Sie sind auf Seite 1von 40

EUROCONTROLs Vorgehensweise bei

Sicherheitsbewertungen (Safety Cases)


Dr Bernd Tiemeyer
EUROCONTROL, Manager CND/CoE Safety & ATM Security
Kolloquium Flugfhrung Aviation Safety 26. Januar 2010

The European Organisation for the Safety of Air Navigation

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

EUROCONTROL: Zielsetzung

1960: nahtloses pan-europisches ATM System

1997: EUROCONTROL Mission

To harmonise and integrate Air Navigation Services in Europe, aiming at the


creation of a uniform Air Traffic Management System for civil and military
users, in order to achieve the safe, orderly, expeditious and economic
flow of traffic throughout Europe. (Article 1 of the revised Convention)

Heute: Aufbau des Single European Sky

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

EURCONTROL: Mitgliedsstaaten

IS

FI

RU

SE

NO

Eurocontrol (38 +
European Community)
ECAC (44)

EE

DK

EU (27)

XX

LV
LT

IE

BY

KZ

GB
PL

NL
BE

UA

DE
CZ

LU
FR

SK
AT

CH

SI HR
BA

SM
IT
PT

MD

HU

GE

RO

AM
SR

BG

CG

MK

ES

AZ

IR
TR

AL
GR
CY
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
MT
DZ
TN
(SafetyMA
Cases)

IQ

SY

EUROCONTROL: Aufbau

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

EUROCONTROL: Kernaufgaben

Cooperative Network Design


SESAR Contribution
Network Development
SES Implementation & Support to Regulation

Pan-European Functions
Flow Management
Route Charges
Aeronautical Database

Performance Review
Safety Regulation
Regional ATC Service Provision

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

Vision:
Hochleistungsfhiges ATM in 2020

Verdreifachung der Kapazitt


Verbesserung der Sicherheit mit Faktor 10
Verringerung des Umwelteinflusses um 10%
Verringerung der ATM Kosten um 50%

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

A Lesson Learnt
Primarily the Safety Case is a matter of ensuring that
every company produces a formal safety assessment to
assure itself that its operations are safe.
Only secondarily is it a matter of demonstrating this to
a regulatory body. That said, such a demonstration both
meets a legitimate expectation of the workforce and the
public and provides a sound basis for regulatory control.

(Abridged extract from The Public Inquiry into the Piper Alpha Disaster)
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

10

Die Fragen:

Wird das ATM System hinreichende Funktionalitt &


Leistungsfhigkeit haben, um Sicherheitsrisiken zu minimieren?

Wird es, unter allen normalen Betriebsbedingungen, denen es


wahrscheinlich ausgesetzt sein wird, wie geplant funktionieren?

Was passiert unter anormalen Betriebsbedingungen?

Was passiert beim Auftreten von Fehlern im ATM System?

Sind die Sicherheitsanforderungen realistisch kann das


System entsprechend entwickelt werden?

Knnen wir den Antworten auf diese Fragen vertrauen?

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

11

Was ist ein Safety Case?


Safety Case

Argument

Prozess

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

Nachweis

Erstellung

12

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

13

A paradigm shift for ATC


Past

Today

Future

A320

ProceduralControl

RadarControl

TrajectoryManagement

Estimate thecurrent
andplanned
a/cpositions

Know thecurrentand
estimate planneda/c
positions

Know&share thecurrent
&planneda/cpositions

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

14

Regulativer Hintergrund (Quelle: DFS)


VO (EG) 1315/2007

ESARR 1
Safety Oversight in ATM

Sicherheitsaufsicht im Bereich
des Flugverkehrsmanagements

ESARR 2

RICHTLINIE 2003/42/EG

Reporting and Assessment of


Safety Occurrences in ATM

ber die Meldung von


Ereignissen in der Zivilluftfahrt

ESARR 3

Richtlinie 94/56/EG

Use of Safety Management Systems


(SMS) by ATM Service Providers

Grundstze fr die Untersuchung von


Unfllen und Strungen in der Zivilluftfahrt

ESARR 4

VO (EG) 2096/2005

Risk Assessment
and Mitigation in ATM

Anforderungen bezglich der


Erbringung von Flugsicherungsdiensten

ESARR 5
ATM Services' Personnel

technisches
Personal
ATCOs

ESARR 6
EUROCONTROL's
Vorgehensweise
Software in ATM
systemsbei Sicherheitsbewertungen
(Safety Cases)

RICHTLINIE 2006/23/EG
ber eine gemeinschaftliche
Fluglotsenlizenz

VO (EG) 482/2008
Einrichtung eines Systems zur
Gewhrleistung der Software-Sicherheit
15

Warum ein Safety Case?


SES CR 2096/2005 and ESARR 3: [] the service provider
has a responsibility to ensure that all relevant safety issues have been
satisfactorily dealt with and to provide assurance that this has been done.

Annex II to SES CR 2096/2005: The results, associated


rationales and evidence of the risk assessment and mitigation processes,
including hazard identification, shall be collated and documented in a manner
which ensures that:

complete arguments are established to demonstrate that the constituent


part under consideration, as well as the overall ATM functional system are,
and will remain tolerably safe by meeting allocated safety objectives and
requirements. This shall include, as appropriate, specifications of any
predictive, monitoring or survey techniques being used,

all safety requirements related to the implementation of a change are


traceable to the intended operations / functions.

551/2004: FAB shall be supported by a Safety Case


EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

16

Wie sicher muss das System sein?


ATM 2000+ Strategy - risk of an accident not to increase [with
time] and preferably decrease [despite the continuing increase in traffic
levels]

SES CR 2096/2005 & ESARR4 - quantification of the above


ATM 2000+ safety objective, in relation to the design of new ATM
systems / changes to existing systems

SES CR 2096/2005 and ESARR 3 place a general


obligation on ANSPs to reduce risk as far as reasonably practicable
[AFARP]

SES CR 2096/2005 and ESARR 4 also state that: As a


necessary complement to the demonstration that these quantitative
objectives are met, additional safety management considerations shall
be applied so that more safety is added to the ATM system whenever
reasonable
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

17

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

18

Scoping & Change Assmt Safety Plan


Program Manager
(Pillar)

Project Manager
(CoE)

TRIGGER
Program Plan
Execution

Project
Activities

Commissioning

Scoping &
Change
Assessment

Stakeholder
Review

Safety Plan

CoE Safety

Interface / Actors

Support/
Development

Review

SRC

Safety Case
Production

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

19

Safety Plan Safety Case


Program Manager
(Pillar)

Project Manager
(CoE)

CoE Safety

Stakeholder
Contribution

Safety Case
Production

Support/
Development

Stakeholder
Review

Safety Case

Independent
Review

Interface / Actors

Quality
Unit

Process Rev./
Quality Ass.
Reviewed
Safety Case
Signed
Safety Case

Review

SRC

Agreed
Safety Case
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

20

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

21

Ein System Ist es sicher?

Operational Environment

System

Service

Hazards
What we dont
want system to do
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

22

Ein System Ist es sicher?


What we WANT
system to do

Operational Environment

Hazards

System

Service

Preexisting

Hazards
Systemgenerated
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

What we DONT
want system to do
23

Car Airbag Risk Graph


Minimumachievable
Risk
RM

Risk with
Airbag
RA

Tolerable
Risk
RT

What we want
the airbag to do

Risk without
Airbag
RU

~ Functionality &
Performance
~ 1 / Integrity
What we dont want
the system to do

Airbag contribution to driver safety

0
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

Risk R
24

Main ATM
Functions

Providence

Collision Avoidance

Separation Provision

Pre-existing
Pre-existing
Hazards
Hazards

Strategic Conflict Mgt

ICAO Global ATM Concept / Barrier Model

Accident

System
System-generated
generated
Hazards
Hazards
Safety
Nets

People, equipment and


procedures
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

25

Global ATM Risk Graph


Acceptable
Risk

Pre-existing
Risk

Strategic
Conflict Mgt
Separation
Provision

RU
RU

Collision
Avoidance
RU

Providence
RA
0

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

Risk R26

Sicherheitsanforderungen
(Safety Requirements)

Safety Requirements fr ATM werden formuliert, um:


den Beitrag zur Sicherheit im Luftverkehr zu maximieren und
den Beitrag zum Unfallrisiko zu minimieren

Safety Requirements beschreiben daher:


Funktionalitt & Leistungsfhigkeit
Zuverlssigkeit

Broader approach = success plus failure approach

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

27

Broader Approach

Ansatz bei erfolgreichem Systembetrieb (Success approach):


Nachweis: ATM System ist in annehmbarem Umfang sicher
(accetably safe), wenn keine Ausflle auftreten
Betrachtet den ATM Beitrag zur Sicherheit im Luftverkehr
Definiert die Functional Safety Requirements

Ansatz bei Systemausfall (Failure approach):


Nachweis: ATM System ist, unter Bercksichtigung mglicher
Ausflle, noch in annehmbaren Umfang sicher
Betrachtet den ATM Beitrag zum Unfallrisiko
Definiert die Safety Integrity Requirements

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

28

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

29

Safety Arguments in GSN


Arg 0
<<Claim that
something is safe>>

Cr001
<<Safe is defined by
Safety Targets>>

A0001

<<Strategy to explain the


rationale for decomposing
Arg 0>>

<<Assumptions to be
declared and validated
in the Safety Case>>

C001
Applies to
<<Operational
Environment>>

J0001
<<Justification for the
subject of the Claim>>

Arg 1

Arg 2

Arg 3

Arg 4

<<Argument that
<A> is true>>

<<Argument that
<B> is true>>

<<Argument that
<C> is true>>

<<Argument that
<D> is true>>

[tbd]

[tbd]

[tbd]

Ev001
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

<<Evidence that
Arg 3 is
valid>>

30

Common Framework
Cr001
Acceptably safe is
defined by the Safety
Targets see Arg 1.1

C001
Applies to the Operational
Environment described in
[tbd]

Arg 0
[Subject X]
Operations will be
acceptably safe.

A0001

J0001

Assumptions as per
section [tbd] of the
Safety Case

Arg 1
[Subject X] ATM
system has been
specified to be
acceptably safe
Part 2

Justification as per
Section [tbd] of the
Safety Case

Argue on basis of a safe


Specification and Logical
Design, full Implementation
of that design, safe
Transition into service and
Safety Monitoring for whole
operational service life

Arg 2

Arg 3

[Subject X] ATM
system has been
designed to be
acceptably safe

[Subject X]
ATM system
Design has been
implemented
completely &
correctly

Part 2

[tbd]
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

Arg 4
Transition from
current state to
full [Subject X]
ATM system
will be
acceptably safe
[tbd]

Arg 5
[Subject X]
ATM system will
be shown to
operate acceptably
safely throughout
its service
[tbd]
31

Lower-level Safety Arguments

Arg 3
Arg 4

Operation &
Maintenance

Arg 5

Arg 5

V1
V2
V3
Arg 0

Transfer into
Operation

Arg 4

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

Implementation &
Integration

Arg 3

SSA

Design & Validation


(High-level)
Evidence

Arg 0

PSSA

Definition

Arg 2

Arg 2

FHA

V0

Arg 1

Arg 1

Argument-driven Lifecycle Activities

V4

V5

V6

32

V7

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

33

2009

8.33 kHz below FL195


A380 Wake Vortex Encounter Risk
Approach with Vertical Guidance (Baro/SBAS)
GBAS CAT I Final Approach
LINK 2000+
Optimised Operations in Low Visibility Conditions
Time-Based Separation
SESAR
Mandates for Implementing Rules

~40
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

34

ADS-B in Non-Radar Areas (NRA)


Radar-hnlicher Betrieb mit ADS-B
Staffellung mit Radar-Standard
i.e. 5 nm oder 3 nm
ADS-B Gesamtsystem
muss zuverlssig sein
Wre dies 100% gegeben,
stellt sich dennoch die Frage
Ist ADS-B sicher genug, um eine
Staffelung von 3-5 nm zu untersttzen?
Risiko: Implementierung eines absolut zuverlssigen
aber unsicheren ADS-B Systems
EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen
(Safety Cases)

35

ADS-B NRA : Safety Case

EASA
AMC 20-24

ADS-B-NRA
Standardisation
(EUROCAE/RTCA)

Certified Aircraft

(Airborne)
Operational
Approval

ADS-B-NRA PSC
(Preliminary
Safety Case)

Ground infrastructure deployment

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

(Local) Safety
Case

Operational
Approval

36

Key Input to Regulatory Bodies

Preliminary
Safety Case

Local
Safety Case

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

SRC
Safety
Regulatory
Review

National
Regulatory
Approval

37

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

38

Herausforderungen

Bestimmung der Safety Criteria (absolut / relativ)

Akzeptanz durch Zulassungsbehrde (Akzeptanzkriterien)

Quantifizierung der Komponente Mensch (human-centred


system)

Projekte als Partner, Safety eingebettet in Projektaktivitten


whrend des Lebenszyklus

Operational concept nutzbar fr Sicherheitsbewertung

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

39

bersicht

Einfhrung
Was ist eine Sicherheitsbewertung (Safety Case)?
Sicherheitsbewertungen bei EUROCONTROL: Warum?
Wie wird eine systematische Durchfhrung erreicht?
Was sind die Grundberlegungen einer Sicherheitsbewertung?
Wie wird die Argumentationskette eines Sicherheitsnachweises
aufgebaut?
Gibt es Beispiele?
Welche Schwierigkeiten knnen auftreten?
Schlussbemerkungen

EUROCONTROL's Vorgehensweise bei Sicherheitsbewertungen


(Safety Cases)

40