Wann immer sich ein Unfall ereignet, wird die Frage laut, warum das Schutzsystem nicht darauf ausgelegt war, die spezielle Kinematik dieses Einzelfalls zu beherrschen. Oft ist der Ruf berechtigt, denn immer noch werden viele veraltete Anlagen und Maschinen betrieben, sind Gebäude nicht mit modernen Schutzeinrichtungen ausgerüstet und wurden Altlasten nicht behoben. Ebenso oft ist die Antwort aber nicht so klar, weil die Nebenbedingungen zu beachten sind, die moderne Technik mit sich bringt.
Je mehr Technik irgendwo eingesetzt wird, desto größer ist die Chance, dass ein beliebiges Einzelteil kaputt geht oder versagt. Das ist nicht nur teuer, sondern bindet auch Ressourcen, indem Menschen mit der Reparatur beschäftigt werden. Wie man gerne erzählt, hat sich Charles Lindbergh bei der Konstruktion der Spirit of St. Louis bewusst gegen mehrere kleine und für einen einzelnen großen, nachgewiesenermaßen sehr zuverlässigen Motor entschieden.
Angenommen, das Auto wäre so sicher konzipiert, dass es jedes nur denkbare Unfallgeschehen des Straßenverkehrs mit nur sehr geringer Gefahr schwerer Verletzung der Insassen beherrschen würde. Es müsste dazu mit einer sehr stabilen Fahrgastzelle, einem geeigneten Gurtsystem und enormen Knautschzonen ausgerüstet sein. Das schlimmste Szenario, an das ich spontan denken kann ist der versetzte Frontalaufprall eines vollbeladenen LKW gegen einen PKW bei jeweiliger Maximalgeschwindigkeit. Üblicherweise ein Ereignis, nach dem vom PKW nicht mehr viel übrig ist. Um diesen Fall abzusichern, müssten beide Fahrzeuge ausreichende Knautschzonen haben – die Autoklasse Kleinwagen wäre damit Geschichte – und der PKW zusätzlich durch technische Maßnahmen so gestaltet sein, dass er beim Aufprall nicht vom LKW überrollt werden kann bzw. dieses Überrollen die Fahrgastzelle nicht zu stark beschädigt. Ich bin kein Autobauer, aber eingedenk der üblichen Crashtestszenarien für versetzten Frontalaufprall bei 65 km/h vermute ich, dass ein für den schwersten Unfall ausgelegtes Auto Abmessungen hätte, die kaum praxistauglich sind.
Es gibt aber auch noch sehr menschliche Gründe: Wir Menschen leben davon, Dinge einsortieren zu können. Das führt manchmal dazu, dass wir einander vorschnell in Schubladen stecken, hilft uns aber mit den vielen Eindrücken, Tatsachen, Meinungen und Entscheidungen, die wir tagtäglich zu meistern haben überhaupt einigermaßen klar kommen, weil wir sie zumindest subjektiv nach Wichtigkeit kategorisieren zu können glauben. Der Versuch, alles gleich wichtig zu nehmen und mit gleicher Priorität zu behandeln geht in der Regel nach kurzer Zeit schief, weil wir gar nicht die notwendigen Ressourcen an Zeit und Geld dafür haben. Davon ganz zu schweigen, dass wir immer einiges einfach vergessen oder übersehen.
Damit das etwas klar wird, ein Beispiel aus der Prozessindustrie: Angenommen die Anlage hat 1.000 Messtellen und 500 Ventile, die in Abhängigkeit von verschiedenen Prozessparametern geschaltet werden. Bei dieser Menge kann es vorsichtig geschätzt 1.000 wenn-dann-Beziehungen im Sinne von Wenn die Temperatur T im Behälter B über 100 °C steigt, schließe das Ventil V und damit die Dampfzufuhr zum Heizmantel von B ansetzen, die im Leitsystem der Anlage realisiert sind.
Wer glaubt, dass ein einzelner Mensch da die Übersicht behalten kann, wenn er alle EMSR-Stellen gleich wichtig nimmt?
Sicherheitsgerichtete Technik muss sorgfältig und regelmäßig geprüft und gewartet werden. Der Dokumentationsaufwand ist enorm, dazu kommen notwendige Abstimmungen mit dem Betreiber, externen Prüfstellen, Bereitstellung von Prüfmaterial, etc. Und wenn – überspitzt ausgedrückt – irgendwo ein Komma falsch sitzt, kann die zuständige Behörde die Betriebsgenehmigung entziehen; sprich: den Laden dicht machen. Das alles, während die Anlage produzieren soll und gewartet oder auch mal umgebaut wird. Außerdem sind die Schutzsysteme, die es gibt auch in sich kompliziert, insbesondere wenn man in das Gebiet der Funktionalen Sicherheit einsteigt. Wer glaubt, dass zehn Menschen da die Übersicht behalten können?
In so einer Situation, wo das Wissen zwangsweise auf viele Köpfe verteilt sein muss, ist es schwierig bis unmöglich, alles im Fokus zu behalten. Das kann dazu führen, dass die wirklich wichtigen Messtellen, die wirklich kritischen Schaltungen und die wirklich risikoreichen Szenarien untergehen. Wir haben ja keine Außenwahrnehmung auf die Welt, können uns dem Ding an sich im Kant’schen Sinn nur nähern, aber nie sicher sein, es ganz erfasst zu haben. Wenn wir nicht zumindest mit gut überprüften und plausiblen Methoden versuchen, das wirklich wichtige vom “nur” wichtigen zu scheiden, verzetteln wir uns leicht und verlieren völlig den Überblick.
Das kann dazu führen, dass das Schutzsystem nicht ausreichend stark ausgelegt wird und deswegen viel öfter gefährliche Zustände nicht beherrschen werden können. Aber auch das andere Exterem ist gefährlich, weil ein zu konservativ ausgelegtes Schutzsystem oft falschen Alarm geben und so mit der Zeit die Aufmerksamkeit der Bediener dämpfen wird. Das birgt die sehr reale Gefahr, dass die Menschen die damit arbeiten sich an sicherheitsgerichtete Alarme gewöhnen und irgendwann die wirklich kritische Situation übersehen.
Es ist daher gar nicht automatisch richtig, zu versuchen, das Schutzsystem immer so auszulegen, dass es alle nur denkbaren Szenarien beherrscht, weil dieser Versuch an sich schon eine Menge Risiken erzeugt. Es ist auch gar nicht automatisch sinnvoll, dass Schutzsystem so auszulegen, dass es ein bestimmtes, lokales größtes Risiko beherrscht, wenn das bedeutet, dass das globale Risiko dadurch erhöht wird: z.B. den Sicherheitsgurt so auszulegen, dass er die Verletzungen des schwersten Unfalls zwar beherrscht, aber die Rettung des Menschen so verkompliziert, dass er bei einer Reihe an sich weniger schlimmer Unfälle stirbt, bevor er aus dem Autowrack befreit werden kann.
Das Schutzsystem hat Nebenwirkungen, derer man sich bewusst sein sollte. Und unser Umgang damit sowieso.
Kommentare (1)