Wenn man die Probabilistische Risiko-Analyse (PRA) ernst nimmt, dann führt das für technische Systeme auf eine einfache Regel: Alles kann versagen. Und in der Tat ist das eine Erkenntnis, die man aus den tatsächlichen Unfällen ziehen kann: Jeder Unfall ist das Ergebnis einer Verkettung unglücklicher Umstände von denen jeder einzelne, wäre er isoliert aufgetreten, völlig beherrschbar gewesen wäre. Die Analyse großer Industrieunfälle zeigt erschreckend oft, dass es ausgereicht hätte, an einer einzigen Stelle mit lächerlich geringem Aufwand einzugreifen, um den gesamten Unfall zu verhindern.

Menschen neigen dazu, vor großen Ereignissen auch große Ursachen zu vermuten, aber was intuitiv so plausibel scheint, ist gar nicht automatisch wahr. 1961 brach ein amerikanischer B-52-Bomber nahe der Stadt Goldsboro in North Carolina außeinander und verlor dabei zwei Wasserstoffbomben. Eine wurde größtenteils intakt an einen Baum lehnend gefunden, die andere zerschellte auf einem Feld. Bei der Untersuchung zeigte sich, dass beide Waffen einige Schritte der Armierungssequenz durchlaufen hatten, aber in beiden Fällen wurde die tatsächliche Explosion durch die Sicherheitseinrichtungen verhindert.

Was lehrt uns das: Ohne mehrere von einander unabhängige Sicherheitseinrichtungen – das ist es, was man Verteidigung in der Tiefe nennt, hätte aus einem tragischen Flugzeugabsturz eine Katastrophe unvorstellbaren Ausmaßes werden können. Und gerettet haben die Menschen damals ganz wenige Glieder in einer langen Kette. Hätten die Bomben eine weniger umständliche Sicherheitstechnik gehabt, wäre die Umgebung in mehr als 10 Kilometern Radius von einer thermonuklearen Explosion von etwa 4 Megatonnen TNT vollständig zerstört worden. Der Fallout einer Bodendetonation dieses Ausmaßes hätte sich an der gesamten Ostküste verteilt. Zu dem ungeheuren menschlichen Leid wären die politischen Auswirkungen gekommen. Die Position der westlichen Welt im Kalten Krieg wäre ins Wanken geraten. Eine Explosion dieses Ausmaßes hätte wirklich historische Veränderungen auf der ganzen Welt ausgelöst. Aus solchen Ereignissen kann man ableiten, dass wir bei der Abwehr von Risiken immer davon ausgehen müssen, dass Teile des Schutzsystems nicht so funktionieren, wie sie sollen. Vernünftige Planer tun gut daran, diesen Punkt nicht zu unterschätzen.

Deswegen überlegen wir uns zunächst, gegen was wir uns, ganz allgemein gesprochen, verteidigen können. Dabei gehen wir zunächst gar nicht auf technische Einzelheiten ein.

 

Vermeiden, wenn möglich – Beherrschen, wenn nötig

Im dem Sinne, dass Vorbeugen besser als Heilen ist, macht es ganz bestimmt Sinn, unnötige Risiken und unsichere Zustände möglichst zu vermeiden. Wo es es nichts gefährliches gibt, kann auch kein unsicherer Zustand entstehen. Das kann man erreichen, indem man den Prozess so gestaltet, dass aus Gründen der Physik und Chemie einfach nichts passieren kann. Ein chemischer Prozess kann z.B. so gestaltet werden, dass die zur Reaktion gebrachten Volumina so klein bleiben, dass es keine gefährliche Durchgehreaktion geben kann oder ein Druckbehälter so stabil ist, dass er jeder Belastung stand hält. Diesen Zustand nennt man Eigensicherheit.

Oft kann man Risiken nicht ganz vermeiden. In diesem Fall muss man alles tun, sie zu beherrschen. Wenn man schon keine eigensichere Anlage bauen kann, ist die nächstbeste Lösung die Selbstbegrenzung. Ein sich selbst begrenzendes System könnte z.B. ein Druckbehälter mit Sicherheitsventil sein, das bei zu großem Druck öffnet und den Behälter entspannt. Früher ließ man Sicherheitsventile oft in die freie Atmosphäre abblasen, heute ist das nur noch in Ausnahmefällen erlaubt, z.B. wenn der Stoff ungefährlich ist, wie etwa Wasserdampf oder die Mengen zu klein sind, um Schaden anzurichten. Heute führt man den Ausgang von Sicherheitsventilen über Rohrleitungen an einen sicheren Ort, z.B. einen Auffangbehälter oder Abgaswäscher. Wenn wir in einem späteren Artikel mechanische Sicherheitseinrichtungen besprechen, gehe ich auf diesen Punkt noch genauer ein.

Manchmal ist aber auch das nicht möglich. Viele Reaktionen laufen viel zu schnell ab, als dass Sicherheitsventile sie beherrschen könnten. Dann muss man den gefährlichen Zustand erkennen, bevor er sich manifestiert und rechtzeitig Gegenmaßnahmen einleiten. Mit einfachen mechanischen Sicherheitseinrichtungen ist das nur in seltenen Fällen möglich, deswegen schlägt hier die Stunde der elektronischen Sicherheitseinrichtungen aus dem Gebiet der Funktionalen Sicherheit, denen wir auch noch einen eigenen Artikel widmen werden.

1 / 2 / Auf einer Seite lesen

Kommentare (1)

  1. #1 Joseph Kuhn
    23. Juni 2018

    “Vermeiden, wenn möglich – Beherrschen, wenn nötig” hat im Gesundheitsbereich sein Analogon im Motto “Vorbeugen ist besser als heilen”.

    Es wäre interessant, einmal die präventiven Logiken beim Anlagenbau und im Gesundheitsbereich (bzw. ausgewählten Bereichen daraus) anhand zentraler Merkmale zu vergleichen.