Wenn man die Probabilistische Risiko-Analyse (PRA) ernst nimmt, dann führt das für technische Systeme auf eine einfache Regel: Alles kann versagen. Und in der Tat ist das eine Erkenntnis, die man aus den tatsächlichen Unfällen ziehen kann: Jeder Unfall ist das Ergebnis einer Verkettung unglücklicher Umstände von denen jeder einzelne, wäre er isoliert aufgetreten, völlig beherrschbar gewesen wäre. Die Analyse großer Industrieunfälle zeigt erschreckend oft, dass es ausgereicht hätte, an einer einzigen Stelle mit lächerlich geringem Aufwand einzugreifen, um den gesamten Unfall zu verhindern.
Menschen neigen dazu, vor großen Ereignissen auch große Ursachen zu vermuten, aber was intuitiv so plausibel scheint, ist gar nicht automatisch wahr. 1961 brach ein amerikanischer B-52-Bomber nahe der Stadt Goldsboro in North Carolina außeinander und verlor dabei zwei Wasserstoffbomben. Eine wurde größtenteils intakt an einen Baum lehnend gefunden, die andere zerschellte auf einem Feld. Bei der Untersuchung zeigte sich, dass beide Waffen einige Schritte der Armierungssequenz durchlaufen hatten, aber in beiden Fällen wurde die tatsächliche Explosion durch die Sicherheitseinrichtungen verhindert.
Was lehrt uns das: Ohne mehrere von einander unabhängige Sicherheitseinrichtungen – das ist es, was man Verteidigung in der Tiefe nennt, hätte aus einem tragischen Flugzeugabsturz eine Katastrophe unvorstellbaren Ausmaßes werden können. Und gerettet haben die Menschen damals ganz wenige Glieder in einer langen Kette. Hätten die Bomben eine weniger umständliche Sicherheitstechnik gehabt, wäre die Umgebung in mehr als 10 Kilometern Radius von einer thermonuklearen Explosion von etwa 4 Megatonnen TNT vollständig zerstört worden. Der Fallout einer Bodendetonation dieses Ausmaßes hätte sich an der gesamten Ostküste verteilt. Zu dem ungeheuren menschlichen Leid wären die politischen Auswirkungen gekommen. Die Position der westlichen Welt im Kalten Krieg wäre ins Wanken geraten. Eine Explosion dieses Ausmaßes hätte wirklich historische Veränderungen auf der ganzen Welt ausgelöst. Aus solchen Ereignissen kann man ableiten, dass wir bei der Abwehr von Risiken immer davon ausgehen müssen, dass Teile des Schutzsystems nicht so funktionieren, wie sie sollen. Vernünftige Planer tun gut daran, diesen Punkt nicht zu unterschätzen.
Deswegen überlegen wir uns zunächst, gegen was wir uns, ganz allgemein gesprochen, verteidigen können. Dabei gehen wir zunächst gar nicht auf technische Einzelheiten ein.
Vermeiden, wenn möglich – Beherrschen, wenn nötig
Im dem Sinne, dass Vorbeugen besser als Heilen ist, macht es ganz bestimmt Sinn, unnötige Risiken und unsichere Zustände möglichst zu vermeiden. Wo es es nichts gefährliches gibt, kann auch kein unsicherer Zustand entstehen. Das kann man erreichen, indem man den Prozess so gestaltet, dass aus Gründen der Physik und Chemie einfach nichts passieren kann. Ein chemischer Prozess kann z.B. so gestaltet werden, dass die zur Reaktion gebrachten Volumina so klein bleiben, dass es keine gefährliche Durchgehreaktion geben kann oder ein Druckbehälter so stabil ist, dass er jeder Belastung stand hält. Diesen Zustand nennt man Eigensicherheit.
Oft kann man Risiken nicht ganz vermeiden. In diesem Fall muss man alles tun, sie zu beherrschen. Wenn man schon keine eigensichere Anlage bauen kann, ist die nächstbeste Lösung die Selbstbegrenzung. Ein sich selbst begrenzendes System könnte z.B. ein Druckbehälter mit Sicherheitsventil sein, das bei zu großem Druck öffnet und den Behälter entspannt. Früher ließ man Sicherheitsventile oft in die freie Atmosphäre abblasen, heute ist das nur noch in Ausnahmefällen erlaubt, z.B. wenn der Stoff ungefährlich ist, wie etwa Wasserdampf oder die Mengen zu klein sind, um Schaden anzurichten. Heute führt man den Ausgang von Sicherheitsventilen über Rohrleitungen an einen sicheren Ort, z.B. einen Auffangbehälter oder Abgaswäscher. Wenn wir in einem späteren Artikel mechanische Sicherheitseinrichtungen besprechen, gehe ich auf diesen Punkt noch genauer ein.
Manchmal ist aber auch das nicht möglich. Viele Reaktionen laufen viel zu schnell ab, als dass Sicherheitsventile sie beherrschen könnten. Dann muss man den gefährlichen Zustand erkennen, bevor er sich manifestiert und rechtzeitig Gegenmaßnahmen einleiten. Mit einfachen mechanischen Sicherheitseinrichtungen ist das nur in seltenen Fällen möglich, deswegen schlägt hier die Stunde der elektronischen Sicherheitseinrichtungen aus dem Gebiet der Funktionalen Sicherheit, denen wir auch noch einen eigenen Artikel widmen werden.
Wenn das Risiko sich nicht vermeiden lässt und im Betrieb ein Störfall so schwerwiegend ist, dass er nicht mehr beherrscht werden kann, bleibt nichts anderes übrig, als den Schaden zu begrenzen. Das ist die unangenehmste Aufgabe. Unfälle gefährden oder zerstören Menschenleben und richten dabei vielleicht noch großen materiellen Schaden an. Dann reden wir über ganz andere Probleme, denn dann kommen die Feuerwehr und der Rettungsdienst; wenn es ganz schlimm wird, ruft der Landrat vielleicht sogar die Katastrophe aus. Auch darauf gehen wir in einem späteren Artikel noch näher ein.
Verteidigung in der Tiefe in der Praxis
Wenn wir eine ganz neue Anlage planen, versuchen wir immer, alles eigensicher auszulegen und selbstbegrenzend, wenn Eigensicherheit nicht möglich ist.
Ein wichtiger Punkt ist die Entkopplung der einzelnen Systeme, d.h. die mechanischen und elektrischen Sicherheitseinrichtungen sind voneinander unabhängig und zueinander rückwirkungsfrei. Die elektrischen Einrichtungen sind selbst noch getrennt nach den für den normalen Betrieb notwendigen Kontroll- und Regeleinrichtungen, sowie den sicherheitsgerichteten Systemen, die nur der Beherrschung des Risikos dienen.
Alle Sicherheitseinrichtungen sind diversitär aufgebaut, d.h. wenn für dasselbe Risiko mehrere separate Einrichtungen verwendet werden, funktionieren diese nach unterschiedlichen Prinzipien: Ein Sicherheitsventil zur Druckentlastung und ein elektrisches Ventil, dass den Zulauf zum gleich Behälter schließt oder die Standmessung in einem Behälter, die durch eine analoge Radarmessung und einen binären Vibrationsgrenzwertgeber am Boden gewährleistet, dass er immer mit einer Mindestmenge Flüssigkeit gefüllt ist, sind Beispiele.
Letzteres ist auch gleichzeitig ein Beispiel für Redundanz, also das Vorhandensein mehrerer Systeme für die gleiche Aufgabe. Das ist bei großen Risiken notwendig, da man das Versagen eines einzelnen Systems nicht tolerieren kann. Viele Sicherheitssysteme sind nach dem n-1 Kriterium aufgebaut, das besagt, dass immer ein beliebiges Einzelteil ausfallen kann und die Anlage dennoch abgesichert ist.
Und alle Sicherheitseinrichtungen sind so beschaffen, dass sie, wenn sie tatsächlich ausfallen, möglichst sicher ausfallen. Ferngesteuerte Ventile in einer Chemieanlage werden z.B. häufig pneumatisch gesteuert. Sie haben dazu einen pneumatischen Stellantrieb, der Federn enthält, gegen die die Steuerluft drücken muss, um das Ventil zu bewegen. Bei Ausfall der Steuerluft, die z.B. über ein elektrisches Magnetventil zum Antrieb geleitet wird, drücken die Federn das Ventil automatisch in seine Sicherheitsstellung (je nach Prozessfall AUF oder ZU).
Für Planung, Bau und Inbetriebnahme bedienen wir uns bewährter Lösungen, die von den Experten in Unternehmen und bei benannten Stellen wie dem TÜV entwickelt, von der Technischen Gemeinschaft (in Analogie zur Wissenschaftlichen Gemeinschaft) diskutiert und schließlich zu Normen und Betriebsanweisungen destilliert werden. Nach diesen Methoden werden die Sicherheitssysteme geplant, gebaut, getestet und – nicht unwichtig – im Nachgang plausibilisiert, indem in regelmäßigen Abständen Experten sie konzeptionell überprüfen.
Und dennoch…
…gibt es Unfälle. Bei meinem Arbeitgeber zuletzt Ende 2016 und überall auf der Welt mit einiger Regelmäßigkeit. Sie bleiben nicht aus, weil heute so viele Anlagen überall betrieben werden und es einfach immer dieses irgendwo gibt, wo dann tatsächlich etwas passiert.
Es hat aber auch einen anderen Grund: Wir können uns nur gegen die Risiken verteidigen, die wir kennen und wenn wir etwas nicht berücksichtigen oder schlicht nicht wissen, dann können gefährliche Zustände entstehen. Das ist eines der Kardinalprobleme aller Technik: Was wir kennen, können wir gut beherrschen, aber Neuland muss zunächst erkundet werden und dabei werden wir vielleicht Fehler machen.
Kommentare (1)