Das Unwahrscheinliche hat die manchmal unschöne Eigenschaft, nicht unmöglich zu sein und so ereignen sich immer wieder Unfälle, obwohl die Wahrscheinlichkeit dafür sehr klein war. Das ist leider, auch wenn es vielleicht zunächst kontraintuitiv ist, eine Bestätigung des Probabilistischen Risikomanagements: Zufällige Ausfälle technischer Systeme ereignen sich tatsächlich ungefähr mit der Rate (die tatsächlichen Systeme sind geringfügig besser als die Theorie), die von den Risikoreduktionsverfahren erwartet wird und die Restrisiken realisieren sich tatsächlich ungefähr in dem Maß, wie es die Zahlen nahe legen. Das ist eine Ausprägung der Tatsache, dass es absolute Sicherheit nicht geben kann und gleichzeitig ein starkes Zeichen dafür, dass unsere Beschreibung des Risikos sinnvoll ist.
Deshalb ist es wichtig, die beiden Fälle zu betrachten, mit denen das Schutzsystem abseits des Regelbetriebs konfrontiert werden kann: Dem Störfall, den es gerade noch beherrschen kann und dem Unfall, der seine Auslegung überschreitet.
Ich gebe zu, dass diese Begriffe ein Stück weit willkürlich sind und nicht von allen Autoren so verwendet werden. Außerdem kommt in unserer Alltagssprache das Wort Störfall seltenr vor als Unfall, obwohl tatsächlich Störfälle im Sinne obiger Definition viel häufiger sind.
Der Auslegungsstörfall
Die schwersten Störfälle, die gerade so noch beherrschbar sind, bezeichne ich in Anlehnung an einen Begriff aus der Kerntechnik als Auslegungsstörfälle. Sie wurden bei der Planung berücksichtigt und das Schutzsystem ist darauf ausgelegt, sie zu beherrschen. In der chemischen Industrie sind Auslegungsstörfälle typischerweise verbunden mit der Gefahr von Durchgehreaktionen, die durch eigensichere bzw. selbstbegrenzende Auslegung der Anlage oder Methoden der Funktionalen Sicherheit beherrscht werden sollen. Typischerweise gibt es für jede Anlage viele Auslegungsstörfälle.
Ein Beispiel wäre z.B. die falsche Dosierung von Einsatzstoffen. Z.B. bei der Dosierung eines Reaktionsstarters in einen Behälter, in dem vorher eine gewisse Menge Reaktionsmasse vorgelegt wurde (Das erste Szenario aus Teil 5). Kommen die beiden Stoffe in Kontakt, gibt es eine exotherme Reaktion, die das gewünschte Produkt erzeugt. Wenn nun die Dosierung für die Reaktionsmasse fehlerhaft ist und zu viel Masse vorgelegt wird, könnte die Reaktion, die ja zu Druck- und Temperaturanstieg führt, möglichweise den Behälter beschädigen oder zerstören.
Wenn der Behälter eigensicher ausgelegt ist, dann bedeutet das, dass er der Gewalt jeder möglichen Reaktion widerstehen kann, weil er z.B. sehr massiv gebaut wurde. Ist er dagegen selbstbegrenzend ausgelegt, dann gibt es mechanische Sicherheitseinrichtungen wie Berstscheibe, Sicherheitsventil oder Not-Wärmesenke, die die Reaktionsenergie an einen sicheren Ort abführen. Ist beides nicht machbar, wird er funktional abgesichert, d.h. ein rechnergestütztes Schutzsystem erfasst z.B. Druck, Temperatur und Füllstand, um beim Überschreiten eines Parameters die Befüllung zu stoppen und den Reaktor zu entspannen. Für was man sich auch entscheidet: Kennzeichnend ist die Eigenschaft des Schutzsystems, den Störfall sicher zu beherrschen.
Das Wort Störfall leitet sich ja von Stören ab. Gestört werden ist zwar unschön, in der Regel aber verkraftbar. Ganz anders sieht es aus, wenn das Ereignis so groß wird, dass es mit einer Störung nicht mehr getan ist.
Der Auslegungsüberschreitende Fall
Wenn ein Ereignis so viel Schaden anrichtet, dass das Schutzsystem es nicht mehr beherrschen kann, dann hat es dessen Auslegung überschritten und ist damit kein Störfall mehr, sondern ein Unfall. Sicher kann man sich über die genaue Wortwahl streiten, aber es ist nicht ungewöhnlich, dass der Auslegungsstörfall als Störfall und der auslegungsüberschreitende Fall als Unfall bezeichnet wird. Dadurch will man deutlich machen, dass jetzt etwas grundsätzlich anders ist. Der Störfall ist das beherrschbare, der Unfall das unbeherrschbare Ereignis.
Jedes technische System ist für bestimmte Betriebsparameter entwickelt, aber schon bei der Auslegung werden in gewisser Höhe Reserven eingeplant. Wenn ein Apparatebauer etwa den Auftrag erhält, einen Druckbehälter für eine Temperatur von 200 °C und 10 bar Überdruck zu bauen, dann wird er in seinen internen Berechnungen schon einen Sicherheitsfaktor von 1,25 oder 1,5 in den Kalkül ziehen, der Apparat wird also in Wirklichkeit für mindestens 250 °C und 12,5 bar Überdruck ausgelegt sein. Aber ist diese Wirkliche Auslegung auch das, was der Apparat de facto, sozusagen wirklich wirklich aushält? Wird er bei 12,6 bar platzen und bei 226 °C schmelzen? Vermutlich nicht. De facto hält er vielleicht auch 2, 3 oder 10 Mal so viel aus, wie auf dem Typenschild steht – aber das kann man nicht mehr wissen, das müsste man vermuten. Auf so dünnes Eis wird sich niemand schnell begeben wollen.
Kommentare (5)