Die Fehler an der Wurzel packen

Aus der Prüfpraxis
Funktionale Sicherheit bei Schutzeinrichtungen und Kontrollsystemen
Die Fehler an der Wurzel packen
Von Johann Ströbl
Maschinen und Anlagen müssen sicher sein und stets zuverlässig funktionieren – über ihren gesamten Lebenszyklus hinweg. Wie
kann dieses Ziel auch bei komplexen Projekten erreicht, wie kann die Sicherheit jederzeit gewährleistet werden? Die Praxis zeigt,
dass sicherheitsrelevante Fehler meist im Detail stecken und erst im Betrieb offensichtlich werden können. Systematische Gefährdungsbeurteilungen und Risikoanalysen sind deshalb notwendig, um Schwachstellen zu identifizieren und Fehler zu erkennen –
nicht nur, aber vor allem während der Planungsphase.
E
in Fallbeispiel: Ein gefährlicher Fehler in der Prozess-
und Absperrhähne korrekt angesteuert und elektrisch bedient
anlage eines Unternehmens blieb lange unbemerkt,
wurden. Die Mitarbeiter konnten nicht wissen, dass bei dem
obwohl die Anlage schon einige Zeit im regulären Be-
Steuerungsbefehl „Armatur schließen“ die gewünschte Reak-
trieb lief. Auffälligkeiten zeigte die Prozessleittechnik nicht an,
tion ausblieb, die Armatur ihre Soll-Funktion gar nicht erfüllen
alle Schutzeinrichtungen und Kontrollsysteme funktionierten
konnte.
offensichtlich einwandfrei. Auch die Stellglieder und Absperrarmaturen der Anlage konnten problemlos angesteuert, geöffnet und geschlossen werden, um so die Durchflussraten
der Betriebsmedien zu regulieren. Doch der Schein trog. Die
Annahme, die Anlage laufe fehlerfrei, sollte sich bei einer Stillstands-Revision als Irrtum mit Folgen herausstellen.
Tatsächlich war die Klappe einer Armatur, die den Durchfluss
eines aggressiven Mediums regeln und zugleich als Schutzeinrichtung im Gefahrenfall absperren sollte, binnen kurzer Zeit
der Korrosion zum Opfer gefallen. Das Material der Klappe, die
im geschlossenen Zustand eine dichte Barriere in der Rohrleitung bilden sollte, war nicht für den Kontakt mit dem Medium geeignet und hatte sich im laufenden Betrieb regelrecht
aufgelöst. Wie bei einem undichten Wasserhahn konnte die
Chemikalie das Leck in größeren Mengen passieren. Das Personal in der Leitwarte war darüber nicht im Bilde, denn die Prozessleittechnik verarbeitete die Daten aus der Rückmeldung
der Armatur-Antriebe. Sie zeigte lediglich an, dass alle Schieber
Anlagensicherheits-Report 2015
Konkreter Auslöser vs. Letzte Ursache
Bei Stör- und Unfällen wird zwischen dem konkreten Auslöser einer Störung und der primären Fehlerquelle (der
sog. letzten Ursache) unterschieden. Das bedeutet: Die riskante Situation wird zwar meist durch die konkreten (Betriebs-)Bedingungen zum Ereigniszeitpunkt ausgelöst. Die
Rahmenbedingungen sorgen jedoch lediglich dafür, dass
der ursächliche Fehler offen zu Tage tritt, seine Wirkung
entfalten und eine Ereigniskette in Gang setzen kann. Beispiel Explosion: Auslöser ist ein explosives Stoffgemisch,
das unter den gegebenen Rahmenbedingungen zündet.
Die letzte Ursache für den Störfall ist jedoch – das Beispiel
von oben aufgegriffen – ein Bauteil, das für die Anwendung nicht geeignet ist und deshalb ermöglicht, dass ein
explosives Stoffgemisch entstehen kann.
33
Aus der Prüfpraxis
Die Folgen eines Systemfehlers
Unternehmens zurückgegriffen? Wieso ist bei der Prüfung zur
Inbetriebnahme nicht aufgefallen, dass ein gravierender Fehler
Hätte diese Klappe in einem anderen Kontext etwa die Anfor-
im Rohrleitungssystem steckt?
derung einer Schutzfunktion gehabt, so hätte dieser Fehler
schwerwiegende, gar katastrophale Folgen haben können. Un-
Auslöser versus primäre Fehlerquelle
bemerkt hätten auf diese Weise explosive Gemische oder gesundheitsgefährliche Stoffe entstehen können, die möglicher-
Diese Fragen zeigen, dass es in jedem einzelnen Projektschritt
weise einen Störfall verursacht hätten – mit weitreichenden
vielfältige Schwachstellen geben kann, die anfällig für syste-
Konsequenzen.
matische Fehler sind. Das britische Amt für Gesundheit und
Sicherheit hat das vor einigen Jahren genauer untersucht und
Im oben genannten Beispiel führte der Fehler in erster Linie
die primären Fehlerquellen von Stör- und Unfällen im soge-
zu einem erheblichen wirtschaftlichen Schaden, weil die Pro-
nannten Sicherheitslebenszyklus identifiziert.1 Ergebnis: In
dukteigenschaften und die Unbedenklichkeit der produzierten
rund zwei Dritteln aller untersuchten Fälle konnte die letzte
Chargen zweifelhaft waren. Das erzeugte Produkt konnte nicht
Ursache (siehe Infokasten S. 33) auf den Zeitraum vor dem re-
verkauft werden und musste stattdessen mit erheblichen Kos-
gulären Betrieb zurückgeführt werden, nahezu die Hälfte allein
ten entsorgt werden. Zudem hatte die notwendige Rückrufak-
auf eine mangelhafte Spezifikation. Lediglich bei rund einem
tion bei Abnehmern und Kunden zu einem Imageschaden und
Drittel aller Fälle waren Fehler ausschlaggebend, die sich erst
einer sinkenden Nachfrage geführt. Außerdem stand die Pro-
im laufenden Betrieb, bei Wartung und Instandhaltung oder
duktion längere Zeit still, weil die komplette Anlage überprüft
bei der Modifikation von bestehenden Maschinen und Anlagen
und der Fehler mit großem Zeit- und Kostenaufwand behoben
ergeben haben (siehe Bild 1).
werden musste. Zusätzliche Kosten verursachte nicht zuletzt
auch das Gerichtsverfahren zur Klärung der Schuldfrage.
Wo liegt die "letzte Ursache" eines Fehlers?
Die juristischen Aspekte dieses Vorfalls einmal außer Acht ge20%
lassen, zeigt das Beispiel, wie komplex die technische Sachlage
Spezifikation
rund um den sicheren Betrieb einer Prozessanlage oder einer
44%
komplexen Maschine sein kann: Wäre der Fehler mit zusätzlichen Sensoren entdeckt worden, welche die Durchflussra-
Installation & Inbetriebnahme
15%
Betrieb, Wartung &
Instandhaltung
te und den Medienstrom überwachen und die Daten an die
Leitwarte übermitteln? Wäre der technische und logistische
Mehraufwand vertretbar gewesen? Warum wurde eine Kom-
Design & Implementierung
Veränderungen nach
Inbetriebnahme
6%
15%
ponente verwendet, die für die Betriebsbedingungen nicht geeignet war? Waren die Anforderungen, Betriebsbedingungen
nen Phasen des Sicherheitslebenszyklus. Den Phasen sind die Fehler
und Spezifikationen nicht klar und eindeutig formuliert oder
zugeordnet, die für Unfälle bzw. Störfälle ursächlich waren. Deren
wurden bei der Planung wichtige Normen und Regelwerke
Häufigkeitsanteil ist in % angegeben. Blau gefärbt sind die Projektab-
übersehen? Hat der Hersteller möglicherweise, abweichend
von den Vorgaben, ein anderes Bauteil geliefert oder wurde
bei der Errichtung auf alte, unbrauchbare Lagerbestände des
34
Bild 1: Das Kreisdiagramm zeigt im Uhrzeigersinn die verschiede-
schnitte, die im Zeitraum vor der Inbetriebnahme liegen (insgesamt
65 Prozent), rot gefärbt sind die Abschnitte nach der Inbetriebnahme
(verändert nach Health and Safety Executive: Out of control – Why
control systems go wrong and how to prevent failure, 2. Aufl. 2003)
TÜ Bd. 56 (2015)
Aus der Prüfpraxis
Risiken antizipiert, die erst beim Rückbau – also viele Jahre spä-
SicherheitsLebenszyklus
ter – relevant werden.
In der Praxis stellt sich die Situation indes häufig anders dar,
denn Spezifikationen, Lastenhefte, Zeichnungen, Konstrukti-
Spezifikation
onspläne und die Pläne für die Kontrollsysteme und Schutzeinrichtungen werden beispielsweise nur selten von unabhän-
Planung &
Implementierung
gigen Experten im Sinne des Vier-Augen-Prinzips kontrolliert
Installation &
Inbetriebnahme
sicherheitsrelevante Fehler frühzeitig zu erkennen und zu ver-
(Stichwort „Design Review“). Das wird zwar in der relevanten Norm, der DIN EN 61511-1, ausdrücklich empfohlen, um
meiden. Normativ gefordert ist jedoch lediglich die Prüfung
vor Inbetriebnahme. Das bedeutet: Viele Anlagen und Maschi-
Betrieb & Wartung
nen kommen erst zu einem verhältnismäßig späten Zeitpunkt
innerhalb des Sicherheitslebenszyklus auf den Prüfstand –
nämlich erst nach der Errichtung, wenn technische Tatsachen
Änderung nach
Inbetriebnahme
Außerbetriebnahme
bereits geschaffen sind.
Inbetriebnahme: Prüfung von vollendeten
Tatsachen?
Die Zahlen aus der britischen Studie zeigen: Wird das Projekt
Bild 2: Die einzelnen Phasen im Sicherheitslebenszyklus einer Prozess-
erst in dieser Phase von unabhängigen Dritten überprüft,
anlage oder Maschine (verändert nach DIN EN 61511-1). Die Norm
dann ist die Wahrscheinlichkeit für systematische, bereits
empfiehlt, nach jedem einzelnen Schritt zu prüfen, ob sich neue Ge-
„eingebaute“ Fehler verhältnismäßig hoch. Selbst erfahrene
fährdungen und Risiken ergeben bzw. vorhandene Gefährdungen und
Experten können bei einer komplexen, fertig installierten An-
Risiken verändern. Gesetzlich vorgeschrieben ist in Deutschland indes
lediglich die „Prüfung vor Inbetriebnahme“, bei der eine Zugelassene
Überwachungsstelle (ZÜS) eingebunden werden muss.
lage kaum auf Fehlerquellen schließen, wenn die vorherigen
Prozessschritte im Sicherheitslebenszyklus nicht sorgfältig
geplant, durchgeführt, dokumentiert und auf sicherheitsrelevante Schwachstellen geprüft wurden. Das gilt umso mehr,
Die Untersuchung orientiert sich an den Phasen des Si-
als bereits eingebaute Komponenten zum Großteil nicht mehr
cherheitslebenszyklus, wie er auch in der relevanten Norm
zugänglich sind.
DIN EN 61511-1 beschrieben wird (siehe Bild 2). Diese Be2
trachtungsweise umfasst den vollständigen Lebenszyklus
Auf den ersten Blick scheint der Mehraufwand oft nicht wirt-
einer Anlage oder Maschine unter sicherheitsrelevanten
schaftlich vertretbar und nicht gerechtfertigt zu sein, bei Spe-
Aspekten – von den ersten Skizzen bei der Planung über die
zifikation, Planung, Implementierung, Installation und Inbe-
Errichtung und Inbetriebnahme bis hin zum Rückbau. Im
triebnahme unabhängige Experten einzubinden. Schließlich
Idealfall werden also schon bei der Planung Gefährdungen und
beanspruchen die Revisionen und mögliche Korrekturen Zeit,
Anlagensicherheits-Report 2015
35
Aus der Prüfpraxis
Personal, Ressourcen und sie verursachen zusätzliche Kosten.
Betriebsbedingungen. Somit ist die Wahrscheinlichkeit für
Doch das oben genannte Beispiel zeigt, dass sich die Sorgfalt
systematische Fehler zu Beginn des Sicherheitslebenszyklus
zu Beginn der Projekte langfristig auszahlt – der Fehler im
besonders hoch.
Rohrleitungssystem und der daraus resultierende wirtschaftliche Schaden mit Imageverlust hätte mit einfachsten Maßnah-
Der rechnerische Nachweis zum sogenannten „Safety Integra-
men im Designprozess beseitigt werden können. Dieser Aspekt
tion Level“ (dt.: Sicherheits-Integritätslevel, kurz: SIL-Nachweis)
wurde in der Studie vom britischen Amt für Sicherheit und Ge-
ist dafür ein gutes Beispiel. Er ist schon bei der Planung ent-
sundheit ebenfalls untersucht. Das Ergebnis: In allen analy-
scheidend für die funktionale Sicherheit der Prozessleittech-
sierten Fällen überstiegen die Folgekosten um ein Vielfaches
nik, für die Auswahl und das Design von Schutzfunktionen und
die Fehlervermeidungskosten (d. h. was es gekostet hätte, die
Kontrollsystemen. Doch in der Praxis wirft der SIL-Nachweis
Pläne zu prüfen, den Fehler zu entdecken und zu beseitigen).
häufig Fragen auf.
Darüber hinaus gibt es weitere Gründe, die in diesen Projekt-
Die Normen und Regelwerke unterscheiden vier Stufen bzw.
phasen für das Vier-Augen-Prinzip sprechen. Sie resultieren
Kategorien, nach denen ein Schutzsystem hinsichtlich Integ-
aus der hohen Innovations- und Entwicklungsdynamik der An-
rität, Zuverlässigkeit und Ausfallwahrscheinlichkeit beurteilt
lagen- und Maschinentechnik, beispielsweise bei Werkstoffen,
wird (SIL 1: Zuverlässigkeit gering; SIL 4: Zuverlässigkeit sehr
Prozessen, Komponenten, Sensoren, Bauteilen der Steuerungs-
hoch). Welche Kategorie bei der Planung zugrunde gelegt wer-
und Kommunikationselektronik sowie Schutzeinrichtungen
den muss, richtet sich nach der Höhe des Risikos, das mit der
und Kontrollsystemen. Insbesondere der Wandel ins digitale
Gefährdung verbunden ist.
Zeitalter vollzieht sich derzeit rasant. Die Entwicklung von
Hard- und Software steuert konsequent Richtung „Industrie
4.0“ und „Smart Production“ – Begriffe, die nicht weniger be-
Risiko = Schadensausmaß x Eintrittswahrscheinlichkeit
schreiben als eine weitere industrielle Revolution.
Das Risiko berücksichtigt im Wesentlichen die Parameter Ein-
Normen-Dschungel: Vier Augen sehen
mehr als zwei
trittswahrscheinlichkeit und Schadensausmaß, sodass das
SIL-Level das Maß der Risikoreduzierung bezeichnet. Bei einem
geringen Risiko (Eintrittswahrscheinlichkeit und Schadens-
Das bedeutet: Der Stand der Technik, formuliert in Normen
ausmaß gering) genügt beispielsweise ein Schutzkreis der Ka-
und Regelwerken, kann jederzeit nur eine Momentaufnahme
tegorie SIL 1, um das Risiko auf ein akzeptables Maß zu senken
darstellen. Es liegt in der Natur der Sache, dass die Normen
(„Restrisiko“). Bei einem sehr hohen Risiko (Eintrittswahr-
und Regelwerke den aktuellen, technischen Entwicklungen
scheinlichkeit und Schadensausmaß sehr hoch) ist hingegen
erst zeitversetzt Rechnung tragen, da sie die Erfahrungen aus
ein Schutzkreis der Kategorie SIL 4 notwendig, um ein akzepta-
Betrieb und Praxis aufgreifen und in technische Regeln über-
bles Restrisiko zu erzielen.
führen. Bei einem modernen, innovativen Anlagenkonzept –
36
aber auch bei Umbau- und Modernisierungsmaßnahmen –
Darüber hinaus spielen bei der Kategorisierung zwei weitere
folgt daraus eine erhöhte Unsicherheit hinsichtlich Kompa-
Faktoren eine wichtige Rolle, die in den Normen aufgeführt
tibilität mit älteren Werkstoffen, Materialien und etablierten
und zusammen mit Eintrittswahrscheinlichkeit und Schadens-
Verfahren sowie der generellen Eignung unter den konkreten
ausmaß in einem Risikographen abgebildet sind:
TÜ Bd. 56 (2015)
Aus der Prüfpraxis
Schadensausmaß
Keine PLTSchutzeinrichtung
(z. B. technische
Arbeitsschutzmaßnahmen)
S1: Leichte Verletzung einer Person
oder kleinere schädliche Umwelteinflüsse (kein Störfall).
S2: Tod einer Person, schwere
irreversible Verletzungen einer
oder mehrerer Personen, oder
vorübergehende schädliche
Umwelteinflüsse.
S3: Tod mehrerer Personen
oder lang andauernde größere
Umwelteinflüsse.
S4: Katastrophale Auswirkungen,
sehr viele Tote.
Aufenthaltsdauer
A1: selten bis öfter
A2: häufig bis dauernd
Gefahrenabwehr
G1: unter bestimmten
Bedingungen möglich
G2: kaum möglich
Eintrittswahrscheinlichkeit
W1: sehr gering
W2: gering
W3: relativ hoch
PLTSchutzeinrichtung
nicht ausreichend
Bild 3: Risikograph nach VDI 2180. Entscheidend für die SIL-Kategorie ist das Ausgangsrisiko, das zunächst ohne Schutzmaßnahmen auf Basis von
Schadensausmaß (S1–S4), Aufenthaltswahrscheinlichkeit (A1, A2), Gefahrenabwehr (G1, G2) und Eintrittswahrscheinlichkeit (W1–W3) ermittelt
wird.
ff
Wie häufig halten sich Personen im Gefahrenbereich
auf?
ff
Kann die Gefahr abgewendet werden?
und Planung häufig Schwierigkeiten bereitet. Diese liegt in
den qualitativen, verhältnismäßig weichen Formulierungen
der Parameter Schadensausmaß, Aufenthaltsdauer und Eintrittswahrscheinlichkeit: „selten, häufig, kaum, gering, hoch,
Bild 3 zeigt den Risikograph aus der VDI 2180. Mit veränder-
usw.“ Daraus resultiert bei jeder Gefährdung ein Interpretati-
ten Parametern wird er auch in weiteren Normen benannt
onsspielraum, der es ermöglicht, die Risiken zu überschätzen
(z. B. DIN EN 61508/11, DIN EN 50156). Deshalb kann es – je
bzw. zu unterschätzen. In der Folge können Schutzsysteme im-
nach Norm, die bei der Kalkulation herangezogen wird – zu
plementiert werden, die den eigentlichen Anforderungen nicht
Diskrepanzen bei der Kategorisierung der SIL-Stufe kommen.
gerecht bzw. „überdimensioniert“ werden.
Wie häufig ist „selten“ genau?
Es liegt deshalb der Gedanke nahe, dass es an der Zeit ist, den
Risikographen vor der Anwendung gewissermaßen zu „kalib-
Darüber hinaus zeigt die Praxis, dass alle Risikographen eine
rieren“ und zu normieren. Die Anwendung der Risikographen
Gemeinsamkeit haben, die bei der Kategorisierung, Auslegung
sollte in jedem Einzelfall zu reproduzierbaren und somit ver-
Anlagensicherheits-Report 2015
37
Aus der Prüfpraxis
lässlichen Ergebnissen führen, damit Vergleiche möglich und
belastbare Aussagen hinsichtlich der erforderlichen Risikore-
Die HAZOP-Methode im Überblick
duzierung getroffen werden können. Dazu ist es notwendig,
das Risiko konkret zu quantifizieren – was wiederum voraussetzt, dass auch die Parameter Schadensausmaß, Aufenthaltswahrscheinlichkeit, Gefahrenabwehr und Eintrittswahrscheinlichkeit mit quantifizierten Werten in die Gleichung eingehen.
Vor allem die chemische Industrie setzt die HAZOP-Methode (engl.: Hazard and Operability) zur Gefahrenermittlung ein, um die Sicherheit von Produktionsprozessen zu
verbessern. Ziel des Verfahrens ist es, potenzielle Risiken
in Betriebs- und Prozessabläufen zu identifizieren, deren
Der Mensch als Maß für das Risiko
Diskussionen, Expertengespräche und Themenrunden beim
Anwender erscheinen also sinnvoll, um einen technisch fundierten, belastbaren Konsens über die konkreten Parameter zu
erzielen. Der Autor schlägt hier vor, das Maßband am Leben des
Menschen selbst anzulegen – frei nach dem Homo-MensuraSatz des Protagoras „Der Mensch ist das Maß aller Dinge […].“ So
könnte beispielsweise die Eintrittswahrscheinlichkeit anstatt
mit „kaum, gering, häufig“ bezeichnet werden mit „einmal pro
Menschenleben, einmal pro Generation, einmal pro Jahr“.
Konkret wären hier, beispielsweise bezogen auf die Eintrittswahrscheinlichkeit, die folgenden Zeitspannen geeignet: öfter
als alle drei Jahre, seltener als alle drei Jahre jedoch öfter als
alle 33 Jahre, seltener als alle 33 Jahre. Wird mit den übrigen
Parametern Schadensausmaß, Aufenthalt, Gefahrenabwehr
ähnlich verfahren, dann ergibt sich daraus eine kalibrierte Risikomatrix, die bei der Anwendung stets eindeutige und nachvollziehbare SIL-Kategorien ergibt. In der Praxis würde das die
Interpretationsspielräume erheblich einschränken und Orien-
Ursachen und Wirkungen zu analysieren und geeignete
Gegenmaßnahmen zu entwickeln. In Deutschland ist die
HAZOP-Methode auch unter dem Begriff PAAG-Verfahren
zur Störfallvorsorge und zur Erhöhung der Anlagensicherheit bekannt.
Die HAZOP-Analyse basiert auf der Annahme, dass Störfälle entstehen, wenn sicherheitsrelevante Betriebsfaktoren – beispielsweise Temperatur, Druck oder Füllstand
– vom vorgesehenen Sollzustand abweichen. Wo und
aus welchem Grund diese Abweichungen auftreten, was
daraus folgt und welche Präventivmaßnahmen geeignet
sind, erarbeiten Fachleute bei dem konkreten Projekt im
Rahmen einer Diskussion. Ein interdisziplinäres Team aus
betriebsinternen und externen Experten analysiert dazu
jeden einzelnen Prozess, die Sollfunktion sowie mögliche
Abweichungen. Im direkten Dialog und unter Leitung eines erfahrenen Moderators überprüfen Sicherheits- und
Verfahrensingenieure, Techniker und Konstrukteure systematisch alle Anlagenteile und Prozessschritte auf potenzielle Risiken.
tierung bei Risikoanalysen, Spezifikation und Planung geben.
Die Kalkulationen unterschiedlicher Anlagen, Konzepte und
begünstigen und die funktionale Sicherheit in Frage stellen.
Prozesse könnten besser verglichen und die Ergebnisse vali-
Wie kann eine Prozessanlage oder eine komplexe Maschine
diert werden.
dennoch wirtschaftlich, zuverlässig, funktional und sicher geplant und betrieben werden? Wie von den Normen empfohlen,
Fundamental: Die Gefährdungsbeurteilung
übernehmen unabhängige Dritte eine wichtige Funktion im
gesamten Sicherheitslebenszyklus, wenn sie neben der Inbe-
38
Die bisherige Argumentation zeigt, dass ein komplexes System
triebnahme auch bei Spezifikation, Planung oder bei Moderni-
vielfältige Schwachstellen aufweisen kann, die Fehlerquellen
sierungsmaßnahmen eingebunden werden. Doch eine wichti-
TÜ Bd. 56 (2015)
Aus der Prüfpraxis
ge Grundvoraussetzung muss erfüllt sein, damit sie in diesen
bei der Begleitung des Sicherheitslebenszyklus von Schutz-
Phasen effektiv unterstützen können: Eine sorgfältige Gefähr-
einrichtungen voraus, Sachverstand bezogen auf das konkre-
dungsbeurteilung muss zu Beginn des Sicherheitslebenszyklus
te Projekt und nicht zuletzt auch eine Perspektive, die frei ist
erfolgen, ist sie doch gewissermaßen das sicherheitstechni-
von Eigen- und Vertriebsinteressen, ökonomischen Sachzwän-
sche Fundament, auf dem alle weiteren Schritte der Planung
gen und Kostendruck. Denn alle Methoden führen letztlich
und Umsetzung aufbauen.
nur zum Erfolg, wenn mögliche Szenarien und Maßnahmen
offen diskutiert, kritische Punkte benannt und konstruktive
Nur wenn alle potenziellen Gefährdungen einer Anlage im
Vorschläge von allen Beteiligten eingebracht werden können.
Vorfeld ermittelt und beurteilt werden, können im gesamten
Diese Sichtweise sollte selbstverständlich auch die betriebs-
Sicherheitslebenszyklus wirkungsvolle Maßnahmen entwi-
wirtschaftlichen Aspekte sowie die technische Machbarkeit in-
ckelt und ausgewählt werden, die systematische Fehler, Ge-
tegrieren – jedoch nicht zu Lasten von Funktionalität, Zuverläs-
fährdungen und Risiken beherrschbar machen. Aus diesem
sigkeit und Sicherheit, wie das Eingangsbeispiel deutlich zeigt.
Grund schreibt auch die neue Betriebssicherheitsverordnung
Unabhängige Dritte können hierbei wertvolle Unterstützung
(BetrSichV) an wichtigen Prozessschritten Gefährdungsbeur-
leisten, HAZOP-Analysen moderieren, komplette Assessments
teilungen vor, verweist auf zentrale Hilfsmittel und Methoden
durchführen und so auch komplexe Projekte auf ein solides, si-
und betont regelmäßig deren Bedeutung.
cheres Fundament stellen.
Da sich die Beurteilungen im Laufe des Sicherheitslebenszyklus immer auf ein ganz konkretes Projekt beziehen, kann es
kein allgemein gültiges Schema bei der Vorgehensweise geben. Vielmehr beschreiben die Verordnungen, Normen und Regelwerke den Handlungsrahmen, der – je nach Situation und
Bedarf – mehr oder weniger Handlungsspielraum erlaubt.
Quellen
Health and Safety Executive: Out of control – Why control
1
systems go wrong and how to prevent failure, 2. Auflage
2003, (kostenloser Download unter http://www.hse.gov.uk/
pubns/books/hsg238.htm).
DIN EN 61511-1 (VDE 0810-1:2005-05) Funktionale Sicher-
2
Fazit
heit - Sicherheitstechnische Systeme für die Prozessindustrie.
In jedem Fall werden eine kritische Auseinandersetzung mit jeder einzelnen Stufe des Sicherheitslebenszyklus sowie eine Be-
Dipl.-Ing. (FH) Johann Ströbl
wertung der Schutzeinrichtungen nach den einzelnen Stufen
TÜV Süd Industrie Service GmbH
dringend empfohlen. Das setzt jedoch jahrelange Erfahrung
[email protected]
Anlagensicherheits-Report 2015
39

Download Report