Die Risikoklasse bestimmt die Sicherheitsanforderungsstufe
In der ersten Spalte steht die Risikoklasse, von der wir ausgehen, in der zweiten die korrespondierende Sn. In Spalte drei finden wir die Ausfallwahrscheinlichkeit bei Anforderungen oder PFD. Sie gilt für Systeme mit niedriger Anforderungsrate bzw. nicht-kontinuierliche Anforderung. Der Autogurt gehört zu dieser Kategorie, denn auch wenn wir ihn bei der Fahrt kontinuierlich tragen, fordern wir ihn nur bei einem bestimmten Ereignis, dem Unfall, wirklich an. Genau dann muss er funktionieren und die Wahrscheinlichkeit dafür, dass er bei Anforderung versagt, ist die PFD. In Spalte vier steht die Ausfallwahrscheinlichkeit oder PFH. Diese Zahl gilt für kontinuierliche Anforderung. Ein Beispiel ist z.B. eine Analoge Messung, auf deren kontinuierliches Funktionieren man angewiesen ist, um den sicheren Zustand einer Anlage zu gewährleisten. Die PFH ist die Wahrscheinlichkeit für den Ausfall des Schutzsystems pro Stunde. Diese Zahl muss naturgemäß viel kleiner sein als die PFD.
Erinnern wir uns: Risiko ist das Produkt aus Dn und Pn. Dieses Risiko wollen wir durch ein Schutzsystem verkleinern. Das verbliebene Restrisiko ist das Produkt aus Dn, Pn und PFD bzw. PFH des Schutzsystems. Ich habe mehr als ein Mal geschrieben, dass die Risikoabschätzung quantitativ ist und hier wird das ganz deutlich: Dadurch, dass ich für das Schutzsystem fordere, dass es das Unfallszenario vollständig beherrschen kann und seine Ausfallrate unter einer bestimmten Schwelle bleiben muss, kann ich das verbliebene Restrisiko direkt abschätzen.
Die Risikoabschätzung aus unserem Beispiel Autogurt hat uns ein Risiko der Kategorie “Hoch” gebracht. Aus der Anforderungsmatrix lesen wir ab, dass wir ein Schutzsystem der Sn 3 einsetzen müssen. das bedeutet, die PFD des Gurtes muss kleiner sein als 10^(-3). Ursprünglich bestand für jeden Autofahrer das mittlere Risiko, alle 10 Jahre einen Unfall zu haben, bei dem er sich schwer verletzt. Durch den Gurt sinkt das Restrisiko auf einen solchen Schaden alle 10.000 Jahre!
Die Wahl der geeigneten Sn führt dann zur konkreten Auslegung des Schutzsystems, im Beispiel also der Konstruktion eines sicheren Gurtes. Ein wahnsinnig weites Feld. So weit, dass ich es an dieser Stelle nicht auch noch anschneiden will – ich glaube, der Beitrag ist jetzt schon lang genug. Nur so viel: Für jedes große Industrieunternehmen ist das, was ich hier beschrieben habe, Tagesgeschäft und die Verfahren zur Risikobewertung und -behandlung sind hochentwickelt. Ebenso gibt es erprobte Standardverfahren zur Auslegung von Schutzsystemen.
Spätestens an dieser Stelle sollte man gemerkt haben, dass alles, was mit dem Risiko und seiner Behandlung zu tun hat ein reines Spiel mit Wahrscheinlichkeiten ist. Es ist völlig klar, dass bei einer großen Anzahl Schutzsystemen immer mal wieder eines irgendwo auf der Welt versagen wird, selbst wenn es den höchsten Anforderungen genügt. Wir können leider nur abschätzen, wie weit wir das Risiko senken können – eliminieren können wir es nicht. Wenn man so will, können wir der absoluten Sicherheit beliebig nahe kommen, erreichen werden wir sie nie. Aber Abschätzungen, ganz ähnlich, wie ich sie hier beschrieben habe, sind der bis dato beste praktische Weg, des Risikos Herr zu werden, ohne auf die vielen Vorteile zu verzichten, die der Betrieb von Anlagen aller Art – seien es Fabriken, Maschinen oder Autos – mit sich bringt.
Trotz aller Ungewissheit in Bezug auf die Zukunft und Murphys Gesetz leben wir in einer Welt, die auf Naturgesetzen beruht. Die Temperatur in einem großen Volumen wird nicht sprungförmig steigen, wenn die Energiezufuhr klein ist. Ein Behälter wird nicht überlaufen, wenn der Zulauf kleiner ist als der Ablauf und dieser nicht versperrt ist. Diese Gesetzmäßigkeiten muss man sich zunutze machen. Es stimmt zwar, dass man nie alles weiss. Man sollte sich aber immer bewusst machen, was man weiss. Und die großen Industrie-Unfälle der Geschichte wurden von Menschen mehr oder minder bewusst verursacht, obwohl die Risiko-Abschätzung gezeigt hätte (und in erschreckend vielen Fällen sogar hatte!), dass katastrophal unsichere Zustände entstehen könnten. Der Unfall von Tschernobyl fand nicht statt, weil die Anlage marode war, sondern wurde verursacht, weil die Bedienmannschaft die Schutzsysteme wissentlich und willentlich manipulierte. Ein relativ harmloser Test, der in allen Kernkraftwerken gleicher Bauart zum Standard gehörte, konnte sich deswegen zu einer nie dagewesenen Katastrophe entwickeln. Dito Bophal. Die Katastrophe kam nicht aus dem nichts, sondern wurde verursacht von einer im Nachhinein gradezu irrsinnig risikoreichen Fahrweise der Anlage, die in dieser Form weder in Europa, noch in Amerika möglich gewesen wäre (und heute selbst in China und Indien so nicht mehr möglich ist). Und letzten Endes gehören Katastrophen wie Fukushima Daiichi auch in diese Liste. Genauso schwere Erdbeben wie das vom 11. März 2011 waren aus der jüngsten Geschichte vor dem Bau der Anlage schon bekannt. Es ist heute natürlich einfach, auf die Stimmen zu verweisen, die schon seit langem vor einer durch einen Tsunami ausgelösten Nuklearkatastrophe gewarnt hatten, weil man im Nachhinein immer “Stimmen” finden kann, die “warnen”. Aber ich bin doch der Meinung, dass bei einer sauberen Risikoabschätzung schon vor langer Zeit entweder das Kraftwerk hätte deutlich verstärkt oder aufgegeben werden müssen.
Kommentare (40)