Title of the paper (14pt - YTEC 2015

Transkript

České vysoké učení technické v Praze
Fakulta dopravní - Horská
30. září 2015
Praha, Česká republika
Řízení bezpečnostních rizik kritických objektů železniční infrastruktury
Safety risk management of critical facilities of railway infrastructure
Tomáš Kertisi
Abstract: Railway infrastructure provides common services needed for ensuring the main functions of
modern state. The infrastructure is classified as critical because it influences safety and human
security, mainly in emergency situations. Facilities of the infrastructure are threatened by internal and
external undesirable events called disasters. They lead to malfunctions of the objects with various
impacts. The risk is a value of expected disaster impacts onto protected assets of the facility and also
onto protected assets of its surrounding; it means appropriate areas or even a state. It appears the risk
management is cornerstone to ensuring the safe environment, areas and a state. The paper deals with
risks of critical infrastructure facilities that seriously affected the facility safety. The risks have
integral nature, because they also involve interdependences and flows among systems. Ongoing
practice introduces modern approach based on All-Hazard-Approach, Defence-In-Depth with five
levels of risk management for mitigating the integral risks. Aim of the work is application of the
modern approaches onto objects of railway infrastructure and identification of common risks. The
article submits a plan for risk management of critical infrastructure facilities directed to facility
safety. The work is mainly focused on railway systems but it involves also interdependences among
concurrent and superordinate systems.
Keywords: human security, safety management, risk management, critical infrastructure, system of
systems, railway system
1. Úvod
Předložená práce řeší bezpečnostní rizika kritických objektů železniční infrastruktury jakožto
infrastruktury kritické. Cílem je sestavit obecný plán řízení rizik s respektováním moderních
metod k zajištění bezpečnosti. Pro snížení kritičnosti objektů kritických infrastruktur se
zavádí pětistupňový model řízení bezpečnosti a All-Hazard-Approach, tj. přístup ke
zvažování všech možných nebezpečí. Implementace uvedených přístupů v praxi vyžaduje
sestavení patřičných bezpečnostních plánů a plánů řízení rizik. Článek uvádí příklad zavedení
zmíněných metod v oblastí řízení bezpečnostních rizik v drážním prostředí na konkrétní
zvolený objekt.
2. Objekty kritické infrastruktury a jejich bezpečnost
Kritická infrastruktura je z hlediska Směrnice rady 2008/114/ES [1] definována jako:
„Prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro
zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo
dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by
mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí“. Dle zdroje [2] lze
jinými slovy kritickou infrastrukturu definovat jako systémy různé povahy (technické,
i
Ing. Tomáš Kertis, ČVUT Fakulta dopravní, [email protected]
1
30. září 2015
organizační, kybernetické, územní, vzdělávací atd.), které mohou mít vliv na fungování
ekonomiky, státu a na zvládání nouzových a kritických situací.
Objektem neboli prvkem kritické infrastruktury se dle krizového zákona [3] rozumí stavba,
zařízení, prostředek nebo veřejná infrastruktura, určená podle průřezových a odvětvových
kritérií. Z hlediska drážního systému je vhodné za objekt kritické infrastruktury považovat
například nádraží, stanice metra, významné mosty či tunely, technologická zařízení
a informační, materiálové, energetické toky v systémech a to podle metodiky určení
kritičnosti objektů dle zdroje [2].
V reálném světě nastávají jevy, nebezpečné události zvané pohromy, které mohou ovlivnit
nejen správnou funkci prvku kritické infrastruktury, ale taktéž mohou ohrozit zdraví a
majetek lidí. Ochrana zdraví a majetku lidí je předním zájmem základní funkce státu
zakotvené v Ústavě České republiky. Každou pohromu lze ve vybraném území klasifikovat
na základě četnosti výskytu dané pohromy a dopadů na chráněná aktiva včetně objektů
kritické infrastruktury na velikost území. Podle kategorie pohromy se provádí příslušná
opatření [4, 5].
Pro zajištění bezpečnosti je nutné volit proaktivní přístupy konkrétním řízení bezpečnosti,
které zabraňují vybraným rizikům, anebo alespoň zmírňují jejich dopady při výskytu
nouzových situací, připravují plány odezvy na pohromu, plány obnovy po pohromě a zajišťují
průběžný monitoring. Aby se zajistila bezpečnost celého území, v našem případě České
republiky, je zapotřebí zavést tzv. vrcholové řízení bezpečnosti založené na principu
integrálního rizika a All-Hazards-Approach , tj. přístup zvažování všech možných ohrožení,
který má za úkol zajistit zvládnutí dopadů na veškeré relevantní pohromy [5, 6].
Vrcholové řízení bezpečnosti je základním kamenem řízení a spočívá na identifikaci a
analýzy rizik mezi různými oborovými odvětvími. Analýza a řízení rizik počínaje v nejvyšší
vrstvě na úrovni celého státu umožní identifikovat prioritní rizika a chráněná aktiva státu
včetně kritičnosti objektů kritické infrastruktury. Výstupem řízení bezpečnosti vyšší vrstvy
může sloužit jako vstup pro řízení bezpečnosti na nižších úrovních, tj. konkrétního území,
kritické infrastruktury a vybrané kritické objekty [5].
Kritické technologické objekty či objekty kritické infrastruktury analyzované v popsaných
vyšších vrstvách řízení bezpečnosti musí splňovat určitá kritéria a požadavky bezpečnosti.
Uvedené požadavky zajistí vyšší bezpečnost objektů samotných a také bezpečnost okolí a
vazeb mezi okolními systémy. Řízení bezpečnosti objektů, které nebyly identifikované jako
kritické, je zajištěno obecnými nebo oborovými předpisy (stavební zákon, systémy jakosti,
drážní normy a předpisy, jiné oborové normy a podobně) [5].
3. Pětistupňový model řízení bezpečnosti technologického objektu KI
Objekt kritické infrastruktury lze definovat jako součást systému systémů (dále jen SoS). SoS
se dle zdroje [2] skládá z několika systémů různé povahy a různého umístění, které jsou
vzájemně provázané k tomu, aby zajistily jisté operace a činnosti. Provázanost mezi systémy
(interdependence) si vynucuje přístup řízení integrálního rizika s respektováním i průřezových
dílčích rizik způsobenými vazbami a toky mezi různými prvky a systémy SoS a okolím.
Řízení bezpečnosti SoS se tímto nezaměřuje pouze na bezpečnost daného systému, ale snaží
se hledat řešení jak pro bezpečný systém, tak i pro bezpečné okolí [5].
V moderním pojetí řízení bezpečnosti se pro složité technologické objekty (SoS) používá
dvou principů, a to All-Hazards-Approach [6] a „obrana do hloubky“ (Defence-In-Depth)
2
30. září 2015
[11]. Pro zajištění obrany do hloubky (Defence-In-Depth) zavádíme pětistupňový model
řízení bezpečnosti technologického objektu (viz obrázek 1) [5, 11, 12].
Při rozlišení míry bezpečnosti objektů a infrastruktur se dle zdroje [11] používá bezpečnostní
charakteristika, kde má objekt jednostupňovou nebo až pětistupňovou ochranu do hloubky,
jak je znázorněno na obrázku 1. Jednotlivé systémy řízení bezpečnosti zajišťují aplikaci
technických, provozních a organizačních opatření a činnosti, které jsou navrženy tak, aby buď
zabránily iniciaci řetězce škodlivých jevů, anebo ho zastavily [5]. Zdroj [11] uvádí principy
možných opatření pro jednotlivé vrstvy.
Obr. 1 Pětistupňový model řízení bezpečnosti technologického objektu [11]
4. Aplikace moderních přístupů řízení bezpečnosti v praxi
Na vybraném kritickém objektu železniční infrastruktury jsme na základě podrobného šetření
při zvážení současné legislativy a současné praxe v řízení bezpečnosti kritických objektů na
drahách identifikovali následující nedostatky [8, 12]:
- není řádně zavedeno vrcholové řízení založené na proaktivním přístupu a na integrálním
riziku,
- chybí mezioborová komunikace a vazba mezi jednotlivými vrstvami řízení bezpečnosti,
- požadavky na bezpečnost nejsou řešeny komplexně; nemusí být identifikována všechna
rizika,
- neřeší se otázka selhání lidského faktoru,
- ve všech vrstvách řízení bezpečnosti chybí aplikace konceptu All-Hazard-Approach,
- absence konceptu Defence-In-Depth pro kritické položky ve sledované síti,
- přístup k bezpečnosti a zabezpečení je v české i evropské legislativě pojat odděleně
a neřeší vzájemné závislosti, které mohou ovlivnit bezpečnost,
- drážní předpisy a normy dosud dostatečně neřeší zabezpečení všech drážních zařízení,
- neuvažují se vazby a toky přes hranice systému a za hranicemi systému.
Pro eliminaci uvedených nedostatků je nezbytné v praxi zavádět opatření založená na výše
uvedených principech v různých vrstvách řízení. Nutná opatření jsou implementovaná
v obecném plánu řízení bezpečnostních rizik znázorněného na obrázku 2.
Obrázek 2 popisuje propojení vrstev vrcholového řízení bezpečnosti s nižšími vrstvami řízení
bezpečnosti konkrétních objektů kritické infrastruktury. Kritická infrastruktura musí být
identifikována na základě hodnocení integrálního rizika a přístupu All-Hazard-Approach
3
30. září 2015
s využitím mezioborové komunikace, zkušeností z minulosti, tj. informací ze zavedeného
monitoringu. Vybraný objekt KI využívá tří až pětistupňového modelu řízení bezpečnosti
podle určené kritičnosti z vyšší vrstvy. Zajištění bezpečnosti objektu kritické infrastruktury,
musí být zachyceno v bezpečnostním plánu. Bezpečnostní plán je přímo závislý na
pětistupňovém modelu (Defence-In-Depth) a All-Hazard-Appoach [8].
Legenda:
informační tok
posloupnost procesů
vazba závislostí (závisí na…)
povinná opatření
opatření volitelná dle kritičnosti objektu
použité metody a techniky
Obr. 2 Obecný plán řízení bezpečnostních rizik [8]
5. Konkrétní plán řízení rizik a identifikace základních rizik
Plán řízení bezpečnostních rizik vybraného objektu na drahách se musí zabývat jednotlivými
vrstvami řízení bezpečnosti, tj. i riziky plynoucími ze vzájemných souvislostí mezi vrstvami,
závislostmi mezi konceptem zajišťujícím bezpečnost a konceptem zajišťujícím jen
zabezpečení objektu, závislostmi mezi vnitřními subsystémy a vnějším okolím. Konkrétní
plán řízení rizik vybraného drážního objektu je vypracován formou tabulky (tabulka 1), která
uvádí relevantní oblasti rizik, popis rizik, jejich pravděpodobnosti výskytu, jejich dopady a
návrh možných opatření na zmírnění rizika. Tímto tabulka identifikuje společná rizika.
Informace v tabulce jsme získali analýzou vybraného drážního objektu, v našem případě
vybrané stanice pražského metra [8].
Protože lidský faktor je významným činitelem, a to zvláště jako příčina organizačních havárií,
které působí špatná rozhodnutí či špatná řízení) [13], soustředili jsme se dále na oblast řízení
(systém SMS). Předmětnou tabulku je nutné v rámci životního cyklu daného objektu
pravidelně aktualizovat, bezpečnostní rizika vyhodnocovat a doplňovat vhodná opatření na
jejich zmírnění [8].
4
30. září 2015
Popis rizika
Pravděpodobnost výskytu
a dopady rizika
Slabiny v zabezpečení
vůči vnějším vlivům.
Pravděpodobnost: střední
Dopady: mírné až vysoké
Opatření na zmírnění rizika
Poruchy v procesech,
lidská chyba.
Pravděpodobnost: velmi
vysoká; Dopady: vysoké
Omezené zdroje
Pravděpodobnost: nízká
Dopady: střední
Bezpečnostní plán založený na integrálním
riziku, All-Hazard-Approach a Defence-inDepth.
Systém řízení kvality ISO 9001 [14], IRIS
[15], zavedení alespoň SIL 0 na všechny
E/E/PE, nezávislá kontrola a audit.
[15], zavedení alespoň SIL 0 na všechny
E/E/PE, nezávislá kontrola a audit.
[15], školení, přezkoušení, cvičení,
potvrzovací funkce E/E/PE [16], zavedení
zpětných vazeb.
Projektový management, systém řízení
kvality ISO 9001 [14], IRIS [15].
Pravděpodobnost: vysoká;
Dopady: střední
Analýza závislostí, hledání kompromisů
dle projektu SESAMO [17].
Dopady: vysoké
EN 50126 [18], nezávislé posouzení,
monitoring a mezioborová komunikace.
Dopady: vysoké
EN 50126 [18], nezávislé posouzení,
monitoring a mezioborová komunikace.
Dopady: vysoké
EN 50126 [18], jasná definice rolí,
projektové řízení, systém řízení kvality
ISO 9001 [14], nezávislé hodnocení.
Dopady: velmi vysoké
Monitoring a mezioborová komunikace,
jednotná terminologie.
Dopady: vysoké
Vytváření záloh a redundantních systémů.
Dopady: vysoké
Monitoring a mezioborová komunikace.
Monitoring a mezioborová komunikace.
jednotná terminologie.
Pravděpodobnost: vysoké;
Dopady: vysoké
jednotná terminologie, vzdělávání,
kompetence.
Výskyt vnitřních
náhodných poruch
systému.
Výskyt vnitřních
systémových poruch
zařízení.
Vzájemné vlivy
požadavků na
bezpečnost a
zabezpečení
Chybná nebo
nedostatečná
identifikace
ovlivňujících činitelů.
Chybná práce s riziky,
volba metody, definice
stupnic, ohodnocení
rizik.
Odpovědnosti,
kompetence,
nezávislost a důvěrnost
řešitelských subjektů.
Přenos chybných a
matoucích informací,
tj. chyby na vstupu
nebo na výstupu
systémů.
Přerušení informačních
a materiálových toků.
Vykonávání navzájem
se ovlivňujících
funkcí.
Poruchy okolních
systémů a realizace
relevantních pohrom.
Chybná metodika
identifikace nebezpečí
a analýzy rizik z
vyšších úrovní SMS.
Neporozumění
požadavkům a
informacím z jiné
vrstvy SMS.
Vazby mezi
jednotlivými
vrstvami systému
řízení bezpečnosti
Vzájemné vazby a toky
s vedlejšími a nadřazenými
systémy
Oblast
rizika
Poruchy м
jednotlivých vrstvách
SMS
Tab. 1 Tabulka bezpečnostních rizik SMS objektu KI [8]
Pravděpodobnost: nízká dle
SIL; Dopady: vysoké
Pravděpodobnost: nízká dle
SIL; Dopady: vysoké
5
30. září 2015
Jiné nepředvídatelné
události
a lidský faktor
Přenos poruchových
stavů v případě jejich
výskytů z jedné vrstvy
do druhé.
Chybějící vstupní
informace.
Vnější faktory
Dopady: střední
Přiměřená nezávislost vrstev, fyzické
oddělení, diverzitní sběr informací.
Pravděpodobnost: vysoké;
Dopady: střední
Vrcholové řízení bezpečnosti, zdělávání,
výzkum.
Vnitřní faktory
Dopady: vysoké
Úmyslná poškození
Zabezpečení, monitoring, připravenost.
[15], školení, přezkoušení, cvičení,
kompetence, zabezpečení dle ISA 99 [19],
CC [20].
Požadavky na zabezpečení ISA 99 [19],
CC [20], monitoring.
Výše uvedená tabulka rizik zachycuje několik základních skupin rizik, se kterými je v rámci
SMS objektů kritické infrastruktury potřeba pracovat.
Předmětem práce není popisovat a vyhodnocovat uvedená rizika, ale ukázat plán pro jejich
zvládnutí, který je tabulkou 1 reprezentován. Výzkum předmětné oblasti musí dále
pokračovat, aby se zlepšilo řízení bezpečnosti po celou dobu životnosti technického díla [8].
6. Závěr
Detailní studium kritických infrastruktur a konkrétních objektů železničního systému
identifikuje mnoho nedostatků v bezpečnosti. Proto je nezbytné zavádět moderní metody
popsané v práci, tj. práce s integrálním rizikem, All-Hazard-Approach a Defence-In-Depth.
Obecný model bezpečnostních rizik přináší řadu opatření založených na předmětných
přístupech k zajištění bezpečnosti. Budoucí výzkum se musí zaměřit na bezpečnostní rizika
plynoucí ze vzájemných vazeb mezi systémy a jednotlivými vrstvami systému řízení
bezpečnosti tak, jak je znázorněno tabulkou rizik reprezentující konkrétní plán pro řízení rizik
vybraného kritického objektu železniční infrastruktury.
Literatura
[1]
[2]
[3]
[4]
[5]
ČR. Směrnice rady 2008/114/ES ze dne 8. prosince 2008, o určování a označování evropských
kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu. Brusel: Úřední věstník
Evropské unie, 2008. Dostupné z: http://eur-lex.europa.eu/LexUriServ/
LexUriServ.do?uri=OJ:L:2008:345:0075:0082:CS:PDF
PROCHÁZKOVÁ, Dana. Bezpečnost kritické infrastruktury. Praha: České vysoké učení
technické v Praze, 2012. ISBN 978-80-01-05103-0.
ČR. Zákon č. 240/2000, o krizovém řízení a o změně některých zákonů (krizový zákon).
Sbírka zákonů 2000. 2000. Dostupné z: http://www.zakonyprolidi.cz/cs/2000-240
PROCHÁZKOVÁ, Dana. Metodika stanovení závažných živelných a jiných pohrom pro
potřeby veřejné správy. Fire Safety 2004. Ostrava: VŠB - Technická univerzita Ostrava,
Fakulta bezpečnostního inženýrství, 2004. ISBN 80-86634-43-4.
KERTIS, Tomáš. Snížení kritičnosti objektů kritické infrastruktury v drážním prostředí
[online]. Regionální rozvoj mezi teorií a praxí 2015 – v tisku. ISSN 1805-3246. Dostupné z:
http://www.regionalnirozvoj.eu/
6
30. září 2015
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
FEMA. Guide for All-Hazard Emergency Operations Planning. 1996. Dostupné z:
http://www.fema.gov/pdf/plan/slg101.pdf
PROCHÁZKOVÁ, Dana. Analýza a řízení rizik. V Praze: České vysoké učení technické,
2011, 405 s. ISBN 978-80-01-04841-2.
KERTIS, Tomáš. Bezpečnostní plán vybrané stanice pražského metra. Diplomová práce,
Praha 2015.
PROCHÁZKOVÁ, Dana. Krizové řízení pro technické obory. V Praze: České vysoké učení
technické, 2013, 303 s. ISBN 978-80-01-05292-1.
PROCHÁZKOVÁ, Dana. Fire Safety 2004: Metodika stanovení závažných živelných
a jiných pohrom pro potřeby veřejné správy. Ostrava: VŠB - Technická univerzita Ostrava,
Fakulta bezpečnostního inženýrství, 2004. ISBN 80-86634-43-4.
PROCHÁZKOVÁ, Dana. Ochrana lidí před dopady nebezpečných látek implementovaná v
konceptu řízení integrální bezpečnosti technologických objektů a infrastruktur. (ISBN: 97880-7385-158-3, ISSN 1803-7372. Ochrana obyvatelstva - Nebezpečné látky 2015. Ostrava:
SPBI 2015, pp 138-143).
KERTIS, Tomas; PROCHÁZKOVÁ, Dana, "Reduce of criticality of critical infrastructure
facilities in the railway domain," Smart Cities Symposium Prague (SCSP), 2015 , vol., no.,
pp.1,4, 24-25 June 2015
PROCHÁZKOVÁ, Dana. Safety of Complex Technological Facilities. ISBN 978-3-65955964-2, Saarbtuecken: Lambert Academic Publishing. 2015, 171 p.
ČR. ČSN EN ISO 9001:2009 (01 0321). Systémy managementu kvality – Požadavky. Praha:
ÚNMZ, 2009.
IRIS Rev. 02.1. International Railway Industry Standard. Belgium: UNIFE, 2012. Dostupné z:
http://www.iris-rail.org/
ČR. ČSN EN 61508-1 ed. 2 (180301). Funkční bezpečnost elektrických/elektronických/
programovatelných elektronických systémů souvisejících s bezpečností – Část 1: Všeobecné
požadavky. Praha: ÚNMZ, 2005.
ARTEMIS Joint Undertaking. Integrated Design and Evaluation Methodology. In: SESAMO:
Security and Safety Modelling [online]. 2014 [cit. 2015-03-26]. Dostupné z: http://sesamoproject.eu/sites/default/files/downloads/publications/integrated-design-and-evaluationcommunication-material.pdf
ČR. ČSN EN 50126-1 (333502). Drážní zařízení - Stanovení a prokázání bezporuchovosti,
pohotovosti, udržovatelnosti a bezpečnosti (RAMS): Část 1: Základní požadavky a generický
proces. Praha: Český normalizační institut, 2001.
ANSI/ISA–62443-1-1 (99.01.01)-2007. Security for Industrial Automation and Control
Systems: Terminology, Concepts, and Models. EU: ISA, 2007.
ČR. ČSN ISO/IEC 15408-1 (36 9789). Informační technologie - Bezpečnostní techniky Kritéria pro hodnocení bezpečnosti IT: Část 1: Úvod a všeobecný model. Praha: ČNI, 2001.
Zkrácené recenzní řízení provedl: doc. Ing. Michal Micka, CSc.
7

Title of the paper (14pt - YTEC 2015

Transkript

Podobné dokumenty

CAFIN startuje svoji činnost

Standardní Microsoft Dynamics AX – BOX řešení

Oznámení o zahájení řízení a pozvánka k ústnímu řízení, č