Grundkonzept der sicherheitstechnik

Grundkonzept der sicherheitstechnik

safety Science, 343 16 (1993) 343-358 Elsevier ~r~ndkonzept der ~ich~rheitstechnik G. Schijn’ Diejklhorststrafie I?, W-3300 Rraunschweig, Germany...

1MB Sizes 0 Downloads 53 Views

safety

Science,

343

16 (1993) 343-358

Elsevier

~r~ndkonzept der ~ich~rheitstechnik G. Schijn’ Diejklhorststrafie I?, W-3300 Rraunschweig, Germany

Abstract This paper brings up for discussion aspects which are important for formulating an internationally accepted basic concept for the safety of technical processes. It is also intended to promote cooperation in the international standardization committees (e.g. IS0 and IEC ) and within the EC. The basis is formed by a concept published as early as 1984 in a German preliminary standard finally accepted in 1987. This concept is at present being worked out in more detail. Its underlying principle is in agreement with the definition in sect. 2.5 of ISO/IEC Guide 2 (1986) which reads “safety: Freedom from unacceptable risk of harm”. The discretionary decision concerning the acceptability reflects the fact: Absolute safety cannot be reached. The decision requires in the first instance the evaluation of the risk. On the basis of experience with similar installations and parts of them, the risk describes possible harm by means of probability statements. These objective findings have to be the basis of the statement of acceptability, which is to assess the advantages and disadvantages of the project and of feasible substitute projects. Under certain conditions, this subjective decision, which is often inevitably affected by socio-political problems, can be replaced by a comparison of risks. For this comparison it is a prerequisite that the prevailing conditions be comparable. The comparison is based on the experience gained with similar processes, which have already proved their worth and have also been accepted by society. As the acceptable risk is in both cases the same, the comparison can be limited to decisions on technical facts. - Besides the basic concept, also details, such as risk parameters, reference quantities, protection and competences for the estabiishment of regulations, are dealt with.

Mit diesem Beitrag werden fur die Erarbeitung eines allgemein anerkannten Grundkonzepts der Sicherheitstechnik wesentliche Gesichtspunkte zur Diskussion gestellt. Ferner sol1 damit die Zusammenarbeit in den internationalen Normungsgremien (IS0 und IEC) und such in der EG gefdrdert werden. Basis ist das bereits 1984 in einer deutschen Vornorm und schliefilich 1987 als Norm ver~ffentlichte Konzept, das zur Zeit weiter ausgearbeitet wird. Dessen Grundsatz stimmt mit der Definition 2.5 in ISO/IEC-Guide 2 (1986) tiberein: “safety: Freedom from unacceptable risk of harm”. Der hiermit geforderte Ermessensentscheid tiber die Vertretbarkeit entspricht der ‘Bis 1981 Mitarbeiter in der Physikalisch Technischen Bundesanstalt (PTB), Braunschweig Sicherheitstechnische Grundlagen, Explosionsschutz; danach freier Mitarbeiter in sicherheitstechnisehen Gremien, Sicherheitstechnische Kenngri%en brennbarer Gase und D$impfe/Chemsafe-Datenbank.

0925-7~35/93/~06.00

0 1993 Elsevier Science Publishers

B.V. All rights resewed.

344 Gegebenheit:

Absolute

Sicherheit

ist nicht erreichbar.

Der Entscheid

verlangt deshalb an erster

Stelle die Ermittlung des Risikos, das auf Grund der Erfahrungen mit vergleichbaren Anlagen oder Anlagenteilen mijgliche Schaden mit Wahrscheinlichkeitsaussagen erfabt. Diese objektiven Feststellungen sind sodann einer Vertretbarkeitsaussage zugrund zu legen, in der die Vor- und Nachteile des Vorhabens und eventuell in Frage kommender Ersatzvorhaben gegeneinander abzuwlgen sind. An die Stelle dieser subjektiven, oft mit gesellschaftspolitischen Problemen belasteten Entscheidung kann unter bestimmten Voraussetzungen ein Risikovergleich treten. Dieser Vergleich sttitzt sich auf gesammelte Erfahrungen mit bereits bewtihrten und von der Gesellschaft akzeptierten Verfahren gleicher Wertvorstellungen, also auf Verfahren mit gleichen VertretbarkeitsmaRst;iben; er 1aRt sich somit auf Entscheidungen iiber technische Gegebenheiten beschranken. - Neben dem Grundkonzept werden such Detailfragen Schutz und Zustandigkeiten I?ir Regelsetzungen behandelt.

wie Risikoparameter,

BezugsgroRen,

Le present article met en discussion des aspects qui sont essentiels pour l’etude dune conception de base reconnue pour la securitk des pro&d& techniques. De mdme, il est destine a encourager la cooperation au sein des organes de normalisation internationaux (tels que 1’ISO et la CEI) et de la Communautk Europeenne. La nouvelle conception se base sur celle qui a et6 publike pour la premiere fois en 1984 dans une norme preliminaire allemande et en 1987 dans une norme officielle et qui est a present perfection&e. Son principe est en conformite avec la definition numkro 2.5 du Guide ISO/CEI tionnaire en ce securite absolue. qui tient compte

(1986): “skcuritd: Absence de risque dommage inacceptable”. La decision discrkqui concerne la justifiabilitk doit reflkter le fait qu’on ne peut pas atteindre la Elle exige plutot la determination du risque inherent a I’installation a e’valuer et des attentes a l’aide d’dnoncks probabilistes bases sur l’experience. Ces consta-

tations objectives sont a la base de l’e’nonce de justifiabilite qui devra Qvaluer les avantages et desavantages du projet et de projets de rechange entrant kventuellement en ligne de compte. Cette decision subjective qui est souvent forckment chargee de problemes de politique sociale peut 8tre remplacee, dans certaines conditions, par une comparaison des risques. Celle-ci s’appuie sur I’experience et la connaissance de mkthodes comparables eprouvees et acceptkes par la sociktk et peut done stre limitee a des decisions sur des faits techniques. - Entre ces aspects de principe sont trait& des questions de details telles que parametres de risque, grandeurs de reference, protection et competences en ce qui concerne l’ktablissement de regles.

Vorwort Von der Schriftleitung “Safety Science” - vormals “Journal of Occupational Accidents” - wurde ich gebeten, meinen 1980 verijffentlichten Beitrag (Schon, 1980) “What is meant by risk? - Basic technical views for the initiation and application of safety legislation” dem heutigen Stand der Diskussion im Bereich der Sicherheitstechnik anzugleichen. Diesem Wunsch entspreche ich gern, zumal ein solcher Beitrag von mir bereits geplant war. Die Erarbeitung eines sicherheitstechnischen Grundkonzepts, das durch allgemeine Anerkennung den bereits aufgetretenen Mifiverstandnissen entgegenwirken ~011,dient der zwischenstaatlichen Zusammenarbeit und such dem ijffentlichen Interesse. Solche Probleme zur Diskussion zu stellen, gehiirt zu den Hauptzielen dieser

erfolgreichen Zeitschrift, deren nunmehr in den wohlverdienten in einen Unruhestand, der es Handlungsfreiheit zu erweitern

erster Herausgeber, Herr Dr. Herbert Eisner, Ruhestand tritt - oder vielleicht besser gesagt, ihm nun erlaubt, ohne Terminzwange seine - alles Gute!

Meinem Beitrag voranstellen mijchte ich das hier behandelte Grundprinzip: Sicherheitstechnik: Aufgrund der Erfahrungen der Vergangenheit unsere Technik in der Gegenwart so gestalten, d& such in der Zukunft die Risiken vertretbar gering sind, also unsere Technik sicher ist. 1. Einfiihrung Fur die Beurteilung der Sicherheit technischer Vorgtinge und Zustande und damit such fiir die Festlegung der erforderlichen Schutzmafinahmen ist Einvernehmen iiber das anzuwendende sicherheitstechnische Grundkonzept im technischen, rechtlichen und such im politischen Bereich im Interesse aller Betroffenen unerlal3lich. Nur dann kann eine sachgem%e Zusammenarbeit der Erzeuger, Errichter, Betreiber und such der Entsorger erwartet werden. Ferner ist wegen der grenztiberschreitenden Ausbreitung der Technik eine zwischenstaatlicbe Anerkennung entsprechender Festlegungen unerlafilich. Dies ist ein Hauptanliegen der einschlagigen nationalen und internationalen Gremien und Arbeitsgruppen, z.B. bei der Erarbeitung der Details zu den EGMaschinenrichtlinien (EG-Maschienenrichtlinie, 1991) in der europaischen CEN/CENELEC-JPG-Arbeitsgruppe “Safety Concepts” sowie bei der ijberarbeitung der internationalen Leitlinien ISO/IEC-Guide 51 (ISO, 1990) (safety aspects) auf der Basis von ISO/IEC-Guide 2 (ISO, 1986) (general terms for standardisation) und such beim Entwurf von IEC 56 (Set) 353 (IEC, 1992) (risk analysis). Bei solchen Festlegungen mu6 ein Freiraum vorhanden sein, der gestattet, den ortlich, gesellschaftspolitisch und kulturell bedingten Unterschieden Rechnung zu tragen. Die Entscheidungsfreiheit bedarf jedoch der Einschrankung durch allgemeingtiltige Regeln bis hin zu Gesetzen, wenn das ijffentliche Interesse betroffen ist. 2. Grundlagen Als Basis fur die Grundbergriffe der Sicherheitstechnik gilt in Deutschland die fachtibergreifende Norm DIN VDE 31000, Teil 2, Dezember 1987 (DIN,

1987 ). Sie ist gleichlautend mit der unter meiner Mitarbeit erstellten und 1984 schlieI3lich verabschiedete Vornorm DIN 31004, Teil 1.Diese wurde seinerzeit - nicht zuletzt zwecks Abkiirzung zeitraubender Diskussioner - recht kurz gefafit (Regeltext weniger als eine Druckseite) . Zur Klarung der zwischenzeitlich aufgetretenen MiRverstandnisse sind meines Erachtens die nachfolgenden - sicher wiederum nicht voll ausreichenden - Hinweise, Erganzungen und zur Zeit such formale Korrekturen angebracht. Weitergehende Einzelheiten kijnnen meiner o.g. Verijff. von 1980 (SchBn, 1980), der von 1983 (Schijn, 1983) und such der Norm (DIN, 1987) entnommen werden. (1) Im Vorwort der o.g. Norm (DIN, 1987) wird herausgestellt: “Da es in der Technik, wie iiberall im Leben, eine absolute Sicherheit im Sinne einer Freiheit von jeglichen Risiken nicht geben kann, besteht die Aufgabe darin, das Risiko bis auf ein vertretbar geringes MaB zu reduzieren.” Basis ist somit das zu ermittelnde Risiko R, eine Vorhersage iiber mijgliche Schaden, verursacht durch den zu beurteilenden technischen Vorgang oder Zustand. Die Reduzierung des Risikos R auf ein vertretbares MaB ist das Ziel. Dieses wird indirekt durch sicherheitstechnische Festlegungen oder direkt durch ein Grenzrisiko R, vorgegeben. Damit werden auf der Risikoskala die Bereiche Sicherheit (R I R, ) und Gefahr (R > R,) getrennt (siehe Bild 1) . (2) Mit diesem Konzept sachlich iibereinstimmend wurde von der “Internationalen Normungsorganisation” und der “Internationalen Elektrotechnischen Kommission” in ISO/IEC Guide 2, 1986 (ISO, 1986) als Definition in Ziff. 2.5 festgelegt: safety: Freedom from unacceptable risk of harm (franzosisch: se’curite’: absence de risque de dommage inacceptable). Analog gilt dann wohl fur danger: Presence of ... In der deutschen wie in der internationalen Norm ist somit fur die Aussagen “Sicherheit” und “Gefahr” ein Ermessensentscheid iiber die Vertretbarkeit des ermittelten Risikos maRgebend. (3) Das Risiko, eine probabilistische Aussage, ist die Basis. Damit ist vor dem Fallen des Ermessensentscheids ein Einvernehmen der Beurteilenden iiber die aufgrund objektiver Feststellungen zu ermittelnden Wahrscheinlichkeiten erforderlich. Leider haben solche nicht-deterministischen Aussagen natur-

? a

Sicherheit

z IL

Gefahr

___A___ Risko

Bild. 1. Definition

R __

von Sicherheit

-

und Gefahr.

347

gemal eine Unsch$irfe, die bei seltenen Ereignissen sogar recht grol3sein kann. Das Streben nach Sicherheit bedingt also de facto die Mijglichkeit einer Zunahme der Unscharfe. Zwar kann man durch spezielle Schutzm&nahmen (z.B. durch Redundanzen’ oder durch die Schutzart Fail safe’) Wahrscheinlichkeitskomponenten wesentlich verringern, aber kaum deren Unscharfe, die leider oft mit dem in die falsche Richtung weisenden Begriff “Unsicherheit” bezeichnet wird. Die unvermeidbaren Unscharfen miissen die Beurteilenden akzeptieren; dies wird insbesondere den von Schaden - bzw. von Nachteilen Betroffenen schwerfallen. (4) Eine sachgem%e Gewichtung von Risikoaussagen verlangt Sachkenntnis - oft muB an deren Stelle Vertruuen treten. Selbst Sachverstandige sind bei Fragen, die nicht in ihr Arbeitsgebiet fallen (z.B. wenn technische Sachversttindige medizinische Aussagen beriicksichtigen miissen ), auf Vertrauen angewiesen. Fehlt dieses, muB Mifitrauen wachsen - Gegebenheiten, die heute zunehmend offentlichkeitsarbeit verlangen. In den folgenden Abschnitten wird mit Hilfe von Definitionen der oben erwahnten Grundbegriffe und mit deren Erlauterung eine weitergehende Klarung angestrebt.

3. Risiko

Das Risiko (R) eines zu beschreibenden technischen Vorganges oder Zustandes ist eine Aussage, die zwei Wahrscheinlichkeiten erfaRt: H die Htiufigkeit des Eintritts unerwiinschter Ereignisse, die Schaden verursachen konnen. - Ereigniseintritts - Wahrscheinlichkeit S die bei Ereigniseintritt zu erwartenden Schadensausma&e (Arten und deren Umfang). - Schadenseintritts - Wahrscheinlichkeit -

(1) Risikoaussagen beziehen sich auf einen technischen Vorgang oder Zustand, das he&t auf eine einzelne Anlage oder auf Anlagengruppen bzw. Systeme, jeweils unter Berticksichtigung der zu erwartenden Betriebs- und Umweltbedingungen. Sie beziehen sich also nicht allein auf ein bestimmtes Gerat, eine Armatur und so weiter. Der den Risikoaussagen zugrundeliegende technische Vorgang oder Zustand und die zu erwartenden Betriebs- und Umweltbedingungen sind zu beschrei‘Redundanz; Vorhandensein von mehr als fiir die Ausfuhrung der vorgesehenen Aufgaben an sich notwendigen Mitteln bzw. MaBnahmen. ‘Fail safe: Flhigkeit eines technischen Systems, beim Auftreten bestimmter Ausfalle im sicheren Zustand zu bleiben oder unmittelbar in einen anderen sicheren Zustand iiberzugehen.

348

ben. Erforderlich sind hier such Angaben iiber die Bedeutung der Vorhabensziele, die fur Vertretbarkeitsaussagen entscheidend sein konnen. (2) Mit der Ereigniseintritts- Wahrscheinlichkeit H wird die Wahrscheinlichkeit des Auftretens der durch die Anlageteile selbst oder durch auBere Einwirkungen bedingten technischen Storungen, die Schaden verursachen kijnnen, beschrieben - z.B. durch die Wahrscheinlichkeit eines Bruches und des dadurch verursachten Freiwerdens und Ausbreitens von Gefahrstoffen oder des Berstens und der Wurfweiten von Bruchstiicken. Dagegen erfal3t die SchadenseintrittsWahrscheinlichkeit S die mijglichen Schaden bei Eintritt der jeweiligen Storung. Deren Arten und Umfang sind von den zu erwartenden Betriebs- und Umweltbedingungen abhangig. Haufig wird in Risikodefinitionen auf die Aufteilung von R in H und S verzichtet. Es sollte jedoch berticksichtigt werden, daB in vielen Fallen bei Vertretbarkeitsaussagen (siehe Abschnitt 7) H und S mit unterschiedlichem Gewicht eingehen - z.B. wenn viele Unfalle kleineren Umfangs, iirtlich und zeitlich statistisch verteilt (etwa im Verkehr lo4 Tote/Jahr), verglichen werden mit einer kleinen Anzahl von grijfieren Unfallen oder mit einem sehr seltenen Unfall mit extrem grogem Schaden. Nur bei einem zulassigen Risikovergleich (siehe Abschnitt 8) ist ein Verzicht auf Wertung des Gewichts der Komponenten H und S und ihrer Parameter moglich. (3 ) Die Risikokomponenten H und S erfassen alle moglichen Ereigniseintritte Hi und Schadensarten und -umfange Si. Wird dabei formal die Kombination dieser Komponenten mit dem Zeichen x und die Aufzahlung dieser Teilrisiken Ri (partial risk) mit C beschrieben, 1aBt sich das Risiko, such Gesamtrisiko (total risk) genannt, mit R=HxS=C

Ri=C

(HiXSi),

i=l,2

.. .. n,

(1)

erfassen. Die Zeichen x und C gelten hier nur dann als Beschreibung einer multiplikativen bzw. additiven Kombination, wenn die betreffenden Komponenten voneinander unabhangig sind bzw. die gleichen Bezugsgrofien haben. (4) In die Wahrscheinlichkeitsaussagen, vornehmlich in H, konnen viele in der Technik such sonst iibliche Kenngr$en (z.B. Lebensdauer, Ausfallsraten, Verfiigbarkeit, Zuverlassigkeit) als Risikoparameter eingehen; diese werden dann als sicherheitsbezogen gekennzeichnet. (5) Als Schaden gilt nach der deutschen Norm (DIN, 1987) ein “Nachteil Jede kausal auf dem Ereignis beruhende durch Verletzung von Rechtsgiitern”. Rechtsverletzung ist zunachst einzubeziehen. Sollen bestimmte Schaden unbeticksichtigt bleiben, hat diese Wertung im Rahmen der Vertretbarkeitsaussagen zuerfolgen. Ob generell such Umweltschden als Rechtsgiiter gelten und somit grundsatzlich einbezogen sind oder werden sollten, bedarf der Klarung - eine im nationalen wie such im internationalen Bereich fur die Rechtsetzung und such fur Zustandigkeitsfragen wesentliche Entscheidung. Die Aufteilung der Auf-

349

gaben (z.B. die Bearbeitung der Arbeits-, Verkehrs-, Umwelt- und Kernkraftwerkssicherheit in verschiedenen Ministerien) kann sich negativ auswirken. Ferner sollte zur Vermeidung von MiRversCndnissen - der wohl allgemein iiblichen Auffassung folgend - hervorgehoben werden, dafSAusfalle, Stijrungen usw., die nur zu wirtschaftlichen Schiiden des Betreibers (oder der Vorteilstrager) fihren, aber nicht das Allgemeininteresse bertihren, fur die Sicherheitstechnik als nicht relevant betrachtet werden. (6) Entscheidend fir Risikoaussagen - insbesondere wenn es sich urn Zahlenangaben handelt - ist die Auswahl geeigneter Bezugsgr$en. Diese GrijRen sind somit zu benennen. Sie htingen von der Art und Anzahl der betrachteten Anlagen und von den mijglichen Schadensarten und -umfangen und damit such vom speziellen Ziel des Vorhabens ab. Pauschalierend kann zwischen individuellen und kollektiven Risikoaussagen unterschieden werden. Beide werden in der Regel auf die Zeit bezogen, iiblicherweise auf 1 Jahr oder auf die zu erwartende bzw. vorgegebene Betriebsoder Lebensdauer, deren Zeitabhangigkeit gegebenfalls zu beachten ist. Fiir das individuelle Risiko ist unter anderen zu unterscheiden zwischen - Betroffene: die Gesamtheit der Personen, die von den Vorteilen und Nachteilen der zu beurteilenden Vorgange betroffen und somit bei der Vertretbarkeitsaussage (siehe Abschnitt 7) zu beriicksichtigen sind. Das kann - muR aber nicht - die gesamte Bevijlkerung im Beobachtungsraum sein. - Bedrohte: die Nachteilstrager, die durch das Risiko bedroht werden, also Schaden mijglicherweise erleiden. - Geschtidigte: der Anteil der Bedrohten, die bei Ereigniseintritt wahrscheinlich den Schaden erleiden. Die in Risikoaussagen eingehenden Quotienten Geschadigte/Bedrohte und Geschadigte/Betroffene - ein wesentlicher Unterschied! - bediirfen besonderer Beachtung. Die Anzahl der Betroffenen und such die der Bedrohten ist haufig nicht eindeutig angebbar. Diese Gro&m beeinflussen aber den Zahlenwert des Risikos. Die Tendenzen der ermittelnden Personen kijnnen somit bewuf3t oder unbewufit einen entscheidenden EinfluR auf Vertretbarkeitsaussagen (siehe Abschnitt 7 ) und such auf die Zullissigkeit von Risikovergleichen (siehe Abschnitt 8) haben. Beim kollektiuen Risiko wird - anstelle der Betroffenen - der fur das Kollektiv maBgebende Betrachtungsraum selbst als BezugsgroRe gewtihlt. Auch fiir die Wahl dieser GrijBe gilt der vorstehende Hinweis sinngem8B. (7) AbschlieBend herauszustellen ist, da8 das zu ermittelnde Risiko, die der Vertretbarkeitsaussage zugrunde liegende Sachlage, objektiu - also sachlich, vorurteilsfrei und unparteiisch sein ~011.Diese Forderung zu erfiillen, ist gewiB problematisch. Nicht nur die Wahl der BezugsgrGRen, such die naturbedingte Unschtirfe von Wahrscheinlichkeitsangaben dieser Art machen es den Ermittlern schwer, sich von den vorgenannten Tendenzen soweit wie mijglich freizumachen. Der Zwiespalt 13%.sich unter Umstanden durch eine umfangreiche

Erfassung der in der Vergangenheit gesammelten Erfahrungen und ihrer detaillierten Auswertung verringern. Auch sollte stets durch Angabe der Unscharfe der Vorhersagen, am besten durch Angabe von Vertrauensgrenzen mit Hilfe von oberen und unteren Grenzwerten, den Gegebenheiten Rechnung getragen werden.

4. Grenzrisiko,

Sicherheit-Gefahr

Das Grenzrisiko (R,) ist nach DIN VDE 31000, Tei12 (DIN, 1987) das grBf3te noch vertretbare Risiko eines zu beurteilenden technischen Vorganges oder Zustandes. Es definiert die Sachlagen Sicherheit: RI R, und Gefahr: R > R, (siehe Abschnitt 2). Im allgemeinen la& sich das Grenzrisiko nicht quantitativ erfassen; es wird meistens indirekt durch sicherheitstechnische Festlegungen beschrieben. (1) Mit der Vorgabe eines Grenzrisikos wird der Tatsache Rechnung getragen, da&wir wohl ein kleines - vertretbar geringes - Risiko anstreben konnen; es ist uns aber nicht gegeben, das nach Durchfuhrung aller SchutzmaRnahmen noch verbleibende Risiko - oft Restrisiko genannt - vijllig auszuschlieBen. Dies zeigen such die in der Vergangenheit gesammelten Erfahrungen, die nur mit Hilfe von Wahrscheinlichkeitsaussagen - also nicht deterministisch - erfafibar sind. Die Zustimmung zu dieser realistischen - von manchem vielleicht als zu extrem, zu iibertrieben empfundenen - Aussage setzt voraus, daB wir die Grenzen unseres Handelns in dieser Welt - die Grenzen der Technik - erkennen und such bereit sind, diese Gegebenheit zu akzeptieren. Der hiermit verbundene Verzicht auf den Absolutheitsanspruch R = 0 ist die Basis fur die Zustimmung zu einer gemeinsam erarbeiteten Vertretbarkeitsaussage. (2) Die scharfe Trennung der Begriffe Sicherheit und Gefahr gab es bisher im allgemeinen Sprachgebrauch nicht, nur selten in gesetzlichen Festlegungen, wohl notwendigerweise bei Rechtsprechungen (siehe Schon, 1983)) aber haufig in der Praxis der Sicherheitstechnik, schon allein wegen der bei der Realisierung der Technik unerlafilichen Ju/Nein - Entscheidung. Weitere Einzelheiten iiber den ftir die Ja/Nein-Entscheidungen erforderlichen Ermessensentscheid iiber die Vertretbarkeit von Risiken werden in Abschnitt 7 behandelt.

5. Sicherheitstechnische

Festlegungen

Nach DIN VDE 31000, Tei12 (DIN, 1987) gilt: “Sicherheitstechnische Festlegungen sind Angaben iiber technische Werte und MaRnahmen sowie Verhaltensanweisungen, deren Einhaltung im Rah-

351

men des jeweiligen Konzeptes sicherstellen ~011, dab das Grenzrisiko nicht iiberschritten wird. Sicherheitstechnische Festlegungen werden sowohl durch Gesetze, Rechtsverordnungen oder sonstige staatliche MaBnahmen erlassen, als such in Ubereinstimmung mit der unter Fachleuten vorherrschenden Meinung getroffen, z.B. durch die technischen Regelwerke. Anmerkung: In technischen Regelwerken beschrtinkt man sich im allgemeinen auf spezielle Angaben und setzt voraus, da13 die generellen sicherheitstechnischen Grundsatze eingehalten werden.” (1) An erster Stelle sei auf die Anmerkung verwiesen. Sie besagt, dafi sich die sicherheitstechnischen Festlegungen im allgemeinen nur auf die spedellen Eigenschaften der jeweiligen Anlage beziehen. Nichtanlagespezifische Festlegungen sind z.B. iibliche Festigkeit allgemein eingesetzter Bauteile, deren normgerechtes Gestalten, iiblicher Schutz (such fur Dritte) und so weiter. Die Festlegungen sind also nicht vollstandig. Hier wird ein iiblicherweise zu erwartender sicherheitstechnischer Sachuerstand, also die Beachtung der allgemein giiltigen Regeln der Technik vorausgesetzt eine Vorgabe, die zur Begrenzung des Umfangs spezieller Regeln unerlaiblich ist. Die hieraus sich ergebenden rechtlichen Konsequenzen sind zu beachten. (2) In sicherheitstechnischen Festlegungen werden im allgemeinen technische Grenzwerte, z.B. Mindestwanddicke, Bezugstemperatur, Priifdruck, Grenzstrom und -spannung und so weiter, vorgegeben. Es wird also bewul3t auf Vorgabe quantitativer Wahrscheinlichkeitswerte des Grenzrisikos verzichtet - dies nicht nur wegen des damit verbundenen erheblichen Aufwandes, sondern such zur Erleichterung der Anwendbarkeit sicherheitstechnischer Regeln. Die Wahrscheinlichkeitsgrenzwerte konnten wohl bei Beticksichtigung aller Randbedingungen ermittelt werden, sofern fiir die Anlage oder deren Teile geeignete probabilistische Daten und Beziehungen vorliegen. Fur die Praxis der Technik miifite man dann aber doch wieder diese Werte zwangsweise auf dem gleichen, aber umgekehrten Weg - unter Beachtung der (dann such vorzugebenden) gleichen Voraussetzungen und Methoden - auf die o.g. technischen Grenzwerte umrechnen. Nur wenn technische Vorgaben nicht praktikabel sind oder die Erfahrungen als ausreichender Nachweis nicht anerkannt werden, ist man auf den komplizierten, zeitraubenden Weg der Ermittlung geeigneter Wahrscheinlichkeitsvorgaben und deren Rtickrechnung - also auf die direkte Anwendung des Grundkonzepts der Sicherheitstechnik angewiesen. (3 ) Die Einhaltung sicherheitstechnischer Festlegungen mul3 von dem Erzeuger, Errichter, Betreiber oder Entsorger gewahrleistet werden. Dariiberhinaus richten sich Verhaltensanweisungen, die der Erganzung des unmittelbar an der Anlage bzw. deren Teilen durchzufiihrenden Schutzes dienen, such direkt an die Garanten, das sind die in ihrem jeweiligen Ttitigkeitsbereich fur das sichere Verhalten und Handeln Verantwortlichen - dies reicht vom Betriebs-

352

leiter bis hin zum Mann an der Werkbank oder der Frau im Haushalt. Die Garanten haben aber such die Aufgabe, bei erkanntem Auftreten technischer Fehler und menschlicher Fehlhandlungen die erforderlichen Schutzm&nahmen zu veranlassen oder durchzufiihren. Damit verhindern oder beschranken sie die Auswirkungen derartiger, oft nicht bekanntwerdender Fehler. Garanten verringern also das Risiko. Dieses Positive darf - im Vergleich zu dem Negativen, den Auswirkungen menschlicher Fehlhandlungen - nicht zu gering bewertet werden; dies ist ein akutes Problem! (4 ) Da die Festlegungen grundsatzlich anlugenspezifisch sind, handelt es sich eigentlich urn sicherheitstechnische Beispielsammlungen. Der Geltungsbereich von Regeln la& sich deshalb auf vergleichbare Anlagen ausdehnen, sofern das jeweilige Regelwerk dieses gestattet (siehe Abschnitt 8). (5) Hemmen Festlegungen den Fortschritt, sind sie extrem anlagenspezifisch oder ist aus anderen Griinden ein Verzicht auf diese erforderlich (z.B. wegen der notwendigen Kiirze von Rechtsetzungen), muR man sich mit unbestimmten Rechtsbergriffen begntigen - im Extremfall mit “die Anlage muB sicher sein”. Weitere Einzelheiten siehe Abschnitt 9 und Schijn (1983 ).

6. Schutz Nach DIN VDE 31000 Tei12 (DIN, 1987) gilt: Schutz ist die Verringerung des Risikos durch Magnahmen, die entweder die Ereigniseintritts-Wahrscheinlichkeit H oder die des Schadenseintritts S oder beide einschranken. Oftmals la&t sich nur durch das Zusammenwirken mehrerer derartiger MaBnahmen Sicherheit erreichen. (1) Das vorrangige Ziel von SchutzmaBnahmen sollte stets sein, die Schadensquelle (z-B. das Vorhandensein von Gefahrstoffen) zu vermeiden oder wenigstens zu reduzieren (z.B. durch Mengenbegrenzung) und damit die Komponente H zu verringern. Oft ist ein solcher primSirer Schutz nicht vollstandig, nicht ausreichend oder iiberhaupt nicht erreichbar; es sind dann weitergehende Mal3nahmen, zuweilen such sekundtirer Schutz genannt, notwendig. (2) Auf die Vielfalt der mijglichen Schutzarten und auf die Anforderungen, denen diese geniigen mussen, im einzelnen einzugehen, ist nicht das Ziel dieses Beitrages. Doch sol1hier ein wesentlicher Gesichtspunkt herausgestellt werden. Zur Gewahrleistung der Sicherheit kiinnen die Anforderungen an Schutzm&nahmen - je nach der erforderlichen Reduzierung des Risikos - recht unterschiedlich sein. Die Schutzmagnahmen an im Handel befindlichen Betriebsmitteln werden deshalb oft in Anforderungsgruppen oder -klassen unterteilt. Die Errichter und Betreiber einer Anlage - und such die Uberwachungsorgane - haben damit die Moglichkeit, durch sachgemaf3e Auswahl bzw. Auflagen das Risiko vertretbar gering zu machen. Beispiel: Fiir die sichere

353

Stromversorgung eines Wohnhauses sind die allgemein iiblichen SchutzmaBnahmen ausreichend, fiir die eines Krankenhauses kann zusiitzlich ein Notstromaggregat erforderlich sein, ftir Kernkraftwerke wird sogar Mehrfachredundanz gefordert. Sicherheit verlangt angemessenen Sch.&z!

7. Vertretbarkeit von Risiken Der Vertretbarkeitsaussage liegt das ermittelte Risiko bzw. das durch SchutzmaBnahmen im Rahmen eines iterativen Prozesses verbleibende Restrisiko zugrunde. Erste Aufgabe der Entscheidungstrager ist es also, vor der Beurteilung Ubereinstimmung iiber die Risikoaussagen anzustreben; ist dieses Ziel nicht erreichbar, sind Gemeinsamkeiten kaum zu erwarten. Anhand der Beschreibung der Ziele des zu beurteilenden Vorhabens sind sodann die Wertvorstellungen aller Betroffenen iiber Art und Umfang der angestrebten Vorteile und tiber die durch die Risiken (oder gegebenenfalls such anderweitig) erfal3ten Nachteile gegeneinander abzuwagen. (1) Die Vorteils- und Nachteilstrager kijnnen die gleichen oder verschiedene Personen bzw. Personengruppen sein; unter Umstanden ist die gesamte Gemeinschaft betroffen, z.B. bei Umweltschliden. Die Personen iibernehmen die Risiken entweder freiwillig (z.B. beim Autorennsport) oder sie werden zur ijbernahme gezwungen (z.B. beim Schulweg); der ijbergang ist oft fliesend eine klare Trennung bereitet h&fig Schwierigkeiten. (2) Besondere Bedeutung haben oft die Bezugsgriifien der Risikoaussage (siehe Abschnitt 3 (6) ). So kann das Verhiiltnis der Anzahl der Geschadigten, bezogen auf die der Betroffenen, klein, dagegen bezogen auf die der Bedrohten, sehr gro& sein (zum Beispiel in Bergwerken). Aber nicht nur die Bezugsg&en, sondern such die ijrtlichen und zeitlichen Verteilungen der Schadensarten und -umfange konnen fiir die Vertretbarkeitsaussage schwerwiegend sein. Dies trifft zu, wenn z.B. das Risiko eines seltenen Ereignisses mit einer grol3en Anzahl von Geschadigten verglichen wird mit Risiken von haufigen Ereignissen geringeren Schadensausmafies (z.B. Kernkraft/Verkehr ). Bei Katastrophen - such wenn sie sehr selten zu erwarten sind - wird man deshalb einen wesentlich grijgeren Umfang von SchutzmaBnahmen und damit indirekt ein wesentlich geringeres Grenzrisiko festlegen. Die Vorgabe eines allgemein gtiltigen Grenzwertes ist somit nicht vertretbar. (3) Auch die Bewertung der Ziele des zu beurteilenden Vorhabens ist von entscheidender Bedeutung fir die Grijti des festzulegenden Grenzrisikos. Viele Gesichtspunkte sind dabei zu beriicksichtigen, zum Beispiel; - sind die Vorteils- und Nachteilstrager Einzelpersonen, Interessengruppen oder die Gesamtheit? - in welchen Bereichen sind vornehmlich wirtschaftliche, gesellschaftliche, politische Gesichtspunkte zu beachten?

354

- sind vergleichbare Vorhaben berticksichtigt? - sind Ersatzvorhuben - insbesondere bei Verbot oder Verzicht - mijglich oder zu erwarten und damit ein Vergleich des Risikos mit denen der Ersatzvorhaben erforderlich? Diese Gesichtspunkte sind such ftir die Prtifung der Zulassigkeit von Risikovergleichen (siehe Abschnitt 8) mafigebend. (4) Herauszustellen ist ferner, daR die Kenntnisse iiber die in der Vergangenheit gesammelten Erfahrungen im zu beurteilenden Bereich, deren Vollsttindigkeit und deren Schluf3folgerungen die Ermessensgrundlage sind. Auch der Stand der Technik ist hier entscheidend; neue Erkenntnisse konnen die MaBstabe der Vertretbarkeit verandern. Dies weist auf die Notwendigkeit hin, den Stand der Forschung in diesem Bereich im ijffentlichen Interesse voranzutreiben. Dabei darf such nicht versaumt werden, die Ursache und den Ablauf eingetretener unerwiinschter Ereignisse - such wenn es sich nur urn Beinahe-Unfalle (Betriebsstijrungen ohne Schadensausldsung) handelt - zu untersuchen. Unfalle sind unerwtinschte, oft teure “Versuche im MaBstab 1: 1”; sie bediirfen stets dringend der Auswertung. Dabei dtirfen die Interessen der Betroffenen kein Hinderungsgrund sein; sie lassen sich stets angemessen beriicksichtigen.

8. Risikovergleich

Der Ermessensentscheid tiber die Vertretbarkeit eines Risikos, also die direkte oder indirekte Festlegung des Grenzrisikos R, ist schwierig, insbesondere wenn eine grofie Anzahl von Personen - also das ijffentliche Interesse - betroffen ist. Er kann lange, oft ergebnislose Diskussionen auslosen. Wesentliche Vereinfachungen sind moglich, wenn an die Stelle von Vertretbarkeitsaussagen aufgrund bereits gesammelter Erfahrungen ein Risikovergleich mit anderen bewahrten Anlagen treten kann. (1) Folgende Voraussetzungen sind zu beachten: - Die technischen Ziele und die mit dem technischen Vorgang verbundenen Wertvorstellungen (Nutzen und Schaden ) der Vergleichsanlage (Index o) und die der zu beurteilenden Anlage (Index a) sollen von gleicher Art oder zumindest gleichwertig sein - und such dem derzeitigen Stand der Technik geniigen. - Diese Vergleichbarkeit sol1 ebenfalls fur die Betriebs- und Umgebungsbedingungen gelten. - Das mit der Vergleichsanlage verbundene Risiko R, mub aufgrund ausreichender Erfahrungen vertretbar gering sein: R, IR,,.

(2)

355

(2 ) Bei Erfiillung dieser Voraussetzungen ist es berechtigt, gleiche Grenzrisiken als Basisgrenzwert vorzugeben: (3)

R,, = R,, .

Ferner ist es dann such zulassig, mit der weitergehenden Forderung fiir den Umfang der SchutzmaBnahmen an der zu beurteilenden Anlage, also mit der Vorgabe des abgeleiteten Grenzwertes R,IR,

(4)

auf weitere Vertretbarkeitsaussagen zu verzichten. Erkiuterung: Ein Basisgrenzwert ist ein Grenzwert, der die gestellten Bedingungen erfiillt. Ein abgeleiteter Grenzwert ist ein vom Basisgrenzwert abgeleiteter Wert, urn ein ftir die Praxix vereinfachtes Verfahren anzubieten; er ist im allgemeinen restriktiver als der Basisgrenzwert (hier gilt fiir den abgeleiteten Grenzwert R, I R, aufgrund der Voraussetzung R, I R,, = R,,) . (3) Setzen sich die Risiken R, und R, aus den Teilrisiken Rai und ROi zusammen (siehe Abschnitt 3 (3 ) ) , gilt fiir den Risikovergleich 1

R 2

_

i= 1,2,...,n

Ro

-

i=z...nRoi

,

Rai

i=lzn(Hai

X&i) (5)

=

i=l$...‘n(H,iXSai)

1

I’.

,, 1

Werden zur weiteren Vereinfachung die Teilrisiken getrennt verglichen, gilt fiir diese

Rai

HaiXSai

R,i - HOi X S,i

51

n

i=12



)

.

.

.

.

.

(6)

Kann man ferner voraussetzen, dafi ftir die SchadensausmaRe S,i = S,i gilt, handelt es sich mit (7) nur noch urn einen Vergleich der Ereigniseintritts-Wahrscheinlichkeiten Hi, die im allgemeinen allein von den Eigenschaften und Beanspruchungen des technischen Systems abhiingen. Das Verhtiltnis (7) wirkt sich auf das Gesamtrisiko aber nur aus, wenn der risikoreduzierende Einfluss dieser Komponente im Vergleich zu den anderen hinreichend grof3 ist. (4) Zusammenfassend ist herauszustellen: Ein Risikovergleich hat - softern die vorgenannten Voraussetzunger erfiillt sind, also die Gleichsetzung der Grenzrisiken vertretbar ist - grof3e Vorteile. Er ist unubhiingig uon den ftir Grenzrisiken maBgebenden subjektiven Wertvorstehngen. Unter Umstanden eriibrigt sich such eine Abschatzung der

356

Schadenseintritts-Wahrscheinlichkeit S. Der Risikovergleich beschrankt sich dann auf den Vergleich der Ereigniseintritts-Wahrscheinlichkeiten Hi. Auch der Mehrzahl sicherheitstechnischer Gutachten und Stellungnahmen - und zwar nicht nur von Errichtern und Betreibern, sondern such von den ijberwachungsorganen - liegen Risikovergleiche zugrunde. Weiterhin fordern viele Regeln der Technik mit dem folgenden - in verschiedenen Varianten festgelegten - Zusatz zu einem solchen Risikovergleich auf: “Von den Festlegungen kann abgewichen werden, wenn mindestens gleichwertige Sicherheit gewahrleistet wird.” Selbverstandlich miissen such bei Anwendung dieses Assimilisationsprinzips die obengeannten Voraussetzungen erfiillt sein. Erltiuterung: In speziellen Fallen kann von dem abgeleiteten Grenzwert R, 5 R, abgewichen werden; dann mu& selbstverstandlich R, I R,, erfiillt sein. Eine solche Ausnahme von einer Regel gilt grundsatzlich nur fur den jeweiligen Einzelfall; bei Haufungen ist eine Regelerganzung oder -8nderung unerlaI3lich.

9. Zusttindigkeiten Fur die Ermessensentscheidungen zustandig ist - sofern die offentlichkeit betroffen ist - ohne Frage an erster Stelle der Gesetzgeber. Dieser legt die erforderlichen SchutzmaI3nahmen aber nur in bedeutsamen Fallen vollstandig fest. Im allgemeinen begniigt er sich mit mehr oder weniger detaillierten Anforderungen oder beschreibt diese mit Hilfe unbestimmter Rechtsbegriffe (zum Beispiel im Extremfall mit “Gefahren diirfen nicht auftreten” oder “Sicherheit mug gewahrleistet sein”; s. such Abschn. 5 (5) ). Dabei verlangt er unter Umstanden Genehmigungen mit oder ohne Uberwachung durch Behorden oder andere Organisationen. Haufig verweist der Gesetzgeber auf die anerkannten Regeln der Technik; unter Umstanden fordert er sogar deren Anpassung an den jeweils neuesten Stand der Wissenschaft oder Technik. Damit haben die Regelsetzer indirekt die Aufgabe, im Rahmen nationaler bzw. internationaler Gremien unter Mitwirkung der Erzeuger, Errichter, Betreiber und Entsorger sowie der Sachverstandigen sicherheitstechnische Andforderungen - unter Beachtung der gesetzlichen Vorgaben - nicht nur zu erarbeiten, sondern such weiterzuentwickeln. Auch die Regelanwender werden erwarten, da13solche Festlegungen den gesetzlichen Vorgaben entsprechen. Die hierfiir erforderlichen Ausschiisse werden entweder aufgrund von Gesetzen oder durch Initiative ijffentlicher oder privater Institutionen gebildet. In diesen Gremien sollten such unabhangige Experten die Interessen der Betroffenen, der Verursacher, Garanten und so weiter sowie die der Aufsichtsstel-

357

len oder des Staates wahrnehmen. Spatestens vor der Verijffentlichung einer Regel sollten jedoch Vertreter der Gesetzgeber hinzugezogen werden. Weitere Einzelheiten siehe Schijn (1983).

10. Zusammenfassende

Hinweise

Abschliel3end ist hervorzuheben: Die Technik - oder ganz allgemein unser Handeln in dieser Welt - ist nicht frei von Risiken, und seien sie letztendlich Wir kijnnen die Risiken durch durch Naturereignisse bedingt. SchutzmaBnahmen lediglich reduzieren, aber stets verbleiben Restrisiken. Bei all unseren technischen Handlungen miissen wir deshalb - bewuf3t oder unbewu&t- den Ermessensentscheid iiber die Vertretbarkeit des Restrisikos fallen. Zugleich werden damit indirekt (nur selten direkt ) Grenzrisiken festgelegt, die die Begriffe Sicherheit ( = vertretbar geringes Risiko) und Gefahr ( = nicht vertretbar) zu deflnieren gestatten. Ein Nein und such ein Fragezeichen des Ermessensentscheids verlangen hier grundstitzlich such die Ermittlung der Restrisiken von zu erwartenden oder gar notwendigen Ersatzvorhaben. Diese miissen dann mit denen des abgelehnten oder in Frage gestellten Vorhabens verglichen werden. Verzichten wir darauf oder verstiumen wir dies, erhiihen wir unter Umstanden die Gesamtheit unserer Risiken. Basis fir unseren Ermessensentscheid sind die unter Beriicksichtigung der getroffenen Schutzmafinahmen zu ermittelnden Risiken, also auf unseren Erfahrungen beruhende objektive Wahrscheinlichkeitsaussagen. Diese bediirfen des Sachverstandes von Experten aus verschiedenen Fachbereichen. Deren Anerkennung - in der Regel eine Frage des Vertrauens - ist ersehnte Veraussetzung. Fur die Entscheidung iiber die Vertretbarkeit dieser Risiken sind die Vorund such die sonstigen Nachteile zu ermitteln und zu bewerten - eine von den Wertvorstellungen der Beurteilenden abhangige, also subjektive Aussage - eine schwierige Aufgabe! Auch hier ist die Zustimmung der offentlichkeit erforderlich, softern kulturelle, wirtschaftliche oder politische Fragen zur Diskussion stehen. Wesentlich erleichtern liifit sich die Vertretbarkeitsaussage, wenn ein Vergleich der zu beurteilenden Anlage mit erprobten und als sicher bewerteten Anlagen oder Anlageteilen mijglich ist. Dann sind in der Regel nur von technischen Bedingungen abhangige Risikoparameter zu bewerten. Auf solche Risikovergleiche stiitzen sich viele Stellungnahmen und Gutachten. Bei schwerwiegenden Entscheidungen wird dieses Verfahren oft in Frage gestellt und damit zwangsweise die offentlichkeit eingeschaltet. Urn die Losung der beschriebenen Probleme zu erleichtern, ist die Erarbeitung eines zwischenstaatlich anerkannten Grundkonzeptes der Sicherheits-

358

technik unerWlich. Dieses Ziel verlangt eine enge Zusammenarbeit zwischen den Sachversttindigen der technischen Bereiche und des technischen Rechts sowie den regelsetzenden Gremien. - Ferner sollte die Forschung in diesem Bereich verstarkt und eine schnelle Klarung der angesprochenen Probleme angestrebt werden - vornehmlich die Frage der Aufteilung oder Zusammenfassung der sicherheitstechnischen Arbeitsbereiche, z.B. die der Arbeits-, Verkehrs-, Umwelt- und Reaktorsicherheit. Mit besonderem Nachdruck wird jedoch auf die Notwendigkeit hingewiesen, die Betroffenen im weitesten Sinn, also die offentlichkeit, mit den zu bewtiltigenden Grundproblemen und deren Hintergriinden vertraut zu machen. Die sich ausweitenden Diskussionen unter zunehmender Beteiligung der offentlichkeit bediirfen dringend einer Versachlichung - vornehmlich des Verzichts auf Absolutheitsanspriiche - gewiB eine schwierige Aufgabe.

References DIN,

1987. DIN/VDE

31 000 Tie1 2, Dezember

1987: Allgemeine

Leitsltze

fur das sicherhei-

tsgberechte Gestalten technischer Erzeugnisse - Begriffe der Sicherheitstechnik Grundbegriffe. EG-Maschienenrichtlinie, 1991 (89/392/EWG). Basis fur EN 292 Teil lu.2 (1991): Safety of machinery; Basic concepts, general principles for design; Part 1: Basic terminology, methodology, Part 2: Technical principles and specifications (gemal der am 20.6.91 vom EG-Rat erlassenen Anderung zur Angleichung der Rechtsvorschriften der Mitgliedstaaten miissen Teil 1 und 2 zum Teil tiberarbeitet werden). IEC, 1992. IEC 56 (Set) 353, Entwurf April 1992: Requirements and guidelines for analysis of technological risks (in vorliegender Form von Deutschland abgelehnt ). ISO, 1986. ISO/IEC-Guide 2: General terms and their definitions concerning

standardisation

and

related activities. 5. ed. ISO, 1990. ISO/IEC-Guide 51: Guidelines for the inclusion of safety aspects in standards, 1. ed. Schiin, G., 1980. What is meant by risk? Basic technical views for the initiation and applications of safety legislation. J. Occup. Accid., 2: 273-281. Schiin, G., 1983. Grundlagen der Erfassung und Bewertung technischer Bd. 36, Heft 3 Marz 1983,122-127.

Risiken. J. Erdiil Kohle,