Nachdem wir uns überlegt haben, was Risiko eigentlich ist und aus welchen Szenarien sich welche Risiken für unsere Beispielanlage ergeben, wollen wir eines davon näher betrachten und Maßnahmen entwickeln, das konkrete Risiko auf einen für uns akzeptablen Wert zu senken. Erinnern wir uns an die Definition aus Teil 1:
Risiko ist das Produkt aus Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit
Dieses Risiko entsteht, weil wir z.B. Technik einsetzen, die uns großen Nutzen bringt, aber mit spezifischen Gefahren versehen ist, wie etwa der automobilisierte Individualverkehr auf den Straßen, der Einsatz hochwirksamer Medikamente oder der Betrieb von Chemieanlagen. Genauer gesagt gilt diese Definition für das Rohrisiko[1], das besteht, solange wir keine Maßnahmen zur Risikoreduktion ergreifen. Und genau darum soll es im Folgenden gehen.
Risikoreduktion
In Teil 4 haben wir die die Wichtigkeit einer genauen Abschätzung von Schadensausmaß und Schadenseintritts-Wahrscheinlich besprochen. Dieses Rüstzeug brauchen wir jetzt wieder, denn im Folgenden wollen wir das Rohrisiko, wie es sich in der Risikomatrix bzw. dem Risikographen darstellt, durch geeignete Maßnahmen auf ein akzeptables Restrisiko reduzieren.
Der Begriff Restrisiko ist negativ besetzt, aber ich will ihn gar nicht umgehen oder durch ein anderes Wort ersetzen. Wir sollten sogar, bevor wir zur eigentlichen Tat schreiten, ein bisschen küchenphilosophisch darüber sinnieren. Der Zweck der Risikoreduktion soll sein, das Rohrisiko auf ein akzeptables Restrisiko zu reduzieren, wohlwissend, dass dieses nie Null werden kann. Jedes Gerät kann versagen, jeder Mensch Fehler machen – eine kleine Chance besteht immer, dass etwas schiefgeht und sich ein Unfall ereignet. Das ist ein Aspekt der fundamentalen Unsicherheit, die im Probabilistischen Riskomanagement steckt. Genauer gesagt, ist es eine Eigenschaft der fundamentalen Unsicherheit, die in unserer Welt steckt und die durch das Probabilistische Risikomanagement abgebildet wird. Wie groß oder klein das akzeptable Restrisiko am Ende sein darf, ist eine Entscheidung, die letzten Endes wir alle als Gesellschaft treffen. Indem wir als Wähler unser Kreuz setzen oder als Kunden dieses oder jenes Produkt kaufen, gestalten wir die Rahmenbedingungen der Produktion mit. Langsam zwar, kleinteilig und indirekt – aber immerhin. In Deutschland würde heute niemand eine Anlage genehmigen, bei der große Mengen giftiger Stoffe unkontrolliert in die Atmosphäre abgelassen werden können. Aber bis es so weit war, ist viel Wasser den Rhein runtergeflossen. Es gab eine Zeit, da war es anders: Da gehörten Industrieunfälle halt so dazu und wenn sie in China, Indien oder Südamerika passiert waren, hat sich hierzulande sowieso kaum jemand ernsthaft dafür interessiert. Das ist heute anders. Wir als Gesellschaft sind zwar auch heute noch viel zu uninteressiert an den chronischen Umweltkatastrophen im Nigerdelta, Sibirien oder dem Nordwesten der USA, aber wir sind zumindest sehr viel hellhöriger geworden, was Unfälle betrifft.
Vor wenigen Jahrzehnten hätte niemand sich bei der Planung einer neuen Anlage so intensiv Gedanken über mögliche Risiken gemacht und schon gar nicht, wie man sie einigermaßen quantifizieren kann. Da sind wir heute schon weiter. Aber auch heute gilt, dass niemand uns sagt, welches Risiko genau akzeptabel ist und welches nicht. Die Entscheidung nimmt uns niemand ab. Und so sind die Zahlenwerte, die jetzt gleich folgen, nicht vom Himmel geschneit, sondern Ergebnis einer langen Entwicklung hin zu immer besser abgesicherten Anlagen, hin zu immer kleineren Restrisiken. Sie sind vermutlich nicht Endpunkt, sondern vorläufiger Meilenstein auf einem Weg, der auch in der Zukunft weiter beschritten werden wird. Mag sein, dass sie in 20 Jahren nicht mehr akzeptabel sind – aber heute sind sie gültig. Und nach Wissen und Gewissen die beste Lösung, die wir Techniker zurzeit anbieten können.
Nach diesen einleitenden Worten fangen wir jetzt an. Wir beginnen mit der folgender Definition:
Ein Schutzsystem bzw. eine Sicherheitseinrichtung zeichnet sich dadurch aus, dass sie das anhand eines gegebenen Szenarios abgeschätzte Rohrisiko auf ein akzeptables Restrisiko reduziert
Mit dieser und der allgemeinen Risikodefinition werfen wir einen Blick auf die Risikomatrix bzw. den Risikographen – besonders auf die Risikoklassen. Wir erkennen sofort, dass das Risiko je nach Größe in verschiedene Klassen eingeteilt ist.
Risikomatrix mit Risikoklassen
Risikograph
Unser Ziel ist, das Risiko zu reduzieren, also z.B. aus einem Risiko der Klasse “2 – sehr groß” eines der Klasse “5 – vernachlässigbar” zu machen. Man sieht sofort, dass je nach Rohrisiko-Klasse das Schutzsystem eine bestimmte Güte haben muss, um dieses Ziel zu erreichen. Diese Güte wird, da wir davon ausgehen, dass ein korrekt ausgelegtes Schutzsystem bei Anforderung den gefährlichen Zustand beherrschen kann, bestimmt durch seine Ausfallwahrscheinlichkeit. In der Ausfallwahrscheinlichkeit stecken sowohl zufällige Fehler, z.B. Versagen von Bauteilen als auch systematische Fehler, also z.B. auch ungenügende Auslegung. Schon im ersten Teil der Serie haben wir über Systeme für hohe und niedrige Anforderungsraten gesprochen. Das führt uns auf eine weitere Definition:
Die Güte eines Schutzsystems ist im Fall niedriger Anforderungsrate die Ausfallwahrscheinlichkeit bei Anforderung, im Fall hoher Anforderungsrate die Ausfallwahrscheinlichkeit pro Stunde
Die Ausfallwahrscheinlichkeit bei Anforderung nennt man auf Englisch Probability of Failure on Demand – abgekürzt: PFD. Die Ausfallwahrscheinlichkeit pro Stunde nennt man auf Englisch Probability of Failure per Hour – abgekürzt: PFH. PFD und PFH sind die beiden wichtigsten Kenngrößen für die Güte eines Schutzsystems und eine Standardangabe in allen Risikoabschätzungen. Die IEC 61508 teilt Schutzsysteme je nach Güte in 4 Klassen ein und nennt diese Sicherheits-Integritäts-Stufen oder auf Englisch Safety Integrity Level – abgekürzt: SIL 1 bis SIL 4. Die ISO 13849 kennt 5 Klassen und nennt diese Performance Level – abgekürzt: PL a bis PL e. Für die Praxis ist es wichtig zwischen der Güte des Schutzsystems als Gesamtheit und der Güte der einzelnen Komponenten zu unterscheiden! Kein Hersteller schreibt auf sein Gerät: “Das ist ein SIL-2-Ventil“, sondern: “Dieses Ventil ist ohne Einschränkungen einsetzbar in Schutzeinrichtungen bis zum Niveau SIL-2“.
So könnte eine Einteilung von Schadensausmaß und Schadenseintritts-Wahrscheinlichkeit in Klassen aussehen
Die PFD oder PFH ist aber nur eine Seite der Medaille – die andere ist die Hardware-Fehlertoleranz (HFT), also das Vertrauen in die Güte der einzelnen Bauteile. Um der Tatsache Rechnung zu tragen, dass das Schutzsystem nicht nur einfach Unfälle unwahrscheinlicher machen, sondern Risiken reduzieren, also auch das Schadensausmaß begrenzen soll, schreiben beide Normenwelten je nach Anforderungsstufe SIL 1 bis SIL 4 bzw. PL a bis PL e vor, wie viele Sensoren und Aktoren mindestens eingesetzt werden müssen, wie eine evtl. Steuerung beschaffen sein und wie das Gesamtsystem strukturiert werden muss. Viele Hersteller sicherheitsgerichteter Technik bieten Publikationen an, in denen fix und fertige Beispiele für Schutzsysteme aller Anforderungsstufen vorgestellt werden (geschäftstüchtiger Weise natürlich mit den eigenen Produkten).
Beispiel: Risiko mit niedriger Anforderungsrate
Betrachten wir das erste Szenario für die kleine Chemieanlage aus Teil 5: Der Füllstand des Reaktors soll mit einer Füllstandsmessung von guter Qualität erfasst und damit der Zulauf von Einsatzstoff-1 auf eine Höchstmenge begrenzt werden.
Als erstes müssen wir wissen: Wie viel Einsatzstoff-1 darf maximal im Reaktor sein, damit er bei einer plötzlichen exothermen Reaktion immer noch eigensicher ist? Das fragen wir die Verfahrenstechniker und nach einer Weile des Rechnens und Köpfe Wiegens sagen sie uns: es dürfen maximal 50 l vorgelegt werden. Anbei geben sie uns noch eine Zeichnung: Es ist ein Behälter mit Klöpperboden, wie er bei uns Standard ist. Diese Situation haben wir sehr häufig: Für die Energie, die bei einem Prozess frei wird, sind die Mengen entscheidend, aber unsere Messgeräte erfassen einen Füllstand in Längeneinheiten.
Skizze des R1000 mit wichtigen Maßen
Solche Zeichnungen haben wir recht häufig. Sie zeigen ein Schema des Reaktors mit den wichtigsten Anschlüssen und ohne Hilfseinrichtungen, wie den Kühlmantel. Einige Maße habe ich farblich herausgehoben, weil sie einer Erklärung bedürfen: Die hellblaue Linie ganz unten markiert den tiefsten Punkt des Reaktors: Die Unterkante des Flansches am Bodenablass. Das ist die Basislinie, auf die sich alles bezieht. Die beiden roten Maße sind die Höhe des Behälterkörpers, bezogen auf die Basislinie und die beiden grünen Linien markieren die Höhe des zylindrischen Teils, bezogen auf die Basislinie. Man sieht deutlich, dass die Behälterkörper aus drei Segmenten besteht: ein 100 mm hoher Klöpperboden unten, ein zylindrischer Teil von 1.000 mm länge und ein 100 mm hoher Klöpperboden oben. Mit diesen Maßen muss man folgendes Wissen:
1. Ein Behälter wird in der Regel nur bis höchstens zur Oberkante des zylindrischen Teils gefüllt.
2. Eine Füllstandsmessung kann in der Regel nur im zylindrischen Teil sauber messen.
Von beiden Regeln gibt es auch Ausnahmen, aber in unserem Fall sollen sie gültig sein. Was bedeutet das für unsere Absicherung?
Wir rechnen die Menge von 50 l bei bekannter Betriebsdichte in ein Volumen um und dieses wiederum in einen Füllstand in mm: Für den Klöpperboden gibt es eine Formel nach DIN, der zylindrische Teil ist eine einfache Übung in Geometrie. Am Ende kommt heraus: 50 l entsprechen einer Höhe über dem tiefsten Punkt von 390 mm. Das ist die Grenze des sicheren Betriebs, also jener Prozesswert der im Sinne der Anlagenabsicherung nicht überschritten werden darf.
Jetzt muss man ein bisschen mitdenken: Die Angabe der Grenze des sicheren Betriebs bezog sich auf den tiefsten Punkt des Apparats, denn wir müssen ja das Gesamtvolumen berücksichtigen. Unsere Messung fängt aber erst 220 mm über dem tiefsten Punkt überhaupt an zu messen. Es gibt also ein Residualvolumen, das schon im Behälter ist, noch bevor unsere Messeinrichtung überhaupt etwas anzeigen kann. In der Praxis kommt es tatsächlich hin und wieder vor, dass die Residualvolumina größer sind als die Grenze des sicheren Betriebes erlauben würde und dann wird es wirklich knifflig. Dann schlägt eventuell die Stunde besonderer Messverfahren oder besonders ausgefeilter Schutzsysteme. Für unser Beispiel habe ich alles so festgelegt, dass wir an dieser Stelle keine Probleme bekommen, aber in der Wirklichkeit, wo mit den wirklichen Eigenschaften der Stoffe umgegangen werden muss, bringt einen die Grenze des sicheren Betriebes hin und wieder ins Schwitzen.
Wir müssen jetzt zuerst ermitteln, welchem Teil unseres Messbereichs die Grenze des sicheren Betriebs entspricht. Deswegen ist die violette Linie eingezogen: Sie bezeichnet die Grenze des sicheren Betriebs, bezogen auf den tiefsten Punkt. das waren 390 mm. Wenn wir diese Linie jetzt auf die untere grüne Linie beziehen, haben wir die Grenze des sicheren Betriebs bezogen auf den Messbereichsanfang. Da wir nur im zylindrischen Teil messen und dieser 1.000 mm hoch ist, entsprechen die 170 mm zwischen unterer grüner und violetter Linie genau 17 % unseres Messbereichs. Mit andern Worten: Eine ideale Füllstandsmessung würde bei 17 % die Behälterzuläufe schließen.
Wir müssen also nichts anders tun, als in der Sicherheitssteuerung den Grenzwert auf 17 % einstellen, richtig? Wenn ich so doof frage, vermutlich nicht und in der Tat wäre dieses Vorgehen unter Umständen nicht ausreichend. Denn unsere Messung hat Abweichungen: Die zufälligen Messfehler, die jedes Messgerät hat, zufällige Fehler durch Schwankungen der Betriebsdichte und Qualität von Einsatzstoff-1, Vibrationen, die die Flüssigkeitsoberfläche in Unruhe bringen, Unruhe durch den Befüllvorgang. Und noch einige mehr. Aus allen Fehlern ergibt sich ein Gesamtfehler, den wir berücksichtigen müssen, damit wir wirklich rechtzeitig schalten. Den Grenzwert für unsere Sicherheitsschaltung müssen wir deswegen etwas niedriger legen, z.B. bei 15 %.
Aber damit ist es immer noch nicht getan: Damit die Betriebsmannschaft merkt, dass die Anlage sich auf einen unsicheren Zustand zubewegt macht es Sinn, vor den Schaltgrenzwert einen Alarmgrenzwert zu legen, der nichts schaltet, aber durch optische und akustische Warnmelder auf die Verletzung eines unteren Grenzwertes aufmerksam macht. Wo genau dieser Schaltpunkt liegt, ist eine Frage von Prozessdynamik und Eingriffsmöglichkeiten – in unserem Beispiel legen wir ihn auf 10 %. Selbstredend bedeutet das, dass der normale Betriebspunkt deutlich unter den 10 % liegen muss, z.B. bei 5 %. Das ist ziemlich niedrig, aber mit dem richtigen Anlagendesign gut handhabbar.
Jetzt müssen wir nachweisen, dass unsere Sicherheitseinrichtung das Risiko wirklich im gewünschten Maß reduziert. Dafür machen wir eine PFD-Berechnung. Wir nehmen dazu die Ausfallraten der Messeinrichtung, der Zulaufventile, der Steuerung und aller anderen sicherheitsrelevanten Teile und verrechnen sie zu einer Gesamt-Ausfallwahrscheinlichkeit der ganzen Schutzeinrichtung. Diese Multiplizieren wir mit der Schadenseintritts-Wahrscheinlichkeit, die wir aus dem Risikoszenario erhalten haben: Die Wahrscheinlichkeitsklasse P2 sagte uns ein Ereignis ca. alle 100 Jahre voraus. Durch Multiplikation mit der PFD des Schutzsystems müssen wir nachweisen, dass wir das Rohrisiko auf ein akzeptables Restrisiko reduziert haben.
Aber was heißt das überhaupt, akzeptables Restrisiko?. Die Antwort auf diese Frage schneit leider nicht vom Himmel – wir müssen sie selber finden. Oder besser: Wir müssen etwas festlegen und daran glauben, dass es sinnvoll ist. Es gibt keine Magie und das Eingreifen eines Deus ex machina ist in der ingenieurwissenschaftlichen Standardliteratur auch verhältnismäßig selten beschrieben worden, also bleibt uns nur der Rückgriff auf unsere Erfahrung, gesunden Menschenverstand, Augenmaß und Handgewicht: Ich sage, akzeptabel ist ein Mal alle 100.000 Jahre. Das ist noch deutlich seltener als das vernünftigerweise auszuschließende Ereignis in der Rohrisikomatrix. Das bedeutet, bei einem Ereignis alle 100 Jahre wie in unserem Beispiel, dass die PFD des Sicherheitssystems höchstens 1/1000 pro Anforderung sein darf – denn:
P2 x PFD = 1/100 a x 1/1000 = 1/100.000 a
Jetzt sind wir schon fast fertig: Es fehlt noch die Berücksichtigung der Schadensausmaß-Klasse D2: Potential für Schwerverletzte und einen Toten: Das fängt man über eine Mindestanforderung an die Architektur des Schutzsystems ab. Im Falle einer nach IEC 61508 ausgelegten Sicherheitseinrichtung entspräche das der Qualität SIL3. Wegen des großen Schadenspotentials würde man sich nicht darauf verlassen, dass eine einzelne Füllstandsmessung zum Erreichen des Schutzziels ausreicht – um die normative Anforderung einer SIL-3-Sicherheitseinrichtung zu erfüllen, werden wir deshalb eine Messeinrichtung bestehend aus 2 Sensoren einbauen müssen, von denen der jeweils ungünstigere für die Grenzwertbildung herangezogen wird. Um wirklich sicher zu gehen, dass der Zulauf von Einsatzstoff-1 wirklich geschlossen wird, werden wir 2 Stellventile in Reihe in die Rohrleitung einbauen, damit selbst bei Versagen eines Ventils das andere noch schließen kann. Außerdem werden wir ein Prüfintervall festlegen und eine Prüfanweisung entwerfen mit der im Laufe der Jahre die korrekte Funktion der Schutzeinrichtung überprüft werden kann und deren Prüftiefe ausreichend ist, eventuell auftretende gefährliche Fehler frühzeitig zu entdecken. Das ganze wird abgerundet durch die täglichen Kontrollgänge, die die Betriebsmannschaft sowieso macht. Ganz zuletzt überprüfen wir uns selbst, indem eine interne benannte Stelle unsere Auslegung und Prüfanweisung prüft und wenn es ganz besonders Risikoreich ist, schalten wir zusätzlich noch eine öffentliche benannte Stelle, z.B. den TÜV Süd ein.
Und mit diesen Maßnahmen haben wir nun tatsächlich das Risiko identifiziert und nachgewiesenermaßen reduziert. Es ist immer noch nicht Null, aber so klein, wie wir es sinnvollerweise machen können.
Eskalierende Maßnahmen
An diesem Beispiel sieht man schon, dass für die Risikoreduktion selten eine einzelne Maßnahme ausreichen ist, sondern meistens ein ganzes Maßnahmenpaket vorgesehen wird. Man kann sich das vorstellen, wie eine Reihe roter Linien. Wird die erste überschritten, wird eine einfache Maßnahme aktiviert – z.B. Alarm ausgelöst. Wird danach eine weitere überschritten, wird eine weitere Maßnahme aktiviert – z.B. eine automatische Schaltung ausgelöst. Und so weiter. Das ist das Konzept der eskalierenden Maßnahmen: Die Anlage wird überwacht und sobald das Schutzsystem merkt, dass sie in einen gefährlichen Zustand geraten könnte, wird gegengesteuert.
Im nächsten Teil dieser Reihe werden wir diesem Punkt Rechnung tragen. Denn indem man die Maßnahmen in einer ganz bestimmten Weise ausgestaltet und auf ein paar wichtige Eigenschaften achtet, wird aus den eskalierenden Maßnahmen die Verteidigung in der Tiefe, eines der ganz wichtigen Sicherheitskonzepte in der Industrie.
[1] Meine Wortwahl. Wenn jemand ein passenderes Wort kennt, immer her damit!
Kommentare (4)