om vedtagelse af en fælles sikkerhedsmetode til risikoevaluering og -vurdering som nævnt i artikel 6, stk. 3, litra a), i Europa-Parlamentets og Rådets direktiv 2004/49/EF

under henvisning til Europa-Parlamentets og Rådets direktiv 2004/49/EF af 29. april 2004 om jernbanesikkerhed i EU og om ændring af Rådets direktiv 95/18/EF om udstedelse af licenser til jernbanevirksomheder og direktiv 2001/14/EF om tildeling af jernbaneinfrastrukturkapacitet og opkrævning af afgifter for brug af jernbaneinfrastruktur samt sikkerhedscertificering (jernbanesikkerhedsdirektivet) (1), særlig artikel 6, stk. 1, og

1. Ved denne forordning oprettes en fælles sikkerhedsmetode til risikoevaluering og -vurdering som nævnt i artikel 6, stk. 3, litra a), i direktiv 2004/49/EF.

2. Formålet med den fælles sikkerhedsmetode til risikoevaluering og -vurdering er at bevare eller forbedre sikkerhedsniveauet for Fællesskabets jernbaner, når dette er nødvendigt og praktisk muligt. Den fælles sikkerhedsmetode skal lette markedsadgangen til jernbanetransporttjenester ved at harmonisere:

1. Den fælles sikkerhedsmetode til risikoevaluering og -vurdering anvendes på alle de ændringer af en medlemsstats jernbanesystem, jf. punkt 2, litra d), i bilag III til direktiv 2004/49/EF, som anses for at være væsentlige i henhold til artikel 4 i denne forordning. Ændringerne kan være af teknisk, driftsmæssig eller organisatorisk art. For så vidt angår organisatoriske ændringer tages der kun hensyn til de ændringer, som kunne få indflydelse på driftsvilkårene.

2. Når de væsentlige ændringer vedrører strukturelt definerede delsystemer, som er omfattet af direktiv 2008/57/EF, finder den fælles sikkerhedsmetode til risikoevaluering og -vurdering anvendelse:

Anvendelsen af den fælles sikkerhedsmetode i det tilfælde, der er nævnt i første afsnit, litra b), må dog ikke føre til krav, der strider mod de obligatoriske krav i de relevante TSI'er.

Hvis anvendelsen af den fælles sikkerhedsmetode fører til krav, der strider mod et krav i den relevante TSI, informerer initiativtageren den pågældende medlemsstat, som kan beslutte at anmode om en revision af den pågældende TSI efter artikel 6, stk. 2, eller artikel 7 i direktiv 2008/57/EF eller anmode om en undtagelse efter artikel 9 i samme direktiv.

4. Denne forordning finder ikke anvendelse på systemer og ændringer, der på datoen for denne forordnings ikrafttrædelse er et projekt på et avanceret udviklingstrin, jf. artikel 2, litra t), i direktiv 2008/57/EF.

I denne forordning finder definitionerne i artikel 3 i direktiv 2004/49/EF anvendelse.

1) »risiko«: den relative hyppighed, hvormed ulykker og hændelser medfører skade (forårsaget af en fare) og denne skades alvorsgrad

2) »risikoanalyse«: den systematiske anvendelse af alle tilgængelige oplysninger til at identificere farer og estimere risikoen

3) »risikoevaluering«: den procedure, der med afsæt i risikoanalysen fastslår, om der er opnået en acceptabel risiko

4) »risikovurdering«: den samlede proces, som omfatter en risikoanalyse og en risikoevaluering

6) »risikostyring«: den systematiske anvendelse af forvaltningspolitikker, -procedurer og -praksis med henblik på at analysere og evaluere risici og holde risici under kontrol

7) »grænseflader«: alle interaktionspunkter i løbet af et systems eller et delsystems driftslevetid, herunder drift og vedligeholdelse, hvor forskellige aktører i jernbanesektoren samarbejder om at styre risiciene

8) »aktører«: alle parter, som direkte eller via aftaleforhold deltager i anvendelsen af denne forordning i henhold til artikel 5, stk. 2

9) »sikkerhedskrav«: de nødvendige sikkerhedsegenskaber (kvalitative eller kvantitative) for et system og driften heraf (herunder driftsforskrifter) med henblik på at opfylde lovbestemte eller virksomheders sikkerhedsmål

10) »sikkerhedsforanstaltninger«: en række tiltag, der enten mindsker den relative hyppighed af en fare eller afbøder dens virkninger med henblik på at nå frem til eller bibeholde et acceptabelt risikoniveau

11) »initiativtager«: jernbanevirksomheder eller infrastrukturforvaltere inden for rammerne af de risikokontrolforanstaltninger, de skal gennemføre i henhold til artikel 4 i direktiv 2004/49/EF; ordregivere eller fabrikanter, når de opfordrer et bemyndiget organ til at anvende »EF«-verifikationsproceduren i overensstemmelse med artikel 18, stk. 1, i direktiv 2008/57/EF, eller den, der ansøger om tilladelse til at tage et køretøj i brug

12) »sikkerhedsvurderingsrapport«: et dokument, der indeholder konklusionerne af en vurdering, der er foretaget af et vurderingsorgan, af det vurderede system

14) »vurderingsorgan«: en uafhængig og kompetent person, organisation eller enhed, der foretager efterforskninger med henblik på at nå frem til en dokumenteret afgørelse om et systems egnethed til at opfylde sikkerhedskravene til dette

15) »risikoacceptkriterier«: referencegrundlaget for vurderingen af, hvorvidt en specifik risiko er acceptabel. Disse kriterier benyttes til at fastslå, at risikoniveauet er så lavt, at det er unødvendigt at træffe øjeblikkelige tiltag for at mindske det yderligere

16) »fareredegørelse«: det dokument, hvori der registreres og henvises til kendte farer, foranstaltninger i tilknytning hertil og deres årsager, og hvori der henvises til den organisation, som tager højde for dem

17) »fareidentifikation«: den proces, der består i at afdække, registrere og karakterisere farer

18) »risikoacceptprincip«: de regler, der anvendes for at fastslå, hvorvidt risikoen ved en eller flere specifikke farer er acceptabel

19) »adfærdskodeks«: et skriftligt regelsæt, der, når det følges, kan benyttes til at holde en eller flere specifikke farer under kontrol

20) »referencesystem«: et system, som i praksis har vist sig at have et acceptabelt sikkerhedsniveau, og som kan benyttes til sammenligning af, hvorvidt risikoen er acceptabel i et system, der er taget op til vurdering

21) »risikoestimering«: en proces, som benyttes til at kvantificere niveauet for de risici, der analyseres, og som består af følgende trin: estimering af frekvens, konsekvensanalyse og deres indbyrdes integration

22) »teknisk system«: et produkt eller en helhed af produkter, herunder udformning, implementering og dokumentation. Udviklingen af et teknisk system indledes med kravspecifikationer til dette og afsluttes med en godkendelse af systemet. Selv om udformningen af grænseflader, hvor menneskelig adfærd får betydning, tages i betragtning, inddrages menneskelige operatører og deres handlinger ikke i et teknisk system. Vedligeholdelsesprocessen beskrives i vedligeholdelseshåndbøgerne, men er ikke i sig selv en del af det tekniske system

23) »katastrofale følger«: dødsfald og/eller flere alvorlige kvæstelser og/eller betydelige miljøskader som følge af en ulykke

24) »accept af sikkerhed«: den status, som initiativtageren giver ændringen ud fra vurderingsorganets sikkerhedsvurderingsrapport

26) »meddelt national forskrift«: alle nationale forskrifter, som medlemsstaterne har meddelt i medfør af Rådets direktiv 96/48/EF (4), Europa-Parlamentets og Rådets direktiv 2001/16/EF (5) og direktiv 2004/49/EF samt direktiv 2008/57/EF.

1. Er der ingen meddelte nationale forskrifter, der fastlægger, hvorvidt en ændring er væsentlig eller ej i en medlemsstat, tager initiativtageren stilling til den pågældende ændrings potentielle indflydelse på sikkerheden i jernbanesystemet.

Har den foreslåede ændring ingen indflydelse på sikkerheden, er der ikke behov for at anvende den risikostyringsproces, som er beskrevet i artikel 5.

2. Har den foreslåede ændring indflydelse på sikkerheden, træffer initiativtageren på grundlag af en ekspertvurdering afgørelse om, hvor væsentlig ændringen er ud fra følgende kriterier:

Initiativtageren skal opbevare tilstrækkelig dokumentation til at kunne begrunde sin afgørelse.

3. Initiativtageren sikrer, at der tages højde for de risici, som foranlediges af leverandører, tjenesteudbydere og deres underleverandører. Initiativtageren kan med henblik herpå anmode om, at leverandører, tjenesteudbydere og deres underleverandører deltager i den i bilag I beskrevne risikostyringsproces.

1. En uafhængig vurdering af, hvorvidt den i bilag I beskrevne risikostyringsproces anvendes korrekt, samt af resultaterne af denne anvendelse udføres af et organ, som skal opfylde de i bilag II anførte kriterier. Hvis vurderingsorganet ikke allerede er udpeget i fællesskabslovgivningen eller i national lovgivning, udnævner initiativtageren sit eget vurderingsorgan, der kan være en anden organisation eller en intern afdeling.

2. Dobbeltarbejde skal undgås for så vidt angår den overensstemmelsesvurdering af sikkerhedsledelsessystemet, som kræves i henhold til direktiv 2004/49/EF, den overensstemmelsesvurdering, der udføres af et bemyndiget organ eller et nationalt organ i henhold til direktiv 2008/57/EF, og den sikkerhedsvurdering, der udføres af vurderingsorganet i overensstemmelse med nærværende forordning.

3. Sikkerhedsmyndigheden kan fungere som vurderingsorgan, når de væsentlige ændringer vedrører et af følgende tilfælde:

4. Hvis de væsentlige ændringer vedrører strukturelt definerede delsystemer, hvor der er behov for en tilladelse til ibrugtagning som nævnt i artikel 15, stk. 1, eller artikel 20 i direktiv 2008/57/EF, kan sikkerhedsmyndigheden fungere som vurderingsorgan, medmindre initiativtageren allerede har overdraget denne opgave til et bemyndiget organ i henhold til nævnte direktivs artikel 18, stk. 2.

1. Vurderingsorganet forelægger initiativtageren en sikkerhedsvurderingsrapport.

2. I det i artikel 5, stk. 1, litra a), nævnte tilfælde tager den nationale sikkerhedsmyndighed sikkerhedsvurderingsrapporten i betragtning i forbindelse med afgørelsen om ibrugtagning af delsystemer og køretøjer.

3. I det i artikel 5, stk. 1, litra b), nævnte tilfælde udgør den uafhængige vurdering en del af det bemyndigede organs opgaver, medmindre andet er foreskrevet i TSI.

Er den uafhængige vurdering ikke en del af det bemyndigede organs opgaver, tages sikkerhedsvurderingsrapporten i betragtning af det bemyndigede organ, der har ansvaret for at udstede overensstemmelsesattesten, eller af ordregiveren, der har ansvaret for at udfærdige EF-verifikationserklæringen.

4. Er et system eller et delsystem allerede accepteret som afslutning på den risikostyringsproces, der specificeres i nærværende forordning, må den deraf følgende sikkerhedsvurderingsrapport ikke drages i tvivl af noget andet vurderingsorgan med ansvar for at udføre en ny vurdering af det samme system. Anerkendelsen gives alene, hvis det dokumenteres, at systemet vil blive anvendt på de samme funktionelle, operationelle og miljømæssige betingelser, som det er tilfældet for det allerede accepterede system, og at der er benyttet ækvivalente risikoacceptkriterier.

1. Jernbanevirksomheder og infrastrukturforvaltere lader revisioner af anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering indgå i deres løbende revisionsordning for sikkerhedsledelsessystemet, jf. artikel 9 i direktiv 2004/49/EF.

2. Inden for rammerne af de opgaver, der er opstillet i artikel 16, stk. 2, litra e), i direktiv 2004/49/EF, fører den nationale sikkerhedsmyndighed tilsyn med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering.

1. Hver jernbanevirksomhed og infrastrukturforvalter rapporterer i sin årlige sikkerhedsrapport, jf. artikel 9, stk. 4, i direktiv 2004/49/EF, kortfattet om sine erfaringer med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering. Rapporten skal også indeholde en sammenfatning af afgørelserne om ændringernes væsentlighed.

2. Hver national sikkerhedsmyndighed rapporterer i sin årlige sikkerhedsrapport, jf. artikel 18 i direktiv 2004/49/EF, om initiativtagernes erfaringer med anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering og om egne erfaringer, hvor dette er relevant.

3. Det Europæiske Jernbaneagentur fører tilsyn med og indsamler tilbagemeldinger om anvendelsen af den fælles sikkerhedsmetode til risikoevaluering og -vurdering og — hvor dette er relevant — forelægger Kommissionen anbefalinger af muligheder for at forbedre denne.

4. Det Europæiske Jernbaneagentur forelægger senest den 31. december 2011 Kommissionen en rapport, der skal indeholde:

Sikkerhedsmyndighederne bistår agenturet ved fastlæggelsen af de tilfælde, hvor den fælles sikkerhedsmetode til risikoevaluering og -vurdering er taget i anvendelse.

1. Denne forordning træder i kraft på tyvende dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

BILAG I

1. GENERELLE PRINCIPPER FOR RISIKOSTYRINGSPROCESSEN

1.1. Generelle principper og forpligtelser

1.1.1.

Risikostyringsprocessen i denne forordning tager udgangspunkt i en definition af det vurderede system og omfatter følgende aktiviteter:

a)	risikovurderingsprocessen, hvori der foretages en identifikation af farerne, risiciene, de tilknyttede sikkerhedsforanstaltninger og de deraf følgende sikkerhedskrav, som det vurderede system skal opfylde

b)	påvisning af, at systemet opfylder de fastlagte sikkerhedskrav, og

c)	styring af alle identificerede farer og de tilknyttede sikkerhedsforanstaltninger.

Denne risikostyringsproces er en iterativ proces, og den er afbildet i diagrammet i tillægget. Processen afsluttes, når det er påvist, at systemet opfylder alle sikkerhedskrav, der er nødvendige for at acceptere de risici, der er forbundet med de identificerede farer.

1.1.2.

Denne iterative risikostyringsproces:

a)	skal omfatte egnede kvalitetssikringsaktiviteter og udføres af kompetente medarbejdere

b)	skal vurderes af et eller flere uafhængige vurderingsorganer.

1.1.3.

Initiativtageren med ansvar for den risikostyringsproces, der kræves ifølge denne forordning, udarbejder løbende en fareredegørelse i henhold til afsnit 4.

1.1.4.

De aktører, der allerede har indført risikovurderingsmetoder eller -værktøjer, kan fortsat anvende disse, såfremt de kan forenes med denne forordnings bestemmelser og på følgende betingelser:

a)	risikovurderingsmetoderne eller -værktøjerne beskrives i et sikkerhedsledelsessystem, der er accepteret af en national sikkerhedsmyndighed i henhold til artikel 10, stk. 2, litra a), eller artikel 11, stk. 1, litra a), i direktiv 2004/49/EF eller

b)	risikovurderingsmetoderne eller -værktøjerne er påkrævet i henhold til TSI eller opfylder offentligt tilgængelige anerkendte standarder, der er specificeret i meddelte nationale forskrifter.

1.1.5.

Medmindre andet fremgår af medlemsstaternes retsforskrifter vedrørende civilt erstatningsansvar, har initiativtageren ansvaret for risikovurderingsprocessen. Med de berørte aktørers samtykke træffer initiativtageren bl.a. afgørelse om, hvem der bærer ansvaret for at opfylde de sikkerhedskrav, der følger af risikovurderingen. Denne afgørelse skal afhænge af den type sikkerhedsforanstaltninger, som er valgt med henblik på at holde risiciene på et acceptabelt niveau. Opfyldelsen af sikkerhedskravene påvises i overensstemmelse med afsnit 3.

1.1.6.

I risikostyringsprocessens første fase bør initiativtageren skriftligt dokumentere de forskellige aktørers opgaver og risikostyringsaktiviteter. Initiativtageren koordinerer et tæt samarbejde mellem de forskellige berørte aktører i henhold til deres respektive opgaver med henblik på at håndtere farerne og de tilknyttede sikkerhedsforanstaltninger.

1.1.7.

Det påhviler det uafhængige vurderingsorgan at evaluere, om den i denne forordning beskrevne risikostyringsproces anvendes korrekt.

1.2. Styring af grænseflader

1.2.1.

For hver grænseflade af relevans for det vurderede system og med forbehold af grænsefladespecifikationer, der er defineret i relevante TSI, samarbejder de berørte jernbanesektoraktører om at identificere og i fællesskab håndtere farer og tilknyttede sikkerhedsforanstaltninger, der må tages fat på i disse grænseflader. Initiativtageren koordinerer styringen af delte risici i grænsefladerne.

1.2.2.

Når en aktør ved opfyldelsen af et sikkerhedskrav konstaterer et behov for en sikkerhedsforanstaltning, som aktøren ikke selv kan gennemføre, overdrager aktøren efter aftale med en anden aktør håndteringen af den pågældende fare til sidstnævnte med den i afsnit 4 beskrevne proces.

1.2.3.

For så vidt angår det vurderede system er enhver aktør, der konstaterer, at en sikkerhedsforanstaltning ikke er i overensstemmelse, eller at den er utilstrækkelig, ansvarlig for at meddele dette til initiativtageren, der efterfølgende informerer den aktør, som gennemfører sikkerhedsforanstaltningen.

1.2.4.

Den aktør, der gennemfører sikkerhedsforanstaltningen, informerer derefter alle berørte aktører om problemet enten inden for rammerne af det vurderede system eller — såfremt aktøren har kendskab til dette — inden for andre eksisterende systemer, hvor den samme sikkerhedsforanstaltning benyttes.

1.2.5.

Opstår der uenighed mellem to eller flere aktører, påhviler det initiativtageren at finde en egnet løsning.

1.2.6.

Kan en aktør ikke opfylde et krav i meddelte nationale forskrifter, søger initiativtageren rådgivning hos den relevante kompetente myndighed.

1.2.7.

Uafhængigt af definitionen af det vurderede system bærer initiativtageren ansvaret for at sikre, at risikostyringen omfatter selve systemet og dettes integration i det samlede jernbanesystem.

2. BESKRIVELSE AF RISIKOVURDERINGSPROCESSEN

2.1. Generel beskrivelse

2.1.1.

Risikovurderingsprocessen er den overordnede iterative proces, som omfatter:

a)	systemdefinitionen

b)	risikoanalysen, herunder fareidentifikationen

c)	risikoevalueringen.

Risikovurderingsprocessen skal indgå i et samspil med håndteringen af farer i overensstemmelse med afsnit 4.1.

2.1.2.

Systemdefinitionen bør som minimum tage fat på følgende områder:

a)	en systemmålsætning, f.eks. det tilsigtede formål

b)	systemfunktioner og -elementer, når dette er relevant (herunder eksempelvis menneskelige, tekniske og operationelle elementer)

c)	systemafgrænsning, herunder vekselvirkninger med andre systemer

d)	fysiske (dvs. vekselvirkende systemer) og funktionelle (dvs. funktionelt input og output) grænseflader

e)	systemmiljøet (f.eks. energi- og varmestrømme, stød, vibrationer, elektromagnetisk interferens, operationel anvendelse)

f)	eksisterende sikkerhedsforanstaltninger og, efter en iterativ proces, definition af de sikkerhedskrav, der er identificeret i forbindelse med risikovurderingsprocessen

g)	antagelser med henblik på at afgrænse risikovurderingen.

2.1.3.

En fareidentifikation for det definerede system udføres i henhold til afsnit 2.2.

2.1.4.

Et eller flere af de følgende risikoacceptprincipper benyttes ved evalueringen af, hvorvidt risikoen for det vurderede system er acceptabel:

a)	anvendelse af adfærdskodekser (afsnit 2.3)

b)	sammenligning med tilsvarende systemer (afsnit 2.4)

c)	eksplicit risikoestimering (afsnit 2.5).

I overensstemmelse med det overordnede princip som omhandlet i punkt 1.1.5 afstår vurderingsorganet fra at pålægge initiativtageren at benytte et specifikt risikoacceptprincip.

2.1.5.

Initiativtageren dokumenterer i risikoevalueringen, at det valgte risikoacceptprincip er anvendt hensigtsmæssigt. Initiativtageren kontrollerer desuden, at de valgte risikoacceptprincipper benyttes konsekvent.

2.1.6.

Ved anvendelsen af disse risikoacceptprincipper udpeges mulige sikkerhedsforanstaltninger, der gør risikoen eller risiciene ved det vurderede system acceptabel. Blandt disse sikkerhedsforanstaltninger skal de, som udvælges med henblik på at begrænse risikoen eller risiciene, gøres til sikkerhedskrav, der skal opfyldes af systemet. Dokumentationen af, at disse sikkerhedskrav er overholdt, foretages i overensstemmelse med afsnit 3.

2.1.7.

Den iterative risikovurderingsproces kan anses for at være afsluttet, når det er dokumenteret, at alle sikkerhedskrav er opfyldt, og der ikke skal tages hensyn til yderligere farer, som med rimelighed kan forudses.

2.2. Fareidentifikation

2.2.1.

Initiativtageren identificerer på systematisk vis og med bistand fra et bredtfavnende hold af kompetente eksperter alle farer, der med rimelighed kan forudses for det samlede vurderede system, dettes funktioner, når dette er relevant, og dets grænseflader:

Alle identificerede farer registreres i fareredegørelsen i henhold til afsnit 4.

2.2.2.

For at målrette risikovurderingsindsatsen mod de væsentligste risici skal farerne klassificeres i henhold til den estimerede risiko, de indebærer. På grundlag af en ekspertvurdering skal farer, der indebærer stort set acceptable risici, ikke analyseres yderligere, men registreres i fareredegørelsen. Klassificeringen af disse skal begrundes således, at et vurderingsorgan kan foretage en uafhængig vurdering.

2.2.3.

Risici fra farer kan klassificeres som stort set acceptable ud fra det kriterium, at risikoen skal være så lille, at det ikke er rimeligt at gennemføre yderligere sikkerhedsforanstaltninger. Ekspertvurderingen skal tage i betragtning, at bidraget fra alle de stort set acceptable risici ikke må overstige en fastsat andel af den samlede risiko.

2.2.4.

Sikkerhedsforanstaltninger kan udpeges i forbindelse med fareidentifikationen. De registreres i fareredegørelsen i henhold til afsnit 4.

2.2.5.

Fareidentifikationen udføres kun til det detailniveau, der er nødvendigt for at fastslå, at sikkerhedsforanstaltninger kan forventes at holde risiciene under kontrol i overensstemmelse med et af de risikoacceptprincipper, der er nævnt i punkt 2.1.4. Der kan således være behov for en iterativ proces mellem risikoanalyse- og risikoevalueringsfasen, indtil der er opnået et tilstrækkeligt detailniveau med hensyn til fareidentifikationen.

2.2.6.

Når en adfærdskodeks eller et referencesystem anvendes til at holde risikoen under kontrol, kan fareidentifikationen afgrænses til:

a)	en verifikation af adfærdskodeksens eller referencesystemets relevans

b)	en identifikation af afvigelserne fra adfærdskodeksen eller referencesystemet.

2.3. Anvendelse af adfærdskodekser og risikoevaluering

2.3.1.

Initiativtageren analyserer med støtte fra andre deltagende aktører og på grundlag af kravene i punkt 2.3.2, om en eller flere farer er tilstrækkeligt dækket ind med anvendelsen af en relevant adfærdskodeks.

2.3.2.

Adfærdskodekser skal som minimum opfylde følgende krav. De skal:

a)	være almindeligt anerkendt i jernbanesektoren. Er dette ikke tilfældet, skal adfærdskodekserne begrundes, og vurderingsorganet skal kunne acceptere dem

b)	have relevans for, at de pågældende farer i det vurderede system holdes under kontrol

c)	være offentligt tilgængelige for alle aktører, som ønsker at benytte dem.

2.3.3.

Når der i direktiv 2008/57/EF stilles krav om overensstemmelse med TSI, og den relevante TSI ikke pålægger den risikostyringsproces, der er fastlagt ved denne forordning, kan TSI betragtes som adfærdskodekser med henblik på at holde farer under kontrol under den forudsætning, at kravet i litra c) i punkt 2.3.2 er opfyldt.

2.3.4.

Nationale forskrifter, der er meddelt i overensstemmelse med artikel 8 i direktiv 2004/49/EF, og artikel 17, stk. 3, i direktiv 2008/57/EF, kan betragtes som adfærdskodekser under forudsætning af, at kravene i punkt 2.3.2 er opfyldt.

2.3.5.

Hvis en eller flere farer holdes under kontrol med adfærdskodekser, som opfylder kravene i punkt 2.3.2, anses risiciene ved disse farer for at være acceptable. Dette indebærer følgende:

a)	der ikke er behov for at analysere disse risici yderligere

b)	anvendelsen af adfærdskodekser skal registreres i fareredegørelsen som sikkerhedskrav til de relevante farer.

2.3.6.

I tilfælde af, at en alternativ fremgangsmåde ikke er i fuld overensstemmelse med en adfærdskodeks, skal initiativtageren påvise, at den alternative fremgangsmåde fører til mindst det samme sikkerhedsniveau.

2.3.7.

Kan risikoen ved en særlig fare ikke bringes på et acceptabelt niveau ved anvendelse af adfærdskodekser, skal der identificeres yderligere sikkerhedsforanstaltninger ved at anvende et af de to andre risikoacceptprincipper.

2.3.8.

Når alle farer holdes under kontrol med adfærdskodekser, kan risikostyringsprocessen afgrænses til:

a)	fareidentifikation, jf. afsnit 2.2.6

b)	registrering af anvendelsen af adfærdskodekser i fareredegørelsen, jf. afsnit 2.3.5

c)	dokumentation af anvendelsen af risikostyringsprocessen, jf. afsnit 5

d)	en uafhængig vurdering, jf. artikel 6.

2.4. Anvendelse af et referencesystem og risikoevaluering

2.4.1.

Initiativtageren analyserer med bistand fra andre deltagende aktører, om en eller flere farer er dækket ind ved et tilsvarende system, der kunne benyttes som et referencesystem.

2.4.2.

Et referencesystem skal som minimum opfylde følgende krav:

a)	det skal allerede i praksis have vist sig at have et acceptabelt sikkerhedsniveau, og det skal fortsat kunne godkendes i den medlemsstat, hvor ændringen skal indføres

b)	dets funktioner og grænseflader svarer til det vurderede systems

c)	det anvendes under driftsbetingelser, der svarer til det vurderede systems

d)	det anvendes under miljøforhold, der svarer til det vurderede systems.

2.4.3.

Opfylder et referencesystem kravene i punkt 2.4.2, gælder det for det vurderede system, at:

a)	de risici ved farer, der er dækket ind af referencesystemet, anses for at være acceptable

b)	sikkerhedskravene angående farerne, der er dækket ind af referencesystemet, kan udledes af sikkerhedsanalyser eller af en evaluering af sikkerhedsredegørelser for referencesystemet

c)	disse sikkerhedskrav skal registreres i fareredegørelsen som sikkerhedskrav til de relevante farer.

2.4.4.

Afviger det vurderede system fra referencesystemet, skal det i risikoevalueringen dokumenteres, at det vurderede system opnår mindst det samme sikkerhedsniveau som referencesystemet. De risici ved farer, der er dækket ind af referencesystemet, anses i så tilfælde for at være acceptable.

2.4.5.

Kan det ikke dokumenteres, at der opnås et sikkerhedsniveau svarende til referencesystemets, identificeres der yderligere sikkerhedsforanstaltninger for afvigelserne, idet et af de to øvrige risikoacceptprincipper anvendes.

2.5. Eksplicit risikoestimering og -evaluering

2.5.1.

Når farerne ikke dækkes ind af et af de to risikoacceptprincipper, der er beskrevet i afsnit 2.3 og 2.4, påvises det, at risikoen for det vurderede system er acceptabel, med en eksplicit risikoestimering og -evaluering. Risici, der opstår som følge af disse farer, skal estimeres enten kvantitativt eller kvalitativt under hensyntagen til eksisterende sikkerhedsforanstaltninger.

2.5.2.

Evalueringen af, hvorvidt de estimerede risici er acceptable, foretages ud fra risikoacceptkriterier, som enten udledes af eller bygger på retsforskrifter i enten fællesskabslovgivningen eller i meddelte nationale forskrifter. Afhængig af risikoacceptkriterierne kan evalueringen af, hvorvidt de estimerede risici er acceptable, foretages enten hver for sig for hver tilknyttet fare eller samlet for alle farer under ét, der tages i betragtning i den eksplicitte risikoestimering.

Kan den estimerede risiko ikke accepteres, skal der identificeres og gennemføres yderligere sikkerhedsforanstaltninger for at begrænse risikoen til et acceptabelt niveau.

2.5.3.

Når risikoen ved en fare eller en kombination af flere farer anses for at være acceptabel, registreres de identificerede sikkerhedsforanstaltninger i fareredegørelsen.

2.5.4.

Opstår farer som følge af svigt i tekniske systemer, der ikke er omfattet af adfærdskodekser eller anvendelsen af et referencesystem, finder det følgende risikoacceptkriterium anvendelse i forbindelse med udformningen af det tekniske system:

For tekniske systemer, hvor en funktionsfejl har et troværdigt direkte potentiale for katastrofale følger, skal den tilknyttede risiko ikke begrænses yderligere, hvis den relative fejlhyppighed er mindre end eller lig 10-9 pr. driftstime.

2.5.5.

Medmindre andet fremgår af proceduren i artikel 8 i direktiv 2004/49/EF, kan der på grundlag af en national forskrift opfordres til, at et strengere kriterium benyttes for at opretholde et nationalt sikkerhedsniveau. Drejer det sig imidlertid om supplerende tilladelser til ibrugtagning af køretøjer, finder procedurerne i artikel 23 og 25 i direktiv 2008/57/EF anvendelse.

2.5.6.

Udvikles et teknisk system under anvendelse af 10-9-kriteriet, jf. punkt 2.5.4, gælder princippet om gensidig anerkendelse efter denne forordnings artikel 7, stk. 4.

Kan initiativtageren imidlertid dokumentere, at det nationale sikkerhedsniveau i anvendelsesmedlemsstaten kan opretholdes med en relativ fejlhyppighed, som er højere end 10-9 pr. driftstime, kan initiativtageren benytte dette kriterium i denne medlemsstat.

2.5.7.

Den eksplicitte risikoestimering og -evaluering skal som minimum opfylde følgende krav:

a)	de metoder, der benyttes til eksplicit risikoestimering, skal på korrekt vis afspejle det vurderede system og dettes parametre (herunder alle driftstilstande)

b)	resultaterne skal være tilstrækkeligt nøjagtige til at danne et solidt beslutningsgrundlag, dvs. at mindre ændringer i inddatagrundlaget eller forudsætningerne ikke må medføre væsentlige ændringer af kravene.

3. DOKUMENTATION AF OPFYLDELSEN AF SIKKERHEDSKRAVENE

3.1. Forud for accepten af sikkerheden i forbindelse med ændringen dokumenteres opfyldelsen af sikkerhedskravene, der følger af risikovurderingsfasen, under initiativtagerens tilsyn.

3.2. Denne dokumentation udføres af hver af de aktører, som bærer ansvaret for at opfylde sikkerhedskravene, således som det er besluttet i overensstemmelse med punkt 1.1.5.

3.3. Den fremgangsmåde, som er valgt med henblik på at dokumentere overensstemmelse med sikkerhedskravene, og selve dokumentationen skal underkastes et vurderingsorgans uafhængige vurdering.

3.4. Eventuelle mangler med hensyn til de sikkerhedsforanstaltninger, der forventes at skulle opfylde sikkerhedskravene, eller eventuelle farer, der opdages i forbindelse med dokumentationen af overensstemmelse med sikkerhedskravene, skal føre til, at initiativtageren på ny overvejer og evaluerer de tilknyttede risici i henhold til afsnit 2. De nye farer registreres i fareredegørelsen i henhold til afsnit 4.

4. FAREHÅNDTERING

4.1. Farehåndteringsproces

4.1.1.

En eller flere fareredegørelser skal udarbejdes eller ajourføres (hvis de allerede eksisterer) af initiativtageren i løbet af projekterings- og gennemførelsesfasen, og indtil ændringen er accepteret, eller indtil sikkerhedsvurderingsrapporten er forelagt. Fareredegørelsen skal følge fremskridt angående kontrolovervågning af risici ved de identificerede farer. I henhold til punkt 2, litra g), i bilag III til direktiv 2004/49/EF skal fareredegørelsen, når systemet er accepteret og sat i drift, efterfølgende ajourføres af infrastrukturforvalteren eller jernbanevirksomheden, som bærer ansvaret for driften af det system, der er taget op til vurdering, som en integreret del af dennes sikkerhedsledelsessystem.

4.1.2.

Fareredegørelsen skal indbefatte alle farer sammen med alle relaterede sikkerhedsforanstaltninger og antagelser vedrørende systemet, som er identificeret i forbindelse med risikovurderingsprocessen. Den skal navnlig indeholde en klar henvisning til oprindelsen og de udvalgte risikoacceptprincipper samt en klar udpegning af den eller de aktører, der er ansvarlige for at holde hver fare under kontrol.

4.2. Udveksling af oplysninger

Alle farer og tilknyttede sikkerhedskrav, der ikke kan holdes under kontrol af en enkelt aktør, skal meddeles til andre relevante aktører for i fællesskab at finde en egnet løsning. De farer, der er registreret i fareredegørelsen af den aktør, som overdrager dem, skal kun »holdes under kontrol«, når den anden aktør har foretaget evalueringen af de risici, som er tilknyttet disse farer, og alle berørte parter er enige om løsningen.

5. DOKUMENTATION FRA ANVENDELSEN AF RISIKOSTYRINGSPROCESSEN

5.1. Initiativtageren dokumenterer den risikostyringsproces, der benyttes til at vurdere sikkerhedsniveauer og opfyldelsen af sikkerhedskrav, således at et vurderingsorgan har adgang til den samlede nødvendige dokumentation for, at risikostyringsprocessen er anvendt korrekt. Vurderingsorganet opstiller sine konklusioner i en sikkerhedsvurderingsrapport.

5.2. Det dokument, som initiativtageren udarbejder efter punkt 5.1, skal som minimum indeholde:

a)	en beskrivelse af den organisation og de eksperter, der er udpeget til at udføre risikovurderingsprocessen

b)	resultaterne af risikovurderingens forskellige faser og en liste over alle de nødvendige sikkerhedskrav, som må opfyldes for at holde risikoen på et acceptabelt niveau.

Tillæg

Risikostyringsprocessen og den uafhængige vurdering