StartseiteQuo Vadis

Risiko (4) – Was sind Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit

Von / 9. Mai 2018 / 6 Kommentare
Mehr

Die Frage nach Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit, auf der das ganze Risikomanagement fußt, kann man auch anders formulieren: Was kann schlimmstenfalls wie oft passieren?

Wenn öffentlich über die Gefährlichkeit einer Sache gesprochen wird, dann wird oft nur ein Teilaspekt der Frage berührt, was daran liegt, dass das öffentlich gesprochene Wort normalerweise nicht einfach so, sondern mit einem Hintergedanken, gesagt wird. Wer zum Beispiel Menschen Angst machen will, lässt die Schadenseintritts-Wahrscheinlichkeit weg und malt den Schaden in besonders bunten Farben. Oder das Pferd wird von der anderen Seite aufgezäumt, der Schaden gar nicht besprochen und mit viel Emphase geschildert, wie häufig das schlimme Ereignis eintritt. Eine solche Debattierweise ist unredlich, aber beliebt, weil sie im Geben und Nehmen einer öffentlichen Diskussion argumentativ nicht einfach angreifbar ist. Da mir aber glücklicherweise auf meinem eigenen Medium für alle praktischen Belange unbegrenzt Zeit und Raum zur Verfügung stehen, kann ich die Frage, warum beide Aspekte für das Risikomanagement so wichtig sind und wie man sie quantitativ ausdrücken kann, etwas ausführlicher besprechen.

Die Schadenseintritts-Wahrscheinlichkeit

Die Häufigkeit eines Schadensereignisses kann man nur abschätzen wenn man weiss, wie häufig ein Ereignis eintreten kann, das potentiell zum Schaden führen kann. Die wichtigste Frage ist: “Ist ein Schadensereignis eine Folge eines außergewöhnlichen Ereignisses oder birgt der normale Betriebsablauf schon ein großes Schadenspotential?”. Je nachdem muss das Schutzsystem darauf ausgelegt sein seltene Ereignisse bzw. häufige Ereignisse zu beherrschen – man nennt das niedrige Anforderungsrate bzw. hohe Anforderungsrate. Was bedeutet das:

Schadensereignisse, die selten eintreten können treten im normalen Betriebsablauf nicht auf. Es sind Sondersituationen, auf die das Schutzsystem angemessen reagieren muss. Ein einfaches Beispiel dafür ist das Auto: Unfälle im Straßenverkehr passieren wegen der Vielzahl der Autos zwar dauernd, aber für das einzelne Auto vergehen in der Regel viele Jahre, bis es ein mal kracht. Folgerichtiger Weise ist z.B. der Airbag ein Schutzsystem für niedrige Anforderungsrate: Er bleibt jahrelang unangetastet, muss aber im richtigen Moment einwandfrei funktionieren, um Verletzungen vorzubeugen.

Schadensereignisse, die häufig eintreten können gehören zum normalen Betriebsablauf. Es sind keine Sonder-, sondern Normalsituationen, denen ein gewisses Schadenspotential innewohnt. Das wären zum Beispiel die Bremsen im Auto. Die müssen ständig funktionieren und werden dauernd gebraucht – in jedem Auto, bei jeder Fahrt. Sie sind also ausgelegt auf eine hohe Anforderungsrate.

In der Industrie findet man die Unterscheidung häufig, wenn zwischen Anlagensicherheit und Maschinensicherheit unterschieden wird. Die Sicherheit einer Produktionsanlage wird durch Sicherheitssysteme gewährleistet, die Abweichungen vom normalen Betriebszustand rechtzeitig erkennen und entsprechend eingreifen, im Notfall die Anlage automatisch in einen sicheren Zustand fahren. Ein typisches Beispiel ist der Druck in einem Reaktionskessel, der überwacht und bei Überschreiten eines kritischen Wertes durch technische Maßnahmen entspannt bzw. begrenzt wird. Gemessen wird der Druck zwar kontinuierlich, die Maßnahmen werden aber nur im Anforderungsfall ergriffen.

Viele Maschinen haben dagegen ständig wirksame Sicherheitseinrichtungen, die im Normalbetrieb aktiv sind und die Maschine sofort ausschalten. Eine Mechanische Presse könnte z.B. mit einem Schutzgitter ausgerüstet sein, das vom Bediener heruntergelassen werden muss (rückgemeldet durch Kontakte), bevor die Presse arbeiten kann. Oder ein Anlagenteil darf nicht in Betrieb sein, solange sich Menschen darin aufhalten, was durch ein Schlüsseltransfersystem sichergestellt werden kann. Das sind Beispiele für Sicherheitseinrichtungen, die kontinuierlich angefordert werden.

Die Schadenseintritts-Wahrscheinlichkeit wird in Ereignissen pro Zeiteinheit angegeben und je nachdem, ob hohe oder niedrige Anforderungsrate anliegt, geht in ihre Abschätzung die Zeit in Jahren oder Stunden ein. Ohne weitere Maßnahmen zur Risikominimierung, um die es in späteren Artikeln gehen wird, entspräche die Schadenseintritts-Wahrscheinlichkeit der Schadenseintritts-Rate, also der Anzahl tatsächlicher Schadensereignisse pro Zeiteinheit. So wird sie im ersten Schritt der Risikobetrachtung auch angegeben. Im Gedankenexperiment und mit Blick auf die Erfahrung versucht man abzuschätzen, wie oft ein bestimmtes Ereignis eintreten kann und teilt es entsprechend in Klassen ein.

In dieser Form werden wird die Schadenseintritts-Wahrscheinlichkeit im Fall niedriger Anforderungsrate in die Risikomatrix eingetragen.

  • Ist schon mehrmals passiert 1-10 Jahre
  • Ist schon ein Mal passiert 10-100 Jahre
  • nie vorgekommen, aber vorstellbar 100-1.000 Jahre
  • vernüftigerweise auszuschließen 10.000 Jahre

Im Fall hoher Anforderungsraten sehen die rohen Schadenseintritts-Wahrscheinlichkeiten ein bisschen seltsam aus, weil die Zahlenwerte so klein sind. Man rechnet deswegen nicht direkt damit, sondern benutzt nur zwei Klassen: Häufig und Selten. Häufig wäre die Bedienung der Presse, selten das Betreten des gesperrten Anlagenteils.

Für hohe Anforderungsraten kommt noch eine weitere Dimension ins Spiel: Die Vermeidbarkeit. Kann der Bediener durch sein Verhalten realistischerweise die Gefahr vermeiden? Vielleicht bewegt sich die Presse nur sehr langsam und macht durch Drehspiegelleuchte und Signalton auf sich aufmerksam. Dann könnte man annehmen, dass sich der Kollege, der daran arbeitet wenn sonst alles in Ordnung ist, rechtzeitig aus dem Gefahrenbereich entfernen kann. Das macht dann zwar das Schutzgitter nicht unnötig, aber vielleicht muss man dann nur noch einen Endlagenschalter einbauen, wo man aus Gründen der Redundanz sonst zwei gebraucht hätte, um dasselbe Schutzniveau zu erreichen. Für den abgesperrten Anlagenteil mit dem Schlüsseltransfersystem gilt die Vermeidbarkeit möglicherweise nicht: Vielleicht wird dort im Betrieb mit Gasen gearbeitet. Man muss nicht mal Giftgas annehmen – Stickstoff reicht. Auch wenn jeder von uns im Normalbetrieb mit 78 % Stickstoff im Atemgas gut leben kann, solange genug Sauerstoff vorhanden ist, wird die sprichwörtliche Luft bei höheren Konzentrationen schon ziemlich dünn. Und weil Stickstoff ein innertes Gas ist, merken wir gar nicht, wie wir langsam einschlafen – Stickstoff ist der der sanfte Tod. Deswegen muss das Schlüsseltransfersystem gegebenenfalls noch durch eine weitere Sicherheitseinrichtung ergänzt werden, z.B. eine Verriegelung, die die Fluchttür offen hält, solange jemand in der Anlage ist.

Mit der Angabe hoher oder niedriger Rate, mit der ein Schadensereignis stattfinden kann und der Vermeidbarkeit durch den Bediener können wir die Schadenseintritts-Wahrscheinlichkeit abschätzen und haben damit schon einige notwendige Angaben zur Aufstellung des Risikographen bestimmt.

Das Schadensausmaß

Das Schadensausmaß teilt man genau wie das Schadensausmaß und aus den gleichen Gründen in Klassen ein, z.B. in

  • vernachlässigbar
  • klein
  • groß
  • katastrophal

Für die Quantifizierung des Schadensausmaßes bieten sich zwei Maßstäbe an, nämlich Geldeinheiten und menschliches Leid. Keiner davon ist eindeutig und beide hängen von vielen Faktoren ab.

Wirtschaftlicher Schaden wird letzten Endes immer gusgedrückt durch eine Summe Geldes, die verloren ist, wenn das Risiko sich realisiert: Da ist zunächst der direkte Schaden durch einen Unfall, also die Kosten für die Aufräumarbeiten, die eventuelle Neubeschaffung und Aufstellung beschädigter Maschinen, eventuelle Kompensationszahlungen und Aufwendungen für Reha-Maßnahmen, aber auch der Verlust durch Produktionsausfall, durch Strafzahlungen an den Staat und Konventionalstrafen an die Geschäftspartner. Mit jedem Unfall kommt auch ein schwer einzupreisender Ansehensverlust, sowohl in der Geschäftswelt als auch bei Privatleuten. Würden sich Unfälle, wie der vom 17. Oktober 2016 häufiger ereignen, ist meine Vermutung, würde der eine oder andere treue Kunde z.B. zukünftig am Glysantin vorbeigreifen, wenn er Kühlerfrostschutzmittel kauft. Und das schlechte Licht, das auf das Unternehmen geworfen würde, könnte auch Großkunden abschrecken. Nichts davon können sich Unternehmen auf Dauer leisten und haben schon deswegen ein Interesse an sicheren Anlagen.

Bophal war der letzte katastrophale Unfall vor dem Internet und der flächendeckenden weltweiten Echtzeitberichterstattung. Der Unfall hat hierzulande weit weniger Grund aufgewühlt als der viel weniger schwere (und immer noch viel zu schlimme) Unfall in Seveso, weil er sich am anderen Ende der Welt abspielte. Das andere Ende der Welt gibt es aber heute nicht mehr. Der Unfall im Kernkraftwerk Fukushima Daiichi wurde live in alle Welt übertragen und konnte im Internet und auf dem Smartphone praktisch hautnah miterlebt werden. Die sprichwörtliche ganze Welt war dabei. Nicht nur die deutsche Presse, auch z.B. die New York Times und der Guardian waren damals voll von Artikeln, über soziale Netzwerke verbreitete sich jedes neue Video in Windeseile. Die Industrie steht heute – ob zu Recht oder Unrecht steht in einem anderen Buch und mag ein andermal erörtert werden – deutlich mehr im Rampenlicht als noch vor drei Jahrzehnten. Zurzeit wunderbar zu sehen an den diversen Abgasskandalen. Ich bin sehr skeptisch, ob die schwer schätzbaren zusätzlichen Gewinne aufgrund der Manipulationen den wirtschaftlichen Schaden durch Strafen und das ramponierte, um nicht zu sagen, in Scherben liegende Image der deutschen Autoindustrie, aufwiegen. Wie das Management einiger der größten und erfolgreichsten Konzerne, die es jemals gab, ein derartiges Risiko eingehen konnte, ist mir schleierhaft.

An dieser Stelle kommt jetzt ein wichtiger Satz: Sicherheitsgerichtete Technik dient nur sekundär dem Schutz vor wirtschaftlichem Schaden. Denn wirtschaftlicher Schaden hat für die Betrachtung einen eklatanten Nachteil: Er ist verhandelbar. So fallen 10 € mehr, die ich im Jahr habe oder nicht habe niemandem auf. Bei 100 € werde ich hellhörig. 1.000 € tun weh. 10.000 € stellen mich vor ernsthafte Probleme und 100.000 € wären eine Katastrophe. Das gilt aber nur für mich als Privatmensch – wie steht es bei einem Unternehmen? Wie viele Nullen kann Hella anhängen, bis der Schaden wirklich weh tut? Wie viele Bosch? Wie viele VW? Wie viel davon kann durch Versicherungen, etc. substituiert werden? Wie viel Gewinn haben sie im Vergleich zum Schaden erwirtschafttet? Dazu kommt die persönliche Ebene. Angenommen ich bin Manager: Wie viel erwritschaftetes Geld kann ich mir selbst zuschreiben? Wie groß wird mein Bonus sein? Wie groß kann der Schaden höchstens werden? Bin ich überhaupt noch da, wenn er sich realisiert? Und wie viel davon kann man mit mir in Verbindung bringen? Sich in einer solchen Situation schadlos zu halten, besoders, wenn man sowieso außer Landes ist, fällt den Verantwortlichen erfahrungsgemäß nicht schwer. Weil Entscheidungen in Unternehmen selten von Einzelpersonen getroffen werden, kann sich jeder immer darauf zurückziehen, dass wir dieses oder jenes beschlossen haben und nicht ich. Ähnlich einem Peloton, bei dem immer eine Platzpatrone im Spiel ist. Wer weiss schon, in welchem Gewehr sie steckt? Hinterher kann jeder sich einreden, dass er nicht Schuld am Tod des Deliquenten sei.

Und darin liegt eine große Gefahr für Moral-Hazard-Verhalten, also der unbekümmerten Rücksichtslosigkeit oder Verantwortungslosigkeit. In jeder hierarchischen Organisation, also auch in jedem Unternehmen, finden sich unter anderem zwei für Menschen typische Verhaltensweisen: Zunächst gibt keiner sein eigenes Geld aus und wenn das Unternehmen groß genug ist, fällt die Verschwendung im Kleinen lange gar nicht auf. Und wenn doch, dann rettet uns der Effekt der Diffusion von Verantwortung[1], der in einfachen Worten dafür sorgt, dass wir uns umso weniger Schuld bewusst sind, je größer der Personenkreis ist, der davon wusste.

Weil wirtschaftlicher Schaden zwar intuitiv einfach erfassbar scheint, bei näherer Betrachtung aber keine besonders zuverlässige Einschätzung des Schadenspotentials erlaubt, rotiert das ganze Risikomanagement im Wesentlichen um die Frage, welches menschliche Leid durch einen Unfall angerichtet werden kann, denn menschliches Leid ist nicht verhandelbar. Diese Erkenntniss setzt sich langsam auch wirklich durch. Dass höhere Manager, die üblicherweise nicht Karriere gemacht haben, indem sie Bonbons verteilen, das Wohl von Menschen bestenfalls tangieren mag und auch unter den Sachbearbeitern noch viel zu viele davon nicht wesentlich berührt werden – beides immer wieder eindrucksvoll in aller Welt dokumentiert – will ich gar nicht bestreiten. Aber zumindest unter den Menschen, die sich mit sicherheitsgerichteter Technik und Risikomanagement beschäftigen gibt es einen einigermaßen breiten Konsenz: Der Schutz des Lebens und der Gesundheit der Menschen ist das primäre Ziel.

Menschliches Leid lässt sich ganz grob in drei Kategorieren einteilen:

  1. Reversible Verletzungen, seien sie nun physischer oder psychischer Natur, können nach dem Unfall vollständig verheilen und bedrohen das Leben nicht akut. Von Narben auf der Haut und auf der Seele abgesehen. Das sind zum Beispiel Schnitte, Prellungen, Schürfwunden.
  2. Irreversible Verletzungen hinterlassen eine Wunde, die nie mehr heilt. Der Verlust von Gliedmaßen oder Sinnesorganen, schwere internistische oder neurologische Schäden, seelische Traumata die nie ganz überwunden werden fallen in diese Kategorie.
  3. Tod. Unter Umständen unterteilt nach dem Potential für einen oder für mehrere Tote. Die ISO 13849, Mutternorm des Maschinenschutzes kennt die Unterscheidung nicht. Die IEC 61508, Mutternorm für die Anlagensicherheit unterscheidet.

Wem wird gerade etwas flau im Magen? Glückwunsch, das ist die passende Reaktion. In der Tat wäre es seltsam, wenn der Gedanke an abgerissene Gliedmaßen und zerstörtes Augenlicht im Zusammenhang mit einem schweren Unfall so ganz spurlos an einem vorüber ginge. Die Integrität und Unversehrtheit des eigenen Körpers ist für die meisten Menschen ein hohes Gut und wer nur ein bisschen Empathie besitzt, wird mit der Transferleistung, in dieser Hinsicht von sich auf andere zu schließen keine Probleme haben.

Jetzt kommt wieder die Einteilung in Klassen von oben ins Spiel: das Schadensausmaß wird in Klassen eingeteilt, um es überhaupt quantifizierbar zu machen:

  • vernachlässigbar (keine oder nur oberflächliche, leichte reversible Verletzungen)
  • klein (reversible Verletzungen)
  • groß (irreversible Verletzungen)
  • katastrophal (Tod)

Und das sind dann am Ende die Schadensklassen, die in die Risikomatrix eingetragen bzw. in zusammengefasster Form – analog zur Schadenseintritts-Wahrscheinlichkeit kennen Schutzsysteme für hohe Anforderungsrate nur die Unterscheidung zwischen leichten und schweren Verletzungen bzw. Tod – zur Bildung des Risikographen herangezogen werden.

Fazit

Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit wurden schon im ersten Artikel dieser Serie erwähnt, aber weil sie so wichtig für das Risikomanagement sind, wollte ich sie etwas ausführlicher besprechen. Ich hoffe, dass die wichtigsten Punkte klar wurden. Mir ist wichtig, dass man die Risikodefinition im Sinne des Maschinen- und Anlagenschutzes versteht. Auch wenn jetzt noch nicht ganz klar ist, wie man mit diesen Angaben Risikomatrix bzw. Risikograph erstellt und was diese beiden Hilfsmittel dann konkret aussagen, wird sich der Nebel sehr bald lichten. Wir müssen im Folgenden nur noch über Risikoszenarien und ihre Bedeutung für das Riskomanagement sprechen, bevor uns in Teil 6 der Risikoreduktion und dazu notwendigen Maßnahmen widmen können.

[1]Auch als Bystander-Effekt bekannt. Mit der Theorie der Dissipation der Verantwortung wird z.B. auch beschrieben, warum in Notfall-Situationen in der Öffentlichkeit umso weniger getan wird, umso mehr Menschen dabei stehen. Hochinteressant, wenn man sich näher damit beschäftigt.

Stichworte: , ,
Mehr

Kommentare (6)

  1. #1 Dr. Webbaer
    13. Mai 2018

    Sind Sie Fachmann für’s Risiko-Management, Herr Gabath?

    MFG
    Dr. Webbaer

    • #2 Oliver Gabath
      14. Mai 2018

      Was die Industrie angeht, kenne ich mich schon ziemlich gut aus. Den Rest kann ich nachvollziehen, aber natürlich legen z.B. Banken andere Maßstäbe an und setzen andere Schwerpunkte, wenn sie die Bonität eines Kreditnehmers einschätzen als wir, wenn wir Prozessanlagen absichern. Deswegen geht’s hier ja auch um das Risiko beim Betrieb von Anlagen oder Maschinen.

  2. #3 Kassandra
    15. Mai 2018

    Herr Gabath,

    sehr interessantes Thema. Es gibt einen Aspekt, den ich bei Ihnen vermisst habe, und das ist das Unterlaufen bzw. die Sabotage von Sicherheitseinrichtungen durch den Anwender, also genau den, der eigentlich geschützt werden soll, sich durch die Schutzmaßnahme aber subjektiv eher belästigt und behindert fühlt.

    Ich habe den Eindruck, das ist momentan eine Art Hase-und-Igel-Spiel zwischen Entwicklern von Schutzeinrichtungen und den Anwendern, das die Entwickler kaum gewinnen können, und ich frage mich, ob in der Industrie darüber nachgedacht wird, wie man damit sinnvoller umgehen könnte.

    • #4 Oliver Gabath
      18. Mai 2018

      Der genervte Anwender tut mir oft auch leid, aber ich kann sein Los leider nicht ändern. Wir versuchen durch gutes Design dafür zu sorgen, dass zu viele Fehlalarme ausgeschlossen werden und die Sicherheitsfunktion wirklich nur eingreift, wenn es sein muss, so dass die Motivation für Manipulation gar nicht erst aufkommt. Aber wat mut, dat mut leider. Die Steuerungen unterliegen einem aufwändigen Änderungsmanagement, sind gut gegen Zugriff geschützt ((Passwort, Dongle) und mit einer internen Programm-Revisionierung durch Vergleich von Prüfsummen ausgestattet, mit denen jede Programmänderung lückenlos dokumentiert wird. Sicherheitskritische Mess- und Stellgeräte werden ggf. von außen gegen unbefugten Zugriff gesichert, alle Bedien- und Beobachtungsfunktionen sind streng von den Schutzfunktionen getrennt. Einfach so und vor allem unerkannt lässt sich da heute nichts mehr machen. Den überzeugten Saboteur hält man damit zwar nicht auf, aber den normalen Arbeiter, den die Schutzfunktion gerade bei der konkreten Arbeit nervt schon.

      Das vielleicht Wichtigste aber ist das Etablieren und Leben einer Sicherheitskultur im Betrieb, die darauf abzielt, nicht nur möglichst wenige Unfälle zu wollen, sondern auch etwas dafür tut. In der chemischen Industrie wird das verhältnismäßig gut aufgenommen, weil niemand will, dass eine Anlage tatsächlich explodiert oder etwas anderes katastrophal schief geht, z.B. Gift austritt. Sehr wichtig ist auch, dass die Vorgesetzten sich vor ihre Leute stellen, wenn jemand aus Gründen der Sicherheit eine Anlage ab- oder eine Arbeit eingestellt hat (muss man natürlich dann hinterher begründen können). Erstaunlicherweise ist das aber eine verhältnismäßig junge Kultur, die erst seit ca. den 1990er Jahren richtig Fahrt aufgenommen hat (als ich in 2000 bei meinem Arbeitgeber angefangen habe, hatte z.B. gerade die letzte Kantine im Werk aufgehört, richtiges Bier zu verkaufen).

      Eine andere Sache wäre natürlich böswillige Sabotage, aber dagegen schützen wir uns nur mittelbar, denn Sabotage ist kein statistischer Prozess, von dem man sicher sagen kann, dass er eine gewisse Ausfallrate zur Folge haben wird, sondern von jeder Menge Rahmenbedingungen aus Politik und Gesellschaft abhängig. Ich arbeite seit einiger Zeit an einem Beitrag zu Stuxnet, aber weil die Geschichte so extrem spannend ist – viel besser als alles, was man sich unter Hollywood Hacking vorstellt – und man wirklich einiges an Insiderwissen aus der Automatisierungstechnik braucht, um zu verstehen, wie der Wurm funktioniert und welche Lehren für die Sicherheit von Steuerungen man daraus ziehen kann, wird der vermutlich erst in der zweiten Jahreshälfte veröffentlicht.

      Gegen was wir uns wirklich kaum schützen können, ist der frustrierte Insider. Wenn sich irgendwo drei Leute zusammentun und ihren eigenen Betrieb hops gehen lassen wollen, dann werden wir die nicht aufhalten. Aber das ist wie überall – sich gegen alles abzusichern, auch das extrem Unwahrscheinliche, ist mit fehlbaren Maschinen und sterblichen Menschen praktisch nicht zu machen. Im zehnten Teil dieser Reihe gehe ich ein bisschen auf diesen Punkt ein. Ihren Eindruck kann aus meiner kleinen Welt nicht bestätigen. Zumindest von einem Hersteller sicherheitsgerichteter Steuerungen weiss ich, dass regelmäßig der CCC und andere Organisationen im Haus sind und bisher nicht in die Steuerungen einbrechen konnten. Wenn ich ein Schutzsystem entworfen habe, musste ich bisher auch noch nie besonderes Augenmerk auf Manipulationssicherheit legen – die Standardstrukturen fangen schon eine ganze Menge auf.

  3. #5 Kassandra
    19. Mai 2018

    Danke für die Erläuterung, Herr Gabath. Ich hatte tatsächlich keine bewussten Saboteure vor dem geistigen Auge, sondern genervte “gemeine Anwender”. Ich glaube, die Bedeutung des Anwenders bei diesem Thema wird ziemlich unterschätzt. In einschlägigen Studien* war die Rede davon, dass bei über einem Drittel aller Maschinen Manipulationen vorkamen – und das liegt vermutlich weit unter dem tatsächlichen Wert, da die Forscher kaum alle Arten der Manipulation erkannt haben werden.

    * s. hier: https://www.baua.de/DE/Angebote/Veranstaltungen/Dokumentationen/Sifa-Workshops/pdf/Sifa-Workshop-2013-3.pdf?__blob=publicationFile

    Die Firma Pilz hat dem Thema “Manipulation von Schutzeinrichtungen” in seinem Sicherheitskompendium ein ganzes Unterkapitel gewidmet: https://www.pilz.com/mam/pilz/content/editors_mm/safety_compendium_de_2017_12_low.pdf

    In der Theorie scheint sich also ein Bewusstsein dafür zu entwickeln, dass man ein bisschen mehr vom Anwender her denken sollte. Zufälligerweise lebe ich aber mit einem Exemplar der “genervten Anwender” im selben Haushalt, der mir gelegentlich von seinen eigenen Abenteuern mit Pilz-Sicherheitstechnik im Arbeitsalltag berichtet. Er ist ausreichend qualifiziert, um sowohl sicherheitsbewusst zu denken, aber manchmal eben doch die Technik sabotieren zu wollen und, ja, dies durchaus auch zu können, wenn er will. Was er zuweilen auch wirklich tut, wenn sie ihn bei der Arbeit über Gebühr behindert. Deshalb ist mir klar, dass zwischen Theorie und Praxis doch eine gewisse Kluft besteht.

    Unterschätzen Sie außerdem die normalen Arbeiter nicht. Das im praktischen Umgang mit den technischen Einrichtungen erworbene Anwenderwissen ist im Bereich der praktischen Anwendung dem Entwicklerwissen überlegen. Deshalb ist es kaum ausreichend, ihre Sicherheit auf technischem Wege erzwingen zu wollen, ob ihnen das in den Kram passt oder nicht, sondern die Sicherheitsmaßnahme muss auch ihnen selbst einleuchten. Das heißt, Sicherheit ist in diesem Bereich auch in hohem Maße eine Frage der Kommunikation.

    • #6 Oliver Gabath
      23. Mai 2018

      Natürlich, den Anwender, der wirklich manipulieren will, halten wir nicht auf – schrieb ich ja. Aber wir erhöhen die Hemmschwelle und das reicht meistens. Ich glaube nicht, dass da eine Kluft zwischen Theorie und Praxis ist. Im Gegenteil – die Hersteller und sind sich ja gerade bewusst, dass die Anwender die Technik gerne manipulieren, weil sie ihnen den Arbeitsalltag schwerer macht. Um auf die Idee zu kommen, muss man nicht besonders viel Phantasie haben. Im Einzelfall mag das auch stimmen, weil der eigene Betrieb natürlich am besten von der eigenen Mannschaft gekannt wird. Aber über die Jahrzehnte gab es eine zu deutliche korrelation zwischen Sicherheitsgerichteter Technik, besseren Betriebsanweisungen und sinkenden Unfallzahlen einerseits als auch unsicherem Verhalten und den Hergängen der Unfälle andererseits. Menschen machen sich das Leben ungern kompliziert – weil das mir genauso geht, wird das was ich mache ja auch noch von anderen überprüft. Das ist allerdings nur die letzte Verteidigungslinie – ohne eine gelebte Kultur geht da nichts.

      Ich will’s auch niemandem ausreden – wir sind alle groß – aber jeden aus unserem Unternehmen würde ich auf die im Intranet verfügbare Ereignisdatenbank verweisen, die voll ist von völlig vermeidbaren Unfällen, die vermutlich nicht passiert wären, wenn sich leute an die Gefährdungsbeurteilungen gehalten hätten. Der Großteil der Unfälle bei uns (und ich meine jetzt nicht den kleinen Kratzer, der halt mal passiert, wenn man mit den Händen arbeitet, sondern die richtigen Unfälle wie z.b. die Trennscheibe im Unterschenkel, also das, was beim besten Willen nicht mehr vertuscht werden kann) passiert schon seit vielen Jahren nicht mehr aufgrund höherer Gewalt, sondern wird mehr oder minder selbst verursacht, weil jemand denkt Es wird schon nichts passieren oder Ich weiss, was ich mache. Die Klassiker sind: Sprunggelenksfraktur beim Stolpern von der Treppe, weil man zu viel Zeugs im Arm hatte; allgemein Stürze aus kleiner Höhe (kleiner zwei Meter), weil man keine Absturzsicherung trägt, Verletzung an drehenden Maschinenteilen; Quetschungen und stumpfe Traumata durch laufende Maschinen (z.B. Palletierer, Abfüllanlagen). Unfälle mit Chemikalien sind in der größten Chemiefabrik der Welt dagegen vergleichsweise selten (keine bis niedrige einstellige Zahl pro Jahr). Die Situation im Unternehmen weltweit ist leicht anders – Verkehrsunfälle sind andernorts z.B. häufiger als in Ludwigshafen – aber nicht gravierend. Wenn Sie meinen ich unterschätze die Anwender lege ich Ihnen ans Herz, uns nicht zu unterschätzen. Solange alles gut läuft und nichts passiert, stellt auch keiner Fragen, aber in dem Moment, wenn sich jemand schwer verletzt oder schlimmeres, wird der ganze Unfallhergang aufgerollt, angefangen bei den Planern und dem Sicherheitskonzept bis ganz nach unten zu den eingesetzten Geräten und dem konkreten Handlungsablauf, der zum Unfall führte. Das ist dann kein erhobener Zeigefinger mehr. Wenn’s ganz dick kommt, macht das nicht das Unternehmen solbst, sondern der Staatsanwalt. Bedenken Sie, dass die meisten Entwickler selbst Anwender waren oder sind. Handwerker, die auf dem zweiten Bildungsweg oder über interne Qualifizierungsmaßnahmen zu Planern werden, sind nicht selten (Ich bin z.B. auch so einer). Wir kennen auch viele Tricks. Jede Manipulation im Vorfeld werden wir nicht aufhalten, aber so gut wie jede im Nachhinein identifizieren können. Solange nichts passiert, fällt keinem was auf. Ein Katz-und-Maus-Spiel mit den Anwendern ist aber gar nicht unser eigentliches Ziel.

      Was Sie ansprechen ist das generelle Problem in der Beziehung zwischen Planern und Anwendern: Wir können’s nicht allen recht machen. Wenn mich die Handwerker fragen, was ich mir da oder dort gedacht habe, z.B. warum ein Messgerät so doof eingebaut ist, kann ich manchmal auch nur die Hände heben und sagen, dass es aufgrund der baulichen Gegebenheiten (häufigster Grund), des Messprinzips oder aus Gründen der Anlagengeometrie (man soll nicht glauben, wie oft barometrische Abläufe eine Rolle spielen) der bestmögliche Kompromiss zwischen Einfachheit, Wartbarkeit, Sicherheit, Sicherstellung der Produktqualität und anderen Parametern war. Das ist leider nicht nur eine Frage der Kommunikation, sondern vor allem der Kompromissbereitschaft auf beiden Seiten. Ich würde mich freuen, wenn es anders wäre, aber meine und meiner Kollegen Erfahrung ist leider, dass es viele Leute gibt, bei denen gute Worte nichts bringen, egal wie man es ihnen erklärt. Ich würde mich gern der schönen Illusion hingeben, dass es so etwas wie objektive Wahrheit gibt und das Verständnis dafür nur eine Frage guter Erklärung ist, aber so funktioniert die Welt nicht. Wir haben leider oft widerstreitende Interessen und Vorlieben. Ich kann z.B. jeden Elektrohandwerker verstehen, der für das Wechseln einer defekten Deckenleuchte mit nur einer Schaltstelle nicht in den 15 Minuten entfernten Schaltraum watscheln, die 5 Sicherheitsregeln durchackern und wieder zurück zur Leuchte tigern will. Ich hab auch Verständnis für den Produktionsarbeiter, der halt doch mal seinen Transferschlüssel vergessen hat und zeternd zurück zum Schlüsseltransferpanel laufen muss. Ich hab kein Problem damit, Leuten entgegen zu kommen und mit ihnen eine gute Lösung zu finden, gerade weil ich leider auch weiss, dass so mancher Planer das nicht macht. Aber ich hab auch Verständnis für die Einführung der Sicherungspflicht gegen Absturz in Höhen größer 1,5 Meter oder den Handlauf-benutzen-Schildern an jeder Treppe hier im Werk, weil beides wirkungsvolle Maßnahmen gegen häufige Unfälle waren – auch wenn sie lächerlich aussehen mögen und den Leuten hier wirklich manchmal das Leben schwer machen. So kann ich auch oft genug nur sagen, dass sich in der Welt schon diverse schwere Unfälle bestimmter Art ereignet haben und noch mehr sich ohne den Einsatz bestimmter Sicherheitstechnik vermutlich ereignet hätten, auch wenn im konkreten Betrieb an der konkreten Maschine oder Anlage noch nie was passiert ist.