Die Frage nach Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit, auf der das ganze Risikomanagement fußt, kann man auch anders formulieren: Was kann schlimmstenfalls wie oft passieren?

Wenn öffentlich über die Gefährlichkeit einer Sache gesprochen wird, dann wird oft nur ein Teilaspekt der Frage berührt, was daran liegt, dass das öffentlich gesprochene Wort normalerweise nicht einfach so, sondern mit einem Hintergedanken, gesagt wird. Wer zum Beispiel Menschen Angst machen will, lässt die Schadenseintritts-Wahrscheinlichkeit weg und malt den Schaden in besonders bunten Farben. Oder das Pferd wird von der anderen Seite aufgezäumt, der Schaden gar nicht besprochen und mit viel Emphase geschildert, wie häufig das schlimme Ereignis eintritt. Eine solche Debattierweise ist unredlich, aber beliebt, weil sie im Geben und Nehmen einer öffentlichen Diskussion argumentativ nicht einfach angreifbar ist. Da mir aber glücklicherweise auf meinem eigenen Medium für alle praktischen Belange unbegrenzt Zeit und Raum zur Verfügung stehen, kann ich die Frage, warum beide Aspekte für das Risikomanagement so wichtig sind und wie man sie quantitativ ausdrücken kann, etwas ausführlicher besprechen.

Die Schadenseintritts-Wahrscheinlichkeit

Die Häufigkeit eines Schadensereignisses kann man nur abschätzen wenn man weiss, wie häufig ein Ereignis eintreten kann, das potentiell zum Schaden führen kann. Die wichtigste Frage ist: “Ist ein Schadensereignis eine Folge eines außergewöhnlichen Ereignisses oder birgt der normale Betriebsablauf schon ein großes Schadenspotential?”. Je nachdem muss das Schutzsystem darauf ausgelegt sein seltene Ereignisse bzw. häufige Ereignisse zu beherrschen – man nennt das niedrige Anforderungsrate bzw. hohe Anforderungsrate. Was bedeutet das:

Schadensereignisse, die selten eintreten können treten im normalen Betriebsablauf nicht auf. Es sind Sondersituationen, auf die das Schutzsystem angemessen reagieren muss. Ein einfaches Beispiel dafür ist das Auto: Unfälle im Straßenverkehr passieren wegen der Vielzahl der Autos zwar dauernd, aber für das einzelne Auto vergehen in der Regel viele Jahre, bis es ein mal kracht. Folgerichtiger Weise ist z.B. der Airbag ein Schutzsystem für niedrige Anforderungsrate: Er bleibt jahrelang unangetastet, muss aber im richtigen Moment einwandfrei funktionieren, um Verletzungen vorzubeugen.

Schadensereignisse, die häufig eintreten können gehören zum normalen Betriebsablauf. Es sind keine Sonder-, sondern Normalsituationen, denen ein gewisses Schadenspotential innewohnt. Das wären zum Beispiel die Bremsen im Auto. Die müssen ständig funktionieren und werden dauernd gebraucht – in jedem Auto, bei jeder Fahrt. Sie sind also ausgelegt auf eine hohe Anforderungsrate.

In der Industrie findet man die Unterscheidung häufig, wenn zwischen Anlagensicherheit und Maschinensicherheit unterschieden wird. Die Sicherheit einer Produktionsanlage wird durch Sicherheitssysteme gewährleistet, die Abweichungen vom normalen Betriebszustand rechtzeitig erkennen und entsprechend eingreifen, im Notfall die Anlage automatisch in einen sicheren Zustand fahren. Ein typisches Beispiel ist der Druck in einem Reaktionskessel, der überwacht und bei Überschreiten eines kritischen Wertes durch technische Maßnahmen entspannt bzw. begrenzt wird. Gemessen wird der Druck zwar kontinuierlich, die Maßnahmen werden aber nur im Anforderungsfall ergriffen.

Viele Maschinen haben dagegen ständig wirksame Sicherheitseinrichtungen, die im Normalbetrieb aktiv sind und die Maschine sofort ausschalten. Eine Mechanische Presse könnte z.B. mit einem Schutzgitter ausgerüstet sein, das vom Bediener heruntergelassen werden muss (rückgemeldet durch Kontakte), bevor die Presse arbeiten kann. Oder ein Anlagenteil darf nicht in Betrieb sein, solange sich Menschen darin aufhalten, was durch ein Schlüsseltransfersystem sichergestellt werden kann. Das sind Beispiele für Sicherheitseinrichtungen, die kontinuierlich angefordert werden.

Die Schadenseintritts-Wahrscheinlichkeit wird in Ereignissen pro Zeiteinheit angegeben und je nachdem, ob hohe oder niedrige Anforderungsrate anliegt, geht in ihre Abschätzung die Zeit in Jahren oder Stunden ein. Ohne weitere Maßnahmen zur Risikominimierung, um die es in späteren Artikeln gehen wird, entspräche die Schadenseintritts-Wahrscheinlichkeit der Schadenseintritts-Rate, also der Anzahl tatsächlicher Schadensereignisse pro Zeiteinheit. So wird sie im ersten Schritt der Risikobetrachtung auch angegeben. Im Gedankenexperiment und mit Blick auf die Erfahrung versucht man abzuschätzen, wie oft ein bestimmtes Ereignis eintreten kann und teilt es entsprechend in Klassen ein.

1 / 2 / 3 / 4 / Auf einer Seite lesen

Kommentare (6)

  1. #1 Dr. Webbaer
    13. Mai 2018

    Sind Sie Fachmann für’s Risiko-Management, Herr Gabath?

    MFG
    Dr. Webbaer

    • #2 Oliver Gabath
      14. Mai 2018

      Was die Industrie angeht, kenne ich mich schon ziemlich gut aus. Den Rest kann ich nachvollziehen, aber natürlich legen z.B. Banken andere Maßstäbe an und setzen andere Schwerpunkte, wenn sie die Bonität eines Kreditnehmers einschätzen als wir, wenn wir Prozessanlagen absichern. Deswegen geht’s hier ja auch um das Risiko beim Betrieb von Anlagen oder Maschinen.

  2. #3 Kassandra
    15. Mai 2018

    Herr Gabath,

    sehr interessantes Thema. Es gibt einen Aspekt, den ich bei Ihnen vermisst habe, und das ist das Unterlaufen bzw. die Sabotage von Sicherheitseinrichtungen durch den Anwender, also genau den, der eigentlich geschützt werden soll, sich durch die Schutzmaßnahme aber subjektiv eher belästigt und behindert fühlt.

    Ich habe den Eindruck, das ist momentan eine Art Hase-und-Igel-Spiel zwischen Entwicklern von Schutzeinrichtungen und den Anwendern, das die Entwickler kaum gewinnen können, und ich frage mich, ob in der Industrie darüber nachgedacht wird, wie man damit sinnvoller umgehen könnte.

    • #4 Oliver Gabath
      18. Mai 2018

      Der genervte Anwender tut mir oft auch leid, aber ich kann sein Los leider nicht ändern. Wir versuchen durch gutes Design dafür zu sorgen, dass zu viele Fehlalarme ausgeschlossen werden und die Sicherheitsfunktion wirklich nur eingreift, wenn es sein muss, so dass die Motivation für Manipulation gar nicht erst aufkommt. Aber wat mut, dat mut leider. Die Steuerungen unterliegen einem aufwändigen Änderungsmanagement, sind gut gegen Zugriff geschützt ((Passwort, Dongle) und mit einer internen Programm-Revisionierung durch Vergleich von Prüfsummen ausgestattet, mit denen jede Programmänderung lückenlos dokumentiert wird. Sicherheitskritische Mess- und Stellgeräte werden ggf. von außen gegen unbefugten Zugriff gesichert, alle Bedien- und Beobachtungsfunktionen sind streng von den Schutzfunktionen getrennt. Einfach so und vor allem unerkannt lässt sich da heute nichts mehr machen. Den überzeugten Saboteur hält man damit zwar nicht auf, aber den normalen Arbeiter, den die Schutzfunktion gerade bei der konkreten Arbeit nervt schon.

      Das vielleicht Wichtigste aber ist das Etablieren und Leben einer Sicherheitskultur im Betrieb, die darauf abzielt, nicht nur möglichst wenige Unfälle zu wollen, sondern auch etwas dafür tut. In der chemischen Industrie wird das verhältnismäßig gut aufgenommen, weil niemand will, dass eine Anlage tatsächlich explodiert oder etwas anderes katastrophal schief geht, z.B. Gift austritt. Sehr wichtig ist auch, dass die Vorgesetzten sich vor ihre Leute stellen, wenn jemand aus Gründen der Sicherheit eine Anlage ab- oder eine Arbeit eingestellt hat (muss man natürlich dann hinterher begründen können). Erstaunlicherweise ist das aber eine verhältnismäßig junge Kultur, die erst seit ca. den 1990er Jahren richtig Fahrt aufgenommen hat (als ich in 2000 bei meinem Arbeitgeber angefangen habe, hatte z.B. gerade die letzte Kantine im Werk aufgehört, richtiges Bier zu verkaufen).

      Eine andere Sache wäre natürlich böswillige Sabotage, aber dagegen schützen wir uns nur mittelbar, denn Sabotage ist kein statistischer Prozess, von dem man sicher sagen kann, dass er eine gewisse Ausfallrate zur Folge haben wird, sondern von jeder Menge Rahmenbedingungen aus Politik und Gesellschaft abhängig. Ich arbeite seit einiger Zeit an einem Beitrag zu Stuxnet, aber weil die Geschichte so extrem spannend ist – viel besser als alles, was man sich unter Hollywood Hacking vorstellt – und man wirklich einiges an Insiderwissen aus der Automatisierungstechnik braucht, um zu verstehen, wie der Wurm funktioniert und welche Lehren für die Sicherheit von Steuerungen man daraus ziehen kann, wird der vermutlich erst in der zweiten Jahreshälfte veröffentlicht.

      Gegen was wir uns wirklich kaum schützen können, ist der frustrierte Insider. Wenn sich irgendwo drei Leute zusammentun und ihren eigenen Betrieb hops gehen lassen wollen, dann werden wir die nicht aufhalten. Aber das ist wie überall – sich gegen alles abzusichern, auch das extrem Unwahrscheinliche, ist mit fehlbaren Maschinen und sterblichen Menschen praktisch nicht zu machen. Im zehnten Teil dieser Reihe gehe ich ein bisschen auf diesen Punkt ein. Ihren Eindruck kann aus meiner kleinen Welt nicht bestätigen. Zumindest von einem Hersteller sicherheitsgerichteter Steuerungen weiss ich, dass regelmäßig der CCC und andere Organisationen im Haus sind und bisher nicht in die Steuerungen einbrechen konnten. Wenn ich ein Schutzsystem entworfen habe, musste ich bisher auch noch nie besonderes Augenmerk auf Manipulationssicherheit legen – die Standardstrukturen fangen schon eine ganze Menge auf.

  3. #5 Kassandra
    19. Mai 2018

    Danke für die Erläuterung, Herr Gabath. Ich hatte tatsächlich keine bewussten Saboteure vor dem geistigen Auge, sondern genervte “gemeine Anwender”. Ich glaube, die Bedeutung des Anwenders bei diesem Thema wird ziemlich unterschätzt. In einschlägigen Studien* war die Rede davon, dass bei über einem Drittel aller Maschinen Manipulationen vorkamen – und das liegt vermutlich weit unter dem tatsächlichen Wert, da die Forscher kaum alle Arten der Manipulation erkannt haben werden.

    * s. hier: https://www.baua.de/DE/Angebote/Veranstaltungen/Dokumentationen/Sifa-Workshops/pdf/Sifa-Workshop-2013-3.pdf?__blob=publicationFile

    Die Firma Pilz hat dem Thema “Manipulation von Schutzeinrichtungen” in seinem Sicherheitskompendium ein ganzes Unterkapitel gewidmet: https://www.pilz.com/mam/pilz/content/editors_mm/safety_compendium_de_2017_12_low.pdf

    In der Theorie scheint sich also ein Bewusstsein dafür zu entwickeln, dass man ein bisschen mehr vom Anwender her denken sollte. Zufälligerweise lebe ich aber mit einem Exemplar der “genervten Anwender” im selben Haushalt, der mir gelegentlich von seinen eigenen Abenteuern mit Pilz-Sicherheitstechnik im Arbeitsalltag berichtet. Er ist ausreichend qualifiziert, um sowohl sicherheitsbewusst zu denken, aber manchmal eben doch die Technik sabotieren zu wollen und, ja, dies durchaus auch zu können, wenn er will. Was er zuweilen auch wirklich tut, wenn sie ihn bei der Arbeit über Gebühr behindert. Deshalb ist mir klar, dass zwischen Theorie und Praxis doch eine gewisse Kluft besteht.

    Unterschätzen Sie außerdem die normalen Arbeiter nicht. Das im praktischen Umgang mit den technischen Einrichtungen erworbene Anwenderwissen ist im Bereich der praktischen Anwendung dem Entwicklerwissen überlegen. Deshalb ist es kaum ausreichend, ihre Sicherheit auf technischem Wege erzwingen zu wollen, ob ihnen das in den Kram passt oder nicht, sondern die Sicherheitsmaßnahme muss auch ihnen selbst einleuchten. Das heißt, Sicherheit ist in diesem Bereich auch in hohem Maße eine Frage der Kommunikation.

    • #6 Oliver Gabath
      23. Mai 2018

      Natürlich, den Anwender, der wirklich manipulieren will, halten wir nicht auf – schrieb ich ja. Aber wir erhöhen die Hemmschwelle und das reicht meistens. Ich glaube nicht, dass da eine Kluft zwischen Theorie und Praxis ist. Im Gegenteil – die Hersteller und sind sich ja gerade bewusst, dass die Anwender die Technik gerne manipulieren, weil sie ihnen den Arbeitsalltag schwerer macht. Um auf die Idee zu kommen, muss man nicht besonders viel Phantasie haben. Im Einzelfall mag das auch stimmen, weil der eigene Betrieb natürlich am besten von der eigenen Mannschaft gekannt wird. Aber über die Jahrzehnte gab es eine zu deutliche korrelation zwischen Sicherheitsgerichteter Technik, besseren Betriebsanweisungen und sinkenden Unfallzahlen einerseits als auch unsicherem Verhalten und den Hergängen der Unfälle andererseits. Menschen machen sich das Leben ungern kompliziert – weil das mir genauso geht, wird das was ich mache ja auch noch von anderen überprüft. Das ist allerdings nur die letzte Verteidigungslinie – ohne eine gelebte Kultur geht da nichts.

      Ich will’s auch niemandem ausreden – wir sind alle groß – aber jeden aus unserem Unternehmen würde ich auf die im Intranet verfügbare Ereignisdatenbank verweisen, die voll ist von völlig vermeidbaren Unfällen, die vermutlich nicht passiert wären, wenn sich leute an die Gefährdungsbeurteilungen gehalten hätten. Der Großteil der Unfälle bei uns (und ich meine jetzt nicht den kleinen Kratzer, der halt mal passiert, wenn man mit den Händen arbeitet, sondern die richtigen Unfälle wie z.b. die Trennscheibe im Unterschenkel, also das, was beim besten Willen nicht mehr vertuscht werden kann) passiert schon seit vielen Jahren nicht mehr aufgrund höherer Gewalt, sondern wird mehr oder minder selbst verursacht, weil jemand denkt Es wird schon nichts passieren oder Ich weiss, was ich mache. Die Klassiker sind: Sprunggelenksfraktur beim Stolpern von der Treppe, weil man zu viel Zeugs im Arm hatte; allgemein Stürze aus kleiner Höhe (kleiner zwei Meter), weil man keine Absturzsicherung trägt, Verletzung an drehenden Maschinenteilen; Quetschungen und stumpfe Traumata durch laufende Maschinen (z.B. Palletierer, Abfüllanlagen). Unfälle mit Chemikalien sind in der größten Chemiefabrik der Welt dagegen vergleichsweise selten (keine bis niedrige einstellige Zahl pro Jahr). Die Situation im Unternehmen weltweit ist leicht anders – Verkehrsunfälle sind andernorts z.B. häufiger als in Ludwigshafen – aber nicht gravierend. Wenn Sie meinen ich unterschätze die Anwender lege ich Ihnen ans Herz, uns nicht zu unterschätzen. Solange alles gut läuft und nichts passiert, stellt auch keiner Fragen, aber in dem Moment, wenn sich jemand schwer verletzt oder schlimmeres, wird der ganze Unfallhergang aufgerollt, angefangen bei den Planern und dem Sicherheitskonzept bis ganz nach unten zu den eingesetzten Geräten und dem konkreten Handlungsablauf, der zum Unfall führte. Das ist dann kein erhobener Zeigefinger mehr. Wenn’s ganz dick kommt, macht das nicht das Unternehmen solbst, sondern der Staatsanwalt. Bedenken Sie, dass die meisten Entwickler selbst Anwender waren oder sind. Handwerker, die auf dem zweiten Bildungsweg oder über interne Qualifizierungsmaßnahmen zu Planern werden, sind nicht selten (Ich bin z.B. auch so einer). Wir kennen auch viele Tricks. Jede Manipulation im Vorfeld werden wir nicht aufhalten, aber so gut wie jede im Nachhinein identifizieren können. Solange nichts passiert, fällt keinem was auf. Ein Katz-und-Maus-Spiel mit den Anwendern ist aber gar nicht unser eigentliches Ziel.

      Was Sie ansprechen ist das generelle Problem in der Beziehung zwischen Planern und Anwendern: Wir können’s nicht allen recht machen. Wenn mich die Handwerker fragen, was ich mir da oder dort gedacht habe, z.B. warum ein Messgerät so doof eingebaut ist, kann ich manchmal auch nur die Hände heben und sagen, dass es aufgrund der baulichen Gegebenheiten (häufigster Grund), des Messprinzips oder aus Gründen der Anlagengeometrie (man soll nicht glauben, wie oft barometrische Abläufe eine Rolle spielen) der bestmögliche Kompromiss zwischen Einfachheit, Wartbarkeit, Sicherheit, Sicherstellung der Produktqualität und anderen Parametern war. Das ist leider nicht nur eine Frage der Kommunikation, sondern vor allem der Kompromissbereitschaft auf beiden Seiten. Ich würde mich freuen, wenn es anders wäre, aber meine und meiner Kollegen Erfahrung ist leider, dass es viele Leute gibt, bei denen gute Worte nichts bringen, egal wie man es ihnen erklärt. Ich würde mich gern der schönen Illusion hingeben, dass es so etwas wie objektive Wahrheit gibt und das Verständnis dafür nur eine Frage guter Erklärung ist, aber so funktioniert die Welt nicht. Wir haben leider oft widerstreitende Interessen und Vorlieben. Ich kann z.B. jeden Elektrohandwerker verstehen, der für das Wechseln einer defekten Deckenleuchte mit nur einer Schaltstelle nicht in den 15 Minuten entfernten Schaltraum watscheln, die 5 Sicherheitsregeln durchackern und wieder zurück zur Leuchte tigern will. Ich hab auch Verständnis für den Produktionsarbeiter, der halt doch mal seinen Transferschlüssel vergessen hat und zeternd zurück zum Schlüsseltransferpanel laufen muss. Ich hab kein Problem damit, Leuten entgegen zu kommen und mit ihnen eine gute Lösung zu finden, gerade weil ich leider auch weiss, dass so mancher Planer das nicht macht. Aber ich hab auch Verständnis für die Einführung der Sicherungspflicht gegen Absturz in Höhen größer 1,5 Meter oder den Handlauf-benutzen-Schildern an jeder Treppe hier im Werk, weil beides wirkungsvolle Maßnahmen gegen häufige Unfälle waren – auch wenn sie lächerlich aussehen mögen und den Leuten hier wirklich manchmal das Leben schwer machen. So kann ich auch oft genug nur sagen, dass sich in der Welt schon diverse schwere Unfälle bestimmter Art ereignet haben und noch mehr sich ohne den Einsatz bestimmter Sicherheitstechnik vermutlich ereignet hätten, auch wenn im konkreten Betrieb an der konkreten Maschine oder Anlage noch nie was passiert ist.