StartseiteQuo Vadis

Risiko (4) – Was sind Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit

Von / 9. Mai 2018 / 6 Kommentare / Seite 2 von 4 / Auf einer Seite lesen
Mehr

In dieser Form werden wird die Schadenseintritts-Wahrscheinlichkeit im Fall niedriger Anforderungsrate in die Risikomatrix eingetragen.

  • Ist schon mehrmals passiert 1-10 Jahre
  • Ist schon ein Mal passiert 10-100 Jahre
  • nie vorgekommen, aber vorstellbar 100-1.000 Jahre
  • vernüftigerweise auszuschließen 10.000 Jahre

Im Fall hoher Anforderungsraten sehen die rohen Schadenseintritts-Wahrscheinlichkeiten ein bisschen seltsam aus, weil die Zahlenwerte so klein sind. Man rechnet deswegen nicht direkt damit, sondern benutzt nur zwei Klassen: Häufig und Selten. Häufig wäre die Bedienung der Presse, selten das Betreten des gesperrten Anlagenteils.

Für hohe Anforderungsraten kommt noch eine weitere Dimension ins Spiel: Die Vermeidbarkeit. Kann der Bediener durch sein Verhalten realistischerweise die Gefahr vermeiden? Vielleicht bewegt sich die Presse nur sehr langsam und macht durch Drehspiegelleuchte und Signalton auf sich aufmerksam. Dann könnte man annehmen, dass sich der Kollege, der daran arbeitet wenn sonst alles in Ordnung ist, rechtzeitig aus dem Gefahrenbereich entfernen kann. Das macht dann zwar das Schutzgitter nicht unnötig, aber vielleicht muss man dann nur noch einen Endlagenschalter einbauen, wo man aus Gründen der Redundanz sonst zwei gebraucht hätte, um dasselbe Schutzniveau zu erreichen. Für den abgesperrten Anlagenteil mit dem Schlüsseltransfersystem gilt die Vermeidbarkeit möglicherweise nicht: Vielleicht wird dort im Betrieb mit Gasen gearbeitet. Man muss nicht mal Giftgas annehmen – Stickstoff reicht. Auch wenn jeder von uns im Normalbetrieb mit 78 % Stickstoff im Atemgas gut leben kann, solange genug Sauerstoff vorhanden ist, wird die sprichwörtliche Luft bei höheren Konzentrationen schon ziemlich dünn. Und weil Stickstoff ein innertes Gas ist, merken wir gar nicht, wie wir langsam einschlafen – Stickstoff ist der der sanfte Tod. Deswegen muss das Schlüsseltransfersystem gegebenenfalls noch durch eine weitere Sicherheitseinrichtung ergänzt werden, z.B. eine Verriegelung, die die Fluchttür offen hält, solange jemand in der Anlage ist.

Mit der Angabe hoher oder niedriger Rate, mit der ein Schadensereignis stattfinden kann und der Vermeidbarkeit durch den Bediener können wir die Schadenseintritts-Wahrscheinlichkeit abschätzen und haben damit schon einige notwendige Angaben zur Aufstellung des Risikographen bestimmt.

Das Schadensausmaß

Das Schadensausmaß teilt man genau wie das Schadensausmaß und aus den gleichen Gründen in Klassen ein, z.B. in

  • vernachlässigbar
  • klein
  • groß
  • katastrophal

Für die Quantifizierung des Schadensausmaßes bieten sich zwei Maßstäbe an, nämlich Geldeinheiten und menschliches Leid. Keiner davon ist eindeutig und beide hängen von vielen Faktoren ab.

Wirtschaftlicher Schaden wird letzten Endes immer gusgedrückt durch eine Summe Geldes, die verloren ist, wenn das Risiko sich realisiert: Da ist zunächst der direkte Schaden durch einen Unfall, also die Kosten für die Aufräumarbeiten, die eventuelle Neubeschaffung und Aufstellung beschädigter Maschinen, eventuelle Kompensationszahlungen und Aufwendungen für Reha-Maßnahmen, aber auch der Verlust durch Produktionsausfall, durch Strafzahlungen an den Staat und Konventionalstrafen an die Geschäftspartner. Mit jedem Unfall kommt auch ein schwer einzupreisender Ansehensverlust, sowohl in der Geschäftswelt als auch bei Privatleuten. Würden sich Unfälle, wie der vom 17. Oktober 2016 häufiger ereignen, ist meine Vermutung, würde der eine oder andere treue Kunde z.B. zukünftig am Glysantin vorbeigreifen, wenn er Kühlerfrostschutzmittel kauft. Und das schlechte Licht, das auf das Unternehmen geworfen würde, könnte auch Großkunden abschrecken. Nichts davon können sich Unternehmen auf Dauer leisten und haben schon deswegen ein Interesse an sicheren Anlagen.

Bophal war der letzte katastrophale Unfall vor dem Internet und der flächendeckenden weltweiten Echtzeitberichterstattung. Der Unfall hat hierzulande weit weniger Grund aufgewühlt als der viel weniger schwere (und immer noch viel zu schlimme) Unfall in Seveso, weil er sich am anderen Ende der Welt abspielte. Das andere Ende der Welt gibt es aber heute nicht mehr. Der Unfall im Kernkraftwerk Fukushima Daiichi wurde live in alle Welt übertragen und konnte im Internet und auf dem Smartphone praktisch hautnah miterlebt werden. Die sprichwörtliche ganze Welt war dabei. Nicht nur die deutsche Presse, auch z.B. die New York Times und der Guardian waren damals voll von Artikeln, über soziale Netzwerke verbreitete sich jedes neue Video in Windeseile. Die Industrie steht heute – ob zu Recht oder Unrecht steht in einem anderen Buch und mag ein andermal erörtert werden – deutlich mehr im Rampenlicht als noch vor drei Jahrzehnten. Zurzeit wunderbar zu sehen an den diversen Abgasskandalen. Ich bin sehr skeptisch, ob die schwer schätzbaren zusätzlichen Gewinne aufgrund der Manipulationen den wirtschaftlichen Schaden durch Strafen und das ramponierte, um nicht zu sagen, in Scherben liegende Image der deutschen Autoindustrie, aufwiegen. Wie das Management einiger der größten und erfolgreichsten Konzerne, die es jemals gab, ein derartiges Risiko eingehen konnte, ist mir schleierhaft.

1 / 2 / 3 / 4
Stichworte: , ,
Mehr

Kommentare (6)

  1. #1 Dr. Webbaer
    13. Mai 2018

    Sind Sie Fachmann für’s Risiko-Management, Herr Gabath?

    MFG
    Dr. Webbaer

    • #2 Oliver Gabath
      14. Mai 2018

      Was die Industrie angeht, kenne ich mich schon ziemlich gut aus. Den Rest kann ich nachvollziehen, aber natürlich legen z.B. Banken andere Maßstäbe an und setzen andere Schwerpunkte, wenn sie die Bonität eines Kreditnehmers einschätzen als wir, wenn wir Prozessanlagen absichern. Deswegen geht’s hier ja auch um das Risiko beim Betrieb von Anlagen oder Maschinen.

  2. #3 Kassandra
    15. Mai 2018

    Herr Gabath,

    sehr interessantes Thema. Es gibt einen Aspekt, den ich bei Ihnen vermisst habe, und das ist das Unterlaufen bzw. die Sabotage von Sicherheitseinrichtungen durch den Anwender, also genau den, der eigentlich geschützt werden soll, sich durch die Schutzmaßnahme aber subjektiv eher belästigt und behindert fühlt.

    Ich habe den Eindruck, das ist momentan eine Art Hase-und-Igel-Spiel zwischen Entwicklern von Schutzeinrichtungen und den Anwendern, das die Entwickler kaum gewinnen können, und ich frage mich, ob in der Industrie darüber nachgedacht wird, wie man damit sinnvoller umgehen könnte.

    • #4 Oliver Gabath
      18. Mai 2018

      Der genervte Anwender tut mir oft auch leid, aber ich kann sein Los leider nicht ändern. Wir versuchen durch gutes Design dafür zu sorgen, dass zu viele Fehlalarme ausgeschlossen werden und die Sicherheitsfunktion wirklich nur eingreift, wenn es sein muss, so dass die Motivation für Manipulation gar nicht erst aufkommt. Aber wat mut, dat mut leider. Die Steuerungen unterliegen einem aufwändigen Änderungsmanagement, sind gut gegen Zugriff geschützt ((Passwort, Dongle) und mit einer internen Programm-Revisionierung durch Vergleich von Prüfsummen ausgestattet, mit denen jede Programmänderung lückenlos dokumentiert wird. Sicherheitskritische Mess- und Stellgeräte werden ggf. von außen gegen unbefugten Zugriff gesichert, alle Bedien- und Beobachtungsfunktionen sind streng von den Schutzfunktionen getrennt. Einfach so und vor allem unerkannt lässt sich da heute nichts mehr machen. Den überzeugten Saboteur hält man damit zwar nicht auf, aber den normalen Arbeiter, den die Schutzfunktion gerade bei der konkreten Arbeit nervt schon.

      Das vielleicht Wichtigste aber ist das Etablieren und Leben einer Sicherheitskultur im Betrieb, die darauf abzielt, nicht nur möglichst wenige Unfälle zu wollen, sondern auch etwas dafür tut. In der chemischen Industrie wird das verhältnismäßig gut aufgenommen, weil niemand will, dass eine Anlage tatsächlich explodiert oder etwas anderes katastrophal schief geht, z.B. Gift austritt. Sehr wichtig ist auch, dass die Vorgesetzten sich vor ihre Leute stellen, wenn jemand aus Gründen der Sicherheit eine Anlage ab- oder eine Arbeit eingestellt hat (muss man natürlich dann hinterher begründen können). Erstaunlicherweise ist das aber eine verhältnismäßig junge Kultur, die erst seit ca. den 1990er Jahren richtig Fahrt aufgenommen hat (als ich in 2000 bei meinem Arbeitgeber angefangen habe, hatte z.B. gerade die letzte Kantine im Werk aufgehört, richtiges Bier zu verkaufen).

      Eine andere Sache wäre natürlich böswillige Sabotage, aber dagegen schützen wir uns nur mittelbar, denn Sabotage ist kein statistischer Prozess, von dem man sicher sagen kann, dass er eine gewisse Ausfallrate zur Folge haben wird, sondern von jeder Menge Rahmenbedingungen aus Politik und Gesellschaft abhängig. Ich arbeite seit einiger Zeit an einem Beitrag zu Stuxnet, aber weil die Geschichte so extrem spannend ist – viel besser als alles, was man sich unter Hollywood Hacking vorstellt – und man wirklich einiges an Insiderwissen aus der Automatisierungstechnik braucht, um zu verstehen, wie der Wurm funktioniert und welche Lehren für die Sicherheit von Steuerungen man daraus ziehen kann, wird der vermutlich erst in der zweiten Jahreshälfte veröffentlicht.

      Gegen was wir uns wirklich kaum schützen können, ist der frustrierte Insider. Wenn sich irgendwo drei Leute zusammentun und ihren eigenen Betrieb hops gehen lassen wollen, dann werden wir die nicht aufhalten. Aber das ist wie überall – sich gegen alles abzusichern, auch das extrem Unwahrscheinliche, ist mit fehlbaren Maschinen und sterblichen Menschen praktisch nicht zu machen. Im zehnten Teil dieser Reihe gehe ich ein bisschen auf diesen Punkt ein. Ihren Eindruck kann aus meiner kleinen Welt nicht bestätigen. Zumindest von einem Hersteller sicherheitsgerichteter Steuerungen weiss ich, dass regelmäßig der CCC und andere Organisationen im Haus sind und bisher nicht in die Steuerungen einbrechen konnten. Wenn ich ein Schutzsystem entworfen habe, musste ich bisher auch noch nie besonderes Augenmerk auf Manipulationssicherheit legen – die Standardstrukturen fangen schon eine ganze Menge auf.

  3. #5 Kassandra
    19. Mai 2018

    Danke für die Erläuterung, Herr Gabath. Ich hatte tatsächlich keine bewussten Saboteure vor dem geistigen Auge, sondern genervte “gemeine Anwender”. Ich glaube, die Bedeutung des Anwenders bei diesem Thema wird ziemlich unterschätzt. In einschlägigen Studien* war die Rede davon, dass bei über einem Drittel aller Maschinen Manipulationen vorkamen – und das liegt vermutlich weit unter dem tatsächlichen Wert, da die Forscher kaum alle Arten der Manipulation erkannt haben werden.

    * s. hier: https://www.baua.de/DE/Angebote/Veranstaltungen/Dokumentationen/Sifa-Workshops/pdf/Sifa-Workshop-2013-3.pdf?__blob=publicationFile

    Die Firma Pilz hat dem Thema “Manipulation von Schutzeinrichtungen” in seinem Sicherheitskompendium ein ganzes Unterkapitel gewidmet: https://www.pilz.com/mam/pilz/content/editors_mm/safety_compendium_de_2017_12_low.pdf

    In der Theorie scheint sich also ein Bewusstsein dafür zu entwickeln, dass man ein bisschen mehr vom Anwender her denken sollte. Zufälligerweise lebe ich aber mit einem Exemplar der “genervten Anwender” im selben Haushalt, der mir gelegentlich von seinen eigenen Abenteuern mit Pilz-Sicherheitstechnik im Arbeitsalltag berichtet. Er ist ausreichend qualifiziert, um sowohl sicherheitsbewusst zu denken, aber manchmal eben doch die Technik sabotieren zu wollen und, ja, dies durchaus auch zu können, wenn er will. Was er zuweilen auch wirklich tut, wenn sie ihn bei der Arbeit über Gebühr behindert. Deshalb ist mir klar, dass zwischen Theorie und Praxis doch eine gewisse Kluft besteht.

    Unterschätzen Sie außerdem die normalen Arbeiter nicht. Das im praktischen Umgang mit den technischen Einrichtungen erworbene Anwenderwissen ist im Bereich der praktischen Anwendung dem Entwicklerwissen überlegen. Deshalb ist es kaum ausreichend, ihre Sicherheit auf technischem Wege erzwingen zu wollen, ob ihnen das in den Kram passt oder nicht, sondern die Sicherheitsmaßnahme muss auch ihnen selbst einleuchten. Das heißt, Sicherheit ist in diesem Bereich auch in hohem Maße eine Frage der Kommunikation.

    • #6 Oliver Gabath
      23. Mai 2018

      Natürlich, den Anwender, der wirklich manipulieren will, halten wir nicht auf – schrieb ich ja. Aber wir erhöhen die Hemmschwelle und das reicht meistens. Ich glaube nicht, dass da eine Kluft zwischen Theorie und Praxis ist. Im Gegenteil – die Hersteller und sind sich ja gerade bewusst, dass die Anwender die Technik gerne manipulieren, weil sie ihnen den Arbeitsalltag schwerer macht. Um auf die Idee zu kommen, muss man nicht besonders viel Phantasie haben. Im Einzelfall mag das auch stimmen, weil der eigene Betrieb natürlich am besten von der eigenen Mannschaft gekannt wird. Aber über die Jahrzehnte gab es eine zu deutliche korrelation zwischen Sicherheitsgerichteter Technik, besseren Betriebsanweisungen und sinkenden Unfallzahlen einerseits als auch unsicherem Verhalten und den Hergängen der Unfälle andererseits. Menschen machen sich das Leben ungern kompliziert – weil das mir genauso geht, wird das was ich mache ja auch noch von anderen überprüft. Das ist allerdings nur die letzte Verteidigungslinie – ohne eine gelebte Kultur geht da nichts.

      Ich will’s auch niemandem ausreden – wir sind alle groß – aber jeden aus unserem Unternehmen würde ich auf die im Intranet verfügbare Ereignisdatenbank verweisen, die voll ist von völlig vermeidbaren Unfällen, die vermutlich nicht passiert wären, wenn sich leute an die Gefährdungsbeurteilungen gehalten hätten. Der Großteil der Unfälle bei uns (und ich meine jetzt nicht den kleinen Kratzer, der halt mal passiert, wenn man mit den Händen arbeitet, sondern die richtigen Unfälle wie z.b. die Trennscheibe im Unterschenkel, also das, was beim besten Willen nicht mehr vertuscht werden kann) passiert schon seit vielen Jahren nicht mehr aufgrund höherer Gewalt, sondern wird mehr oder minder selbst verursacht, weil jemand denkt Es wird schon nichts passieren oder Ich weiss, was ich mache. Die Klassiker sind: Sprunggelenksfraktur beim Stolpern von der Treppe, weil man zu viel Zeugs im Arm hatte; allgemein Stürze aus kleiner Höhe (kleiner zwei Meter), weil man keine Absturzsicherung trägt, Verletzung an drehenden Maschinenteilen; Quetschungen und stumpfe Traumata durch laufende Maschinen (z.B. Palletierer, Abfüllanlagen). Unfälle mit Chemikalien sind in der größten Chemiefabrik der Welt dagegen vergleichsweise selten (keine bis niedrige einstellige Zahl pro Jahr). Die Situation im Unternehmen weltweit ist leicht anders – Verkehrsunfälle sind andernorts z.B. häufiger als in Ludwigshafen – aber nicht gravierend. Wenn Sie meinen ich unterschätze die Anwender lege ich Ihnen ans Herz, uns nicht zu unterschätzen. Solange alles gut läuft und nichts passiert, stellt auch keiner Fragen, aber in dem Moment, wenn sich jemand schwer verletzt oder schlimmeres, wird der ganze Unfallhergang aufgerollt, angefangen bei den Planern und dem Sicherheitskonzept bis ganz nach unten zu den eingesetzten Geräten und dem konkreten Handlungsablauf, der zum Unfall führte. Das ist dann kein erhobener Zeigefinger mehr. Wenn’s ganz dick kommt, macht das nicht das Unternehmen solbst, sondern der Staatsanwalt. Bedenken Sie, dass die meisten Entwickler selbst Anwender waren oder sind. Handwerker, die auf dem zweiten Bildungsweg oder über interne Qualifizierungsmaßnahmen zu Planern werden, sind nicht selten (Ich bin z.B. auch so einer). Wir kennen auch viele Tricks. Jede Manipulation im Vorfeld werden wir nicht aufhalten, aber so gut wie jede im Nachhinein identifizieren können. Solange nichts passiert, fällt keinem was auf. Ein Katz-und-Maus-Spiel mit den Anwendern ist aber gar nicht unser eigentliches Ziel.

      Was Sie ansprechen ist das generelle Problem in der Beziehung zwischen Planern und Anwendern: Wir können’s nicht allen recht machen. Wenn mich die Handwerker fragen, was ich mir da oder dort gedacht habe, z.B. warum ein Messgerät so doof eingebaut ist, kann ich manchmal auch nur die Hände heben und sagen, dass es aufgrund der baulichen Gegebenheiten (häufigster Grund), des Messprinzips oder aus Gründen der Anlagengeometrie (man soll nicht glauben, wie oft barometrische Abläufe eine Rolle spielen) der bestmögliche Kompromiss zwischen Einfachheit, Wartbarkeit, Sicherheit, Sicherstellung der Produktqualität und anderen Parametern war. Das ist leider nicht nur eine Frage der Kommunikation, sondern vor allem der Kompromissbereitschaft auf beiden Seiten. Ich würde mich freuen, wenn es anders wäre, aber meine und meiner Kollegen Erfahrung ist leider, dass es viele Leute gibt, bei denen gute Worte nichts bringen, egal wie man es ihnen erklärt. Ich würde mich gern der schönen Illusion hingeben, dass es so etwas wie objektive Wahrheit gibt und das Verständnis dafür nur eine Frage guter Erklärung ist, aber so funktioniert die Welt nicht. Wir haben leider oft widerstreitende Interessen und Vorlieben. Ich kann z.B. jeden Elektrohandwerker verstehen, der für das Wechseln einer defekten Deckenleuchte mit nur einer Schaltstelle nicht in den 15 Minuten entfernten Schaltraum watscheln, die 5 Sicherheitsregeln durchackern und wieder zurück zur Leuchte tigern will. Ich hab auch Verständnis für den Produktionsarbeiter, der halt doch mal seinen Transferschlüssel vergessen hat und zeternd zurück zum Schlüsseltransferpanel laufen muss. Ich hab kein Problem damit, Leuten entgegen zu kommen und mit ihnen eine gute Lösung zu finden, gerade weil ich leider auch weiss, dass so mancher Planer das nicht macht. Aber ich hab auch Verständnis für die Einführung der Sicherungspflicht gegen Absturz in Höhen größer 1,5 Meter oder den Handlauf-benutzen-Schildern an jeder Treppe hier im Werk, weil beides wirkungsvolle Maßnahmen gegen häufige Unfälle waren – auch wenn sie lächerlich aussehen mögen und den Leuten hier wirklich manchmal das Leben schwer machen. So kann ich auch oft genug nur sagen, dass sich in der Welt schon diverse schwere Unfälle bestimmter Art ereignet haben und noch mehr sich ohne den Einsatz bestimmter Sicherheitstechnik vermutlich ereignet hätten, auch wenn im konkreten Betrieb an der konkreten Maschine oder Anlage noch nie was passiert ist.