Risikomatrix mit Risikoklassen

Risikomatrix mit Risikoklassen

Risikograph

Risikograph

Unser Ziel ist, das Risiko zu reduzieren, also z.B. aus einem Risiko der Klasse “2 – sehr groß” eines der Klasse “5 – vernachlässigbar” zu machen. Man sieht sofort, dass je nach Rohrisiko-Klasse das Schutzsystem eine bestimmte Güte haben muss, um dieses Ziel zu erreichen. Diese Güte wird, da wir davon ausgehen, dass ein korrekt ausgelegtes Schutzsystem bei Anforderung den gefährlichen Zustand beherrschen kann, bestimmt durch seine Ausfallwahrscheinlichkeit. In der Ausfallwahrscheinlichkeit stecken sowohl zufällige Fehler, z.B. Versagen von Bauteilen als auch systematische Fehler, also z.B. auch ungenügende Auslegung. Schon im ersten Teil der Serie haben wir über Systeme für hohe und niedrige Anforderungsraten gesprochen. Das führt uns auf eine weitere Definition:

Die Güte eines Schutzsystems ist im Fall niedriger Anforderungsrate die Ausfallwahrscheinlichkeit bei Anforderung, im Fall hoher Anforderungsrate die Ausfallwahrscheinlichkeit pro Stunde

Die Ausfallwahrscheinlichkeit bei Anforderung nennt man auf Englisch Probability of Failure on Demand – abgekürzt: PFD. Die Ausfallwahrscheinlichkeit pro Stunde nennt man auf Englisch Probability of Failure per Hour – abgekürzt: PFH. PFD und PFH sind die beiden wichtigsten Kenngrößen für die Güte eines Schutzsystems und eine Standardangabe in allen Risikoabschätzungen. Die IEC 61508 teilt Schutzsysteme je nach Güte in 4 Klassen ein und nennt diese Sicherheits-Integritäts-Stufen oder auf Englisch Safety Integrity Level – abgekürzt: SIL 1 bis SIL 4. Die ISO 13849 kennt 5 Klassen und nennt diese Performance Level – abgekürzt: PL a bis PL e. Für die Praxis ist es wichtig zwischen der Güte des Schutzsystems als Gesamtheit und der Güte der einzelnen Komponenten zu unterscheiden! Kein Hersteller schreibt auf sein Gerät: “Das ist ein SIL-2-Ventil“, sondern: “Dieses Ventil ist ohne Einschränkungen einsetzbar in Schutzeinrichtungen bis zum Niveau SIL-2“.

So könnte eine Einteilung von Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit in Klassen aussehen

So könnte eine Einteilung von Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit in Klassen aussehen

Die PFD oder PFH ist aber nur eine Seite der Medaille – die andere ist die Hardware-Fehlertoleranz (HFT), also das Vertrauen in die Güte der einzelnen Bauteile. Um der Tatsache Rechnung zu tragen, dass das Schutzsystem nicht nur einfach Unfälle unwahrscheinlicher machen, sondern Risiken reduzieren, also auch das Schadensausmaß begrenzen soll, schreiben beide Normenwelten je nach Anforderungsstufe SIL 1 bis SIL 4 bzw. PL a bis PL e vor, wie viele Sensoren und Aktoren mindestens eingesetzt werden müssen, wie eine evtl. Steuerung beschaffen sein und wie das Gesamtsystem strukturiert werden muss. Viele Hersteller sicherheitsgerichteter Technik bieten Publikationen an, in denen fix und fertige Beispiele für Schutzsysteme aller Anforderungsstufen vorgestellt werden (geschäftstüchtiger Weise natürlich mit den eigenen Produkten).

 

Beispiel: Risiko mit niedriger Anforderungsrate

Betrachten wir das erste Szenario für die kleine Chemieanlage aus Teil 5: Der Füllstand des Reaktors soll mit einer Füllstandsmessung von guter Qualität erfasst und damit der Zulauf von Einsatzstoff-1 auf eine Höchstmenge begrenzt werden.

Als erstes müssen wir wissen: Wie viel Einsatzstoff-1 darf maximal im Reaktor sein, damit er bei einer plötzlichen exothermen Reaktion immer noch eigensicher ist? Das fragen wir die Verfahrenstechniker und nach einer Weile des Rechnens und Köpfe Wiegens sagen sie uns: es dürfen maximal 50 l vorgelegt werden. Anbei geben sie uns noch eine Zeichnung: Es ist ein Behälter mit Klöpperboden, wie er bei uns Standard ist. Diese Situation haben wir sehr häufig: Für die Energie, die bei einem Prozess frei wird, sind die Mengen entscheidend, aber unsere Messgeräte erfassen einen Füllstand in Längeneinheiten.

Skizze des R1000 mit wichtigen Maßen

Skizze des R1000 mit wichtigen Maßen

Solche Zeichnungen haben wir recht häufig. Sie zeigen ein Schema des Reaktors mit den wichtigsten Anschlüssen und ohne Hilfseinrichtungen, wie den Kühlmantel. Einige Maße habe ich farblich herausgehoben, weil sie einer Erklärung bedürfen: Die hellblaue Linie ganz unten markiert den tiefsten Punkt des Reaktors: Die Unterkante des Flansches am Bodenablass. Das ist die Basislinie, auf die sich alles bezieht. Die beiden roten Maße sind die Höhe des Behälterkörpers, bezogen auf die Basislinie und die beiden grünen Linien markieren die Höhe des zylindrischen Teils, bezogen auf die Basislinie. Man sieht deutlich, dass die Behälterkörper aus drei Segmenten besteht: ein 100 mm hoher Klöpperboden unten, ein zylindrischer Teil von 1.000 mm länge und ein 100 mm hoher Klöpperboden oben. Mit diesen Maßen muss man folgendes Wissen:
1. Ein Behälter wird in der Regel nur bis höchstens zur Oberkante des zylindrischen Teils gefüllt.
2. Eine Füllstandsmessung kann in der Regel nur im zylindrischen Teil sauber messen.
Von beiden Regeln gibt es auch Ausnahmen, aber in unserem Fall sollen sie gültig sein. Was bedeutet das für unsere Absicherung?

1 / 2 / 3 / 4

Kommentare (4)

  1. #1 Lercherl
    6. Juni 2018

    Zu “Rohrisiko”:

    [1] Meine Wortwahl. Wenn jemand ein passenderes Wort kennt, immer her damit!

    Ich habe mir gerade die ISO 14971 angeschaut (Risikomanagement für Medizinprodukte). Dort verwenden sie keinen eigenen Begriff dafür sondern sprechen über den ganzen Zyklus nur von “Risiko”, das erst ganz zum Schluss zum “Restrisiko” wird.

    Statt “Rohrisiko” fällt mir nur “Ausgangsrisiko” ein. Aber der Schreibfehler mit “Rohrrisikomatrix” ist auch sehr schön 🙂

    • #2 Oliver Gabath
      11. Juni 2018

      Danke für den Hinweis – aber so schön er auch ist, werd ich ihn doch wohl korrigieren^^

      Ich würde für das ursprüngliche Risiko schon gerne einen eigenen Begriff wählen. Würfelergebnisse in P&P- oder Tabletop-Spielen werden oft natürliche Würfe genannt, wenn der unmodifizierte Wert, den der Würfel nach dem Wurf zeigt gemeint ist. Ausgangsrisiko finde ich nicht schlecht, aber unterm Strich werde ich vorerst wohl beim Rohrrisiko bleiben.

  2. #3 Hobbes
    9. Juni 2018

    Eine schöne Reihe, leider gibt es hier nichts zu diskutieren 🙂

    Auch wenn es etwas OT ist:
    Gibt es eigendlich Datensätze wie sich die Risikofaktoren im Laufe der letzten Jahrzehnte entwickelt haben? Also Zum Beispiel, das Risiko einer Fischvergiftung von 1950 bis jetzt, oder einer chemischen Vergiftung am Arbeitsplatz, eines Autounfalls etc.? Ich finde wohl zu jedem einzelnen Thema etwas aber eine Gesamtauflistung vieler solcher Dinge wäre mal ein interessanter Datensatz. Insbesondere weil ich mich für Trends und Wahrnehmung interessiere.

    • #4 Oliver Gabath
      11. Juni 2018

      Ich freu mich, wenn sie ankommt 🙂

      Gute Frage aber. Ich kann zu dem Thema nichts sagen, weil ich davon zu wenig verstehe. In meiner kleinen Welt der chemischen Industrie schwanken die Anforderungsraten im Jahresmittel stark und es gibt meines Wissens nach noch keine wissenschaftliche Betrachtung zu ihrer Entwicklung. Die Ausfallraten von Geräten und Systemen stimmen aber ziemlich gut mit den Daten überein, die von den Herstellern angegeben werden.