Wenn wir technische Systeme betrachten und evaluieren, dann halten wir uns deswegen an die Angaben auf den Typenschildern – wohl wissend, dass die Apparate und Maschinen mehr aushalten – weil wir uns gegen kleinere Fehler und nicht bedachte Ereignisse absichern wollen. Die Überlastbarkeit eines technischen Systems ist unsere Angstprämie und wird deswegen im Normalfall nicht ausgenutzt. Damit ein Ereignis nicht nur die Auslegung überschreitet, sondern tatsächlich zum Schadensereignis wird, muss deswegen schon etwas ganz Außergewöhnliches – ein schweres, singuläres Ereignis wie eine Naturkatastrophe oder die berühmte Verkettung unglücklicher Ursachen – zum Tragen kommen.
Der Auslegungsüberschreitende Fall wird meistens durch etwas herbeigeführt, was sich technisch hätte beherrschen lassen, wäre rechtzeitig in die Unfallkette eingegriffen worden. Das kann daran liegen, dass es sich um eine alte Anlage handelt, bei deren Bau noch keine so strengen Regeln befolgt wurden und die man einfach nicht besser absichern kann; es kann aber auch menschliches Handeln der Grund dafür sein, einerseits durch bewusste Umgehung von Sicherheitsvorschriften, andererseits durch Fehlbedienung. Die Ursache kann aber auch, wie beim Nuklearunfall von Fukushima, eine ungenügende Auslegung der Anlage gegen eine bestimmte Naturkatastrophe sein.
In 1961 wurden bei einem Raketentest in der Sowjetunion über 100 Menschen getötet. Die Ursache war letzten Endes eine Fehlbedienung durch einen übermüdeten oder gestressten Techniker in einer durch Druck und Angst gekennzeichneten Atmosphäre. Eine Filmaufnahme der Ereignisse hat überlebt und zeigt eindrucksvoll welche Auswirkungen kleine Handlungen haben können, wenn eine Ereigniskette durch sie angeworfen wird.
In 1979 kam es im amerikanischen Kernkraftwerk Three Mile Island in Harrisburg zu einer außergewöhnlichen Verkettung unglücklicher Umstände von denen jeder für sich hätte mit ganz einfachen Mitteln beherrscht werden können. Insbesondere wurden viele gefährliche Zustände, z.B. geschlossene oder fehlerhaft offene Ventile nicht bemerkt, weil es keine Rückmeldeeinrichtungen gab und die Bediener über die wahre Gefahr gar nicht informiert waren. Das Ereignis konnte rechtzeitig beherrscht werden, aber erst in letzter Minute und nachdem wirtschaftlicher Totalschaden am Reaktor schon angerichtet war und er zeigte zwei Dinge: Schwere Störfälle können prinzipiell beherrscht werden und selbst ohne offensichtlichen Anlass kann es aus dem Regelbetrieb heraus durch ein paar Fehler, die sich ungünstig verketten, zum Störfall oder gar zum Unfall kommen (Man kann lange Streiten, in welche Kategorie sich TMI einsortieren lässt).
In 1986 wurde ein sowjetisches Kernkraftwerk zu lange in einem unzulässigen Bereich betrieben, wurden Sicherheitssysteme außer Kraft gesetzt und trotz dessen ein Test vorbereitet, der bei dieser Kraftwerksklasse eigentlich zum Standardprogramm gehörte, wegen der besonderen Umstände aber nicht hätte durchgeführt werden dürfen und im Nachgang zu einer beispiellosen Katastrophe wurde: Ein Konstruktionsmerkmal, das im Normalbetrieb für bessere Regelbarkeit des Reaktors sorgte – Graphitspitzen der Steuerstäbe – führte wegen des besonderen Zustands des Reaktors (längere Betriebsphase bei zu niedriger Leistung und infolge dessen sehr instabiler Betrieb durch Vergiftung des Reaktors mit Neutronenabsorbern) nicht zur Schnellabschaltung, sondern geradewegs zur Leistungsexkursion. Die Erbauer des Reaktors waren sich dieser Tatsache bewusst und schrieben deswegen in der Betriebsanweisung vor, dass bestimmte Zustände nicht zulässig sind, aber nicht warum und aus verschiedenen Gründen kamen sie an jenem 26. April 1986 doch zusammen. Die Katastrophe von Tschernobyl zeigt eindrucksvoll das Zusammenspiel von Konstruktionsmängeln in Verbindung mit menschlichem Handeln, das am Ende dazu führt, dass die Auslegung der Anlage überschritten wird.
In 1984 ereignte sich im indischen Bophal der schlimmste Chemieunfall. Durch Fehlbedienung oder Sabotage gelangte Wasser in einem Tank mit Methylisocyanat (MIC). Durch die folgende Reaktion stieg der Druck im Behälter, Sicherheitsventile sprachen an und rund 40 Tonnen MIC wurden in die Atmosphäre abgeblasen. Die Sicherheitseinrichtungen der Fabrik waren ungenügend, die organisatorischen Maßnahmen kopflos, Notfallpläne nicht vorhanden. Mindestens 3.800 Menschen verloren ihr leben, zehntausende wurden schwer letzt, die ganze Region leidet bis heute unter dem Unfall. In den Streit um die Ursachen möchte ich mich nicht hineinmischen, weil er nur die Art und Weise betrifft, wie Wasser in den Tank gelangen konnte. Ob Sabotage oder Unfall – in beiden Fällen hätte die Katastrophe verhindert werden müssen, denn das Eindringen von Wasser in einen Behälter mit einem Stoff, der bei Kontakt mit Wasser heftig reagiert, sollte in jedem Fall ein Teil der Risikobetrachtung sein und die Maßnahmen ausreichend, den Fall zu beherrschen.
Kommentare (5)