Aber was heißt das überhaupt, akzeptables Restrisiko?. Die Antwort auf diese Frage schneit leider nicht vom Himmel – wir müssen sie selber finden. Oder besser: Wir müssen etwas festlegen und daran glauben, dass es sinnvoll ist. Es gibt keine Magie und das Eingreifen eines Deus ex machina ist in der ingenieurwissenschaftlichen Standardliteratur auch verhältnismäßig selten beschrieben worden, also bleibt uns nur der Rückgriff auf unsere Erfahrung, gesunden Menschenverstand, Augenmaß und Handgewicht: Ich sage, akzeptabel ist ein Mal alle 100.000 Jahre. Das ist noch deutlich seltener als das vernünftigerweise auszuschließende Ereignis in der Rohrisikomatrix. Das bedeutet, bei einem Ereignis alle 100 Jahre wie in unserem Beispiel, dass die PFD des Sicherheitssystems höchstens 1/1000 pro Anforderung sein darf – denn:
P2 x PFD = 1/100 a x 1/1000 = 1/100.000 a
Jetzt sind wir schon fast fertig: Es fehlt noch die Berücksichtigung der Schadensausmaß-Klasse D2: Potential für Schwerverletzte und einen Toten: Das fängt man über eine Mindestanforderung an die Architektur des Schutzsystems ab. Im Falle einer nach IEC 61508 ausgelegten Sicherheitseinrichtung entspräche das der Qualität SIL3. Wegen des großen Schadenspotentials würde man sich nicht darauf verlassen, dass eine einzelne Füllstandsmessung zum Erreichen des Schutzziels ausreicht – um die normative Anforderung einer SIL-3-Sicherheitseinrichtung zu erfüllen, werden wir deshalb eine Messeinrichtung bestehend aus 2 Sensoren einbauen müssen, von denen der jeweils ungünstigere für die Grenzwertbildung herangezogen wird. Um wirklich sicher zu gehen, dass der Zulauf von Einsatzstoff-1 wirklich geschlossen wird, werden wir 2 Stellventile in Reihe in die Rohrleitung einbauen, damit selbst bei Versagen eines Ventils das andere noch schließen kann. Außerdem werden wir ein Prüfintervall festlegen und eine Prüfanweisung entwerfen mit der im Laufe der Jahre die korrekte Funktion der Schutzeinrichtung überprüft werden kann und deren Prüftiefe ausreichend ist, eventuell auftretende gefährliche Fehler frühzeitig zu entdecken. Das ganze wird abgerundet durch die täglichen Kontrollgänge, die die Betriebsmannschaft sowieso macht. Ganz zuletzt überprüfen wir uns selbst, indem eine interne benannte Stelle unsere Auslegung und Prüfanweisung prüft und wenn es ganz besonders Risikoreich ist, schalten wir zusätzlich noch eine öffentliche benannte Stelle, z.B. den TÜV Süd ein.
Und mit diesen Maßnahmen haben wir nun tatsächlich das Risiko identifiziert und nachgewiesenermaßen reduziert. Es ist immer noch nicht Null, aber so klein, wie wir es sinnvollerweise machen können.
Eskalierende Maßnahmen
An diesem Beispiel sieht man schon, dass für die Risikoreduktion selten eine einzelne Maßnahme ausreichen ist, sondern meistens ein ganzes Maßnahmenpaket vorgesehen wird. Man kann sich das vorstellen, wie eine Reihe roter Linien. Wird die erste überschritten, wird eine einfache Maßnahme aktiviert – z.B. Alarm ausgelöst. Wird danach eine weitere überschritten, wird eine weitere Maßnahme aktiviert – z.B. eine automatische Schaltung ausgelöst. Und so weiter. Das ist das Konzept der eskalierenden Maßnahmen: Die Anlage wird überwacht und sobald das Schutzsystem merkt, dass sie in einen gefährlichen Zustand geraten könnte, wird gegengesteuert.
Im nächsten Teil dieser Reihe werden wir diesem Punkt Rechnung tragen. Denn indem man die Maßnahmen in einer ganz bestimmten Weise ausgestaltet und auf ein paar wichtige Eigenschaften achtet, wird aus den eskalierenden Maßnahmen die Verteidigung in der Tiefe, eines der ganz wichtigen Sicherheitskonzepte in der Industrie.
[1] Meine Wortwahl. Wenn jemand ein passenderes Wort kennt, immer her damit!
Kommentare (4)