An dieser Stelle kommt jetzt ein wichtiger Satz: Sicherheitsgerichtete Technik dient nur sekundär dem Schutz vor wirtschaftlichem Schaden. Denn wirtschaftlicher Schaden hat für die Betrachtung einen eklatanten Nachteil: Er ist verhandelbar. So fallen 10 € mehr, die ich im Jahr habe oder nicht habe niemandem auf. Bei 100 € werde ich hellhörig. 1.000 € tun weh. 10.000 € stellen mich vor ernsthafte Probleme und 100.000 € wären eine Katastrophe. Das gilt aber nur für mich als Privatmensch – wie steht es bei einem Unternehmen? Wie viele Nullen kann Hella anhängen, bis der Schaden wirklich weh tut? Wie viele Bosch? Wie viele VW? Wie viel davon kann durch Versicherungen, etc. substituiert werden? Wie viel Gewinn haben sie im Vergleich zum Schaden erwirtschafttet? Dazu kommt die persönliche Ebene. Angenommen ich bin Manager: Wie viel erwritschaftetes Geld kann ich mir selbst zuschreiben? Wie groß wird mein Bonus sein? Wie groß kann der Schaden höchstens werden? Bin ich überhaupt noch da, wenn er sich realisiert? Und wie viel davon kann man mit mir in Verbindung bringen? Sich in einer solchen Situation schadlos zu halten, besoders, wenn man sowieso außer Landes ist, fällt den Verantwortlichen erfahrungsgemäß nicht schwer. Weil Entscheidungen in Unternehmen selten von Einzelpersonen getroffen werden, kann sich jeder immer darauf zurückziehen, dass wir dieses oder jenes beschlossen haben und nicht ich. Ähnlich einem Peloton, bei dem immer eine Platzpatrone im Spiel ist. Wer weiss schon, in welchem Gewehr sie steckt? Hinterher kann jeder sich einreden, dass er nicht Schuld am Tod des Deliquenten sei.

Und darin liegt eine große Gefahr für Moral-Hazard-Verhalten, also der unbekümmerten Rücksichtslosigkeit oder Verantwortungslosigkeit. In jeder hierarchischen Organisation, also auch in jedem Unternehmen, finden sich unter anderem zwei für Menschen typische Verhaltensweisen: Zunächst gibt keiner sein eigenes Geld aus und wenn das Unternehmen groß genug ist, fällt die Verschwendung im Kleinen lange gar nicht auf. Und wenn doch, dann rettet uns der Effekt der Diffusion von Verantwortung[1], der in einfachen Worten dafür sorgt, dass wir uns umso weniger Schuld bewusst sind, je größer der Personenkreis ist, der davon wusste.

Weil wirtschaftlicher Schaden zwar intuitiv einfach erfassbar scheint, bei näherer Betrachtung aber keine besonders zuverlässige Einschätzung des Schadenspotentials erlaubt, rotiert das ganze Risikomanagement im Wesentlichen um die Frage, welches menschliche Leid durch einen Unfall angerichtet werden kann, denn menschliches Leid ist nicht verhandelbar. Diese Erkenntniss setzt sich langsam auch wirklich durch. Dass höhere Manager, die üblicherweise nicht Karriere gemacht haben, indem sie Bonbons verteilen, das Wohl von Menschen bestenfalls tangieren mag und auch unter den Sachbearbeitern noch viel zu viele davon nicht wesentlich berührt werden – beides immer wieder eindrucksvoll in aller Welt dokumentiert – will ich gar nicht bestreiten. Aber zumindest unter den Menschen, die sich mit sicherheitsgerichteter Technik und Risikomanagement beschäftigen gibt es einen einigermaßen breiten Konsenz: Der Schutz des Lebens und der Gesundheit der Menschen ist das primäre Ziel.

Menschliches Leid lässt sich ganz grob in drei Kategorieren einteilen:

  1. Reversible Verletzungen, seien sie nun physischer oder psychischer Natur, können nach dem Unfall vollständig verheilen und bedrohen das Leben nicht akut. Von Narben auf der Haut und auf der Seele abgesehen. Das sind zum Beispiel Schnitte, Prellungen, Schürfwunden.
  2. Irreversible Verletzungen hinterlassen eine Wunde, die nie mehr heilt. Der Verlust von Gliedmaßen oder Sinnesorganen, schwere internistische oder neurologische Schäden, seelische Traumata die nie ganz überwunden werden fallen in diese Kategorie.
  3. Tod. Unter Umständen unterteilt nach dem Potential für einen oder für mehrere Tote. Die ISO 13849, Mutternorm des Maschinenschutzes kennt die Unterscheidung nicht. Die IEC 61508, Mutternorm für die Anlagensicherheit unterscheidet.

Wem wird gerade etwas flau im Magen? Glückwunsch, das ist die passende Reaktion. In der Tat wäre es seltsam, wenn der Gedanke an abgerissene Gliedmaßen und zerstörtes Augenlicht im Zusammenhang mit einem schweren Unfall so ganz spurlos an einem vorüber ginge. Die Integrität und Unversehrtheit des eigenen Körpers ist für die meisten Menschen ein hohes Gut und wer nur ein bisschen Empathie besitzt, wird mit der Transferleistung, in dieser Hinsicht von sich auf andere zu schließen keine Probleme haben.

1 / 2 / 3 / 4

Kommentare (6)

  1. #1 Dr. Webbaer
    13. Mai 2018

    Sind Sie Fachmann für’s Risiko-Management, Herr Gabath?

    MFG
    Dr. Webbaer

    • #2 Oliver Gabath
      14. Mai 2018

      Was die Industrie angeht, kenne ich mich schon ziemlich gut aus. Den Rest kann ich nachvollziehen, aber natürlich legen z.B. Banken andere Maßstäbe an und setzen andere Schwerpunkte, wenn sie die Bonität eines Kreditnehmers einschätzen als wir, wenn wir Prozessanlagen absichern. Deswegen geht’s hier ja auch um das Risiko beim Betrieb von Anlagen oder Maschinen.

  2. #3 Kassandra
    15. Mai 2018

    Herr Gabath,

    sehr interessantes Thema. Es gibt einen Aspekt, den ich bei Ihnen vermisst habe, und das ist das Unterlaufen bzw. die Sabotage von Sicherheitseinrichtungen durch den Anwender, also genau den, der eigentlich geschützt werden soll, sich durch die Schutzmaßnahme aber subjektiv eher belästigt und behindert fühlt.

    Ich habe den Eindruck, das ist momentan eine Art Hase-und-Igel-Spiel zwischen Entwicklern von Schutzeinrichtungen und den Anwendern, das die Entwickler kaum gewinnen können, und ich frage mich, ob in der Industrie darüber nachgedacht wird, wie man damit sinnvoller umgehen könnte.

    • #4 Oliver Gabath
      18. Mai 2018

      Der genervte Anwender tut mir oft auch leid, aber ich kann sein Los leider nicht ändern. Wir versuchen durch gutes Design dafür zu sorgen, dass zu viele Fehlalarme ausgeschlossen werden und die Sicherheitsfunktion wirklich nur eingreift, wenn es sein muss, so dass die Motivation für Manipulation gar nicht erst aufkommt. Aber wat mut, dat mut leider. Die Steuerungen unterliegen einem aufwändigen Änderungsmanagement, sind gut gegen Zugriff geschützt ((Passwort, Dongle) und mit einer internen Programm-Revisionierung durch Vergleich von Prüfsummen ausgestattet, mit denen jede Programmänderung lückenlos dokumentiert wird. Sicherheitskritische Mess- und Stellgeräte werden ggf. von außen gegen unbefugten Zugriff gesichert, alle Bedien- und Beobachtungsfunktionen sind streng von den Schutzfunktionen getrennt. Einfach so und vor allem unerkannt lässt sich da heute nichts mehr machen. Den überzeugten Saboteur hält man damit zwar nicht auf, aber den normalen Arbeiter, den die Schutzfunktion gerade bei der konkreten Arbeit nervt schon.

      Das vielleicht Wichtigste aber ist das Etablieren und Leben einer Sicherheitskultur im Betrieb, die darauf abzielt, nicht nur möglichst wenige Unfälle zu wollen, sondern auch etwas dafür tut. In der chemischen Industrie wird das verhältnismäßig gut aufgenommen, weil niemand will, dass eine Anlage tatsächlich explodiert oder etwas anderes katastrophal schief geht, z.B. Gift austritt. Sehr wichtig ist auch, dass die Vorgesetzten sich vor ihre Leute stellen, wenn jemand aus Gründen der Sicherheit eine Anlage ab- oder eine Arbeit eingestellt hat (muss man natürlich dann hinterher begründen können). Erstaunlicherweise ist das aber eine verhältnismäßig junge Kultur, die erst seit ca. den 1990er Jahren richtig Fahrt aufgenommen hat (als ich in 2000 bei meinem Arbeitgeber angefangen habe, hatte z.B. gerade die letzte Kantine im Werk aufgehört, richtiges Bier zu verkaufen).

      Eine andere Sache wäre natürlich böswillige Sabotage, aber dagegen schützen wir uns nur mittelbar, denn Sabotage ist kein statistischer Prozess, von dem man sicher sagen kann, dass er eine gewisse Ausfallrate zur Folge haben wird, sondern von jeder Menge Rahmenbedingungen aus Politik und Gesellschaft abhängig. Ich arbeite seit einiger Zeit an einem Beitrag zu Stuxnet, aber weil die Geschichte so extrem spannend ist – viel besser als alles, was man sich unter Hollywood Hacking vorstellt – und man wirklich einiges an Insiderwissen aus der Automatisierungstechnik braucht, um zu verstehen, wie der Wurm funktioniert und welche Lehren für die Sicherheit von Steuerungen man daraus ziehen kann, wird der vermutlich erst in der zweiten Jahreshälfte veröffentlicht.

      Gegen was wir uns wirklich kaum schützen können, ist der frustrierte Insider. Wenn sich irgendwo drei Leute zusammentun und ihren eigenen Betrieb hops gehen lassen wollen, dann werden wir die nicht aufhalten. Aber das ist wie überall – sich gegen alles abzusichern, auch das extrem Unwahrscheinliche, ist mit fehlbaren Maschinen und sterblichen Menschen praktisch nicht zu machen. Im zehnten Teil dieser Reihe gehe ich ein bisschen auf diesen Punkt ein. Ihren Eindruck kann aus meiner kleinen Welt nicht bestätigen. Zumindest von einem Hersteller sicherheitsgerichteter Steuerungen weiss ich, dass regelmäßig der CCC und andere Organisationen im Haus sind und bisher nicht in die Steuerungen einbrechen konnten. Wenn ich ein Schutzsystem entworfen habe, musste ich bisher auch noch nie besonderes Augenmerk auf Manipulationssicherheit legen – die Standardstrukturen fangen schon eine ganze Menge auf.

  3. #5 Kassandra
    19. Mai 2018

    Danke für die Erläuterung, Herr Gabath. Ich hatte tatsächlich keine bewussten Saboteure vor dem geistigen Auge, sondern genervte “gemeine Anwender”. Ich glaube, die Bedeutung des Anwenders bei diesem Thema wird ziemlich unterschätzt. In einschlägigen Studien* war die Rede davon, dass bei über einem Drittel aller Maschinen Manipulationen vorkamen – und das liegt vermutlich weit unter dem tatsächlichen Wert, da die Forscher kaum alle Arten der Manipulation erkannt haben werden.

    * s. hier: https://www.baua.de/DE/Angebote/Veranstaltungen/Dokumentationen/Sifa-Workshops/pdf/Sifa-Workshop-2013-3.pdf?__blob=publicationFile

    Die Firma Pilz hat dem Thema “Manipulation von Schutzeinrichtungen” in seinem Sicherheitskompendium ein ganzes Unterkapitel gewidmet: https://www.pilz.com/mam/pilz/content/editors_mm/safety_compendium_de_2017_12_low.pdf

    In der Theorie scheint sich also ein Bewusstsein dafür zu entwickeln, dass man ein bisschen mehr vom Anwender her denken sollte. Zufälligerweise lebe ich aber mit einem Exemplar der “genervten Anwender” im selben Haushalt, der mir gelegentlich von seinen eigenen Abenteuern mit Pilz-Sicherheitstechnik im Arbeitsalltag berichtet. Er ist ausreichend qualifiziert, um sowohl sicherheitsbewusst zu denken, aber manchmal eben doch die Technik sabotieren zu wollen und, ja, dies durchaus auch zu können, wenn er will. Was er zuweilen auch wirklich tut, wenn sie ihn bei der Arbeit über Gebühr behindert. Deshalb ist mir klar, dass zwischen Theorie und Praxis doch eine gewisse Kluft besteht.

    Unterschätzen Sie außerdem die normalen Arbeiter nicht. Das im praktischen Umgang mit den technischen Einrichtungen erworbene Anwenderwissen ist im Bereich der praktischen Anwendung dem Entwicklerwissen überlegen. Deshalb ist es kaum ausreichend, ihre Sicherheit auf technischem Wege erzwingen zu wollen, ob ihnen das in den Kram passt oder nicht, sondern die Sicherheitsmaßnahme muss auch ihnen selbst einleuchten. Das heißt, Sicherheit ist in diesem Bereich auch in hohem Maße eine Frage der Kommunikation.

    • #6 Oliver Gabath
      23. Mai 2018

      Natürlich, den Anwender, der wirklich manipulieren will, halten wir nicht auf – schrieb ich ja. Aber wir erhöhen die Hemmschwelle und das reicht meistens. Ich glaube nicht, dass da eine Kluft zwischen Theorie und Praxis ist. Im Gegenteil – die Hersteller und sind sich ja gerade bewusst, dass die Anwender die Technik gerne manipulieren, weil sie ihnen den Arbeitsalltag schwerer macht. Um auf die Idee zu kommen, muss man nicht besonders viel Phantasie haben. Im Einzelfall mag das auch stimmen, weil der eigene Betrieb natürlich am besten von der eigenen Mannschaft gekannt wird. Aber über die Jahrzehnte gab es eine zu deutliche korrelation zwischen Sicherheitsgerichteter Technik, besseren Betriebsanweisungen und sinkenden Unfallzahlen einerseits als auch unsicherem Verhalten und den Hergängen der Unfälle andererseits. Menschen machen sich das Leben ungern kompliziert – weil das mir genauso geht, wird das was ich mache ja auch noch von anderen überprüft. Das ist allerdings nur die letzte Verteidigungslinie – ohne eine gelebte Kultur geht da nichts.

      Ich will’s auch niemandem ausreden – wir sind alle groß – aber jeden aus unserem Unternehmen würde ich auf die im Intranet verfügbare Ereignisdatenbank verweisen, die voll ist von völlig vermeidbaren Unfällen, die vermutlich nicht passiert wären, wenn sich leute an die Gefährdungsbeurteilungen gehalten hätten. Der Großteil der Unfälle bei uns (und ich meine jetzt nicht den kleinen Kratzer, der halt mal passiert, wenn man mit den Händen arbeitet, sondern die richtigen Unfälle wie z.b. die Trennscheibe im Unterschenkel, also das, was beim besten Willen nicht mehr vertuscht werden kann) passiert schon seit vielen Jahren nicht mehr aufgrund höherer Gewalt, sondern wird mehr oder minder selbst verursacht, weil jemand denkt Es wird schon nichts passieren oder Ich weiss, was ich mache. Die Klassiker sind: Sprunggelenksfraktur beim Stolpern von der Treppe, weil man zu viel Zeugs im Arm hatte; allgemein Stürze aus kleiner Höhe (kleiner zwei Meter), weil man keine Absturzsicherung trägt, Verletzung an drehenden Maschinenteilen; Quetschungen und stumpfe Traumata durch laufende Maschinen (z.B. Palletierer, Abfüllanlagen). Unfälle mit Chemikalien sind in der größten Chemiefabrik der Welt dagegen vergleichsweise selten (keine bis niedrige einstellige Zahl pro Jahr). Die Situation im Unternehmen weltweit ist leicht anders – Verkehrsunfälle sind andernorts z.B. häufiger als in Ludwigshafen – aber nicht gravierend. Wenn Sie meinen ich unterschätze die Anwender lege ich Ihnen ans Herz, uns nicht zu unterschätzen. Solange alles gut läuft und nichts passiert, stellt auch keiner Fragen, aber in dem Moment, wenn sich jemand schwer verletzt oder schlimmeres, wird der ganze Unfallhergang aufgerollt, angefangen bei den Planern und dem Sicherheitskonzept bis ganz nach unten zu den eingesetzten Geräten und dem konkreten Handlungsablauf, der zum Unfall führte. Das ist dann kein erhobener Zeigefinger mehr. Wenn’s ganz dick kommt, macht das nicht das Unternehmen solbst, sondern der Staatsanwalt. Bedenken Sie, dass die meisten Entwickler selbst Anwender waren oder sind. Handwerker, die auf dem zweiten Bildungsweg oder über interne Qualifizierungsmaßnahmen zu Planern werden, sind nicht selten (Ich bin z.B. auch so einer). Wir kennen auch viele Tricks. Jede Manipulation im Vorfeld werden wir nicht aufhalten, aber so gut wie jede im Nachhinein identifizieren können. Solange nichts passiert, fällt keinem was auf. Ein Katz-und-Maus-Spiel mit den Anwendern ist aber gar nicht unser eigentliches Ziel.

      Was Sie ansprechen ist das generelle Problem in der Beziehung zwischen Planern und Anwendern: Wir können’s nicht allen recht machen. Wenn mich die Handwerker fragen, was ich mir da oder dort gedacht habe, z.B. warum ein Messgerät so doof eingebaut ist, kann ich manchmal auch nur die Hände heben und sagen, dass es aufgrund der baulichen Gegebenheiten (häufigster Grund), des Messprinzips oder aus Gründen der Anlagengeometrie (man soll nicht glauben, wie oft barometrische Abläufe eine Rolle spielen) der bestmögliche Kompromiss zwischen Einfachheit, Wartbarkeit, Sicherheit, Sicherstellung der Produktqualität und anderen Parametern war. Das ist leider nicht nur eine Frage der Kommunikation, sondern vor allem der Kompromissbereitschaft auf beiden Seiten. Ich würde mich freuen, wenn es anders wäre, aber meine und meiner Kollegen Erfahrung ist leider, dass es viele Leute gibt, bei denen gute Worte nichts bringen, egal wie man es ihnen erklärt. Ich würde mich gern der schönen Illusion hingeben, dass es so etwas wie objektive Wahrheit gibt und das Verständnis dafür nur eine Frage guter Erklärung ist, aber so funktioniert die Welt nicht. Wir haben leider oft widerstreitende Interessen und Vorlieben. Ich kann z.B. jeden Elektrohandwerker verstehen, der für das Wechseln einer defekten Deckenleuchte mit nur einer Schaltstelle nicht in den 15 Minuten entfernten Schaltraum watscheln, die 5 Sicherheitsregeln durchackern und wieder zurück zur Leuchte tigern will. Ich hab auch Verständnis für den Produktionsarbeiter, der halt doch mal seinen Transferschlüssel vergessen hat und zeternd zurück zum Schlüsseltransferpanel laufen muss. Ich hab kein Problem damit, Leuten entgegen zu kommen und mit ihnen eine gute Lösung zu finden, gerade weil ich leider auch weiss, dass so mancher Planer das nicht macht. Aber ich hab auch Verständnis für die Einführung der Sicherungspflicht gegen Absturz in Höhen größer 1,5 Meter oder den Handlauf-benutzen-Schildern an jeder Treppe hier im Werk, weil beides wirkungsvolle Maßnahmen gegen häufige Unfälle waren – auch wenn sie lächerlich aussehen mögen und den Leuten hier wirklich manchmal das Leben schwer machen. So kann ich auch oft genug nur sagen, dass sich in der Welt schon diverse schwere Unfälle bestimmter Art ereignet haben und noch mehr sich ohne den Einsatz bestimmter Sicherheitstechnik vermutlich ereignet hätten, auch wenn im konkreten Betrieb an der konkreten Maschine oder Anlage noch nie was passiert ist.