REGOLAMENTI - 24/04/2009 , n. 352 - 09/352/CE - Gazzetta UE 29/04/2009 , n.108
Intero provvedimento
Epigrafe
Regolamento (CE) n. 352/2009 della Commissione del 24 aprile 2009 relativo all'adozione di un metodo comune di determinazione e di valutazione dei rischi di cui all'articolo 6, paragrafo 3, lettera a), della direttiva 2004/49/CE del Parlamento europeo e del Consiglio
Intero provvedimento
Epigrafe
Regolamento (CE) n. 352/2009 della Commissione del 24 aprile 2009 relativo all'adozione di un metodo comune di determinazione e di valutazione dei rischi di cui all'articolo 6, paragrafo 3, lettera a), della direttiva 2004/49/CE del Parlamento europeo e del Consiglio
Fonte: Sito web Eur-Lex
© Unione europea, http://eur-lex.europa.eu/
LA COMMISSIONE DELLE COMUNITÀ EUROPEE,
visto il trattato che istituisce la Comunità europea, vista la direttiva 2004/49/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, relativa alla sicurezza delle ferrovie comunitarie e recante modifica della direttiva 95/18/CE del Consiglio relativa alle licenze delle imprese ferroviarie e della direttiva 2001/14/CE relativa alla ripartizione della capacità di infrastruttura ferroviaria, all'imposizione dei diritti per l'utilizzo dell'infrastruttura ferroviaria e alla certificazione di sicurezza (direttiva sulla sicurezza delle ferrovie), in particolare l'articolo 6, paragrafo 1, considerando quanto segue:
(1) A norma dell'articolo 6, paragrafo 1, della direttiva 2004/49/CE, la Commissione è tenuta ad adottare, su raccomandazione dell'Agenzia ferroviaria europea, una prima serie di metodi comuni di sicurezza riguardanti almeno la determinazione e valutazione dei rischi ai sensi dell'articolo 6, paragrafo 3, lettera a).
(2) L'agenzia ferroviaria europea ha emesso una raccomandazione sulla prima serie di metodi comuni di sicurezza (ERA-REC-02-2007-SAF) in data 6 dicembre 2007.
(3) A norma della direttiva 2004/49/CE, per preservare un elevato livello di sicurezza e, se e quando necessario e ragionevolmente praticabile, per migliorarlo, è opportuno introdurre gradualmente i metodi comuni di sicurezza.
(4) L'articolo 9, paragrafo 1, della direttiva 2004/49/CE stabilisce che le imprese ferroviarie e i gestori delle infrastrutture istituiscano i propri sistemi di gestione della sicurezza per garantire che il sistema ferroviario riesca a raggiungere almeno gli obiettivi di sicurezza comuni (Common Safety Targets, CST). Ai sensi dell'allegato III, punto 2, lettera d), della direttiva 2004/49/CE, il sistema di gestione della sicurezza deve comprendere le procedure e i metodi per effettuare la determinazione dei rischi e mettere in atto misure di controllo dei rischi ogniqualvolta un cambiamento nelle condizioni di esercizio o l'impiego di nuovo materiale comporti nuovi rischi per l'infrastruttura o le operazioni. Il presente regolamento disciplina tale elemento basilare del sistema di gestione della sicurezza.
(5) A seguito dell'applicazione della direttiva 91/440/CEE del Consiglio, del 29 luglio 1991, relativa allo sviluppo delle ferrovie comunitarie, e dell'articolo 9, paragrafo 2, della direttiva 2004/49/CE, occorre prestare particolare attenzione alla gestione dei rischi nei punti di interazione tra soggetti che concorrono all'applicazione del presente regolamento.
(6) L'articolo 15 della direttiva 2008/57/CE del Parlamento europeo e del Consiglio del 17 giugno 2008 relativa all'interoperabilità del sistema ferroviario comunitario stabilisce che gli Stati membri devono adottare tutte le misure opportune affinché i sottosistemi strutturali costitutivi del sistema ferroviario possano essere messi in servizio soltanto se progettati, costruiti ed installati in modo da soddisfare i requisiti essenziali di sicurezza nel momento in cui sono inseriti nel sistema ferroviario. Gli Stati membri devono, in particolare, verificare la compatibilità tecnica di tali sottosistemi con il sistema ferroviario nel quale vengono integrati e l'inserimento di tali sottosistemi in condizioni di sicurezza in base al presente regolamento.
(7) L'assenza di un'impostazione comune per la definizione e la dimostrazione dell'osservanza dei livelli e dei requisiti di sicurezza del sistema ferroviario si è rivelata un ostacolo per la liberalizzazione del mercato ferroviario. Nel passato, infatti, ciascuno Stato membro ha proceduto ad una propria valutazione prima di approvare interamente o parzialmente un sistema realizzato e dichiarato sicuro in altri Stati membri.
(8) Per agevolare il riconoscimento reciproco dei sistemi tra gli Stati membri occorre armonizzare i metodi impiegati per individuare e gestire i rischi tra tutti i soggetti coinvolti nello sviluppo e nell'esercizio del sistema ferroviario e i metodi atti a dimostrare che i sistemi ferroviari esistenti all'interno del territorio comunitario sono conformi ai requisiti di sicurezza. In primo luogo è necessario armonizzare le procedure e i metodi relativi alla determinazione dei rischi e all'attuazione delle misure di controllo dei rischi da applicarsi ogniqualvolta un cambiamento nelle condizioni di esercizio o l'impiego di nuovo materiale comporti nuovi rischi per l'infrastruttura o per le operazioni, come previsto all'allegato III, punto 2, lettera d), della direttiva 2004/49/CE.
(9) Se non vengono notificate norme nazionali per la determinazione della rilevanza delle modifiche, è opportuno che la persona incaricata di mettere in atto la modifica (di seguito «il proponente») valuti in primo luogo il potenziale impatto della modifica stessa sulla sicurezza del sistema ferroviario. Se la modifica proposta ha ripercussioni sulla sicurezza, il proponente deve valutare, previa consulenza tecnica, la rilevanza della modifica in base a una serie di criteri definiti a norma del presente regolamento.
La valutazione deve portare a una delle tre conclusioni indicate di seguito. La modifica non è ritenuta rilevante e il proponente mette in atto la modifica applicando il proprio metodo di sicurezza. Oppure, la modifica è ritenuta rilevante e il proponente la mette in atto a norma del presente regolamento, senza l'intervento specifico dell'autorità preposta alla sicurezza. Oppure, la modifica è ritenuta rilevante ma sono in vigore disposizioni comunitarie che prevedono l'intervento specifico dell'autorità preposta alla sicurezza, ad esempio nel caso di una nuova autorizzazione per la messa in servizio di un veicolo, la revisione o l'aggiornamento del certificato di sicurezza di un'impresa ferroviaria o la revisione o l'aggiornamento dell'autorizzazione di sicurezza di un gestore dell'infrastruttura.
La valutazione deve portare a una delle tre conclusioni indicate di seguito. La modifica non è ritenuta rilevante e il proponente mette in atto la modifica applicando il proprio metodo di sicurezza. Oppure, la modifica è ritenuta rilevante e il proponente la mette in atto a norma del presente regolamento, senza l'intervento specifico dell'autorità preposta alla sicurezza. Oppure, la modifica è ritenuta rilevante ma sono in vigore disposizioni comunitarie che prevedono l'intervento specifico dell'autorità preposta alla sicurezza, ad esempio nel caso di una nuova autorizzazione per la messa in servizio di un veicolo, la revisione o l'aggiornamento del certificato di sicurezza di un'impresa ferroviaria o la revisione o l'aggiornamento dell'autorizzazione di sicurezza di un gestore dell'infrastruttura.
(10) Qualora un sistema ferroviario in uso sia sottoposto a una modifica rilevante, è opportuno valutare la rilevanza di quest'ultima anche alla luce di tutte le modifiche connesse alla sicurezza che incidono sulla stessa parte del sistema a partire dall'entrata in vigore del presente regolamento o, se posteriore, dalla data in cui è stato applicato per l'ultima volta il sistema di gestione dei rischi descritto nel presente regolamento. Tale valutazione è finalizzata a verificare se le modifiche in questione rappresentino globalmente una modifica rilevante che impone l'applicazione integrale del metodo comune di sicurezza per la determinazione e la valutazione dei rischi.
(11) L'accettabilità dei rischi connessi a una modifica rilevante deve essere valutato applicando uno o più dei seguenti criteri di accettabilità dei rischi: applicazione di codici di buona pratica, comparazione con parti analoghe del sistema ferroviario, stima accurata dei rischi. Tutti i criteri sono stati utilizzati efficacemente in varie applicazioni ferroviarie, in altri modi di trasporto e in altri comparti. Il criterio della «stima accurata dei rischi» è applicato spesso nel caso di modifiche complesse e innovative. È opportuno che la scelta del criterio da applicare spetti al proponente.
(12) In ottemperanza al principio di proporzionalità enunciato all'articolo 5 del trattato, il presente regolamento si limita a quanto necessario per raggiungere l'obiettivo di istituire un metodo comune di sicurezza per la determinazione e la valutazione dei rischi. Pertanto, quando viene applicato un codice di buona pratica che gode di un ampio riconoscimento, dev'essere possibile ridurre l'incidenza dovuta all'applicazione del metodo comune di sicurezza. Analogamente, quando esistono disposizioni comunitarie che impongono l'intervento specifico dell'autorità preposta alla sicurezza, deve essere consentito alla stessa di intervenire nelle vesti di organismo di valutazione indipendente al fine di evitare ripetizioni nei controlli e costi eccessivi per l'industria e di ridurre i tempi di commercializzazione.
(13) L'articolo 6, paragrafo 5, della direttiva 2004/49/CE stabilisce che gli Stati membri modifichino opportunamente le rispettive norme nazionali di sicurezza per conformarsi ai metodi comuni di sicurezza.
(14) Poiché attualmente si applicano impostazioni diverse per la valutazione della sicurezza, occorre prevedere un periodo transitorio al fine di lasciare agli operatori, se necessario, il tempo sufficiente per conoscere e applicare la nuova impostazione comune e per acquisire esperienza in merito.
(15) Poiché un'impostazione ufficiale basata sul rischio rappresenta una relativa novità in alcuni Stati membri, il metodo comune di sicurezza per la determinazione e la valutazione dei rischi deve rimanere facoltativo fino al 1° luglio 2012 per quanto riguarda le modifiche di natura operativa od organizzativa. In tal modo l'Agenzia ferroviaria europea sarà in grado di offrire assistenza per tali applicazioni, ove possibile, proponendo eventualmente miglioramenti al presente metodo comune di sicurezza entro il 1° luglio 2012.
(16) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 27, paragrafo 1, della direttiva 2004/49/CE,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Art.1
Finalità
1. Il presente regolamento istituisce un metodo comune di sicurezza per la determinazione e la valutazione dei rischi ai sensi dell'articolo 6, paragrafo 3, lettera a), della direttiva 2004/49/CE (di seguito «metodo comune»).
2. Il metodo comune è finalizzato a preservare e migliorare il livello di sicurezza delle ferrovie comunitarie quando e dove ciò sia necessario nonché ragionevolmente fattibile. Il metodo comune deve agevolare l'accesso al mercato dei servizi di trasporto ferroviario promuovendo l'armonizzazione:
a) dei procedimenti di gestione dei rischi utilizzati per valutare il livello di sicurezza e la conformità ai requisiti di sicurezza;
b) degli scambi delle informazioni riguardanti la sicurezza tra i vari operatori del settore ferroviario al fine di gestire la sicurezza nei vari punti di interazione presenti nel settore;
c) delle prove risultanti dal procedimento di gestione dei rischi.
Finalità
1. Il presente regolamento istituisce un metodo comune di sicurezza per la determinazione e la valutazione dei rischi ai sensi dell'articolo 6, paragrafo 3, lettera a), della direttiva 2004/49/CE (di seguito «metodo comune»).
2. Il metodo comune è finalizzato a preservare e migliorare il livello di sicurezza delle ferrovie comunitarie quando e dove ciò sia necessario nonché ragionevolmente fattibile. Il metodo comune deve agevolare l'accesso al mercato dei servizi di trasporto ferroviario promuovendo l'armonizzazione:
a) dei procedimenti di gestione dei rischi utilizzati per valutare il livello di sicurezza e la conformità ai requisiti di sicurezza;
b) degli scambi delle informazioni riguardanti la sicurezza tra i vari operatori del settore ferroviario al fine di gestire la sicurezza nei vari punti di interazione presenti nel settore;
c) delle prove risultanti dal procedimento di gestione dei rischi.
Art.2
Campo d’applicazione
1. Il metodo comune si applica a qualsiasi modifica del sistema ferroviario degli Stati membri a norma dell'allegato III, punto 2, lettera d), della direttiva 2004/49/CE che sia rilevante ai sensi dell'articolo 4 del presente regolamento. Tali modifiche possono avere natura tecnica, operativa od organizzativa Tra le modifiche organizzative sono prese in considerazione solo quelle in grado di incidere sulle condizioni di esercizio.
2. Nel caso in cui le modifiche rilevanti riguardino sottosistemi strutturali ai sensi della direttiva 2008/57/CE, il metodo si applica:
a) se le specifiche tecniche di interoperabilità richiedono una valutazione dei rischi. In tal caso le specifiche tecniche di interoperabilità devono indicare, all'occorrenza, gli elementi del metodo comune di cui deve essere fatta applicazione;
b) per garantire che i sottosistemi strutturali cui si applicano le specifiche tecniche di interoperabilità siano inseriti, in modo sicuro, in un sistema preesistente a norma dell'articolo 15, paragrafo 1, della direttiva 2008/57/CE.
Nel caso di cui alla lettera b) del primo comma, l'applicazione del metodo comune di sicurezza non deve comportare requisiti confliggenti con quelli obbligatori stabiliti dalle specifiche tecniche di interoperabilità.
Ove l'applicazione del metodo comune comporti un requisito confliggente con quello stabilito dalla pertinente specifica tecnica di interoperabilità, il proponente informa lo Stato membro interessato e quest'ultimo può chiedere la revisione della specifica tecnica di interoperabilità a norma dell'articolo 6, paragrafo 2, ovvero dell'articolo 7 della direttiva 2008/57/CE o una deroga a norma dell'articolo 9 della medesima direttiva.
3. Il presente regolamento non si applica a:
a) metropolitane, tram e altri sistemi di trasporto leggero su rotaia;
b) reti funzionalmente isolate dal resto del sistema ferroviario ed adibite unicamente a servizi passeggeri locali, urbani o suburbani, nonché imprese ferroviarie che operano esclusivamente su tali reti;
c) infrastrutture ferroviarie private adibite unicamente alle operazioni merci del proprietario;
d) veicoli storici circolanti su reti nazionali, a condizione che rispettino le norme e le disposizioni nazionali in materia di sicurezza finalizzate a garantire la circolazione sicura di tali veicoli;
e) ferrovie storiche, turistiche e di musei circolanti su reti proprie, compresi officine, veicoli e personale.
4. Il presente regolamento non si applica ai sistemi e alle modifiche che, alla sua entrata in vigore, si trovano in una fase avanzata di sviluppo ai sensi dell'articolo 2, lettera t), della direttiva 2008/57/CE.
Campo d’applicazione
1. Il metodo comune si applica a qualsiasi modifica del sistema ferroviario degli Stati membri a norma dell'allegato III, punto 2, lettera d), della direttiva 2004/49/CE che sia rilevante ai sensi dell'articolo 4 del presente regolamento. Tali modifiche possono avere natura tecnica, operativa od organizzativa Tra le modifiche organizzative sono prese in considerazione solo quelle in grado di incidere sulle condizioni di esercizio.
2. Nel caso in cui le modifiche rilevanti riguardino sottosistemi strutturali ai sensi della direttiva 2008/57/CE, il metodo si applica:
a) se le specifiche tecniche di interoperabilità richiedono una valutazione dei rischi. In tal caso le specifiche tecniche di interoperabilità devono indicare, all'occorrenza, gli elementi del metodo comune di cui deve essere fatta applicazione;
b) per garantire che i sottosistemi strutturali cui si applicano le specifiche tecniche di interoperabilità siano inseriti, in modo sicuro, in un sistema preesistente a norma dell'articolo 15, paragrafo 1, della direttiva 2008/57/CE.
Nel caso di cui alla lettera b) del primo comma, l'applicazione del metodo comune di sicurezza non deve comportare requisiti confliggenti con quelli obbligatori stabiliti dalle specifiche tecniche di interoperabilità.
Ove l'applicazione del metodo comune comporti un requisito confliggente con quello stabilito dalla pertinente specifica tecnica di interoperabilità, il proponente informa lo Stato membro interessato e quest'ultimo può chiedere la revisione della specifica tecnica di interoperabilità a norma dell'articolo 6, paragrafo 2, ovvero dell'articolo 7 della direttiva 2008/57/CE o una deroga a norma dell'articolo 9 della medesima direttiva.
3. Il presente regolamento non si applica a:
a) metropolitane, tram e altri sistemi di trasporto leggero su rotaia;
b) reti funzionalmente isolate dal resto del sistema ferroviario ed adibite unicamente a servizi passeggeri locali, urbani o suburbani, nonché imprese ferroviarie che operano esclusivamente su tali reti;
c) infrastrutture ferroviarie private adibite unicamente alle operazioni merci del proprietario;
d) veicoli storici circolanti su reti nazionali, a condizione che rispettino le norme e le disposizioni nazionali in materia di sicurezza finalizzate a garantire la circolazione sicura di tali veicoli;
e) ferrovie storiche, turistiche e di musei circolanti su reti proprie, compresi officine, veicoli e personale.
4. Il presente regolamento non si applica ai sistemi e alle modifiche che, alla sua entrata in vigore, si trovano in una fase avanzata di sviluppo ai sensi dell'articolo 2, lettera t), della direttiva 2008/57/CE.
Art.3
Definizioni
Ai fini del presente regolamento si applicano le definizioni contenute nell'articolo 3 della direttiva 2004/49/CE.
Si applicano inoltre le seguenti definizioni:
1) «rischio», la probabilità che si verifichi un incidente o un inconveniente dannoso (causato da un evento pericoloso) e il livello di gravità del danno;
2) «analisi dei rischi», l'impiego sistematico di tutte le informazioni disponibili per individuare gli eventi pericolosi e stimare il rischio;
3) «determinazione dei rischi», il procedimento basato sull'analisi dei rischi e inteso a determinare il rischio accettabile;
4) «valutazione dei rischi», il procedimento complessivo comprendente l'analisi dei rischi e la determinazione dei rischi;
5) «sicurezza», l'assenza di un rischio inaccettabile di danno;
6) «gestione dei rischi», l'applicazione sistematica di strategie, procedure e pratiche di gestione all'analisi, alla valutazione e al contenimento dei rischi;
7) «punti d'interazione», tutti i punti d'interazione nel ciclo di vita di un sistema o di un sottosistema, compresi il funzionamento e la manutenzione, nei quali vari operatori del settore ferroviario lavorano insieme per gestire i rischi;
8) «operatori», tutti i soggetti che, direttamente o tramite convenzioni contrattuali, concorrono all'applicazione del presente regolamento a norma dell'articolo 5, paragrafo 2;
9) «requisiti di sicurezza», le caratteristiche di sicurezza (qualitative o quantitative) che un determinato sistema e il relativo funzionamento (comprese le norme operative) devono presentare affinché siano conseguiti gli obiettivi di sicurezza fissati dalla legge o dall'impresa;
10) «misure di sicurezza», gli interventi finalizzati a ridurre la probabilità di un evento pericoloso o ad attenuarne le conseguenze affinché sia raggiunto e/o preservato un livello di rischio accettabile;
11) «proponente», l'impresa ferroviaria o il gestore dell'infrastruttura cui spetta mettere in atto le misure di controllo dei rischi a norma dell'articolo 4 della direttiva 2004/49/CE, l'amministrazione aggiudicatrice o il fabbricante quando invitano un organismo notificato ad applicare la procedura «CE» di verifica a norma dell'articolo 18, paragrafo 1, della direttiva 2008/57/CE, o il richiedente l'autorizzazione per la messa in servizio di veicoli;
12) «rapporto di valutazione della sicurezza», il documento contenente il risultato della valutazione di un determinato sistema svolta da un organismo di valutazione;
13) «evento pericoloso», una situazione che potrebbe sfociare in un incidente;
14) «organismo di valutazione», la persona fisica o giuridica, indipendente e competente, cui competono le indagini volte a accertare se un determinato sistema possiede i requisiti di sicurezza;
15) «criteri di accettazione dei rischi», i criteri di riferimento con cui è valutata l'accettabilità di un rischio specifico; tali criteri servono a determinare se il livello di un determinato rischio è sufficientemente basso da rendere superflua qualsiasi azione immediata volta a ridurlo ulteriormente;
16) «registro degli eventi pericolosi», il documento nel quale vengono registrati, con tutti gli estremi necessari, gli eventi pericolosi individuati, le misure connesse, l'origine di tali eventi e l'organizzazione incaricata di gestirli;
17) «individuazione degli eventi pericolosi», il procedimento consistente nell'individuare, elencare e caratterizzare gli eventi pericolosi;
18) «criterio di accettazione dei rischi», le norme applicate per determinare se il rischio connesso a uno o più eventi pericolosi specifici sia da ritenersi accettabile;
19) «codice di buona pratica», una serie di regole scritte che, se applicate correttamente, possono servire a contenere uno o più eventi pericolosi specifici;
20) «sistema di riferimento», sistema che, nella pratica, ha dimostrato di presentare un livello di sicurezza accettabile e rispetto al quale è possibile valutare, per comparazione, l'accettabilità dei rischi derivanti da un sistema soggetto a valutazione;
21) «stima dei rischi», il procedimento utilizzato per misurare il livello dei rischi analizzati, comprendente le seguenti fasi: stima della frequenza, analisi delle conseguenze, combinazione di tali fattori;
22) «sistema tecnico», un prodotto o un insieme di prodotti, compresa la documentazione di progetto, d'attuazione e di supporto; lo sviluppo di un sistema tecnico ha inizio con la definizione delle caratteristiche e si conclude con l'approvazione; anche se viene presa in considerazione la progettazione dei punti d'interazione con il comportamento umano, gli individui e i loro interventi non fanno parte del sistema tecnico; il procedimento di manutenzione è descritto nei manuali di manutenzione ma non fa di per sé parte del sistema tecnico;
23) «conseguenza catastrofica», i decessi e/o le lesioni multiple gravi e/o i danni all'ambiente causati da un incidente;
24) «approvazione di sicurezza», il riconoscimento delle modifiche effettuato dal proponente sulla base del rapporto di valutazione di sicurezza trasmesso dall'organismo di valutazione;
25) «sistema», qualsiasi parte del sistema ferroviario soggetta a modifica;
26) «norma nazionale notificata», una norma nazionale notificata dagli Stati membri ai sensi della direttiva 96/48/CE del Consiglio, della direttiva 2001/16/CE del Parlamento europeo e del Consiglio, e delle direttive 2004/49/CE e 2008/57/CE.
Ai fini del presente regolamento si applicano le definizioni contenute nell'articolo 3 della direttiva 2004/49/CE.
Si applicano inoltre le seguenti definizioni:
1) «rischio», la probabilità che si verifichi un incidente o un inconveniente dannoso (causato da un evento pericoloso) e il livello di gravità del danno;
2) «analisi dei rischi», l'impiego sistematico di tutte le informazioni disponibili per individuare gli eventi pericolosi e stimare il rischio;
3) «determinazione dei rischi», il procedimento basato sull'analisi dei rischi e inteso a determinare il rischio accettabile;
4) «valutazione dei rischi», il procedimento complessivo comprendente l'analisi dei rischi e la determinazione dei rischi;
5) «sicurezza», l'assenza di un rischio inaccettabile di danno;
6) «gestione dei rischi», l'applicazione sistematica di strategie, procedure e pratiche di gestione all'analisi, alla valutazione e al contenimento dei rischi;
7) «punti d'interazione», tutti i punti d'interazione nel ciclo di vita di un sistema o di un sottosistema, compresi il funzionamento e la manutenzione, nei quali vari operatori del settore ferroviario lavorano insieme per gestire i rischi;
8) «operatori», tutti i soggetti che, direttamente o tramite convenzioni contrattuali, concorrono all'applicazione del presente regolamento a norma dell'articolo 5, paragrafo 2;
9) «requisiti di sicurezza», le caratteristiche di sicurezza (qualitative o quantitative) che un determinato sistema e il relativo funzionamento (comprese le norme operative) devono presentare affinché siano conseguiti gli obiettivi di sicurezza fissati dalla legge o dall'impresa;
10) «misure di sicurezza», gli interventi finalizzati a ridurre la probabilità di un evento pericoloso o ad attenuarne le conseguenze affinché sia raggiunto e/o preservato un livello di rischio accettabile;
11) «proponente», l'impresa ferroviaria o il gestore dell'infrastruttura cui spetta mettere in atto le misure di controllo dei rischi a norma dell'articolo 4 della direttiva 2004/49/CE, l'amministrazione aggiudicatrice o il fabbricante quando invitano un organismo notificato ad applicare la procedura «CE» di verifica a norma dell'articolo 18, paragrafo 1, della direttiva 2008/57/CE, o il richiedente l'autorizzazione per la messa in servizio di veicoli;
12) «rapporto di valutazione della sicurezza», il documento contenente il risultato della valutazione di un determinato sistema svolta da un organismo di valutazione;
13) «evento pericoloso», una situazione che potrebbe sfociare in un incidente;
14) «organismo di valutazione», la persona fisica o giuridica, indipendente e competente, cui competono le indagini volte a accertare se un determinato sistema possiede i requisiti di sicurezza;
15) «criteri di accettazione dei rischi», i criteri di riferimento con cui è valutata l'accettabilità di un rischio specifico; tali criteri servono a determinare se il livello di un determinato rischio è sufficientemente basso da rendere superflua qualsiasi azione immediata volta a ridurlo ulteriormente;
16) «registro degli eventi pericolosi», il documento nel quale vengono registrati, con tutti gli estremi necessari, gli eventi pericolosi individuati, le misure connesse, l'origine di tali eventi e l'organizzazione incaricata di gestirli;
17) «individuazione degli eventi pericolosi», il procedimento consistente nell'individuare, elencare e caratterizzare gli eventi pericolosi;
18) «criterio di accettazione dei rischi», le norme applicate per determinare se il rischio connesso a uno o più eventi pericolosi specifici sia da ritenersi accettabile;
19) «codice di buona pratica», una serie di regole scritte che, se applicate correttamente, possono servire a contenere uno o più eventi pericolosi specifici;
20) «sistema di riferimento», sistema che, nella pratica, ha dimostrato di presentare un livello di sicurezza accettabile e rispetto al quale è possibile valutare, per comparazione, l'accettabilità dei rischi derivanti da un sistema soggetto a valutazione;
21) «stima dei rischi», il procedimento utilizzato per misurare il livello dei rischi analizzati, comprendente le seguenti fasi: stima della frequenza, analisi delle conseguenze, combinazione di tali fattori;
22) «sistema tecnico», un prodotto o un insieme di prodotti, compresa la documentazione di progetto, d'attuazione e di supporto; lo sviluppo di un sistema tecnico ha inizio con la definizione delle caratteristiche e si conclude con l'approvazione; anche se viene presa in considerazione la progettazione dei punti d'interazione con il comportamento umano, gli individui e i loro interventi non fanno parte del sistema tecnico; il procedimento di manutenzione è descritto nei manuali di manutenzione ma non fa di per sé parte del sistema tecnico;
23) «conseguenza catastrofica», i decessi e/o le lesioni multiple gravi e/o i danni all'ambiente causati da un incidente;
24) «approvazione di sicurezza», il riconoscimento delle modifiche effettuato dal proponente sulla base del rapporto di valutazione di sicurezza trasmesso dall'organismo di valutazione;
25) «sistema», qualsiasi parte del sistema ferroviario soggetta a modifica;
26) «norma nazionale notificata», una norma nazionale notificata dagli Stati membri ai sensi della direttiva 96/48/CE del Consiglio, della direttiva 2001/16/CE del Parlamento europeo e del Consiglio, e delle direttive 2004/49/CE e 2008/57/CE.
Art.4
Modifiche rilevanti
1. Se in uno Stato membro non esiste alcuna norma nazionale notificata per la determinazione della rilevanza delle modifiche, il proponente considera in primo luogo il potenziale effetto della modifica sulla sicurezza del sistema ferroviario.
Se la modifica proposta non incide sulla sicurezza, non è necessario applicare il procedimento di gestione dei rischi di cui all'articolo 5.
2. Se la modifica proposta incide sulla sicurezza, il proponente determina la rilevanza della modifica, avvalendosi di consulenza tecnica, sulla base dei criteri seguenti:
a) conseguenza del guasto: il peggiore scenario plausibile che potrebbe verificarsi in caso di guasto del sistema sottoposto a valutazione, tenuto conto dell'esistenza di barriere di sicurezza al di fuori del sistema;
b) innovazioni applicate per attuare la modifica: sono comprese sia le innovazioni nel settore ferroviario sia le novità che riguardano solo l'organizzazione che mette in atto la modifica;
c) complessità della modifica;
d) monitoraggio: l'impossibilità di monitorare la modifica realizzata in tutto il ciclo di vita del sistema e di intervenire opportunamente;
e) reversibilità: l'impossibilità di ripristinare la situazione esistente prima della modifica del sistema;
f) complementarità: la valutazione della rilevanza della modifica alla luce di tutte le modifiche recenti riguardanti la sicurezza apportate al sistema sottoposto a valutazione e non ritenute rilevanti.
Il proponente conserva la documentazione necessaria per giustificare la decisione adottata.
Modifiche rilevanti
1. Se in uno Stato membro non esiste alcuna norma nazionale notificata per la determinazione della rilevanza delle modifiche, il proponente considera in primo luogo il potenziale effetto della modifica sulla sicurezza del sistema ferroviario.
Se la modifica proposta non incide sulla sicurezza, non è necessario applicare il procedimento di gestione dei rischi di cui all'articolo 5.
2. Se la modifica proposta incide sulla sicurezza, il proponente determina la rilevanza della modifica, avvalendosi di consulenza tecnica, sulla base dei criteri seguenti:
a) conseguenza del guasto: il peggiore scenario plausibile che potrebbe verificarsi in caso di guasto del sistema sottoposto a valutazione, tenuto conto dell'esistenza di barriere di sicurezza al di fuori del sistema;
b) innovazioni applicate per attuare la modifica: sono comprese sia le innovazioni nel settore ferroviario sia le novità che riguardano solo l'organizzazione che mette in atto la modifica;
c) complessità della modifica;
d) monitoraggio: l'impossibilità di monitorare la modifica realizzata in tutto il ciclo di vita del sistema e di intervenire opportunamente;
e) reversibilità: l'impossibilità di ripristinare la situazione esistente prima della modifica del sistema;
f) complementarità: la valutazione della rilevanza della modifica alla luce di tutte le modifiche recenti riguardanti la sicurezza apportate al sistema sottoposto a valutazione e non ritenute rilevanti.
Il proponente conserva la documentazione necessaria per giustificare la decisione adottata.
Art.5
Procedimento di gestione dei rischi
1. Il procedimento di gestione dei rischi di cui all'allegato I si applica:
a) nel caso di modifiche rilevanti ai sensi dell'articolo 4, compresa la messa in servizio dei sottosistemi strutturali di cui all'articolo 2, paragrafo 2, lettera b);
b) qualora una specifica tecnica di interoperabilità rinvii al presente regolamento, ai sensi dell'articolo 2, paragrafo 2, lettera a), prescrivendo il procedimento di gestione dei rischi definito nell'allegato I.
2. Il procedimento di gestione dei rischi di cui all'allegato I è svolto dal proponente.
3. Il proponente garantisce la gestione dei rischi indotti dai fornitori e dai prestatori di servizi e dai rispettivi subfornitori e subappaltatori. A tal fine il proponente può richiedere ai fornitori e ai prestatori di servizi, nonché ai loro subfornitori e subappaltatori, di partecipare al procedimento di gestione dei rischi definito all'allegato I.
Procedimento di gestione dei rischi
1. Il procedimento di gestione dei rischi di cui all'allegato I si applica:
a) nel caso di modifiche rilevanti ai sensi dell'articolo 4, compresa la messa in servizio dei sottosistemi strutturali di cui all'articolo 2, paragrafo 2, lettera b);
b) qualora una specifica tecnica di interoperabilità rinvii al presente regolamento, ai sensi dell'articolo 2, paragrafo 2, lettera a), prescrivendo il procedimento di gestione dei rischi definito nell'allegato I.
2. Il procedimento di gestione dei rischi di cui all'allegato I è svolto dal proponente.
3. Il proponente garantisce la gestione dei rischi indotti dai fornitori e dai prestatori di servizi e dai rispettivi subfornitori e subappaltatori. A tal fine il proponente può richiedere ai fornitori e ai prestatori di servizi, nonché ai loro subfornitori e subappaltatori, di partecipare al procedimento di gestione dei rischi definito all'allegato I.
Art.6
Valutazione indipendente
1. La valutazione indipendente della corretta applicazione del procedimento di gestione dei rischi di cui all'allegato I e dei risultati di tale applicazione è effettuata da un organismo rispondente ai criteri elencati nell'allegato II. Se l'organismo di valutazione non è già individuato dalla legislazione comunitaria o nazionale, il proponente designa come organismo di valutazione un'altra organizzazione ovvero un dipartimento proprio.
2. Devono esser evitate le duplicazioni di attività tra le operazioni di valutazione della conformità del sistema di gestione della sicurezza di cui alla direttiva 2004/49/CE, le operazioni di valutazione della conformità svolte da un organismo notificato o da un organismo nazionale ai sensi della direttiva 2008/57/CE e qualsiasi altra valutazione indipendente della sicurezza realizzata dall'organismo di valutazione a norma del presente regolamento.
3. L'autorità preposta alla sicurezza può intervenire in veste di organismo di valutazione qualora una modifica rilevante riguardi uno dei casi seguenti:
a) quando un veicolo deve ottenere l'autorizzazione di messa in servizio, a norma dell'articolo 22, paragrafo 2, e dell'articolo 24, paragrafo 2, della direttiva 2008/57/CE;
b) quando un veicolo deve ottenere un'autorizzazione complementare di messa in servizio, a norma dell'articolo 23, paragrafo 5, e dell'articolo 25, paragrafo 4, della direttiva 2008/57/CE;
c) quando il certificato di sicurezza deve essere aggiornato a seguito di un cambiamento del tipo o della portata delle attività, a norma dell'articolo 10, paragrafo 5, della direttiva 2004/49/CE;
d) quando il certificato di sicurezza deve essere rivisto in seguito a modifiche sostanziali del quadro normativo sulla sicurezza, a norma dell'articolo 10, paragrafo 5, della direttiva 2004/49/CE;
e) quando l'autorizzazione di sicurezza deve essere aggiornata a seguito di modifiche sostanziali apportate all'infrastruttura, al segnalamento o alla fornitura di energia ovvero ai principi che ne disciplinano il funzionamento e la manutenzione, a norma dell'articolo 11, paragrafo 2, della direttiva 2004/49/CE;
f) quando l'autorizzazione di sicurezza deve essere riveduta in seguito a modifiche sostanziali del quadro normativo in materia di sicurezza, a norma dell'articolo 11, paragrafo 2, della direttiva 2004/49/CE.
4. Qualora una modifica rilevante riguardi un sottosistema strutturale la cui messa in servizio debba essere autorizzata a norma dell'articolo 15, paragrafo 1, o del'articolo 20 della direttiva 2008/57/CE, l'autorità preposta alla sicurezza può intervenire in veste di organismo di valutazione purché il proponente non abbia già attribuito tale compito ad un organismo notificato a norma dell'articolo 18, paragrafo 2, della stessa direttiva.
Valutazione indipendente
1. La valutazione indipendente della corretta applicazione del procedimento di gestione dei rischi di cui all'allegato I e dei risultati di tale applicazione è effettuata da un organismo rispondente ai criteri elencati nell'allegato II. Se l'organismo di valutazione non è già individuato dalla legislazione comunitaria o nazionale, il proponente designa come organismo di valutazione un'altra organizzazione ovvero un dipartimento proprio.
2. Devono esser evitate le duplicazioni di attività tra le operazioni di valutazione della conformità del sistema di gestione della sicurezza di cui alla direttiva 2004/49/CE, le operazioni di valutazione della conformità svolte da un organismo notificato o da un organismo nazionale ai sensi della direttiva 2008/57/CE e qualsiasi altra valutazione indipendente della sicurezza realizzata dall'organismo di valutazione a norma del presente regolamento.
3. L'autorità preposta alla sicurezza può intervenire in veste di organismo di valutazione qualora una modifica rilevante riguardi uno dei casi seguenti:
a) quando un veicolo deve ottenere l'autorizzazione di messa in servizio, a norma dell'articolo 22, paragrafo 2, e dell'articolo 24, paragrafo 2, della direttiva 2008/57/CE;
b) quando un veicolo deve ottenere un'autorizzazione complementare di messa in servizio, a norma dell'articolo 23, paragrafo 5, e dell'articolo 25, paragrafo 4, della direttiva 2008/57/CE;
c) quando il certificato di sicurezza deve essere aggiornato a seguito di un cambiamento del tipo o della portata delle attività, a norma dell'articolo 10, paragrafo 5, della direttiva 2004/49/CE;
d) quando il certificato di sicurezza deve essere rivisto in seguito a modifiche sostanziali del quadro normativo sulla sicurezza, a norma dell'articolo 10, paragrafo 5, della direttiva 2004/49/CE;
e) quando l'autorizzazione di sicurezza deve essere aggiornata a seguito di modifiche sostanziali apportate all'infrastruttura, al segnalamento o alla fornitura di energia ovvero ai principi che ne disciplinano il funzionamento e la manutenzione, a norma dell'articolo 11, paragrafo 2, della direttiva 2004/49/CE;
f) quando l'autorizzazione di sicurezza deve essere riveduta in seguito a modifiche sostanziali del quadro normativo in materia di sicurezza, a norma dell'articolo 11, paragrafo 2, della direttiva 2004/49/CE.
4. Qualora una modifica rilevante riguardi un sottosistema strutturale la cui messa in servizio debba essere autorizzata a norma dell'articolo 15, paragrafo 1, o del'articolo 20 della direttiva 2008/57/CE, l'autorità preposta alla sicurezza può intervenire in veste di organismo di valutazione purché il proponente non abbia già attribuito tale compito ad un organismo notificato a norma dell'articolo 18, paragrafo 2, della stessa direttiva.
Art.7
Rapporto di valutazione della sicurezza
1. L'organismo di valutazione presenta al proponente un rapporto di valutazione della sicurezza.
2. Nei casi illustrati all'articolo 5, paragrafo 1, lettera a), l'autorità nazionale preposta alla sicurezza tiene conto di detto rapporto quando decide di autorizzare la messa in servizio di sottosistemi e veicoli.
3. Nel caso di cui all'articolo 5, paragrafo 1, lettera b), la valutazione indipendente rientra fra i compiti dell'organismo notificato salvo che la specifica tecnica di interoperabilità disponga altrimenti.
Qualora la valutazione indipendente non rientri fra i compiti dell'organismo notificato, il rapporto è preso in considerazione dall'organismo notificato incaricato di rilasciare il certificato di conformità o dall'amministrazione aggiudicatrice incaricata di redigere la dichiarazione CE di verifica.
4. Quando un sistema è già stato interamente o parzialmente approvato in esito al procedimento di gestione dei rischi previsto dal presente regolamento, il relativo rapporto di valutazione della sicurezza non è messo in discussione dagli altri organismi di valutazione incaricati di eseguire una nuova valutazione dello stesso sistema. Siffatto riconoscimento è subordinato alla dimostrazione che il sistema sarà utilizzato nelle stesse circostanze funzionali, operative ed ambientali del sistema già approvato e che sono stati applicati criteri di accettazione dei rischi equivalenti.
Art.8
Gestione della riduzione dei rischi/controlli interni ed esterni
1. Le imprese ferroviarie e i gestori dell'infrastruttura inseriscono nel rispettivo programma ordinario di controllo del sistema di gestione della sicurezza di cui all'articolo 9 della direttiva 2004/49/CE anche il controllo dell'applicazione del metodo comune per la determinazione e la valutazione dei rischi.
2. Nell'ambito dei compiti descritti all'articolo 16, paragrafo 2, lettera e), della direttiva 2004/49/CE, l'autorità nazionale preposta alla sicurezza verifica l'applicazione del metodo comune per la determinazione e la valutazione dei rischi.
Gestione della riduzione dei rischi/controlli interni ed esterni
1. Le imprese ferroviarie e i gestori dell'infrastruttura inseriscono nel rispettivo programma ordinario di controllo del sistema di gestione della sicurezza di cui all'articolo 9 della direttiva 2004/49/CE anche il controllo dell'applicazione del metodo comune per la determinazione e la valutazione dei rischi.
2. Nell'ambito dei compiti descritti all'articolo 16, paragrafo 2, lettera e), della direttiva 2004/49/CE, l'autorità nazionale preposta alla sicurezza verifica l'applicazione del metodo comune per la determinazione e la valutazione dei rischi.
Art.9
Informazioni e progresso tecnico
1. Tutti i gestori delle infrastrutture e tutte le imprese ferroviarie riferiscono sinteticamente, nell'ambito della relazione annuale sulla sicurezza di cui all'articolo 9, paragrafo 4, della direttiva 2004/49/CE, le proprie esperienze in merito all'applicazione del metodo comune. La relazione contiene anche una sintesi delle decisioni riguardanti la rilevanza delle modifiche.
2. Nell'ambito della relazione annuale di cui all'articolo 18 della direttiva 2004/49/CE, le autorità nazionali preposte alla sicurezza riferiscono le esperienze maturate dai proponenti nell'applicazione del metodo comune e, se del caso, le proprie esperienze in merito.
3. L'Agenzia ferroviaria europea controlla e raccoglie le informazioni riguardanti l'applicazione del metodo comune e presenta eventualmente raccomandazioni alla Commissione a fini migliorativi.
4. L'Agenzia ferroviaria europea presenta alla Commissione, entro il 31 dicembre 2011, una relazione comprendente:
a) un'analisi delle esperienze acquisite nell'applicazione del metodo comune, in particolare i casi in cui i proponenti hanno applicato spontaneamente il metodo comune prima dei termini iniziali d'applicazione stabiliti all'articolo 10;
b) un'analisi dell'esperienza acquisita dai proponenti nella determinazione della rilevanza delle modifiche;
c) un'analisi dei casi in cui sono stati applicati i codici di buona pratica di cui all'allegato I, punto 2.3.8;
d) un'analisi dell'efficacia complessiva del metodo comune.
Le autorità preposte alla sicurezza coadiuvano l'Agenzia individuando i casi in cui si applica il metodo comune.
Informazioni e progresso tecnico
1. Tutti i gestori delle infrastrutture e tutte le imprese ferroviarie riferiscono sinteticamente, nell'ambito della relazione annuale sulla sicurezza di cui all'articolo 9, paragrafo 4, della direttiva 2004/49/CE, le proprie esperienze in merito all'applicazione del metodo comune. La relazione contiene anche una sintesi delle decisioni riguardanti la rilevanza delle modifiche.
2. Nell'ambito della relazione annuale di cui all'articolo 18 della direttiva 2004/49/CE, le autorità nazionali preposte alla sicurezza riferiscono le esperienze maturate dai proponenti nell'applicazione del metodo comune e, se del caso, le proprie esperienze in merito.
3. L'Agenzia ferroviaria europea controlla e raccoglie le informazioni riguardanti l'applicazione del metodo comune e presenta eventualmente raccomandazioni alla Commissione a fini migliorativi.
4. L'Agenzia ferroviaria europea presenta alla Commissione, entro il 31 dicembre 2011, una relazione comprendente:
a) un'analisi delle esperienze acquisite nell'applicazione del metodo comune, in particolare i casi in cui i proponenti hanno applicato spontaneamente il metodo comune prima dei termini iniziali d'applicazione stabiliti all'articolo 10;
b) un'analisi dell'esperienza acquisita dai proponenti nella determinazione della rilevanza delle modifiche;
c) un'analisi dei casi in cui sono stati applicati i codici di buona pratica di cui all'allegato I, punto 2.3.8;
d) un'analisi dell'efficacia complessiva del metodo comune.
Le autorità preposte alla sicurezza coadiuvano l'Agenzia individuando i casi in cui si applica il metodo comune.
Art.10
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
2. Il presente regolamento si applica a decorrere dal 1° luglio 2012.
Esso si applica tuttavia a decorrere dal 19 o luglio 2010:
a) per le modifiche tecniche rilevanti che interessano i veicoli definiti all'articolo 2, lettera c), della direttiva 2008/57/CE,
b) per le modifiche rilevanti che riguardano sottosistemi strutturali, prescritte dall'articolo 15, paragrafo 1, della direttiva 2008/57/CE ovvero da specifiche tecniche di interoperabilità.
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
2. Il presente regolamento si applica a decorrere dal 1° luglio 2012.
Esso si applica tuttavia a decorrere dal 19 o luglio 2010:
a) per le modifiche tecniche rilevanti che interessano i veicoli definiti all'articolo 2, lettera c), della direttiva 2008/57/CE,
b) per le modifiche rilevanti che riguardano sottosistemi strutturali, prescritte dall'articolo 15, paragrafo 1, della direttiva 2008/57/CE ovvero da specifiche tecniche di interoperabilità.
ALLEGATO I
1. PRINCIPI GENERALI DEL PROCEDIMENTO DI GESTIONE DEI RISCHI1.1. Principi e obblighi generali
1.1.1. Il procedimento di gestione dei rischi di cui al presente regolamento ha inizio dalla definizione del sistema da valutare e comprende le seguenti attività:
a) procedimento di valutazione dei rischi, finalizzato ad individuare gli eventi pericolosi, i rischi, le corrispondenti misure di sicurezza e i requisiti di sicurezza che il sistema da valutare deve soddisfare;
b) dimostrazione della conformità del sistema ai requisiti di sicurezza individuati;
c) gestione di tutti gli eventi pericolosi individuati e misure di sicurezza corrispondenti.
Il procedimento di gestione dei rischi è iterativo ed è illustrato nel grafico dell'appendice. Il procedimento si conclude quando si dimostra che il sistema è conforme a tutti i requisiti di sicurezza necessari affinché risultino accettabili i rischi connessi agli eventi pericolosi individuati.
1.1.2. Il procedimento iterativo di gestione dei rischi:
a) comprende le opportune attività di garanzia della qualità ed è svolto da personale competente;
b) è valutato in maniera indipendente da uno o più organismi di valutazione.
1.1.3. Il proponente incaricato del procedimento di gestione dei rischi di cui al presente regolamento mantiene un registro degli eventi pericolosi a norma del punto 4.
1.1.4. Gli operatori che già dispongono di metodi o strumenti per la valutazione dei rischi possono continuare ad applicarli purché tali metodi o strumenti siano compatibili con le disposizioni del presente regolamento e a condizione che:
a) i metodi o gli strumenti di valutazione dei rischi siano definiti in un sistema di gestione dei rischi approvato da un'autorità nazionale preposta alla sicurezza a norma dell'articolo 10, paragrafo 2, lettera a), o dell'articolo 11, paragrafo 1, lettera a), della direttiva 2004/49/CE; oppure
b) i metodi o gli strumenti di valutazione dei rischi siano prescritti da una specifica tecnica di interoperabilità o siano conformi a regole riconosciute e pubblicamente disponibili prescritte nelle norme nazionali notificate.
1.1.5. Fatte salve le disposizioni in materia di responsabilità civile stabilite dalle legislazioni degli Stati membri, il proponente è responsabile per il procedimento di valutazione dei rischi. In particolare, il proponente decide, con l'accordo degli operatori interessati, chi è incaricato di adempiere i requisiti di sicurezza derivanti dalla valutazione dei rischi. Tale decisione dipende dal tipo di misure di sicurezza scelte per contenere il rischio a livelli accettabili. La conformità ai requisiti di sicurezza deve essere dimostrata a norma del punto 3.
1.1.6. Nell'ambito del procedimento di gestione dei rischi il proponente deve, in primo luogo, stilare un documento nel quale individua i compiti dei vari operatori e le rispettive attività di gestione dei rischi. Il proponente opera in stretta collaborazione con i vari operatori interessati, in funzione dei compiti assegnati, al fine di gestire gli eventi pericolosi e le misure di sicurezza corrispondenti.
1.1.7. L'organismo di valutazione ha il compito di valutare la corretta applicazione del procedimento di gestione dei rischi di cui al presente regolamento.
1.2. Gestione dei punti d'interazione
1.2.1. Per ciascun punto d'interazione del sistema da valutare, e fatte salve le specifiche definite nelle specifiche tecniche di interoperabilità relativamente ai punti d'interazione, gli operatori del settore ferroviario cooperano per individuare e gestire congiuntamente gli eventi pericolosi e le relative misure di sicurezza. Il proponente coordina la gestione dei rischi condivisi nei punti d'interazione.
1.2.2. L'operatore che, per adempiere un requisito di sicurezza, ritiene necessaria una misura di sicurezza che non è in grado di applicare personalmente trasferisce ad un altro operatore, previo accordo di quest'ultimo, la gestione del correlativo evento pericoloso secondo le modalità definite al punto 4.
1.2.3. Qualsiasi operatore che rilevi la non conformità o l'inadeguatezza di una misura di sicurezza applicata al sistema soggetto a valutazione è tenuto a informare il proponente che, a sua volta, ne informa l'operatore che mette in atto la misura di sicurezza in questione.
1.2.4. L'operatore che mette in atto la misura di sicurezza informa tutti gli operatori interessati dal problema nell'ambito del sistema da valutare o, per quanto ne sia a conoscenza, nell'ambito di altri sistemi che si avvalgono della stessa misura di sicurezza.
1.2.5. Qualora non sia possibile giungere ad un accordo tra due o più operatori, spetta al proponente individuare la soluzione idonea.
1.2.6. Quando un operatore non è in grado di soddisfare un requisito stabilito in una norma nazionale notificata, il proponente chiede il parere dell'autorità competente.
1.2.7. A prescindere dalla definizione del sistema da valutare, il proponente è tenuto a garantire che la gestione dei rischi si applichi sia al sistema in sé sia al suo inserimento nel sistema ferroviario complessivo.
2. DESCRIZIONE DEL PROCEDIMENTO DI VALUTAZIONE DEI RISCHI
2.1. Descrizione generale
2.1.1. Per procedimento di valutazione dei rischi s'intende il procedimento iterativo generale comprendente:
a) la definizione del sistema;
b) l'analisi dei rischi, compresa l'individuazione degli eventi pericolosi;
c) la determinazione dei rischi.
Il procedimento di valutazione dei rischi interagisce con la gestione degli eventi pericolosi come indicato al punto 4.1.
2.1.2. La definizione del sistema deve riguardare quanto meno i seguenti punti:
a) gli obiettivi del sistema;
b) le funzioni e gli elementi del sistema, se del caso (compresi, tra gli altri, elementi umani, tecnici ed operativi);
c) la delimitazione del sistema, anche in riferimento ai sistemi che interagiscono con esso;
d) i punti d'interazione materiali (sistemi che interagiscono) e funzionali (input ed output funzionali);
e) le condizioni ambientali del sistema (ad esempio, flusso termico ed energetico, urti, vibrazioni, interferenze elettromagnetiche, utilizzo operativo);
f) le misure di sicurezza e, previe le necessarie iterazioni, la definizione dei requisiti di sicurezza individuati nel corso del procedimento di valutazione dei rischi;
g) i presupposti che determinano i limiti della valutazione dei rischi.
2.1.3. Relativamente al sistema così definito gli eventi pericolosi sono individuati secondo le modalità definite al punto 2.2.
2.1.4. L'accettabilità dei rischi del sistema da valutare viene definita sulla base di uno o più dei seguenti criteri:
a) applicazione di codici di buona pratica (punto 2.3);
b) confronto con sistemi analoghi (punto 2.4);
c) stima accurata dei rischi (punto 2.5).
In base al principio generale di cui al punto 1.1.5, l'organismo di valutazione si astiene dal prescrivere al proponente il criterio di accettazione dei rischi da applicare.
2.1.5. Nella determinazione dei rischi il proponente deve dimostrare che il criterio di accettazione dei rischi prescelto è applicato correttamente. Il proponente deve inoltre verificare che i criteri prescelti siano applicati in maniera coerente.
2.1.6. I criteri di accettazione dei rischi indicati devono permettere di individuare le possibili misure di sicurezza che rendano accettabili i rischi del sistema da valutare. Le misure di sicurezza selezionate, fra quelle possibili, al fine di contenere il rischio o i rischi costituiscono i requisiti di sicurezza che il sistema deve soddisfare. La conformità a tali requisiti deve esser dimostrata a norma del punto 3.
2.1.7. Il procedimento iterativo di valutazione dei rischi è concluso quando risulti dimostrata la conformità a tutti i requisiti di sicurezza e non ci siano ulteriori eventi pericolosi da prendere in considerazione.
2.2. Individuazione degli eventi pericolosi
2.2.1. Il proponente ricorre alle competenze approfondite di un gruppo di esperti per individuare sistematicamente tutti gli eventi pericolosi cui potrebbe essere soggetto l'intero sistema, all'occorrenza le funzionalità dello stesso, nonché i relativi punti d'interazione.
Tutti gli eventi pericolosi così individuati sono inseriti nell'apposito registro secondo le modalità indicate al punto 4.
2.2.2. Al fine di incentrare la valutazione dei rischi sui rischi principali, gli eventi pericolosi devono essere classificati in funzione dei rischi stimati che da essi derivano. Gli eventi pericolosi che, previa consulenza tecnica, si considerano associati ad un rischio globalmente accettabile non devono essere esaminati più a fondo, ma devono comunque essere inseriti nel registro degli eventi pericolosi. Tale classificazione deve essere motivata per consentire lo svolgimento di valutazioni indipendenti da parte degli organismi di valutazione.
2.2.3. In linea di principio il rischio connesso ad un evento pericoloso può considerarsi globalmente accettabile se è talmente esiguo che non appare opportuno mettere in atto alcuna misura di sicurezza supplementare. La consulenza tecnica deve verificare che tutti i rischi ritenuti globalmente accettabili non superino, cumulativamente, una determinata quota dei rischi complessivi.
2.2.4. All'atto dell'individuazione degli eventi pericolosi possono altresì essere determinate le misure di sicurezza. Tali misure sono inserite nell'apposito registro degli eventi pericolosi secondo le modalità indicate al punto 4.
2.2.5. L'individuazione degli eventi pericolosi deve essere realizzata con il livello di dettaglio necessario per determinare se le misure di sicurezza sono in grado di contenere i rischi sulla base di uno dei criteri di accettazione dei rischi indicati al punto 2.1.4. Può pertanto essere necessario reiterare le fasi dell'analisi e della determinazione dei rischi fino a quando non si raggiunga il livello di dettaglio sufficiente per individuare i rischi stessi.
2.2.6. Qualora ai fini del contenimento dei rischi si faccia ricorso a codici di buona pratica o a un sistema di riferimento, l'individuazione degli eventi pericolosi può limitarsi a quanto segue:
a) verifica della pertinenza del codice di buona pratica o del sistema di riferimento interessato;
b) individuazione delle deviazioni rispetto al codice di buona pratica o al sistema di riferimento.
2.3. Utilizzo di codici di buona pratica e determinazione dei rischi
2.3.1. Il proponente esamina, con la collaborazione di altri operatori e in base ai requisiti di cui al punto 2.3.2, se uno o più eventi pericolosi individuati sono adeguatamente disciplinati dai codici di buona pratica.
2.3.2. I codici di buona pratica devono quanto meno:
a) godere di un ampio riconoscimento nel settore ferroviario; in caso contrario, tali codici devono essere corredati delle necessarie motivazioni e devono essere ritenuti accettabili dall'organismo di valutazione;
b) essere pertinenti ai fini del contenimento degli eventi pericolosi considerati nel sistema da valutare;
c) essere disponibili per tutti i soggetti che ne vogliano fare uso.
2.3.3. Quando, ai sensi della direttiva 2008/57/CE, è prescritta la conformità alle specifiche tecniche di interoperabilità e la specifica tecnica di interoperabilità di cui trattasi non richiede il procedimento di gestione dei rischi previsto dal presente regolamento, le specifiche tecniche di interoperabilità possono essere considerate codici di buona pratica per il contenimento degli eventi pericolosi purché venga soddisfatto il requisito di cui al punto 2.3.2, lettera c).
2.3.4. Le norme nazionali notificate ai sensi dell'articolo 8 della direttiva 2004/49/CE e dell'articolo 17, paragrafo 3, della direttiva 2008/57/CE possono essere considerate codici di buona pratica purché siano soddisfatti i requisiti di cui al punto 2.3.2.
2.3.5. Se uno o più eventi pericolosi individuati sono disciplinati da codici di buona pratica conformi ai requisiti di cui al punto 2.3.2, i rischi ad essi associati devono considerarsi accettabili. Ciò implica che:
a) non è necessario analizzare ulteriormente tali rischi;
b) l'applicazione dei codici di buona pratica deve essere annotato nel registro degli eventi pericolosi come requisito di sicurezza per gli eventi pericolosi di cui trattasi.
2.3.6. Il proponente deve dimostrare che un'alternativa non interamente conforme al codice di buona pratica, ma eventualmente prescelta, garantisca almeno lo stesso livello di sicurezza.
2.3.7. Se l'applicazione dei codici di buona pratica non permette di rendere accettabile il rischio connesso ad un determinato evento pericoloso, occorre individuare altre misure di sicurezza applicando uno degli altri due criteri di accettazione dei rischi.
2.3.8. Quando vengono applicati codici di buona pratica per il contenimento degli eventi pericolosi il procedimento di gestione dei rischi può limitarsi:
a) all'individuazione degli eventi pericolosi a norma del punto 2.2.6;
b) all'indicazione dell'applicazione dei codici di buona pratica nel registro degli eventi pericolosi ai sensi del punto 2.3.5;
c) alla documentazione riguardante l'applicazione del procedimento di gestione dei rischi ai sensi del punto 5;
d) a una valutazione indipendente a norma dell'articolo 6.
2.4. Uso del sistema di riferimento e determinazione dei rischi
2.4.1. Il proponente esamina, con la collaborazione di altri operatori, se uno o più eventi pericolosi individuati sono disciplinati in un sistema analogo che possa essere adottato come sistema di riferimento.
2.4.2. Un sistema di riferimento deve almeno:
a) avere già dimostrato, nella pratica, di garantire un livello di sicurezza accettabile e poter essere approvato nello Stato membro in cui deve essere introdotta la modifica;
b) presentare funzionalità e punti d'interazione analoghi a quelli del sistema da valutare;
c) essere utilizzato in circostanze operative analoghe a quelle del sistema da valutare;
d) essere utilizzato in circostanze ambientali analoghe a quelle del sistema da valutare.
2.4.3. Se il sistema di riferimento soddisfa i requisiti del punto 2.4.2, ai fini del sistema da valutare:
a) i rischi associati agli eventi pericolosi disciplinati dal sistema di riferimento si considerano accettabili;
b) i requisiti di sicurezza per gli eventi pericolosi disciplinati dal sistema di riferimento possono essere ricavati dalle analisi della sicurezza o dalla valutazione dei registri di sicurezza del sistema di riferimento;
c) tali requisiti di sicurezza devono essere inseriti nel registro degli eventi pericolosi in qualità di requisiti di sicurezza per gli eventi pericolosi di cui trattasi.
2.4.4. Se il sistema da valutare si discosta dal sistema di riferimento, la determinazione dei rischi deve dimostrare che il sistema soggetto a valutazione presenta quanto meno lo stesso livello di sicurezza del sistema di riferimento. In tal caso, i rischi associati agli eventi pericolosi disciplinati dal sistema di riferimento sono considerati accettabili.
2.4.5. Se non è possibile dimostrare che il sistema raggiunge lo stesso livello di sicurezza del sistema di riferimento, è necessario individuare ulteriori misure di sicurezza per gli elementi che si discostano, applicando uno degli altri due criteri di accettazione dei rischi.
2.5. Stima e determinazione accurata dei rischi
2.5.1. Se gli eventi pericolosi non rientrano nell'ambito d'applicazione dei due criteri di accettazione dei rischi indicati ai punti 2.3 e 2.4, l'accettabilità dei rischi deve essere dimostrata mediante una stima e determinazione accurate dei rischi stessi. I rischi derivanti dagli eventi pericolosi devono essere stimati sotto il profilo quantitativo o qualitativo, tenendo conto delle misure di sicurezza in essere.
2.5.2. L'accettabilità dei rischi stimati è valutata in base ai criteri di accettazione dei rischi ricavati dai o fondati sui requisiti stabiliti dalla normativa comunitaria o dalle norme nazionali notificate. In funzione dei criteri di accettazione dei rischi, l'accettabilità dei rischi può essere valutata individualmente per ciascun evento pericoloso o complessivamente per la combinazione di tutti gli eventi pericolosi considerati nella stima accurata dei rischi.
Se il rischio stimato non è accettabile devono essere individuate e messe in atto misure di sicurezza supplementari per ridurre il rischio ad un livello accettabile.
2.5.3. Quando il rischio associato ad un evento pericoloso o ad una combinazione di eventi pericolosi è considerato accettabile, le misure di sicurezza individuate devono essere registrate nel registro degli eventi pericolosi.
2.5.4. Quando gli eventi pericolosi discendono da guasti di sistemi tecnici non contemplati dai codici di buona pratica o dai sistemi di riferimento, alla progettazione dei sistemi tecnici si applica il seguente criterio di accettazione dei rischi:
Nei sistemi tecnici in cui un guasto funzionale è potenzialmente idoneo a produrre conseguenze catastrofiche dirette, il rischio non deve essere ridotto ulteriormente soltanto se la probabilità che si verifichi tale guasto è inferiore o pari a 10-9* per ora di esercizio.
2.5.5. Fatta salva la procedura di cui all'articolo 8 della direttiva 2004/49/CE, le norme nazionali possono prescrivere un criterio più rigoroso al fine di mantenere un determinato livello di sicurezza in ambito nazionale. Tuttavia, nel caso delle autorizzazioni complementari per la messa in servizio di veicoli, si applicano le procedure degli articoli 23 e 25 della direttiva 2008/57/CE.
2.5.6. Se il sistema tecnico viene sviluppato secondo il criterio di probabilità (10-9*) di cui al punto 2.5.4, si applica il principio del riconoscimento reciproco di cui all'articolo 7, paragrafo 4, del presente regolamento.
Tuttavia il proponente, se è in grado di dimostrare che il livello di sicurezza nazionale all'interno dello Stato membro di cui trattasi può essere preservato anche con una probabilità di guasto superiore a 10-9* per ora di esercizio, può valersi di tale criterio in quello Stato membro.
2.5.7. La stima e la determinazione accurata dei rischi devono soddisfare quanto meno i seguenti requisiti:
a) i metodi impiegati per la stima accurata dei rischi devono rappresentare fedelmente il sistema da valutare e i rispettivi parametri (comprese tutte le modalità operative);
b) i risultati devono essere sufficientemente precisi per costituire una solida base decisionale (ciò significa che modifiche minime nei presupposti o nelle condizioni non devono determinare requisiti notevolmente diversi).
2.1. Descrizione generale
2.1.1. Per procedimento di valutazione dei rischi s'intende il procedimento iterativo generale comprendente:
a) la definizione del sistema;
b) l'analisi dei rischi, compresa l'individuazione degli eventi pericolosi;
c) la determinazione dei rischi.
Il procedimento di valutazione dei rischi interagisce con la gestione degli eventi pericolosi come indicato al punto 4.1.
2.1.2. La definizione del sistema deve riguardare quanto meno i seguenti punti:
a) gli obiettivi del sistema;
b) le funzioni e gli elementi del sistema, se del caso (compresi, tra gli altri, elementi umani, tecnici ed operativi);
c) la delimitazione del sistema, anche in riferimento ai sistemi che interagiscono con esso;
d) i punti d'interazione materiali (sistemi che interagiscono) e funzionali (input ed output funzionali);
e) le condizioni ambientali del sistema (ad esempio, flusso termico ed energetico, urti, vibrazioni, interferenze elettromagnetiche, utilizzo operativo);
f) le misure di sicurezza e, previe le necessarie iterazioni, la definizione dei requisiti di sicurezza individuati nel corso del procedimento di valutazione dei rischi;
g) i presupposti che determinano i limiti della valutazione dei rischi.
2.1.3. Relativamente al sistema così definito gli eventi pericolosi sono individuati secondo le modalità definite al punto 2.2.
2.1.4. L'accettabilità dei rischi del sistema da valutare viene definita sulla base di uno o più dei seguenti criteri:
a) applicazione di codici di buona pratica (punto 2.3);
b) confronto con sistemi analoghi (punto 2.4);
c) stima accurata dei rischi (punto 2.5).
In base al principio generale di cui al punto 1.1.5, l'organismo di valutazione si astiene dal prescrivere al proponente il criterio di accettazione dei rischi da applicare.
2.1.5. Nella determinazione dei rischi il proponente deve dimostrare che il criterio di accettazione dei rischi prescelto è applicato correttamente. Il proponente deve inoltre verificare che i criteri prescelti siano applicati in maniera coerente.
2.1.6. I criteri di accettazione dei rischi indicati devono permettere di individuare le possibili misure di sicurezza che rendano accettabili i rischi del sistema da valutare. Le misure di sicurezza selezionate, fra quelle possibili, al fine di contenere il rischio o i rischi costituiscono i requisiti di sicurezza che il sistema deve soddisfare. La conformità a tali requisiti deve esser dimostrata a norma del punto 3.
2.1.7. Il procedimento iterativo di valutazione dei rischi è concluso quando risulti dimostrata la conformità a tutti i requisiti di sicurezza e non ci siano ulteriori eventi pericolosi da prendere in considerazione.
2.2. Individuazione degli eventi pericolosi
2.2.1. Il proponente ricorre alle competenze approfondite di un gruppo di esperti per individuare sistematicamente tutti gli eventi pericolosi cui potrebbe essere soggetto l'intero sistema, all'occorrenza le funzionalità dello stesso, nonché i relativi punti d'interazione.
Tutti gli eventi pericolosi così individuati sono inseriti nell'apposito registro secondo le modalità indicate al punto 4.
2.2.2. Al fine di incentrare la valutazione dei rischi sui rischi principali, gli eventi pericolosi devono essere classificati in funzione dei rischi stimati che da essi derivano. Gli eventi pericolosi che, previa consulenza tecnica, si considerano associati ad un rischio globalmente accettabile non devono essere esaminati più a fondo, ma devono comunque essere inseriti nel registro degli eventi pericolosi. Tale classificazione deve essere motivata per consentire lo svolgimento di valutazioni indipendenti da parte degli organismi di valutazione.
2.2.3. In linea di principio il rischio connesso ad un evento pericoloso può considerarsi globalmente accettabile se è talmente esiguo che non appare opportuno mettere in atto alcuna misura di sicurezza supplementare. La consulenza tecnica deve verificare che tutti i rischi ritenuti globalmente accettabili non superino, cumulativamente, una determinata quota dei rischi complessivi.
2.2.4. All'atto dell'individuazione degli eventi pericolosi possono altresì essere determinate le misure di sicurezza. Tali misure sono inserite nell'apposito registro degli eventi pericolosi secondo le modalità indicate al punto 4.
2.2.5. L'individuazione degli eventi pericolosi deve essere realizzata con il livello di dettaglio necessario per determinare se le misure di sicurezza sono in grado di contenere i rischi sulla base di uno dei criteri di accettazione dei rischi indicati al punto 2.1.4. Può pertanto essere necessario reiterare le fasi dell'analisi e della determinazione dei rischi fino a quando non si raggiunga il livello di dettaglio sufficiente per individuare i rischi stessi.
2.2.6. Qualora ai fini del contenimento dei rischi si faccia ricorso a codici di buona pratica o a un sistema di riferimento, l'individuazione degli eventi pericolosi può limitarsi a quanto segue:
a) verifica della pertinenza del codice di buona pratica o del sistema di riferimento interessato;
b) individuazione delle deviazioni rispetto al codice di buona pratica o al sistema di riferimento.
2.3. Utilizzo di codici di buona pratica e determinazione dei rischi
2.3.1. Il proponente esamina, con la collaborazione di altri operatori e in base ai requisiti di cui al punto 2.3.2, se uno o più eventi pericolosi individuati sono adeguatamente disciplinati dai codici di buona pratica.
2.3.2. I codici di buona pratica devono quanto meno:
a) godere di un ampio riconoscimento nel settore ferroviario; in caso contrario, tali codici devono essere corredati delle necessarie motivazioni e devono essere ritenuti accettabili dall'organismo di valutazione;
b) essere pertinenti ai fini del contenimento degli eventi pericolosi considerati nel sistema da valutare;
c) essere disponibili per tutti i soggetti che ne vogliano fare uso.
2.3.3. Quando, ai sensi della direttiva 2008/57/CE, è prescritta la conformità alle specifiche tecniche di interoperabilità e la specifica tecnica di interoperabilità di cui trattasi non richiede il procedimento di gestione dei rischi previsto dal presente regolamento, le specifiche tecniche di interoperabilità possono essere considerate codici di buona pratica per il contenimento degli eventi pericolosi purché venga soddisfatto il requisito di cui al punto 2.3.2, lettera c).
2.3.4. Le norme nazionali notificate ai sensi dell'articolo 8 della direttiva 2004/49/CE e dell'articolo 17, paragrafo 3, della direttiva 2008/57/CE possono essere considerate codici di buona pratica purché siano soddisfatti i requisiti di cui al punto 2.3.2.
2.3.5. Se uno o più eventi pericolosi individuati sono disciplinati da codici di buona pratica conformi ai requisiti di cui al punto 2.3.2, i rischi ad essi associati devono considerarsi accettabili. Ciò implica che:
a) non è necessario analizzare ulteriormente tali rischi;
b) l'applicazione dei codici di buona pratica deve essere annotato nel registro degli eventi pericolosi come requisito di sicurezza per gli eventi pericolosi di cui trattasi.
2.3.6. Il proponente deve dimostrare che un'alternativa non interamente conforme al codice di buona pratica, ma eventualmente prescelta, garantisca almeno lo stesso livello di sicurezza.
2.3.7. Se l'applicazione dei codici di buona pratica non permette di rendere accettabile il rischio connesso ad un determinato evento pericoloso, occorre individuare altre misure di sicurezza applicando uno degli altri due criteri di accettazione dei rischi.
2.3.8. Quando vengono applicati codici di buona pratica per il contenimento degli eventi pericolosi il procedimento di gestione dei rischi può limitarsi:
a) all'individuazione degli eventi pericolosi a norma del punto 2.2.6;
b) all'indicazione dell'applicazione dei codici di buona pratica nel registro degli eventi pericolosi ai sensi del punto 2.3.5;
c) alla documentazione riguardante l'applicazione del procedimento di gestione dei rischi ai sensi del punto 5;
d) a una valutazione indipendente a norma dell'articolo 6.
2.4. Uso del sistema di riferimento e determinazione dei rischi
2.4.1. Il proponente esamina, con la collaborazione di altri operatori, se uno o più eventi pericolosi individuati sono disciplinati in un sistema analogo che possa essere adottato come sistema di riferimento.
2.4.2. Un sistema di riferimento deve almeno:
a) avere già dimostrato, nella pratica, di garantire un livello di sicurezza accettabile e poter essere approvato nello Stato membro in cui deve essere introdotta la modifica;
b) presentare funzionalità e punti d'interazione analoghi a quelli del sistema da valutare;
c) essere utilizzato in circostanze operative analoghe a quelle del sistema da valutare;
d) essere utilizzato in circostanze ambientali analoghe a quelle del sistema da valutare.
2.4.3. Se il sistema di riferimento soddisfa i requisiti del punto 2.4.2, ai fini del sistema da valutare:
a) i rischi associati agli eventi pericolosi disciplinati dal sistema di riferimento si considerano accettabili;
b) i requisiti di sicurezza per gli eventi pericolosi disciplinati dal sistema di riferimento possono essere ricavati dalle analisi della sicurezza o dalla valutazione dei registri di sicurezza del sistema di riferimento;
c) tali requisiti di sicurezza devono essere inseriti nel registro degli eventi pericolosi in qualità di requisiti di sicurezza per gli eventi pericolosi di cui trattasi.
2.4.4. Se il sistema da valutare si discosta dal sistema di riferimento, la determinazione dei rischi deve dimostrare che il sistema soggetto a valutazione presenta quanto meno lo stesso livello di sicurezza del sistema di riferimento. In tal caso, i rischi associati agli eventi pericolosi disciplinati dal sistema di riferimento sono considerati accettabili.
2.4.5. Se non è possibile dimostrare che il sistema raggiunge lo stesso livello di sicurezza del sistema di riferimento, è necessario individuare ulteriori misure di sicurezza per gli elementi che si discostano, applicando uno degli altri due criteri di accettazione dei rischi.
2.5. Stima e determinazione accurata dei rischi
2.5.1. Se gli eventi pericolosi non rientrano nell'ambito d'applicazione dei due criteri di accettazione dei rischi indicati ai punti 2.3 e 2.4, l'accettabilità dei rischi deve essere dimostrata mediante una stima e determinazione accurate dei rischi stessi. I rischi derivanti dagli eventi pericolosi devono essere stimati sotto il profilo quantitativo o qualitativo, tenendo conto delle misure di sicurezza in essere.
2.5.2. L'accettabilità dei rischi stimati è valutata in base ai criteri di accettazione dei rischi ricavati dai o fondati sui requisiti stabiliti dalla normativa comunitaria o dalle norme nazionali notificate. In funzione dei criteri di accettazione dei rischi, l'accettabilità dei rischi può essere valutata individualmente per ciascun evento pericoloso o complessivamente per la combinazione di tutti gli eventi pericolosi considerati nella stima accurata dei rischi.
Se il rischio stimato non è accettabile devono essere individuate e messe in atto misure di sicurezza supplementari per ridurre il rischio ad un livello accettabile.
2.5.3. Quando il rischio associato ad un evento pericoloso o ad una combinazione di eventi pericolosi è considerato accettabile, le misure di sicurezza individuate devono essere registrate nel registro degli eventi pericolosi.
2.5.4. Quando gli eventi pericolosi discendono da guasti di sistemi tecnici non contemplati dai codici di buona pratica o dai sistemi di riferimento, alla progettazione dei sistemi tecnici si applica il seguente criterio di accettazione dei rischi:
Nei sistemi tecnici in cui un guasto funzionale è potenzialmente idoneo a produrre conseguenze catastrofiche dirette, il rischio non deve essere ridotto ulteriormente soltanto se la probabilità che si verifichi tale guasto è inferiore o pari a 10-9* per ora di esercizio.
2.5.5. Fatta salva la procedura di cui all'articolo 8 della direttiva 2004/49/CE, le norme nazionali possono prescrivere un criterio più rigoroso al fine di mantenere un determinato livello di sicurezza in ambito nazionale. Tuttavia, nel caso delle autorizzazioni complementari per la messa in servizio di veicoli, si applicano le procedure degli articoli 23 e 25 della direttiva 2008/57/CE.
2.5.6. Se il sistema tecnico viene sviluppato secondo il criterio di probabilità (10-9*) di cui al punto 2.5.4, si applica il principio del riconoscimento reciproco di cui all'articolo 7, paragrafo 4, del presente regolamento.
Tuttavia il proponente, se è in grado di dimostrare che il livello di sicurezza nazionale all'interno dello Stato membro di cui trattasi può essere preservato anche con una probabilità di guasto superiore a 10-9* per ora di esercizio, può valersi di tale criterio in quello Stato membro.
2.5.7. La stima e la determinazione accurata dei rischi devono soddisfare quanto meno i seguenti requisiti:
a) i metodi impiegati per la stima accurata dei rischi devono rappresentare fedelmente il sistema da valutare e i rispettivi parametri (comprese tutte le modalità operative);
b) i risultati devono essere sufficientemente precisi per costituire una solida base decisionale (ciò significa che modifiche minime nei presupposti o nelle condizioni non devono determinare requisiti notevolmente diversi).
3. DIMOSTRAZIONE DELLA CONFORMITÀ AI REQUISITI DI SICUREZZA
3.1. Prima dell'approvazione delle modifiche ai fini della sicurezza deve essere dimostrata, sotto la vigilanza del proponente, la conformità ai requisiti di sicurezza risultanti dalla fase di valutazione dei rischi.
3.2. La conformità deve essere dimostrata da ciascuno dei soggetti responsabili per la conformità ai requisiti di sicurezza, designati a norma del punto 1.1.5.
3.3. Il metodo scelto per dimostrare la conformità ai requisiti di sicurezza nonché la dimostrazione stessa devono essere valutati in maniera indipendente da un organismo di valutazione.
3.4. Se viene rilevata un'inadeguatezza nelle misure di sicurezza intese ad adempiere i requisiti di sicurezza o se emerge la possibilità di un evento pericoloso nel corso della dimostrazione della conformità ai requisiti di sicurezza, il proponente deve procedere ad una nuova valutazione e determinazione dei correlativi rischi secondo quanto indicato al punto 2. I nuovi eventi pericolosi devono essere inseriti nel registro degli eventi pericolosi a norma del punto 4.
3.1. Prima dell'approvazione delle modifiche ai fini della sicurezza deve essere dimostrata, sotto la vigilanza del proponente, la conformità ai requisiti di sicurezza risultanti dalla fase di valutazione dei rischi.
3.2. La conformità deve essere dimostrata da ciascuno dei soggetti responsabili per la conformità ai requisiti di sicurezza, designati a norma del punto 1.1.5.
3.3. Il metodo scelto per dimostrare la conformità ai requisiti di sicurezza nonché la dimostrazione stessa devono essere valutati in maniera indipendente da un organismo di valutazione.
3.4. Se viene rilevata un'inadeguatezza nelle misure di sicurezza intese ad adempiere i requisiti di sicurezza o se emerge la possibilità di un evento pericoloso nel corso della dimostrazione della conformità ai requisiti di sicurezza, il proponente deve procedere ad una nuova valutazione e determinazione dei correlativi rischi secondo quanto indicato al punto 2. I nuovi eventi pericolosi devono essere inseriti nel registro degli eventi pericolosi a norma del punto 4.
4. GESTIONE DEGLI EVENTI PERICOLOSI
4.1. Procedimento di gestione degli eventi pericolosi
4.1.1. Il proponente costituisce uno o più registri degli eventi pericolosi o aggiorna quelli preesistenti durante la fase di progettazione e di applicazione e fino all'approvazione della modifica o alla consegna del rapporto di valutazione della sicurezza. Tale registro conserva traccia dei progressi compiuti nel monitoraggio dei rischi associati agli eventi pericolosi individuati. A norma della direttiva 2004/49/CE, allegato III, punto 2, lettera g), il registro degli eventi pericolosi deve essere tenuto dal gestore dell'infrastruttura o dall'impresa ferroviaria incaricata del funzionamento del sistema da valutare e considerato parte integrante del sistema di gestione della sicurezza.
4.1.2. Il registro deve contenere tutti gli eventi pericolosi, nonché tutte le correlative misure di sicurezza e i presupposti sistemici individuati nell'ambito del procedimento di valutazione dei rischi. In particolare, il registro deve contenere un chiaro riferimento all'origine e ai criteri di accettazione dei rischi individuati; deve inoltre indicare l'operatore o gli operatori incaricati di controllare ciascun evento pericoloso.
4.2. Scambio di informazioni
Gli eventi pericolosi e i relativi requisiti di sicurezza che non possono essere gestiti da un unico operatore devono essere comunicati ad un altro operatore competente ai fini di un'adeguata soluzione congiunta. Gli eventi pericolosi registrati nell'apposito registro dell'operatore che li trasferisce devono essere «controllati» solo nel momento in cui la determinazione dei rischi ad essi associati è stata effettuata dall'altro operatore e la soluzione ha ottenuto il consenso di tutti gli interessati.
5. PROVE OGGETTIVE DERIVANTI DALL'APPLICAZIONE DEL PROCEDIMENTO DI GESTIONE DEI RISCHI
5.1. Il proponente deve documentare il procedimento di gestione dei rischi utilizzato per valutare i livelli di sicurezza e la conformità ai requisiti di sicurezza in modo che tutti i documenti necessari per dimostrare la corretta applicazione del procedimento di gestione dei rischi siano a disposizione dell'organismo di valutazione. L'organismo di valutazione formula le proprie conclusioni nell'ambito di una relazione di valutazione della sicurezza.
5.2. La documentazione che il proponente deve produrre a norma del punto 5.1 deve comprendere almeno quanto segue:
a) le caratteristiche dell'organizzazione e degli esperti nominati per il procedimento di valutazione dei rischi;
b) i risultati delle varie fasi della valutazione dei rischi e l'elenco di tutti i requisiti di sicurezza da soddisfare per contenere i rischi entro livelli accettabili.
Legenda:
10-9* = -9 è esponente.
Appendice
Procedimento di gestione dei rischi e valutazione indipendente
5.1. Il proponente deve documentare il procedimento di gestione dei rischi utilizzato per valutare i livelli di sicurezza e la conformità ai requisiti di sicurezza in modo che tutti i documenti necessari per dimostrare la corretta applicazione del procedimento di gestione dei rischi siano a disposizione dell'organismo di valutazione. L'organismo di valutazione formula le proprie conclusioni nell'ambito di una relazione di valutazione della sicurezza.
5.2. La documentazione che il proponente deve produrre a norma del punto 5.1 deve comprendere almeno quanto segue:
a) le caratteristiche dell'organizzazione e degli esperti nominati per il procedimento di valutazione dei rischi;
b) i risultati delle varie fasi della valutazione dei rischi e l'elenco di tutti i requisiti di sicurezza da soddisfare per contenere i rischi entro livelli accettabili.
Legenda:
10-9* = -9 è esponente.
Appendice
Procedimento di gestione dei rischi e valutazione indipendente
ALLEGATO II
CRITERI CUI DEVONO CONFORMARSI GLI ORGANISMI DI VALUTAZIONE
1. L'organismo di valutazione non può partecipare, né direttamente né indirettamente in veste di rappresentante autorizzato, alla progettazione, alla fabbricazione, alla costruzione, alla commercializzazione, all'esercizio o alla manutenzione del sistema da valutare. Ciò non preclude la possibilità di uno scambio di informazioni tecniche tra l'organismo e tutti i soggetti interessati.
2. L'organismo di valutazione deve dimostrare la massima integrità professionale e la massima competenza tecnica possibili e non essere sottoposto a pressioni né beneficiare di incentivi, in particolare di tipo finanziario, da parte di persone o gruppi di persone interessati dalla valutazione, che potrebbero incidere sul suo giudizio o sui risultati della valutazione.
3. L'organismo di valutazione deve disporre dei mezzi necessari per svolgere correttamente i compiti tecnici e amministrativi connessi alle valutazioni; deve inoltre disporre delle dotazioni necessarie per procedere a valutazioni di natura eccezionale.
4. Il personale incaricato della valutazione deve:
- possedere un'adeguata formazione a livello tecnico e professionale,
- possedere un'adeguata conoscenza dei requisiti relativi alle valutazioni che svolge e un'esperienza pratica sufficiente in materia,
- essere in grado di redigere i rapporti di valutazione della sicurezza che costituiscono le conclusioni ufficiali delle valutazioni realizzate.
5. È necessario garantire l'indipendenza del personale incaricato di svolgere la valutazione indipendente. Il personale non deve essere remunerato in base al numero di valutazioni realizzate né in funzione dei risultati delle suddette valutazioni.
6. Se l'organismo di valutazione non fa parte dell'organizzazione del proponente deve disporre di un'assicurazione per la responsabilità civile a meno che tale responsabilità non sia coperta dallo Stato a norma dell'ordinamento nazionale o a meno che la valutazione non sia svolta direttamente dallo Stato membro.
7. Se l'organismo di valutazione non fa parte dell'organizzazione del proponente, il personale è tenuto al segreto professionale con riferimento a tutti gli elementi di cui viene a conoscenza nello svolgimento dei suoi compiti ai fini del presente regolamento (salvo che in riferimento alle autorità amministrative competenti dello Stato in cui vengono esercitate le attività di valutazione).
1. L'organismo di valutazione non può partecipare, né direttamente né indirettamente in veste di rappresentante autorizzato, alla progettazione, alla fabbricazione, alla costruzione, alla commercializzazione, all'esercizio o alla manutenzione del sistema da valutare. Ciò non preclude la possibilità di uno scambio di informazioni tecniche tra l'organismo e tutti i soggetti interessati.
2. L'organismo di valutazione deve dimostrare la massima integrità professionale e la massima competenza tecnica possibili e non essere sottoposto a pressioni né beneficiare di incentivi, in particolare di tipo finanziario, da parte di persone o gruppi di persone interessati dalla valutazione, che potrebbero incidere sul suo giudizio o sui risultati della valutazione.
3. L'organismo di valutazione deve disporre dei mezzi necessari per svolgere correttamente i compiti tecnici e amministrativi connessi alle valutazioni; deve inoltre disporre delle dotazioni necessarie per procedere a valutazioni di natura eccezionale.
4. Il personale incaricato della valutazione deve:
- possedere un'adeguata formazione a livello tecnico e professionale,
- possedere un'adeguata conoscenza dei requisiti relativi alle valutazioni che svolge e un'esperienza pratica sufficiente in materia,
- essere in grado di redigere i rapporti di valutazione della sicurezza che costituiscono le conclusioni ufficiali delle valutazioni realizzate.
5. È necessario garantire l'indipendenza del personale incaricato di svolgere la valutazione indipendente. Il personale non deve essere remunerato in base al numero di valutazioni realizzate né in funzione dei risultati delle suddette valutazioni.
6. Se l'organismo di valutazione non fa parte dell'organizzazione del proponente deve disporre di un'assicurazione per la responsabilità civile a meno che tale responsabilità non sia coperta dallo Stato a norma dell'ordinamento nazionale o a meno che la valutazione non sia svolta direttamente dallo Stato membro.
7. Se l'organismo di valutazione non fa parte dell'organizzazione del proponente, il personale è tenuto al segreto professionale con riferimento a tutti gli elementi di cui viene a conoscenza nello svolgimento dei suoi compiti ai fini del presente regolamento (salvo che in riferimento alle autorità amministrative competenti dello Stato in cui vengono esercitate le attività di valutazione).