Sicherheitstechnik Wie sicher ist sicher genug?

Sicherheitssysteme in technsichen Anlagen können teuer werden. Allgemein müssen die Aufwendungen in technische Sicherheitsmaßnahmen dem Nutzen der Anlage gegenübergestellt werden, jedoch unter Berücksichtigen des verbliebenen Restrisiko. Mensch-Maschine-Systeme können als wirtschaftliche Alternative bei der Realisierung von Sicherheitsanforderungen helfen.

Technische Anlagen und elektronische Komponenten, die Aufgaben im Rahmen der funktionalen Sicherheit übernehmen, werden in der Regel durch entsprechende Maßnahmen im Produktentstehungsprozess für diese vorbereitet und abschließend hinsichtlich der Zielerreichung bewertet und ggf. unabhängig begutachtet.

Bei der Systemgestaltung wird sich der Systemarchitekt insbesondere bei besonders hohen Anforderungen an die Sicherheit nicht auf die korrekte Funktion einer einzelnen Einheit / Komponente verlassen. Herkömmlicherweise wird er dieser z.B. einen weiteren, möglichst unabhängig arbeitenden und ggf. diversitären Funktionskanal hinzufügen. Dieser kann entweder als Prüfeinrichtung Fehler der Primäreinheit erkennen oder im Fall funktionaler Redundanz bei Unterschieden den Fehler durch Vergleich offenbaren und eine entsprechende sicherheitsgerichtete Reaktion auslösen, um das System in einen sicheren Zustand zu überführen.

Ein solches mehrkanaliges System kann „noch sicherer“ gemacht werden, indem beispielsweise ein weiterer Kanal oder eine zusätzliche Prüfeinrichtung, als Prüffunktion des obigen Ansatzes, hinzugefügt wird. Dies könnte nun prinzipiell beliebig fortgesetzt werden, doch letztlich muss die Frage nach der Angemessenheit gestellt werden, die auch die Wirtschaftlichkeit dieses Ansatzes betrachten muss. Allgemein müssen die Aufwendungen in technische Sicherheitsmaßnahmen dem Nutzen der Anlage gegenübergestellt werden, jedoch unter Berücksichtigen des verbliebenen Restrisiko (als Produkt aus möglichem Schadenausmaß und der Wahrscheinlichkeit des Eintretens eines Fehlerfalls bzw. Unfalls). Ist die Anlage in diesem Sinne nicht wirtschaftlich und gleichzeitig mit angemessener Sicherheitsintegrität zu realisieren, so muss die Realisierung gänzlich in Frage gestellt werden.

Kernfrage an dieser Stelle ist daher: Was ist nun angemessen?

Um diese Frage zu beantworten, wird das Restrisiko häufig monetär, beispielsweise durch zu entrichtende Versicherungsprämien bewertet. Hier stoßen wir an Grenzen, was ist z.B. der Wert eines Menschenlebens. Daher müssen andere Maßstäbe für die Angemessenheit genutzt werden, die weitere Faktoren wie z.B. die gesellschaftliche Akzeptanz bzw. Ablehnung solcher Risiken berücksichtigen.

Hierzu finden sich in der Literatur verschiedene Ansätze, wie sie beispielsweise im Anhang D der EN 50126 „Beispiele für Grundsätze der Risikoakzeptanz“ dargestellt sind. Ein solcher Ansatz folgt dem MEM Prinzip (Minimum Endogenous Mortality). Dieser bezieht sich auf die natürliche Sterblichkeitswahrscheinlichkeit des Menschen (Wahrscheinlichkeit 2 x 10-4 pro Person und Jahr eines natürlichen Todes zu sterben), und zwar auf dessen Minimum (in wirtschaftlich gut entwickelten Ländern im Alter von 5 bis 15 Jahren). Es wird nun postuliert, dass technische Systeme keinen nennenswerten (z.B. einen um eine Zehnerpotenz geringeren) Anteil am zusätzlichen Risiko für eine Person darstellen dürfen. Weiterhin wird eine weitere Reduktion erwartet bei Zunahme des Schadensausmaßes je Einzelfall, um der fehlenden gesellschaftlichen Akzeptanz solcher Ereignisse Rechnung zu tragen. Ein weiterer Ansatz ist das Prinzip, dass alle neu einzurichtenden Systeme mindestens so sicher sein müssen wie die bisherigen Realisierungen (GAMAP Prinzip).

Aus all diesen Ansätzen und Betrachtungen wird letztlich eine THR, die sogenannte „Tolerable Hazard Rate“ als akzeptiertes Grenzrisiko abgeleitet. Dabei muss jedoch die „Einwirkzeit“ des Systems anteilig pro Jahr als ein (mit großer Unsicherheit behafteter) Faktor abgeschätzt werden. (Beispiel: Fahrzeit pro Jahr eines Passagiers mit der Bahn). Die THR ist dann die quantifizierte Vorgabe der Angemessenheit im obigen Sinne, denn die technischen Systeme müssen nun so gestaltet werden, dass deren zu erwartende Rate gefährlicher Fehler mindestens unterhalb dieser THR liegt.

Dabei gehen mögliche Fehler nicht nur vom technischen System selber aus, sondern werden unter anderem von Umweltseinflüssen ausgelöst, die auf das System einwirken, und dieses möglicherweise in einen gefährlichen Zustand bringen. Das Beispiel des Kernkraftwerks Fukushima beweist dabei die limitierten Fähigkeiten des Menschen, solche Szenarien entsprechend vollständig in Betracht zu ziehen, um alle denkbaren Fehlerzustände, die zu erwartende Fehlerrate und damit auch die THR korrekt und umfänglich einzuschätzen. Zum einen war die Stärke des dortigen Erdbebens „außerhalb der Spezifikation“. Darüber hinaus wurde der Tsunami - wenn überhaupt - nur als zeitlich unkorreliertes Einzelereignis und nicht als gleichzeitig auftretend und damit als potenzierende Gefährdung betrachtet.

Letztlich müssen

  • die möglichen Gefährdungen vollständig erfasst werden (Gefährdungsanalyse)
  • die möglichen Ursachen für das Eintreten der Gefährdung und deren Ableitung aus Fehlerzuständen der Systembestandteile (z.B. durch eine Fehlerbaumanalyse) bestimmt werden
  • die erwartete Eintrittswahrscheinlichkeit des gefährlichen Zustand abgeleitet aus der Eintrittwahrscheinlichkeit externen Faktoren oder internen Fehlerzustände (z.B. Ausfallraten der Bauteile) berechnet / abgeschätzt werden.

Die THR darf durch die gefährlichen Fehlerraten des Gesamtsystems nicht überschritten werden. Bei Gestaltung des Systems können die Fehlerraten l durch den Systemarchitekten anteilig auf die Systemkomponenten verteilt werden, bei einer nicht redundanten Realisierung darf somit die Fehlerrate der Einzelkomponente l K nur einen Bruchteil der System l „aufbrauchen“. Bei redundanter Auslegung hingegen ist nur die bedingte Wahrscheinlichkeit gleichzeitiger Fehler relevant. Anhand dieser l K können dann für die Komponenten in verschiedenen Normen (z.B. IEC 61508 bzw. EN 50126) SIL (Safety Integrity Level) Stufen zugewiesen werden.