Velmi často se setkávám s různými stížnostmi na to, jak je dnes všechno na železnici složité, přebyrokratizované atd. Tyto názory ale plynou většinou z neznalosti či nepochopení problematiky, která sice opravdu je rozsáhlá, ale liberalizované železniční prostředí prostě nejde nastavit jedním předpisem a nechat jej volně a neřízeně fungovat.
Na následujících podstránkách Vám tedy nabízím malou (a snad srozumitelnou) exkurzi do některých zákoutí soudobého železničního systému s cílem ukázat Vám, že to, co vypadá na první pohled složitě, neproniknutelně a nelogicky, takové často ve skutečnosti vůbec není.
POZOR: Informace zveřejněné na této stránce nejsou oficiálními informacemi Drážního úřadu!V následujícím obsahu se kliknutím na odkaz dostanete rovnou k tématu, které Vás zajímá.
Téměř na konci podstránky věnující se nastavení železničního systému jste se mohli dočíst o důvodech, proč je nutné a dnes už pro dopravce (RU), správce infrastruktury (IM) a subjekty odpovědné za údržbu (ECM) dokonce i povinné aplikovat procesy řízení rizik.
V řadě odvětví společenského života a podnikání zvláště je řízení rizik už desítky let běžnou záležitostí, nad kterou se nikdo nepozastavuje. Také na železnici lze najít nemálo firem, které se různým způsobem a zcela přirozeně řízením rizik zabývají. Dokonce bych se nebál prohlásit, že podle míry apliakce procesů řízení rizik a sebezlepšování je možné poznat „vyspělost“ firmy, a to dokonce i z venčí na jejích výstupech. „Vyspělá“ firma se nikdy nepustí do kroků, jednání či změn, které by ji jakkoliv ohrozily. A pokud se dopustí jakékoliv chyby, tuto už nezopakují, neboť se poučí a přenastaví své procesy tak, aby už k takové chybě nedošlo...
Teď už ale pojďme k jádru věci. Předně si musíme vyjasnit dvě základní oblasti, ve kterých v železničním systému řízení rizik uplatňujeme:
Způsob analyzování a řízení rizik při změnách je pro železniční prostředí předepsán prováděcím nařízením Komise (EU) č.
402/2013, které definuje tzv. společnou bezpečnostní metodu
pro hodnocení a posuzování rizik (CSM).
Tato společná bezpečností metoda je aktuálně nejmodernějším postupem pro řízení rizik, i když principiálně vychází z postupů zakotvených
v normách CENELEC, které se už více než 30 let používají v elektrotechnice a energetice, v chemickém průmyslu, jaderné bezpečnosti
apod.
Rozšíření, které můžeme výše uvedenému nařízení připsat, se týká zejména zavedení kategorizace změn, která navrhovateli změny pomůže vhodně
nastavit rozsah bezpečnostní analýzy vedoucí k usměrnění všech známých ze změny vyplývajících rizik na přijatelnou úroveň.
V případě bezpečnostně nejzávažnějších změn však platí povinnost nechat celý provedený postup řízení rizik přezkoumat nezávislým subjektem pro
posuzování bezpečnosti (AsBo), protože
v tomto případě může chybná aplikace celého procesu vést až k nežádoucímu snížení bezpečnosti železničního systému.
Pro ujasnění terminologie ještě připomenu, že pod pojmem „řízení rizik“ se souhrnně rozumí trojice úkonů:
Jak už jsem nastínil na podstránce o nastavení železničního systému, řízení rizik je nevyhnutelnou součástí všedního života každého z nás a stejně tak i jakéhokoliv subjektu působícího v železničním prostředí (ale i v automotive, průmyslové výrobě a vlastně ve všech oblastech podnikání). V soukromém životě ale naštěstí nemusíme jeho proces dokumentovat ;-)
Už když budoucí dopravce, správce infrastruktury či ECM nastavuje svůj systém zajišťování bezpečnosti či údržby, měl by jednotlivá ustanovení svých předpisů sestavovat za využití analýzy rizik. Až je celý systém „postaven“ a certifikován ze strany NSA, měli by v něm všichni zaměstnanci daného RU, IM nebo ECM najít ideálně všechny postupy a pravidla, která potřebují pro svou všední činnost. Což ale neznamená, že v takto nastavených postupech není prostor pro zlepšení, tedy snadnější, efektivnější, ale hlavně bezpečnější práci a v důsledku toho i bezpečnější provoz. Právě z toho důvodu je součástí každého systému zajišťování bezpečnosti i údržby také nástroj pro zpracování nápravných opatření, jejichž zdroji mohou být např. podněty zaměstnanců, výstupy z auditů, výstupy z šetření nehod či „skoronehod“, doporučení bezpečnostních orgánů apod. Také sledování těchto „zdrojů informací pro sebezlepšování“ je povinné a popsané v nařízení Komise (EU) č. 1078/2012.
A proč o tom píšu? Také ze zpracování nápravného opatření totiž může vzejít požadavek na změnu (zlepšení) zavedeného systému zajišťování bezpečnosti či údržby. A opět platí, že měníme-li už zavedený systém, je nutné tak činit přes analýzu rizik, včetně případného usměrnění navrhovatelem identifikovaných nebezpeční na přijatelnou úroveň pro zajištění, že i po provedené změně bude celý systém minimálně stejně tak bezpečný, jako před jejím provedením.
Pokud jsem předchozí řádky napsal dostatečně srozumitelně, měli byste z nich dojít k poznání, že v běžném provozním životě RU, IM či ECM může nastávat vždy jen jedna ze dvou možných cest:
Za uplatnění procesu řízení rizik je vždy odpovědný navrhovatel, což je firma, která hodlá změnu zavést, a to až do úrovně jejího managementu. V tomto případě
nelze nezmínit významný precedens, jehož důsledkem bylo urychlení zavedení ECM do údržby vozidel. Tím se 29. 6. 2009 stala závažná železniční nehoda
u italského města Viareggio, v důsledku které zahynulo 32 lidí a řada dalších byla zraněna. Za nehodu byli dodnes trvajícími nepodmíněnými tresty
potrestáni nejen ti, kteří měli přímo na starost (zanedbávanou) údržbu nákladních vozů, jejichž selhání bylo příčinou této katastrofické nehody, ale také vrcholoví
manažeři firem, včetně bývalého ředitele italských drah, kteří nesli odpovědnost za chybné nastavení svého systému údržby.
Dále je důležité vědět, že v souladu s Článkem 2 nařízení 402/2013 může mít každá změna systému povahu buďto technickou, provozní nebo organizační. A každá buďto může nebo nemusí mít
dopad do bezpečnosti.
Pokud je změna systému vyhodnocena jako významná, prochází v souladu s nařízením 402/2013 odborným posouzením na základě vhodných kritérií. Mezi základní patří: důsledek selhání, nový prvek, složitost změny, sledování změny, vratnost změny
a doplňkovost, ale možné je využít i libovolná další, a to vždy tak, aby byly z hlediska možných rizik prověřeny ideálně všechny aspekty. Konkrétní příklady budou uvedeny dále,
rozhodně se ale nenechte odradit zdánlivou složitostí a neproniknutelností problematiky – její popis je často složitější než vlastní realizace procesu. Je pouze nutné překonat počáteční
obavy a naučit se dívat na problematiku trošku „z nadhledu“.
Protože však jde o téma, které zasahuje prakticky do všech úrovní podnikání na železnici
a u kterého lze stále ještě v řadě firem pozorovat určité obavy z neznámého, představme si níže několik konkrétních příkladů řízení rizik – nejprve obecně, následně
i konkrétním postupem. Snad z nich bude zřejmé, že kromě jiného „obalu“ vlastně nejde o nic nového, pouze o průkazné zaznamenání
toho, co ve zdravě uvažujících firmách stejně musí při každé změně v interních postupech proběhnout.
Na úvod prvního příkladu si připomeňme, že ECM je kromě jiného odpovědný také za stanovení proběhů/lhůt vozidel do předepsaných stupňů údržby (viz část III odst. 3 Přílohy II prováděcího nařízení
Komise (EU) 2019/779 a jejich předání dopravci (viz článek 5 odst. 3 prováděcího nařízení Komise
(EU) 2019/779). Pokud by to neudělal, ohrožuje své osvědčení subjektu odpovědného za údržbu.
Dopravce pak je povinen provozovat pouze takové vozidlo, které nemá překročené lhůty proběhů do předepsané údržby – viz kap. 4.2.2.5.2 bod b) Prováděcího nařízení Komise (EU)
2019/773 – pokud by takové vozidlo provozoval, ohrožuje své osvědčení o bezpečnosti dopravce.
Všichni ale cítíme, že pouze skutečnost, že konkrétní vozidlo má ujeto např. 50 000 km od minulé údržby, tedy hodnotu, kterou ECM (potažmo výrobce) stanovil jako hraniční pro přistavení vozidla
do další údržby, nijak neřeší jeho skutečný technický stav. Jinými slovy – je rozdíl, zda např. motorový vůz řady 8xx těch 50 000 km najezdí sólo provozem na nenáročné rovinaté lokálce
s volnými jízdními dobami, nebo se s několika vozy denně lopotí po sklonově náročné trati s napjatými jízdními dobami. U prvně zmíněného případu lze předpokládat, že opotřebení
vozidla bude významně menší a mohlo by tedy být možné (např. v situaci, kdy máme přeplněnou dílnu) jeho údržbu lehce odložit. Jako ECM mám svrchované právo takto rozhodnout, ale je to samozřejmě
na mou odpovědnost.
Protože jde o odchylku oproti zavedenému systému údržby (v tomto případě reprezentovaného předpisem/návodem pro údržbu dané řady vozidla), přistupuje se k ní jako
k jednorázové změně systému. Ovšem nemůžu to udělat jen tak „střelením od pasu“, ale měl bych nechat v prvé řadě dané vozidlo prohlédnout a prověřit zejména bezpečnostně významné
komponenty, jako jsou např. dvojkolí, prvky pojezdu, tažné a narážecí ústrojí nebo dveře.
Protože odložení proběhu vozidla do předepsané údržby bezesporu je změnou s dopadem do bezpečnosti a možná i změnou významnou, určitě se musím pustit do analýzy možných rizik dle
postupu stanoveného v nařízení 402/2013. V rámci analýzy si musím
projít celý soupis předepsaných úkonů údržby pro odkládaný stupeň a posoudit, jaký nejhorší dopad může mít odložení každého z nich. Výstupem tohoto úkonu bude soupis tzv. nebezpečí, která –
pokud by nastala – by mohla být přímým ohrožením bezpečnosti provozu.
Takové ohrožení ale samozřejmě nesmím připustit, jinak bych porušil podmínku, že systém musí být i po realizaci změny minimálně stejně bezpečný, jako před změnou. Na každé zjištěné nebezpečí
tedy musím vymyslet „záplatu“, neboli bezpečnostní opatření, které sníží možné riziko na přijatelnou úroveň. Výsledem aplikace celé bezpečnostní metody pak v tomto konkrétním případě nejspíš bude
zjištění, že zatímco drtivou většinu úkonů můžu s čistým svědomím (a bez nutnosti opatření) odložit, najde se také několik bodů, které odložit nelze (např. výměna maziva v ložiscích,
provedení defektoskopie prvků pojezdu apod.), nebo je lze odložit jen za určitých podmínek, jako např. četnější prohlídky některých dílů, snížení nějakého výkonnostního parametru vozidla apod. Tyto body,
které i přes odložení ostatních úkonů údržby prostě budu muset vykonat, nebo to, že nastavím pro konkrétní součásti nějaký „přísnější“ režim, budou vlastně usměrněním rizik plynoucích z odložení
údržby daného stupně na přijatelnou úroveň.
Celý proces analýzy a řízení rizik se uzavírá vydáním prohlášení navrhovatele změny, které dokládá, že se touto změnou systému někdo vážně zabýval a zvážil/ošetřil možné důsledky. Přílohou
prohlášení pak vždy musí být veškerá dokumentace, která při provádění analýzy a řízení rizik vznikla.
Je také dobré si uvědomit, že žádná rizika nelze odstranit stoprocentně, důležité však je udělat (dle nejlepšího vědomí a svědomí) vše, co je jen možné, pro jejich snížení na přijatelnou
úroveň.
Ve druhém příkladu si představíme zcela běžnou situaci, že dopravce bude potřebovat nasadit do provozu modernizovaný osobní vůz – první svého typu. Došlo např. jen k lehké obnově interiéru, dosazení výkonnější klimatizace, vakuových WC a změně systému zavírání nástupních dveří.
Uvedenou modernizaci už samozřejmě posoudil jako technickou změnu ten, kdo vůz modernizoval a jeho změny nechával schvalovat (obvykle výrobce, popřípadě ECM vozidla). Bylo by však mylné se domnívat,
že tím je hotovo a není už kolem vozidla dál co řešit!
ECM si dle podkladů od dodavatele rekonstrukce musí taktéž udělat analýzu rizik a zmapovat si, jaké dopady má uvedená technická změna do jeho systému údržby – z pohledu ECM půjde o změnu
provozní, protože se změní některé postupy při údržbě, dost možná i s nároky na pořízení nějakých nových diagnostických přístrojů, měřidel, přípravků, nářadí či nutnost proškolení personálu
údržby. Analýza rizik, která samozřejmě musí proběhnout ještě před zařazením modernizovaného vozu do systému údržby, má v tomto případě za úkol hlavně předejít tomu, že vůz přijede na dílnu
a její personál s hrůzou zjistí, že na toto nemá „vercajk“, toto nastavení software nikdo neumí, nebo že na tyhle zásahy do elektrické výstroje nemá nikdo kvalifikaci.
A stejně jako ECM, musí si ze svého úhlu pohledu změny na vozidle posoudit také dopravce, který bude vozidlo používat. I z pohledu dopravce půjde o změnu provozní, protože jejím
důsledkem bude zcela jistě změna způsobu obsluhy třeba zmíněné klimatizace a dveří, což s sebou nese změnu návodu k obsluze vozidla a tedy také nutnost (samozřejmě prokazatelného)
proškolení provozního personálu z obsluhy vozidla.
Při analýze rizik by se samozřejmě měly zvážit všechny známé aspekty až do takových detailů, jako jsou dopady do technologických procesů na straně dopravce (např. zajištění odsávání jímek WC či potřeba
častějšího dobíjení vozových baterií z externího zdroje kvůli vyšší spotřebě nově instalovaných zařízení), nebo plnění legislativních požadavků – v tomto případě může jít např. o vyhovění
§ 35 odst. 2 písm. l zákona o dráhách, který po dopravcích výslovně požaduje s alespoň dvouměsíčním předstihem oznámit
Drážnímu úřadu zahájení provozování veřejné drážní dopravy prostřednictvím dosud neprovozovaného typu drážních vozidel nebo s využitím nových funkcí zaměstnanců a následně neprodleně jakoukoliv
podstatnou změnu těchto údajů…
Jinou situací, kdy lze na straně dopravce odůvodněně očekávat zpracování analýz rizik, jsou změny vozebních ramen jeho vlaků či nasazení „nových“ vozidel na tratě, kde tato dosud nejezdila – ať už jde o nasazení dočasné (např. z důvodu výluk) nebo trvalé (např. při změně grafikonu). Pro připomenutí však opětovně podotýkám, že uvedené platí jen v případě, že postup pro uvedené není součástí předpisů dopravce, tj. nastavení jeho systému zajišťování bezpečnosti. Protože v takovém případě už byly tyto postupy z hlediska možných rizik analyzovány v době budování systému a není důvod (ba naopak je nepřípustné) je posuzovat znovu.
Za správce infrastruktury si jako příklad vezměme třeba situaci, kdy v rámci modernizace trati chceme konkrétní stanici zbavit zaměstnanců a převést ji do režimu dálkového řízení.
Vlastní rekonstrukce stanice je jednoznačně změnou technickou, kterou posuzuje a zjištěná nebezpečí usměrňuje na přijatelnou úroveň dodavatel rekonstrukce. Pro správce infrastruktury však půjde
zároveň o provozní změnu, jejímž charakteristickým rysem je vyvolaná změna předpisů či provozních postupů – v tomto případě staničního řádu, tabulek traťových poměrů, přípojových provozních řádů
zaústěných vleček a dalších dokumentů. A mimo to půjde také o změnu organizační, protože se změní organizační schéma, resp. odpovědnosti zaměstnanců. A to jak přímo ve stanici, kde
všechna či většina pracovních míst zanikne, tak také na centrálním dispečerském pracovišti, odkud bude stanice dálkově řízena.
Analýza a (v tomto případě zcela jistě také) řízení rizik organizační změny by se tak měly zaměřovat hlavně na ošetření plánovaného stavu odpovědností, nadřízeností/podřízeností
a zastupitelnosti zaměstnanců – navrhovatel změny bude podrobně zkoumat jednotlivé body pracovních náplní rušených zaměstnanců a prověřovat, zda jsou všechny činnosti adekvátně zajištěny jiným
(a minimálně stejně bezpečným) způsobem.
V případě provozní změny se budou řešit hlavně otázky chodu stanice jako takové, zachování její funkčnosti po stránce možnosti křižování a předjíždění vlaků, obsluhy vleček nebo také
ochrany majetku, jehož poškození by mohlo negativně ovlivnit bezpečnost provozu (krádeže kabelů či prvků zabezpečovacího zařízení).
Hlavním důvodem, proč se o obou typech změn takto rozepisuji a proč jsem vlastně i zvolil tento příklad, je především Vám ukázat, že se jednotlivé posuzované body obou druhů změn mohou
velmi úzce prolínat a ne vždy je zcela zřejmé, do které kategorie změn (technická/provozní/organizační) která řešená problematika patří. Nicméně mohu Vás uklidnit – ono to není zas tak důležité.
Vezměme si například plnění požadavku §20 vyhlášky č. 173/1995 Sb., který stanovuje správci infrastruktury povinnost sledovat jízdu
drážních vozidel osobami řídícími a podílejícími se na řízení drážní dopravy a zároveň i povinnost učinit opatření k odvrácení případného zjištěného nebezpečí, vč. informování
dopravce. Není pochyb o tom, že sledování vlaků provozními zaměstnanci infrastruktury je velmi důležitý bezpečnostní prvek v železničním provozu a ne nadarmo povinnost, která je dána
i legislativně!
V rámci organizační změny je samozřejmě nutné tuto činnost, která je mimo jiné náplní práce zaměstnanců ve stanici s rušenou osádkou, převést na někoho jiného. Ale je vůbec možné ji bez snížení
bezpečnosti převést např. na dispečerské pracoviště? Případný požár na vlaku či chybějící koncovky možná uvidí dispečer CDP i přes kamerové systémy (o tom, zda vůbec má prostor toto sledovat zde
raději ani nebudu polemizovat), ale na řadu závad na jedoucím vlaku upozorňují třeba také akustické projevy…
Sledování projíždějících vlaků je zároveň i provozní úlohou stanice, která bez zaměstnanců bude těžko moci tuto úlohu plnit. Kdybychom v tomto případě řešili samostatně provozní
i organizační změnu, ve většině případů bychom došli ke stejným bezpečnostním opatřením – celá stanice bude pod dohledem kamer (a hlavně zaměstnanců „za nimi“), výměny výhybek (které nebude mít
v zimě kdo vymetat) bude nutno vyhřívat, odhrnování sněhu z nástupišť v zimním období zajistíme externí službou a bezpečnostní sledování vlaku v odpovídající kvalitě zajistí
nedaleké okolní stanice. Samozřejmě pokud by mělo být za sebou na dálkově řízené trati více stanic bez personálu, je možné si vypomoci indikátorem plochých kol a horkoběžnosti, ale protože zatím
nemáme technické řešení např. pro sledování konců vlaků či otevřených dveří, stejně při sérii více opouštěných stanic za sebou nakonec z řízení rizik vyjde nutnost alespoň v některých
z nich provozní personál ponechat.
Co z uvedeného příkladu plyne? Hlavně to, že navrhovateli nic nebrání posuzovat obě uvedené změny klidně i společně jediným postupem. V praxi je totiž úplně jedno, zda je prováděná změna provozní nebo organizační. Podstatné je pouze opravdu „vychytat“ všechny aspekty zamýšlené změny a usměrnit veškerá z ní vyplývající rizika na přijatelnou úroveň.
Základním krokem, kterým aplikace společné bezpečnostní metody začíná (a mnohdy jím také končí), je stanovení, zda zamýšlená změna má nebo nemá dopad na provozní postupy či postupy údržby. Jak už bylo uvedeno výše, změny dělíme do tří kategorií – technické, provozní a organizační. Pokud řešíte změnu provozní nebo technickou, není pro Vás Krok 1 relevantní a rovnou přeskočte ke Kroku 2.
Pokud ale řešíte s jistotou organizační změnu, pak je nutno řádně uvážit, jestli změna má – v rámci posuzovaného systému zajišťování
bezpečnosti (tj. v činnosti dopravce nebo správce infrastruktury) nebo systému údržby (tj. v činnosti ECM) – nějaký dopad na provozní
postupy či postupy údržby. Tedy jinými slovy, zda ze změny odpovědností, pravomocí, nadřízenosti/podřízenosti nebo třeba zastupitelnosti zaměstnanců
při připravované organizační změně hrozí, že se změní nějaké již nastavené interní postupy (tj. vlastně se z organizační změny dostaneme už na
změnu provozní).
Dojdeme-li k zjištění, že připravovaná organizační změna opravdu zavedené interní postupy neovlivní, musíme o tom učinit
záznam (tzn. mít dokumentovaný důkaz – viz požadavek článku 2 odst. 2 písm. b nařízení 402/2013) a tím celé posuzování končí.
Onen záznam může mít v České republice podobu Prohlášení navrhovatele o bezpečnosti (PNB, viz dále)
typu A, nebo jiného podobného
dokumentu, popř. pouze formu záznamu v nějakém registru změn, který je vhodné, aby si každá firma vedla – třeba už jen pro případ pozdějších
dohledávání dřívějších posouzení rizik.
Tento registr by měl obsahovat minimálně datum a název posuzované problematiky, jméno osoby, která
učinila analýzu a došla k závěru, že změna má/nemá dopad do bezpečnosti a odkaz např. na síťové úložiště společnosti či složku
s dokumenty, kde jsou uloženy podklady, na základě kterých bylo o uvedeném rozhodnuto. Zdůvodnění toho, proč či na základě čeho bylo
rozhodnuto, že změna systému nemá dopad do bezpečnosti, musí ale opravdu vždy existovat a být zpětně dohledatelné.
Druhým zásadním krokem, kterým aplikace společné bezpečnostní metody pokračuje, je určení, zda zamýšlená změna má nebo nemá dopad do bezpečnosti. To můžeme udělat buďto jednoznačným odhadem v případech, kdy je to prostě jasné (např. když hlídání platnosti všech odborných zkoušek zaměstnanců začne po zamýšlené organizační změně dělat ve firmě místo manažera ISM personalista, určitě ani po personální změně nehrozí, že by někomu ze zaměstnanců firmy způsobilost propadla – taková změna tedy bude bez dopadu do bezpečnosti), nebo si pomůžeme tabulkou posuzovacích kritérií důsledek selhání / nový prvek / složitost změny / sledování změny / vratnost / doplňkovost změny (viz dále).
Asi Vám u příkladu v závorce výše problesklo hlavou „No jo, ale co když ten personalista bude lempl, na kterého se nelze spolehnout?“.
Ano, to je možná oprávněná obava, ale je nutno si uvědomit, že teď řešíme změnu v systému – tedy stavíme dílo z kostek stavebnice a na
této úrovni nemůžeme řešit, co se stane, když „něco uvnitř“ některé z kostiček selže. Teď nám jde pouze o to, aby zapadla mezi ostatní
a plnila v rámci celku (systému) svou správnou roli. Na řešení toho, co je uvnitř každé z kostek, neboli co bude, když nám personalista
nebude řádně plnit svou úlohu, na to už tu máme právě metody pro řízení běžných „provozních“ rizik, které jsem zmiňoval výše.
Pokud už na konci tohoto prvního kroku dojdeme k zjištění, že zamýšlená změna nemá dopad do bezpečnosti, musíme opět o tomto učinit záznam (tzn. mít
dokumentovaný důkaz – viz požadavek článku 2 odst. 2 písm. b nařízení 402/2013) a tím celé posuzování končí.
Opět platí, že zmíněný záznam může mít podobu prohlášení navrhovatele
o bezpečnosti (v tomto případě půjde o PNB typu B)
či jiného podobného dokumentu, nebo pouze formu záznamu v registru změn – viz předchozí krok.
Pokud jsme ve Kroku 2 došli k zjištění, že zamýšlená změna bude mít dopad do bezpečnosti, je nutné zjistit, zda jde o změnu významnou (výstupem bude PNB typu D) nebo nevýznamnou (výstupem bude PNB typu C). Pro tento účel už je nutné provést odborné posouzení na základě kritérií důsledek selhání / nový prvek / složitost změny / sledování změny / vratnost / doplňkovost změny, které jsem zmiňoval výše. Postup je jednoduchý. Nejprve je dobré si ujasnit, jakou změnu vlastně řešíme – možnosti jsou, jak bylo výše uvedeno, tři:
Pokud jsme v Kroku 3 došli k zjištění, že zamýšlená změna bude mít dopad do bezpečnosti a je významná, je nutné na řízení zamýšlené změny „nasadit“ úplný proces řízení rizik, který (je-li správně aplikován) zajistí, že i po realizaci zamýšlené změny zůstane měněný systém minimálně stejně tak bezpečný, jako před změnou.
Postup řízení rizik dobře vystihuje toto schéma. Jak už bylo řečeno, v tomto kroku řízení bezpečnosti už musíte počítat s tím, že v souladu s článkem 6 nařízení 402/2013 musí celý postup řízení bezpečnosti (tj. ne pouze řízení rizik) posoudit nezávislý subjekt pro posuzování bezpečnosti (AsBo), což nebude zadarmo.
V rámci celého řízení bezpečnosti předchází vlastnímu procesu řízení rizik vždy
proces řízení nebezpečí, jehož úkolem je stanovení tzv. nebezpečí (každé nebezpečí vyvolá právě jedno riziko, které uvažujeme jako nejhorší
možný scénář ze všech rizik daného nebezpečí, která teoreticky mohou nastat) a zpracování nezbytných Záznamů o nebezpečí.
Pro identifikaci nebezpečí se použije vhodná metoda uvedená ve sloupci „Identifikace rizik“ v tabulce A.1 normy ČSN EN 31010.
Při zpracování Záznamu o nebezpečí (ideálně by měl být zpracován samostatný záznam pro každé zjištěné nebezpečí) musí být pro řešení každého nebezpečí
zvolena alespoň jedna z metod tzv. zásad přijatelnosti rizika – jedná se buďto o kodex správné praxe, referenční systém nebo jednoznačný
odhad rizika (vždy v tomto pořadí), přičemž posuzování končí při možnosti použít dřívější ze tří uvedených metod a k dalším pak již není
nutné postoupit. Jinými slovy – pokud lze za použití kodexu správné praxe usměrnit nejkritičtější rizika daného nebezpečí na přijatelnou úroveň, není
se už třeba zabývat referenčním systémem nebo přikročit až k (nejnáročnějšímu) jednoznačnému odhadu rizik. Což dává smysl, protože vždy je na
známé nebezpečí lepší použít už osvědčenou „záplatu“ (správně „bezpečnostní opatření“) z podobného tzv. referenčního systému; tj. nějaké řešení,
které se už na jiném vozidle či v podobné provozní aplikaci používá, nebo řešení popsané v léty prověřených normách (tzv. kodex správné praxe),
než začít vymýšlet zcela nové usměrnění rizik na pomyslný bílý list papíru…
Tzn. když budu třeba dopravcem, který stojí před úlohou přechodu na provoz z dieselové do elektrické trakce, neboť trať, na které zajišťuji dopravu,
byla právě elektrizována, určitě budu muset řešit celou řadu provozních a možná i organizačních změn a z nich plynoucích nebezpečí.
V případě např. znalostí strojvedoucích a vlakových čet ale určitě využiji standardní legislativu a již existujícími interními předpisy
nastavené procesy (školení, zácvik a znalost vozidel elektrické trakce, opatření pro provoz v zimních podmínkách atd. atd. – tj. využiji
kodex správné praxe) a pro aktivní odstavení využiji řešení známé z jiných tratí (tj. využiji referenční systém), než abych vymýšlel nová
opatření jednoznačným odhadem rizik.
Pokud bych ale měl na stávající neelektrizovanou trať nasadit v rámci země zcela nová a legislativou
i interními předpisy téměř nepopsaná akumulátorová či vodíková vozidla, pak se jednoznačnému odhadu rizik prostě nevyhnu…
Následný postup řízení rizik se už liší dle toho, kterou ze zásad přijatelnosti rizika (popř. jejich kombinaci) lze použít na stanovení nezbytného bezpečnostního opatření. Možné cesty opět velmi dobře vystihuje toto schéma. Právě zmíněné bezpečnostní opatření je hlavním výstupem procesu řízení rizik a vlastně i celého procesu řízení bezpečnosti. Je to právě ono hledané opatření, které by mělo naplnit poslání celého výše popsaného martyria – tedy zajistit, že i po realizaci zamýšlené změny zůstane měněný systém minimálně stejně tak bezpečný, jako před změnou.
Tedy například – když budu chtít jako ECM prodloužit proběh mnou spravovaných lokomotiv řady 740 do generální opravy ze stávajících 900 000 km
na hodnotu kolem 1 500 000 km, jde bezesporu o významnou změnu s dopadem do bezpečnosti. Ale když vím, že na hodnotu 1 500 000
km mají pro stejnou vozidlovou řadu nastavenou tutéž lhůtu i ostatní ECM, mohu použít jejich nastavení jako referenční systém nebo kodex správné
praxe.
Ovšem zde POZOR – toto bezpečnostní opatření je samozřejmě nutné převzít v úplné podobě! Ostatní ECMové si totiž určitě nezvýšili proběhy
do generálních oprav jen tak, ale provedli stejný proces řízení rizik, kde si jako bezpečnostní opatření stanovili např. častější prohlídky vozidla po
překročení určitého proběhu a k tomu třeba ještě přidali defektoskopickou kontrolu kritických prvků pojezdu. Já tedy v zájmu zajištění
toho, že i po realizaci zamýšlené změny zůstane měněný systém minimálně stejně bezpečný, musím za své bezpečnostní opatření převzít nejen ony
vyšší hodnoty proběhu, ale také ta bezpečnostní opatření, která usměrňují z původní změny plynoucí rizika na přijatelnou úroveň!
V některých případech (především u jednoznačného odhadu rizik – opět viz schéma je navíc i po stanovení bezpečnostního opatření nutno celý proces řízení bezpečnosti zopakovat a ujistit se, zda je stanovené bezpečnostní opatření dostatečné, protože někdy je nutno pro zachování bezpečnosti systému stanovit opatření více, nebo původně nastavené nedostatečné opatření nahradit opatřením silnějším.
Posledním tématem, na které je nutno v rámci povídání o řízení rizik upozornit, je fakt, že stanovením bezpečnostního opatření samotné
nebezpečí nezaniká! Pouze je eliminováno na přijatelnou úroveň námi stanovený bezpečnostním opatřením, které ale nemusí mít nekonečnou životnost.
Právě proto je jedním z řady požadavků na systém zajišťování bezpečnosti dopravců a správců infrastruktury, stejně jako na systém údržby
u ECM to, že je nutné čas od času ověřit účinnost (dříve) nastavených opatření z řízení rizik (např. interním auditem).
Jako příklad lze uvést např. skutečnou situaci „ze života“, kdy po interní neshodě ve firmě, kdy řadou kumulovaných funkcí přetížený správce vozidel
neohlídal platnost prohlídek UTZ a technické kontroly (TK) a firma byla přistižena při provozování vozidla s propadlými kontrolami
a dostala pokutu, bylo v rámci následné organizační změny stanoveno bezpečnostní opatření, že platnosti UTZ a TK bude nově zajišťovat
manažer ISM, protože je to (konkrétní) člověk znalý drážního prostředí a není tak vytížený. Vše pak fungovalo zcela bez problémů až do doby, kdy
dotyčný manažer ISM z firmy odešel a byl nahrazen běžnou úřednicí, které přibylo povinností a nějaké TK a UTZ, kterým stejně nerozuměla,
zcela ignorovala. Původně stanovené bezpečnostní opatření tak ztratilo účinnost a původně odhalené nebezpečí „vyplulo na hladinu“ v celé své
nahotě…
Jak ukazují zkušenosti s uplatňováním CSM v zahraničí, firmy poměrně často v rámci řízení bezpečnosti produkují řadu komplikovaných dokumentů, aby naplnily požadavky nařízení 402/2013. Navíc co firma, to zcela jiný přístup a jiné výsledné dokumenty, což komplikuje mj. kontrolu správnosti uplatněných postupů.
V zájmu usnadnění uplatňování CSM v praxi a alespoň částečného sjednocení (a tím i snazší kontroly) dokumentace
k řízení bezpečnosti vypracoval Drážní úřad postup, který v sobě slučuje a pro použití zjednodušuje základní metody pro určování
závažnosti změn tak, jak je požaduje nařízení 402/2013.
Základem postupu je stanovení tzv. deklarované změny. Deklarovaná změna je označení souhrnu všech dílčích (jak technických, tak i provozních
či organizačních) změn vedoucích k uskutečnění uvažovaného záměru navrhovatele. Deklarovaná změna se obvykle skládá z většího množství dílčích
změn – viz obrázek:
Ke každé dílčí změně jsou v „Analýze deklarované změny s ohledem na její dopad na bezpečnost“, která je ve formě tabulky součástí zadní strany
všech typů Prohlášení navrhovatele o bezpečnosti (PNB), přiřazeny navrhovatelem odhadované váhy významnosti změny nabývající hodnot
v uzavřeném intervalu 0 – 0,25 – 0,5 – 1 (dle tabulek doporučených stupňů významnosti změn technických
i provozních na základě kritérií ze čl. 4 nařízení
402/2013: důsledek selhání / nový prvek /
složitost změny / sledování změny / vratnost / doplňkovost změny).
Při řízení bezpečnosti u jednodušších změn může být PNB jediným změnu provázejícím dokladem (navrhovatel pouze dle nejlepšího svědomí vyplní
tabulku na zadní straně PNB), v případě složitějších změn pak plní PNB roli jakéhosi „krycího listu“, ve kterém jsou shrnuty výstupy posouzení
a další v rámci řízení bezpečnosti vzniklá dokumentace pak je přílohou PNB. Ve všech případech pak vypracované PNB plní úlohu
zdokumentování uplatnění procesu řízení bezpečnosti tak, jak požaduje článek 2 odst. 2 písm. b nařízení
402/2013 nebo článek 4 odst. 3 nařízení
402/2013.
Až doposud jsem popisoval ze zákona povinné uplatnění CSM v oblasti řízení bezpečnosti železniční dopravy. Tím ovšem nemusí uplatnění CSM
z daleka končit! Společnou bezpečnostní metodu lze relativně snadno „přiohnout“ třeba do podoby řízení spolehlivosti železničního provozu
– tedy minimalizaci negativních dopadů z mimořádností v provozu na koncové zákazníky, kvůli kterým tu ostatně celá železnice je (a stále
se bavíme nejen o osobní, ale také o nákladní dopravě).
Takováto „spolehlivostní“ mutace CSM by dotlačila správce infrastruktury ve spolupráci s dopravci k přípravě „krizových scénářů“ pro případy
různé mimořádnosti v provozu s jednoznačným cílem eliminace (často zbytečných) prostojů při sebemenších odchylkách od běžného provozního
stavu.
Má-li totiž soudobá železnice v pomyslném boji o zákazníka obstát a nebýt jen bohatě dotovaným systémem, který nikdo nevyužívá, nemůže si dovolit přešlapy, jako jsou různá několikahodinová
přerušení provozu na páteřních tratích bez možnosti odklonové jízdy, ujeté klíčové přípoje nebo třeba uvíznutí spoje v beznapěťovém úseku, čehož jsem byl přímým účastníkem zrovna nedávno.