Ein Risikoszenario ist eine definierte Wenn-Dann-Beziehung, die anhand eines bestimmten unsicheren Zustands, der durch eine nicht näher bestimmte Ursache hervorgerufen wird, ein spezielles Risiko beschreibt, das von einer Anlage oder Maschine ausgeht. Szenarien sind für das Risikomanagement von großer Bedeutung. Um zu verstehen, was das bedeutet, betrachten wir zunächst eine ganz einfache Anlage: Ein Reaktionsbehälter R 1000 wird über zwei Zuläufe mit den Einsatzstoffen beschickt. Die Zuläufe können über die Ventile V1 und V2 geschlossen werden, das Reaktionsprodukt wird am Boden über das Ventil V3 abgezogen. Die Reaktion ist exotherm, deswegen wird der Behälter gekühlt. Kühlwasser wird in einen Kühlmantel geleitet und im Rücklauf[1] durch das Ventil V4 geregelt. Druck, Füllstand und Temperatur des Behälters werden über die Messungen P (engl.: pressure = Druck), L (engl.: level = Stand) und T (engl.: temperature = Temperatur) gemessen. Was es mit U, V5 und Y auf sich hat, wird gleich erklärt.
Abb. 1: Eine ganz einfache Anlage
Die Verfahrenstechnische Sollfunktion wird folgendermaßen beschrieben: Durch den Zulauf V1 wird eine bestimmte Menge Einsatzstoff-1 dosiert – wir sagen, sie wird vorgelegt – bis die Standmessung L einen bestimmten Wert zeigt, dann wird V1 geschlossen. Anschließend wird durch den Zulauf V2 eine bestimmte Menge Einsatzstoff-2 zu dosiert, ebenfalls gemessen über die Standmessung L. Dadurch wird die Reaktion gestartet, der Temperatursensor T registriert einen Temperaturanstieg und regelt entsprechend den Kühlwasserdurchfluss über den Öffnungsgrad des Ventils V4. Durch die Reaktion steigt der Druck im Reaktor, das wird durch die Druckmessung P registriert und überwacht. Entstehendes Abgas wird über eine kleine Leitung zum Abgaswäscher geleitet. Irgendwann ist die Reaktion zu Ende, die Temperatur ist gesunken, das Produkt wird über das Ventil V3 abgezogen. Dazu wird eine Fassabfüllanlage eingesetzt.
Aus Sicht des Risikomanagements stellt sich nun die Frage: Was kann schiefgehen?
Versetzen wir uns in folgende Situation: Ein großer Raum mit hellen Wänden, schwach beleuchtet, an der Wand eine Projektionsfläche, an der Decke ein Projektor, der das Anlagenbild an die Wand wirft. Ein langer Tisch, ein Duzend Stühle, Kladden, Kaffeetassen. Und ein Duzend Leute in Hemdsärmeln, die sich Gedanken machen. Das ist die Situation, wie sie sich jemandem darstellt, der die Tür zu einer Risikomanagement-Sitzung öffnet. Die Fakultäten sind alle versammelt: Projektmanagement, Verfahrenstechnik, Maschinentechnik, Prozessleittechnik, Experten für Anlagensicherheit und vielleicht noch andere. Wie gehen sie vor?
Das erste Szenario: Dosierung versagt
Natürlich fällt der Blick sofort auf den Kern des Gefahrenpotentials: eine exotherme Reaktion, die offenbar so stark ist, dass sie aktiv gekühlt werden muss. Ist die Kühlung sicherheitsrelevant, d.h. kann die Temperatur über die Auslegung des Behälters steigen? Die Experten sind sich uneins: Eigentlich nicht, aber…! Die Reaktion läuft dann sicher ab, wenn nur wenig Einsatzstoff vorgelegt wird. Dann sind die Mengen so klein, dass der Reaktor bzw. der gefüllte Kühlmantel die Energie aufnehmen kann, auch wenn kein neues Kühlmedium nachfließt. Man muss also die Mengen der Einsatzstoffe begrenzen. Wie gut ist die Füllstandsmessung, wie gut die Ventile? Beides muss funktionieren: Der Stand muss sicher gemessen und die Zuläufe sicher geschlossen werden. Wie oft kann man damit rechnen, dass das nicht klappt und zu viel Einsatzstoff vorgelegt wird? Die Experten wälzen ihre Unterlagen, schätzen anhand von Herstellerangaben und Erfahrungswerten ab: Für den einzelnen Reaktor in der Größenordnung alle paar 10 Jahre. Für unsere Begriffe ist das schon ziemlich oft – wir haben viele Reaktoren. Und bedeutet gleichzeitig, dass wir uns im Bereich niedriger Anforderungsraten für das auszulegende Schutzsystem bewegen.
Was kann schlimmstenfalls passieren? Sind Menschen ständig oder öfter in der Nähe der Anlage? Eigentlich nicht, aber…! Die Anlage muss, wie jede Chemieanlage, begangen, überprüft und gewartet werden. Trotz aller Technik sind Augen, Ohren und Gefühl der erfahrenen Anlagenbediener nicht zu ersetzen. Mindestens ein Mal am Tag wird ein Kontrollgang gemacht, mindestens alle paar Wochen die Geräte überprüft. Und dann muss vielleicht ein ganz anderer Anlagenteil in der Nähe repariert werden. Was, wenn gerade dann, wenn die Handwerker zugange sind, der R 1000 explodiert? Das Schadensausmaß eines Unfalls ist ziemlich klar: es kann Verletzte geben, vielleicht sogar Schwerverletzte. Kann es Tote geben? Das kommt darauf an, wie schlimm die Explosion sein kann. Wenn der Reaktor total zerknallt, ja; wenn er nur reißt, wahrscheinlich nicht. Seit vielen Jahren werden Apparate und Rohre nach der Leak-Before-Break-Philosophie gefertigt: Schweißnähte reißen zunächst auf kleiner Strecke auf, bevor der ganze Apparat explosiv zerknallt. Gehört der R1000 zu dieser Kategorie? Schwierig – eigentlich müsste er vom Alter her schon so gebaut sein, aber wissen wir es genau? Im Zweifel gehen wir auf Nummer sicher.
Mit diesem Wissen gehen wir in unsere Risikomatrix.
Abb. 2: Die schon aus Teil 1 bekannte Risikomatrix mit Risikoklassen
Ein Ereignis alle paar 10 Jahre bedeutet Schadenseintritts-Wahrscheinlichkeit P2, das Potential für Schwerverletzte oder Tote bedeutet Schadensausmaß D2 – das resultierende Risiko laut Matrix ist HOCH. Diese qualitative Aussage heißt für uns, dass wir definitiv ein Schutzsystem von guter Qualität brauchen. Wir brauchen also eine qualitativ hochwertige Standmessung, Ventile und umfangreiche organisatorische Maßnahmen für die Inbetriebnahme und wiederkehrende Prüfungen.
Das zweite Szenario: Kühlung versagt
Was kann noch alles passieren. Wie steht es mit der Kühlung? Die Frage hatten wir schon weiter oben gestellt. Sie war Auslöser für die eigentliche Frage, ob wir die Mengen der Einsatzstoffe begrenzen müssen und welches Risiko entsteht, wenn wir es nicht tun. Jetzt reden wir über die Kühlung direkt. Angenommen, die Einsatzstoffe werden korrekt dosiert und die Kühlung fällt aus. Was kann passieren? Der Kühlmantel des R 1000 fasst soundso viele Liter Wasser, die Reaktion setzt soundso viel Wärme frei. Schnell wird klar, dass das Kühlsystem die Wärme größtenteils abführen kann: Der Behälter würde sich auf 210 °C erwärmen, ist aber nur für 200 °C ausgelegt. Apparatebauer rechnen normalerweise mit gewissen Sicherheitsfaktoren – 1,25 oder 1,5 sind nicht unüblich. De facto wird der Reaktor der Temperatur standhalten, aber wissen wir es genau, sind wir uns ganz sicher?
Eine Diskussion beginnt: Sicherheitsgerichtete Technik ist teuer, warum also ein Schutzsystem kaufen, dass nicht gebraucht wird? Sicherheitsgerichtete Technik ist kompliziert – warum die Anlage komplexer machen als sie ohnehin schon ist? Die Bediener werden es schwer genug mit ihr haben und kein Mensch kann alle Einzelheiten überblicken. Wenn wir uns gegen Nichtgefahren absichern, verschwimmt der Fokus für die richtigen Gefahren. Wir sind uns fast sicher, dass nichts passieren wird – und dieses fast hat keinen technischen, sondern einen formalen Hintergrund: Die technische Dokumentation des Reaktors setzt uns eine Grenze für die Temperatur und die müssen wir einhalten. Damit geht das gleiche Spiel wie oben los: Wie oft wird die Temperatur so hoch steigen? Es müsste die Kühlung versagen und gleichzeitig die Dosierung. Ziemlich unwahrscheinlich – noch nie vorgekommen, aber tatsächlich denkbar. Wir schätzen, dass ein einzelner Reaktor höchstens alle paar Hundert Jahre in diese Situation kommt. Was kann schlimmstenfalls passieren? Eine Schweißnaht könnte reißen, ein Flansch undicht werden – der Behälter würde leck werden, aber nicht katastrophal explodieren. Da wird sich höchstens jemand leicht verletzten, selbst wenn er daneben steht.
Wir betrachten wieder die Risikomatrix: Ein Ereignis alle paar Hundert Jahre bedeutet Schadenseintritts-Wahrscheinlichkeit P3, das Potential für leichte Verletzungen D3 – das resultierende Risiko laut Matrix ist KLEIN. Vielleicht brauchen wir an dieser Stelle gar kein Schutzsystem, sondern können mit einer Betriebsanweisung, die z.B. das Überprüfen der Temperaturen vor allen Arbeiten vorschreiben und einen Sicherungsposten für die Zeit der Arbeiten verlangen. Und falls das den Verantwortlichen wirklich nicht ausreichend scheint, können wir vorschlagen, dass parallel zum Kühlwasserventil V4 ein zweites Ventil V5 eingebaut wird, das im Notfall den Kühlwasserfluss voll öffnet.
Das dritte Szenario: Der Druck ist zu hoch
Wenn er Druck zu hoch ist, muss auch etwas passieren. Die exotherme Reaktion als Druckerzeuger könnte sonst den Reaktor beschädigen oder zerstören. Manche Reaktionen haben gar einen kritischen Druck, der nicht Überschritten werden darf, damit sie nicht durchgehen. Das könnte hier auch der Fall sein, also muss der Druck begrenzt werden. Über die Abgasleitung wird der Reaktor zwar teilweise entlastet, aber eben nicht vollständig. Das hat Prozesstechnische Gründe: Die Reaktion verläuft optimal bei einem bestimmten Druck und die Geometrie von Reaktor und Rohrleitungen ist so bemessen, dass sich dieser Druck im Normalbetrieb einstellt. Wenn jetzt aber irgendetwas versagt und der Druck zu groß wird, könnte das die Reaktion in den kritischen Bereich bringen. Wie wahrscheinlich ist das? Die Kollegen Chemiker rechnen, schauen in ihre Unterlagen, machen nachdenkliche Gesichter. Sie müssen mit Parametern arbeiten, die nur eingeschränkt bekannt sind: Wie gut ist die Stoffzusammensetzung bekannt? Welches Isomerengemisch liegt vor? Welche Zuschlagstoffe können enthalten sein? Welcher Hersteller macht welche Angaben zur Reinheit? Und Hundert andere Fragen. Sie können nur schätzen, aber da schon mehrere Fehler auftreten müssten, ist die Wahrscheinlichkeit nicht sehr groß. Vielleicht ein Mal alle paar Hundert Jahre. Aber wenn es passiert, würde der Reaktor vermutlich explosionsartig zerknallen.
Die Risikomatrix sagt uns hier: Ein Ereignis alle paar Hundert Jahre bedeutet Schadenseintritts-Wahrscheinlichkeit P3, das Potential für schwere Verletzungen D2 – das resultierende Risiko laut Matrix ist MODERAT. Um ein Schutzsystem werden wir nicht herum kommen, aber es kann von relativ einfacher Beschaffenheit sein. Am Ende entscheiden wir uns dafür, die Abgasleitung, die vom Reaktor wegführt mit einer größeren Nennweite auszuführen und einen zweiten, großen Weg zum Abgaswäscher zu schaffen, der über ein Sicherheitsventil Y den Druck notfalls ablassen kann.
Das vierte Szenario: Zugang zur Fassabfüllanlage
Eine Automatische Fassabfüllanlage birgt diverse Gefahren: schwere Maschinen werden von kraftvollen Motoren mit großer Geschwindigkeit bewegt, Chemikalien werden abgefüllt, der Raum ist eng, weil kein Platz verschwendet wird. Der Zugang zum Abfüllbereich muss deswegen beschränkt werden, damit im Normalbetrieb niemand verletzt wird. Im Gegensatz zum Reaktor, bei dem die Gefahren von Unregelmäßigkeiten im Betrieb ausgehen ist die Abfüllanlage schon im Normalbetrieb gefährlich. Weil der gefährliche Zustand permanent besteht, sind wir hier im Bereich hoher Anforderungsrate. Wir müssen also mit dem Risikographen anstatt der Risikomatrix arbeiten.
Abb. 3: Und der schon bekannte Risikograph
Diese Risikographen gehen wir jetzt vom Startpunkt entlang. Zunächst müssen wir das Schadensausmaß festlegen: Besteht die Gefahr leichter oder schwerer Verletzungen? Unsere Abfüllanlage ist schon ziemlich gefährlich – ein Mensch könnte leicht von sich bewegenden Teilen getroffen und schwer verletzt werden. Also ist das Schadensausmaß S2 und wir starten den Weg nach rechts.
Jetzt kommt die nächste Frage: Besteht die Gefahr häufig oder ist sie nur von kurzer Dauer? Dazu muss man die Betriebsweise der Abfüllanlage kennen. Da sie immer nur dann läuft, wenn Produkt aus dem Reaktor abgezogen wird, läuft sie nur für eine Stunde am Tag, in allen anderen Fällen ist sie inaktiv. Und diese Stunde ist gut bekannt, denn sie gehört ja zum normalen Produktionsprozess. Also kann man sagen, dass die gefährliche Situation nur selten besteht. Wir folgen dem Weg also nach links in Richtung F1.
Wir müssen nun noch wissen: Hat der Bediener eine Chance, die Gefahr zu vermeiden, wenn sie sich manifestiert? Wahrscheinlich schon, denn die Anlage läuft erst nach kurzer Vorwarnung an. Der Mitarbeiter hat noch genug Zeit, sich zurückzuziehen. Deswegen ist hier die Entscheidung, dem Weg weiter nach links über den Pfad P1 zu folgen.
Das führt in Summe auf ein Risiko der Stufe MODERAT, das mit einer Schutzeinrichtung entsprechender Qualität abgesichert werden muss. In der ISO 13849 ist festgelegt, dass in diesem Fall eine Schutzeinrichtung mit Performance Level c vorzusehen ist, z.B. komplette Umzäunung der Abfüllanlage mit einem einzigen Zugang, der mit einem Lichtvorhang versehen ist, der die Anlage stillsetzt, solange die Zugangstür offen steht.
Abschließende Gedanken
Damit haben wir schon vier Szenarien: Stand zu hoch, Temperatur zu hoch, Druck zu hoch, unerlaubter Zutritt. Und damit soll es für das Beispiel auch genug sein – wenn man wollte (und in der Praxis müsste man sogar), könnte man auch für diese einfache Anlage die Risikobetrachtung noch wesentlich weiter treiben. In Teil 8 und 9 dieser Serie werden wir wieder auf die Szenarien zurückkommen, wenn wir konkrete Schutzmaßnahmen besprechen. Zwar wurde für jedes eine direkte Ursache angegeben, aber nur in ganz allgemeiner Weise. Warum genau eine Regelung versagt ist prinzipiell natürlich interessant, aber für die Risikoabschätzung zweitrangig. Da gilt schlicht: warum auch immer!
Das ist die Kunst beim Entwickeln von Szenarien: Auf der einen Seite müssen sie ausreichend scharf definiert sein, damit man die Anlage nicht gegen Risiken absichert, die es gar nicht gibt. Damit würde man nicht nur Zeit und Geld verschwenden, sondern den Bedienern später auch eine unnötig komplizierte Anlage übergeben, deren Komplexität an sich schon dazu führen könnte, dass unsichere Zustände entstehen, weil man die wirklich gefährlichen im Meer der Scheingefahren nicht mehr rechtzeitig erkennt. Auch Schutzsysteme haben Nebenwirkungen und dieser Punkt ist mir so wichtig, dass ich ihm einen eigenen Artikel widmen werde. Auf der anderen Seite müssen Szenarien auch so allgemein gehalten werden, dass sie die Wirklichkeit ausreichend genau abbilden.
Jedes Risiko hat eine direkte Ursache, z.B. das Versagen eines bestimmten Ventils oder einer bestimmten Messung. Dessen Benennung gehört zur Entwicklung des Szenarios. Aber warum dieses oder jenes Teil versagt sollte nicht mehr spezifiziert werden, denn das kann Tausend Gründe habe. Wenn man an dieser Stelle zu scharf fokussiert, verliert man das große Ganze aus dem Blick. Nach der Katastrophe von Fukushima wurde hierzulande oft festgestellt, dass deutsche Kernkraftwerke wegen eines Tsunamis in Japan abgestellt wurden, den es hierzulande so gar nicht geben kann. Das ist zwar richtig, trifft aber nicht den Punkt. Das Risiko ist nämlich damals nicht der Tsunami gewesen – der war nur eben die direkte Ursache – sondern das Versagen der Kühlung infolge totalen Stromausfalls. Diese Situation hätte sich in 2006 während eines Störfalls im Kernkraftwerk Forsmark fast realisiert, als die komplette äußere und Teile der internen Stromversorgung ausfielen. Wäre in dieser Situation noch mehr schief gelaufen, hätte eine ernste Situation in eine katastrophale umschlagen können.
Jeder Unfall ist eine Verkettung unglücklicher Umstände und jedes Szenario bildet einen Teil dieser Ereigniskette ab. Szenarien werden entwickelt, um zum richtigen Zeitpunkt und an der richtigen Stelle ins Geschehen einzugreifen, bevor sich der Unfall manifestiert.
Eine Frage drängt sich hier förmlich auf: Der Schutz gegen jeden nur denkbaren Schaden sollte das Idealziel sein. Warum bewertet man dann nicht alles mit der maximalen Stufe und ist immer auf der sicheren Seite?
Ein Teil der Antwort ist ganz einfach: Sicherheitstechnik kostet Geld. Da alle Maschinen zunächst mal gebaut werden, um ihrem Hersteller Profit und dem Benutzer Vorteile zu bringen, kommt dieser Punkt unweigerlich ins Spiel. Wenn eine Maschine zu teuer ist, verkauft sie sich nicht gut.
Es gibt aber noch zwei weitere, subtilere Gründe: Zunächst birgt jedes technische System selbst Risiken in sich, die sich über die Zeit auch materialisieren. So verursacht der Sicherheitsgurt im Auto oft selbst leichte Verletzungen und in manchen Fällen wird er sogar verantwortlich für den Tod eines Menschen sein, z.B. weil er nicht schnell genug herausgeholt werden konnte. Der zweite Grund ist die menschliche Neigung, Dinge nach Wichtigkeit zu kategorisieren, um den Überblick nicht zu verlieren. Es ist enorm wichtig, sich klar zu machen, dass das Schutzsystem selbst Nebenwirkungen hat. Wir werden diese Punkte im Teil 10 dieser Serie noch ausführlicher besprechen.
[1] Das ist z.B. ein Stück Sicherheit durch gutes Anlagendesign: Kühlkreisläufe regelt man im Rücklauf, damit das Kühlsystem immer voll Kühlflüssigkeit steht und so im Notfall als Wärmesenke wirkt. Heizungen, z.B. mit Dampf, regelt man immer im Vorlauf, damit im Notfall der Heizkreislauf komplett von der Wärmequelle getrennt werden kann.
Letzte Kommentare