Stellwerke, Bahnübergänge, Energieanlagen – im Bahnbetrieb entscheidet Sicherheit über alles. Doch Sicherheit entsteht nicht durch Zufall, sondern durch strukturierte Risikoanalysen. Die sogenannte Sektorleitlinie wurde vom Eisenbahn-Bundesamt (EBA) gemeinsam mit der Industrie und dem VDB entwickelt. Sie beschreibt, wie Zulassungen von streckenseitigen Systemen erfolgen können – und legt dabei fest, dass eine Risikobetrachtung durchzuführen ist, um den sicherheitstechnischen Status eines Systems zu bestimmen.
Die Common Safety Method for Risk Evaluation and Assessment (CSM-RA) ist ein auf europäischer Ebene harmonisiertes Verfahren zur Bewertung sicherheitsrelevanter Änderungen, geregelt durch die Verordnung (EU) Nr. 402/2013. Sie gibt kein festes Set an Risiken vor, sondern beschreibt Methoden zur systematischen Bewertung – beispielsweise anhand bestehender Regelwerke, durch Vergleich mit einem Referenzsystem oder mittels expliziter Risikoabschätzung (Ermittlung einer tolerierbaren Fehlerrate). Die CSM-RA legt also fest, wie Risiken methodisch zu bewerten sind.
Die Sektorleitlinie beschreibt das konkrete Vorgehen zur Zulassung streckenseitiger Systeme im deutschen Bahnbereich. Sie ist als technische Mitteilung kein rechtlich bindendes Dokument wie z. B. die VV-BAU-STE, wird aber mittlerweile in der Praxis als anerkannte Regel der Technik angewendet. Sie dient als Leitfaden für Betreiber und Hersteller, wie Produkte normgerecht und zulassungsfähig auf den deutschen Markt gebracht werden können.
Ein zentrales Element der Sektorleitlinie ist die Risikobetrachtung, mit der Systeme in eine von drei Kategorien eingeordnet werden:
Die Risikoanalyse ist dabei Teil dieses Bewertungsprozesses: Sie dient dazu, Art und Umfang der Risiken nachvollziehbar zu erfassen – zum Beispiel mithilfe expliziter Risikoabschätzungen oder Vergleich mit Referenzsystemen.
Wird ein System als sicherheitsrelevant eingestuft, ist eine detaillierte Sicherheitsnachweisführung notwendig, inklusive Ermittlung einer tolerierbaren Fehlerrate (z. B. THR/TFFR) – analog zu den methodischen Ansätzen der CSM-RA.
Insofern ist die Sektorleitlinie ein praxisnaher, national abgestimmter Weg zur Umsetzung von Sicherheitsanforderungen, der die Optionen der CSM-RA integriert und in den deutschen Zulassungsprozess überträgt „nicht sicherheitsrelevant“, „mit Sicherheitsbezug“ oder „sicherheitsrelevant“ dient.
Die Risikoanalyse ist kein statisches Dokument, sondern ein iterativer Prozess entlang des Lebenszyklus:
🔍 ALARP-Prinzip: Risiken müssen so weit reduziert werden, wie es unter vertretbarem Aufwand möglich ist (as low as reasonably practicable). Technisches Redesign, organisatorische Maßnahmen oder Schulungen sind typische Mittel zur Reduktion.
Ein typischer Einstieg in die Gefährdungsanalyse ist der moderierte Gefährdungsworkshop – häufig in Form einer HAZOP (Hazard and Operability Study). Hier kommen Fachleute aus verschiedenen Bereichen zusammen, darunter:
Ein erfahrener Safety-Experte oder -Expertin moderiert anhand vorbereiteter Fehlerannahmen und führt durch strukturierte Fragen, etwa:
Je nach Projektphase und Anwendungsfall kommen auch andere Analyseverfahren zum Einsatz, wie z. B. FMEA (Failure Mode and Effects Analysis) oder FMECA/FMEdA bei der Produktentwicklung.
Ziel: Die strukturierte Identifikation und Bewertung potenzieller Gefährdungen.
Ergebnis: Ein nachvollziehbar dokumentierter Hazard Log mit Bewertungen nach Schwere und Eintrittswahrscheinlichkeit – typischerweise visualisiert in einer 5x5-Risikomatrix. Die Gefährdungsanalyse des Herstellers ist dabei nicht zu verwechseln mit der Risikoanalyse des Betreibers, bei der THR-/TFFR-Werte für Funktionen abgeleitet und eingehalten werden müssen.
Ein zentraler Begriff der CSM-RA ist die „signifikante Änderung“. Doch was genau bedeutet das – und wann ist eine vollständige Risikoanalyse durchzuführen?
Die Sektorleitlinie selbst definiert keine Signifikanz im Sinne der CSM-RA, greift das Thema aber auf: Jede Änderung muss zunächst hinsichtlich ihrer sicherheitstechnischen Relevanz eingestuft werden. Ziel ist es zu bewerten, ob das System als nicht sicherheitsrelevant, mit Sicherheitsbezug oder sicherheitsrelevant gilt.
Beispiele:
In allen Fällen gilt: Sobald ein sicherheitsrelevantes System geplant, angepasst oder eingeführt wird, ist eine strukturierte Risikoanalyse erforderlich – inklusive Ableitung einer tolerierbaren Fehlerrate (THR/TFFR). Dies entspricht der Verpflichtung des Betreibers, mögliche Risiken für den Betrieb systematisch zu identifizieren und zu bewerten (gemäß EN 50126 / CSM-RA).
Im Unterschied dazu steht die Gefährdungsanalyse auf Herstellerebene, in der das Design des Systems gegen diese Anforderungen abgesichert wird – z. B. durch HAZOP oder FMEA. Ziel: Nachweis, dass das System alle vorgegebenen THR/TFFR-Werte einhält und keine zusätzlichen, nicht erkannte Gefährdungen birgt.
Nutzen Sie strukturierte Fragenkataloge oder Entscheidungsbäume, um die Relevanz einer Änderung oder Funktion sauber zu bewerten – auch bei schleichenden Entwicklungen oder funktionalen Erweiterungen.
Tipp: Für einen vollständigen und prüffähigen Sicherheitsnachweis nach EN 5012x sollten alle sicherheitsrelevanten Entscheidungen – inklusive ihrer Begründung – nachvollziehbar dokumentiert werden. Dazu gehören u. a. Safety-Analysen, das Hazard Log sowie die Sicherheitsnachweise.
ICS unterstützt Sie dabei mit methodischer Erfahrung, Workshop-basierten Bewertungen und klaren Entscheidungsgrundlagen – egal ob neue Zulassung oder Änderungsprojekt.
Moderne Bahntechnik ist vernetzt – damit steigen auch die Angriffsflächen. Die Grenze zwischen Safety und Security verschwimmt. Beides muss gemeinsam gedacht und bewertet werden.
Typische Bedrohungen:
In der Praxis bedeutet das:
Neue Normen wie EN 50716 und Weiterentwicklungen der CENELEC-Reihe machen deutlich: Safety & Security verschmelzen – auch regulatorisch.
Ein sicherheitsgerichtetes System muss auch nachvollziehbar sicher sein. Das bedeutet:
Typische Unterlagen:
Werkzeuge & Prozesse:
Wer hier sorgfältig arbeitet, erleichtert sich selbst die Zulassung – und schafft Vertrauen bei Gutachtern und Behörden.
Ob ETCS, cloudbasierte Leittechnik oder KI-gestützte Diagnose – moderne Bahnsysteme bringen neue Chancen, aber auch neue Risiken.
Gleichzeitig entstehen neue Werkzeuge:
Ziel ist ein noch robusteres Risikomanagement. Parallel wachsen Bestrebungen zur europaweiten Anerkennung von Bewertungen – ein Vorteil für international tätige Akteure.
Wer heute in der Bahntechnik Verantwortung trägt, muss Risiken nicht nur erkennen, sondern strukturiert bewerten und dokumentieren. Die Sektorleitlinie liefert dafür ein praxiserprobtes Gerüst.
ICS begleitet Sie durch alle Phasen – mit interdisziplinären Workshops, methodischer Tiefe und praxisnaher Erfahrung in Safety & Security.
Sicherheit ist kein Zufall – mit ICS wird Ihre Risikoanalyse nachvollziehbar, prüffähig und zukunftssicher.
Nutzen Sie diesen Schnelltest, um Ihre eigene Risikoanalyse strukturiert zu reflektieren:
✅ Ist das betrachtete System vollständig definiert (Grenzen, Betriebsmodi, Schnittstellen)?
✅ Wurden alle relevanten Gefährdungen identifiziert – einschließlich potenzieller Security-Bedrohungen?
✅ Liegt eine nachvollziehbare Bewertung der Risiken (Eintrittswahrscheinlichkeit × Auswirkung) vor?
✅ Wurde geklärt, ob es sich um eine signifikante Änderung handelt – mit entsprechender Dokumentation?
✅ Sind Risiken durch geeignete Maßnahmen hinreichend minimiert?
✅ Ist die gesamte Risikoanalyse prüffähig dokumentiert (z. B. Nachweisführung, Traceability)?
✅ Wird der Lebenszyklus des Systems (inkl. Änderungen) in der Analyse berücksichtigt?
Sicherheit ist kein Zufall – mit ICS wird Ihre Risikoanalyse nachvollziehbar, prüffähig und fit für die Zukunft. Kontaktieren Sie uns, wenn Sie mehr als nur Compliance wollen.
Buchen Sie jetzt eine unverbindliche Erstberatung. Wir freuen uns darauf, Sie zu unterstützen.