Risikoanalyse nach Sektorleitlinie – Bahntechnik sicher bewerten

Sicherheit beginnt mit System: Risikoanalysen nach Sektorleitlinie praxisnah erklärt 

Stellwerke, Bahnübergänge, Energieanlagen – im Bahnbetrieb entscheidet Sicherheit über alles. Doch Sicherheit entsteht nicht durch Zufall, sondern durch strukturierte Risikoanalysen. Die sogenannte Sektorleitlinie wurde vom Eisenbahn-Bundesamt (EBA) gemeinsam mit der Industrie und dem VDB entwickelt. Sie beschreibt, wie Zulassungen von streckenseitigen Systemen erfolgen können – und legt dabei fest, dass eine Risikobetrachtung durchzuführen ist, um den sicherheitstechnischen Status eines Systems zu bestimmen. 

CSM-RA vs. Sektorleitlinie: Was regelt was? 

Die Common Safety Method for Risk Evaluation and Assessment (CSM-RA) ist ein auf europäischer Ebene harmonisiertes Verfahren zur Bewertung sicherheitsrelevanter Änderungen, geregelt durch die Verordnung (EU) Nr. 402/2013. Sie gibt kein festes Set an Risiken vor, sondern beschreibt Methoden zur systematischen Bewertung – beispielsweise anhand bestehender Regelwerke, durch Vergleich mit einem Referenzsystem oder mittels expliziter Risikoabschätzung (Ermittlung einer tolerierbaren Fehlerrate). Die CSM-RA legt also fest, wie Risiken methodisch zu bewerten sind. 

Die Sektorleitlinie beschreibt das konkrete Vorgehen zur Zulassung streckenseitiger Systeme im deutschen Bahnbereich. Sie ist als technische Mitteilung kein rechtlich bindendes Dokument wie z. B. die VV-BAU-STE, wird aber mittlerweile in der Praxis als anerkannte Regel der Technik angewendet. Sie dient als Leitfaden für Betreiber und Hersteller, wie Produkte normgerecht und zulassungsfähig auf den deutschen Markt gebracht werden können. 

Ein zentrales Element der Sektorleitlinie ist die Risikobetrachtung, mit der Systeme in eine von drei Kategorien eingeordnet werden: 

1. Nicht sicherheitsrelevant 
2. Mit Sicherheitsbezug (Basisintegrität) 
3. Sicherheitsrelevant (SIL1 bis SIL4) 

Die Risikoanalyse ist dabei Teil dieses Bewertungsprozesses: Sie dient dazu, Art und Umfang der Risiken nachvollziehbar zu erfassen – zum Beispiel mithilfe expliziter Risikoabschätzungen oder Vergleich mit Referenzsystemen. 

Wird ein System als sicherheitsrelevant eingestuft, ist eine detaillierte Sicherheitsnachweisführung notwendig, inklusive Ermittlung einer tolerierbaren Fehlerrate (z. B. THR/TFFR) – analog zu den methodischen Ansätzen der CSM-RA.  

Insofern ist die Sektorleitlinie ein praxisnaher, national abgestimmter Weg zur Umsetzung von Sicherheitsanforderungen, der die Optionen der CSM-RA integriert und in den deutschen Zulassungsprozess überträgt „nicht sicherheitsrelevant“, „mit Sicherheitsbezug“ oder „sicherheitsrelevant“ dient. 

Risikoanalyse beginnt mit dem System – und endet nicht bei der Inbetriebnahme 

Die Risikoanalyse ist kein statisches Dokument, sondern ein iterativer Prozess entlang des Lebenszyklus: 

• Planung: Was ist das Zielsystem? Welche Betriebsmodi sind zu erwarten? 

• Entwicklung & Herstellung: Welche Risiken entstehen aus Technik, Logik oder Schnittstellen? 

• Betrieb: Wie wirken Verschleiß, Umwelteinflüsse, Betriebsverfahren? 

• Stilllegung: Welche Restrisiken bestehen beim Abbau? 

🔍 ALARP-Prinzip: Risiken müssen so weit reduziert werden, wie es unter vertretbarem Aufwand möglich ist (as low as reasonably practicable). Technisches Redesign, organisatorische Maßnahmen oder Schulungen sind typische Mittel zur Reduktion. 

Praxisbeispiel: Gefährdungsworkshop als Startpunkt 

Ein typischer Einstieg in die Gefährdungsanalyse ist der moderierte Gefährdungsworkshop – häufig in Form einer HAZOP (Hazard and Operability Study). Hier kommen Fachleute aus verschiedenen Bereichen zusammen, darunter: 

• Betrieb 
• Instandhaltung 
• Engineering 
• IT-Sicherheit 

Ein erfahrener Safety-Experte oder -Expertin moderiert anhand vorbereiteter Fehlerannahmen und führt durch strukturierte Fragen, etwa: 

• Was passiert, wenn ein Relais dauerhaft anzieht? 

• Könnte ein Cyberangriff zu einem weniger restriktiven Signalbild führen? 

• Welche kritischen Ereignisse oder regulatorischen Änderungen müssen berücksichtigt werden? 

Je nach Projektphase und Anwendungsfall kommen auch andere Analyseverfahren zum Einsatz, wie z. B. FMEA (Failure Mode and Effects Analysis) oder FMECA/FMEdA bei der Produktentwicklung. 

Ziel: Die strukturierte Identifikation und Bewertung potenzieller Gefährdungen. 

Ergebnis: Ein nachvollziehbar dokumentierter Hazard Log mit Bewertungen nach Schwere und Eintrittswahrscheinlichkeit – typischerweise visualisiert in einer 5x5-Risikomatrix. Die Gefährdungsanalyse des Herstellers ist dabei nicht zu verwechseln mit der Risikoanalyse des Betreibers, bei der THR-/TFFR-Werte für Funktionen abgeleitet und eingehalten werden müssen. 

Signifikante Änderungen: Wann ist eine vollständige Risikoanalyse Pflicht? 

Ein zentraler Begriff der CSM-RA ist die „signifikante Änderung“.  Doch was genau bedeutet das – und wann ist eine vollständige Risikoanalyse durchzuführen? 

 Die Sektorleitlinie selbst definiert keine Signifikanz im Sinne der CSM-RA, greift das Thema aber auf: Jede Änderung muss zunächst hinsichtlich ihrer sicherheitstechnischen Relevanz eingestuft werden. Ziel ist es zu bewerten, ob das System als nicht sicherheitsrelevant, mit Sicherheitsbezug oder sicherheitsrelevant gilt. 

Beispiele: 

• Neue Softwarefunktion mit sicherheitsrelevanter Auswirkung → sicherheitsrelevant 

• Austausch eines Sensors gegen ein baugleiches Modell → nicht sicherheitsrelevant, wenn das Risikoverhalten gleich bleibt 

In allen Fällen gilt: Sobald ein sicherheitsrelevantes System geplant, angepasst oder eingeführt wird, ist eine strukturierte Risikoanalyse erforderlich – inklusive Ableitung einer tolerierbaren Fehlerrate (THR/TFFR). Dies entspricht der Verpflichtung des Betreibers, mögliche Risiken für den Betrieb systematisch zu identifizieren und zu bewerten (gemäß EN 50126 / CSM-RA). 

Im Unterschied dazu steht die Gefährdungsanalyse auf Herstellerebene, in der das Design des Systems gegen diese Anforderungen abgesichert wird – z. B. durch HAZOP oder FMEA. Ziel: Nachweis, dass das System alle vorgegebenen THR/TFFR-Werte einhält und keine zusätzlichen, nicht erkannte Gefährdungen birgt. 

Nutzen Sie strukturierte  Fragenkataloge oder Entscheidungsbäume, um die Relevanz einer Änderung oder Funktion sauber zu bewerten – auch bei schleichenden Entwicklungen oder funktionalen Erweiterungen. 

 Tipp: Für einen vollständigen und prüffähigen Sicherheitsnachweis nach EN 5012x sollten alle sicherheitsrelevanten Entscheidungen – inklusive ihrer Begründung – nachvollziehbar dokumentiert werden. Dazu gehören u. a. Safety-Analysen, das Hazard Log sowie die Sicherheitsnachweise. 

ICS unterstützt Sie dabei mit methodischer Erfahrung, Workshop-basierten Bewertungen und klaren Entscheidungsgrundlagen – egal ob neue Zulassung oder Änderungsprojekt. 

Safety trifft Security – zwei Perspektiven, ein Ziel 

Moderne Bahntechnik ist vernetzt – damit steigen auch die Angriffsflächen. Die Grenze zwischen Safety und Security verschwimmt. Beides muss gemeinsam gedacht und bewertet werden. 

Typische Bedrohungen: 

• Manipulation von Sensordaten 
• Fernzugriff auf Stellwerkstechnik 
• Schadcode in embedded Komponenten 

In der Praxis bedeutet das: 

• Sicherheitsrisiken aus IT-Bedrohungen müssen mit bewertet werden 
• Zielkonflikte vermeiden: z. B. hohe Verfügbarkeit vs. restriktiver Zugang 
• „Security by Design“ wird zum Muss 

Neue Normen wie EN 50716 und Weiterentwicklungen der CENELEC-Reihe machen deutlich: Safety & Security verschmelzen – auch regulatorisch. 

Dokumentation & Nachvollziehbarkeit – was Behörden erwarten 

Ein sicherheitsgerichtetes System muss auch nachvollziehbar sicher sein. Das bedeutet: 

Typische Unterlagen: 

• Systembeschreibung 
• Gefährdungs- und Risikoanalyse (GRA) 
• Traceability-Matrix 
• Sicherheitsnachweis 
• Entscheidung zur Sicherheitsrelevanz 

Werkzeuge & Prozesse: 

• DMS und PLM-Systeme zur Versionierung 
• Änderungsdienste und Konfigurationsmanagement 

Wer hier sorgfältig arbeitet, erleichtert sich selbst die Zulassung – und schafft Vertrauen bei Gutachtern und Behörden. 

Ausblick: Digitalisierung verändert Risikoanalysen 

Ob ETCS, cloudbasierte Leittechnik oder KI-gestützte Diagnose – moderne Bahnsysteme bringen neue Chancen, aber auch neue Risiken. 

Gleichzeitig entstehen neue Werkzeuge: 

• Digitale Zwillinge zur Simulation von Fehlerzuständen 
• Automatisierte Prüfläufe 
• Frühwarnsysteme basierend auf KI 

Ziel ist ein noch robusteres Risikomanagement. Parallel wachsen Bestrebungen zur europaweiten Anerkennung von Bewertungen – ein Vorteil für international tätige Akteure. 

Fazit: Sicherheit beginnt mit System – und mit strukturierter Risikoanalyse 

Wer heute in der Bahntechnik Verantwortung trägt, muss Risiken nicht nur erkennen, sondern strukturiert bewerten und dokumentieren. Die Sektorleitlinie liefert dafür ein praxiserprobtes Gerüst. 

ICS begleitet Sie durch alle Phasen – mit interdisziplinären Workshops, methodischer Tiefe und praxisnaher Erfahrung in Safety & Security. 

Sicherheit ist kein Zufall – mit ICS wird Ihre Risikoanalyse nachvollziehbar, prüffähig und zukunftssicher. 

Kurzcheck: Haben Sie an alles gedacht? 

Nutzen Sie diesen Schnelltest, um Ihre eigene Risikoanalyse strukturiert zu reflektieren: 

✅ Ist das betrachtete System vollständig definiert (Grenzen, Betriebsmodi, Schnittstellen)? 

 ✅ Wurden alle relevanten Gefährdungen identifiziert – einschließlich potenzieller Security-Bedrohungen? 

 ✅ Liegt eine nachvollziehbare Bewertung der Risiken (Eintrittswahrscheinlichkeit × Auswirkung) vor? 

 ✅ Wurde geklärt, ob es sich um eine signifikante Änderung handelt – mit entsprechender Dokumentation? 

 ✅ Sind Risiken durch geeignete Maßnahmen hinreichend minimiert? 

 ✅ Ist die gesamte Risikoanalyse prüffähig dokumentiert (z. B. Nachweisführung, Traceability)? 

 ✅ Wird der Lebenszyklus des Systems (inkl. Änderungen) in der Analyse berücksichtigt? 

Sicherheit ist kein Zufall – mit ICS wird Ihre Risikoanalyse nachvollziehbar, prüffähig und fit für die Zukunft. Kontaktieren Sie uns, wenn Sie mehr als nur Compliance wollen. 

FAQ  

Zulassung heißt Vertrauen – und beginnt mit einer klaren Risikoanalyse.

Wir begleiten Sie von der ersten Idee bis zur erfolgreichen Freigabe.

Buchen Sie jetzt eine unverbindliche Erstberatung. Wir freuen uns darauf, Sie zu unterstützen.