Risikobewertung von Betriebsbereichen in der Praxis

Die Risikobewertung komplexer technischer Systeme ist zwar nichts prinzipiell Neues; allerdings erfordert sie eine andere als die rein deterministische Denkweise. Hinzu kommt, dass quantitative Risikoanalysen sehr aufwendig sind, was insbesondere kleine und mittlere Unternehmen mit Betriebsbereichen, die der 12. BImSchV unterliegen, überfordern kann. Deshalb wurde eine Methodik entwickelt und angewendet, die mit annehmbarem Aufwand die Durchführung einer systematischen Risikobewertung von Betriebsbereichen ermöglicht. Die Bewertung von komplexen technischen Systemen und Anlagen unter dem Gesichtspunkt des Risikos ist nicht neu. Bereits seit den 1970er Jahren gelangten quantitative Risikoanalysen in das Bewusstsein größerer Kreise der technisch-wissenschaftlichen Gesellschaft und zwar im Zusammenhang mit Kernkraftwerken [1], [2]. Der erforderliche Ingenieur-Aufwand für solche Untersuchungen belief sich jeweils auf sehr viele Fachkräfte-Jahre.

Bei konventionellen Anlagen und technischen Einrichtungen wurden deshalb quantitative Risikoanalysen zunächst nur in Ausnahmefällen durchgeführt, etwa wenn Gefahrenpotenziale von Anlagenbetreibern und Aufsichtsbehörden völlig konträrer bewertet wurden, oder bei äußerst kontrovers diskutierten Projekten wie etwa der Errichtung von Sonderabfallverbrennungsanlagen in Ballungsgebieten, oder als die Erweiterung eines Großflughafens zu einer zusätzlichen Gefährdung eines Chemiebetriebs führte [3]. Auch diese Untersuchungen erforderten einen Aufwand in der Größenordnung von Fachkräfte-Jahren.

Es ist nachvollziehbar, dass ein derart großer Personaleinsatz manchem Betrieb mit Anlagen, die der 12. BImSchV (Störfall-Verordnung) [4] unterliegen, als unverhältnismäßig hoch erscheint. Es wird auch hinterfragt, ob der für die Durchführung einer quantitativen Risikoanalyse erforderliche zusätzliche Fachkräfte-Aufwand nicht die Grenze des Zumutbaren eines im internationalen Wettbewerb stehenden Betriebs überschreitet.

Die frühen Risikostudien wurden auch von Teilen der Öffentlichkeit wahrgenommen. Es war allerdings festzustellen, dass sowohl das Rechnen mit Wahrscheinlichkeiten als auch die kalkulatorische Berücksichtigung von Toten und Verletzten in diesen Risikoanalysen – insbesondere im deutsch-sprachigen Raum – auf Argwohn und oft sogar auf völlige Ablehnung stießen. Auch manche Ingenieure, die sich in Betrieben oder bei Genehmigungs- und Aufsichtsbehörden beruflich mit der Sicherheit von Industrieanlagen beschäftigen, waren skeptisch. Manche sind es bis heute.

Risikoanalysen – Gründe für die Skepsis

Eine eindimensionale Erklärung hierfür kann nicht gegeben werden. In jedem Fall spielt die über mehrere Generationen angesammelte Erfahrung mit Vorschriften, Regelwerken und Gesetzen nicht nur im technischen, sondern auch im gesellschaftlichen Bereich eine Rolle, wonach nichts schief geht und alles funktioniert, wenn man sich nur exakt an die Regeln hält. Dies stimmt zwar fast immer. Die Erfahrung zeigt jedoch, dass trotz bester Vorsorge und penibelster Einhaltung aller Vorschriften Störfälle dennoch nicht mit letzter Sicherheit ausgeschlossen werden können.

Die meisten Menschen unterscheiden Risiken (subjektiv) unterschiedlich, je nachdem, ob sie sich selbst einem Risiko aussetzen, oder ob es von außen an sie herangetragen wird. Hohe Risiken beispielsweise durch gefährliche Sportarten, ungesunde Ernährung, Rauchen, Alkohol- und Drogenkonsum werden eher akzeptiert als das ggf. geringe Risiko, das von einem benachbarten Betrieb ausgeht. Mental wird oft auch das Risiko durch Teilnahme am Straßenverkehr als Fahrer gering bewertet, hingegen als hoch, wenn die Beteiligung am Verkehr passiv ist (Fußgänger, Beifahrer).

Weiterhin ist zu beobachten, dass der Risikobegriff nicht immer richtig verwendet wird – vor allem im Zusammenhang mit negativen Ereignissen wie Stör- und Unfällen. Viele Anlagenbetreiber vermeiden deshalb die Verwendung des Begriffs Risiko schon aus dem Grund, weil dieses Wort von Gegnern einer technischen Anlage argumentativ missbraucht werden kann. Selbst wenn eine Anlage besonders sicher ist und von ihr nur ein äußerst geringes (Rest-)Risiko ausgeht, wird Risiko oft – unbewusst oder bewusst, aber fälschlicherweise – mit „Gefahr“, Gefährdung“, „Unfallgefahr“, „Unfall“ etc. gleichgesetzt, so dass der Eindruck entsteht, die Anlage sei besonders gefährlich.

Auch das Denken in Wahrscheinlichkeiten bzw. Häufigkeiten, mit denen Ereignisse zu erwarten sind, ist vielen Menschen fremd, insbesondere dann, wenn es sich um kleine Wahrscheinlichkeiten handelt. Dies lässt sich mit unserem Erfahrungshorizont erklären, der sich auf etwa 80 bis 100 Jahre (drei Generationen) erstreckt. Man kann sich noch vorstellen, dass durchschnittlich alle 10 Jahre ein Großbrand vorkommt, oder dass beispielsweise in der eigenen Stadt im Mittel alle 25 Jahre ein Wohnhaus durch eine Gasexplosion zerstört wird. Hingegen fallen Ereignisse, die mit einer Häufigkeit von durchschnittlich einmal in 500 Jahren zu erwarten sind, gedanklich in die gleiche Kategorie wie solche, deren voraussichtliche Eintrittshäufigkeit bei einmal in 50 000 Jahren liegt.

Gründe für die Durchführung von Risikoanalysen

Mehrere Gründe sprechen für die Durchführung von Risikoanalysen. Die wichtigsten sind:

• Risiken, die von unterschiedlichen Gefährdungspotenzialen ausgehen, lassen sich vergleichen. So kann das Risiko, dem ein Anwohner einer Anlage ausgesetzt ist, die beispielsweise toxische Stoffe verarbeitet, dem Risiko durch Naturereignisse wie Erdbeben oder Überflutung und auch dem Risiko, das der Anwohner freiwillig selbst eingeht, gegenübergestellt werden. Sofern nicht vorgefasste Meinungen dem entgegenstehen, lässt sich damit ein Beitrag zur Akzeptanz von technischen Anlagen leisten.
• Durch die systematische Risikobewertung einer gesamten Anlage können diejenigen (i.d.R. wenigen) Teilbereiche herausgefunden werden, von denen ein erhöhtes Risiko ausgeht. Durch die Umsetzung risikomindernder Maßnahmen lässt sich damit gezielt das gesamte von der Anlage ausgehende (Rest-)Risiko verringern.
• Betriebsbereiche, die nach § 1 der 12. BImSchV [4] der oberen Klasse zuzuordnen sind, müssen eine Risikobewertung durchführen.

Die derzeit in Deutschland geltende 12. BImSchV stellt eine Umsetzung der Seveso-III-Richtlinie [5] in deutsches Recht dar. Diese Richtlinie ist nicht nur das EU-weit für alle Mitgliedsstaaten geltende übergeordnete Regelwerk zur Beherrschung der Gefahren schwerer Unfälle mit gefährlichen Stoffen; Seveso III ist vielmehr auch für den Europäischen Wirtschaftsraum (EWR) bedeutsam.

Die Seveso-III-Richtlinie schreibt vor, dass eine Ermittlung und Analyse der Risiken von Unfällen und Mittel zu deren Verhütung mit eingehender Beschreibung der Szenarien möglicher schwerer Unfälle nebst der Wahrscheinlichkeit sowie Beurteilung des Ausmaßes und der Schwere der Folgen der ermittelten schweren Unfälle als Information im Sicherheitsbericht enthalten sein muss (siehe Seveso-III-Richtlinie, Anhang II, Nr. 4). Weiterhin ist ein Sicherheitsmanagementsystem im Hinblick auf die Verhütung schwerer Unfälle erforderlich. Dieses hat die Aspekte der Ermittlung und Bewertung der Gefahren schwerer Unfälle zu berücksichtigen sowie eine Beurteilung der Eintrittswahrscheinlichkeit und der Schwere solcher Unfälle (Seveso-III-Richtlinie Anhang III, b, ii).

 

Entsprechendes findet sich in der Störfall-Verordnung: Zu den erforderlichen Mindestangaben im Sicherheitsbericht gehören die Ermittlung und Analyse der Risiken von Störfällen und die Mittel zu deren Verhinderung, wobei eine Beschreibung möglicher Störfälle nebst ihrer Eintrittswahrscheinlichkeit und eine Abschätzung der Schwere der Folgen der ermittelten Störfälle erforderlich ist (siehe 12. BImSchV, Anhang II, Nr. IV, Punkt 1 und 2). Auch ein Sicherheitsmanagementsystem ist erforderlich, das auf einer Risikobeurteilung beruht. Hierzu muss eine systematische Sicherheitsbewertung durchgeführt werden. Im Einzelnen sind ein Verfahren zur systematischen Ermittlung der Gefahren von Störfällen festzulegen und anzuwenden sowie die Wahrscheinlichkeit und Schwere solcher Störfälle abzuschätzen (12. BImSchV, Anhang III, Punkt 1 und Punkt 2 b). Es ist erforderlich, dies im Sicherheitsbericht zu dokumentieren (12. BImSchV, Anhang II, Nr. I).

Da eine quantitative Risikoanalyse – wie bereits erwähnt – sehr aufwendig ist, wurde die Methodik SQP (Semi-quantitative Prozedur) mit dem Ziel entwickelt, eine vereinfachte und dennoch aussagekräftige systematische Risikobewertung von Betriebsbereichen durchführen zu können. SQP besteht aus zwei Teilen, der tabellarischen Risikoanalyse und AKAS (Analyse durch konservativ abdeckende Selektion). Im Folgenden werden zunächst die beiden Komponenten von SQP erläutert und das praktische Vorgehen bei dieser Risikobewertung vorgestellt. Dem schließt sich ein Erfahrungsbericht über die Einführung von SQP in der Praxis an.

Tabellarische Risikoanalyse

Eine systematische Sicherheitsbewertung muss zunächst den gesamten Betriebsbereich erfassen. Für die tabellarische Risikoanalyse wird dieser in zusammengehörige Sub-Systeme unterteilt, die dann jeweils im Hinblick auf vorhandene Gefahrenpotenziale und Störfall verhindernde Vorkehrungen bewertet werden.

Ein Betriebsbereich setzt sich in der Regel aus mehreren Teilanlagen zusammen, die als solche Sub-Systeme definiert werden können, wie beispielsweise Eingangstanklager, Prozesslinie zur Herstellung eines Stoffs, Reinigungsanlage und Lager für die Endprodukte. Bei einer Ethylen-Anlage mit einem abschnittsweisen Not-Abschott- und Entleerungssystem (NAES) bietet sich eine Betrachtung derjenigen Anlagenteile als Sub-System an, die zu den einzelnen Abschottbereichen gehören.

In den Sub-Systemen oder Teilanlagen sind (meist zahlreiche) Maßnahmen und Vorkehrungen vorhanden, die einen sicheren Betrieb gewährleisten sollen. Trotzdem ist nicht auszuschließen, dass es durch Versagen von Komponenten oder durch Fehlhandlungen nicht nur zu einer Betriebsstörung, sondern einem Störfall kommt. Die Ursache für einen Störfall kann auch sein, dass ein Anlagenteil eine sicherheitstechnische Schwachstelle aufweist, die in einer bestimmten Ereigniskette zum Versagen führt und einen Störfall auslöst. Diese gilt es herausfinden. Hierzu werden systematisch alle denkbaren Ereignisketten oder Szenarien, die zu einem Störfall führen können, betrachtet und jeweils in eine Tabelle eingetragen (siehe Tabelle 1). Die Vorgehensweise ist wie folgt :

Ausgehend von dem im betrachteten Sub-System der Anlage (Spalten 2 und 3) vorhandenen Gefahrenpotenzial und den pessimistisch denkbaren Folgen von Störungen (Spalte 4) werden zunächst das unerwünschte auslösende Ereignis oder die denkbare Ursache der Störung aufgelistet (Spalte 5). Darauf aufbauend wird das zum Störfall führende Szenario in Form der denkbaren Ereignisablaufkette stichwortartig erläutert und das potenzielle Schadensausmaß angegeben (Spalte 6). Der Schaden wird i.d.R. durch einen gefährlichen Stoff verursacht (Spalte 7), der beispielsweise giftig ist oder eine Explosion verursachen kann. Die Spalten 4 bis 7 dienen der Kurzdarstellung des unterstellten Störfalls und des möglichen Schadensausmaßes unter der Annahme, dass keine oder nur ungenügende Vorsorge gegen den Störfall getroffen wurde, oder dass Sicherheitseinrichtungen (sowohl technische als auch organisatorische sind zu betrachten) versagen.

Die vorhandenen Maßnahmen zur Verhinderung des Störfalls und – sollte er dennoch eintreten – diejenigen zur Begrenzung seiner Auswirkungen werden ebenfalls aufgelistet (Spalte 8). Es kann sich sowohl um technische Vorkehrungen als auch um organisatorische Maßnahmen handeln. Beispiele sind die automatische Zugabe eines Inhibitors in einen Reaktor bei einsetzender Durchgehreaktion, Abschott- und Not-Aus-Systeme, Alarmierungssysteme, Gefahrenabwehr durch Einsatzkräfte, Brandbekämpfung mittels fest installierter Löscheinrichtungen oder durch die Feuerwehr. Mit den störfallverhindernden Maßnahmen und Vorkehrungen wird i.d.R. wirkungsvoll Vorsorge dagegen getroffen, dass sich Betriebsstörungen nicht zu Störfällen entwickeln.

Stellt man bei der Analyse allerdings fest, dass sicherheitstechnische Schwachstellen vorhanden sind, kann es gegebenenfalls zu einem Störfall kommen. Mit dem voraussichtlichen Schadensausmaß und der zu erwartenden Eintrittswahrscheinlichkeit lässt sich dann, wie im nächsten Abschnitt erläutert, das Risiko für diesen Störfall abschätzen. Erforderlichenfalls muss dann nachgerüstet werden, oder es sind administrative Maßnahmen zu ergreifen.

Berechnung des Risikos

Das Vorhandensein störfallverhindernder Maßnahmen sowie deren Zuverlässigkeit und Wirksamkeit sind eine wichtige Grundlage zur Bewertung der Wahrscheinlichkeit, mit der ein Störfall eintreten kann. Falls es sicherheitstechnische Schwachstellen gibt, ist die Störfall-Eintrittswahrscheinlichkeit größer; existieren jedoch beispielsweise redundante Systeme zur Verhinderung eines Störfalls ist dieser mit weit geringerer Wahrscheinlichkeit zu erwarten.

Zur Abschätzung und Bewertung des Risikos von Störfällen ist eine Gesamtschau von zu erwartendem Schaden und der Wahrscheinlichkeit, dass dieser eintritt, erforderlich. Das Risiko R ist definiert als Produkt aus Schadensausmaß S und Eintrittswahrscheinlichkeit W:

 

R = S ^. W

 

In einer quantitativen Risikoanalyse kann das Schadensausmaß S unter mehreren Gesichtspunkten erfasst werde. Es ist möglich, S beispielsweise als zu erwartenden Sachschaden (z.B. in Mio €), als Personenschaden (Zahl der zu erwartenden Toten oder Verletzten), oder indirekt als Schadstoffkonzentration am Aufpunkt (z.B. in mg/m³ Atemluft) oder als Umweltschaden (z.B. in g/m² kontaminierter/verseuchter Agrarfläche) oder als Image-Schaden (verbal: z.B. sehr groß, vergleichsweise gering, oder auch als Zahl der Negativ-Berichte in den Medien) angeben. Bei Bedarf kann der Anwender den Schaden auch fallweise selbst definieren.

Die Wahrscheinlichkeit wird bei einer quantitativen Risikoanalyse als durchschnittlich zu erwartende Häufigkeit des Ereignisses pro Jahr angegeben. Wenn beispielsweise ein bestimmter unterstellter Störfall A im Durchschnitt zweimal pro Jahr erwartet wird, ist die Wahrscheinlichkeit hierfür W_A = 2 a^-1. Falls ein Störfall B hingegen durchschnittlich nur alle 10 Jahre einmal zu erwarten ist, bedeutet dies 1/10-mal je Jahr; somit ist W_B = 0,1 a^-1.

Wenn eine Statistik zeigt, dass beispielsweise von angenommen 200 Chemie-Anlagen, die sich in Einflugschneisen von Flughäfen befinden, im Durchschnitt alle 50 Jahre eine durch ein abstürzendes Flugzeug getroffen wird, dann ist die Wahrscheinlichkeit W_C für solch ein Ereignis für jede dieser Anlagen W_C = 1/(200 ^. 50) a^-1 = 10^–4 a^-1 . Im Durchschnitt ist der Einschlag eines abstürzenden Flugzeugs je Anlage demnach einmal in 10 000 Jahren zu erwarten.

Falls dadurch ein Sachschaden S_C in Höhe von 80 Mio. € entsteht (und angenommen keine Personen- und Umweltschäden), lässt sich das Risiko R_C einfach abschätzen. Es beläuft sich auf 80 Mio. € mal 10^–4 a^-1, also 8 000 €/a. Wollte die Firma sich gegen die Folgen eines Absturzes versichern, würde die Versicherung eine Prämie auf dieser Basis festlegen, also jährlich nicht unter 8 000 € in Rechnung stellen.

Näherungsverfahren zur Risikoabschätzung

Da die Durchführung einer quantitativen Risikoberechnung zwar möglich, jedoch sehr aufwendig ist, wurde für die praktische Anwendung im Rahmen der semi-quantitativen Prozedur (SQP) ein einfacheres Verfahren entwickelt. Dieses geht nicht von exakten, meist sehr aufwendig zu bestimmenden quantitativen Werten für das jeweilige Schadensausmaß S und die Eintrittswahrscheinlichkeit W aus, sondern von Risikoparametern Sn für das Schadensausmaß und Wn für die Wahrscheinlichkeit. Aus diesen wird dann das Risiko in Form einer Risiko-Kennziffer Rn bestimmt (Bild 1).

Auch für die Eintrittswahrscheinlichkeit W des unerwünschten Ereignisses werden in der Methodik SQP zur Vereinfachung der Risikoanalyse abgestufte Parameter Wn gewählt, was ebenfalls in Anlehnung an [6], [7] und [8] geschieht. In der Praxis der Risikobewertung ist allerdings eine dreistufige Rasterung zu grob. Insbesondere fehlt die Möglichkeit, auch äußerst seltene Ereignisse (die möglicherweise große Schäden hervorrufen) bewerten zu können. Deshalb wird noch der Parameter W0 hinzugenommen, so dass sich für die Wahrscheinlichkeitsparameter Wn eine Spannweite von W0 (extrem gering) bis W3 (relativ hoch) ergibt. Eine Zusammenstellung dieser Parameter mit kurzer Erläuterung ihrer Bedeutung und typischen Wahrscheinlichkeitswerten findet sich in Tabelle 3.

 

W_Br = 5 ^. 10^–2 a^-1 .

 

Mit den Parametern S0 bis S4 für das Schadensausmaß und W0 bis W3 für die Eintrittswahrscheinlichkeit des unerwünschten Ereignisses lässt sich eine Kennziffer Rn für das Risiko bestimmen. Hierzu wird in enger Anlehnung an die quantitative Risikoberechnung (Risiko = Schadensausmaß multipliziert mit der Eintrittswahrscheinlichkeit) eine Risikokennziffer R0 bis R12 durch formale Produktbildung bestimmt:

 

Rn = { Sn } ^. { Wn } .

 

Damit ergeben sich auf einfache Weise abgestufte Werte für das Risiko.

In einer tabellarischen Risikoanalyse werden für jedes der zu untersuchenden Szenarien, die zu einem Störfall führen können, die Parameter Sn und Wn sowie die sich ergebende Risikokennziffer Rn ermittelt und in Tabelle 2, Spalten 9 bis 11, eingetragen. Da für einen Betriebsbereich sehr viele Szenarien betrachtet werden müssen, ergeben sich dann auch entsprechend viele Kennziffern Rn für das jeweilige Risiko. Auf diese Weise ist es möglich, aus den zahlreichen denkbaren Störfallszenarien diejenigen herauszufinden, die mit einem erhöhten oder großen Risiko behaftet sind.

Folgende Abstufungen und Bewertungen für das in den untersuchten Szenarien jeweils ermittelte Risiko werden verwendet:

• R0 – R1: äußerst geringes bis kleines Risiko,
• R2 – R3: mittleres Risiko,
• R4 – R6: großes Risiko, das mittel- bis kurzfristig reduziert werden sollte,
• R7 – R12: sehr großes Risiko, das nicht toleriert werden kann.

Dies lässt sich dann auch in einer Risikomatrix darstellen (Bild 3).

Es gibt kein Null-Risiko

Die Einführung des Näherungsverfahrens zur Risikoabschätzung in Betrieben wird beträchtlich dadurch erleichtert, dass es sich Rasterung von S und W stark an die Regelwerke von VED/VDI 2180 [7] und SIL [8] anlehnt. Die relevanten Mitarbeiter kennen und beherrschen diese Methode; sie sind daher mit der Vorgehensweise und Anwendung des Risikonäherungsverfahrens nach SQP bereits vertraut. Allerdings ist damit auch ein Nachteil verbunden: Bei der Bestimmung der Risikokennziffer Rn kann sich bei der Risikoabschätzung auch R0 ergeben – bei oberflächlichem Sprachgebrauch also scheinbar ein Risiko Null. Letzteres ist natürlich nicht richtig; dieser Eindruck darf nicht entstehen.

Deshalb: R0 bedeutet nicht, dass keinerlei Risiko vorhanden ist. Es gibt keine absolute Risikolosigkeit; ein Risiko Null existiert in der Praxis nicht. Allerdings bedeutet R0 ein so geringes Risiko, dass es der Null sehr nahe kommt. Gemessen an persönlichen Erfahrungswerten ist es so klein, dass es die meisten Menschen als „nicht vorhanden“ ansehen.

Anwendern des Näherungsverfahrens wird empfohlen, bei technischen Anlagen nie von Null-Risiko zu sprechen, sondern sich an die obigen relativierenden Begriffe zu halten. Denn kommt es in einer Anlage, die zuvor mit der Qualität „Null-Risiko“ eingestuft worden war, einmal zu einem Störfall, führt dies automatisch zu einem hohen Vertrauensverlust in der Öffentlichkeit. Ein ggf. nicht mehr wieder gut zu machender Image-Schaden wäre die Folge.

Systematische Sicherheitsbewertung mit AKAS

Die tabellarische Risikoanalyse eines Betriebsbereichs mit all seinen Sub-Systemen und Komponenten erfordert, dass sehr viele denkbare Ursachen und Ereignisketten, die möglicherweise zu einem Störfall führen, betrachtet, untersucht und bewertet werden müssen. Schon bei mittelgroßen Anlagen kann sich die Zahl der zu betrachtenden Szenarien auf mehrere hundert belaufen. Mit Hilfe der AKAS-Methode (Analyse durch konservativ abdeckende Selektion) lässt sich diese Zahl beträchtlich reduzieren und dennoch die Sicherheit des Betriebsbereichs systematisch überprüfen.

AKAS stellt eine Weiterentwicklung der Fehlzustandsart- und -auswirkungsanalyse (FMEA, Failure Mode and Effects Analysis) [9] dar, welche aus der Ausfall-Effekt-Analyse (DIN EN 25 448) hervorgegangen ist. Die AKAS-Methode ist jedoch umfassender und systematischer als die FMEA. Da es sich bei AKAS um eine systematische Sicherheitsbewertung handelt, erfüllt sie die Anforderungen der 12. BImSchV. Mit der AKAS-Systematik lassen sich aus dem gesamten Spektrum denkbarer Störfälle diejenigen auffinden, bei denen voraussichtlich die gravierendsten Folgen im Hinblick auf das Entstehen einer ernsten Gefahr sowie großer Sach- und Umweltschäden zu verzeichnen sind. Die Vorgehensweise ist wie folgt:

Ausgangspunkt sind die zusammengehörigen Sub-Systeme des Betriebsbereichs. In jedem der Systeme werden konservativ abdeckend die Betriebseinheiten und Komponenten mit den größten Gefährdungspotenzialen oder Schwachstellen ausgesucht und in Tabelle 1, Spalte 3 eingetragen. Das ist z.B. der Behälter mit höherem Druck als andere oder mit dem gefährlicheren Inhaltsstoff, mit der größten Menge eines Gefahrstoffs, die Pumpe mit größerer Förderhöhe, Filterstaub mit höchstem Potenzial bezüglich Gesundheitsgefährdung etc. Weiterhin werden in jedem der zu betrachtenden Sub-Systeme aus der Vielzahl denkbarer Störungen und Störfall auslösender Ereignisse diejenigen ausgewählt, bei denen die gravierendsten Auswirkungen zu erwarten sind. Diese Auswahl geschieht ebenfalls durch konservativ abdeckende Selektion.

In gleicher Weise wird bei den Gefahrenquellen vorgegangen: Sie werden konservativ abdeckend ausgewählt, indem aus einer Ereignisgruppe (z.B. mechanischer Defekt an Fördereinrichtung) das jeweils ungünstigste Ereignis (z.B. mechanischer Defekt an meist beanspruchtem Gebläse, oder in Leitung mit gefährlichstem Inhaltsstoff etc.) erfasst wird. Die so gefundene Folge einer Störung und die Ereigniskette (Spalten 4 bis 6) decken somit konservativ andere vergleichbare Fälle ebenfalls ab.

Auf dieser Grundlage wird dann mit der jeweils abgeschätzten Eintrittswahrscheinlichkeit und dem zu erwartenden Schadensausmaß die Risikokennziffer für das Ereignis oder den Störfall bestimmt. Man erhält eine Liste der relevanten Einzelrisiken, die in einer Anlage existieren. Durch Vergleich der Risikokennziffern und Analyse von deren Ursachen können dann die Anlagenbereiche, Komponenten, Personalhandlungen etc. festgestellt werden, von denen das insgesamt größte Risiko ausgeht.

Nach dieser Methodik SQP, tabellarische Risikoanalyse in Verbindung mit AKAS, wird die gesamte Anlage analysiert. Die Untersuchung erfolgt systematisch, sie genügt den Anforderungen der deutschen Störfall-Verordnung, und sie ist vollständig.

Untersuchungsbeispiel

Die Anwendung von SQP als tabellarische Risikoanalyse zusammen mit AKAS wird nachfolgend am Beispiel eines Chemiebetriebs gezeigt – zunächst durch Betrachtung des Sub-Systems „Eingangstanklager“. Von den verschiedenen im Eingangstanklager vorgehaltenen Stoffe ist Ammoniak derjenige mit dem mit Abstand größten Gefahrenpotenzial. Innerhalb des Tanklagers sind für alle vorhandenen Anlagenteile mit Ammoniakinhalt (Behälter, Rohrleitungen etc.) die Tanks als konservativ abdeckend anzusehen. Deshalb werden NH₃-Tanks ausgewählt, von denen insgesamt vier gleicher Größe und gleicher thermo-physikalischere Betriebsdaten vorhanden sind. Sie stehen alle in jeweils einer eigenen Tanktasse.

Unterschiede gibt es beim Alter: Zwei der Tanks wurden vor sieben Jahre in Betrieb genommen, während die beiden anderen über 30 Jahre alt sind. Deshalb werden die letzteren für die tabellarische Risikoanalyse selektioniert (Tabelle 4).

Diese beiden älteren Ammoniak-Tanks sind zwar weitgehend baugleich aber nicht vollständig identisch. Beide bestehen aus H-II-Stahl (andere Bezeichnungen hierfür: 1.0425 oder P265GH), der heute für die Lagerung von druck-verflüssigtem NH₃ nicht mehr als Werkstoffmaterial empfohlen wird. Einer der Gründe hierfür ist, dass es geeignetere Stähle gibt, die darüber hinaus auch noch bessere kalt-zähe Eigenschaften aufweisen.

An den Tanktassen der beiden alten Tanks führt eine Werkstraße vorbei. Deshalb muss die Gefahr bewertet werden, dass es in unmittelbarer Nähe der Tanks zu einem Brand kommt. Die konservativ selektionierten massiven Stofffreisetzungen durch Bersten eines oder beider Tanks decken kleinere Freisetzungen (wie z.B. Leck durch Abriss einer Entnahmeleitung, Flanschleck u.dgl.) konservativ mit ab. Das Gefahrenpotenzial in der Folge eines Brandes und durch Sprödbruch betrifft beide alte Tanks etwa gleich. Hingegen ist die Gefahr bezüglich Spannungsrisskorrosion beim älteren NH₃-Tank größer, da dieser nicht spannungsarm geglüht worden war.

Zusammenfassend sind somit die Ursachen, die zu denkbaren Störfällen mit den größten Schadensauswirkungen (durch Stofffreisetzung) führen können, ein „Brand vor Tanktasse“, „Spannungsrisskorrosion“ und „Sprödbruch bei tiefer Temperatur“. Die jeweilige denkbare Ereigniskette führt in jedem Fall zu einem großen Störfall, bei dem auch mehrere bis viele Tote zu erwarten sind. Die Risikoparameter Sn für das Schadensausmaß werden mit S3 bis S4 bewertet (Tabelle 4). Die vorhandenen Maßnahmen und Vorkehrungen zur Verhinderung solch großer Schäden führen zu einer Bewertung der Risikoparameter Wn für die Eintrittswahrscheinlichkeit von W1 bis W2.

Damit ergeben sich die Risikokennziffern R8 (bei einem Brand vor der Tanktasse), R5 (Spannungsrisskorrosion) und R7 (Sprödbruch bei tiefer Temperatur), siehe Tabelle 4.

Risikobewertung des gesamten Betriebsbereichs

Die systematische Risikobewertung des Chemiebetriebs erfordert nicht nur eine Untersuchung des Eingangstanklagers, sondern aller Sub-Systeme des gesamten Betriebsbereichs. Dies wurde ebenfalls nach SQP mittels tabellarischer Risikoanalyse und AKAS durchgeführt. Das Ergebnis war, dass – mit Ausnahme des Tanklagers – überall vergleichsweise geringe Risiken mit Kennziffern von R1 und R2, in einigen Fällen auch R3 festgestellt wurden, jedoch nie R4 oder höher. Damit konnte die Frage, ob vom Betrieb ein erhöhtes / hohes Risiko ausgeht und, wenn ja, von welchem Teilbereich, beantwortet werden: Es ist ein beträchtlichen Risiko vorhanden, und dieses geht von den Ammoniak-Tanks aus.

Die ermittelten Risikokennziffern legen eine mittel- bzw. kurzfristige Nachrüstung nahe oder die umgehende Ergreifung anderer Maßnahmen zur Reduzierung des Risikos.

Erfahrungen mit Risikobewertungen nach SQP

Die vorgestellte Risikobewertung nach der Methodik SQP mittels tabellarischer Risikoanalyse und AKAS wurde inzwischen für mehrere Betriebsbereiche durchgeführt, und sie hat sich sehr gut bewährt. Bei der Einführung und Erstanwendung ist zunächst eine Erläuterung der Methodik sinnvoll, bei der die Vorgehensweise erklärt und besprochen wird, welche Unterlagen vorliegen müssen oder ggf. kurzfristig verfügbar gemacht werden können (Rohrleitungs- und Instrumentenfließbilder, Betriebshandbücher, Komponenten- und Apparatedaten, Dokumentationen zu Wartung und Instandhaltung, Mitarbeiterschulung etc.).

Es gibt auch andere Risikobewertungsmethoden mit gerasterten Parametern für Schadensausmaß und Eintrittswahrscheinlichkeit eines Ereignisses, beispielsweise nach ARAMIS [10]. Die Einführung und produktive Anwendung der im vorliegenden Beitrag präsentierten SQP-Methodik mit tabellarischer Risikoanalyse und AKAS geht jedoch wesentlich schneller und führt bereits nach kurzer Zeit zu Ergebnissen, weil die an der Untersuchung beteiligten Mitarbeiter in aller Regel praktische Erfahrung mit VDE/VDI 2180 [7] und SIL [8] haben, an deren Methodik und Kennzahlen sich die tabellarische Risikoanalyse nach SQP orientiert. (Genau aus diesem Grund wurde sie so gestaltet.)

Es hat sich bewährt, wenn die Durchführung der Risikobewertung von einer kleinen Gruppen, beispielsweise von drei Personen, durchgeführt wird, etwa bestehend aus dem Betriebsleiter des Sub-Systems, dem Sicherheitsingenieur oder Störfallbeauftragten und einer unabhängigen, fachkundigen externen Person. Letztere ist hilfreich, um auch Schwachstellen zu entdecken, die – wegen langjähriger Mitarbeit in einer Anlage ggf. teilweise bestehender Betriebsblindheit – eventuell übersehen werden. Es empfiehlt sich, die Arbeit nicht außerhalb in Klausur (z.B. Tagungshotel), sondern im Betrieb durchzuführen, um sich erforderlichenfalls auch kurzfristig in die Anlage begeben zu können.

Übersichtliche RuI und die kurzfristige Verfügbarkeit sonstiger erforderlicher Unterlagen vorausgesetzt, kann ein mittelgroßer Betriebsbereich von einem solchen Team in drei bis fünf Arbeitstagen vollständig risiko-bewertet werden. Der gesamte Arbeitsaufwand von zwei bis drei Fachkräfte-Wochen bei Nutzung der semi-quantitativen Prozedur SQP beläuft sich also nur auf den Bruchteil an Fachkräfte-Jahr(en), die für eine vollständig quantitative Risikoanalyse erforderlich sind.

Die Erfahrung aus den Analysen zahlreicher Betriebsbereiche zeigt, dass Risiken bei den meisten Komponenten / denkbaren Ereignisketten gering sind – typischerweise bis maximal R3 oder R4. Aber man spürt fast immer auch einige „Risiko-Ausreißer“ auf, d.h. Teilbereiche, von denen ein erhöhtes oder hohes Risiko ausgeht. Interessanterweise werden bei der Anwendung von SQP mit tabellarischer Risikoanalyse und AKAS auch Risiken entdeckt, wo man sie gar nicht erwartet.

Sind die Stellen, die ein hohes Risiko verursachen, einmal bekannt, kann man dieses gezielt reduzieren, beispielsweise durch sicherheitstechnische Nachrüstung. Dabei lassen sich etwaige Varianten / Alternativlösungen für die Verbesserung schon in der Projektierungsphase mittels tabellarischer Risikoanalyse der Methodik SQP bewerten und darstellen. Am obigen Beispiel des Chemiebetriebs mit Ammoniak-Tanklager (Tabelle 4) lässt sich dies zeigen: Verbesserte Maßnahmen zur Branderkennung und -bekämpfung, das nachträgliche Spannungsarm-Glühen des älteren der beiden alten Tanks, diverse MSR-Anpassungen sowie regelmäßige Überprüfungen und Überwachungen reduzieren die Eintrittswahrscheinlichkeit für die Störfälle nennenswert (siehe Tabelle 5).

Durch Aufnahme der Tabellen der Risikoanalyse eines Betriebsbereichs in den Sicherheitsbericht ergibt sich ein zusätzlicher Vorteil für den Betreiber. Er kann automatisch belegen, dass sich das von seinen Anlagen ausgehende Risiko im Laufe der Zeit immer weiter verringerte (es sei denn, dass keinerlei sicherheitstechnischen Verbesserungen durchgeführt wurden): Mit jeder Fortschreibung des Sicherheitsberichts werden auch die eventuellen Nachrüstungen oder andere Maßnahmen zur Verringerung des Risikos in die Darstellungen der tabellarischen Risikoanalyse aufgenommen. Diese kommen dann durch niedrigere Risikokennziffern Rn zum Ausdruck und dokumentieren so den sicherheitstechnisch Fortschritt, der über die Jahre erzielt worden ist.  TS666