Bleiben wir beim Beispiel Autogurt und beim Szenario “Aufprall mit geringer Geschwindigkeit”. Aus der Erfahrung kann man sagen, dass die Pn dafür nicht gerade klein ist. Tun wir so, als würde jeder Autofahrer im Mittel alle 10 Jahre einen solchen Unfall haben. Das Dn ist in Abwesenheit außergewöhnlicher Umstände auf Verletzungen beschränkt. Todesfälle bei sehr niedrigen Geschwindigkeiten sind selten. Wir sind konservativ und bewerten das Dn mit D3, denn schwere Verletzungen können durchaus Folge kleiner Unfälle sein. Daraus ergibt sich die Risikoklasse “Hoch”. Man beachte, dass das Wort “Hoch” hier nicht in einem qualitativen Sinn verwendet wird, sondern eine quantitative Bedeutung hat. “Hoch” bedeutet in diesem Fall: im Mittel besteht für jeden Autofahrer das Risiko, innerhalb von 10 Jahren einen Unfall zu haben, bei dem er sich potentiell schwer verletzt.
Mit diesem Risiko muss man jetzt irgendwie umgehen. Aufs Auto fahren zu verzichten ist nicht die Option der Wahl. Autos sind zu nützlich und wir als Gesellschaften sind im Moment der Meinung, dass es sich lohnt, die Risiken in Kauf zu nehmen. Wir müssen also technische Lösungen finden, die Risiken einzudämmen. Der Versuch, Risiken durch Technik auszuschließen hat nichts mit Angst zu tun – das ist ein Argument, das man oft gegen den Fahrradhelm hört und das in den 1970er Jahren auch gegen den Autogurt vorgebracht wurde. Angst wäre, aufs Fahrrad bzw. Auto zu verzichten. Vor Fahrtantritt Helm bzw. Gurt anzulegen ist dagegen sondern von Vorsicht, also der Eigenschaft, bekannte Risiken zu antizipieren und sich dagegen abzusichern.
An dieser Stelle drängt sich folgende Frage förmlich auf: Der Schutz gegen jeden nur denkbaren Schaden sollte das Idealziel sein. Warum bewertet man dann nicht alles mit der maximalen Stufe und ist immer auf der sicheren Seite?
Das hat zum einen pekuniäre Gründe. Aber auch technische, denn auch die Abhilfe gegen einen Schaden birgt das Risiko, Schäden zu verursachen. Der Gurt im Auto ruft in vielen Fällen, in denen er schwere Verletzungen verhindert, leichte Verletzungen hervor. Und in manchen Fällen wird der Gurt verantwortlich für den Tod eines Menschen sein, der ohne Gurt überlebt hätte. Man muss sich klar machen, dass das Schutzsystem selbst Nebenwirkungen haben kann, die das globale Risiko deutlich reduzieren, aber unter Umständen ein spezielles Risiko erhöhen. Es ist daher gar nicht automatisch sinnvoll, das Schutzsystem immer so auszulegen, dass es auch das größte Dn beherrscht, wenn dieses sehr selten vorkommt. Denn die Nebenwirkungen richten vielleicht über die Zeit insgesamt mehr Schaden als, als der schwerste Unfall anrichten würde. Der Gurt könnte zum Beispiel in einer Weise beschaffen sein, dass er jede Verletzung zuverlässig ausschließt, indem er die Person sicher fixiert, aber flexibel auf Stöße reagiert. Dadurch werden einige sehr schwere Unfälle überlebt werden können. Möglicherweise steigt dadurch aber die Gefahr, dass die Person bei einem weniger schweren Unfall vom Gurt festgehalten wird, sich darin verheddert oder die Rettungskräfte sie nicht schnell genug bergen können. Die wenigen gefährlichen Zustände, die durch den übertrieben sicheren Gurt vermieden werden, stehen dann vielleicht vielen Unfallsituationen gegenüber, die gerade durch den komplexen Gurt gefährlich werden. In diesem Fall könnte es sein, dass das globale Risiko erhöht wurde, weil das System darauf ausgelegt sein sollte, auch den schwersten Unfall zu beherrschen.
Die Beherrschung des größten Unfalls führt zu Nebenwirkungen, die die weniger schweren Unfälle gefährlicher machen. Deswegen gehört zur Abschätzung des Risikos immer die Abschätzung von Dn und Pn anhand plausibler Szenarien. Den allerschwersten Unfall abzudecken kann sinnvoll sein und ist es meistens auch, aber das ist kein Muss. Und deshalb sind Szenarien so wichtig. In einfachen Fällen kann man konstatieren, dass ein gewisses Dn verhindert werden soll, egal wie es eingetreten ist. In der Praxis kommt man aber sehr schnell an einen Punkt, an dem man mit dieser Herangehensweise Fälle betrachten müsste, die völlig utopisch sind. Alle großen Industrienationen haben im Laufe der Jahrzehnte Normenwerke entwickelt, um jedem Risiko eine angemessene Sicherheitsanforderungsstufe (Sn) zuordnen zu können. Die Sn beschreibt, um welchen Faktor man das Risiko senken kann, wenn man geeignete Maßnahmen ergreift. Die Maßnahmen folgen in der Regel einer gewissen Hierarchie:
1. Zu bevorzugen ist immer die Eigensichere oder besser Selbstbegrenzende Auslegung. Eine Maschine ist dann am sichersten, wenn sie so gebaut ist, dass der schwerste Unfall keinen über ihre eigene Zerstörung hinausgehenden Schaden anrichten kann, weil physikalische Prinzipien ihn begrenzen.
2. Ist das nicht möglich oder unzweckmäßig, sind mechanische Sicherheitseinrichtungen möglich: Sicherheitsventile, Sprinkler, etc.
3. Als letztes Mittel bleibt die sogenannte der Funktionale Sicherheit. Das sind die Logikgestützten Schutzsysteme, die aus fehlersicheren elektronischen bzw. elektromechanischen Bauelementen und einer Schaltungs- bzw. Programmlogik bestehen.
Alle Normenwerke kennen wohl unterschiedene Sn. Allen gemein ist, dass sie die breiteste Definition überhaupt dafür verwenden: Die mittlere Ausfallwahrscheinlichkeit bei Anforderung bzw. über einen bestimmten Zeitraum. Die Idee dahinter lässt sich auf alle Arten von Schutzsystemen übertragen: Es geht darum, durch eine technische Lösung das Risiko zu verkleinern. Und weil es für die Praxis zweckmäßig ist, teilt man die Schutzsysteme anhand ihrer Fähigkeit, Risiken zu verkleinern, in Kategorien ein. Der Gedankliche Ansatz dazu ist folgender: Gehen wir davon aus, dass das Schutzsystem den gefährlichen Zustand vollständig beherrschen kann, wenn es ausgelöst wird und korrekt funktioniert (darauf sind Schutzsysteme normalerweise ausgelegt). Dann reicht es, abzuschätzen wie oft ein gefährlicher Fehler im System auftritt, der zum Ausfall desselben führt:
Kommentare (40)