Risikoreduktion durch Organisatorische Maßnahmen
Risikobewusstes Handeln beginnt in den Köpfen von Menschen. Wir bemühen uns zwar, durch bessere Technik die Unsicherheiten des Faktors Mensch so gut wie möglich aufzufangen, aber ein großer und wichtiger Unfallvermeider bleiben hellwache Menschen, die ihr eigenes Handeln möglichst sicher gestalten. Dass es ausreicht darauf zu bauen, dass Menschen keine Unfälle erleiden wollen oder mutwillig verursachen würden, um Unfälle zu vermeiden ist ein so naheliegender wie falscher Gedanke. Die erste Prämisse ist wohl richtig: Kaum jemand macht sich gerne weh – auch Masochisten hauen sich bei der Arbeit nicht gern den Hammer auf den Daumen. Falsch wäre es zu glauben, dass das reicht. Das tut es nicht. Menschen sind keine Maschinen, sie können nicht alles im Blick haben, stehen oft unter Stress, besonderes dann, wenn sie mit gefährlichen Situationen konfrontiert werden und umso mehr, wenn diese Situationen unerwartet und neu sind. Kurz: Menschen, auch wenn sie sich noch so bemühen, machen Fehler. Deswegen ist es so wichtig, in einem Unternehmen eine Kultur zu fördern, die sicheres Handeln zur obersten Direktive macht. Das ist oft nervig, scheint oft unnötig und nicht selten fühlen sich die Leute nicht ganz ernst genommen. Mein Arbeitergeber heißt hierzulande unter anderem auch Fa. Handlauf Benutzen, weil an jeder Treppe in verschiedenen Höhen ein Schild oder Aufkleber mit diesem Gebot angebracht ist. Das mag man lächerlich finden, aber eingedenk der Tatsache, dass sich auf Treppen ein enormer Teil der Arbeitsunfälle ereignet, kann ich mir schon vorstellen, dass durch diese Maßnahme bei mehreren 10.000 Personen, die täglich Treppen benutzen, übers Jahr einige Unfälle vermieden werden.
Durch das eigene Handeln wird aber nicht nur die eigene Sicherheit gefördert, sondern ganz oft auch die der Anlage in der man arbeitet. Ist zum Beispiel ein bestimmtes Risiko relativ klein, kann man es vielleicht schon damit ausreichend reduzieren, dass man in der Risikobetrachtung regelmäßige Kontrollgänge vorschreibt, bei denen der unsichere Zustand wahrscheinlich auffällt. Vielleicht ist es aber auch so groß, dass die regelmäßigen Kontrollen das erste Glied in einer ganzen Maßnahmenkette sind – im Sinne des eskalierenden Maßnahmenkonzeptes im Rahmen der Verteidigung in der Tiefe. Das können so einfache Sachen sein, wie der explizite Hinweis, auf Ordnung und Sauberkeit zu achten. Ja, das hört sich schon ein bisschen lächerlich an, aber die Erfahrung lehrt, dass eine Industrieanlage auch nur ein Hobbykeller ist, wenn es darum geht, irgendwelches Zeugs, das man später vielleicht noch braucht, aber jetzt grade nicht, zwischenzulagern. Es kann auch der explizite Hinweis sein, bei jedem Rundgang ein bestimmtes Manometer zu beobachten. Auch in den modernsten Industrieanlagen kann man noch nicht alles in Echtzeit in die Leitwarte übetragen – Sensoren, Leitsysteme und Rechner brauchen Zeit für die Signalverarbeitung und Peaks gehen schnell verloren. Für Betrieb und Sicherheit einer Anlage kann es aber einen Unterschied machen, ob der Zeiger ruhig bleibt oder zuckt. Im Regelbetrieb macht eine Anlage andere Geräusche als bei einer Störung. Erfahrene Anlagenfahrer entwickeln mit der Zeit einen sechsten Sinn für ihre Maschinen, sie erkennen anhand der Vibration, der Geräusche und evtl. der Gerüche, ob alles gut ist oder nicht. Noch weiss keiner, wie solche Sinne mit Messgeräten und verfeinerten Algorithmen abzubilden sind. Der Traum von der vollautomatisierten Fabrik wird auch in der Industrie 4.0 in solchen Fällen schnell an seine Grenzen stoßen.
Was z.B. Arbeitsunfälle mit Maschinen in der Industrie angeht kann man auch viel diskutieren – insbesondere, was alles nicht gemeldet wird, weil die es auch in den Augen der Betroffenen Bagatellen sind. Oder was nicht gemeldet wird, weil die Handwerker Angst um ihre Jobs haben (traurig, aber wahr). Und aus Hundert anderen Gründen. Aber auch wenn man das alles in den Kalkül zieht, bleibt die Erfahrungstatsache, dass schwere Verletzungen und Todesfälle – also das, was sich auch beim besten willen nicht unter den Teppich kehren lässt und üblicherweise als Loss of Time Incident (LTI) bezeichnet wird – in anderen Ländern sehr viel seltener passieren als in Deutschland. Obwohl es vielerorten keine hervorragend ausgebildeten Handwerker gibt, liegen z.B. die US-amerikanischen Unfallraten an Maschinen teilweise deutlich unter den deutschen. Ein Hauptgrund der immer wieder dafür genannt wird ist die breite Verwendung von Checklisten.
Ursprünglich aus der Fliegerei kommend haben Checklisten mittlerweile eine enorme Verbreitung in der ganzen Industrie erfahren und an vielen Stellen hat sich tatsächlich gezeigt, dass sie Unfälle vermeiden. Das liegt nicht daran, dass die Leute zu blöd wären, ihre Arbeit zu machen, sondern dass sie als sterbliche Menschen auch einfach mal was vergessen oder übersehen, nur kurz abgelenkt sind oder generell keinen guten Tag haben. Die Checkliste ist oft einfach die simple Erinnerungsstütze, die dem Arbeiter sagt: “Hey, hast Du daran gedacht?” und oft genug sagt der dann zu sich selbst: “Ah, stimmt! Muss ich noch machen!“. Checklisten sind auch in ganz anderen Zusammenhängen von enormer Wichtigkeit – nämlich im Sanitäts- und Rettungsdienst. Da gibt es jede Menge Schemata – ABCDE, SAMPLER, OPQRST, usw. – nach denen ein Betroffener untersucht wird. Mit dem Hintergrund, nichts zu vergessen, nach Wichtigkeit vorzugehen und bei der Übergabe an andere Kollegen dieselbe Sprache zu sprechen. Algorithmisches Vorgehen hat im Ernstfall außerdem eine beruhigende Wirkung auf alle Beteiligten.
Checklisten sind implizit auch die Grundlage der Betriebsanweisungen, mit denen das Verhalten der Mitarbeiter und der korrekte Betrieb der Anlage beschrieben wird. Die Betriebsanweisung gibt den Bedienern ein Regelwerk an die Hand, an das sie sich halten müssen. Gute Betriebsanweisungen enthalten nicht jeden einzelnen Schritt – sie beschreiben eher was das Ziel einer Tätigkeit ist und auf was man achten muss – wie der Bediener dies Ziel erreicht ist ihm in Grenzen selbst überlassen. Gute Betriebsanweisungen nennen die wichtigsten Schritte explizit und beschreiben Tätigkeiten ausreichend, aber nicht übertrieben präzise. In der Betriebsanweisung einer Bohrmaschine wird z.B. stehen: “Bei der Arbeit an der Bohrmaschine ist ein Haarnetz und ggf. ein Bartschutz zu tragen.” Da wird eher nicht stehen: “Sind die Haare des Bedieners länger als 5 cm? JA: Haarnetz tragen. NEIN: kein Haarnetz tragen. Hat der Bediener einen Bart? NEIN: Keinen Bartschutz tragen. JA: Ist der Bart länger als 2 cm? NEIN: Keinen Bartschutz tragen. JA: Bartschutz tragen“. Nicht nur kommen sich die Leute dabei vor wie kleine Kinder, sie verlieren auch das Wesentliche aus den Augen: Risikobewusstes Verhalten zu verinnerlichen. Eine gute Betriebsanweisung hilft den Bedienern dabei, eine schlechte erzieht sie zum Gegenteil. Das ist natürlich eine Gratwanderung, der man sich beim Schreiben der Betriebsanweisung bewusst sein sollte. An manchen Maschinen habe ich schon Aufkleber gesehen, auf denen steht: Diese Maschine hat kein Gehirn. Benutz Dein eigenes!. Das trifft wirklich den Nagel auf den Kopf.
Das Zauberwort für gute Betriebsanweisungen ist Best Practice – eigentlich nur ein sexier Ausdrück für Erfahrung. Die stringente Analyse von Unfällen und das daraus entstandene Risikomanagement wurden ungefähr ab den frühen 1970er Jahren entwickelt und seitdem haben wir enorme Erfahrungen gemacht. Die vielleicht Wichtigste ist, dass auch Experten zu viele Fehler machen, wenn sie sich allein auf ihr Gedächtnis und persönliche Erfahrungen verlassen. Die Essenz von Best Practices ist dabei nicht eigentlich, den wirklich besten Weg zu finden – man kann sich eh nie sicher sein, dass es nicht noch besser ginge – sondern einen aufzuzeigen, der in jedem Fall mit minimalem Risiko zum Ziel führt. Best Practices sind keine Gesetze, aber allein ihr Vorhandensein führt in den meisten Fällen dazu, dass sich der Anwender Gedanken macht, wenn er von ihnen abweichen will – und dabei oft feststellt, dass sie doch gar nicht so verkehrt sind. Mir geht’s zumindest hin und wieder so.
Risikoreduktion durch mechanische Sicherheitseinrichtungen
Sind organisatorische Maßnahmen nicht ausreichend oder nicht praktikabel umzusetzen, wird man versuchen, Anlagen und Maschinen durch mechanische Schutzeinrichtungen abzusichern. Mechanische Schutzeinrichtungen zeichnen sich dadurch aus, dass sie einfache physikalische Prinzipien nutzen, um ein ganz einfaches Schutzziel zu erreichen.
Betrachten wir unsere Anlage aus Teil 5 und das dritte Szenario: Zu hoher Druck im Reaktor R1000 . Dieses Risiko glauben wir, durch Einbau eines Sicherheitsventils und entsprechende Auslegung der Rohrleitungen in den Griff zu bekommen. Wären wir uns unsicher, ob das Ventil den Anforderungen gewachsen ist, z.B. weil durch Ablagerungen aus dem Abgas seine Funktion gefährdet werden könnte, würden wir vielleicht stattdessen eine Berstscheibe einbauen: Dadurch würde das Schutzziel ebenfalls erreicht und die Ausfallwahrscheinlichkeit wäre gleich deutlich kleiner. Dafür verlieren wir den Vorteil des Sicherheitsventils, bei unterschreiten des gefährlichen Druckes wieder selbsttätig zu schließen. Eine gebrochene Berstscheibe ist ein Loch. Weitere Maßnahmen sind also bereits impliziert.
Wichtig ist in beiden Fällen, dass wir durch das Vorhandensein eines Sicherheitsventils ein weiteres Risiko generiert haben: Nämlich Abgas abzublasen. In der Vergangenheit gab es zwei Unfälle – der eine schlimm, der andere eine Katastrophe – die sich nur ereigneten, weil die Sicherheitsventile der Anlagen nicht an einen sicheren Ort – eine Abgasfackel, ein Auffangbehälter, ein Abgaswäscher, etc. – sondern in die freie Atmosphäre abbließen. So etwas wäre heute, von Wasserdampf oder kleinsten Mengen Chemikalien vielleicht mal abgesehen, untragbar.
Das Sicherheitsventil muss groß genug sein, den Druck sicher zu entspannen. Wie immer gibt es Hundert kleine Details, auf die man achten muss: Wie genau lässt sich der Ansprechdruck einstellen? Wann schließt das Ventil wieder? Wie groß müssen die Rohrleitungen sein? Welches zusätzliche Gewicht muss das Apparategerüst dadurch tragen? Wie wirkt sich das Ansprechen des Ventils und die geänderte Gewichtsverteilung auf die Statik von Rohren und Gebäude aus, wenn die zunächst leeren Leitungen plötzlich voll durchströmt werden (es gibt ja auch Sicherheitsventile für Flüssigkeiten)? Und so weiter.
In einem anderen Artikel habe ich kurz angerissen, wie man eine Dampfturbine ausschaltet und dabei auch die mechanische Sicherheitseinrichtung der Dampfturbine erwähnt: Den Fliehkraft-Bolzen. Dieses Teil sitzt auf der Welle der Turbine und ist mit einem hydraulischen Schnellschluss-Auslöser verbunden. Wenn die Turbine mit ihrer Bemessungsdrehzahl läuft, wird der Bolzen durch die Fliehkraft nach außen gedrückt; eine Feder wirkt dieser Bewegung entgegen. Die Feder ist so bemessen, dass bei Überschreiten einer bestimmten Drehzahl der Bolzen eine Mechanik betätigt, die über das Hydrauliksystem der Turbine die Frischdampfzufuhr stoppt und die Maschine damit ausschaltet. Schutzsysteme mit Fliehkraftbolzen arbeiten äußerst zuverlässig und sehr schnell. Sie sind völlig geeignet, die Turbine in den sicheren Zustand zu überführen, aber in der Regel ist diese Art des Ausschaltens mit großen Belastungen für das Material verbunden, nur grob einstellbar und umständlich zu testen. Sie ist deswegen die wirklich letzte Verteidigungslinie vor dem gefürchteten Turbine Overspeed Failure. Deswegen wirkt auf moderne Dampfturbinen zuerst eine funktionale Sicherheitseinrichtung, wie wir sie im nächsten Artikel besprechen werden.
Mechanische Schutzeinrichtungen sind aber nicht zwingend immer dazu da, irgendetwas auszuschalten – in vielen Fällen verhindern sie schon, dass eine Maschine eingeschaltet wird. Das kann so etwas simpel sein, wie unser berühmtes Schutzgitter an der Presse, die erst eingeschaltet werden kann, wenn das Gitter völlig geschlossen ist. So etwas kann vollmechanisch aufgebaut werden, z.B. kann das Einrasten des Gitters in seine geschlossene Endlage eine Sperrklinke betätigen, die vorher die Betägigung des EIN-Schalters blockierte. Und mit Schalter meine ich jetzt nicht nur den Knopf auf den man drückt, sondern das eigentliche Schaltelement für die Energiezufuhr, das in Form eines Leistungsschützes irgendwo im Schaltkasten der Presse sitzt.
Ein ähnliches Ziel, wenn es um die Zugangsbeschränkung zu bestimmten Räumen, Maschinen oder Anlagenteilen geht, kann man auch mit einem Schlüsseltransfersystem erreichen. So ein System besteht aus einem Panel im sicheren Bereich, z.B. der Leitwarte, das sicherheitsgerichtet auf die Maschine oder Anlage wirkt. Wenn ein Arbeiter den gefährlichen Bereich betreten muss, nimmt er den Schlüssel aus dem Panel am sicheren Ort, geht damit zu Maschine und steckt ihn in ein zweites Panel am Eingang zum gefährlichen Ort. Durch die Entnahme des Schlüssels aus dem Panel am sicheren Ort wird eine Schaltung ausgelöst, die das Einschalten aller gefährlichen Anlagenteile und Maschinen verhindert und durch das Einsetzen am gefährlichen Ort, wird das bestätigt und kenntlich gemacht, das jetzt tatsächlich jemand in der Anlage arbeitet. Damit niemand ihn von dort unbefugt entwedet, sichert er ihn mit einem zweiten, persönlichen Schlüssel. So kann er die Maschine oder Anlage gefahrlos betreten. Beim Verlassen nimmt er den Schlüssel wieder mit und steckt ihn an seinen Platz im Panel am sicheren Ort zurück. Nur wenn dort alle Schlüssel stecken, wird die Maschine oder Anlage freigegeben. Wer mal das Vergnügen hat, das CERN oder ein anderes Forschungszentrum mit einem großen Beschleuniger zu besuchen, sollte die Augen offen halten: Schlüsseltransfersysteme gibt’s da ziemlich oft. Meistens in Form länglicher, rot-gelber Kästen.
Wenn das alles nicht hilft, z.B. weil man komplexere Sicherheitsschaltungen aufbauen muss oder eine Anlage für verschiedene Prozesse mit ganz unterschiedlichen Szenarien auslegen muss, schlägt meine Stunde und die, meiner Kollegen: Dann müssen wir die Risiken mit Methoden der Funktionalen Sicherheit reduzieren. Und dat machen wir dann nächstes Mal.
Kommentare (1)