Das Unwahrscheinliche hat die manchmal unschöne Eigenschaft, nicht unmöglich zu sein und so ereignen sich immer wieder Unfälle, obwohl die Wahrscheinlichkeit dafür sehr klein war. Das ist leider, auch wenn es vielleicht zunächst kontraintuitiv ist, eine Bestätigung des Probabilistischen Risikomanagements: Zufällige Ausfälle technischer Systeme ereignen sich tatsächlich ungefähr mit der Rate (die tatsächlichen Systeme sind geringfügig besser als die Theorie), die von den Risikoreduktionsverfahren erwartet wird und die Restrisiken realisieren sich tatsächlich ungefähr in dem Maß, wie es die Zahlen nahe legen. Das ist eine Ausprägung der Tatsache, dass es absolute Sicherheit nicht geben kann und gleichzeitig ein starkes Zeichen dafür, dass unsere Beschreibung des Risikos sinnvoll ist.
Deshalb ist es wichtig, die beiden Fälle zu betrachten, mit denen das Schutzsystem abseits des Regelbetriebs konfrontiert werden kann: Dem Störfall, den es gerade noch beherrschen kann und dem Unfall, der seine Auslegung überschreitet.
Ich gebe zu, dass diese Begriffe ein Stück weit willkürlich sind und nicht von allen Autoren so verwendet werden. Außerdem kommt in unserer Alltagssprache das Wort Störfall seltenr vor als Unfall, obwohl tatsächlich Störfälle im Sinne obiger Definition viel häufiger sind.
Der Auslegungsstörfall
Die schwersten Störfälle, die gerade so noch beherrschbar sind, bezeichne ich in Anlehnung an einen Begriff aus der Kerntechnik als Auslegungsstörfälle. Sie wurden bei der Planung berücksichtigt und das Schutzsystem ist darauf ausgelegt, sie zu beherrschen. In der chemischen Industrie sind Auslegungsstörfälle typischerweise verbunden mit der Gefahr von Durchgehreaktionen, die durch eigensichere bzw. selbstbegrenzende Auslegung der Anlage oder Methoden der Funktionalen Sicherheit beherrscht werden sollen. Typischerweise gibt es für jede Anlage viele Auslegungsstörfälle.
Ein Beispiel wäre z.B. die falsche Dosierung von Einsatzstoffen. Z.B. bei der Dosierung eines Reaktionsstarters in einen Behälter, in dem vorher eine gewisse Menge Reaktionsmasse vorgelegt wurde (Das erste Szenario aus Teil 5). Kommen die beiden Stoffe in Kontakt, gibt es eine exotherme Reaktion, die das gewünschte Produkt erzeugt. Wenn nun die Dosierung für die Reaktionsmasse fehlerhaft ist und zu viel Masse vorgelegt wird, könnte die Reaktion, die ja zu Druck- und Temperaturanstieg führt, möglichweise den Behälter beschädigen oder zerstören.
Wenn der Behälter eigensicher ausgelegt ist, dann bedeutet das, dass er der Gewalt jeder möglichen Reaktion widerstehen kann, weil er z.B. sehr massiv gebaut wurde. Ist er dagegen selbstbegrenzend ausgelegt, dann gibt es mechanische Sicherheitseinrichtungen wie Berstscheibe, Sicherheitsventil oder Not-Wärmesenke, die die Reaktionsenergie an einen sicheren Ort abführen. Ist beides nicht machbar, wird er funktional abgesichert, d.h. ein rechnergestütztes Schutzsystem erfasst z.B. Druck, Temperatur und Füllstand, um beim Überschreiten eines Parameters die Befüllung zu stoppen und den Reaktor zu entspannen. Für was man sich auch entscheidet: Kennzeichnend ist die Eigenschaft des Schutzsystems, den Störfall sicher zu beherrschen.
Das Wort Störfall leitet sich ja von Stören ab. Gestört werden ist zwar unschön, in der Regel aber verkraftbar. Ganz anders sieht es aus, wenn das Ereignis so groß wird, dass es mit einer Störung nicht mehr getan ist.
Der Auslegungsüberschreitende Fall
Wenn ein Ereignis so viel Schaden anrichtet, dass das Schutzsystem es nicht mehr beherrschen kann, dann hat es dessen Auslegung überschritten und ist damit kein Störfall mehr, sondern ein Unfall. Sicher kann man sich über die genaue Wortwahl streiten, aber es ist nicht ungewöhnlich, dass der Auslegungsstörfall als Störfall und der auslegungsüberschreitende Fall als Unfall bezeichnet wird. Dadurch will man deutlich machen, dass jetzt etwas grundsätzlich anders ist. Der Störfall ist das beherrschbare, der Unfall das unbeherrschbare Ereignis.
Jedes technische System ist für bestimmte Betriebsparameter entwickelt, aber schon bei der Auslegung werden in gewisser Höhe Reserven eingeplant. Wenn ein Apparatebauer etwa den Auftrag erhält, einen Druckbehälter für eine Temperatur von 200 °C und 10 bar Überdruck zu bauen, dann wird er in seinen internen Berechnungen schon einen Sicherheitsfaktor von 1,25 oder 1,5 in den Kalkül ziehen, der Apparat wird also in Wirklichkeit für mindestens 250 °C und 12,5 bar Überdruck ausgelegt sein. Aber ist diese Wirkliche Auslegung auch das, was der Apparat de facto, sozusagen wirklich wirklich aushält? Wird er bei 12,6 bar platzen und bei 226 °C schmelzen? Vermutlich nicht. De facto hält er vielleicht auch 2, 3 oder 10 Mal so viel aus, wie auf dem Typenschild steht – aber das kann man nicht mehr wissen, das müsste man vermuten. Auf so dünnes Eis wird sich niemand schnell begeben wollen.
Wenn wir technische Systeme betrachten und evaluieren, dann halten wir uns deswegen an die Angaben auf den Typenschildern – wohl wissend, dass die Apparate und Maschinen mehr aushalten – weil wir uns gegen kleinere Fehler und nicht bedachte Ereignisse absichern wollen. Die Überlastbarkeit eines technischen Systems ist unsere Angstprämie und wird deswegen im Normalfall nicht ausgenutzt. Damit ein Ereignis nicht nur die Auslegung überschreitet, sondern tatsächlich zum Schadensereignis wird, muss deswegen schon etwas ganz Außergewöhnliches – ein schweres, singuläres Ereignis wie eine Naturkatastrophe oder die berühmte Verkettung unglücklicher Ursachen – zum Tragen kommen.
Der Auslegungsüberschreitende Fall wird meistens durch etwas herbeigeführt, was sich technisch hätte beherrschen lassen, wäre rechtzeitig in die Unfallkette eingegriffen worden. Das kann daran liegen, dass es sich um eine alte Anlage handelt, bei deren Bau noch keine so strengen Regeln befolgt wurden und die man einfach nicht besser absichern kann; es kann aber auch menschliches Handeln der Grund dafür sein, einerseits durch bewusste Umgehung von Sicherheitsvorschriften, andererseits durch Fehlbedienung. Die Ursache kann aber auch, wie beim Nuklearunfall von Fukushima, eine ungenügende Auslegung der Anlage gegen eine bestimmte Naturkatastrophe sein.
In 1961 wurden bei einem Raketentest in der Sowjetunion über 100 Menschen getötet. Die Ursache war letzten Endes eine Fehlbedienung durch einen übermüdeten oder gestressten Techniker in einer durch Druck und Angst gekennzeichneten Atmosphäre. Eine Filmaufnahme der Ereignisse hat überlebt und zeigt eindrucksvoll welche Auswirkungen kleine Handlungen haben können, wenn eine Ereigniskette durch sie angeworfen wird.
In 1979 kam es im amerikanischen Kernkraftwerk Three Mile Island in Harrisburg zu einer außergewöhnlichen Verkettung unglücklicher Umstände von denen jeder für sich hätte mit ganz einfachen Mitteln beherrscht werden können. Insbesondere wurden viele gefährliche Zustände, z.B. geschlossene oder fehlerhaft offene Ventile nicht bemerkt, weil es keine Rückmeldeeinrichtungen gab und die Bediener über die wahre Gefahr gar nicht informiert waren. Das Ereignis konnte rechtzeitig beherrscht werden, aber erst in letzter Minute und nachdem wirtschaftlicher Totalschaden am Reaktor schon angerichtet war und er zeigte zwei Dinge: Schwere Störfälle können prinzipiell beherrscht werden und selbst ohne offensichtlichen Anlass kann es aus dem Regelbetrieb heraus durch ein paar Fehler, die sich ungünstig verketten, zum Störfall oder gar zum Unfall kommen (Man kann lange Streiten, in welche Kategorie sich TMI einsortieren lässt).
In 1986 wurde ein sowjetisches Kernkraftwerk zu lange in einem unzulässigen Bereich betrieben, wurden Sicherheitssysteme außer Kraft gesetzt und trotz dessen ein Test vorbereitet, der bei dieser Kraftwerksklasse eigentlich zum Standardprogramm gehörte, wegen der besonderen Umstände aber nicht hätte durchgeführt werden dürfen und im Nachgang zu einer beispiellosen Katastrophe wurde: Ein Konstruktionsmerkmal, das im Normalbetrieb für bessere Regelbarkeit des Reaktors sorgte – Graphitspitzen der Steuerstäbe – führte wegen des besonderen Zustands des Reaktors (längere Betriebsphase bei zu niedriger Leistung und infolge dessen sehr instabiler Betrieb durch Vergiftung des Reaktors mit Neutronenabsorbern) nicht zur Schnellabschaltung, sondern geradewegs zur Leistungsexkursion. Die Erbauer des Reaktors waren sich dieser Tatsache bewusst und schrieben deswegen in der Betriebsanweisung vor, dass bestimmte Zustände nicht zulässig sind, aber nicht warum und aus verschiedenen Gründen kamen sie an jenem 26. April 1986 doch zusammen. Die Katastrophe von Tschernobyl zeigt eindrucksvoll das Zusammenspiel von Konstruktionsmängeln in Verbindung mit menschlichem Handeln, das am Ende dazu führt, dass die Auslegung der Anlage überschritten wird.
In 1984 ereignte sich im indischen Bophal der schlimmste Chemieunfall. Durch Fehlbedienung oder Sabotage gelangte Wasser in einem Tank mit Methylisocyanat (MIC). Durch die folgende Reaktion stieg der Druck im Behälter, Sicherheitsventile sprachen an und rund 40 Tonnen MIC wurden in die Atmosphäre abgeblasen. Die Sicherheitseinrichtungen der Fabrik waren ungenügend, die organisatorischen Maßnahmen kopflos, Notfallpläne nicht vorhanden. Mindestens 3.800 Menschen verloren ihr leben, zehntausende wurden schwer letzt, die ganze Region leidet bis heute unter dem Unfall. In den Streit um die Ursachen möchte ich mich nicht hineinmischen, weil er nur die Art und Weise betrifft, wie Wasser in den Tank gelangen konnte. Ob Sabotage oder Unfall – in beiden Fällen hätte die Katastrophe verhindert werden müssen, denn das Eindringen von Wasser in einen Behälter mit einem Stoff, der bei Kontakt mit Wasser heftig reagiert, sollte in jedem Fall ein Teil der Risikobetrachtung sein und die Maßnahmen ausreichend, den Fall zu beherrschen.
In 2011 bebte im Pazifischen Ozean nahe der Küste Japans die Erde und löste einen gewaltigen Tsunami aus, der weitere Landstriche verwüstete und vermutlich über 20.000 Menschen das Leben kostete. Durch ungenügende Auslegung der Hochwasserschutzmauer und eine Ungünstige Anordnung der Notstromaggregate wurde durch den Tsunami die Nuklearkatastrophe von Fukushima ausgelöst, die der Naturkatastrophe mit ihrer gewaltigen Zerstörungskraft auch noch die menschliche Katastrophe der Evakuierung und weitgehenden wirtschaftlichen Stillegung einer ganzen Region hinzufügte (Von den weiteren Aspekten gar nicht zu reden. Dieses Fass ist für jetzt und hier aber zu groß und soll ein andermal aufgemacht werden).
Das sind alles Beispiele für Auslegungsüberschreitende Fälle. Sie gründeten in Naturkatastrophen, menschlichem Handeln oder technischem Versagen oder einer Kombination aus beidem. Menschliches Handeln teilte sich noch auf in Kontruktionsmängel bzw. schlecht umgesetzte Betriebsanweisungen und Fehlbedienungen bzw. Umgehen von Sicherheitsbestimmungen. In den meisten Fällen spielte alles irgdwie zusammen. Zufällige Ausfälle von Geräten, z.B. durch ungenügende Wartung, spielen zwar manchmal auch mit hinein, sind aber nie die entscheidende Ursache. Es sind krasse Beispiele die zeigen sollen, warum es so wichtig ist, Anlagensicherheit und Risikomanagement ernst zu nehmen.
Neben den körperlichen und dinglichen Schäden schlagen Unfälle im industriellen Umfeld aber auch seelische Wunden. Der Unfall vom 17. Oktober 2016 ging mir damals sehr nahe, weil 14 Tage später ein früherer Kollege von mir im Krankenhaus seinen Verletzungen erlegen war. Das hat mich damals ganz schön mitgenommen. Und dabei war ich ja eigentlich gar nicht involviert – ich bin kein Feuerwehrmann, war damals noch nicht beim Roten Kreuz, hatte die Unfallstelle nur von weitem gesehen und mit Christoph seit mehr als zehn Jahren keinen Kontakt mehr. Wie muss es da seiner Frau ergangen sein, seinem Vater oder den Angehörigen der anderen Opfer und den Überlebenden. Jeder, der sich im weitesten Sinne im Katastrophenschutz oder Rettungsdienst engagiert wird im Laufe seiner Karriere mindestens zu einem Einsatz gerufen werden, den er oder sie danach ein Leben lang nicht vergisst. Ich kann mir nicht vorstellen, dass jemand, der am 17. Oktober 2016 im Landeshafen Nord vor Ort war, diesen Tag jemals vergessen kann.
Deswegen nehme ich das Thema Risiko sehr ernst. Das vermeidet Unfälle. Es lohnt sich, Unfälle zu vermeiden.
Der Super-Gau
Zum Abschluss noch ein Wort vom Rande: Speziell in der Kerntechnik nannte man den Auslegungsstörfall früher auch den GAU oder Größten Anzunehmenden Unfall. Das Schlüsselwort hier ist anzunehmenden, denn in der Tat ist der GAU nicht das Schlimmste, was der Anlage passieren, sondern “nur” das Schlimmste, was die Anlage beherrschen kann. Ja, Super-Gau ist in diesem Sinne ein richtiger Begiff und genau der richtige Ausdruck für die Katastrophen von Tschernobyl und Fukushima, denn gegenüber dem Störfall/Unfall von Three Mile Island konnten diese Unfälle weder von den Anlagenfahrern noch von den Schutzsystemen (gilt nur für Fukushima – Außer Kraft setzen des Schutzsystems in Tschernobyl war gerade ein Grund, warum ein Standardtest zu einer nie dagewesenen Katastrophe werden konnte) beherrscht werden und sind nicht auf dem Werksgelände geblieben. Sie haben das Leben von jeweils über Hunderttausend Menschen völlig auf den Kopf gestellt und große Landstriche zwar nicht akut gefährlich, aber unbrauchbar für andauernde menschliche Besiedelung gemacht. Sie sind eben über die Auslegung der Anlagen hinaus gegangen und haben damit das Ausmaß des Störfalls den man früher GAU nannte, bei weitem überschritten. Die Vorsilbe super in ihrer ursprünglichen lateinischen Bedeutung sagt auch genau das, nämlich das etwas über den Gegenstand hinaus geht. Aber das nur nebenbei.
Kommentare (5)