Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä toteutettavan merkittävän muutoksen riskinarviointiprosessissa riippumattoman arvioinnin, jonka tarkoitus on tukea suunnitellusta muutoksesta vastaavaa organisaatiota hyväksymään aiottu muutos. Tätä organisaatiota kutsutaan riskienhallinta-asetuksessa ehdottajaksi. Ehdottaja on taho, joka on vastuussa arvioitavana olevan muutoksen toteuttamisesta (rautatieturvallisuusdirektiivin 2004/49/EY 4 artiklan mukaisesti). Ehdottaja voi olla rautatieliikenteen harjoittaja tai infrastruktuurin haltija toteuttaessaan teknistä, toiminnallista tai organisatorista muutosta. Ehdottaja voi olla myös kalustoyksikön käyttöönottoluvan hakija tai hankintayksikkö tai valmistaja, joka pyytää ilmoitettua laitosta soveltamaan EY-tarkastusvakuutusmenettelyä (direktiivin 2008/57/EY 18 artiklan 1 kohdan mukaan). Päävastuu riskienhallintaprosessista on ehdottajalla, mutta tarvittaessa sen tulee sopimusjärjestelyin taata, että muut sopimusosapuolet, esimerkiksi alihankkijat, osallistuvat osaltaan riskienhallintaprosessiin. Esimerkki. Kun kaupunki tai kunta toteuttaa muutosta, rataverkonhaltija vastaa rautatiejärjestelmään kohdistuvien riskien hallinnasta ja toimii siten ehdottajana. Organisaation, joka suunnittelee teknistä, toiminnallista tai organisatorista muutosta, tulee aina noudattaa riskienhallinta-asetusta ja laatia riskienhallintatoimenpiteenä alustava järjestelmänmäärittely. Alustavassa järjestelmänmäärittelyssä dokumentoidaan ne asiat muutoksen kohteesta ja tavoitetilasta, jotka tässä vaiheessa ovat tiedossa. Tällaisia ovat mm. järjestelmän aiottu käyttötarkoitus, toiminnot, rajapinnat, ympäristö ja olemassa olevat turvallisuustoimenpiteet. Järjestelmänmäärittelyn perusteella tehdään asiantuntija-arvio muutoksen merkittävyydestä ja dokumentoidaan päätös. Mikäli tässä yhteydessä todetaan rautatiejärjestelmän kannalta merkittävä muutos, jatketaan riskienhallinta-asetuksen mukaisen riskienarviointiprosessin soveltamista ja hankitaan prosessiin myös riippumaton arviointilaitos. Mikäli muutosta ei todeta rautatiejärjestelmän turvallisuuden kannalta merkittäväksi, ehdottaja jatkaa riskienhallintaprosessia omassa turvallisuusjohtamisjärjestelmässään määritellyllä tavalla. Tällöin riippumatonta arviointilaitosta ei tarvita, ellei ehdottajan turvallisuusjohtamisjärjestelmä sitä edellytä. Muutoksen merkittävyyttä on tarkasteltava mm. muutoksen monimutkaisuus, innovatiivisuus ja useiden muutosten aiheuttamat kumulatiiviset vaikutukset huomioiden. Merkittävyyden arvioinnissa huomioitavat vähimmäisseikat on kuvattu riskienhallinta-asetuksessa. Vastuu merkittävyyspäätöksestä on ehdottajalla, joka valitsee haluamansa arviointilaitoksen hankkeeseen tarvittaessa. Merkittävyyspäätöksiä ja niiden perusteluita seuraa Liikenteen turvallisuusvirasto suorittaessaan rautateiden valvontaa. Merkittävyyspäätökset perusteluineen tulee dokumentoida ja arkistoida riippumatta siitä, kumpaan lopputulokseen on tultu. Ehdottajalla ei ole tarvetta erikseen arvioida arviointilaitoksen riippumattomuutta esimerkiksi tilanteessa, jossa sama yritys tekee suunnittelun ja toimii riippumattomana arviointilaitoksena. Samat henkilöt eivät kuitenkaan saa toimia molemmissa rooleissa samassa hankkeessa. Riippumattomuutta valvoo kansallinen akkreditointielin FINAS, joka on tarkastanut arviointilaitoksien riippumattomuuden edellytykset ennen Trafin nimeämisprosessia. FINAS tarkistaa arvioinnin tai akkreditoinnin yhteydessä,
että arviointilaitoksella on olemassa menettelyt tapauskohtaisesti arviointityöhön osallistuvan henkilöstönsä riippumattomuuden varmistamiseen. FINASIN ROOLI Riskienhallinta-asetuksen mukaan riippumattoman arviointilaitoksen tehtävä on tukea aiotun muutoksen hyväksymistä ennen sen käyttöönottoa. Riippumaton arviointilaitos suorittaa arvioinnin riskienhallinta-asetuksen mukaisen riskienarviointiprosessin noudattamisesta. Arviointiin kuuluu riskinarviointiprosessi alkaen järjestelmän määrittelystä ja sisältäen vaarojen tunnistamisen, riskianalyysin ja turvallisuusvaatimusten noudattamisen osoittamisvaiheen. Arviointilaitoksen tehtävä ei ole tarkastaa esim. suunnitteluperusteissa olevia teknisiä vaatimuksia (tai niiden riittävyyttä) vaan sitä, onko ehdottaja arvioinut niistä aiheutuvia riskejä asianmukaisesti. Arviointielimen on arvioitava käyttöönotettua hyväksyttävää riskitasoa koskevaa periaatetta ja sen soveltamista. Arviointilaitos toimii koko hankkeen ajan käyttöönottoluvan myöntämiseen asti ja tarkastelee turvallisuustoimintaa ja riskienarviointia myös esim. rakentamisen aikana. Mikäli jo käyttöön otettuun järjestelmään tehdään uusia muutoksia, muutoksen merkittävyys tulee arvioida ja tarvittaessa riskienhallintaprosessia soveltaa alusta uudelleen. Tällöin muutoksesta vastaava organisaatio voi vapaasti valita uuteen muutosprosessiin riippumattoman arviointilaitoksen hyväksyttyjen laitosten joukosta, huomioiden kuitenkin hankkeen luonteen; arviointilaitoksella tulee olla esimerkiksi muutoksen kohteena olevaan osajärjestelmään liittyvä erityisosaaminen. Arviointilaitoksen osaamisalue ilmenee FINASin laatimasta akkreditointipäätöksestä. Asetuksessa ei varsinaisesti vaadita arviointilaitoksen osallistumista, mutta se on suositeltavaa heti merkittävyyspäätöksen tekemisen jälkeen, sillä riippumattoman arviointilaitoksen antamasta lausunnosta voi olla hyötyä ennen riskienarviointiprosessin seuraaviin vaiheisiin siirtymistä, mikäli arviointilaitos antaa ehdottajalle väliraportteja hankkeen edetessä. Kun arviointilaitos on mukana hankkeessa mahdollisimman aikaisesta vaiheesta alkaen, tuloksena pitäisi syntyä muutosta tukeva turvallisuuden arviointikertomus, sillä ehdottajalla on mahdollisuus korjata arviointilaitoksen havaitsemat puutteet jo prosessin aikana. Siksi ehdottajan ja arviointilaitoksen kannattaa sopia hankkeen aikana käytävästä dialogista jo yhteistyön alussa. Riskienhallinta-asetuksen mukaisen riippumattoman arvioinnin perusteella arviointilaitos tuottaa turvallisuuden arviointikertomuksen, jonka se toimittaa tilaajalleen eli ehdottajalle. Arviointikertomuksessa arviointilaitos esittää perustellut päätelmät asetuksessa kuvatun riskienarviointimenettelyn noudattamisesta. Arviointilaitos myös esittää päätelmät siitä, täyttääkö arvioitu järjestelmä riskienarviointiprosessin aikana määritellyt turvallisuusvaatimukset. Arviointilaitos ei ota kantaa teknisiin ratkaisuihin, vaan riskienhallintaprosessiin ja määriteltyjen toimenpiteiden riittävyyteen. Ehdottaja arkistoi arviointilaitokselta saamansa turvallisuuden arviointikertomukset omassa turvallisuusjohtamisjärjestelmässään kuvattuja menettelyjä noudattaen. Mikäli aiottu muutos edellyttää turvallisuusviranomaisen myöntämää käyttöönottolupaa, ehdottaja toimittaa turvallisuuden arviointikertomuksen viranomaiselle käyttöönottolupahakemuksen liitteenä.
HUOM. Useisiin hankkeisiin liittyy merkittävyysarvio sekä käyttöönottoluvan että riskienhallintaasetuksen näkökulmasta. Silloin, kun suunniteltu hanke edellyttää Trafilta haettavaa käyttöönottolupaa, on riskienhallinta-asetuksen mukaista riskienhallintaprosessia noudatettava kokonaisuudessaan. Tällöin käyttöönottoluvan näkökulmasta Trafin antama päätös hankkeen merkittävyydestä ohittaa riskienhallinta-asetuksen merkittävyysarvion, joka voidaan ohittaa ja siirtyä suoraan asetuksen riskienhallintaprosessin seuraavaan vaiheeseen. Standardin EN50129 mukainen riippumaton arviointi Myös standardit EN50126, EN50128 ja EN50129 edellyttävät riippumatonta arviointia, joka on kuvattu standardissa EN50129. Riskienhallintaprosessi on kuvattu standardissa EN50126. Standardien mukainen riippumaton arviointi poikkeaa riskienhallinta-asetuksen mukaisesta riippumattomasta arvioinnista; standardit ja arviointi koskevat elektronisia laitteita, järjestelmiä ja ohjelmistoja, kun asetuksen mukainen arviointi kattaa kaikki rautatiejärjestelmään kohdistuvat muutokset arviointityön menemättä kuitenkaan teknisiin yksityiskohtiin. Standardien mukainen riippumaton arviointi on suoritettava silloin, kun jokin hanketta koskeva määräys sitä vaatii. Tällaisia määräyksiä ovat mm. CCS-YTE ja Trafin turvalaitemääräys. Standardien ja riskienhallinta-asetuksen mukaiset riippumattomat arvioinnit ovat erillisiä arviointimenettelyjä. Toteutettavan hankkeen luonteesta riippuen saatetaan tarvita molempia tai vaan jompaakumpaa. Standardin mukaisessa riippumattomassa arvioinnissa arviointilaitoksen tehtäviin kuuluu standardissa kuvatun riskienhallintaprosessin noudattamisen tarkastelu ja suunnittelun ja toteuttamisen tarkastelu. Arviointilaitos kertoo päätelmät siitä, täyttääkö toteutusprosessi standardien vaatimukset. Arviointilaitos antaa myös lausunnon turvallisuustason (SIL) toteutumisesta. Arviointilaitos tarkastaa hankkeesta laaditun dokumentaation koskien laatujärjestelmää, turvallisuudenhallintaa sekä teknisen ja toiminnallisen turvallisuuden hallintamenettelyjä. Arviointilaitosten erot On tärkeää huomata kahden erityyppisen arviointilaitoksen ero. Jos hankkeessa tarvitaan sekä standardin että asetuksen mukaista riippumatonta arviointia, sen voi suorittaa sama arviointilaitos, mikäli se on Liikenteen turvallisuusviraston nimeämä arviointilaitos, jonka akkreditoinnissa todettu pätevyysalue kattaa sekä asetuksen että standardien mukaisen arviointitoiminnan. Arviointilaitoksella tulee olla myös riittävä erityisosaaminen arvioitavan hankkeen aihepiiristä. Tietyn osa-alueen pätevyys tarkoittaa sitä, että arviointilaitos voi arvioida tietyissä dokumenteissa kuvattuihin menettelyihin kohdistuvien muutosten asetuksen tai standardien mukaisen arvioinnin noudattamisen. Liikenteen turvallisuusvirasto nimeää arviointilaitokset hakemuksesta. Arviointilaitoksen pätevyys määräytyy hakijan toimittaman akkreditointitodistuksen perusteella. Pätevyysalueen muuttuessa uutta nimeämistä ei tarvitse hakea, mutta muutoksesta on ilmoitettava Liikenteen turvallisuusvirastoon. Mikäli ISA -tarkastuslaitoksen EN 17020 -standardissa kuvattu tarkastuslaitostyyppi muuttuu muutoksen yhteydessä, Liikenteen turvallisuusvirasto tekee uuden nimeämispäätöksen tarkastuslaitoksen osalta. Liikenteen turvallisuusviraston
nimeämä ISA -tarkastuslaitos voi toimia nimeämisen jälkeen asetuksen ja/tai standardin mukaisena tarkastuslaitoksena, jos toiminnon kuuluminen akkreditoidun pätevyysalueen piiriin on esitetty pätevyysalueen kuvauksessa. Standardin ja riskienhallinta-asetuksen mukaisten riippumattomien arviointien yksi merkittävä ero on se, että asetuksen mukainen arviointi päättyy järjestelmän käyttöönottoon, mutta standardin mukaiseen arviointiin sisältyy myös järjestelmän käyttö ja ylläpito sekä käytöstä poisto eli arvioitavan järjestelmän koko elinkaari. Lisäksi standardien mukaiseen arviointiin sisältyy myös teknisten dokumenttien tarkastelu, mikä riskienhallinta-asetuksen mukaisessa arvioinnissa on rajattu pois. Liikenteen turvallisuusvirasto nimeää riippumattomat arviointilaitokset joko enintään neljän vuoden määräajaksi tai toistaiseksi FINASin antaman arviointi- tai akkreditointilausunnon perusteella. Akkreditoinnissa varmistetaan arviointilaitoksen riippumattomuus ja pätevyys arviointitehtäviin. Arviointilaitokset voivat suorittaa riippumatonta arviointia niiden osajärjestelmien tai standardien noudattamisesta, joihin arviointilaitoksella on osoitettu pätevyys.
Kysymyksiä ja vastauksia riippumattomasta arvioinnista CSM-riskienhallinta asetuksen mukaan K: Mikä riippumattoman arvioinnin tarkoitus on? V: Tarkoitus on tukea ehdottajaa hyväksymään aiottu muutos. Vastuu muutoksesta on kuitenkin ehdottajalla. Ehdottaja arkistoi arviointilaitokselta saamansa turvallisuuden arviointikertomukset omassa turvallisuusjohtamisjärjestelmässään kuvattuja menettelyjä noudattaen. Mikäli aiottu muutos edellyttää turvallisuusviranomaisen myöntämää käyttöönottolupaa, ehdottaja toimittaa turvallisuuden arviointikertomuksen viranomaiselle käyttöönottolupahakemuksen liitteenä. K: Kuka tekee hankkeessa merkittävyyspäätöksen (riskienhallinta-asetuksen näkökulmasta)? Tarkistaako ISA merkittävyyspäätöksen? V: Merkittävyyspäätöksen tekee aina ehdottaja, ja tämä päätös perusteluineen tulee dokumentoida riippumatta siitä, kumpaan tulokseen on tultu. ISA ei osallistu merkittävyyspäätöksen tekemiseen, eikä arvioi sen oikeellisuutta. Jos hanketta ei ole todettu merkittäväksi ehdottajan toimesta, ISA ei osallistu mitenkään (paitsi jos ehdottajan turvallisuusjohtamisjärjestelmä sitä vaatii). ISA ei tarkasta merkittävyyspäätöstä. ISA tulee ehdottajan pyynnöstä hankkeeseen mukaan vasta merkittävyyspäätöksen tekemisen jälkeen, mikäli ehdottaja on päätellyt hankkeen olevan merkittävä turvallisuuden kannalta. Merkittävyyspäätöksien oikeellisuutta valvoo Trafi suorittaessaan rautateiden valvontaa. K: Tarkastaako CSM-ISA teknisiä vaatimuksia? V: EI. ISAn tehtävänä ei ole tarkastaa esim. suunnitteluperusteissa olevia teknisiä vaatimuksia tai niiden riittävyyttä, vaan sitä, onko riskejä arvioitu ja riskien hallintakeinoja määritelty riittävästi. K: Mitä ISAn tehtäviin kuuluu? V: ISA arvioi hankkeessa CSM riskienhallinta-asetuksen noudattamista ja riskienhallintaprosessin toteutumista asetuksen mukaan. ISA laatii turvallisuuden arviointikertomuksen, jossa se kertoo päätelmät riskienhallintaprosessista. ISA raportoi arviointityöstään asiakkaalleen, ehdottajalle. ISA ei ota kantaa merkittävyyspäätökseen, vaan ISAn työ alkaa merkittävyyspäätöksen jälkeen ja päättyy arviointikertomuksen antamiseen ehdottajalle ennen käyttöönottolupahakemusvaihetta. Asetuksen mukaan CSM ISA arvioi ja antaa lausunnon riskienhallinta-asetuksen soveltamisesta ja turvallisuusvaatimusten täyttämisen osoittamisesta. Nämä turvallisuusvaatimukset ovat riskienhallintaprosessin yhteydessä määritettyjä vaarojen hallitsemiseksi määriteltyjä toimenpiteitä.
K: Onko ISA-pätevyyksiä myönnetty osajärjestelmäkohtaisesti vai oikeuttaako pätevyys automaattisesti koko rautatierakentamisen arvioinnin laajuuteen? V: ISAn pätevyysalueena voi olla yksittäinen osajärjestelmä, kaikki osajärjestelmät tai mitä tahansa siltä väliltä. Turvallisuusjohtamisen pätevyysalueen omaava ISA voi arvioida hankkeita, joissa kyseessä on toiminnallinen tai organisatorinen muutos. ISAn pätevyysalueet tarkastetaan akkreditoinnissa FINASin toimesta. K: Voiko CSM-ISA toimia myös standardi-isana? V: Automaattisesti ei voi, mutta jos se on saanut Trafin myöntämän nimeämisen molempiin rooleihin, silloin voi. K: Milloin riippumatonta arviointia tarvitaan? V: Silloin, kun hankkeelta edellytetään käyttöönottolupaa tai silloin, kun toteutetaan rautatiejärjestelmän turvallisuuteen vaikuttavaa merkittäväksi todettua muutosta. K: Miten riskienhallinta hoidetaan, jos riskienhallinta-asetuksen noudattamista ei vaadita? V: Turvallisuusjohtamisjärjestelmässä kuvatuin menettelyin. Pienetkin riskit tulee hallita jotenkin, mutta siihen käytettävät menettelyt kukin organisaatio määrittelee itse.
Yhteenveto riippumattomasta arvioinnista CSM riskienhallinta-asetuksen (352/2009/EY) mukainen riippumaton arviointi EN50126, EN50128 ja EN50129 standardien mukainen riippumaton arviointi Milloin? Kun suunnitellaan ja toteutetaan asetuksessa tarkoitettua, rautatiejärjestelmän turvallisuuteen vaikuttavaa, merkittävää muutosta (tekninen, toiminnallinen tai organisatorinen muutos) Hankkeessa, joka vaatii Liikenteen turvallisuusvirastolta haettavan käyttöönottoluvan Silloin, kun hanketta koskevat määräykset erityisesti edellyttävät näiden standardien käyttöä Silloin, kun hanke kuuluu CCS-YTE:n (ohjaus, hallinta ja merkinanto) soveltamisalan piiriin Silloin, kun hanke kuuluu Trafin turvalaitemääräyksen soveltamisen piiriin Arviointilaitoksen tehtävät Arviointityö sisältää asetuksenmukaisen riskienhallintaprosessin tarkastelun järjestelmän määrittelystä käyttöönottoon asti. Esittää perustellun päätelmän siitä, täyttääkö arvioitu järjestelmä riskienhallintaprosessissa määritellyt turvallisuusvaatimukset ja onko riskienhallintaprosessia sovellettu asianmukaisesti. Tuottaa turvallisuuden arviointikertomuksen ja toimittaa sen tilaajalle, joka on asetuksessa mainittu ehdottaja. Arviointityö sisältää standardin mukaisen riskienhallintaprosessin tarkastelun, joka kattaa järjestelmän elinkaaren ( suunnittelu ja toteutus ja vaatimustenmukaisuuden varmistaminen). Standardien mukaisen Safety Casen arviointi sisältäen laadunhallinnan, turvallisuudenhallinnan ja teknisen ja toiminnallisen turvallisuuden varmistamisen menettelyjen toteutumisen. Tuottaa turvallisuuden arviointikertomuksen, joka liitetään hankkeesta laadittuun Safety Caseen. Arviointilaitokset eivät tarkasta arvioitavan kohteen teknistä vaatimustenmukaisuutta, vaan asetuksen tai standardin menettelyjen mukaisuuden. Arviointikertomuksen sisältö Arviointilaitokselle asetetut vaatimukset Päätelmät asetuksessa kuvatun riskienhallintaprosessin noudattamisesta Päätelmät siitä, onko arvioitu järjestelmä riskienhallintaprosessissa määriteltyjen turvallisuusvaatimusten mukainen ja onko riskienhallintaprosessia sovellettu asianmukaisesti Arviointilaitoksen suositukset Riippumattomuus (osoitetaan FINASin akkreditoinnilla tai arvioinnilla) Pätevyys arvioitavasta osa-alueesta (osoitetaan akkreditoinnilla) ja riskienhallinnasta Vastuuvakuutus Lausunto standardinmukaisen turvallisuustason (SIL) toteutumisesta. Päätelmät siitä, täyttääkö toteutusprosessi standardien vaatimukset Riippumattomuus Pätevyys arvioitavasta osa-alueesta ja riskienhallinnasta Vastuuvakuutus