Volltext |
Der Fachvortrag zur Veranstaltung ist im Volltext verfügbar. Das PDF enthält alle Bilder und Formeln.
1 Einleitung
Beförderungs- und Transportketten beinhalten heutzutage typischerweise mehr als einen Verkehrsträger. Diese Inter- bzw. Multimodalität führt systembedingt zu physischen und logischen Berührungspunkten verschiedener städtischer Verkehrssysteme, wie Metro, Bus, Straßenbahn und Individualverkehr. Die urbanen Netze setzen sich dabei zu einem übergeordneten „Netz von Netzen“ zusammen. Durch diese Vernetzung entstehen einerseits Redundanzen in Form verschiedener Kantenfolgen (Transportmöglichkeiten), um im „Netz von Netzen“ von Knoten A nach Knoten B zu gelangen; andererseits wird das „Netz von Netzen“ durch eine erhöhte Verwundbarkeit charakterisiert. Der letztgenannte Aspekt stellt den Fokus des Projekts dar: Die Störung (z.B. Bombenattentat) einer kritischen Infrastruktur (z.B. Syntagma-Station, Athen) in Netz M (Metro-Netz) wirkt sich oft durch Folgeereignisse auf Komponenten in mit M verbundenen Netzen S (Straßen-, Busnetz), V (Energieversorgungsnetz) und K (Kommunikationsnetz) aus und schränkt deren Verfügbarkeit ein (Bild 1). Im Folgenden werden Methoden und Modelle der Risikoanalyse vorgestellt, die im derzeit bearbeiteten Projekt STAR-TRANS zur Anwendung kommen. Die Europäische Kommission fördert innerhalb des 7. EU-Forschungsrahmenprogramms das bis April 2012 laufende EU-Projekt. Das Projekt adressiert Entscheidungsprozesse im Rahmen der strategischen Verkehrsplanung von Großstädten und Ballungsräumen.
Bild 1: Risiko-Ausbreitung im „Netz von Netzen“
Mithilfe eines im Projekt zu entwickelnden Verfahrens zur automatisierten Risikoabschätzung von sicherheitsrelevanten Ereignissen (z.B. Terrorismus, Naturkatastrophen oder Großveranstaltungen) können Auswirkungen auf verknüpfte und voneinander abhängige Verkehrsnetze bewertet und Maßnahmen für ein gezieltes Störfallmanagement bereitgestellt werden. Dieses Werkzeug zur Entscheidungsunterstützung beinhaltet einen Formalismus zur Modellierung der Verkehrsnetzstruktur, seiner Komponenten und deren gegenseitigen Abhängigkeiten. Anhand eines GIS-basierten Ansatzes, untersetzt mit georeferenziertem Kartenmaterial und historischen Statistiken, wird eine Identifizierung von Verwundbarkeiten und Schwachstellen, die den Betrieb oder Sicherheitsstatus des „Netzes von Netzen“ beeinflussen, ermöglicht. Verschiedenste Szenarien können damit simuliert, Auswirkungen des Ereignisses abgeschätzt und potentielle Folgeereignisse offenbart werden. Eine mögliche Ereigniskaskade eines Bombenattentats in einer zentralen Athener Metrohaltestelle (Bild 1) könnte folgendermaßen aussehen:
- Vollsperrung Metro-Netz infolge Bombenattentat
- Überlastung bzw. Zusammenbruch Bus-, Straßennetz aufgrund Zentralität des Ereignisses
- Flächendeckender Stromausfall durch Brand in Unterwerk oder Schaltstelle
- Partielle Störung des Kommunikationsnetzes durch Überlastung oder Brand
Erforderliche Maßnahmen und Einsatzkräfte werden infolge des Ereignisses identifiziert und je nach Störungsart priorisiert. Die Ergebnisse des Tools, in Form von Diagrammen, Berichten, Empfehlungen oder Daten, dienen als Grundlage für das strategische Handeln von Entscheidungsträgern, wie Verkehrsbetrieben, Einsatzkräften, Sicherheitsbeauftragten, Versicherungsgesellschaften oder Gesundheitsämtern; sowie als Eingangsdaten für weitere Optimierungsverfahren.
2 Verfahrensbeschreibung
2.1 Verfahrensüberblick
Zur automatisierten Abschätzung des Risikos von simulierten Störfällen in vernetzen, urbanen Verkehrssystemen, wird ein Risikoanalyseverfahren vorgestellt, das sich aus vier Hauptkomponenten zusammensetzt (siehe Bild 2, SFETSOS et al. 2010, [1]).
Bild 2: Verfahrensüberblick
Zunächst muss zum Simulieren eines bestimmten Szenarios das ursprüngliche Ereignis Ei definiert werden. Dabei ist eine Datenbank aller denkbaren sicherheitsrelevanten Ereignisse dem Tool zu hinterlegen. In einem zweiten Schritt wird das vom Ereignis Ei ausgehende Risiko R bestimmt. Das Risiko wird allgemein als Produkt aus Eintrittswahrscheinlichkeit (Likelihood) L des Ereignisses Ei und dessen Konsequenzen (Consequences) C angesehen, siehe Gleichung (1). Formel (1) siehe PDF. Ausgehend vom Ereignis Ei erfolgt eine Zuordnung zu einer gewissen Klasse der Eintrittswahrscheinlichkeit bzw. zu einer bestimmten Art des Ausmaßes, um beide Größen zu quantifizieren und letztlich auf einer Ordinalskala mit einem unscharfen Wert zu kategorisieren. Mithilfe des klassischen Mittels der semi-quantitativen Risikoanalyse, der Risiko-Matrix, erfolgt die Verknüpfung von Wahrscheinlichkeit und Schadensausmaß sowie die Abschätzung des resultierenden Risikos. Während die Risikoanalyse (hell(-blau) unterlegter Bereich in Bild 2, basierend auf den Arbeiten von HAIMES 1981, [2]; KAPLAN et al. 2001, [3]; LAMBERT et al. 2001, [4]) ein gängiges Werkzeug der Praxis darstellt und für den Anwendungsfall geeignet modifiziert und angepasst wurde, liegt ein besonderer Fokus auf dem dritten Teilschritt des Verfahrens, der Risiko-Ausbreitung. Verknüpfungen zwischen Komponenten bzw. Netzen und daraus resultierende Folgeereignisse werden identifiziert und modelliert. Schlussendlich bilden die vorherigen Schritte die Basis für den letzten Teilschritt des Tools, der Planung geeigneter Maßnahmen. Der Ablauf des Verfahrens wird im Folgenden näher beschrieben.
2.2 Modellierung der Verkehrsnetzstruktur
Um Verwundbarkeiten in Verkehrsnetzen automatisch zu identifizieren, wird zunächst ein Modell der Verkehrsnetzstruktur, seiner elementaren Komponenten (sog. „Assets“) und deren gegenseitigen Abhängigkeiten eingeführt. Zur Erzeugung von Verkehr sind drei direkte Bestandteile essenziell (siehe Bild 3, TÖNJES et al. 2010, [5]). Durch das Bedürfnis nach Mobilität entsteht eine Verkehrsnachfrage. Zur Realisierung dieser Nachfrage sind weiterhin ein Transportmedium und eine Verkehrsinfrastruktur, das Verkehrsnetz, unabdingbar. Zur Aufrechterhaltung und Optimierung des Betriebs dienen indirekte Netze der Energieversorgung und der Informationssysteme. Diese fünf miteinander gekoppelten und voneinander abhängigen Hauptbestandteile ergeben eine Grundstruktur eines jeden Verkehrssystems.
Bild 3: Strukturierung von Verkehrsnetzen (TÖNJES et al. 2010 [5])
Aufgrund der Tatsache, dass diese Komponenten die zu implementierenden Objekte des Softwaretools darstellen, wird zur umfassenden Beschreibung die zunächst abstrakte Grundstruktur mithilfe eines angemessen erscheinenden Detaillierungsgrades hierarchisch aufgegliedert (Bild 4, unter Verwendung von SCHNABEL und LOSHE 1997, [6]; RÜGER 1986, [7]). So besteht die Verkehrsnetzinfrastruktur grundsätzlich aus den elementaren Bestandteilen Knoten, Kanten und Überlappungen von Netzen. Im Folgenden unterscheidet man Zu- und Abgangsknoten (z.B. einfache Haltestellen mit Anbindung zum Netz ohne Umsteigefunktion), Verbindungsknoten (netzintern: z.B. zu anderen Linien bzw. netzübergreifend: z.B. zu anderen Verkehrsträgern) und Speicherknoten (z.B. Fahrzeugdepots). Analog dazu werden Verbindungskanten (netzintern: Verbindung zweier Knoten innerhalb eines Netzes bzw. netzverbindend: Verbindung zweier Knoten verschiedener Netze) sowie Quelle- und Ziel-Kanten (Verbindung zweier Knoten innerhalb eines Netzes, wobei einer der Knoten ein Quell- oder Zielknoten ist) eingeführt. Verkehrsnetze kreuzen oder berühren sich an bestimmten Punkten oder Kanten ohne eine Verknüpfungsfunktion zu besitzen. Solche Überlappungen können planar (Verkehrsnetze höhengleich, z.B. Bahnübergang) und nicht-planar (unterschiedliche Höhenniveaus, z.B. Eisenbahnbrücke, Hochbahn über Straßennetz) sein. Verkehrsmittel werden durch ihren genutzten Verkehrsweg charakterisiert, man unterscheidet daher Straßen-, Schienen-, Luft- und Wasserfahrzeuge. Eine Verkehrsnachfrage wird in der Regel durch Einrichtungen („Points of Interest“), Menschen oder Güter erzeugt. Im Bereich der Informationssysteme sind Kommunikationssysteme, Sicherungssysteme und Steuerungssysteme im Verkehrssektor von Bedeutung. Mithilfe dieser Struktur (Auszug aus TÖNJES et al. 2010, [5]; nicht bis zur letzten Detaillierungsstufe dargestellt) lassen sich alle sicherheitsrelevanten Komponenten eines Verkehrsnetzes kategorisieren.
Bild 4: Hierarchische Strktur von Verkehrsnetzkomponenten (Auszug aus TÖJES et a. 2010 [5])
Auf Basis dieser Abstraktionsstufe lässt sich eine allgemeingültige Schwachstellenanalyse der genannten Komponenten eines Verkehrsnetzes ausführen, um verwundbare Infrastrukturen zu ermitteln. Dabei untersucht man für die jeweilige Komponente die netzinterne Relevanz und die netzübergreifende Bedeutung im „Netz von Netzen“. Beispielsweise besitzen Quelle-und Ziel-Kanten eine hohe netzinterne Bedeutung, für das „Netz von Netzen“ ergibt sich aber nur eine Relevanz, falls Start- oder Endhaltestelle der Kante einen netzübergreifenden Verknüpfungspunkt beinhaltet. Eine Komponente ist ferner kritisch bzw. verwundbar, wenn eine Störung die betrachtete Komponente beeinflusst und diese den Betrieb im umgebenden Netz oder im „Netz von Netzen“ beeinträchtigt. Eine planare Überlappung ist beispielsweise verwundbar, wenn die von mehreren Verkehrsmitteln genutzte Fläche (z.B. Gefahrraum beim Bahnübergang) blockiert wird und dadurch verschiedene Verkehrsflüsse im „Netz von Netzen“ beeinträchtigt werden. Mit dieser Herangehensweise ergeben sich besonders kritische Infrastrukturen: netzübergreifende Verbindungsknoten, Netz-Überlappungen, Schienenfahrzeuge, Points of Interest sowie Sicherungs- und Steuerungssysteme.
2.3 Klassifikation von Ereignissen
Verwundbarkeiten des „Netzes von Netzen“ können durch den Eintritt von Ereignissen offenbart werden, die entweder menschlich bedingt oder natürlichen Ursprungs sein können (SFETSOS et al. 2010, [1]). Um verschiedenartigste Szenarien zu simulieren und potentielle Folgeereignisse schematisch zu identifizieren, enthält das Verfahren im Hintergrund eine strukturierte Komplettauflistung aller sicherheitsrelevanten Ereignisse. Eine verkleinerte Darstellung ist in Bild 5 zu sehen. Menschliche Aktivitäten äußern sich z.B. in Großveranstaltungen (Demonstrationen, Streiks, Events etc.), Kriminalität (Terrorismus, Computer-Hacking etc.) oder menschlich bedingten Unfällen und Störfällen, bei denen Umwelt, Technik, Verkehr oder Infrastruktur involviert sein können. Physiochemische (z.B. (Wald-) Brände), biologische (z.B. Epidemie), (hydro-)geologische (z.B. Erdrutsch, Erdbeben) oder extreme Wettereffekte (z.B. Schneesturm, Hurrikan) führen zu naturbedingten Schadenereignissen.
Bild 5: Klassifikation sicherheitsrelevanter Ereignisse (Auszug aus SFETSOS et al. 2010, [1])
2.4 Bestimmung der Eintrittswahrscheinlichkeit von Ereignissen
Zur Bestimmung der Eintrittswahrscheinlichkeit von Ereignissen unterscheidet man zunächst, ob es sich um ein intentionales oder nicht-intentionales Ereignis handelt. Zur Quantifizierung bedient man sich Expertenmeinungen bzw. historischen Daten (Statistiken, Erfahrungen). In der Praxis verwendet man Häufigkeiten, um die Anzahl von Ereignissen in einem bestimmten Beobachtungszeitraum zu erfassen. Die ermittelten Wahrscheinlichkeiten ordnet man dann einer fünfstufigen Ordinalskala zu (Bild 6, SFETSOS et al. 2010, [1]). Dabei verwendet man die unscharfen Kategorien „unvorstellbar“, „unwahrscheinlich“, „gelegentlich“, „wahrscheinlich“ und „häufig“, die durch definierte Häufigkeiten gekennzeichnet sind, welche je nach Anwendungsgebiet angepasst werden können.
Bild 6: Bestimmung der Eintrittswahrscheinlichkeit von Ereignissen
Das Beispiel des Bombenattentats in Athen stellt ein intentionales, vorsätzliches Ereignis dar, welches durch Expertenmeinungen als unwahrscheinlich eingestuft werden würde und mit dessen Eintreten aller 5-10 Jahre zu rechnen wäre.
2.5 Bestimmung des Schadensausmaßes von Ereignissen
Ähnlich wie bei der Bestimmung der Eintrittswahrscheinlichkeit von Ereignissen wird auch bei der Ermittlung des zugehörigen Schadensausmaßes vorgegangen. Im Hintergrund des Risikoanalyseverfahrens werden, getreu der Denkweise „Was wäre, wenn…?“, per Datenbankabfrage alle Konsequenzen dem ausgewählten Ereignis zugeordnet. Die Verknüpfung von Ereignissen und Konsequenzen erfolgt mithilfe einer 0/1-Matrix: alle Konsequenzen, die durch das Ereignis Ei ausgelöst werden können sind mit „1“ gekennzeichnet, alle anderen Auswirkungen mit „0“ (Tabelle 1). Konsequenzen sind demzufolge Resultate des Eintritts eines bestimmten Ereignisses, ein Maß für dessen Auswirkungen, welche anhand von sieben Ausprägungskategorien, wie Opferzahl, Betriebsstörungen, Umwelteffekte, wirtschaftliche Verluste oder gesellschaftlichen Folgen festgemacht werden können.
Tabelle 1: Zuordnung von Konsequenzen zu Ereignissen (Auszug aus SFETSOS et al. 2010, [1])
In Tabelle 1 bzw. Bild 7 ist zu erkennen, dass es sich um einen zweistufigen Ansatz handelt (SFETSOS et al. 2010, [1]), da jede generische Konsequenzen-Kategorie (Stufe 1) wiederum verschiedene Ausprägungen (Stufe 2) aufweist. So setzt sich z.B. die Opferzahl (Stufe 1) aus der Zahl der Toten und Verletzten (Stufe 2) zusammen; Umweltauswirkungen werden durch eine betroffene Fläche und eine benötigte Erholungszeit charakterisiert.
Bild 7: Bestimmung des Schadensausmaßes von Ereignissen
Für alle zutreffenden Ausprägungen der zweiten Stufe ist jeweils eine Quantifizierung (numerisch, logisch, binär oder kategorial) vorzunehmen. Zur Bezifferung der Betriebsstörungen eines Bombenattentates in einer Athener Metrostation (Tabelle 2) wäre beispielsweise auszugehen von schweren infrastrukturellen Teilschäden (Zuordnung zur Kategorie kritisch), einem Betriebsausfall des Netzes zwischen 6 und 24 Stunden (spürbar), einem Komplettausfall aller Netzkomponenten (katastrophal) infolge eines Zusammenbruchs des Metronetzes sowie dessen Evakuierung (katastrophal) und die Inbetriebnahme eines Ersatzverkehrs für mehrere Tage (kritisch).
Tabelle 2: Bestimmung der Betriebsstörungen (SFETSOS et al. 2010, [1])
Weist eine Konsequenzen-Kategorie von Stufe 1 mehrere Ausprägungen in Stufe 2 auf, so ist eine Aggregation aller Ausprägungen von Stufe 2 notwendig, um jeweils eine Schadensklasse für Stufe 1 zu finden. Andererseits müssen bei multiplen Konsequenzen (Stufe 1) die jeweils bestimmten Schadensklassen kombiniert werden, um eine resultierende Schadensklasse für das Ereignis Ei zu finden und auf der fünfstufigen Ordinalskala („unwesentlich“, „geringfügig“, „spürbar“, „kritisch“, „katastrophal“) abzubilden. Bei dieser zweistufigen Verknüpfung bedient man sich mathematischer Hilfsmittel, als besonders geeignet erweisen sich dabei Median, Maximum, Häufigkeit, gewichteter Mittelwert, Schwellwerte oder Regeln, z.B. aus dem Bereich der Fuzzy-Logik (SFETSOS et al. 2010, [1]). Dabei bieten sich dem Nutzer mit der Festlegung eines eigenen Regelwerkes besondere Vorteile. Folgendes Szenario wäre bei der Kategorisierung des Schadensausmaßes für das betrachtete Beispiel vorstellbar (2):
WENN Opferzahl = Katastrophal UND Betriebsstörungen ≥ Kritisch (2) DANN Schadensaumaß = Katastrophal
Bei der Methode des gewichteten Mittelwertes kann jeder der sieben Kategorien von Stufe 1 mit der jeweiligen Schadensklasse Ci ein relatives Gewicht gi (0-100%) gemäß deren Wichtigkeit zugeordnet werden. Zur Berechnung des gewichteten Mittels C (3) werden die Schadensklassen durchnummeriert (unwesentlich=1, geringfügig=2, spürbar=3, kritisch=4, katastrophal=5), um ein numerisches Ergebnis zu erhalten. Das Ergebnis wird durch Rundungsregeln der nächstgelegenen Klasse zugeordnet.
Formel (3) siehe PDF.
2.6 Risiko-Matrix und Risiko-Abschätzung
Das resultierende Gefährdungspotential eines Ereignisses wird üblicherweise mithilfe der Risiko-Matrix, der Kombination von Schadenseintrittswahrscheinlichkeit und -ausmaß, in einem 5-Klassen-System abgeschätzt („sehr gering“, „gering“, „mittel“, „hoch“, „sehr hoch“) und enthält typischerweise 25 Zellen, siehe Tabelle 3 (MARKOWSKI und SAM MANNAN 2008, [8]). Es ergibt sich folgende logische Implikation (4):
WENN Wahrscheinlichkeit = L UND Schadensausmaß = C DANN Risiko = R (4)
Die Einstufung von Risiken stellt dabei einen sehr subjektiven Prozess dar und hängt stark von individuellen und politischen Bewertungen ab. Das unwahrscheinliche Szenario eines Bombenattentats in der Athener Metro mit katastrophalen Konsequenzen im Ereignisfall, stellt nach diesem Modell also ein mittleres Gesamtrisiko für das Athener „Netz von Netzen“ dar. Vergleichsweise würde von einem mehrstündigen Streik am Syntagma-Platz vor dem Athener Regierungsgebäude ebenfalls ein mittleres Gesamtrisiko ausgehen. Im Mai 2010 hinterließ ein solcher Generalstreik zwar vergleichsweise „nur“ spürbare Konsequenzen (3 Tote, mehrstündiger Verkehrszusammenbruch), es ist aber häufiger (gelegentlich, d.h. jährlich) mit vergleichbaren Ereignissen zu rechnen.
Tabelle 3: Risiko-Matrix (SFETSOS et al. 2010, [1])
Dabei kann das Risiko immer mehrstufig für bestimmte Bereiche ermittelt werden: für einzelne Assets (z.B. Metro-Station), für ein betrachtete Linie oder ein gesamtes Netz (z.B. Metro-Linie/Netz), für die Gesamtheit verknüpfter Netze („Netz von Netzen“) oder geografisch definierte Bereiche. Es existieren zwei Methoden, um eine Risikoabschätzung für eine nächsthöhere Ebene vorzunehmen:
- Mittelwertbildung: Mittelwertbildung der Risiken der einzelnen betrachteten Assets
- Gewichtung: Gewichtung der Risiken der einzelnen betrachteten Assets entsprechend deren Bedeutung in der betrachteten Ebene (Linie, Netz, „Netz von Netzen“ etc.)
Die Risiko-Matrix bildet die Grundlage für Entscheidungsträger zur Visualisierung, dem Vergleich und der Kommunikation von Risiken, sowie für deren Priorisierung und einer Planung adäquater Maßnahmen. In der Praxis definiert man dabei ein Grenzrisiko, d.h. ein gerade noch vertretbare Risiko aus Sicht der Verantwortungsträger bzw. der Gesellschaft. Ein solcher Wert trennt die Risiko-Matrix in einen Sicherheits- und einen Gefahrenbereich. Wird also ein definierter Schwellwert des Grenzrisikos überschritten, sind Maßnahmen zur Risikoreduktion einzuleiten. Diese Maßnahmen sind im Vorfeld zu planen und betreffen nicht die Notfallplanung zur Reaktion auf bereits eingetretene Ereignisse. Können beispielsweise katastrophale Konsequenzen eines Ereignisses nicht verhindert werden, so muss dessen Eintrittswahrscheinlichkeit gesenkt werden. Betrachtet man z.B. Schienenfahrzeuge, so müssen diese durch sicherungstechnische Maßnahmen statistisch gesehen eine geringere Unfallwahrscheinlichkeit als Straßenfahrzeuge aufweisen, weil sie ein höheres Ausmaß bei Eintritt eines Schadensereignisses besitzen.
2.7 Risiko-Ausbreitung
Eine Schlüsselrolle des Verfahrens bildet die Beantwortung der Fragestellung nach den Auswirkungen eines bestimmten Ereignisses auf das übergeordnete „Netz von Netzen“. Bei der systematisierten Modellierung und Umsetzung der Risiko-Ausbreitung geht man in vier Schritten vor:
A) Ereignisbeschreibung Ei
In einem ersten Schritt werden Ausgangssituation und ursprüngliches Ereignis Ei beschrieben. Dabei können auch mehrere Ausgangsereignisse auftreten, z.B. geografisch versetzt. Im verwendeten Beispiel tritt in der Komponente M1 (Metro-Station Syntagma, Athen) das Ereignis E1 (Bombenattentat) ein.
B) Risikoabschätzung des ursprünglichen Ereignisses Ei
Gemäß der Kapitel 2.4, 2.5 und 2.6 wird das vom Ereignis Ei ausgehende Risiko R(Ei) als Kombination von Eintrittswahrscheinlichkeit L(Ei) und Schadensausmaß C(Ei) nach Gleichung (1) bestimmt ( R(Ei ) = L(Ei ) * C(Ei ) ).
C) Bestimmung verknüpfter Komponenten, Identifizierung von Folgeereignissen Ej
Zur Identifizierung von Verbindungen definiert man folgende Arten von Verknüpfungen und Abhängigkeiten zwischen den Netzen bzw. Netz-Komponenten (RINALDI und PEERENBOOM 2001, [9]):
- Physische Verbundenheit (P)
- Geografische (räumliche) Nähe (G)
- Systembedingter Zusammenhang (S)
- Logische Abhängigkeit (L)
Systembedingte Verknüpfungen (Zustand einer Komponente ist abhängig von den Eigenschaften eines Systems, welche über andere Komponenten übertragen werden) bestehen vor allem in den Bereichen der Informations-, Kommunikations- und Energieversorgungssysteme. Logische Abhängigkeiten (Zustand einer Komponente ist abhängig vom Zustand einer anderen Komponente, verbunden durch einen Mechanismus) findet man z.B. in der Eisenbahnsicherungs- und Signaltechnik.
Innerhalb einer Input-Output-Matrix (in Anlehnung an das Input-Output-Model von HAIMES und JIANG 2001, [10]) werden indirekte Wirkungen berücksichtigt, wobei die Konsequenzen des Ausgangsereignisses Ei den Input der Matrix und die potentiellen Folgeereignisse Ej den Output darstellen. Zusammenhänge sind mit den oben eingeführten Verknüpfungsarten gekennzeichnet (Tabelle 4).
Tabelle 4: Zuordnung von Folgeereignissen zu den Konsequenzen des Ausgangsereignisses (Auszug aus SFETSOS et a. 2010, [1])
Im Beispiel wird davon ausgegangen, dass folgende Folgeereignisse Ej in den verknüpften Komponenten ausgelöst werden können (siehe Bild 8):
- E2 (Zusammenbruch Straßenverkehr) durch systembedingten Zusammenhang S (Verlagerung der Fahrgäste) in S1 (Verkehrsknoten am Syntagma-Platz)
- E3 (Flächendeckender Stromausfall) durch physischen Zusammenhang P (Brand/Explosion) in V1 (Schaltstelle/Unterwerk)
- E4 (Flächendeckende Störung TK-Netz) durch systembedingten Zusammenhang S (Überlastung oder Brand) in K1 (Umschalt-Zentrale)
D) Risikoabschätzung der Folgeereignisse Ej
Gemäß der Kapitel 2.4, 2.5 und 2.6 wird für alle Folgeereignisse Ej das ausgehende Risiko R(Ej) als Kombination von Eintrittswahrscheinlichkeit L(Ej) und Schadensausmaß C(Ej) nach Gleichung (1) bestimmt (R(E j) = L(E j ) * C(E j)), siehe Bild 8. Dabei ist zu beachten, dass alle Folgeereignisse wiederrum weitere Ereignisse auslösen können und das Verfahren zyklisch zu durchlaufen ist.
Bild 8: Risikoabschätzung von Folgeereignissen
2.8 Krisenmanagement
Den letzten Schritt des Entscheidungsunterstützungsverfahrens bildet das Krisenmanagement, die optimale Zuordnung von Maßnahmen und deren Größenordnung zum speziell vorliegenden Ereignisfall. Solche Maßnahmen können sein:
- Zuständige Verantwortungsträger (z.B. Rettungskräfte)
- Befehlsketten (Informationsfluss)
- Rettungswege
- Hilfsmittel
Für diesen Zweck sind wiederum Datenbanken für das Verfahren hinterlegt, um beispielsweise für das Ereignis Ei alle zuständigen Einsatzkräfte zu identifizieren (Auszug in Tabelle 5). Während bei einem Bombenattentat neben sämtlichen Rettungskräften auch die Atomenergiekommission eingeschaltet werden muss, ist bei einem Stromausfall im Metro- Netz der Energieversorger und Netzbetreiber zunächst für diese Situation ausreichend. Darauf basierend können entsprechende Einsatzpläne durch Verantwortungsträger erstellt sowie auf taktischer, betrieblicher, strategischer und politischer Ebene Maßnahmen vorbereitet werden.
Tabelle 5: Zuordnung von Einsatzkräften (Auszug aus SFETSOS et al. 2010, [1])
3 Zusammenfassung und Ausblick
3.1 Zusammenfassung der Ergebnisse
Es wurde ein Verfahren vorgestellt, mit dem automatisiert Auswirkungen von sicherheitsrelevanten Ereignissen in miteinander verknüpften Verkehrsnetzen abgeschätzt werden können. Um solche Szenarien zu simulieren, steht dem Nutzer des Tools eine breite Auswahl an denkbaren natürlichen und menschlich bedingten Schadenereignissen zur Verfügung, die für einen betrachteten urbanen Bereich strategisch simuliert werden können. Die Identifizierung von kritischen Infrastrukturen setzt zudem eine Modellierung der Verkehrsnetzstruktur, seiner für den Betrieb und den Sicherheitsstatus des Netzes bedeutsamen Komponenten (Assets) und deren gegenseitigen Abhängigkeiten voraus. Dabei wird davon ausgegangen, dass sich eine Vielzahl verknüpfter städtischer Verkehrssysteme zu einem übergeordneten „Netz von Netzen“ zusammensetzt.
Zur Darstellung und Bezifferung von Verwundbarkeiten oder Bedrohungen verwendet man in der Praxis das Mittel der Risikoanalyse. Um das von einem ursprünglichen Ereignis Ei ausgehende Risiko für einzelne Assets, Netze, das „Netz von Netzen“ oder geografisch definierte Bereiche zu bestimmen, quantifiziert man die Eintrittswahrscheinlichkeit und das Schadensausmaß von Ei. Man bedient sich bei der Ermittlung der Häufigkeit von Ereignissen Expertenmeinungen oder historischen Daten. Zur Bezifferung der Konsequenzen wurde ein zweistufiger Ansatz vorgestellt, bei dem verschiedene gesellschaftliche, wirtschaftliche, betriebliche und politische Ausprägungen zur Charakterisierung des Zustands eines Verkehrssystems berücksichtigt werden, um eine resultierende Schadensklasse mithilfe mathematischer Hilfsmittel zu identifizieren. Basierend auf dem klassischen Mittel der semiquantitativen Risikoanalyse, der Risiko-Matrix, erfolgt die Verknüpfung von Schadenseintrittswahrscheinlichkeit und -ausmaß sowie die Abschätzung des resultierenden Risikos.
Darauf aufbauend wurde ein Vorgehen eingeführt, mit dem indirekte Wirkungen, Folgeereignisse Ej, die vom ursprünglichen Ereignis Ei ausgelöst werden, in verknüpften Netzen identifiziert und wiederum deren Risiko im „Netz von Netzen“ abgeschätzt werden können.
Auf Basis der abgeschätzten Auswirkungen werden Empfehlungen für ein optimales Krisenmanagement, in Form der Zuordnung von notwendigen Maßnahmen zum konkreten Ereignisfall, gegeben.
3.2 Ausblick
Die modellhafte Umsetzung des Risikoanalyseverfahrens erfolgt mithilfe einer neuartigen, auf UML basierenden Graphensprache, die sowohl von Mensch als auch von Maschine lesbar ist. Zur Entwicklung der konzeptionellen Gesamtarchitektur ist es erforderlich, Input und Output des Tools bzw. die benötigte und tatsächlich verfügbare Datengrundlage zu spezifizieren. Für Automatisierungszwecke verwendet man georeferenzierte Kartendaten (GIS-, GML- oder XML-Format) von Straßen- und ÖPNV-Netzen, um anhand der exakten Polygone mögliche Überlappungen und andere Interaktionspunkte im „Netz von Netzen“ unter Verwendung der Graphentheorie (TITTMANN 2003, [11]) zu identifizieren. Zusätzliche Attribute wie Reisezeiten, Kapazitäten von Straßen und Haltestellen, Straßentypen, Spurzahlen und Halteplätze verhelfen zu einer detaillierteren Ist-Analyse und Folgenabschätzung. Bei den verschiedenen Verkehrsträgern interessieren außerdem statistische Parameter, wie die Anzahl zugelassener Privatfahrzeuge und die Flottengröße öffentlicher Verkehrsunternehmen (in Betrieb und in Reserve), um (maximale) Verkehrsaufkommen oder Kantenüberlastungen abzuschätzen. Eine Zusammenstellung zusätzlich verfügbarer Informationssysteme ermöglicht die Ermittlung eines allgemeinen Sicherheitsstandards des gesamten Netzes und gibt eine Übersicht an Optionen für den Einsatz im Ereignisfall.
Die einzelnen Komponenten, wie Benutzeroberfläche, Risikoanalyse-Algorithmen, Analysetools und Schnittstellen werden daraufhin technisch und funktional beschrieben und als Prototyp umgesetzt. Mit den Metropolen London und Athen stehen zwei Demonstratoren zur Bewertung des Tools bereit. Auf Wunsch der Endnutzer und basierend auf dem Sicherheitsprogramm der Olympischen Spiele 2004 in Athen werden verschiedene Testszenarien erstellt, um Zuverlässigkeit, technische Machbarkeit, Nutzerakzeptanz und Zusatzanforderungen zu evaluieren. Das Verfahren soll, im Hinblick auf die Olympischen Sommerspiele 2012, in der englischen Hauptstadt erstmals Anwendung finden.
3.3 Weiterführende Anwendungsmöglichkeiten
Das Entscheidungsunterstützungstool adressiert Verantwortungsträger im Bereich der strategischen Verkehrsplanung urbaner Ballungsräume. Ausgabeformate wie Diagramme, Berichte, Daten oder Empfehlungen sollen als Grundlage für dieses strategische Handeln von Entscheidungsträgern, wie Verkehrsbetrieben, Einsatzkräften, Sicherheitsbeauftragten, Versicherungsgesellschaften oder Gesundheitsämtern dienen. Mithilfe dieser Ausgangsdaten des Werkzeuges können den Verantwortungsträgern Eingangsdaten für weitere ergänzende Optimierungsmaßnahmen geliefert werden. Umsetzbar erscheinen beispielsweise Methoden zur Generierung von ereignisabhängigen Notfallnetzen auf Basis der Graphentheorie, um Rettungskräfte optimal zu koordinieren und Ströme des ÖPNV und des Individualverkehrs bestmöglich mit verfügbaren Ressourcen und auf benutzbaren Infrastrukturen (z.B. Fahrzeuge, Knoten, Kanten) umzuleiten. Ebenso können Verkehrsbetriebe ein Ersatzverkehrsangebot speziell an den Ereignisfall anpassen. Weiterhin bestehen Anwendungsfelder im Bereich der Optimierung der Verkehrsnetzgestaltung und von Modellen zur langfristigen Verkehrsprognose.
4 Literatur
[1] SFETSOS, T.; ANDRONOPOULOS, S.; MOUSTAKIDIS, N. Compilation of Transportation Risk Analysis Framework. Forschungsbericht, EU-Projekt STAR-TRANS – FP7 225594. National Centre for Scientific Research Demokritos. Athen, 2010.
[2] HAIMES, Y.Y. Hierarchical holographic modeling. IEEE Transactions on Systems, Man and Cybernetics, 11(9), S. 606 – 617, 1981.
[3] KAPLAN, S.; HAIMES, Y.Y.; GARRICK, B.J. Fitting hierarchical holographic modeling (HHM) into the theory of scenario structuring and a refinement to the quantitative definition of risk. Risk Analysis, 21(5), S. 807–819, 2001.
[4] LAMBERT, J.H.; HAIMES, Y.Y.; LI, D.; SCHOOFF, R.; TULSIANI, V. Identification, ranking and management of risks in a major system acquisition. Reliability Engineering and System Safety, 72(3), S. 315–325, 2001.
[5] TÖNJES, S.; SFETSOS, T.; RUSSOTTO, R. Report on Transportation Security Risk Assessment. Forschungsbericht, EU-Projekt STAR-TRANS – FP7 225594. Fraunhofer- Institut für Verkehrs- und Infrastruktursysteme. Dresden, 2010.
[6] SCHNABEL, W.; LOHSE, D. Grundlagen der Straßenverkehrstechnik und der Straßenverkehrsplanung. Verlag für Bauwesen Berlin, 1997.
[7] RÜGER, S. Transporttechnologie städtischer öffentlicher Personennahverkehr. Transpress Verlag Berlin, 1986.
[8] MARKOWSKI, A.S.; SAM MANNAN, M. Fuzzy risk matrix. Journal of Hazardous Materials 159, S. 152–157, 2008.
[9] RINALDI, S.M.; PEERENBOOM, J.P.; KELLY, T.K. Identifying, understanding and analyzing Critical Infrastructure Interdependencies. IEEE Control Systems Magazine, 2001.
[10] HAIMES, Y.Y.; JIANG, P. Leontief-based model of risk in complex interconnected infrastructures. Journal of Infrastructure Systems 7, S. 1-12, 2001.
[11] TITTMANN, P. Graphentheorie – Eine anwendungsorientierte Einführung. Hanser Verlag München, 2003. |