Wenn das Risiko sich nicht vermeiden lässt und im Betrieb ein Störfall so schwerwiegend ist, dass er nicht mehr beherrscht werden kann, bleibt nichts anderes übrig, als den Schaden zu begrenzen. Das ist die unangenehmste Aufgabe. Unfälle gefährden oder zerstören Menschenleben und richten dabei vielleicht noch großen materiellen Schaden an. Dann reden wir über ganz andere Probleme, denn dann kommen die Feuerwehr und der Rettungsdienst; wenn es ganz schlimm wird, ruft der Landrat vielleicht sogar die Katastrophe aus. Auch darauf gehen wir in einem späteren Artikel noch näher ein.
Verteidigung in der Tiefe in der Praxis
Wenn wir eine ganz neue Anlage planen, versuchen wir immer, alles eigensicher auszulegen und selbstbegrenzend, wenn Eigensicherheit nicht möglich ist.
Ein wichtiger Punkt ist die Entkopplung der einzelnen Systeme, d.h. die mechanischen und elektrischen Sicherheitseinrichtungen sind voneinander unabhängig und zueinander rückwirkungsfrei. Die elektrischen Einrichtungen sind selbst noch getrennt nach den für den normalen Betrieb notwendigen Kontroll- und Regeleinrichtungen, sowie den sicherheitsgerichteten Systemen, die nur der Beherrschung des Risikos dienen.
Alle Sicherheitseinrichtungen sind diversitär aufgebaut, d.h. wenn für dasselbe Risiko mehrere separate Einrichtungen verwendet werden, funktionieren diese nach unterschiedlichen Prinzipien: Ein Sicherheitsventil zur Druckentlastung und ein elektrisches Ventil, dass den Zulauf zum gleich Behälter schließt oder die Standmessung in einem Behälter, die durch eine analoge Radarmessung und einen binären Vibrationsgrenzwertgeber am Boden gewährleistet, dass er immer mit einer Mindestmenge Flüssigkeit gefüllt ist, sind Beispiele.
Letzteres ist auch gleichzeitig ein Beispiel für Redundanz, also das Vorhandensein mehrerer Systeme für die gleiche Aufgabe. Das ist bei großen Risiken notwendig, da man das Versagen eines einzelnen Systems nicht tolerieren kann. Viele Sicherheitssysteme sind nach dem n-1 Kriterium aufgebaut, das besagt, dass immer ein beliebiges Einzelteil ausfallen kann und die Anlage dennoch abgesichert ist.
Und alle Sicherheitseinrichtungen sind so beschaffen, dass sie, wenn sie tatsächlich ausfallen, möglichst sicher ausfallen. Ferngesteuerte Ventile in einer Chemieanlage werden z.B. häufig pneumatisch gesteuert. Sie haben dazu einen pneumatischen Stellantrieb, der Federn enthält, gegen die die Steuerluft drücken muss, um das Ventil zu bewegen. Bei Ausfall der Steuerluft, die z.B. über ein elektrisches Magnetventil zum Antrieb geleitet wird, drücken die Federn das Ventil automatisch in seine Sicherheitsstellung (je nach Prozessfall AUF oder ZU).
Für Planung, Bau und Inbetriebnahme bedienen wir uns bewährter Lösungen, die von den Experten in Unternehmen und bei benannten Stellen wie dem TÜV entwickelt, von der Technischen Gemeinschaft (in Analogie zur Wissenschaftlichen Gemeinschaft) diskutiert und schließlich zu Normen und Betriebsanweisungen destilliert werden. Nach diesen Methoden werden die Sicherheitssysteme geplant, gebaut, getestet und – nicht unwichtig – im Nachgang plausibilisiert, indem in regelmäßigen Abständen Experten sie konzeptionell überprüfen.
Und dennoch…
…gibt es Unfälle. Bei meinem Arbeitgeber zuletzt Ende 2016 und überall auf der Welt mit einiger Regelmäßigkeit. Sie bleiben nicht aus, weil heute so viele Anlagen überall betrieben werden und es einfach immer dieses irgendwo gibt, wo dann tatsächlich etwas passiert.
Es hat aber auch einen anderen Grund: Wir können uns nur gegen die Risiken verteidigen, die wir kennen und wenn wir etwas nicht berücksichtigen oder schlicht nicht wissen, dann können gefährliche Zustände entstehen. Das ist eines der Kardinalprobleme aller Technik: Was wir kennen, können wir gut beherrschen, aber Neuland muss zunächst erkundet werden und dabei werden wir vielleicht Fehler machen.
Kommentare (1)