Jetzt kommt wieder die Einteilung in Klassen von oben ins Spiel: das Schadensausmaß wird in Klassen eingeteilt, um es überhaupt quantifizierbar zu machen:

  • vernachlässigbar (keine oder nur oberflächliche, leichte reversible Verletzungen)
  • klein (reversible Verletzungen)
  • groß (irreversible Verletzungen)
  • katastrophal (Tod)

Und das sind dann am Ende die Schadensklassen, die in die Risikomatrix eingetragen bzw. in zusammengefasster Form – analog zur Schadenseintritts-Wahrscheinlichkeit kennen Schutzsysteme für hohe Anforderungsrate nur die Unterscheidung zwischen leichten und schweren Verletzungen bzw. Tod – zur Bildung des Risikographen herangezogen werden.

Fazit

Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit wurden schon im ersten Artikel dieser Serie erwähnt, aber weil sie so wichtig für das Risikomanagement sind, wollte ich sie etwas ausführlicher besprechen. Ich hoffe, dass die wichtigsten Punkte klar wurden. Mir ist wichtig, dass man die Risikodefinition im Sinne des Maschinen- und Anlagenschutzes versteht. Auch wenn jetzt noch nicht ganz klar ist, wie man mit diesen Angaben Risikomatrix bzw. Risikograph erstellt und was diese beiden Hilfsmittel dann konkret aussagen, wird sich der Nebel sehr bald lichten. Wir müssen im Folgenden nur noch über Risikoszenarien und ihre Bedeutung für das Riskomanagement sprechen, bevor uns in Teil 6 der Risikoreduktion und dazu notwendigen Maßnahmen widmen können.

[1]Auch als Bystander-Effekt bekannt. Mit der Theorie der Dissipation der Verantwortung wird z.B. auch beschrieben, warum in Notfall-Situationen in der Öffentlichkeit umso weniger getan wird, umso mehr Menschen dabei stehen. Hochinteressant, wenn man sich näher damit beschäftigt.

1 / 2 / 3 / 4

Kommentare (6)

  1. #1 Dr. Webbaer
    13. Mai 2018

    Sind Sie Fachmann für’s Risiko-Management, Herr Gabath?

    MFG
    Dr. Webbaer

    • #2 Oliver Gabath
      14. Mai 2018

      Was die Industrie angeht, kenne ich mich schon ziemlich gut aus. Den Rest kann ich nachvollziehen, aber natürlich legen z.B. Banken andere Maßstäbe an und setzen andere Schwerpunkte, wenn sie die Bonität eines Kreditnehmers einschätzen als wir, wenn wir Prozessanlagen absichern. Deswegen geht’s hier ja auch um das Risiko beim Betrieb von Anlagen oder Maschinen.

  2. #3 Kassandra
    15. Mai 2018

    Herr Gabath,

    sehr interessantes Thema. Es gibt einen Aspekt, den ich bei Ihnen vermisst habe, und das ist das Unterlaufen bzw. die Sabotage von Sicherheitseinrichtungen durch den Anwender, also genau den, der eigentlich geschützt werden soll, sich durch die Schutzmaßnahme aber subjektiv eher belästigt und behindert fühlt.

    Ich habe den Eindruck, das ist momentan eine Art Hase-und-Igel-Spiel zwischen Entwicklern von Schutzeinrichtungen und den Anwendern, das die Entwickler kaum gewinnen können, und ich frage mich, ob in der Industrie darüber nachgedacht wird, wie man damit sinnvoller umgehen könnte.

    • #4 Oliver Gabath
      18. Mai 2018

      Der genervte Anwender tut mir oft auch leid, aber ich kann sein Los leider nicht ändern. Wir versuchen durch gutes Design dafür zu sorgen, dass zu viele Fehlalarme ausgeschlossen werden und die Sicherheitsfunktion wirklich nur eingreift, wenn es sein muss, so dass die Motivation für Manipulation gar nicht erst aufkommt. Aber wat mut, dat mut leider. Die Steuerungen unterliegen einem aufwändigen Änderungsmanagement, sind gut gegen Zugriff geschützt ((Passwort, Dongle) und mit einer internen Programm-Revisionierung durch Vergleich von Prüfsummen ausgestattet, mit denen jede Programmänderung lückenlos dokumentiert wird. Sicherheitskritische Mess- und Stellgeräte werden ggf. von außen gegen unbefugten Zugriff gesichert, alle Bedien- und Beobachtungsfunktionen sind streng von den Schutzfunktionen getrennt. Einfach so und vor allem unerkannt lässt sich da heute nichts mehr machen. Den überzeugten Saboteur hält man damit zwar nicht auf, aber den normalen Arbeiter, den die Schutzfunktion gerade bei der konkreten Arbeit nervt schon.

      Das vielleicht Wichtigste aber ist das Etablieren und Leben einer Sicherheitskultur im Betrieb, die darauf abzielt, nicht nur möglichst wenige Unfälle zu wollen, sondern auch etwas dafür tut. In der chemischen Industrie wird das verhältnismäßig gut aufgenommen, weil niemand will, dass eine Anlage tatsächlich explodiert oder etwas anderes katastrophal schief geht, z.B. Gift austritt. Sehr wichtig ist auch, dass die Vorgesetzten sich vor ihre Leute stellen, wenn jemand aus Gründen der Sicherheit eine Anlage ab- oder eine Arbeit eingestellt hat (muss man natürlich dann hinterher begründen können). Erstaunlicherweise ist das aber eine verhältnismäßig junge Kultur, die erst seit ca. den 1990er Jahren richtig Fahrt aufgenommen hat (als ich in 2000 bei meinem Arbeitgeber angefangen habe, hatte z.B. gerade die letzte Kantine im Werk aufgehört, richtiges Bier zu verkaufen).

      Eine andere Sache wäre natürlich böswillige Sabotage, aber dagegen schützen wir uns nur mittelbar, denn Sabotage ist kein statistischer Prozess, von dem man sicher sagen kann, dass er eine gewisse Ausfallrate zur Folge haben wird, sondern von jeder Menge Rahmenbedingungen aus Politik und Gesellschaft abhängig. Ich arbeite seit einiger Zeit an einem Beitrag zu Stuxnet, aber weil die Geschichte so extrem spannend ist – viel besser als alles, was man sich unter Hollywood Hacking vorstellt – und man wirklich einiges an Insiderwissen aus der Automatisierungstechnik braucht, um zu verstehen, wie der Wurm funktioniert und welche Lehren für die Sicherheit von Steuerungen man daraus ziehen kann, wird der vermutlich erst in der zweiten Jahreshälfte veröffentlicht.

      Gegen was wir uns wirklich kaum schützen können, ist der frustrierte Insider. Wenn sich irgendwo drei Leute zusammentun und ihren eigenen Betrieb hops gehen lassen wollen, dann werden wir die nicht aufhalten. Aber das ist wie überall – sich gegen alles abzusichern, auch das extrem Unwahrscheinliche, ist mit fehlbaren Maschinen und sterblichen Menschen praktisch nicht zu machen. Im zehnten Teil dieser Reihe gehe ich ein bisschen auf diesen Punkt ein. Ihren Eindruck kann aus meiner kleinen Welt nicht bestätigen. Zumindest von einem Hersteller sicherheitsgerichteter Steuerungen weiss ich, dass regelmäßig der CCC und andere Organisationen im Haus sind und bisher nicht in die Steuerungen einbrechen konnten. Wenn ich ein Schutzsystem entworfen habe, musste ich bisher auch noch nie besonderes Augenmerk auf Manipulationssicherheit legen – die Standardstrukturen fangen schon eine ganze Menge auf.

  3. #5 Kassandra
    19. Mai 2018

    Danke für die Erläuterung, Herr Gabath. Ich hatte tatsächlich keine bewussten Saboteure vor dem geistigen Auge, sondern genervte “gemeine Anwender”. Ich glaube, die Bedeutung des Anwenders bei diesem Thema wird ziemlich unterschätzt. In einschlägigen Studien* war die Rede davon, dass bei über einem Drittel aller Maschinen Manipulationen vorkamen – und das liegt vermutlich weit unter dem tatsächlichen Wert, da die Forscher kaum alle Arten der Manipulation erkannt haben werden.

    * s. hier: https://www.baua.de/DE/Angebote/Veranstaltungen/Dokumentationen/Sifa-Workshops/pdf/Sifa-Workshop-2013-3.pdf?__blob=publicationFile

    Die Firma Pilz hat dem Thema “Manipulation von Schutzeinrichtungen” in seinem Sicherheitskompendium ein ganzes Unterkapitel gewidmet: https://www.pilz.com/mam/pilz/content/editors_mm/safety_compendium_de_2017_12_low.pdf

    In der Theorie scheint sich also ein Bewusstsein dafür zu entwickeln, dass man ein bisschen mehr vom Anwender her denken sollte. Zufälligerweise lebe ich aber mit einem Exemplar der “genervten Anwender” im selben Haushalt, der mir gelegentlich von seinen eigenen Abenteuern mit Pilz-Sicherheitstechnik im Arbeitsalltag berichtet. Er ist ausreichend qualifiziert, um sowohl sicherheitsbewusst zu denken, aber manchmal eben doch die Technik sabotieren zu wollen und, ja, dies durchaus auch zu können, wenn er will. Was er zuweilen auch wirklich tut, wenn sie ihn bei der Arbeit über Gebühr behindert. Deshalb ist mir klar, dass zwischen Theorie und Praxis doch eine gewisse Kluft besteht.

    Unterschätzen Sie außerdem die normalen Arbeiter nicht. Das im praktischen Umgang mit den technischen Einrichtungen erworbene Anwenderwissen ist im Bereich der praktischen Anwendung dem Entwicklerwissen überlegen. Deshalb ist es kaum ausreichend, ihre Sicherheit auf technischem Wege erzwingen zu wollen, ob ihnen das in den Kram passt oder nicht, sondern die Sicherheitsmaßnahme muss auch ihnen selbst einleuchten. Das heißt, Sicherheit ist in diesem Bereich auch in hohem Maße eine Frage der Kommunikation.

    • #6 Oliver Gabath
      23. Mai 2018

      Natürlich, den Anwender, der wirklich manipulieren will, halten wir nicht auf – schrieb ich ja. Aber wir erhöhen die Hemmschwelle und das reicht meistens. Ich glaube nicht, dass da eine Kluft zwischen Theorie und Praxis ist. Im Gegenteil – die Hersteller und sind sich ja gerade bewusst, dass die Anwender die Technik gerne manipulieren, weil sie ihnen den Arbeitsalltag schwerer macht. Um auf die Idee zu kommen, muss man nicht besonders viel Phantasie haben. Im Einzelfall mag das auch stimmen, weil der eigene Betrieb natürlich am besten von der eigenen Mannschaft gekannt wird. Aber über die Jahrzehnte gab es eine zu deutliche korrelation zwischen Sicherheitsgerichteter Technik, besseren Betriebsanweisungen und sinkenden Unfallzahlen einerseits als auch unsicherem Verhalten und den Hergängen der Unfälle andererseits. Menschen machen sich das Leben ungern kompliziert – weil das mir genauso geht, wird das was ich mache ja auch noch von anderen überprüft. Das ist allerdings nur die letzte Verteidigungslinie – ohne eine gelebte Kultur geht da nichts.

      Ich will’s auch niemandem ausreden – wir sind alle groß – aber jeden aus unserem Unternehmen würde ich auf die im Intranet verfügbare Ereignisdatenbank verweisen, die voll ist von völlig vermeidbaren Unfällen, die vermutlich nicht passiert wären, wenn sich leute an die Gefährdungsbeurteilungen gehalten hätten. Der Großteil der Unfälle bei uns (und ich meine jetzt nicht den kleinen Kratzer, der halt mal passiert, wenn man mit den Händen arbeitet, sondern die richtigen Unfälle wie z.b. die Trennscheibe im Unterschenkel, also das, was beim besten Willen nicht mehr vertuscht werden kann) passiert schon seit vielen Jahren nicht mehr aufgrund höherer Gewalt, sondern wird mehr oder minder selbst verursacht, weil jemand denkt Es wird schon nichts passieren oder Ich weiss, was ich mache. Die Klassiker sind: Sprunggelenksfraktur beim Stolpern von der Treppe, weil man zu viel Zeugs im Arm hatte; allgemein Stürze aus kleiner Höhe (kleiner zwei Meter), weil man keine Absturzsicherung trägt, Verletzung an drehenden Maschinenteilen; Quetschungen und stumpfe Traumata durch laufende Maschinen (z.B. Palletierer, Abfüllanlagen). Unfälle mit Chemikalien sind in der größten Chemiefabrik der Welt dagegen vergleichsweise selten (keine bis niedrige einstellige Zahl pro Jahr). Die Situation im Unternehmen weltweit ist leicht anders – Verkehrsunfälle sind andernorts z.B. häufiger als in Ludwigshafen – aber nicht gravierend. Wenn Sie meinen ich unterschätze die Anwender lege ich Ihnen ans Herz, uns nicht zu unterschätzen. Solange alles gut läuft und nichts passiert, stellt auch keiner Fragen, aber in dem Moment, wenn sich jemand schwer verletzt oder schlimmeres, wird der ganze Unfallhergang aufgerollt, angefangen bei den Planern und dem Sicherheitskonzept bis ganz nach unten zu den eingesetzten Geräten und dem konkreten Handlungsablauf, der zum Unfall führte. Das ist dann kein erhobener Zeigefinger mehr. Wenn’s ganz dick kommt, macht das nicht das Unternehmen solbst, sondern der Staatsanwalt. Bedenken Sie, dass die meisten Entwickler selbst Anwender waren oder sind. Handwerker, die auf dem zweiten Bildungsweg oder über interne Qualifizierungsmaßnahmen zu Planern werden, sind nicht selten (Ich bin z.B. auch so einer). Wir kennen auch viele Tricks. Jede Manipulation im Vorfeld werden wir nicht aufhalten, aber so gut wie jede im Nachhinein identifizieren können. Solange nichts passiert, fällt keinem was auf. Ein Katz-und-Maus-Spiel mit den Anwendern ist aber gar nicht unser eigentliches Ziel.

      Was Sie ansprechen ist das generelle Problem in der Beziehung zwischen Planern und Anwendern: Wir können’s nicht allen recht machen. Wenn mich die Handwerker fragen, was ich mir da oder dort gedacht habe, z.B. warum ein Messgerät so doof eingebaut ist, kann ich manchmal auch nur die Hände heben und sagen, dass es aufgrund der baulichen Gegebenheiten (häufigster Grund), des Messprinzips oder aus Gründen der Anlagengeometrie (man soll nicht glauben, wie oft barometrische Abläufe eine Rolle spielen) der bestmögliche Kompromiss zwischen Einfachheit, Wartbarkeit, Sicherheit, Sicherstellung der Produktqualität und anderen Parametern war. Das ist leider nicht nur eine Frage der Kommunikation, sondern vor allem der Kompromissbereitschaft auf beiden Seiten. Ich würde mich freuen, wenn es anders wäre, aber meine und meiner Kollegen Erfahrung ist leider, dass es viele Leute gibt, bei denen gute Worte nichts bringen, egal wie man es ihnen erklärt. Ich würde mich gern der schönen Illusion hingeben, dass es so etwas wie objektive Wahrheit gibt und das Verständnis dafür nur eine Frage guter Erklärung ist, aber so funktioniert die Welt nicht. Wir haben leider oft widerstreitende Interessen und Vorlieben. Ich kann z.B. jeden Elektrohandwerker verstehen, der für das Wechseln einer defekten Deckenleuchte mit nur einer Schaltstelle nicht in den 15 Minuten entfernten Schaltraum watscheln, die 5 Sicherheitsregeln durchackern und wieder zurück zur Leuchte tigern will. Ich hab auch Verständnis für den Produktionsarbeiter, der halt doch mal seinen Transferschlüssel vergessen hat und zeternd zurück zum Schlüsseltransferpanel laufen muss. Ich hab kein Problem damit, Leuten entgegen zu kommen und mit ihnen eine gute Lösung zu finden, gerade weil ich leider auch weiss, dass so mancher Planer das nicht macht. Aber ich hab auch Verständnis für die Einführung der Sicherungspflicht gegen Absturz in Höhen größer 1,5 Meter oder den Handlauf-benutzen-Schildern an jeder Treppe hier im Werk, weil beides wirkungsvolle Maßnahmen gegen häufige Unfälle waren – auch wenn sie lächerlich aussehen mögen und den Leuten hier wirklich manchmal das Leben schwer machen. So kann ich auch oft genug nur sagen, dass sich in der Welt schon diverse schwere Unfälle bestimmter Art ereignet haben und noch mehr sich ohne den Einsatz bestimmter Sicherheitstechnik vermutlich ereignet hätten, auch wenn im konkreten Betrieb an der konkreten Maschine oder Anlage noch nie was passiert ist.