Direkt zum Inhalt

Risiko-Management: Probabilistische Risikoanalysen für technische Anlagen


Der Umgang mit gefährlichen Substanzen gehört häufig zum Alltag in Industrie und Wirtschaft, sei es, daß man sie bei der Herstellung von Produkten verwendet, sei es, daß sie dabei entstehen. Dementsprechend sollten verfahrenstechnische Anlagen so ausgelegt sein und betrieben werden, daß ein Maximum an

Sicherheit gegeben ist: Es gilt zu gewährleisten, daß Störfälle möglichst selten auftreten, und wenn, daß sie dann beherrscht werden können.

Dazu fordert der aktuelle Programmentwurf "Forschung für die Umwelt" der Bundesregierung die unablässige Weiterentwicklung der Sicherheitsphilosophie und Störfallvorsorge, denn Innovationen in der Verfahrenstechnik stellen oft neue Aufgaben. Weil etwa ein Drittel der Störfälle auf Fehlhandlungen zurückzuführen ist, soll zudem die Zuverlässigkeit des menschlichen Agierens besser als bisher eingeschätzt werden.


Sicherheitsanalysen

Den gefahrlosen Betrieb einer Anlage weist man gewöhnlich durch eine deterministische Sicherheitsanalyse nach. Das auch vor Gericht akzeptierte Verfahren beruht auf Annahmen über mögliche Störfälle und auf Erfahrungen mit solchen Einrichtungen; sie sind in Gesetzen, Verordnungen, Regeln, Richtlinien und Empfehlungen etwa für die Auslegung von Komponenten oder für den Brandschutz und in Unfallverhütungsvorschriften niedergelegt. Gleichwohl sind solche Analysen nicht frei von Subjektivität, gemäß etwa dem individuellen Expertenwissen über die Verläßlichkeit der technischen Einrichtungen oder über mögliche Folgen unvorhergesehener Ereignisse.

Zum Risiko, definiert als Produkt aus der Häufigkeit bestimmter Störfälle und ihren Folgen, geben diese Verfahren überdies keine Auskunft, da völliges Versagen von Sicherheitssystemen in der Regel nicht unterstellt wird. Solch deterministisches Vorgehen ist deshalb um so weniger geeignet, je dürftiger die Kenntnisse von Ereignisketten und je schwerer die größtmöglichen Schäden sind.


Wahrscheinlichkeitsanalysen

Systematische Prognoseverfahren zu Auftreten und Folgen unbeherrschter Störfälle entstanden zunächst in der Kerntechnik. Nach nunmehr etwa 25 Jahren Entwicklungszeit sind sie als probabilistische, also wahrscheinlichkeitsbezogene Sicherheits- und Risikoanalysen in der Praxis der Beurteilung von Kernkraftwerken fest verankert.

Der wesentliche Unterschied zur deterministischen Vorgehensweise liegt in der Auswahl der Störfälle: Die Wahrscheinlichkeit ihres Eintritts und ihre voraussichtlichen Abläufe werden aus Systemanalysen abgeleitet. Statt eine bestimmte Ereigniskette für die Untersuchung auszuwählen, etwa den in der Kerntechnik häufig untersuchten größten anzunehmenden Unfall, will man alle überhaupt möglichen erfassen. In probabilistischen Sicherheitsanalysen wird das Verhalten einzelner Anlagenkomponenten statistisch modelliert und in Fehler- und Ereignisbäumen verwendet, um so das Verhalten des Gesamtsystems kalkulieren zu können (Bild 2). Daraus wiederum ergeben sich Randbedingungen für spezifische Anlagenzustände, etwa hinsichtlich Temperaturen oder Druckverhältnissen, so daß man – wie bei deterministischen Analysen – die sich ergebenden Situationen und ihre Folgen berechnen kann. Risikoanalysen beziehen überdies mögliche Schäden außerhalb der Anlage mit ein. So läßt sich, aufsummiert über alle Störfallabläufe, das Anlagenrisiko vollständig ermitteln.

Problematisch sind freilich die Datenunsicherheit und der Ermessensspielraum des Analysierenden, den der deterministische Ansatz vermeidet. Der Argwohn, es ließe sich im Grunde jedes gewünschte Ergebnis herausrechnen, ist zumindest mitunter nicht unbegründet. Eine probabilistische Risikoanalyse muß deshalb stets transparent und diskutierbar sein. Dann verweist sie auf Schwächen der Systeme und liefert quantitative Informationen, mit denen sich die Ausgewogenheit von Sicherheitskonzepten, die Effizienz von Verbesserungsmaß-nahmen, die Vor- und Nachteile unterschiedlicher technischer Lösungen sowie die Ausrichtung erforderlicher Forschungs- und Entwicklungsarbeiten beurteilen lassen.


Musterfall Phoebus

Im Forschungszentrum Jülich untersucht eine Arbeitsgruppe, wie die probabilistische Methodik auf nichtnukleare Anlagen anzuwenden wäre. Das erste Beispiel ist Phoebus, ein neuartiges elektrisches Versorgungssystem unserer Zentralbibliothek, das zur Zeit vom Institut für Energieverfahrenstechnik erprobt wird (Bild 1): Eine mit Solarstrom betriebene Elektrolyse-Einheit erzeugt aus Wasser im Sommer Wasserstoff, der gespeichert und im Winter in einer Brennstoffzelle zusammen mit Sauerstoff wieder in Strom umgewandelt wird (das Akronym Phoebus verweist auf die charakteristischen Komponenten Photovoltaik, Elektrolyse, Brennstoffzelle und Systemtechnik). Auf diese Weise sollen jahreszeitliche Schwankungen des Sonnenlichteinfalls ausgeglichen werden. Die Photovoltaik-Module befinden sich auf dem Dach der Bibliothek, die Gasspeicher im Freien neben einer älteren Mehrzweckhalle mit den restlichen Komponenten.

Wasserstoff als Speichermedium in Solarenergie-Systemen erfordert sowohl den häufigen Transport kleiner als auch die längere Lagerung großer Mengen dieses Gases. Gemische davon mit Luft sind aber bereits bei Anteilen von vier Volumenprozent zündfähig, und die

Zündenergie ist über weite Mischungsbereiche sehr niedrig. Somit können bereits kleinere Leckagen einen Brand

verursachen. Vor allem aber entstehen gerade bei Wasserstoff-Luft-Gemischen in geschlossenen Räumen mit Unterteilungen oder Hindernissen aus Deflagrationen leicht Detonationen mit Druckspitzen bis etwa 15 bar (also aus Verbrennungen, die sich ungleichmäßig, aber höchstens mit einigen 100 Metern pro Sekunde ausbreiten, solche, die sich gleichmäßig mit bis zu 2000 Metern pro Sekunde fortpflanzen).

Leckagen entstehen an mangelhaften Dichtungen und schadhaften Rohren oder bei Gasablaß über Ventile infolge zu hohen Drucks. Um sie zu vermeiden, wurden die gasführenden Leitungen aus Edelstahl gefertigt, und der Arbeitsdruck ist in der Halle auf maximal sieben bar begrenzt. Hochdruckleitungen zu und von den Speichern – für Wasserstoff mit 150, für Sauerstoff mit 70 bar – sind ausschließlich im Freien verlegt.

Sollte trotzdem Wasserstoff in die Halle entweichen, würde ein Warnsystem mit Meßköpfen direkt über leckträchtigen Komponenten und zusätzlich unter der Decke abgestuft nach Grenzwerten Alarm auslösen oder die Gasleitungen zwischen Speichern und Halle sowie die Gas- und Energieversorgung der betroffenen Komponente sperren. Gleichzeitig startete es Abluftventilatoren. Des weiteren werden auch Gasfluß und Druck in den Leitungen zur Halle ständig überwacht; bei Überschreiten von Grenzwerten würde die Zufuhr gleichfalls gesperrt.

Den Beginn eines Störfalls markiert das auslösende Ereignis; meist gibt es für die dann ablaufenden Prozesse Alternativen etwa infolge fehlerhafter statt auslegungsgemäßer Systemreaktionen. Nach dieser Logik haben wir alle Bereiche der Anlage umfassend auf ihre Gefahrenpotentiale untersucht, die Wirkungsweise der Sicherheitseinrichtungen ermittelt und daraus Ereignisbäume konstruiert. Schließlich haben wir für den Fall, daß zündfähige Gasmischungen nicht vermieden werden, wegen der niedrigen Zündenergie unterstellt, daß sie auch in Brand geraten.

Um die Häufigkeit von Störfällen vorherzusagen, muß man zunächst die der auslösenden Ereignisse – insbesondere von Leckagen – abschätzen, und

um Störfallabläufe und Risiken zu ermitteln, zusätzlich die Wahrscheinlichkeit von nicht funktionierenden Schutzmaßnahmen. Deshalb haben wir alle relevanten Komponenten auf Fehlermöglichkeiten analysiert und diesen Häufigkeiten oder bedingte Wahrscheinlichkeiten zugeordnet. Da Phoebus ein Prototyp ist, ließen sich dabei nur eingeschränkt

direkte Betriebserfahrungen nutzen; wir verwendeten meist für Anlagen dieser Art typische Daten, in Einzelfällen auch Abschätzungen.

Das breite Spektrum möglicher Lecks in der Halle wurde in Größenklassen eingeteilt, die verschiedene Gegenmaßnahmen erfordern:

- Aus kleinen Lecks kommen bis zu zehn Kubikmeter Wasserstoff pro Stunde frei (alle Volumenangaben dieses Beitrags gelten für einen Druck von einem bar und für eine Temperatur von 20

Grad Celsius); das entspricht dem Grenzwert der Durchflußüberwachung sowie der maximalen Produktionsrate der Elektrolyse-Einheit.

- Mittleren Lecks entströmen bei funktionierender Hochdruckreduzierung maximal 120 Kubikmeter pro Stunde aus den Speicherbehältern.

- Versagt die Hochdruckreduzierung, entweichen durch die so definierten großen Lecks bis zu 600 Kubikmeter pro Stunde.

Die im Freien aufgestellten Speicher enthalten bis zu 3000 Kubikmeter Wasserstoff bei 150 bar und haben darum im Prinzip das mit Abstand größte Gefährdungspotential. Das relativ langsame Freisetzen bei kleineren Leckagen und der große Auftrieb des Gases würden allerdings die Bildung zündfähiger Gaswolken verhindern. Anders wäre es beim plötzlichen Bersten eines Behälters oder beim Bruch einer Anschlußleitung. Dabei umherfliegende Trümmer können Funken schlagen und das Gemisch somit zünden.

Gegen solche Ereignisse sind keine aktiven Maßnahmen vorgesehen. Verzweigungen in den möglichen Ereignisabläufen ergeben sich durch eventuelle Folgeausfälle beziehungsweise durch unterschiedliche Bedingungen für Ausmaß und Wirkung gezündeter Gasmischungen.


Resultate

Die Analyse hat ergeben, daß Menschen und Maschinen innerhalb der Halle nur bei einem großen, unbeherrschten Leck zu Schaden kämen (allerdings untersucht die dargestellte Methode keine Arbeitsplatzrisiken). Das ist aber statistisch nur alle fünf Milliarden Jahre zu erwarten, seltener als schwere Unfälle in Kernkraftwerken. Mit analogen Störfällen ist in einem relativ kleinen, abgeschlossenen Verbindungsgang zwar mehr als das Hundertfache häufiger zu rechnen; die Schäden wären jedoch deutlich geringer.

Die Folgen von Gasdetonationen im Freien haben wir durch Gebäudeschäden auf den mit TNT-Äquivalenten berechneten Flächen kalkuliert, da eine genaue Modellierung der Verbrennung wegen der komplexen, teilweise turbulenten Prozesse mit vertretbarem Aufwand nicht möglich war. Statt dessen wurde unterstellt, daß die Auswirkungen denen einer Detonation einer Menge Trinitrotoluols gleichen Energieinhalts entsprechen; Faustformeln liefern eher etwas zu hohe Werte, ergeben also konservative Schätzungen. Der hinsichtlich Häufigkeit und Schaden bedeutendste Störfall wäre demnach eine Reaktion von bis zu 35 Kilogramm Wasserstoff. Im Umkreis von 20 Metern würden dadurch Gebäude schwer in Mitleidenschaft gezogen, bis zu 200 Meter weit könnten immerhin noch Fenster bersten. Unter der Annahme, daß auch bei geringen Gebäude- und Glasschäden Personen zu Tode kommen können, ergab sich des weiteren ein Risiko von einem Todesfall in 100000 Jahren je Individuum; das entspricht etwa der Häufigkeit für ein schweres Erdbeben in Jülich.

Die Analyse ergibt demnach für die Phoebus-Anlage ein sehr hohes Sicherheitsniveau, das vor allem durch passiv sichere Bauteile und zudem sehr zuverlässige Sicherheitseinrichtungen zustande kommt – Prozeßfehler wirken sich nur auf den unmittelbaren Bereich der beteiligten Komponenten aus. Nicht der fortwährende Umgang mit den Gasen, sondern die gespeicherten Mengen bestimmen dabei das Risiko. Dieses Ergebnis wurde intern zur Sicherheitsbeurteilung genutzt und half, das Lüftungskonzept zu verbessern.

Die Aussagekraft einer solchen Analyse ist freilich um so größer, je brauchbarer die verwendeten Zuverlässigkeitskenngrößen sind. Die für das Gesamtrisiko von Phoebus bedeutsamen Werte für das Bersten von Speicherbehältern leiteten wir beispielsweise aus einer Auswertung von Schadensstatistiken des Technischen Überwachungsvereins für herkömmliche Druckbehälter ab. Besser wäre es aber sicherlich, Versagenswahrscheinlichkeiten mit Mitteln der probabilistischen Strukturmechanik zu berechnen, die mit statistischen Verteilungen für Materialkennwerte arbeitet; allerdings ist diese Methodik noch nicht ausreichend abgesichert und würde auch so hohen Modellierungs- und Rechenaufwand erfordern, wie er sich nur für wichtige und sehr selten versagende Komponenten lohnt.

Für häufiger auftretende Fehler liefert bereits eine sorgfältige Auswertung der Betriebserfahrung mit ähnlichen

Systemen brauchbare Daten. Sie zeigt beispielsweise, daß für Leckagen an

Leitungen das Versagen von Klemmringverschraubungen aufgrund falscher Montage maßgeblich ist. Die in der Analyse verwendeten Kenngrößen für die Zuverlässigkeit von Komponenten wie Ventilen, Ventilatoren oder Meßeinrichtungen stammen im wesentlichen aus der Reaktortechnik; dies scheint aufgrund vergleichbarer Einsatzbedingungen zulässig. Wünschenswert wären freilich spezifische Kenntnisse und Daten, wie die Fehlerbaumprogramme sie eigentlich erfordern.

Die Güte von Modellen der physikalischchemischen Vorgänge – hier etwa der Ausbreitung und Durchmischung von Gasen – beeinflußt ebenfalls die des Ergebnisses. Solche Unsicherheiten lassen sich indes auch bei rein deterministischem Vorgehen nicht vermeiden.

Mittlerweile haben wir weitere technische Anlagen mit aktuellen Modellierungsmethoden untersucht, so den zwangsbelüfteten Container mit allen gasführenden Komponenten eines Brennstoffzellen-Fahrzeugantriebs (Bild 3). Unter anderem mit Mitteln der Europäischen Union werden ferner Forschungsarbeiten gefördert, um brennbare Gase in komplexen Geometrien besser zu modellieren, vor allem um den Übergang von der noch relativ harmlosen Deflagration – also einer langsamen Verbrennung – zur Detonation genauer zu erfassen.


Risikofaktor Mensch

Phoebus ist insofern ein Sonderfall, als die Anlage weitgehend automatisch arbeitet; menschliches Versagen dürfte mithin kaum Störfälle verursachen. Für allgemeinere Risikoanalysen besteht aber noch erheblicher Forschungsbedarf; erprobte Methoden zur Modellierung von Verhalten berücksichtigen lediglich unterlassene Gegenmaßnahmen und die Folgen.

Identifizierung und wahrscheinlichkeitsbezogene Bewertung eines Handelns, das auf situationsspezifischen Entscheidungen beruht und bei dem nicht Routine, sondern Wissen im Vordergrund steht, kennzeichnen deshalb eine Hauptrichtung der derzeitigen Weiterentwicklung probabilistischer Analysen. Den sogenannten Operateurmodellen liegen verschiedene Ansätze zugrunde: Zeit-Zuverlässigkeits-Korrelationen, denen zufolge die Erfolgswahrscheinlichkeit einer Handlung mit der dafür verfügbaren Zeit zunimmt, analytische Methoden, die komplexes Verhalten fehlerbaumartig auf Basishandlungen zurückführen, sowie Verfahren, die großteils auf Expertenschätzungen beruhen. Ein häufiger Kritikpunkt ist, daß keines der gebräuchlichen Modelle eine psychologisch fundierte Theorie menschlichen Handelns umsetzt, sondern vielmehr an dem Vorgehen bei technischen Systemen orientiert ist.

Jüngsten Arbeiten zur Methodik nach folgen auch Handlungen, die normalerweise nicht vorgesehen sind, meist einer gewissen Logik; sie kann identifiziert werden, wenn man der Sicht der Operateure folgt. Wichtig ist des weiteren, die Bedingungen für latente Fehler festzustellen sowie Situationsmerkmale abzuleiten, in denen solche Fehler manifest werden. Dazu dienen vor allem die Auswertung von Betriebserfahrungen, Simulatorexperimente und die Klärung kognitiver Prozesse.

Schon mit den im genannten Sinne erprobten Methoden spiegeln derartige Analysen für Kernkraftwerke die Besonderheiten der Anlagen wie den Grad der Automatisierung und die Bedeutung manuell auszuführender Maßnahmen im Störfall plausibel. Der Versuch, menschliches Handeln probabilistisch zu bewerten, ist also nicht aussichtslos. Von künftigen Modellentwicklungen wird – wie das Beispiel Brennstoffzellenantrieb zeigt – auch die konventionelle Verfahrenstechnik profitieren.



Aus: Spektrum der Wissenschaft 2 / 1998, Seite 94
© Spektrum der Wissenschaft Verlagsgesellschaft mbH

Kennen Sie schon …

Spektrum - Die Woche – Der Umbau der Chemieindustrie

Täglich entstehen in riesigen Fabriken zahllose Stoffe, die wir in unserem Alltag nutzen – allerdings nur dank fossiler Rohstoffe und eines extrem hohen Energieverbrauchs. In dieser »Woche« geht es um den Umbau der Chemieindustrie hin zur Klimaneutralität. Außerdem: Gibt es sie, die »Zuckersucht«?

Spektrum der Wissenschaft – Klimawende für Energie und Industrie

»Klimawende für Energie und Industrie« zeigt auf, welche Anstrengungen unternommen werden müssen, um zahlreiche Industriesektoren auf Klimaneutralität umzustellen. Einerseits geht es dabei darum, woher die Energie in Zukunft kommen soll, wie sie gespeichert und genutzt wird, andererseits geht es aber auch darum, die Rohstoffe und die Produktionsmethoden insbesondere in den Branchen Stahl, Zement und Chemie anzupassen. Innovationen bei Techniken wie Wasserstoff, Wärmepumpen oder Kraftwerksbau können Lösungen bieten.

Spektrum - Die Woche – Gegen die Regeln

Dass das Standardmodell der Teilchenphysik Lücken aufweist, ist in der Fachwelt mittlerweile kein Geheimnis mehr, die Gründe für die häufigen Messabweichungen aber schon. Ursache könnten noch unbekannte Teilchen und Kräfte sein. Außerdem in der »Woche«: Bald schon Wasserstoffantrieb für Flugzeuge?

Schreiben Sie uns!

Beitrag schreiben

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Zuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Zuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmende sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Zuschriften können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!

Bitte erlauben Sie Javascript, um die volle Funktionalität von Spektrum.de zu erhalten.