Prof. Ursula Stephan - Prof. Ulrich Hauptmanns - Dr. Jürgen Herrmann
Wissen / Informationen
Anlagen(-sicherheit) und Technik
Anlagensicherheit (process safety) und Arbeitssicherheit (work safety) - Eine kurze
Einführung
Anlagensicherheit und Arbeitssicherheit (der Begriff Arbeitssicherheit wird hier
als Oberbegriff verwendet und beinhaltet auch Arbeitsschutz) kann man vielleicht
einfach als zwei Seiten derselben Medaille ansehen.
Beide haben vieles gemeinsam, u.a. führen die mit ihnen zusammen-hängenden Aktivitäten
zur Verbesserung von Arbeits- oder Anlagen-sicherheit meist zu, auf den ersten Blick
zu denselben, Ergebnissen: Es gibt weniger Unfälle!
Gute Arbeit oder Leistungen bei der Arbeitssicherheit isind aber keine Garantie dafür,
dass auch alle anderen Probleme in einer Organisation gut beherrscht werden und unter
Kontrolle sind!
Insbesondere bedeuten gute Arbeit oder Leistungen bei der Arbeits-sicherheit noch
lange nicht, dass auch gute Arbeit bei der Anlagen-sicherheit von einer Organisation
geleistet wird, bzw. die Anlagen auch technisch sicher sind (Gute anlagensicherheit).
Das haben leider verschiedene große Industrieunfälle in den letzten Jahren gezeigt
/4, 5, 6 und 7/.
Hier ein Versuch Arbeitssicherheit und Anlagensicherheit sehr kurz zu charakterisieren:
Arbeitssicherheit bedeutet:
Arbeit wird geplant und kontrolliert (Technik, Organisation und Verhalten), und
alle Beteiligten halten die Arbeitsschutzregeln ein und arbeiten sicher.
Anlagensicherheit bedeutet:
Anlagen werden nach dem Stand der Technik und Sicherheitstechnik geplant und konstruiert,
gebaut, betrieben, in Stand gehalten, geändert und außer Betrieb genommen.
Für beide, Arbeitssicherheit und Anlagensicherheit, gilt:
Es werden alle relevanten gesetzlichen, technischen und industriellen Regeln und
Normen eingehalten.
Gefahren und Risiken werden identifiziert und beherrscht (Häufigkeit vermindern oder
Auswirkung reduzieren).
Gefährdungs- und Arbeitsplatz-Analysen (critical work and work place assessments)
Gefahren- und Risiko-Analysen (hazard and risk assessments)
Es werden Planungen und Vorbereitungen für Ereignisse und Unfälle proaktiv getroffen.
Alarm- und Unfallmeldeketten, Alarm- und Gefahrenabwehr-planung (emergency response
and management)
Krisenmanagement (crisis management)
Arbeitssicherheit und Analgensicherheit werden überwacht und kontrolliert, ihre Ergebnisse
(Kennzahlen und key perfomance indicator (KPI)) werden gemessen und ausgewertet
und die daraus gewonnenen Erkenntnisse werden für Verbesserungen genutzt.
Systematik der Anlagensicherheit
Kritik der Unfallpyramide (accident triangle)
Das Loss Control (LC) Modell wurde in den 60er Jahren von Bird und Germain /1/ beschrieben.
Bird und Germain gingen davon aus, dass jedem Unfall ein Reihe unsicherer Handlungen
und Zustände vorausgehen und haben dies in einer Unfallpyramidedargestellt.
Ein Beispiel für eine Unfallpyramide, abgeleitet von /1, 2, 6 und 7/ ist in der folgenden
Abbildung zu sehen:
Solche Unfallpyramiden und die damit zusammen hängenden Überlegungen und Konzepte
waren eine Art Leitbild und Begründung für viele erfolgreiche Initiativen und Maßnahmen
zur Verringerung von Unfallzahlen.
Und die Erfolge waren beeindruckend! Unfallzahlen konnten mit Hilfe dieser Initiativen
und Maßnahmen über die letzten Jahrzehnte dramatisch reduziert werden, teilweise
sind sie heute über 90 % niedriger als vor wenigen Jahrzehnten.
Ein Beispiel aus der Ölindustrie:
Im Rahmen der positiven Entwicklungen des Unfallgeschehens kam es aber zu einem schwerwiegenden
Missverständnis:
Abnehmende Unfallzahlen bei der Arbeitssicherheit und die damit einhergehenden Verbesserungen
im Arbeitsumfeld wurden als Synonym für eine Verbesserung der Arbeitsbedingungen
insgesamt gewertet, und insbesondere auch als eine parallel laufende Entwicklung
und Verbesserung auf dem Feld der Anlagensicherheit fehlgedeutet.
Es kam, trotz sehr geringer Unfallzahlen in den jeweiligen Unternehmen, zu schweren
Industrieunfällen, z.B. Texas City, Buncefield, usw.. Sinngemäß (nach /4, 5, 6, 7
und 8/) wurde bei den Untersuchungen zur Explosion in der Raffinerie in Texas City
2005 folgendes festgestellt:
For some time, e.g., the last 20 to 30 years, there has been too much a focus on
personal safety, also due to the fact that personal safety can easily be measured
and compared (e.g., by accident rates). Over the years, these rates have dropped
dramatically, and management was brought to believe that, if these indicators are
low and still dropping, then everything is alright. Management primarily focused
on environmental and personal safety, and too little on process safety and basic
operations. In consequence they forgot about other not so well-known indicators and
were dumbfounded when serious process incidents suddenly occurred.
Es scheint heute klar zu sein, dass gute Leistungen bei der Arbeitssicherheit nicht
gleichbedeutend sind mit guten Leistungen bei der Anlagensicherheit. Vielmehr gilt
wohl:
Niedrige Unfallzahlen (Arbeitssicherheit) ≠ Sichere Anlagen (gute Anlagensicherheit) Die
Folgerungen aus den Überlegungen und Modellen zur Unfallpyramide haben ganze Industrien
in dem Glauben bestärkt, dass ihre niedrigen Unfallzahlen gleichbedeutend mit guten
Leistungen auf anderen Gebieten, also auch der Anlagensicherheit sind. Und sie haben
dazu geführt, dass Anlagensicherheit in vielen Unternehmen zu Gunsten von Arbeitssicherheit
vernachlässigt wurde. In letzter Konsequenz waren sie eine der wesentlichen Ursachen
für schwere Industrieunfälle.
A. Hopkins schreibt dazu /8/:
„No airline in its right mind would seek to convince the travelling public of how
safe it is by telling us about its workforce injury statistics.”
JH 17.11.2017
Literaturhinweise (nur Beispiele)
1.
F.E. Bird, G.L. Germain, F.E. Bird, Jr.: Practical Loss Control Leadership, International Loss Control Institute, Atlanta, GA 1986
2.
J. Reason, Human Error, Cambridge University Press, Cambridge 1990
3.
F. Burkhardt, I. Colin, Zur Sicherheit führen, Universum Verlagsanstalt, Wiesbaden 1997.
4.
U.S. Chemical Safety and Hazard Investigation Board (CSB), Report No. 2005-04-I-TX (March 2005), Refinery Explosion and Fire, www.csb.gov/bp-america-refinery-explosion/
5.
KAS Leitfaden KAS 7, Empfehlungen der KAS für eine Weiterentwicklung der Sicherheitskultur -Lehren nach Texas City 2005, 2007; www.kas-bmu.de/publikationen/kas/KAS_7.pdf
J. Herrmann, A. Ruddat, C. Schwiederowski, Management of Safety in the Petrochemical and Oil Industry, in: U. Hauptmanns (Ed.): Plant and Process Safety 8, Ullmann's Encyclopedia of Industrial Chemistry, 8th ed., Wiley-VCH, Weinheim 2012: DOI: 10.1002/14356007.q20_q07 www.onlinelibrary.wiley.com/doi/10.1002/14356007.q20_q07/abstract
8.
A. Hopkins, “Failure to Learn - The BP Texas City disaster”, CCH Australia Limited, 2010, ISBN 978-1-921322-44-0
Fehlerpyramide der Anlagensicherheit - eine Weiterentwicklung der Unfallpyramide
ExpertenNetzwerk Chemikalien-Anlagen-Arbeit Sicherheit (ENS) schlägt im Folgenden
eine Fehler-Pyramide für Anlagensicherheit als Erweiterung im Rahmen des bisherigen
Modells für Arbeitssicherheit vor.
LOPC = Loss of Primary Containment
SRS = Safety Related System
SIS = Safety Integrated System
Hier wird davon ausgegangen, dass:
Anlagensicherheit und Arbeitssicherheit, sich statistisch systematisch ähnlich verhalten, d.h.
es wird die Annahme gemachte, dass es tatsächlich eine Fehler-Pyramide für Anlagensicherheit,
analog der Unfallpyramide der Arbeitssicherheit, gibt, wobei die Form und Dimensionen
der Pyramide sehr unterschiedlich sein können und wohl in Realität auch sind (in
der Abbildung ist dies durch die unterschiedlichen Größen angedeutet).
Anmerkungen: u.a. wegen der sehr geringen Anzahl von schweren Industrieunfällen wird
es allerdings wohl schwer fallen, die Zahlen für die verschiedenen Ebenen der Fehler-Pyramide
für Anlagensicherheit statistisch valide anzugeben.
Beide Pyramiden überschneiden sich, d.h. es gibt Ursachen die „sowohl als auch“ ODER
„entweder oder“ zu einem Ereignis der Anlagensicherheit oder der Arbeitssicherheit
führen können. In der Abbildung wird dies als ein drittes, schraffiertes Dreieck dargestellt
(Form und Dimensionen des dritten Dreieckes können ebenfalls sehr anders als die
der Unfallpyramide der Arbeitssicherheit und die der Fehler-Pyramide der Anlagensicherheit
sein).
Die Ebenen der Unfallpyramide der Arbeitssicherheit und der Fehler-Pyramide der Anlagensicherheit
sind ähnlich aber nicht gleich,
sie lassen sich jeweils auf konkrete Sachverhalte zurückführen, und durch konkrete
Kennzahlen (KPI) beschreiben (für Arbeitssicherheit ist dies seit vielen Jahren bekannt,
für Anlagensicherheit wurden KPIs nach dem Unfall in Texas City eingeführt, werden
aber noch nicht überall durchgängig angewendet),
es gibt reaktive (es ist bereits etwas Negatives passiert) und proaktive (es ist
noch nichts Negatives passiert, oder konnte noch – durch Eingriff von Sicherheitseinrichtungen
oder Menschen - verhindert werden) Kennzahlen.
Einen ähnlichen Vorschlag, wie hier dargestellt, macht A. Hopkins in seiner Analyse
zu Texas City 2005 ENS weist hier explizit auf seine Analysen und Ausführungen hin
und empfiehlt die Lektüre des Buches “Failure to Learn - The BP Texas City disaster”
/8/.
Anlagensicherheit und Arbeitssicherheit -Systematik der Anlagensicherheit
War deshalb alles falsch?
Nein, Unfallzahlen haben sich tatsächlich in fast allen Arbeitsbereichen deutlich
verbessert, Loss Control und die damit verbundenen Anstrengungen haben die Arbeitswelt
zum Besseren verändert.
Aber die Unfallpyramide bzw. die damit zusammenhängenden Überlegungen, Modelle und
Maßnahmen müssen weiter entwickelt und den neuen Erkenntnissen angepasst werden.
Letztendlich soll damit auch erreicht werden, dass eine Systematik der Anlagensicherheit
analog der Systematik der Arbeitssicherheit gibt.
Zu einer solchen Systematik der Anlagensicherheit gehören aus Sicht von ENS:
Erfassung, Untersuchung, Bewertung und Dokumentation von Near Misses, Ereignis- und
Unfallzahlen
Key Performance Indikatoren (KPI) (leading and lagging indicators)
Lernen aus Near Misses, Ereignissen und Unfällen (lessons learnt process)
Begehungskonzept für Anlagensicherheit (für Arbeitssicherheit siehe Burkhardt-Modell)
Ziel- und Planungs-Prozess
Kontraktoren, Fremdfirmen und Partnerfirmen Management (contractor and partner management
process)
…
Kennzahlen (key perfomance indicator, KPI) für Anlagensicherheit
Im Folgenden sind Kennzahlen (KPI) für Anlagensicherheit aufgeführt, die international
vereinbart wurden (siehe z.B. bei API –American Petroleum Institute /9 und 10/-,
CCPS –Center for Chemical Process Safety /11/- oder VCI –Verband der Chemischen Industrie-).
In der Regel werden dabei reaktive KPI (also sogenannte lagging indicators) veröffentlicht.
Der Stand der Umsetzung dieser internationalen Anstrengungen zur Einführung von Process
Safety KPI wird zur Zeit (Mai 2014) folgendermaßen eingeschätzt:
ExpertenNetzwerk Chemikalien-Anlagen-Arbeit Sicherheit (ENS) beschreibt im Folgenden
bereits bestehende Überlegungen und macht Vorschläge für weitere proaktive (also
sogenannte leading indicators) Kennzahlen.
Wichtiges Kriterium für proaktive KPI aus Sicht von ENS ist dabei, dass die proaktiven
Kennzahlen möglichst eindeutig bestimmbar/messbar und nachvollziehbar/beweisbar sein
müssen.
Deshalb kommen Kennzahlen, die auf individuellen Definitionen oder speziellen Bedingungen
einzelner Organisationen beruhen eher weniger in Frage. Diese können zwar für die
jeweilige Organisation wichtig und erkenntnisreich sein (deshalb sollten sie dort
auch genutzt werden), aber sie führen bei Vergleichen zwischen verschiedenen Organisationen
(und diese werden bei Vorliegen von Zahlen immer gemacht) leicht in die Irre.
Beispiele:
Audit Findings werden oft als proaktive Kennzahlen ausgewertet. Allerdings hängt
die tatsächliche Zahl solcher Findings u.a. davon ab, welche Ziele ein Audit verfolgt,
oder, wie oft und wie tiefgehend ein Audits durchgeführt werden, oder, wie qualifiziert
die Auditoren sind usw..
Eher geeignet wären aus Sicht von ENS die Ergebnisse aus externen Audits, oder die
entsprechenden Überprüfungen durch Behörden. Allerdings müsste auch dabei eine einheitliche
„Qualität der Audits/Prüfungen“ sichergestellt werden. Aus diesen Gründen treffen
Audit sehr wohl Feststellungen über die spezielle Organisation, wo das Audit stattgefunden
hat, sind aber für Vergleiche zwischen unterschiedlichen Organisationen weniger geeignet.
Gleiches gilt aus Sicht von ENS auch für z.B. die Anzahl von Schulungen, die Geldmenge
für Sicherheits-relevante Maßnahmen, usw..
Die Kennzahlen in der Abbildung:
• Störfall
• Leckage (leak (LOPC)): Toxische Stoffe ab 5 kg (GHS), Leicht entzündbare Gase
ab 50 kg, Sonstige gefährliche Stoffe ab 100 kg; Mehrer gleichzeitige Gasalarme bei
einer Leckage; Feuer / Explosionen / Verpuffung(Einstufung in D: Großbrand, Mittelbrand)
• Leckage (leak (LOPC)): alle Mengen < oben genannte Schwellen; Mehrer gleichzeitige
Gasalarme bei einer Leckage mit Überschreitung der unteren oder oberen Explosionsgrenzen;
Feuer (Einstufung in D: Kleinbrand a, b)
• Anlagenabstellung durch automatischen oder manuellen Notaus; ROTER Bereich bei
Operating Windows; z.B. HH oder LL Abschaltungen; Mehrer gleichzeitige Gasalarme
bei einer Leckage
• Alarmmeldungen/Intervention von SRS/SIS unterhalb Notaus-Schwelle; GELBER Bereich
bei Operating Windows; z.B. HH oder LL Alarme; Einzelne Gasalarme bei einer Leckage
• Ausfall SRS/SIS; Instandsetzungsmassnahmen außerhalb planmässiger Intervalle, Wiederholungsreparaturen;
Alle sonstigen ungeplanten Anlagenausfälle und Störungen
