gering wie möglich zu halten, ist es nötig, das in sicherungstechnischen Komponenten die Informationsverarbeitung entsprechend behandelt wird. Grundsätzlich unterscheidet man zwischen zwei Arten von Lösungen:
- technische,
- nicht technische.
Bei einer nicht technischen Lösung werden durch Gesetze, Verordnungen, & Richtlinien verbindliche Vorgaben geschaffen. Diese werden dann durch Menschen eingehalten. Die Praxis ergibt jedoch ein hohes Risiko durch menschliches Versagen. Somit ist eine zusätzliche technische Überwachung nötig. Ebenfalls sind nicht alle Teile der Informationsverarbeitung für Menschen ersichtlich.
Als technische Informationsverarbeitung können verschiedene historisch verbreitete Prinzipien verwendet werden. Diese sind abhängig vom technischen Stand der Anlage.
Mögliche Prinzipien sind:
- Mechanisch
- Pneumatisch
- Elektrisch
- Elektronisch
- Optisch
- Kombiniert
Um zu verhindern, das sich systematische Fehler in ein sicherungstechnisches System einschleichen, unterliegen diese sehr strengen Prüfungen bei ihrer Inbetriebnahme. Bei einem systematischen Fehler handelt sich um einen Makel, der bei Entwicklung und Herstellung oder vielmehr beim Errichten entsteht. Es sind also menschengemachte Mangel.
Oberste Priorität hat, dass ein Fehler nicht zu einem unsicheren Zustand führen darf!
Die Anlagen und Komponenten werden im System Bahn so konstruiert, das sie zur sicheren Seite hin ausfallen. Beispiel:
Ein stehender Zug wegen defekten Stellwerksbauteilen kann keinerlei kinetische Energie entwickeln. Somit geht keine Gefahr von diesem aus.
Dieses Verhalten wird allgemein als fail-safe benannt und greift bei jeder Einwirkung außerhalb des Regelbetriebs.
Als Rückfallebene steht im Fall eines Fehlers der Mensch zu Verfügung. Dieser unterliegt zwar bei Einhaltung aller Vorgaben der gleichen Sicherheit, jedoch einer geringeren Leistungsfähigkeit. Somit ist mit diesem nur ein eingeschränkter Eisenbahnverkehr möglich, um eine dennoch hohe Sicherung zu gewährleisten. Beispiel:
Kann ein Signal aufgrund eines sicherheitsrelevanten Fehlers nicht in Fahrt gestellt werden, so ist es den Fahrdienstleitenden möglich, ein Ersatzsignal einzustellen. Jedoch ist hiermit ein Dokumentationsaufwand verbunden. Ebenfalls muss unter Umständen ein Befehl diktiert werden. Die Sicherheit ist zwar dadurch noch sehr hoch, doch nicht mehr so leistungsfähig.
Um Ausfällen und der Rückfallebene Mensch zu entgegnen, werden redundante Systeme verwendet. Diese verhindern die Verfügbarkeitseinschränkung durch Nutzung von z. B. einem weiteren System bei Ausfall des primären. Diese Reserve kann entweder vollwertig den Dienst übernehmen oder nur Teile davon. Es findet somit keine Einschränkung statt. Dies gilt sowohl für Leistungsfähigkeit als auch Sicherheit. Beispiel:
Ein, zwei Server System in Stellwerken oder der Einsatz von Zweifadenlampen in Eisenbahnsignalen.
Bei Redundanzen gilt jedoch, das diese entsprechend für die Dauer der Instandsetzung funktionsfähig bleiben und nicht ebenfalls einem Ausfall erliegen!
Systemgestaltung
Die Eigenschaft, dass ein System als fail-safe gilt, erhält es durch unterschiedliche Konzeptionen:
- Fehlerausschluss,
- Gefährdungsausschluss,
- Gefährdungsbegrenzung.
Fehlerausschluss
Wie der Name bereits vermuten lässt, wird beim Fehlerausschluss davon ausgegangen, dass ein Fehler nicht auftreten kann. Das Risiko ist jedoch nur theoretisch null, da grundsätzlich eine Gefahr bestehen kann. Diese ist dagegen so gering, dass es vernachlässigbar ist.
Beim Fehlerausschluss kann der Schutz durch unverlierbare Eigenschaften oder Anwendungsvorschriften hergestellt werden.
Anwendungsvorschriften sind zum Beispiel Richtlinien im Unternehmen, welche unterwiesene Mitarbeitende einhalten. Unverlierbare Eigenschaften können z. B. ihre Grundlage in den Materialeigenschaften einer Komponente finden. Ist der Werkstoff überdimensioniert oder aus besonderem Material? Dann könnte hier ein Fehlerausschluss vorliegen.
Gefährdungsausschluss
Um bei Eintreten eines nicht ausschließbaren Fehlers eine Gefährdung zu vermeiden, wird auf eine schnelle Detektion gesetzt. Die Zeit zwischen Auftreten und Bekanntwerden des Fehlers bei einem Bedienenden wird als Ausfalloffenbarungszeit, kurz AOZ, bezeichnet. Sie gibt an, in welcher Zeitspanne der Ausfall festgestellt und gemeldet wird. Besitzt ein System eine Ausfalloffenbarungszeit von 24 Stunden, überprüft es sich einmal innerhalb dieser Zeitspanne. Stellt es fest, dass es fehlerhaft ist und ein Ausfall vorliegt, so meldet es dies an einen Bediener und leitet Gegenmaßnahmen ein.
Die Zeit zwischen Fehler und Erkennen kann Fehleroffenbarungszeit genannt werden. Darauf folgt die Fehlerreaktionszeit, bei der eine Gegenreaktion ausgeführt wird, um eine Gefährdung auszuschließen.
Ein gutes Beispiel ist die Punktförmige Zugbeeinflussung, kurz PZB, bei der ein Zug zwangsgebremst wird, sofern er ein haltzeigendes Signal überfährt oder die gefahrene Geschwindigkeit zu hoch ist. Solange diese Zugbeeinflussung funktionsfähig bleibt, kann an der streckenseitigen Technik wie dem Signal ein Fehler kompensiert werden.
Gefährdungsbegrenzung
Es kann vorkommen, dass eine Gefährdung nicht ausgeschlossen werden kann. Besteht diese Gefahr jedoch nur kurzzeitig, sodas keine ungünstige Situation entstehen kann, auf diese Weise ist das Risiko so gering, das es innerhalb akzeptabler Grenzen liegt.