Embed Size (px)
Citation preview
SINTEF A7274 − Åpen
RAPPORT
Sikkerhet og beredskap i ITS (Intelligente transportsystemer)
Dag Bertelsen og Ragnhild Wahl
SINTEF Teknologi og samfunn Transportsikkerhet og -informatikk
August 2008
ii
iii
INNHOLD Forord.............................................................................................................................................v
Summary .......................................................................................................................................vi
Sammendrag ................................................................................................................................vii
1 Litt om ITS - Intelligente transportsystemer.......................................................................1 1.1 ITS-løsninger og anvendelsesområder............................................................................1 1.2 Elementer i ITS-løsningene ............................................................................................1 1.3 ITS er integrert i samfunnsmaskineriet...........................................................................3 1.4 Oppgaver og aktører i transportsektoren.........................................................................4 1.5 ITS i tiden fremover........................................................................................................6
2 ITS som risikoreduserende virkemiddel ..............................................................................7 2.1 Førerstøttesystemer .........................................................................................................7 2.2 Overvåking og kontroll ...................................................................................................8
3 Hendelser og sårbarhet for ITS-løsninger .........................................................................10 3.1 Intern sårbarhet i aktuelle ITS-løsninger ......................................................................11 3.2 Ekstern sårbarhet for aktuelle ITS-løsninger ................................................................12
3.2.1 Sårbarhet i strømforsyning................................................................................12 3.2.2 Sårbarhet i kommunikasjonsnettverk................................................................13 3.2.3 Sårbarhet i leveranse fra eksterne datakilder ....................................................13
3.3 Sårbarhet som følge av organisatoriske forhold ...........................................................13 3.3.1 Systematikk og kvalitet .....................................................................................14 3.3.2 Kompetanse og opplæring ................................................................................14 3.3.3 Organisering......................................................................................................14
4 Konsekvenser og risiko ved svikt i ITS-løsninger .............................................................16 4.1 Sannsynligheten for stopp i ITS-tjenester.....................................................................16
4.1.1 Sannsynligheten for intern svikt .......................................................................16 4.1.2 Sannsynligheten for ekstern svikt .....................................................................16
4.2 Konsekvenser av stopp i ITS-tjenester .........................................................................17 4.3 Risiko ved stopp i ITS-tjenester....................................................................................18
5 Tiltak for å redusere risikoen..............................................................................................20 5.1 Tiltak mot svikt i interne ITS-elementer.......................................................................20 5.2 Tiltak mot svikt i eksterne systemer .............................................................................20
5.2.1 Tiltak mot svikt i strømforsyning......................................................................20 5.2.2 Tiltak mot svikt i kommunikasjonsnettverk......................................................21 5.2.3 Tiltak mot svikt i leveranse fra eksterne datakilder ..........................................21
5.3 Tiltak for å eliminere organisatoriske problemer..........................................................22 5.4 Evaluering av risikoreduserende tiltak..........................................................................22
6 Oppsummering, status og utfordringer .............................................................................24 6.1 Tekniske sider ...............................................................................................................24 6.2 Organisering og ansvar .................................................................................................24 6.3 Metodikk og kompetanse..............................................................................................25
Referanser ....................................................................................................................................27 Vedlegg A: Program og deltakerliste for seminaret …………………………………………. 29 Vedlegg B: Slides fra Steinar Andresens foredrag ………………………………………….. 31
iv
vi
Summary This report is based on two presentations, workshops and discussions on a seminar on safety and preparedness related to ITS (Intelligent Transport Systems). The seminar gathered 27 participants from various parts of the ITS business sector. The Ministry of Transport and Communications was in charge of the seminar supported by IST Norway and SINTEF. The purpose with the seminar was to exchange knowledge as to the significance of ICT for safety and efficiency within the transport sector identification of vulnerable elements of ITS solutions of today and to-morrow evaluation of the consequences from failure in ITS solutions ideas for improvements of ITS solutions aiming at risk reductions
The seminar had focus on road and railway transport. The input from the seminar is adapted into a general structure as a basis for further development and improvements of ITS solutions. Many ITS services are to great help for the transport system users. The consequences of an interruption or stop in a service will normally will be limited. For some ITS services, however, an interruption or stop may cause serious problems for many people, sometimes resulting in risk of life or health. With a great number of agencies and companies within a broad and complicated area, high skilled personnel and organisational solutions are required to secure stable and reliable ITS services. This report deals with issues as events, vulnerability, probability, consequences, risk, barriers and improvements. Some examples are given of vulnerable elements in ITS solutions. ITS solutions depend on external systems as electricity supply and communication network. Therefore the vulnerability of these systems is of great importance also for the reliability of the ITS services. Finally, this report identifies areas and topics with lack of knowledge and competance needed to develop safer and more reliable ITS services for the future.
vii
Sammendrag Denne rapporten er basert på to forberedte innlegg samt gruppearbeid og diskusjoner på et arbeidsseminar om sikkerhet og beredskap i tilknytning til ITS (Intelligente transportsystemer). Seminaret samlet 27 deltakere fra ulike deler av ITS-bransjen. Samferdselsdepartementet sto som arrangør av seminaret med ITS Norge og SINTEF som medspillere. Hensikten med seminaret var å få innspill mht. betydningen av ITS for sikkerhet og beredskap i transportsektoren identifikasjon av sårbare elementer i dagens og morgendagens ITS-løsninger vurdering av konsekvensene ved svikt i ulike ITS-løsninger foreslag til løsninger for å redusere risikoen knyttet til ITS-løsninger
Seminaret hadde fokus på veg- og banetransport. Innspillene fra seminaret er satt inn i en generell sammenheng som grunnlag for videre arbeid med den aktuelle problematikken. Mange ITS-tjenester er nyttig for brukerne, men konsekvensene er likevel beskjedne ved stopp i tjenesten. Andre ITS-tjenester er imidlertid slik at svikt kan medføre alvorlige problemer, i noen tilfeller også fare for liv og helse. Med et stort antall ulike aktører innenfor et bredt og komplisert fagområde vil personell, kompetanse og organisering være avgjørende for at tjenesten skal fungere som forutsatt. Rapporten går inn på begreper som hendelser, sårbarhet, sannsynlighet, konsekvens, risiko og tiltak. Det gis en del eksempler på sårbare elementer. Mange ITS-løsninger er avhengig av eksterne systemer som strømforsyning og kommunikasjonsnett. Da vil sårbarheten til disse systemene ha betydning også for sårbarheten til ITS-tjenestene. Endelig påpekes behovet for mer kunnskap og innsikt på en del områder for å avdekke risikoelementer i ITS-løsningene og finne frem til tiltak for å redusere risikoen.
viii
1
1 Litt om ITS - Intelligente transportsystemer
1.1 ITS-løsninger og anvendelsesområder ITS er et samlebegrep for anvendelser av informasjons- og kommunikasjonsteknologi (IKT) ved alle former for person- og godstransport på veg, bane, sjø og luft eller ved kombinasjoner av disse transportformene. Målet med innføring av ITS er å forbedre transportsystemet i form av bedre fremkommelighet, bedre trafikksikkerhet, reduserte kostnader, og økt nytte for brukerne av transportsystemene og samfunnet for øvrig. ITS kan da være knyttet til innhenting, bearbeiding og overføring av informasjon samt eventuell respons, som beslutningsstøtte og styring basert på informasjonen. Vi har tatt utgangspunkt i Bang og Wahl (2007) sin inndeling i følgende typiske anvendelses-områder for ITS: ITS til trafikantinformasjon ITS for trafikk- og flåtestyring ITS for førerstøtte og navigasjon ITS til overvåking og kontroll ITS knyttet til drift av infrastruktur ITS i betalingssystemer ved transport
Mange ITS-løsninger og ITS–tjenester er forlengst implementert både i Norge og internasjonalt innen alle grener av transportbransjen. Mange nye løsninger er på trappene og vil bli implementert i de nærmeste årene. Vi må også være forberedt på at det i tiden fremover vil bli implementert løsninger som vi ikke har tenkt oss muligheten av i dag. Eksempel: Signalstyring av vegkryss var blant de første ITS-løsninger En av de eldste ITS-løsningene i vegsektoren gjaldt signalstyring av vegkryss med sensorer i vegbanen som registrerte at ett eller flere kjøretøyer nærmet seg et signalregulert kryss. Denne informasjonen ble bearbeidet i en datamaskin som avgjorde hvilke trafikkstrømmer som til enhver tid skulle slippes gjennom krysset. Bilførerne ble varslet ved fargen på signalanlegget. I Norge er dette standardisert slik: Rødt betydde Stopp, rødt og gult betydde Gjør deg klar, grønt betydde Kjør og gult betydde Ingen flere inn i krysset. Bilførerne måtte lære seg å tolke signalene riktig og innrette kjøringen etter de signalene som ble gitt. Fremdeles mangler det faktisk en universell standard for bruk av lysene ved slike signalanlegg. Innføringen av signalanlegg i vegkryss skulle redusere behovet for trafikkpoliti. Trafikkstyrte signalanlegg skulle redusere ventetiden for bilistene når trafikken var liten. Dette systemet er fremdeles i bruk over hele verden. Trafikkulykker oppstår stadig både i signalregulerte og andre vegkryss, det er heller ikke sjelden at slike signalanlegg er ute av drift, men det er ytterst sjelden trafikkulykker kan tilskrives feil ved signalanleggene. Når signalanleggene er ute av drift, er trafikken styrt av skiltingen.
1.2 Elementer i ITS-løsningene ITS er teknologisk avanserte løsninger, bestående av elektroniske komponenter og software der feil kan oppstå og skape problemer. Det vil alltid være en utfordring å gjøre ITS-tiltakene så sikre som mulig innenfor rimelighetens grenser. Samtidig er det også viktig å finne frem til nye ITS-løsninger som kan gi ytterligere forbedringer i sikkerhet, miljø og effektivitet innenfor transport-sektoren. Flere av ITS-løsningene er utviklet for å komme kjente problemer til livs, for eksempel er ABS-bremser innført for å hindre blokkerte hjul under oppbremsing. Dette og lignende spørsmål ble tatt opp på seminaret og er behandlet i denne rapporten.
2
Seminaret hadde fokus på veg- og banetransport, men det er ingen tvil om at flere av ITS-løsningene dekker også andre transportformer og intermodale transporter. Løsninger som allerede er tatt i bruk innenfor sjø- eller luftfart, kan dessuten være av stor interesse innen veg- eller banetransport. En ITS-løsning eller ITS-tjeneste er her brukt som betegnelse på en pakke av IKT-komponenter som løser en eller flere spesifiserte oppgaver i transportsektoren. De fleste ITS-løsninger består av to eller flere av følgende elementer: Systemoppbygging (utforming og sammensetning av elementene i systemet) Informasjonsinnhenting (sensorer, logging, eksterne databaser, osv.) Informasjonsbearbeiding (datamaskin, prosessor, ekspertvurdering, osv.) Informasjonsoverføring (interne nett, internett, telenett, mobilnett, osv.) Tolkning og respons (kjøretøystyring, trafikkstyringssentraler, osv.) Trafikantaksjon (pilot, fører, trafikant, osv.)
En ITS-løsning kan omfatte mange trinn med informasjonsoverføring, gjerne også flere runder med informasjonsinnhenting, kfr. Figur 2. Felles for alle ITS-løsninger er at de er basert på bruk av data på elektronisk form. Disse dataene anvendes og videreforedles gjennom verdikjeden for ITS, kfr. Figur 1. En ITS-løsning kan omfatte mange trinn med informasjonsinnhenting, -overføring, -analyse og -anvendelse, gjerne også med flere iterasjoner. Det å få etablert vellykkede ITS-løsninger krever godt samarbeid mellom mange ulike private og offentlige aktører. Etter hvert som man kommer høyere opp i verdikjeden, og frem mot produkter og tjenester, vil det offentliges rolle avta, og private aktører vil overta. På hvert ledd i verdikjeden vil det være flere aktører involvert.
Anvendelser/bruk
Rammebetingelser
Ver
diøk
ning
Offentlig ansvar?
Privat ansvar?
Datagrunnlag
Dataanalyse
Arkitektur
Produkt og tjenester
Anvendelser/bruk
Rammebetingelser
Ver
diøk
ning
Offentlig ansvar?
Privat ansvar?
Datagrunnlag
Dataanalyse
Arkitektur
Produkt og tjenester
Figur 1: Verdikjeden for ITS (Kilde: Bang og Wahl (2007))
Ofte er det slik at alle elementene i en ITS-løsning må fungere for at totalsystemet skal fungere. Funksjonsdyktigheten for hvert enkelt av disse elementene vil være avgjørende for sårbarheten til den aktuelle ITS-løsning. Likeledes er det viktig at samspillet mellom de involverte aktørene fungerer som forutsatt. Friksjon i dette samspillet kan påvirke sårbarheten til ITS-løsningen.
3
Ekstern informasjonskilde
Ekst
ern
info
rmas
jons
over
førin
g
Intern del av ITS-løsning
Informasjonsinnhenting
Informasjonsbearbeiding
Tolkning av informasjon
Aksjon
Tilbakemelding Inte
rn in
form
asjo
nsov
erfø
ring
Ekstern strømforsyning
Intern strøm-forsyning
Ekstern del av ITS-løsning
Figur 2: Interne og eksterne elementer i ITS-løsninger
Mange ITS-løsninger benytter, og er avhengig av, eksterne systemer som strømforsyning, kommunikasjonsnett og datakilder. I Figur 2 er illustrert at det kan eksistere mange koplingspunkter mellom den interne og den eksterne delen av en ITS-løsning. Grensesnittene mellom eksterne og interne elementer er gjerne særlig sårbare. Denne kompleksiteten har stor betydning for ITS-tjenestens totale sårbarhet, kfr. kapittel 3.
1.3 ITS er integrert i samfunnsmaskineriet ITS-løsninger er i betydelig grad basert på samfunnets generelle infrastruktur, særlig er kommunikasjonsnettverk og strømforsyning viktig for funksjonsdyktigheten til ITS. Flere ITS-løsninger benytter dessuten informasjon fra eksterne datakilder som grunnlag for tolkninger og informasjon til trafikanter, førere og kontrollpersonale. Meteorologiske data, bankinformasjon, data fra nasjonal vegdatabank, banedatabank og kjøretøyregister er eksempler på datakilder som utnyttes av ITS. Anvendelsesområdet for ITS omfatter blant annet: Transportnett (bane, veg, sjø, luft; krysninger, tunneler, terminaler, osv.) Transportoppgaver (personer, gods, fra/til-relasjoner, tidsaspekt, hensikt osv.) Transportformer (tog, bil, båt, fly samt intermodale transporter) Kommunikasjonsnettverk (sendere, satellitter, bakkestasjoner, nett, mottakere) Strømforsyning (overføringslinjer, trafoer, lokale nett, interne nett, reserveløsninger) Databaser med aktuell informasjon for ITS-løsninger Selve ITS-løsningene som er mer eller mindre skjult for trafikantene
Figur 3 viser en prinsippskisse for CALM-teknologien for kjøretøyrelatert kommunikasjon. Den illustrerer samtidig noe av den kompleksiteten som er innebygd i en del av dagens ITS-løsninger.
4
Figur 3: ITS-løsninger i en komplisert og sammensatt verden (Kilde: ISO 2004)
1.4 Oppgaver og aktører i transportsektoren Transportsektorens oppgave er å tilrettelegge og gjennomføre forflytning av personer og gods i samsvar med behovene i samfunnet. Dette forutsetter en infrastruktur bestående av veg- og banenett, flyplasser og luftrom samt farleder, havner og andre terminaler. For at samspillet mellom de ulike deler av infrastrukturen skal fungere, trengs det standardiserte løsninger. Utbygging og vedlikehold av infrastrukturen må også ha en standard som tilfredsstiller samfunnets behov. Transportvirksomheten foregår ved at ulike operatører frakter personer og gods med ulike transportmidler i transportnettet, enten etter et fast ruteopplegg eller på mer eller mindre fritt valgte tidspunkter.
Figur 4: Transportbehovet dekkes av ulike transportmidler (Kilde: Natvig m. fl. (2004))
5
Aktiviteten i transportsektoren involverer en rekke ulike aktører og operatører. Offentlige myndigheter har ansvar for at transportvirksomheten skjer på en for samfunnet sikker, miljøvennlig og effektiv måte. Dette oppnås ved at det etableres rammebetingelser som aktørene må innordne seg under.
Terminal• Eiere• Ressurser• Intermodalkoordinering
• Holdeplass
Transport-infrastruktur•Myndigheter•Trafikkontrollsentre•Informasjonstilbydere•Regelverk
Transport-brukere
Flåteoperatør
Transport-middel
Figur 5: ARKTRANS referansearkitektur for ITS-løsninger (Kilde: Natvig m.fl. (2004))
ITS-løsninger er gjerne sammensatt av enheter og systemer fra forskjellige produsenter og leverandører. Brukerne kan være både infrastrukturforvaltere, operatørselskaper, førere og trafikanter i ulike deler av transportsektoren. Det kan derfor være krevende å få samspillet mellom ulike delsystemer og aktører å fungere som forutsatt. Gjennom ARKTRANS-prosjektet er det etablert en referansearkitektur for multimodale transportsystemer. Arkitekturen bidrar til felles forståelse, og den skal spesifisere krav til IKT-løsningene innen transportsektoren. Ved at denne arkitekturen legges til grunn sikres gode fellesløsninger på tvers i samferdselssektoren. Det er etablert krav- og godkjenningsordninger både for transportmidler og for førere. En del av ITS-løsningene skal bidra til overvåking og kontroll av transportmidler, inklusiv førere og trafikanter. Denne registreringen kan imidlertid komme i konflikt med personvernet. Seminaret gikk ikke nærmere inn på denne problematikken. Mange ITS-løsninger har som primæroppgave å hindre at ulykker og skader oppstår. Svikt i slike ITS-løsninger kan derfor resultere i alvorlige situasjoner med skade både på liv, helse og materiell. Ansvarsforholdene i slike situasjoner kan være sammensatt selv om det for vegtransport alltid er bilførerne som har det juridiske ansvaret. Det vil være viktig å følge med internasjonalt på dette feltet i tiden fremover. For øvrig ble det ikke gått nærmere inn på denne problemstillingen på seminaret.
6
1.5 ITS i tiden fremover Sjø og landtransport ble revolusjonert da motorkraft ble introdusert på 1800-tallet. Bruk av fossilt brensel satte ekstra fart i utviklingen, etter hvert ble det utviklet både tog, biler og fly. I dag er også andre energiformer tatt i bruk i transportsektoren. Transportsektoren har imidlertid vært bemerkelsesverdig stabil de siste 50-100 årene. I grove trekk fungerer både biler, tog, båter og fly omtrent slik de fungerte for 50-100 år siden. Det samme kan ikke sies på IKT-området. Selv om det fantes en del stasjonære datamaskiner på 1950-, 60- og 70-tallet, var det først da de personlige datamaskinene slo gjennom på 1980-tallet, at IKT-utviklingen tok av. I løpet av de siste 20 årene har innsamling og spredning av data skutt fart i et omfang som det er vanskelig å fatte. Denne utviklingen ble utløst av romfarten hvor behovet for datamaskinkraft var nødvendig for å styre romfartøyene IKT-utviklingen har hatt og vil fremdeles få stor innvirkning på mange sektorer i samfunnet, ikke minst i transportsektoren. Nye ITS-hjelpemidler vil utvilsomt komme på plass i alle kjøretøyer. Førerstøttesystemer (ABS-bremser, ISA, ACC osv.) kan utvikle seg videre slik at førerne etter hvert får færre oppgaver å ta hånd om. Mer spesialtilpassede transportløsninger kan komme til å erstatte en del rutegående tilbud, særlig i byer og tettsteder. Det er i dag stor FoU-innsats på dette området, blant annet er norske forskningsmiljøer involvert i flere EU-prosjekter. Transportinfrastrukturen kan ikke endres over natten, også parken av transportmidler trengs det tid for å skifte ut. På kort sikt er det derfor først og fremst et spørsmål om hvordan IKT vil bli ut-
nyttet innen de tradisjonelle transport-formene. Transportbehovet vil utvilsomt bli påvirket ved at informasjon kan inn-hentes og formidles via internett. E-handel har så vidt kommet i gang med stor suksess innen omsetning av bøker, musikk, film, osv. Det vil kunne bli mindre behov for å reise for å hente varer og tjenester. Vi har i dag kringkastingssystemer som henvender seg til alle i transportsystemet. Om noen år vil vi trolig ha systemer som henvender seg til spesifikke enkeltkjøretøyer, noe som kan få stor betydning både for sikkerheten og trafikk-avviklingen
Figur 6: Fremtidens sikkerhetssystem for biler (Kilde: PReVENT )
Hvordan vil klimaspørsmålene påvirke utviklingen? Vil det bli lagt vesentlige restriksjoner på transportvirksomheten, av hensyn til drivhuseffekter eller av andre årsaker? Dette er viktige spørsmål for transportsektoren, men blir ikke nærmere vurdert i denne sammenheng. Informasjonsutveksling via kommunikasjonsnett kan begrense reisebehovet knyttet til møter, konferanser og lignende. Dette kan forventes å gi vesentlige reduksjoner i utslipp av klimagasser så vel som redusert tidsforbruk og risiko.
7
2 ITS som risikoreduserende virkemiddel Risikoen i et teknisk system kan defineres ut fra sannsynligheten for at en uønsket hendelse skal oppstå og konsekvensene dersom hendelsen inntreffer. Det er en slik definisjonen som er lagt til grunn i denne rapporten. Mange anvendelser av ITS har som et viktig formål å øke trafikksikkerheten og begrense risikoen for trafikanter og samfunn. Dette gjelder spesielt følgende anvendelsesområder: ITS for førerstøtte og navigasjon ITS til overvåking og kontroll
ITS i betalingssystemer og sporingssystemer for gods er derimot først og fremst begrunnet ut fra effektivitetshensyn, mens informasjonssystemer for trafikantene om rutetider, forsinkelser og lignende primært er rettet mot økt brukervennlighet. I tillegg vil informasjonssystemene også kunne benyttes for å rettlede trafikantene i krisesituasjoner. I transportsystemet er det spesielt sårbare elementer som blir mer eller mindre kontinuerlig overvåket, for eksempel tunneler, høyfjellsoverganger, kritiske vegkryss, T-banestasjoner, luftrom osv. Kontinuerlig overvåking kan bidra til å avsløre og begrense omfang av farlige situasjoner, for eksempel ras på veg- og banestrekninger, kritiske vær- og føreforhold o.l. I mange tilfeller vil de som har ansvaret for drift og vedlikehold, avhjelpe problemene uten at trafikantene blir berørt. I andre tilfeller kan det bli behov for stenging med medfølgende problemer for transportvirksomheten, kfr. avsnitt 2.2.
2.1 Førerstøttesystemer Et viktig felt for ITS er å hindre kollisjoner mellom ulike transportenheter, særlig enheter med kryssende bevegelsesretninger. Dette har lenge vært en sentral anvendelse av ITS innen sjø-, bane- og flytransport hvor førerne er profesjonelle. I den senere tid er det også under utvikling og testing ITS-løsninger som overvåker trafikkavviklingen og detekterer konflikterende trasevalg også vegtransport hvor førerne ikke har en profesjonell utdannelse. Det er foreløpig begrenset kunnskap om hvordan bilførerne innretter seg når slike systemer blir tatt i bruk. Den samlede risikoen må forventes å bli redusert, men det kan også være en nærliggende effekt at endret atferd kan medføre en viss risikoøkning gjennom mindre oppmerksomhet på grunn av ”automatikken”.
Figur 7: De enkleste formene for førerstøtte i bil er vist til venstre i figuren (Kilde: PReVENT)
8
Mange av førerstøttesystemene er automatiske eller integrert i de aktuelle transportmidlene og/eller i kontrollsystemene på en slik måte at førerne normalt ikke merker dem. I andre sammenhenger kan ITS-løsninger avdekke økt risiko, men ikke iverksette automatiske tiltak. I slike tilfeller kan ITS-løsningen sende melding til førere eller kontrollsentraler om at en unormal situasjon kan være under oppseiling og foreslå tiltak for å rette opp feilen eller begrense skaden. Melding om funksjonsproblemer i førerstøttesystemer i biler (EPS, ACC, ABS-bremser o.l), havarert kjøretøy i vegtunnel, fremmed objekt på toglinjen, skip ute av kurs, og for høy kjørefart er eksempler på situasjoner som kan identifiseres og danne grunnlag for informasjon om behov for korrigerende tiltak. Slike ITS-løsninger finnes i dag innen alle transportformer. Direkte meldinger til førerne av transportmidlene kan misforstås, og dermed selv representere en risiko. Problemet er mest relevant for førere av personbiler og småbåter der kravet til opplæring er minst. Førere av fly, skip og tog, til dels også yrkestransport på veg, har grundigere opplæring og oppfølging og er dermed bedre i stand til å forstå og forholde seg til denne typen informasjon. Totalt sett vil utvikling av førerstøttesystemer bidra til vesentlig reduksjon i ulykkesrisikoen i transportsystemet. Utfordringer knyttet til brukergrensesnitt, forståelse av meldinger og overvåking av teknologien må vies stor oppmerksomhet i utvikling og implementeringsarbeidet av slike systemer.
2.2 Overvåking og kontroll ITS-løsninger er et viktig hjelpemiddel for beredskaps- og krisehåndteringen ved drift av transportinfrastrukturen. Spesialutrustede trafikkstyrings- og kontrollsentraler er implementert for de enkelte transportformene. Risiko- og sårbarhetsanalyser er gjennomført for mange problemstillinger i transportsystemet og resultatene av disse ligger til grunn for utforming av beredskap og beredskapsøvelser, kfr. blant annet Statens vegvesen (2007). Utvikling av nye produkter og løsninger tilsier imidlertid at transportsektoren stadig må oppdatere sin kompetanse, sine sårbarhetsanalyser og sin beredskap. Overvåking og kontroll av infrastruktur, transportenheter, trafikkforhold, gods og trafikanter kan avdekke forhold med potensial til å utvikle seg til kritiske situasjoner. Ved å sette inn tiltak på et tidlig stadium, kan slike kriser unngås. Førere både av fly, tog og større skip er under kontinuerlig overvåking av kontrollsentraler. Avvik i forutsatte bevegelser, rutevalg og atferd vil kunne bli oppdaget og korrigert. Disse forholdene blir loggført, og vil være en viktig kilde til forbedring av rutiner og tekniske systemer. På grunn av at disse førerne alle er i en jobbsituasjon er det ingen som stiller spørsmålstegn ved den overvåking de gjøres til gjenstand for. Både førerne og operatørene sitter med ansvar for passasjerer og verdifull last, og i mange tilfeller også for farlig og/eller forurensende last. Ved flytransport og internasjonal båttransport blir også passasjerene overvåket i den forstand at operatørene skal ha full oversikt over identiteten til alle personer ombord. Denne overvåkningen er det heller ikke særlig diskusjon om. Det er mange eksempler på at denne oversikten har vært helt nødvendig for redningsarbeidet etter ulykker ved slike transporter. Vegtrafikk (og småbåttrafikk) er i mye større grad enn de øvrige transportformene en del av dagliglivet for trafikantene. Da blir også avveiningen mellom personvern og overvåkning mer problematisk. Det er mange gode grunner til å behandle tog og yrkesmessig vegtransport (busser og næringstransport) på samme måten som fly og skipstransport. En selektiv overvåkning av de profesjonelle aktørene kan være nødvendig ut fra hensynet til sikkerhet og andre samfunnshensyn. Overvåking av passasjerene har hittil ikke vært aktuelt fordi privat og yrkesmessig transport er
9
sterkt sammenblandet, og det er snakk om mange korte daglige reiser hvor anonymitet forentes. Utvikling av elektroniske betalingsmidler vil imidlertid kunne endre denne situasjonen. Til tross for utfordringene knyttet til personvern er det implementert flere ITS-løsninger for overvåking og kontroll i vegsektoren (tunnelovervåking, automatisk fartskontroll og betalingssystemer). Det er ingen tvil om at enkelte av disse ITS-løsningene har stor sikkerhetsmessig betydning, og at sikkerheten ville kunne økes ytterligere ved skjerpet kontroll av bilfører og deres atferd. Avveining mellom sikkerhet og personvern ble imidlertid ikke nærmere diskutert på seminaret. Detektering av farlig kjøreatferd i vegtunneler med tilhørende intervensjon fra en vegtrafikk-sentral er et eksempel på en ITS-løsning som er begrunnet ut fra sikkerhet. Dette ble glimrende demonstrert gjennom ett av innleggene på seminaret for Oslofjordtunnelen. Det fins gjennomprøvde ITS-løsninger for overvåking av vegtunneler. Vegtrafikksentralene er viktige for at disse systemene skal fungere. Da er både opplæring og øvelser av de ansatte er en viktig forutsetning for trafikksikkerheten. Eksempel på farlige hendelser i vegtunneler er brann. Hendelser som utløser alvorlige branner i vegtunneler må vi være forberedt på i et tunnelland som Norge, selv om vi hittil har vært forskånet for slike katastrofer. Det blir en avveining mellom nytten av risikoreduksjon og kostnader til installasjon og drift av systemene som må avgjøre i hvilket omfang slike systemer skal tas i bruk, kfr. kapittel 5. ITS for å forebygge destruktiv atferd, for eksempel terrorvirksomhet, var det ikke fokusert på i seminaret. I tillegg til fly, er dette kanskje mest relevant innen langdistanse skips- og togtransport samt i stasjonsområder der det kan være mye folk samlet. Dette er et svært utfordrende område som vil kreve en helt annen kompetanse enn hva som var samlet til dette seminaret.
10
3 Hendelser og sårbarhet for ITS-løsninger Sårbarhet kan defineres som manglende evne til å tåle påkjenninger. Sårbarheten i et system kan knyttes til faren for at systemet ikke vil fungere etter hensikten når aktuelle hendelser eller situasjoner oppstår. Et sårbart system vil lettere bli satt ut av spill enn et mer robust og pålitelig system (pålitelighet = survivability). Sårbarheten er bestemmende for hva som er å betrakte som trusler eller uønskede hendelser. Sårbarheten kan også være påvirket av regelverk. For eksempel der det stilles krav om driftsstans for tjenesten ved feil eller redusert funksjon. Slike regler bør være basert på vurderinger av konsekvensene ved eventuell fortsatt drift. Robuste systemer vil ofte også være mer robuste overfor hendelser som vi ikke har forutsett, for eksempel en del destruktive handlinger. Aktuelle uønskede hendelser kan ha en av følgende primærårsaker: Naturgitte hendelser Teknisk svikt Menneskelig og organisatorisk svikt Destruktive handlinger
En hendelse kan forårsake nye hendelser som igjen kan utløse flere hendelser. Dette kan illustreres ved et hendelsestre. Hvilket nivå i hendelsestreet det er hensiktsmessig å forholde seg til i en sårbarhetsanalyse, vil variere. En hendelse på ett nivå, for eksempel en brann, kan utløses av hendelsene på nivåene over. Det er imidlertid selve brannen som er viktig, ITS-løsningens sårbarhet er avhengig av hvordan de enkelte elementene tåler de påkjenningene som følger med brannen.
Figur 8: Hendelsestre for ulykker ved transport av farlig gods (Kilde: Statens vegvesen (2007))
11
Noen ITS-løsninger kan være helt avgjørende for at driften av et transportsystem skal fungere som forutsatt og ha tilfredsstillende sikkerhet. Et eksempel på dette er automatisk togkontroll (Automatic Train Control, ATC) for jernbanedrift. ATC er et system som griper aktivt inn i farlige situasjoner som kan oppstå, slik at toget bremses automatisk ned ved for høy hastighet, hvis lokfører bremser for sent eller dersom toget forsøker å passere et hovedsignal som viser stopp. Systemet er avgjørende for å oppnå tilfredsstillende sikkerhet innenfor jernbanetransport, og det vil derfor få betydelige konsekvenser om systemet faller ut. Sårbarheten i transportsystemet kan øke som følge av introduksjonen av avanserte ITS-løsninger. Hittil har vegtransporten hatt nytte av førerstøttesystemer, men det oppstår vanligvis ingen store problemer selv når de er ute av drift. Om førere eller operatører blir helt avhengig av ITS-teknologien enten ut fra regelverk eller manglende praktisk erfaring, vil transportsystemet kunne få økt sårbarhet. I dag har vi som eksempel ikke lenger kunnskap om hvordan vi skal oppbevare fersk mat hvis kjøleskapet svikter. ITS inneholder altså et stort spekter av løsninger, noen er helt avgjørende for transport-virksomheten, andre kan vi uten store problemer greie oss uten. Det er behov for systematiske vurderinger av aktuelle aksjoner når forskjellige former for svikt oppstår i ulike ITS-løsninger. I mange sammenhenger kan det være hensiktsmessig å skille mellom intern og ekstern sårbarhet for ITS-løsninger. Intern sårbarhet er sårbarheten til de spesifikke ITS-elementene i et system. De interne elementene er det ITS-eieren som har ansvar for, men ofte er det flere underleverandører som har bidratt med å produsere og implementere elementene i den aktuelle ITS-løsningen. Ekstern sårbarhet er sårbarhet i generelle systemer som ITS-løsningen bygger på. De eksterne elementene eksisterer uavhengig av den aktuelle ITS-løsning, men er en forutsetning for at ITS-løsningen skal fungere. Ofte vil ITS-forvalterne inngå avtaler med eierne av slike eksterne systemer. Disse avtalene kan for eksempel inneholde krav til driftsstabilitet og prioritet i leveranser. Det finnes logger over feilsituasjoner som har oppstått i en del av de ITS-løsningene som er i funksjon, særlig i tilknytning til de etablerte trafikkontrollsentralene. Det ble imidlertid ikke lagt frem noen oversikt eller analyser av slike registreringer på seminaret. Dette datagrunnlaget vil være svært nyttig i sårbarhetsanalyser av ITS. Sårbarhetsanalysen skal blant annet forholde seg til hvilke uønskede hendelser som kan inntreffe: Hva kan skje? Hvor kan det skje? Hvordan kan det skje? Hvor ofte kan det skje?
3.1 Intern sårbarhet i aktuelle ITS-løsninger Tabell 1 er et eksempel på presentasjon av sårbarheten i interne elementer i en ITS-løsning i forhold til aktuelle hendelser, i dette tilfelle på øverste nivå i et hendelsestre. Angivelsene av sårbarhet i tabellen er kun ment som illustrasjoner. Tabell 1 sier ikke noe om konsekvensene av svikt for aktuelle ITS-løsninger. Dette blir nærmere omtalt i kapittel 4. Sårbarhetsanalysen kan imidlertid gi verdifulle innspill til vurderingen av aktuelle tiltak for å øke påliteligheten til ITS-løsningen, og dermed redusere risikoen.
12
Tabell 1: Intern sårbarhet i ITS-elementer for overvåking av vegtunnel Hendelse
Elementtype Naturgitte hendelser
Teknisk svikt
Menneskelig svikt
Destruktive handlinger
Systemoppbygging x X x Informasjonsinnhenting (sensorer, logging, …)
x X x x
Informasjonsbearbeiding (datamaskin)
(x) X x x
Informasjonsoverføring (interne nett)
x X (x) X
Kontroll og styring (VTS, ...) (x) x x (x) Trafikantaksjon (pilot, fører, trafikant, …)
(x) x X X
X = svært sårbar x = noe sårbar (x) lite sårbar
3.2 Ekstern sårbarhet for aktuelle ITS-løsninger ITS-løsninger er avhengig av strømtilførsel og informasjonsoverføring via egne og/eller offentlige kommunikasjonsnettverk. Dette er en kilde til sårbarhet selv om driftsstabiliteten normalt er god. Kabler kan lett bli kuttet ved uforsiktig graving. Bruk av data fra eksterne datakilder (Nasjonal Vegdatabank - NVDB, kartdata, værdata, bankinformasjon med mer) er et nødvendig element i mange ITS-løsninger. Konsekvensene ved svikt i strømforsyning, kommunikasjonsnett og generelle datakilder vil bli mye de samme som ved svikt i de ITS-elementene som er avhengig av disse tjenestene, kfr. kapittel 4.
Tabell 2: Ekstern sårbarhet i ITS-elementer for overvåking av vegtunnel Hendelse
Elementtype Naturgitte hendelser
Teknisk svikt
Menneskelig svikt
Destruktive handlinger
Informasjonsinnhenting (databaser)
(x) x (x) (x)
Informasjonsoverføring (tele-, mobil-, internett)
x X (x) x
Ekstern strømforsyning X X (x) x X = svært sårbar x = noe sårbar (x) lite sårbar Tabell 2 er et eksempel på presentasjon av sårbarheten i eksterne elementer i en ITS-løsning i forhold til aktuelle hendelser, i dette tilfelle på øverste nivå i et hendelsestre. Angivelsene av sårbarhet i tabellen er kun ment som illustrasjoner. Tabell 2 sier ikke noe om konsekvensene av svikt for aktuelle ITS-løsninger, dette blir nærmere omtalt i kapittel 4.
3.2.1 Sårbarhet i strømforsyning Svikt i ekstern strømforsyning til ITS kan være forårsaket både av naturgitte hendelser, teknisk eller menneskelig feil eller av destruktive handlinger. De sårbare punktene i strømforsyningen kan ligge i kraftverk, overføringslinjer, transformatorer og distribusjonsnett. Det er ikke noen oppgave for forvalterne og brukerne av ITS-løsninger å ha innsikt i hvordan strømforsyningen fungerer, men det er nødvendig å ha et begrep om hyppighet og varighet av strømavbrudd. Det er også nødvendig å ha oversikt over hvilke elementer i ITS-løsningene som er avhengig av ekstern strømforsyning. Aktuelle tiltak for å begrense avhengigheten til ekstern strømforsyning blir nærmere omtalt i kapittel 5.
13
3.2.2 Sårbarhet i kommunikasjonsnettverk Kommunikasjonsnettverk kobler elementene i ITS-løsningene sammen. I noen løsninger eksisterer interne overføringslinjer, for eksempel NSB/Jernbaneverkets kommunikasjonsnett, men vanligvis vil ITS-løsninger benytte offentlige kommunikasjonsnett som telenettet, radio, mobiltelefon eller andre trådløse kommunikasjonsnett (Wi-Fi, satellitt, blåtann osv.). Dekningsgraden for disse systemene varierer og de ulike tjenestene har varierende pålitelighet, det gis for eksempel ingen garanti for leveranse av SMS-meldinger. Mobiltelefontjenestene er avhengig av et sett av bakkestasjoner som igjen er avhengig av ekstern strømforsyning. Det kan også oppstå kapasitetsproblemer i disse nettene når trafikken er stor eller deler av systemene er ute av drift. Det er mulig for operatørene å gi prioritet til bestemte kunder når det oppstår kapasitetsproblemer. Flere av operatørene har inngått slike avtaler med enkelte nøkkelkunder. Det er uklart hvordan prioriteringsspørsmål i nettene skal behandles i en krisesituasjon i transportsystemet. Dette er en utfordring det bør kunne finnes gode løsninger på gjennom forhandling mellom partene i verdikjeden.
3.2.3 Sårbarhet i leveranse fra eksterne datakilder Generelt er det viktig for ITS som alle datasystemer at kvaliteten på eksterne data er kjent og stabil. Eksempel på eksterne datakilder som brukes i ulike ITS-løsninger: Nasjonal vegdatabank Banedatabank Kjøretøyregisteret Ruteinformasjon for kollektivruter Kartdata Værdata Data fra Bankenes betalingssentral
Det kan være stor variasjon i kvalitet og stabilitet på slike datakilder. Hvis de eksterne data er kritiske for at en ITS-løsning skal fungere, vil det være behov for en grundig analyse av hvilken sårbarhet bortfall av ønsket kvalitet kan gi.
3.3 Sårbarhet som følge av organisatoriske forhold Transportsektoren generelt og ITS-området i særdeleshet involverer en rekke aktører med høyst forskjellige roller, oppgaver og motiver: Offentlige myndigheter på overordnet nivå Infrastrukturforvaltere (offentlige og private) Transportselskaper (offentlige og private) Leverandører av produkter og tjenester Trafikanter og transportbrukere Befolkningsgrupper og miljøer som berøres av aktiviteten i transportsektoren Beredskapsorganer
I en krisesituasjon vil det i tillegg til aktuelle beredskapsorganisasjoner også være behov for å trekke inn personell fra flere av de øvrige aktørene. Med så mange myndighetsområder og bransjer involvert, er det derfor stort behov for koordinering og standardisering. Transport er en internasjonal virksomhet og foregår i dag på tvers av landegrenser. Internasjonal standardisering er derfor et absolutt krav for alle kritiske systemer. Alle ITS-systemer er ikke kritiske og internasjonale standarder finnes derfor ikke. Vi ser likevel at utviklingen går i retning
14
av stadig større grad av standardisering også innefor disse områdene. Et eksempel er elektronisk betaling i vegsektoren hvor Norge har store interesser knyttet til Autopassystemet. Internasjonal standardisering bidrar til at tekniske systemer blir mer robuste og mindre sårbare. Svikt i ITS-tjenester kan i enkelte tilfeller resultere i fysiske skader på mennesker eller materiell. Med mange aktører involvert, kan det være vanskelig å avklare om og hvem som eventuelt sitter med et ansvar for skadene. Dette spørsmålet er imidlertid et av mange som ikke ble nærmere behandlet på seminaret.
3.3.1 Systematikk og kvalitet Mange av ITS-løsningene er basert på et samspill mellom en rekke elementer, både interne og eksterne, for at tjenesten skal fungere som forutsatt. Premissene for et stabilt og godt system legges allerede på planleggingsstadiet. Kvalifisert personell både under planleggingen og ved den senere drift av tjenestene er en forutsetning for stabile og gode løsninger. Et godt råd for utvikling av robuste systemer er å bygge på åpne standarder og utprøvd teknologi. I Norge har Samferdselsdepartementet stått sentralt i utvikingen og utnyttelsen av ARKTRANS (kfr. kapittel 1.4) som er en multimodal systemarkitektur for ITS. Bruk av ARKTRANS vil bidra til at ITS-løsningene blir mindre sårbare og at de kan utnytte og utveksle felles data. Selv om robuste løsninger tilstrebes, er det ikke til å unngå at mange nye løsninger kan bli teknisk avanserte og kompliserte. ITS er et fagfelt som stiller ekstra store krav til den tekniske kompetansen til dem som skal utvikle og implementere systemene og opplæring til de som senere skal drifte systemene.
3.3.2 Kompetanse og opplæring Kompleksiteten i samfunnet generelt og ITS spesielt stiller større og større krav til spesial-kompetanse. Disse utfordringene løses ikke automatisk ved at det vedtas et regelverk med krav om at vitale tjenestetilbud skal fungere. Det tar tid å utdanne operatører ved trafikksentralene både for luft-, bane, sjø- og vegtrafikk. Operatører ved vegtrafikksentralen i Oslo må, i tillegg til sin grunnutdannelse, gjennom et systematisk opplæringsprogram på 182 dager. Avansert teknologi og sammensatte systemer krever opplæring og kompetanse både ved trafikksentralene og på andre samfunnsområder, ikke minst i tilknytning til ITS-tjenester. Personell med spesiell autorisasjon kreves i dag for at driften skal kunne opprettholdes, for eksempel for teknisk klarering av fly. Det kan være aktuelt å vurdering autorisasjonsordninger på flere områder, men det kan også bli et problem dersom viktige samfunnstjenester må innstilles som følge av mangel på autorisert personell.
3.3.3 Organisering De siste 20 årene har vært preget av en omfattende omorganisering både av offentlig og privat sektor. Dette gjør at det kreves ekstra oppmerksomhet for å sikre kontinuitet i nøkkelkompetanse. IKT-området er et av de områdene hvor omstillingene er størst, og hvor utfordringene knyttet til kompetanse er ekstra utfordrende i transportsektoren. I tillegg er Norge er et lite land hvor kompetansen sitter i få hoder. Det går gjerne en viss tid fra en nøkkelperson er blitt borte til den aktuelle kompetansen er fullt erstattet. Gjennom god organisering av ITS vil sårbarhet som følge av manglende kompetanse på reserveløsninger og håndtering av unormale hendelser kunne avhjelpes. Hyppigere øvelser på krisehåndtering vil kunne begrense slike problemer.
15
Samarbeidet mellom ulike aktører i en krisesituasjon vil utvilsomt fungere best dersom de aktuelle aktørene også samarbeider i det daglige. Jevnlige øvelser vil bidra til bedre samhandling mellom aktuelle aktører i en krisesituasjon. Trafikkontrollsentralene vil stå sentralt når det oppstår uønskede situasjoner i transportsektoren. I dag har de ulike transportformene hver sine trafikksentraler med liten eller ingen kontakt. Kanskje kan det være aktuelt å vurdere en samordning, eventuelt også samlokalisering av de ulike trafikkontrollsentralene. Avviklingsproblemer i en del av transportsektoren kan løses ved at det tilbys ekstra kapasitet i andre deler av systemet. En bedre samordning av beredskapen mellom ulike deler av transport-sektoren vil kunne bidra til å begrense ulempene for trafikantene. Dette er spesielt viktig i de større byene hvor transportsystemene er mer avanserte og avhengig av ITS-løsningene fungerer. Det vil kreves innsikt på mange områder for å forstå ITS-løsningenes virkemåte og dermed deres sårbarhet og anvendelse i ulike situasjoner. Derfor kan det være grunn til å se nærmere på ansvarsforhold og samspillet mellom ulike aktører ved forskjellige former for krisesituasjoner. Hvem tar hånd om ulike problemsituasjoner? Hvilken rolle vil statlige, fylkeskommunale og kommunale beredskapsorganer ha i forhold til trafikksentralene. Hvem har nødvendig kompetanse? Hvor finnes nødvendig nøkkelpersonell?
16
4 Konsekvenser og risiko ved svikt i ITS-løsninger Risikoen i et system defineres av sannsynligheten for at uønskede hendelser skal oppstå og konsekvensene dersom slike hendelser inntreffer. Forebyggende tiltak, beredskap, krisehåndtering og rask reetablering av normal funksjon vil redusere risikoen dels ved at sannsynligheten reduseres, og dels ved at konsekvensene av hendelsen reduseres. Gjennomføring av risiko- og sårbarhetsanalyser og utforming av beredskapsplaner er som regel begrunnet i at en vil unngå at kritiske situasjoner skal oppstå og begrense skadene om en kritisk situasjon likevel inntreffer. En krise blir gjerne knyttet til tap av menneskeliv eller alvorlige helseskader for flere personer. I noen sammenhenger kan det imidlertid bli oppfattet som en krise at viktige samfunnsfunksjoner svikter, for eksempel når mange personer mister sitt eneste transporttilbud. Kanskje er det ikke så viktig med en entydig definisjon av krisebegrepet. Det sentrale er å vurdere beredskap og tiltak i forhold til den reduksjon i risikoen som oppnås med tiltakene. En slik avveining er på ingen måte enkel, dette blir nærmere omtalt senere i kapitlet. En viktig del av en ROS-analyse (ROS = risiko og sårbarhet) er å identifisere sårbare elementer. Noen elementer kan føre til total stopp i en ITS-tjeneste, andre gir kun redusert funksjonalitet. Noen ITS-løsninger er nyttig så lenge de virker, men det oppstår ingen alvorlige problemer selv om de svikter.
4.1 Sannsynligheten for stopp i ITS-tjenester Stopp i en ITS-tjeneste har som regel sin årsak i teknisk svikt. I noen tilfeller kan det likevel være formelle eller organisatoriske årsaker til at tjenesten blir stoppet, for eksempel ved at regelverket setter krav til autorisasjon eller lignende og disse kravene ikke er oppfylt.
4.1.1 Sannsynligheten for intern svikt Den samlede sannsynligheten for stopp i en ITS-tjeneste er en sammenveiing av sannsynlighet for at feil og mangler oppstår i de ulike delsystemene. Begrepet ”mean-time-between-failure” brukes ofte for å beskrive påliteligheten til tekniske systemer. Ofte vil svikt i en komponent sette hele ITS-løsningen ut av spill. I andre tilfeller kan det være bygget inn reserveløsninger som kan bidra til å opprettholde hele eller deler av tjenesten selv om enkeltkomponenter svikter. Generelt vil den interne sårbarheten være liten for de fleste av de viktige ITS-løsningene, men fra tid til annen kan det oppstå feil i enkelte systemer på grunn av slitasje over lang tid eller kapasitetsproblemer kfr. problemene i jernbanetunnelen gjennom Oslo. Mange ITS-løsninger og -elementer er utviklet for et internasjonalt marked. Det er viktig at norske innkjøpere, både offentlige og private, stiller riktige krav til påliteligheten for disse produktene slik at de vil fungere også under norske forhold. Det er også viktig at norske utviklings- og industrimiljøer deltar i internasjonal standardisering slik at norske behov blir tilstrekkelig ivaretatt.
4.1.2 Sannsynligheten for ekstern svikt ITS-løsninger er normalt avhengig av ekstern strømforsyning. Hvis det ikke er etablert nødstrøms-løsninger, vil ITS-tjenesten stoppe ved svikt i strømforsyningen. For kritiske ITS-løsninger er det
17
gjerne installert nødaggregater slik at tjenesten kan opprettholdes også ved strømstans. Dette er for eksempel tilfelle ved vegtrafikksentralen i Oslo. Hvor det for øvrig også finnes dobbelt sett av alt datautstyr. Stabiliteten i strømforsyningen i Norge er god. Utformingen av nettet gjør at problemer over distribusjonsnettnivå normalt ikke fører til avbrudd. På landsbasis opplever hver kunde i gjennomsnitt ett utfall med en times varighet per år, stabiliteten er størst i tettbygd strøk, minst i avsidesliggende områder. I spesielle situasjoner kan det oppstå mer langvarige problemer som for eksempel da Steigen i Nordland var uten strøm i 6 dager vinteren 2007. Det finnes to hovedtyper kommunikasjonsnett: Kabelnett og trådløse nett. Begge typer finnes i mange tekniske varianter samtidig som det finnes flere parallelle konkurrerende systemer med ulike eiere/operatører. Både kabelnett og trådløse nett omfatter knutepunkter i form av koblingsbokser, bakkestasjoner og satellitter. Dette er spesielt sårbare punkter i systemene, noen av dem er dessuten avhengig av ekstern strømforsyning. Noen kommunikasjonsløsninger kan bestå dels av kabelnett, dels av trådløse nett med tilhørende knutepunkter. Internett er et eksempel på en slik kombinert kommunikasjonsløsning. Kommunikasjonssystemenes kapasitet og rekkevidde er avhengig av typen kabler samt av bølgelengde/frekvens for trådløse systemer. Systemene vil derfor ha varierende sårbarhet ved store belastninger, noe som gjerne kan oppstå i tilknytning til krisesituasjoner. Nødetatene har derfor et eget kommunikasjonssystem for informasjonsoverføring kalt TETRA. Mange ITS-løsninger er forberedt for svikt i eksterne kommunikasjonsnett, slik at en noe redusert tjeneste vil opprettholdes så lenge som mulig. Noen tjenester er imidlertid helt avhengig av at kommunikasjonsnettet er i funksjon slik at det vil bli avbrudd i tjenesten. Atter andre ITS-løsninger er helt uavhengig av eksterne kommunikasjonsnett, for eksempel isolerte kjøretøyløsninger. Fra et beredskapsmessig synspunkt er det en fordel at det finnes flere parallelle kommunikasjons-løsninger, men det er et problem at hver enkelt bruker er prisgitt den operatøren de har avtale med også når tjenesten svikter. Det synes å mangle gode rutiner på bruken av de enkelte kommunikasjonsnettverkene i krisesituasjoner, for eksempel spørsmålet om prioritet. Dette gjelder ikke for nødetatene som har tilgang til det lukkede TETRA-nettet for kommunikasjon i krisesituasjoner. TETRA er imidlertid i dag ikke tilgjengelig for normale ITS-løsninger. En del ITS-løsninger benytter seg av data fra eksterne datakilder, kfr. avsnitt 3.2.3. Systemer som er avhengig av slike data, vil som regel sørge for å lagre en kopi av de nødvendige data slik at ITS-løsningen kan være selvforsynt i tilfelle kommunikasjonsproblemer. Dette vil for eksempel være nødvendig for en ISA-løsning (Intelligent Speed Adaptation) som skal hente informasjon om fartsgrenser fra Nasjonal vegdatabank. Svikt i eksterne systemer er viet liten oppmerksomhet både i forhold til ITS-løsninger og i forhold til mange andre samfunnsfunksjoner som er avhengig av disse systemene. Dette er et spørsmål som bør vies større oppmerksomhet i tiden fremover.
4.2 Konsekvenser av stopp i ITS-tjenester Dersom konsekvensene ble analysert da ITS-løsning ble vedtatt innført, kan dette være et godt grunnlag for å vurdere konsekvensene også ved avbrudd. I beste fall foreligger det slike analyser for ITS-løsninger som offentlige myndigheter står bak, men for kommersielle ITS-tjenester vil slik informasjon neppe være tilgjengelig.
18
Gjennom TEMPO-programmet i EU er det blant annet utarbeidet en veileder for prosjekt-evaluering av ITS-løsninger (TEMPO (2005)). Hensikten med denne veilederen er å få mer kunnskaper om nytten av de ITS-løsningene som tas i bruk. Dette vil være et viktig grunnlag også for å vurdere konsekvensene av bortfall av ulike ITS-løsninger. Foreløpig finnes det imidlertid begrenset kunnskap om slike virkninger. Mange ITS-løsningene er nyttig når de fungerer, men det oppstår ingen krise selv om de er ute av drift. Hva kan konsekvensene bli for trafikanter, transportbrukere og samfunnet hvis ITS ikke fungerer som forutsatt? TEMPO (2005) lister opp følgende hovedgrupper av konsekvenser: Accessibility Safety Economy Environment Integration Financial User acceptance
Det kan stilles spørsmålstegn ved om dette gir et konsistent og korrekt grunnlag for å evaluere ITS-løsninger, det bør være en del av et videre arbeid å vurdere utvelgelse og oppdeling av konsekvenskategoriene. I Tabell 3 er det Liv og helse, Effektivitet og Miljø som er fokusert. Konsekvenser ved stopp i ulike typer ITS-tjenester vil være høyst forskjellig. I mange tilfeller kan det være svært vanskelig å klarlegge hvor mange som berøres og hvilke ulemper som oppstår. Her ligger det store utfordringer både når en skal vurdere nye ITS-løsninger og når en skal vurdere forbedringer i eksisterende systemer. Tabell 3: Antydninger av konsekvenser ved ulike anvendelser av ITS-løsninger
Konsekvens ITS-løsning
Liv og helse Effektivitet Miljø
Trafikantinformasjon (x) X (x) Trafikk- og flåtestyring x X x Førerstøtte og navigasjon X X x Overvåking og kontroll X x x Drift av infrastruktur X x (x) Betalingssystemer x (x) X = store konsekvenser x = visse konsekvenser (x) små konsekvenser Den grupperingen av ITS-løsninger etter anvendelsesområde som er benyttet i Tabell 3, er åpenbart for grov selv for en overordnet vurdering. Konsekvensanalyse vil måtte gå konkret inn på hver enkelt ITS-løsning.
4.3 Risiko ved stopp i ITS-tjenester Risikoen ved svikt og stopp i en ITS-tjeneste er her forutsatt å være en funksjon av frekvensen eller sannsynligheten for at en stoppsituasjon skal inntreffe og konsekvensene når så skjer. Ofte blir risikoen beregnet som sannsynlighet x konsekvens.
19
Tabell 4: Prinsippforslag til presentasjon av risiko ved stopp i ITS-tjenester ITS-løsning Hendelse Sannsynlighet for
stopp Konsekvenser ved stopp
Risiko ved stopp
Kommunikasjon med vegtunnel
Brann i tunnel med toveistrafikk
Hvert 10. år Flere drepte og skadde, materiell ødeleggelse
Frekvens x konsekvenser
Automatisk togstopp
Feil på elektrisk anlegg
20 timer/år Full togstans, problemer for reisende, kostnader ved reserveløsning
Varighet x konsekvenser for reisende og operatører
Ruteinformasjon Server ute av drift 10 timer/år Manglede info om rutetider
Ulemper for et antall trafikanter
AutoPASS Strømstans 5 timer/år Redusert inntekt for bomselskap
Takst x trafikk i stopptiden
Tabell 4 er en illustrasjon på en metode for kvantifisering av risiko. Konsekvensene er angitt slik at det må ytterligere analyser til for å komme frem til konkrete tall for liv og helse, effektivitet, miljø og eventuelt andre konsekvenser. Hovedutfordringene er knyttet til å tallfeste sannsynligheten for stopp i ITS-tjenester, samt å kunne konkretisere og kvantifisere konsekvensen tallmessig, kfr. foregående avsnitt. Et viktig spørsmål i denne sammenheng er hva som er adekvat respons når ulike former for avvik blir avdekket. Hvilke avvik skal resultere i stopp i togtrafikken eller stengning av vegtunneler? Når skal svikt i en ITS-tjeneste føre til nedstenging av tilbud som stenging av tunneler, stopp i togtrafikk med mer? Hele Gardermoen blir evakuert hvis det oppdages at en ukjent person har kommet seg inn på terminalområdet. Er dette adekvat respons på en slik oppdagelse? Mange av ITS-løsningene er mest aktuelle der transportbehov er stort, og hvor det er kapasitetsproblemer, dvs løsninger på storbyenes problemer. Det er imidlertid ingen tvil om at en del ITS-løsninger også er av stor verdi i mer landlige områder med andre utfordringer, for eksempel tunneler, høyfjellsstrekninger, ekstremvær i kystområder osv. ITS-løsninger kan bidra til å trygge transportaktiviteten også i slike områder. Strømstans og kommunikasjonsproblemer med stopp i flere ITS-tjenester skaper ekstra metodiske utfordringer for vurdering av nytten av tiltak for å gjøre strømforsyningen mer pålitelig. Den samme metodiske utfordringen er knyttet til forbedringer i kommunikasjonsnett. Det er viktig at konsekvensene for transportsektoren innlemmes i disse samfunnsmessige analysene. Totalrisikoen for en ITS-løsning finnes ikke nødvendigvis ved en enkel summering av delbidrag. Etablerte beredskapsplaner og reserveløsninger må legges til grunn for vurderingen av risikoen ved aktuelle hendelser.
20
5 Tiltak for å redusere risikoen Tiltak for å redusere risiko i tilknytning til ITS-løsninger kan omfatte: Forebyggende tiltak som reduserer sjansen for svikt eller konsekvensene ved svikt Beredskap og redningstjeneste for å begrense skadene når uønskede situasjoner oppstår Opprydding og reetablering av normale forhold etter en problemsituasjon
Ekstra beskyttelse eller reservelager kan etableres for sårbare eller kritiske elementer. Dublering av utstyr vil også være aktuelt for nøkkelelementer i en del ITS-løsninger. Mange av dagens ITS-løsninger inneholder tiltak som begrenser risikoen ved svikt, i andre tilfeller kan det være aktuelt å vurdere slike tiltak. Det er etablert offentlige beredskapsløsninger både på kommunalt, fylkeskommunalt, regionalt og statlig nivå. Hvilke situasjoner er disse organene forberedt på å møte? Hva har de trent på? Dette vil være avgjørende for hvordan de er i stand til å ta hånd om aktuelle krisesituasjoner. Disse organene vil imidlertid være helt avhengig av den tekniske kompetansen til operatør og leverandører av ITS-løsninger for å få reetablert slike tjenester. Mange av de situasjonene som kan oppstå ved svikt i ITS-løsninger, vil for øvrig bli løst uten at generelle beredskapsorganer blir involvert. En god håndtering av svikt i ITS-løsninger vil derfor være avhengig av den beredskap, den opplæring og de øvelser som gjennomføres i regi av ITS-operatøren inklusive supplerende kompetanse fra systemutviklere og leverandører.
5.1 Tiltak mot svikt i interne ITS-elementer Det er lenge siden det ble innført to-krets bremsesystem i biler. I dag er det satt inn dobbelt sett med servere på vegtrafikksentralene. Det finnes mange slike redundanser både i dagens ITS-løsninger og i de eksterne systemene som mange ITS-løsninger er avhengig av. Beredskaps- og redningsplaner må ta høyde for svikt i interne ITS-elementer, dels at elementene er ute av funksjon når en hendelse inntreffer, dels at elementer kan svikte som følge av selve hendelsen. Den interne strømforsyningen kan svikte når batterier utlades, når strømkabler kuttes eller når nødaggregater ikke fungerer i en krisesituasjon. Interne kommunikasjonsnett kan bli ødelagt av brann o.l., datamaskiner eller prosessorer kan svikte slik at nødvendig informasjon blir utilgjengelig og informasjon som varsellys, skilt, bommer, tekst- og talemeldinger osv. kan bli satt ut av funksjon..
5.2 Tiltak mot svikt i eksterne systemer ITS-operatørene har begrenset mulighet for å redusere risikoen i eksterne systemer. I noen tilfeller kan det være et alternativ å gjøre ITS-løsningene uavhengig av ekstern strøm og kommunikasjonsnett selv om dette kanskje ikke er den ideelle og billigste løsningen. Det kan også redusere sårbarheten til ITS om en arbeider mot kopier av eksterne databaser i stedet for åpne, offentlige originaler hvor kapasitetsproblemer og andre driftsforstyrrelser kan oppstå.
5.2.1 Tiltak mot svikt i strømforsyning Elektrisitetsforsyningen i Norge omfatter et sentralnett (overføringslinjer), et regionalnett og et distribusjonsnett frem til de enkelte kunder. I tillegg finnes det en rekke transformatorer og koplingspunkter som også er sårbare for ulike typer uønskede hendelser. Forsterkning, utskifting og godt vedlikehold av linjer, master, transformatorer, kabler og annet utstyr vil sikre
21
leveransestabiliteten. Det er allerede bygget inn betydelig redundans i systemet slik at utfall av enkelte linjer eller transformatorer normalt ikke vil føre til brudd i strømforsyningen. Den største faren for svikt i strømforsyning i er knyttet til distribusjonsnettet. I mer avsidesliggende områder vil overføringslinjene utgjøre den største driftsutfordringen. Flere innføringspunkter til spesielt sårbare kunder eller områder vil begrense risikoen når uforutsette hendelser inntreffer. Enkelte hendelse kan medføre delvis svikt i strømforsyningen slik at strømleverandøren må ta stilling til hvilke kunder som skal prioriteres. Det er i dag ingen klare retningslinjer for de prioriteringer som skal gjøres når tilgjengelig strøm dekker etterspørselen. Kunder som er særlig sårbare for strømbrudd, må selv ta stilling til om de skal anskaffe og installere nødstrømsaggregater som kriseløsning ved strømbrudd. Der en er avhengig av kontinuerlig strømforsyning må det dessuten installeres en batteriberedskap som startløsning inntil et nødaggregat er kjørt i gang. Slike løsninger kan det være aktuelt å vurdere for særlig viktige ITS-løsninger som for eksempel trafikkontrollsentralene. Flere strømkunder i samme område som er avhengig av stabil strømforsyning, kan eventuelt gå sammen om en felles nødløsning. De enkelte strømleverandørene har ikke noe ansvar eller insitament for å tilby slike reserveløsninger for sårbare kunder.
5.2.2 Tiltak mot svikt i kommunikasjonsnettverk Eksterne kommunikasjonsnettverk er og vil bli et sentralt element i stadig nye ITS-tjenester. Meldinger og kommunikasjon mellom transportoperatør og brukere vil bli utviklet videre. Det forventes at mobiltelefoner snart vil være fast montert i alle nye kjøretøyer. Dermed vil en kunne nå alle biltrafikanter som befinner seg i et kriseutsatt område, for eksempel et flomområde eller en vegtunnel. Dagens SMS er ikke et stabilt kommunikasjonsmedium, særlig ikke i en krisesituasjon. Det er ingen leveransegaranti på denne tjenesten. Her er det imidlertid mulig å forhandle med leverandørene slik at kritiske meldinger får prioritet i nødsituasjoner. Dagen mobiltelefonoperatører er uavhengig av hverandre i den forstand at alle kunder til et selskap blir uten tilbud ved stopp i tjenesten. Teknisk sett er det intet til hinder for at kunder i en krisesituasjon kunne bli betjent av en konkurrerende operatør. Det er først og fremst organisatoriske og konkurransemessige forhold som hindrer slike løsninger i dag.
5.2.3 Tiltak mot svikt i leveranse fra eksterne datakilder I mange tilfeller vil en ITS-løsning som benytter data fra eksterne kilder, arbeide mot en kopi av de offisielle dataene. Kopiering av arbeidskopien kan gjøres med definerte mellomrom. Dette vil være en høyst aktuell løsning i kontrollsentraler som trenger eksterne data for håndtering av krisesituasjoner. De kopierte dataene er kanskje ikke helt à jour, men likevel langt bedre enn ingen data. Andre ITS-løsninger vil ikke ha tilstrekkelig lagringskapasitet til å laste ned slike kopier, for eksempel løsninger som baserer seg på bruk av mobiltelefoner. Stor kreativitet er brukt i slike tjenester for å finne løsninger for lagring et minimalisert datasett som kan avhjelpe problemet med manglende tilgang til primærdatakilden. En del aktuelle primære datakilder er angitt i avsnitt 3.2.3.
22
5.3 Tiltak for å eliminere organisatoriske problemer Problemene som nylig oppsto som følge av brann på Oslo S, hadde delvis sin årsak i manglende avklaringer av ansvarsforhold etter de omorganiseringer som er gjennomført i jernbanesektoren. Private operatører investerer ofte ikke i kostbare sikkerhetstiltak som ikke gir økonomisk gevinst. Offentlige myndigheter har i oppgave å sikre at samfunnets interesser i tilstrekkelig grad blir ivaretatt, dels ved at det etableres regelverk med krav som skal være oppfylt, dels ved insitamenter som stimulerer operatørene til å tilgodese samfunnssikkerheten. Samtidig er det viktig at slike krav er godt underbygget slik at de ikke resulterer i hyppige stopp med unødvendig store konsekvenser for trafikantene og for samfunnet. Det må gjennomføres obligatoriske øvelser på håndtering av krisesituasjoner som krever samarbeid mellom flere myndighetsorganer og private aktører med ulik fagkompetanse. Samarbeidet i en krisesituasjon fungerer utvilsomt best mellom aktører med daglig kontakt og samarbeid. Omorganisering og utskifting av personell tilsier ekstra innsats i form av øvelser eller lignende for å stå godt rustet når en krisesituasjon oppstår.
5.4 Evaluering av risikoreduserende tiltak Generelt må forbedringer i eksisterende ITS-løsninger evalueres etter de samme prinsipper som etableringen av nye tjenester. I kapittel 4 er det angitt de hovedkonsekvenser som TEMPO (2005) har foreslått lagt til grunn for slike evalueringer. Vi går ikke nærmere inn på spørsmålet om evalueringskriterier i denne sammenheng, trolig er det bred enighet om at tiltakskostnader, sikkerhet, effektivitet og miljø er blant de viktigste konsekvensene.
Risikosystem- Infrastruktur - Styringssystem - Bruk og brukere
Destruktiv atferd
Barrierer Tiden går
Konsekvenser
Naturlig påvirkning utenfor menneskelig kontroll
Hendelser: Hyppighet, styrke og utbredelse
Teknisk og menneskelig svikt
Basisscenario med alternativer
Tiltak
Beslutningsrelevante konsekvenser
Sekundære elementer
Figur 9: Prinsippskisse for evaluering av risikoreduserende tiltak (Kilde: Bertelsen (2008B))
23
Alle konsekvenser som kan listes opp for et tiltak, er ikke nødvendigvis beslutningsrelevante, kfr. Bertelsen (2008A). Det er mange utfordringer knyttet til å etablere modeller for å kvantifisere konsekvensene. Det er også utfordringer med å avgrense en analysesituasjon på en slik måte at det kan foretas en riktig evaluering av nye tiltak og av forbedringstiltak. En ekstra utfordring oppstår når et tiltak vil gi gevinster også utover ITS-området. Dette vil være tilfellet for eksempel ved forbedringer i strømforsyning og kommunikasjonsnett. Figur 9 er en illustrasjon av prinsipper for analyse og evaluering av tiltak ved risikosystemer. Mange ITS-løsninger kan karakteriseres som risikosystemer. Slike ITS-løsninger vil være sårbare for uønskede hendelser, men risikoen kan elimineres eller begrenses ved at det settes inn hensiktsmessige tiltak eller barrierer. Aktuelle tiltak evalueres med grunnlag i en konsekvensanalyse og konsekvensenes beslutningsrelevans.
24
6 Oppsummering, status og utfordringer ITS – IKT i transport – omfatter en rekke løsninger og tjenester med høyst forskjellig innhold og formål. En del av ITS-løsningene kan sammenlignes med de fleste andre varer og tjenester som er til salgs, de kan være greie å ha, men det oppstår ingen store problemer selv om de ikke skulle virke. At det er feil eller utdatert informasjon på en nettside er ikke mer problematisk for transportsektoren enn for mange andre samfunnssektorer. De ITS-tjenestene som var fokusert på seminaret, var de som har direkte betydning for transportsikkerheten, enten ved at de bidrar til å redusere risikoen ved uønskede hendelser, eller ved at de aktuelle løsningene selv er sårbare for uønskede hendelser. Da er det særlig ITS-løsninger innenfor følgende to anvendelsesområder som er av interesse: ITS for førerstøtte og navigasjon ITS til overvåking og kontroll
Det er ingen tvil om at mange av de ITS-løsningene som er tatt i bruk, er helt avgjørende for den høye sikkerheten vi faktisk har i transportsektoren i dag. Risiko og sårbarhet knyttet til ITS kan være både av teknisk art, menneskelig art og organisatorisk art.
6.1 Tekniske sider Det har vært en rivende teknologiske utvikling de siste 20-50 årene. Nye tekniske hjelpemidler og løsninger blir stadig tatt i bruk både i transportsektoren og i samfunnet for øvrig. Dette er til stor nytte og glede for mange, men også et problem for enkelte som ikke henger med i denne utviklingen. Det at vi tar i bruk stadig mer teknisk avanserte løsninger innebærer også en sikkerhetsrisiko gjennom teknisk svikt eller redusert menneskelig oppmerksomhet i trafikken. Det er en stor utfordring å sørge for at slike situasjoner unngås ved at ITS-løsningene gjøres mer robuste og ved at reserveløsninger er tilgjengelig om noe svikter. Det kan være behov for å gjennomgå en del av dagens ITS-løsninger med denne innfallsvinkelen for å klarlegge behovet for supplerende tiltak. Mange ITS-løsninger utvikles av private aktører, ofte slik at produkter fra flere leverandører inngår i den endelige ITS-løsning som tilbys på markedet. Dette gjør det nødvendig med standardisering for at teknologien skal fungere som forutsatt. Også for brukerne, offentlige så vel som private, er det viktig med denne standardiseringen slik at ulike produkter kan brukes om hverandre. Standardiseringsbehovet gjelder både fysiske koplinger mellom ulike systemer, for eksempel tekniske grensesnitt og dataformater for utveksling av digital informasjon. Samtidig er det også viktig at standardiseringen ikke blir så detaljert og omfattende at den bremser utvikling av nye og enda bedre produkter. En av utfordringene i dag er å sikre at nasjonale behov og krav tilgodeses i tilstrekkelig grad i de internasjonale standardene.
6.2 Organisering og ansvar Mange ITS-løsninger utvikles ved et samarbeid mellom mange private leverandører og offentlige myndigheter. Sluttbrukerne kan være både offentlige og private transportutøvere og trafikanter. For løsninger og tjenester som private aktører tilbyr på det private marked vil offentlige myndigheters oppgave være å godkjenne og/eller å stille krav til de aktuelle produkter og løsninger for å sikre at viktige samfunnsinteresser er ivaretatt. Det er operatøren eller leverandøren som må vurdere lønnsomheten for den aktuelle ITS-løsningen, også etter
25
implementering av eventuell krav. I noen tilfeller kan det også være aktuelt offentlige myndigheter å benytte økonomiske insentiver for å oppnå at en ITS-tjeneste utformes på en samfunnsmessig gunstig måte. Det er viktig at offentlige myndigheter ivaretar disse oppgaven på en slik måte at ITS-løsningene tjener samfunnets interesser på en god måte. For en del ITS-løsninger vil offentlige myndigheter spille en mer sentral rolle, enten som bestiller av spesifikke løsninger eller i et nært og forpliktende samarbeid med andre utviklere av nye ITS-løsninger. I noen tilfeller kan offentlige etater komme inn i bildet kun som leverandører av data til nye ITS-løsninger, for eksempel vegnettsdata. Ofte vil offentlige organer være involvert og drive ITS-løsninger med viktige sikkerhetsmessige aspekter, for eksempel trafikkovervåking av fly, tog, skip og biltrafikk. Det er denne siste typen av ITS-løsninger som er av størst interesse i sammenheng med dette arbeidet. Mange av disse løsningene har som primæroppgave å hindre at farlige situasjoner oppstår eller å bidra til å begrense skadene dersom de inntreffer. Selv om mange ITS-løsninger bidrar til å redusere risikoen ved transport, vil farlige situasjoner fra tid til annen oppstå. Den beredskapen som skal tå hånd om slike hendelser, må være organisert og ha en kompetanse som er tilpasset de situasjonene som kan oppstå. Et komplisert samfunn innebærer at mange organer, selskaper og personer kan bli involvert i en krisehåndtering. Godt samarbeid fungerer best mellom aktører som samarbeider også i det daglige, og som gjerne gjennomfører praktiske øvelser ofte nok til at redningsarbeidet vil fungere når en faktisk krisesituasjon oppstår. Enkelte hendelser i den senere tid, for eksempel brannen på Oslo S, kan tyde på at det er behov for en evaluering av beredskapsopplegget knyttet til uønskede hendelser i transportsektoren. Mange ITS-løsninger dreier seg om å overvåke transportenheter og førere slik at tilløp til feilnavigering kan oppdages og ulykker unngås. Økt grad av overvåking av vegtrafikk og trafikanter vil kunne hindre flere av ulykkene i denne delen av transportsystemet. Dette kommer imidlertid raskt i konflikt med hensynet til personvernet. Dette er vanskelige avveininger som ikke ble nærmere behandlet under seminaret. En klar utfordring for alle ITS-systemer er knyttet til ansvar i tilfelle feil eller bortfall av tjenester. Ansvar vil vanligvis gå mot tjenestetilbyder enten det er en offentlig eller privat aktør. Ansvar kan gjelde ufarlige ting som feilinformasjon som bare har økonomiske konsekvenser, og det kan gjelde kritiske trafikksikkerhetssystemer hvor liv og helse er i fare. Generelt i dag har førerne ansvar innen transportsektoren. ITS er bare støttesystemer. Men en videre utvikling av ITS-løsninger i retning av mer automatisk kjøring og førerløse enheter, vil ansvar gradvis overføres til ”Systemet”. Dette vil reise store utfordringer knyttet til ansvarsforholdene. Flykontrollen har i dag for eksempel et stort ansvar for flytrafikken. Ansvarshavende flygeleder ble for eksempel gjort ansvarlig for den store flykollisjonen over luftrommet i Sveits for noen år siden. Vi vil bare nevne disse store utfordringen her selv om dette spørsmålet ikke ble nærmere diskutert under seminaret.
6.3 Metodikk og kompetanse Både offentlige og private aktører sitter nå med en betydelig mengde data i driftsdatabaser om feilsituasjoner og hendelser som har, eller kunne ha, utløst ulykker eller katastrofer. De enkelte aktørene benytter dette i sine vurderinger av korrigerende tiltak, men dette materialet ville også være svært verdifullt til analyser og forskning knyttet til kartlegging av generelle risiko og sårbarhetsanalyser for ITS-systemer. Offentlig myndighetsutøvelse vil for en del ITS-løsninger dreie seg om godkjenning, krav eller insitamenter for å sikre viktige samfunnsbehov. Dette er en vanskelig oppgave fordi det ikke vil være mulig å trenge inn i alle tekniske og økonomiske sider ved løsningene. Det er ikke ønskelig å
26
utestenge gode løsninger, men det er heller ikke ønskelig å godkjenne løsninger som går på tvers av samfunnets interesser. Det er behov for å utvikle prosedyrer og regler for behandling av slike situasjoner, inklusiv vurderinger av krav eller insitamenter grunnlag for en eventuell godkjenning. For ITS-løsninger der offentlige aktører er bestiller, pådriver eller har en sentral rolle, er det mer relevant med en helhetlig samfunnsmessig evaluering. Det bør gjennomføres tilfredsstillende risiko og sårbarhetsanalyser både av nye løsninger og av supplerende tiltak ved eksisterende løsninger. Så sammensatt som mange ITS-tjenester har blitt, vil det være en krevende oppgave å kvantifisere de samfunnsmessige konsekvensene med hensyn til sikkerhet, miljø og effektivitet. Det er fremdeles mye upløyd mark og metodiske utfordringer knyttet til slike analyser. Samfunnets kriseberedskap skal stå i et rimelig forhold både til sannsynligheten for at krisesituasjoner kan oppstå og konsekvensene dersom de oppstår. Det er en vanskelig oppgave i seg selv å utforme og dimensjonere denne beredskapen. Hvor omfattende skal beredskapen være både med hensyn til personell og materiell? Hvilke situasjoner skal beredskapsapparatet forberede seg på, og hvor ofte skal det gjennomføres øvelser? Hvem skal lede, hvem skal delta og hvem skal være tilgjengelig i ulike krisesituasjoner? Hvilke avtaler bør foreligge forut for at krisen inntreffer? Slike spørsmål må det tas løpende stilling til i et samfunn som er i stadig utvikling. Den prinsipielle fremgangsmåten for slike analyser vil være fast, men innholdet i analysene må hele tiden oppdateres. ITS-løsninger er og vil være viktige hjelpemidler i beredskapssammenheng og krisehåndtering blant annet fordi de representerer nye og gjerne alternative kommunikasjonskanaler mot trafikantene. En av de store utfordringene innenfor ITS fremover ligger i å få til godt samspill mellom systemer, teknologi, organisasjoner, selskaper og mennesker.
27
Referanser Bang, Børge og Wahl, Ragnhild (2007): ITS – IKT i transportsektoren. Klargjøring og avgrensning. STF50 A07010, Trondheim 2007 Bertelsen, Dag (2008A): Selection and Valuation of Criteria in Decision-making for Improvements in Transport Systems. Paper til Trafikdage ved Ålborg universitet 2008 Bertelsen, Dag (2008B): Sjursøya Risikoanalyser. Foredrag på DECRIS-seminar i Oslo 2008 ISO (2004): Continuous Air Interface for Long and Medium range. The CALM Handbook, ISO TC204, ETSI ERM TG37 Natvig M., Westerheim H. og Skylstad, G. F. (2004): ARKTRANS. The Norwegian system framework architecture for multimodal transport systems supporting freight and passenger transport. Version 4. SINTEF rapport. STF90A05008.
PReVENT: http://www.prevent-ip.org/ Statens vegvesen (2007): Veileder for risikoanalyser av vegtunnelser. TS 2007 : 11 TEMPO (2005): Euro-Regional Project Evaluation Guidelines.
28
29
Vedlegg A: Program og deltakerliste for seminaret
Arbeidsseminar om ITS og sikkerhet og beredskap i samferdselssektoren Onsdag 21. mai 2008 kl. 09.30-15.30
Akersg. 59, møterom D 1129 Tid Aktivitet Ansvarlig 09.30 Åpning og kort presentasjonsrunde Anders Hovdum
Samferdselsdepartementet Ordstyrer: Ivar Christiansen, ITS Norge
10.00 A. Hvilke ITS-elementer kan svikte og forårsake alvorlige samfunnsmessige problemer?
Innleder A Steinar Andresen, NTNU
10.30 B. Hvordan kan ITS hindre at kritiske situasjoner oppstår samt begrense skadene når de likevel inntreffer?
Innleder B Kai Gundersen, Statens vegvesen
11.00 Igangsetting av gruppearbeid SINTEF 11.15 Lunsj Samferdselsdepartementet 11.45 Gruppediskusjoner SINTEF 14.00 Plenumssamling og diskusjoner Ordstyrer:
Ivar Christiansen, ITS Norge 15.15 Oppsummering Anders Hovdum
Samferdselsdepartementet 15.30 Slutt
Deltakerliste Navn Virksomhet
1. Helge Jensen ITS Norge 2. Ivar Christiansen ITS Norge 3. Asbjørn Hovstø ITS Norge 4. Ragnhild Wahl SINTEF 5. Dag Bertelsen SINTEF 6. Martin Gilje Jaatun SINTEF 7. Anders R. Hovdum Samferdselsdepartementet 8. Tone Figenschou Sandvik Samferdselsdepartementet 9. Berit Renberg Statens vegvesen 10. Kai Gundersen Statens vegvesen 11. Hein Gabrielsen Statens vegvesen 12. Richard Muskaug Statens vegvesen 13. Corinne Chiodini Statens vegvesen 14. Steinar Andresen NTNU 15. Steinar Furan Q-free 16. Sven Lunøe Pihl Ciber Norway 17. Tor Magne Karlsen Ruter AS 18. Åge Reiakvam Siemens AS 19. Frank Åseli IBM 20. Ole Helmic Øen NAF 21. Jon B. Berntsen Oslo kommune 22. Jan Egil Bäckmark Oslo kommune 23. Øystein Korum Post- og teletilsynet 24. Audun Andersen Trafikanten AS 25. Rune Kanck NetCom AS 26. Torbjørn Berger JBV Nett 27. Jan Christiansen NSB
30
31
Vedlegg B: Slides fra Steinar Andresens foredrag
32
33
34
35
36
37
38
39
40
41
42
![Tilfeldig utvalg [8.1] Statistisk inferens U.i - NTNU...TMA4245 V2007: Eirik Mo mo@math.ntnu.no (utarbeidetav Mette Langaas), TMA4245 V2 007 2 Statistisk inferens Fra innsamling, bearbeiding,](https://img.dokumen.tips/doc/110x75/60651014d3337102c9783c33/tilfeldig-utvalg-81-statistisk-inferens-ui-ntnu-tma4245-v2007-eirik-mo.jpg)
