Forskrift om bruk av system for sikkerhetsvurdering og sikkerhetsoppfølgingsplaner innen flysikringstjenesten (BSL A 1-10)

DatoFOR-2005-09-26-1074
DepartementSamferdselsdepartementet
PublisertI 2005 hefte 12
Ikrafttredelse01.11.2005
Sist endretFOR-2011-06-07-595 fra 01.07.2011
EndrerFOR-2002-12-03-1342, FOR-2003-08-21-1068
Gjelder forNorge
HjemmelLOV-1993-06-11-101-§7-1, LOV-1993-06-11-101-§7-4, LOV-1993-06-11-101-§9-1, FOR-1999-12-10-1273
Kunngjort27.09.2005
KorttittelForskrift om sikkerhetssystemer, BSL A 1-10

Kapitteloversikt:

Hjemmel: Fastsatt av Luftfartstilsynet 26. september 2005 med hjemmel i lov 11. juni 1993 nr. 101 om luftfart (luftfartsloven) § 7-1 tredje ledd, § 7-4 annet ledd og § 9-1, jf. delegeringsvedtak 10. desember 1999 nr. 1273.
Endringer: Endret ved forskrifter 1 feb 2007 nr. 117, 7 juni 2011 nr. 595. 

Til forskriften er knyttet følgende vedlegg som gjelder som del av forskriften:

Vedlegg 1: Tabell A-1 Alvorlighetsgrad og tabell A-2 Sikkerhetsmål.

§ 1.Formål

Formålet med forskriften er å gjennomføre Eurocontrol Safety Regulatory Requirement 4 (ESARR 4) i norsk rett. Forskriften fastsetter krav til sikkerhetsvurdering og risikoreduksjon samt sikkerhetsoppfølgingsplaner ved endringer og anskaffelser innenfor flysikringstjenesten i den hensikt å oppnå et akseptabelt og høyt flysikkerhetsnivå.

0Endret ved forskrift 1 feb 2007 nr. 117.
§ 2.Virkeområde
(1) Forskriften gjelder innenfor norsk område, samt områder hvor Norge i henhold til internasjonale konvensjoner og avtaler er forpliktet til å utøve flysikringstjenester.
(2) Forskriftens § 4 første til tredje ledd, § 5 annet ledd, § 6 tredje ledd, § 7 annet til fjerde ledd, § 8, vedlegg 1 punktene 2, 3 og 4 samt tabellene A-1 og A-2 gis anvendelse for hele flysikringstjenesten, styring av luftrommet (ASM) og trafikkflytledelse (ATFM). Øvrige deler av forskriften gis anvendelse bare for flyværtjenesten, kunngjøringstjenesten, styring av luftrommet (ASM) og trafikkflytledelse (ATFM).
(3) Forskriften omfatter mennesker, prosedyrer og utstyr inklusiv maskin og programvare innen flysikringstjenesten som spesifisert i denne paragrafs annet ledd. Bestemmelsene omfatter planlegging, implementering og alle driftsfaser.
(4) Forskriften gjelder tjenesteleverandør for flysikringstjenester der:
a)sivil tjenesteleverandør yter tjenester til sivil eller militær lufttrafikk og
b)militær tjenesteleverandør yter tjenester til sivil lufttrafikk.
0Endret ved forskrifter 1 feb 2007 nr. 117, 7 juni 2011 nr. 595 (i kraft 1 juli 2011).
§ 3.Definisjoner

I forskriften menes med:

a)Alvorlighet: Omfanget av konsekvenser som farer for flysikkerheten kan lede til.
b)Fare (hazard): En tilstand, hendelse eller omstendighet som kan føre til en ulykke.
c)Flysikringstjeneste (ANS - Air Navigation Services): Felles betegnelse for lufttrafikktjeneste, flynavigasjonstjeneste, flyværtjeneste og kunngjøringstjeneste.
d)Kvalitativ: Et forhold som er beskrevet med ord.
e)Kvantitativ: Et forhold som er beskrevet med tall.
f)Lufttrafikkledelse (ATM - Air Traffic Management): Sammenfatning av de luft- og bakkebaserte funksjoner (lufttrafikktjeneste, luftromsorganisering og trafikkflytledelse) som kreves for å sikre at luftfartøyet kan operere sikkert og effektivt i alle faser av flygingen.
g)Risiko: Uttrykk for den påvirkning som uønskede hendelser representerer på mennesker, miljø eller materielle verdier. Risikoen uttrykkes ved sannsynligheten for/hyppigheten av og konsekvensene av de uønskede hendelsene.
h)Risikoanalyse (risk assessment): En systematisk framgangsmåte for å beskrive og eventuelt beregne risiko. Risikoanalysen utføres ved kartlegging av mulige uønskede hendelser og årsaken til og konsekvensene av disse.
i)Risikoreduserende tiltak (mitigation): Tiltak med sikte på å redusere sannsynlighet for og/eller konsekvens av uønskede hendelser.
j)Sannsynlighet: Uttrykk for hvor ofte en bestemt hendelse kan inntreffe.
k)Sikkerhet (safety): Fravær av uakseptabel risiko.
l)Sikkerhetskrav (safety requirement): Et kompenserende tiltak som settes til de enkelte delelementer, for å oppnå fastsatte sikkerhetsmål.
m)Sikkerhetsmål (safety objective): Et planlagt måltall for høyeste tolererbare hyppighet eller sannsynlighet for at en hendelse av en bestemt alvorlighetsgrad kan inntre.
n)Sikkerhetsnivå (safety level): Et nivå for sikkerhet vurdert i forhold til fastsatte måltall og/eller akseptkriteria.
o)Sikkerhetsoppfølgingsplan: Plan som beskriver nødvendige handlinger som skal gjennomføres for å håndtere identifiserte risikoelementer, samt sikre at fastsatte sikkerhetsmål opprettholdes gjennom systemets levetid.
p)Sikkerhetsvurdering (safety assessment): En felles betegnelse for:
-Identifisering - en systematisk gjennomgang for å identifisere risikoen ved eventuell fare som kan oppstå og som skyldes menneske, prosedyrer og/eller utstyr.
-Klassifisering - å bestemme om identifisert risiko er akseptabel (risikobedømmelse).
-Håndtering - å iverksette forebyggende tiltak og verifisere at disse er etterlevd.
q)System for sikkerhetsstyring: En systematisk tilnærming til sikkerhetsstyring som omfatter organisering av virksomheten, ansvarslinjer, overordnede strategier samt prosedyrer. Styringssystemet dokumenterer hvordan virksomheten skal oppnå og opprettholde et akseptabelt sikkerhetsnivå.
r)Tjenesteleverandør: Foretak som er ansvarlig for etablering og drift av de ulike elementer innenfor flysikringstjeneste.
0Endret ved forskrift 1 feb 2007 nr. 117.
§ 4.Krav til system for sikkerhetsvurdering
(1) Tjenesteleverandør skal ha et system som ivaretar identifisering og klassifisering av farer, bruk av risikoanalyser og tiltak for å bringe sikkerheten til det aksepterte nivå som angitt i vedlegg 1, Tabell A-2, Sikkerhetsmål.
(2) Systemet kan integreres som en del av tjenesteleverandørens system for sikkerhetsstyring.
(3) Systemet samt senere endringer skal aksepteres av Luftfartstilsynet.
§ 5.Krav til systemets innhold og omfang
(1) Tjenesteleverandør skal sikre at identifisering av farer så vel som risikoanalyse og risikoreduserende tiltak gjennomføres systematisk ved alle endringer og anskaffelser. Systemet skal omfatte alle deler av flysikringstjenesten, inkludert tjenester eller systemer levert av underleverandører, på en måte som:
a)ivaretar alle faser fra og med planlegging og implementering, operativ bruk, vedlikehold, frem til og med fasen for driftsnedlegging,
b)omfatter både luftbårne og bakkebaserte elementer av flysikringstjenesten i samarbeid med de som er ansvarlige for disse,
c)omfatter elementene mennesker, prosedyrer og utstyr, samt samspillet mellom disse elementene og påvirkningen på det øvrige systemet.
(2) Tjenesteleverandør skal utarbeide sikkerhetsoppfølgingsplaner for å følge opp sikkerhetsvurderingene foretatt i henhold til første ledd.
§ 6.Sikkerhetsvurdering
(1) Sikkerhetsvurderinger skal inkludere:
a)En fastsettelse av omfang, avgrensning av, samt grensesnitt mellom elementene som blir vurdert, så vel som en identifikasjon av funksjonene som elementene utfører og det operative miljøet de er tiltenkt å fungere i,
b)En fastsettelse av sikkerhetsmålene knyttet til det enkelte element, herunder:
1.En identifikasjon av mulige farer og feil, samt den effekten disse enkeltvis eller i kombinasjon kan påføre systemet.
2.En klassifisering av effekten de identifiserte farer og feil kan ha på sikkerheten til luftfartøy, så vel som en vurdering av alvorligheten av de effektene, uttrykt som en funksjon av sannsynlighet og konsekvens, jf. vedlegg 1.
3.En avgjørelse av en risikos tolererbarhet, beskrevet som hvor ofte faren eller feilen kan forekomme, vurdert ut fra tabellene over alvorlighetsgrad og sikkerhetsmål i vedlegg 1.
c)En fastsettelse av sikkerhetskrav som minst skal omfatte:
1.Spesifisering av de risikoreduserende tiltakene som er nødvendig for å håndtere de identifiserte farene.
2.Identifisering av de sikkerhetsmessige krav som vil kunne gjøres gjeldende for den aktuelle del eller andre deler av flysikringstjenesten eller dets operative miljø.
3.Dokumentasjon på de risikoreduserende tiltakenes egnethet og effektivitet.
(2) Tjenesteleverandør skal verifisere at alle identifiserte sikkerhetsmål og sikkerhetskrav er oppfylt:
a)før implementeringen av endringen eller anskaffelsen,
b)i overgangsfasen til driftsfasen,
c)i driftsfasen, og
d)i enhver overgangsfase til utfasing.
(3) Sikkerhetsvurderinger skal i størst mulig grad være kvantitative. Kvalitative sikkerhetsvurderinger kan unntaksvis benyttes og bruken skal i så fall begrunnes.
0Endret ved forskrift 1 feb 2007 nr. 117.
§ 7.Dokumentasjon og rapportering
(1) Resultater, fremgangsmåter, tilhørende begrunnelse i sikkerhetsvurderingen, evalueringen og risikoreduksjonen, inkludert identifiserte farer, skal samles og dokumenteres på en måte som sikrer at:
a)korrekte og fullstendige argumenter finnes for å bekrefte at elementet som vurderes, så vel som hele flysikringstjenesten, er, og vil forbli, sikkert nok, dvs. møter sitt tildelte sikkerhetsmål, inklusiv spesifikasjoner av alle overvåkings- og kontrollmetoder som brukes for å demonstrere at eksisterende flysikkerhetsnivå som et minimum opprettholdes.
b)alle sikkerhetskrav relatert til implementeringen av endringen skal kunne spores til den tiltenkte operasjonen/funksjonen.
(2) Alle fastsatte sikkerhetsmål skal rapporteres til Luftfartstilsynet.
(3) Tjenesteleverandører skal årlig rapportere beregnet sikkerhetsnivå til Luftfartstilsynet for å dokumentere opprettholdelse av fastslått sikkerhetsnivå.
(4) Luftfartstilsynet kan til enhver tid kreve å få utlevert all dokumentasjon.
0Endret ved forskrift 1 feb 2007 nr. 117.
§ 8.Aksept

Aksept av system og prosedyrer utviklet i henhold til denne forskrift, skal ivaretas gjennom aksept av endring av system for sikkerhetsstyring, etablert i henhold til forskrift 21. august 2003 nr. 1068 om bruk av system for sikkerhetsstyring innen flysikringstjenesten og bakketjenesten (BSL A 1-9).

§ 9.Dispensasjon

Luftfartstilsynet kan, når særlige grunner tilsier det, dispensere fra bestemmelsene i denne forskrift.

§ 10.Ikrafttredelse

Denne forskrift gjelder fra 1. november 2005.

§ 11.Endringer i andre forskrifter

Fra den tid forskriften trer i kraft gjøres følgende endringer i andre forskrifter: ---

Vedlegg 1

Vedlegget er en del av forskrift 26. september 2005 nr. 1074 om bruk av system for sikkerhetsvurdering og sikkerhetsoppfølgingsplaner innen flysikringstjenesten (BSL A 1-10). 

Identifisering og klassifisering av farer

(1) Det skal foretas en systematisk identifisering av farer som kan oppstå som følge av en endring eller anskaffelse, før risikoen kan vurderes.
(2) Alvorligheten av konsekvenser i de analyserte faresituasjonene skal klassifiseres i henhold til tabell A-1 Alvorlighetsgrad. Ved bestemmelse av alvorlighetsgrad for den konsekvens en faresituasjon kan føre til på driften, skal evalueringen inkludere, men ikke begrenses til, en vurdering av følgende faktorer:
a)innvirkning på flygebesetningsmedlemmer,
b)innvirkning på lufttrafikktjenestepersonell,
c)innvirkning på luftfartøyets luftdyktighet,
d)innvirkning på funksjonaliteten av bakkedelen av flysikringstjenesten,
e)innvirkning på evne til å yte sikker flysikringstjeneste.
(3) Fareidentifikasjon og klassifisering av alvorlighet, skal ikke begrense seg til de delene av systemet som skal endres, men også inkludere hele systemet som er nødvendig for å utføre tjenesten.
(4) Analyse av konsekvenser skal inkludere evaluering av:
a)forskjellige muligheter for fareeksponering,
b)operativt miljø. 
AlvorlighetsklasserKlasse 1
Ulykke
Klasse 2
Alvorlige hendelse
Klasse 3
Større hendelse
Klasse 4
Betydelige hendelse
Klasse 5
Ingen umiddelbar innvirkning på sikkerheten
Kriterier for klassifikasjon i angitte klasser- Katastrofale hendelser
- Kollisjon mellom luftfartøy i luften eller på bakken
- CFIT
- Bortfall av flysikringstjenesten
- Stor reduksjon i atskillelse (<50% av spesifisert minima) uten evne til å kontrollere
- En eller flere luftfartøy avviker fra sine godkjente klareringer slik at brå manøvre er nødvendig for å unngå kollisjon mot annet luftfartøy eller terreng (eller dersom en slik manøver ville vært på sin plass)
- Stor reduksjon i atskillelse (for eksempel at atskillelsen er mindre enn halvparten av atskillelsesminimum), men med kontroll over situasjon gjenopprettes uten opphold
- Mindre reduksjon i atskillelse (for eksempel at atskillelsen er mer enn halvparten av atskillelsesminimum) uten evne til å kontrollere; uten bruk av unnamanøver på grunn av varsel fra kollisjons- eller terrengvarslingssystem
- Økt arbeidsbelastning på lufttrafikktjenesten eller luftfartøyets flygere
- Mindre reduksjon i atskillelse (>50% av spesifisert minima) men flygeleder og flyger evner å reagere og gjenopprette kontroll
 

Tabell A-1 Alvorlighetsgrad 

Tabell for klassifisering av konsekvenser

(1) Tabellen er ikke uttømmende, og de opplistede punkter skal kun oppfattes som eksempler på type hendelse innenfor hver enkelt alvorlighetsgrad.
(2) Tilsvarende vurderinger skal også gjøres i tilknytning til flysikringstjeneste i luftrom der det ikke stilles krav til atskillelse.
(3) Tabellen gir en ramme for hvordan en vurderer alvorligheten av farer i et bestemt teknisk/operativt miljø. Tabellen gir en kvalitativ klassifisering av en fares effekt på teknisk/operativ drift, som en følge av ulike feil i elementer i et flysikringssystem. Vurderingen skal ta hensyn til den mest sannsynlige effekt av faren under de verst tenkelige forhold. 
AlvorlighetsklasseKlasse 1Klasse 2Klasse 3Klasse 4Klasse 5
Måltall for hyppighet (bidrag fra flysikringstjenesten)1,55x10-8 per flytime1x10-6 per flytime1x10-4 per flytime1x10⁻² per flytime
 

Tabell A-2 Akseptkriteria

Tabell over måltall for tolererbar hyppighet av farens effekt.

0Endret ved forskrift 1 feb 2007 nr. 117.

Veiledende materiale til BSL A 1-10

Systemet som omhandles i forskriften er å anse som en detaljering av de krav som er gitt i forskrift 21. august 2003 nr. 1068 om bruk av system for sikkerhetsstyring innen flysikringstjenesten og bakketjenesten (BSL A 1-9). 

Til § 1.

Hovedformålet med ESARR 4 er å utarbeide et harmonisert regelverk for bruk av sikkerhetsvurderinger og sikkerhetsoppfølgingsplaner innenfor flysikringstjeneste i Europa, i den hensikt å oppnå et høyt og akseptabelt flysikkerhetsnivå. Kompleksitet, integrering og automatisering av flysikringstjenesten krever en systematisk og strukturert bruk av sikkerhetsvurderinger. Fastsettelse av sikkerhetsmål, samt overvåking av faktisk sikkerhetsnivå og dermed graden av måloppnåelse, er viktige elementer i disse prosessene.

Designfeil, driftsfeil og vedlikeholdsfeil eller sammenbrudd i flysikringstjenesten kan gjennom reduserte sikkerhetsmarginer resultere i eller medvirke til en fare for luftfartøy. Som et resultat av dette legges en stadig større del av ansvaret for sikkerheten på de enkelte elementer av flysikringstjenesten. En stadig økende integrering av tjenester og utstyr på tvers av internasjonale grenser innenfor hele ECAC-området1 gjør det nødvendig med en strukturert og systematisk håndtering av risikoidentifisering og risikohåndtering. Følgelig er en harmonisert tilnærming til sikkerhetsvurderinger nødvendig for å sikre et høyt flysikkerhetsnivå i hele ECAC-området.

1European Civil Aviation Conference.
 

Til § 2:

På sikt planlegges virkeområdet for denne forskrift utvidet til også å omfatte bakketjenesten.

ESARR 4 stiller ikke krav til sikkerhetsvurderinger ved implementering og/eller planlegging av organisasjonsmessige eller ledelsesmessige endringer i tjenesteytelse innen ATM. Krav om slike sikkerhetsvurderinger ivaretas gjennom forskrift 21. august 2003 nr. 1068 om krav til bruk av system for sikkerhetsstyring innen flysikringstjenesten og bakketjenesten (BSL A 1-9) (ESARR 3). 

Til § 3:

Lufttrafikkstyring (ATM): Begrepet «lufttrafikkstyring» erstatter det tidligere begrepet «lufttrafikkledelse» for å gjennomføre en ensartet oversettelse av begrepet «management». Dette gir tilsvarende oversettelse som ligger i begrepene «kvalitetsstyring» og «sikkerhetsstyring». Begrepet vil konsekvensendres i øvrige, relevante norske forskrifter, men innebærer ingen endring i begrepets betydning. 

Til § 5 (3):

Luftfartstilsynets aksept av systemet innebærer at innholdet vil vurderes med tanke på om det er tilstrekkelig i forhold til forskriftens krav, og inkluderer at Luftfartstilsynet skal ha tillitt til at systemet vil oppfylle forskriftens intensjon. Dette innebærer ikke en aksept av de enkelte prosedyrer, men at Luftfartstilsynet har tillitt til at prosedyren er korrekt.

Definisjon på aksept finnes i BSL A 1-1. 

Til § 6:

Alle endringer skal vurderes og konkluderes. Den enkleste form for risikoanalyse kan være at innledende prosess konkluderer med at endringen ikke vil gi noen negativ effekt og at det derfor ikke vil være identifiserte risikoområder som må håndteres. Også denne innledende prosessen skal dokumenteres.

Valg og anvendelse av metodikk må beskrives innledningsvis i enhver sikkerhetsvurdering. 

Øvrige veiledningsdokumenter

EATMP SAM SAF ET1.ST03.1000-MAN-(Ed 1.0) anses å være nyttig veiledning ved gjennomføring av sikkerhetsvurderinger i henhold til denne forskrift. 

Programvare (SW)

Sikkerhetsmål knyttet til hvert enkelt risikoelement styrer fastsettelsen av spesifikke tiltak for å oppnå tilfredsstillende effekt av risikoreduserende tiltak og tilhørende sikkerhetskrav. Tiltakene kan inkludere ulike godkjennings-/utviklings-/sertifiseringsnivå for spesifikke programvaremoduler i et ATM-system. 

Til § 6 annet ledd:

Sikkerhetsovervåking og datainnsamling i henhold til prosedyrer utviklet i samsvar med ESARR 2 (Ny BSL A 1-3) kan også benyttes til å definere sikkerhetsindikatorer for å verifisere oppnåelse av definerte sikkerhetsnivå ved drift av ATM-system. 

Til § 7 (1):

For eksisterende deler av lufttrafikkstyringssystemet (ATM) kan analyse basert på tilgjengelige historiske data, slik som statistikk fra hendelser og ulykker, menneskelig svikt og utstyrssvikt, bidra til «dokumentasjon» i prosess for sikkerhetsoppnåelse. Data fra rapporteringssystemer og overvåkingssystem for sikkerheten kan benyttes. 

Til § 7 (2):

Verifisering før implementering innebærer at et system gjennomgås/kontrolleres for å oppnå en bekreftelse på at delelementet sikrer det krav som er satt for å oppnå sikkerhetsmål. En slik gjennomgang/kontroll kan inneholde både kvalitative og kvantitative vurderinger for å sikre tillit til at systemet tilfredsstiller fastsatte krav/mål. 

Til § 8 (1):

Det forutsettes at sikkerhetsvurderingen er gjennomført med tilstrekkelig personell med relevant kompetanse innenfor de respektive berørte fagområder, og at den ivaretar alle relevante forhold som er eller burde være kjent for bidragsytere i prosessen. 

Til § 8 (2):

De sikkerhetsmålene som skal rapporteres til Luftfartstilsynet omfatter samtlige mål som fastsettes for virksomheten relatert til eksisterende system. I tillegg skal det fortløpende rapporteres om nye sikkerhetsmål som fastsettes i forbindelse med endringer i systemet. 

Til § 8 (3):

Se kommentarer til § 6 annet ledd ovenfor. 

Til § 9:

Se kommentarer til § 5 (3). 

Til Vedlegg 1 

Til (2) samt tabell A-1 Alvorlighetsgrad

Muligheten for at en fare leder til en ulykke eller en hendelse (når man tar hensyn til både hvor nær en ulykke man var og evnen til å overvinne faresituasjonen) avhenger av mange faktorer. Derfor lar det seg vanligvis ikke gjøre å identifisere og vurdere alvorligheten uten å vurdere konsekvensene av farene for de ulike elementene av flysikringstjenesten.

Det anbefales at elementer i det operative miljøet som kan bli benyttet som kompenserende faktorer i vurderingen av alvorlighet, blir identifisert og tilkjennegjort overfor luftfartsmyndigheten tidlig i prosessen for sikkerhetsvurdering. 

Til tabell A-2 Sikkerhetsmål

Forskriften stiller krav til at risikoklassifisering knyttes til akseptkriteria og i tabell A-2 er disse er lagt inn som sikkerhetsmål og ikke som maksimum tolererbar sannsynlighet. Denne løsningen er valgt da historiske data per i dag ikke danner tilstrekkelig grunnlag for å kunne fastsette slike tall med rimelig grad av sikkerhet. På sikt vil mengden av tilgjengelige data øke, og vil kunne danne grunnlag for endring av forskriften i forhold til bruk av krav i stedet for sikkerhetsmål. Begrepet «akseptkriteria» benyttes i forskriften, og vil både omfatte de måltall som virksomheten skal tilstrebe i forhold til forskriften, og de måltall som settes internt i virksomheten knyttet til hvert enkelt element innen flysikringstjenesten.

Tabell A-2 i ESARR 4 fastsetter kun generelt gjennomsnittlig sikkerhetsmål for ATM i ECAC-området. BSL A 1-10 fastsetter krav på nasjonalt nivå og er ikke direkte anvendelig for klassifisering av individuelle farer. Tallene er beregnet etter metodikk beskrevet i EATMP SAM «Guidance Material E - Risk Classification Scheme», og baserer seg på 500.000 flyginger årlig med en gjennomsnittlig varighet på 40 minutter.

Tabellen angir sikkerhetsnivå per flygetime, men det medfører ikke at det ikke kan fastsettes måltall og sikkerhetsnivå med andre benevninger dersom dette skulle finnes mer hensiktsmessig. I slike tilfeller må metodikken/logikken for omregning kunne framvises.