Zum Risiko habe ich vor etwa drei Jahren schon mal was geschrieben. Damals hatte ich mich mit einem Beitrag beim Scienceblogs-Schreibwettbewerb beteiligt, der zwar nicht annähernd eine Chance auf einen Preis gehabt hätte, aber doch eine gewisse Resonanz hervorgerufen hat. Risiko oder besser, das Reduzieren oder gar Vermeiden desselben im Rahmen des sogenannten Risikomanagements ist ein großer Teil meiner täglichen Arbeit. Von jeder Anlage oder Maschine gehen Gefahren aus, die ein gewisses Risiko mit sich bringen. Auf eine Chemieanlage trifft das in besonderem Maß zu, denn zu den physikalischen kommen die besonderen chemischen Gefahren, wie Giftigkeit, heftige Reaktionen, Explosionsgrenzen, etc.
Techniker treten an das Risiko in einer ganz bestimmten Weise heran und gehen damit auf ganz bestimmte Weise um. Sie haben sich ein Vokabular geschaffen, um es zu beschreiben und Methoden, um es zu beherrschen. In der Alltagssprache wird Risiko als subjektiver Begriff verwendet, um die Gefährlichkeit einer Sache zu beschreiben, meist qualitativ: Etwas ist risikoreich, man geht ein Risiko ein und so weiter. Das mag für Alltagssituationen ausreichend sein, aber für das sichere Betreiben hochkomplexer Anlagen, in denen komplizierte und meist geheime Prozesse ablaufen, wäre es zu wenig. Was ich in dieser Serie vorstellen möchte, ist das Risikomanagement nach der Methode der Probabilistischen Risiko-Analyse oder Kurz PRA, die in der Industrie sehr weit verbreitet ist und die quantitative Abschätzungen des Risikos ermöglicht. Ich beziehe mich dafür auf die Methoden wie sie in der Normenfamilie IEC 61508 (allgemein) bzw. IEC61511 für die Prozessindustrie und in der ISO 13849 bzw. der europäischen Richtlinie 2006/42/EG (Maschinenrichtlinie) für Maschinensicherheit festgelegt sind. Das heißt jetzt nicht, dass jeder losrennen und diese Normen kaufen muss, damit er alles folgende versteht. Seht es einfach als Hintergrundinformation. Bevor wir aber loslegen, müssen wir erst verstehen, was Risiko im Sinne dieser ganzen Normen eigentlich ist und deswegen beginnen wir wie in der Schule mit einer Definition:
Risiko ist das Produkt aus Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit[1]
An dieser Definition halten wir uns kurz fest. In der Tat steck in dem kurzen Satz schon eine Menge Information und viele Konzepte und Ideen des Risikomanagements wird man nur verstehen können, wenn man obige Definition durchdrungen hat.
Das erste was ins Auge fällt ist das Wörtchen Produkt. Produkt wie in 2 mal 2 gleich 4. Gemeint ist hier tatsächlich ein mathematischer Operator in einer Gleichung mit exakten, bekannten Größen – eben des Schadensausmaßes und der Schadenseintritts-Wahrscheinlichkeit. Und da wir uns nicht die…ähm…Freiheiten anderer Disziplinen bei der Anwendung der Mathematik leisten können, stimmen natürlich am Ende auch die Einheiten.
Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit
Von der Aussage der Risikodefinition sollte man zunächst mal entsetzt sein: Das Risiko wird berechnet. Wie kann man glauben, die Unsicherheit berechnen zu können? Die Lösung liegt in der zweiten Größe, der Schadenseintritts-Wahrscheinlichkeit. In ihr steckt die fundamentale Unsicherheit, die Kennzeichen jedes Risikos ist und welche die ganze Risikobetrachtung zur Fingerübung in Statistik macht. Damit die ganze Sache funktioniert ist es immens wichtig, die beiden Größen rechts des Gleichheitszeichens möglichst genau zu kennen.
Das Schadensausmaß kann man im Prinzip auf drei Arten angeben: In Fallzahlen, In Geldeinheiten (bzw. allgemein Sachwerten) und in menschlichem Leid. In diesem Satz steckt Sprengstoff: Sachwerte sind ersetzbar, Menschenleben nicht. Deswegen wird im Risikomanagement in der Industrie eher selten mit dem Schutz von Sachwerten argumentiert und definitiv nie, wenn von der abzusichernden Anlage oder Maschine eine Gefahr für Leib und Leben ausgeht.
Die Schadenseintritts-Wahrscheinlichkeit ist da schon schwieriger, denn als statistische Größe muss man viele Datenpunkte betrachten, um eine gute Abschätzung treffen zu können. Für einfache technische Systeme, wie die E/A-Ebene eines Leitsystems, Regelventile, Prozessmessgeräte und dergleichen gibt es sehr zuverlässige Zahlen, die teilweise von den Herstellern selbst, teilweise von den Unternehmen, die die Geräte einsetzen und teilweise durch unabhängige Stellen wie die TÜVe erhoben werden, indem man die Gesamtzahl eingesetzter Geräte durch die Anzahl der Geräte teilt, in denen ein gefährlicher Fehler aufgetreten ist und auf einen Zeitraum, üblicherweise ein Jahr, normiert.
Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit gibt man jeweils in Klassen an. Das ist nötig, um die Vielfalt einigermaßen handhabbar zu machen. Eine Klassifizierung könnte in etwa so aussehen:
Abb. 1: So könnte eine Einteilung von Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit in Klassen aussehen
Die Risikomatrix
die Dn und Pn bilden Zeilen und Spalten der sogenannten Risikomatrix, des mitunter wichtigsten Hilfsmittels bei der Risikoanalyse. In den Elementen der Risikomatrix stehen die jeweiligen Risiken. Sie ergeben sich aus der Multiplikation der jeweiligen Dn und Pn.
Abb. 2: Risikomatrix mit rohen Zahlen
Man beachte, dass die Einteilung hier quantitativ ist und in rohen Zahlen angegeben werden kann. Da aber wir Menschen semantische Ausdrücke besser erfassen und intelektuell verarbeiten können, empfiehlt es sich, die Risiken entsprechend ihrer Größe in Risikoklassen einzuteilen, die einen einigermaßen breiten, aber auch ausreichend präzisen Bereich verschiedener Risiken abdecken.
Abb. 3: Risikomatrix mit Risikoklassen
Das ist das Prinzip der Risikomatrix, wie sie überall von Unternehmen und Behörden zur Abschätzung von Risiken angewendet wird, die selten und nur zu bestimmten Zeiten auftreten. Sie korrespondiert mit Schutzsystemen, die darauf ausgelegt sind, nur selten zum Einsatz zu kommen, aber dann zuverlässig funktionieren zu müssen. Wir nennen das eine niedrige Anforderungsrate und sie bemisst sich in der Regel in Anforderungen pro Jahr. Solcherart ist der überwiegende Teil der Risiken einer Chemieanlage: Das Schutzsystem wird bei Verletzung der Betriebsparameter aktiv, was selten passiert.
Der Risikograph
Für die zweite Klasse von Risiken gibt es ein anderes Hilfsmittel, zu dem wir im folgenden kommen. Wenn es Risiken gibt, die nur selten vom Schutzsystem beherrscht werden müssen gibt es bestimmt auch noch ein anderes Ende des Spektrums, in dem das Schutzsystem quasi ständig aktiv sein muss, um Risiken zu vermeiden. In der Tat finden wir solches häufig an Maschinen, die von Menschen bedient werden und bei Fehlbedienung, Unfall oder Unachtsamkeit schwere Verletzungen anrichten können. Das können z.B. hydraulische Pressen sein, Schweißautomaten, Stanzen, Wälzeinrichtungen oder CNC-Maschinen. Von Maschinen gehen vor allen Dingen mechanische Gefährdungen aus. Das Schadensausmaß ist auf Verletzung des Bedieners beschränkt und deswegen gibt es auch nur zwei Schadensklassen:
D1 leichte (normalerweise reversible) Verletzung, z.B. oberflächliche Schnittverletzungen
D2 schwere (normalerweise irreversible) Verletzung einschließlich Tod, z.B. Verlust von Gliedmaßen, des Augenlichtes oder Lebens
Da das Risiko dauernd besteht, muss man nicht fragen, wie oft es auftritt. Aber man muss wissen, wie häufig der Bediener ihm ausgesetzt ist:
F1 selten bis öfters und/oder kurze Dauer, also längstens Minuten
F2 häufig bis dauernd und/oder lange Dauer also bis zu mehreren Stunden
Da die Gefährdungen mechanischer Natur sind, kann es unter Umständen möglich sein, sie durch weitere Maßnahmen wie mechanische Sicherungen, sichere Standorte, langsame Bewegung die ein Ausweichen möglich macht, etc. zu vermeiden. Auch das muss in den Kalkül gezogen werden:
P1 Vermeiden des Schadens ist möglich unter bestimmten Bedingungen
P2 Vermeiden des Schadens ist kaum möglich
Auf dieser Grundlage wird ein Entscheidungsbaum, der sogenannte Risikograph für ständig vorhandene Risiken erstellt:
Abb. 4: Risikograph
Er korrespondiert mit Schutzsystemen, die darauf ausgelegt sind, oft bzw. dauernd zum Einsatz zu kommen und immer zuverlässig funktionieren zu müssen. Wir nennen das eine hohe Anforderungsrate. Sie hat die Besonderheit, dass man keine Anforderungsrate bestimmen kann, weil das Schutzsystem dauernd aktiv ist. Man kann nur die Wahrscheinlichkeit eines Ausfalls angeben und tut dies üblicherweise als Ausfallwahrscheinlichkeit pro Stunde. Solcherart ist der überwiegende Teil der Risiken von Maschinen: Das Schutzsystem wird im normalen Betriebsablauf aktiv, was sehr oft passiert.
Mit dem Risiko umgehen
Wir haben jetzt zwei Methoden an der Hand, wie wir das Risiko einigermaßen sinnvoll klassifizieren können: Die Risikomatrix für Risiken mit niedriger Anforderungsrate und den Risikographen für Risiken mit hoher Anforderungsrate. Man sieht ihnen an, dass ihnen ähnliche, aber nicht gleiche Philosophien zugrunde liegen. Mit der Risikomatrix behandelt man Risiken von potentiell katastrophalem Ausmaß, die nur selten auftreten; der Risikograph ist für häufig auftretende Risiken da, die zwar persönliche, aber keine allgemeinen Katastrophen auslösen können. Bevor wir uns Gedanken darüber machen, wie wir mit den Risiken umgehen, wollen aber einen kleinen Blick darauf werfen, wie Menschen Risiken wahrnehmen.
[1] Ich setze hier einen grammatikalisch fragwürdigen Trennstrich, weil Schadenseintrittswahrscheinlichkeit ein für mein Gefühl zu langes Einzelwort ist.
Kommentare (4)