Dieser Artikel befasst sich mit „Maschinen“-Gefahren, die spezifisch für das Zubehör und die Hardware sind, die in industriellen Prozessen im Zusammenhang mit Druckbehältern, Verarbeitungsgeräten, leistungsstarken Maschinen und anderen an sich riskanten Vorgängen verwendet werden. Dieser Artikel befasst sich nicht mit Gefahren für Arbeitnehmer, die die Handlungen und das Verhalten von Personen betreffen, wie z. B. Ausrutschen auf Arbeitsflächen, Stürze von Erhebungen und Gefahren durch die Verwendung gewöhnlicher Werkzeuge. Dieser Artikel konzentriert sich auf Maschinengefahren, die für ein industrielles Arbeitsumfeld charakteristisch sind. Da diese Gefahren alle Anwesenden bedrohen und sogar eine Bedrohung für Nachbarn und die äußere Umgebung darstellen können, ähneln die Analysemethoden und die Mittel zur Vorbeugung und Kontrolle den Methoden, die verwendet werden, um mit Risiken für die Umwelt durch industrielle Aktivitäten umzugehen.

Maschinengefahren

Hardware von guter Qualität ist sehr zuverlässig, und die meisten Ausfälle werden durch Sekundäreffekte wie Feuer, Korrosion, Missbrauch usw. verursacht. Dennoch kann Hardware bei bestimmten Unfällen hervorgehoben werden, da eine fehlerhafte Hardwarekomponente oft das auffälligste oder sichtbar prominenteste Glied in der Kette von Ereignissen ist. Obwohl der Begriff Hardware weit gefasst verwendet wird, wurden anschauliche Beispiele für Hardwareausfälle und deren unmittelbares „Umfeld“ bei der Unfallverursachung an Industriearbeitsplätzen entnommen. Typische Kandidaten für die Untersuchung von „Maschinen“-Gefahren sind unter anderem:

• Druckbehälter und Rohre

• Motoren, Maschinen, Turbinen und andere rotierende Maschinen

• chemische und nukleare Reaktoren

• Gerüste, Brücken usw.

• Laser und andere Energiestrahler

• Schneid- und Bohrmaschinen usw.

• Schweißausrüstung.

Auswirkungen von Energie

Hardware-Gefahren können falsche Verwendung, Konstruktionsfehler oder häufige Überlastung umfassen, und dementsprechend kann ihre Analyse und Minderung oder Vermeidung ziemlich unterschiedliche Richtungen verfolgen. Im Zentrum von Hardwaregefahren stehen jedoch oft physikalische und chemische Energieformen, die sich der menschlichen Kontrolle entziehen. Daher besteht eine sehr allgemeine Methode zur Identifizierung von Hardwaregefahren darin, nach den Energien zu suchen, die normalerweise mit dem eigentlichen Ausrüstungs- oder Maschinenteil gesteuert werden, z. B. einem Druckbehälter, der Ammoniak oder Chlor enthält. Andere Methoden gehen vom Zweck oder der beabsichtigten Funktion der tatsächlichen Hardware aus und suchen dann nach den wahrscheinlichen Auswirkungen von Fehlfunktionen und Ausfällen. Beispielsweise setzt eine Brücke, die ihre Hauptfunktion nicht erfüllt, Personen auf der Brücke der Gefahr des Herunterfallens aus; andere Auswirkungen des Einsturzes einer Brücke sind die sekundären Auswirkungen von herunterfallenden Gegenständen, entweder strukturellen Teilen der Brücke oder auf der Brücke befindlichen Gegenständen. Weiter unten in der Folgenkette können sich abgeleitete Auswirkungen auf Funktionen in anderen Teilen des Systems ergeben, die davon abhängig waren, dass die Brücke ihre Funktion ordnungsgemäß erfüllt, wie z. B. die Unterbrechung des Notfallfahrzeugverkehrs bei einem anderen Vorfall.

Neben den Konzepten „kontrollierte Energie“ und „bestimmungsgemäße Funktion“ müssen gefährliche Stoffe durch Fragen wie „Wie könnte der Wirkstoff X aus Behältern, Tanks oder Rohrsystemen freigesetzt und wie könnte der Wirkstoff Y hergestellt werden?“ behandelt werden. (eine oder beide können gefährlich sein). Agent X könnte ein unter Druck stehendes Gas oder ein Lösungsmittel sein, und Agent Y könnte ein extrem giftiges Dioxin sein, dessen Bildung durch die „richtigen“ Temperaturen in einigen chemischen Prozessen begünstigt wird, oder es könnte durch schnelle Oxidation infolge eines Feuers entstehen . Die möglichen Gefahren summieren sich jedoch zu weit mehr als nur den Risiken gefährlicher Stoffe. Es können Bedingungen oder Einflüsse vorliegen, die zulassen, dass das Vorhandensein einer bestimmten Hardware zu schädlichen Folgen für Menschen führt.

Industrielle Arbeitsumgebung

Maschinengefährdungen beinhalten auch Belastungs- oder Belastungsfaktoren, die auf Dauer gefährlich sein können, wie z. B. die folgenden:

• extreme Arbeitstemperaturen

• hohe Intensitäten von Licht, Lärm oder anderen Reizen

• schlechtere Luftqualität

• extreme Arbeitsanforderungen oder Arbeitsbelastungen.

Diese Gefahren können erkannt und Vorkehrungen getroffen werden, da die gefährlichen Bedingungen bereits vorhanden sind. Sie hängen nicht davon ab, dass eine strukturelle Änderung in der Hardware zustande kommt und ein schädliches Ergebnis bewirkt, oder dass ein besonderes Ereignis Schäden oder Verletzungen verursacht. Auch Langzeitgefahren haben konkrete Quellen im Arbeitsumfeld, müssen aber durch Beobachtung von Arbeitern und Arbeitsplätzen identifiziert und bewertet werden, statt nur Hardwarekonstruktion und -funktion zu analysieren.

Gefährliche Hardware- oder Maschinengefahren sind in der Regel Ausnahmefälle und in einem soliden Arbeitsumfeld eher selten anzutreffen, lassen sich aber nicht ganz vermeiden. Mehrere Arten von unkontrollierter Energie, wie z. B. die folgenden Risikostoffe, kann die unmittelbare Folge eines Hardwarefehlers sein:

• schädliche Freisetzung von gefährlichen Gasen, Flüssigkeiten, Stäuben oder anderen Stoffen

• Feuer und Explosion

• hohe Spannungen

• Herabfallende Gegenstände, Geschosse usw.

• elektrische und magnetische Felder

• schneiden, einfangen usw.

• Verdrängung von Sauerstoff

• Kernstrahlung, Röntgenstrahlen und Laserlicht

• Überschwemmung oder Ertrinken

• Strahl heißer Flüssigkeit oder Dampf.

Risikoagenten

Verschieben von Objekten. Herunterfallende und umherfliegende Gegenstände, Flüssigkeitsströme und Flüssigkeits- oder Dampfstrahlen, wie die aufgeführten, sind oft die ersten äußeren Folgen von Hardware- oder Geräteausfällen und machen einen großen Teil der Unfälle aus.

Chemikalien. Chemische Gefahren tragen auch zu Arbeitsunfällen bei und beeinträchtigen die Umwelt und die Öffentlichkeit. Bei den Unfällen in Seveso und Bhopal wurden Chemikalien freigesetzt, von denen zahlreiche Mitglieder der Öffentlichkeit betroffen waren, und viele Industriebrände und -explosionen setzen Chemikalien und Dämpfe in die Atmosphäre frei. Verkehrsunfälle mit Benzin- oder Chemielieferwagen oder anderen Gefahrguttransporten vereinen zwei Risikoagenten – sich bewegende Gegenstände und chemische Stoffe.

Elektromagnetische Energie. Elektrische und magnetische Felder, Röntgen- und Gammastrahlen sind alle Manifestationen des Elektromagnetismus, werden aber oft getrennt behandelt, da sie unter ziemlich unterschiedlichen Umständen auftreten. Die Gefahren des Elektromagnetismus haben jedoch einige allgemeine Züge: Felder und Strahlung durchdringen den menschlichen Körper, anstatt sich nur an der Anwendungsstelle zu berühren, und sie können nicht direkt wahrgenommen werden, obwohl sehr große Intensitäten eine Erwärmung der betroffenen Körperteile verursachen. Magnetfelder werden durch den Fluss von elektrischem Strom erzeugt, und starke Magnetfelder sind in der Nähe von großen Elektromotoren, Lichtbogenschweißgeräten, Elektrolysegeräten, Metallarbeiten usw. zu finden. Elektrische Felder gehen mit elektrischer Spannung einher, und selbst die gewöhnlichen Netzspannungen von 200 bis 300 Volt verursachen über mehrere Jahre die Ansammlung von Schmutz, das sichtbare Zeichen der Existenz des Feldes, ein Effekt, der auch im Zusammenhang mit Hochspannungsleitungen, Fernsehbildröhren bekannt ist , Computermonitore und so weiter.

Elektromagnetische Felder sind meistens eher in der Nähe ihrer Quellen zu finden, aber elektromagnetisch Strahlung ist ein Fernreisender, wie Radar und Funkwellen beispielhaft zeigen. Elektromagnetische Strahlung wird gestreut, reflektiert und gedämpft, wenn sie den Raum durchquert und auf dazwischenliegende Objekte, Oberflächen, verschiedene Substanzen und Atmosphären und dergleichen trifft; seine Intensität wird daher auf verschiedene Weise reduziert.

Die allgemeinen Merkmale der elektromagnetischen (EM) Gefahrenquellen sind:

• Es werden Instrumente benötigt, um das Vorhandensein von EM-Feldern oder EM-Strahlung zu erkennen.

• EM hinterlässt keine primären Spuren in Form von „Kontaminationen“.

• Gefährliche Wirkungen treten normalerweise verzögert oder langfristig auf, aber in schweren Fällen werden sofortige Verbrennungen verursacht.

• Röntgen- und Gammastrahlen werden durch Blei und andere schwere Elemente gedämpft, aber nicht gestoppt.

• Magnetfelder und Röntgenstrahlen werden sofort gestoppt, wenn die Quelle stromlos gemacht oder das Gerät ausgeschaltet wird.

• Elektrische Felder können nach dem Abschalten der Erzeugungssysteme lange Zeit bestehen bleiben.

• Gammastrahlen stammen aus nuklearen Prozessen, und diese Strahlungsquellen können nicht ausgeschaltet werden, wie dies bei vielen EM-Quellen der Fall ist.

Radioaktive Strahlung. Die mit nuklearer Strahlung verbundenen Gefahren sind von besonderer Bedeutung für Arbeiter in Kernkraftwerken und in Anlagen, die mit Kernmaterialien arbeiten, wie z. B. der Brennstoffherstellung und der Wiederaufbereitung, dem Transport und der Lagerung radioaktiver Stoffe. Nukleare Strahlungsquellen werden auch in der Medizin und in einigen Industriezweigen zur Messung und Kontrolle verwendet. Eine häufigste Verwendung ist in Feuermeldern/Rauchmeldern, die einen Alpha-Partikel-Emitter wie Americium verwenden, um die Atmosphäre zu überwachen.

Nukleare Gefahren konzentrieren sich hauptsächlich auf fünf Faktoren:

• gamma Strahlen

• Neutronen

• Betateilchen (Elektronen)

• Alphateilchen (Heliumkerne)

• Verschmutzung.

Die Gefahren ergeben sich aus der radioaktiv Prozesse bei der Kernspaltung und dem Zerfall radioaktiver Stoffe. Diese Art von Strahlung wird von Reaktorprozessen, Reaktorbrennstoffen, Reaktormoderatormaterial, von möglicherweise entstehenden gasförmigen Spaltprodukten und von bestimmten Baumaterialien emittiert, die durch die Einwirkung radioaktiver Emissionen aus dem Reaktorbetrieb aktiviert werden.

Andere Risikoagenten. Andere Klassen von Risikostoffen, die Energie freisetzen oder emittieren, umfassen:

• UV-Strahlung und Laserlicht

• Infrasound

• hochintensiver Klang

• Vibration.

Auslösen der Hardware-Gefahren

Beide plötzlich und allmählich Verschiebungen vom kontrollierten – oder „sicheren“ – Zustand in einen Zustand mit erhöhter Gefahr können durch die folgenden Umstände eintreten, die durch geeignete organisatorische Mittel wie Benutzererfahrung, Ausbildung, Fähigkeiten, Überwachung und Gerätetests kontrolliert werden können:

• Verschleiß und Überlastung

• Einwirkung von außen (Feuer oder Stoß)

• Alterung und Versagen

• falsche Versorgung (Energie, Rohstoffe)

• unzureichende Wartung und Reparatur

• Steuerungs- oder Prozessfehler

• Missbrauch oder falsche Anwendung

• Hardware-Ausfall

• Störung der Barriere.

Da ein ordnungsgemäßer Betrieb eine unsachgemäße Konstruktion und Installation nicht zuverlässig kompensieren kann, ist es wichtig, den gesamten Prozess von der Auswahl und Konstruktion über die Installation, Verwendung, Wartung und Prüfung zu berücksichtigen, um den tatsächlichen Zustand und Zustand der Hardware zu bewerten.

Gefahrenfall: Der Druckgastank

Gas kann in geeigneten Behältern zur Lagerung oder zum Transport enthalten sein, wie die Gas- und Sauerstoffflaschen, die von Schweißern verwendet werden. Gas wird oft unter hohem Druck gehandhabt, was eine große Steigerung der Speicherkapazität, aber auch ein höheres Unfallrisiko mit sich bringt. Das wichtigste Zufallsphänomen bei der Druckgasspeicherung ist die plötzliche Entstehung eines Lochs im Tank mit folgenden Folgen:

• die Einschlussfunktion des Tanks hört auf

• das eingeschlossene Gas erhält unmittelbaren Zugang zur umgebenden Atmosphäre.

Die Entwicklung eines solchen Unfalls hängt von diesen Faktoren ab:

• die Art und Menge des Gases im Tank

• die Situation des Lochs im Verhältnis zum Tankinhalt

• die anfängliche Größe und die nachfolgende Wachstumsrate des Lochs

• Temperatur und Druck des Gases und der Ausrüstung

• die Bedingungen in der unmittelbaren Umgebung (Zündquellen, Personen usw.).

Der Tankinhalt kann fast sofort oder über einen bestimmten Zeitraum freigesetzt werden und zu verschiedenen Szenarien führen, vom Ausbruch von freiem Gas aus einem geborstenen Tank bis hin zu mäßigen und ziemlich langsamen Freisetzungen bei kleinen Löchern.

Das Verhalten verschiedener Gase im Leckagefall

Bei der Entwicklung von Freisetzungsberechnungsmodellen ist es am wichtigsten, die folgenden Bedingungen zu bestimmen, die das potenzielle Verhalten des Systems beeinflussen:

• die Gasphase hinter dem Loch (gasförmig oder flüssig?)

• Temperatur und Windverhältnisse

• das mögliche Eindringen anderer Substanzen in das System oder deren mögliches Vorhandensein in seiner Umgebung

• Barrieren und andere Hindernisse.

Schwierig sind die genauen Berechnungen für einen Freisetzungsprozess, bei dem verflüssigtes Gas als Strahl aus einem Loch austritt und dann verdampft (bzw. zunächst zu einem Tröpfchennebel wird). Auch die Angabe der späteren Ausbreitung der entstehenden Wolken ist ein schwieriges Problem. Es müssen die Bewegungen und die Ausbreitung von Gasfreisetzungen berücksichtigt werden, ob das Gas sichtbare oder unsichtbare Wolken bildet und ob das Gas aufsteigt oder in Bodennähe bleibt.

Während Wasserstoff im Vergleich zu jeder Atmosphäre ein leichtes Gas ist, ist Ammoniakgas (NH₃mit einem Molekulargewicht von 17.0) steigt in einer gewöhnlichen luftähnlichen Sauerstoff-Stickstoff-Atmosphäre bei gleicher Temperatur und gleichem Druck auf. Chlor (Cl₂, mit einem Molekulargewicht von 70.9) und Butan (C₄H₁₀, mol. wt.58) sind Beispiele für Chemikalien, deren Gasphasen selbst bei Umgebungstemperatur dichter als Luft sind. Acetylen (C₂H₂, mol. Gew. 26.0) hat eine Dichte von etwa 0.90 g/l, die der von Luft (1.0 g/l) nahekommt, was bedeutet, dass in einer Arbeitsumgebung austretendes Schweißgas keine ausgeprägte Tendenz hat, nach oben zu schweben oder nach unten zu sinken; daher kann es sich leicht mit der Atmosphäre vermischen.

Aus einem Druckbehälter als Flüssigkeit freigesetztes Ammoniak kühlt jedoch zunächst durch seine Verdunstung ab und kann dann über mehrere Schritte entweichen:

• Unter Druck stehendes, flüssiges Ammoniak tritt als Strahl oder Wolke aus dem Loch im Tank aus.

• Auf den nächsten Oberflächen können sich Meere aus flüssigem Ammoniak bilden.

• Das Ammoniak verdunstet und kühlt dadurch sich selbst und die nähere Umgebung.

• Ammoniakgas tauscht allmählich Wärme mit der Umgebung aus und äquilibriert sich mit Umgebungstemperaturen.

Selbst eine Wolke aus leichtem Gas steigt möglicherweise nicht sofort aus einer Flüssiggasfreisetzung auf; es kann zunächst einen Nebel bilden – eine Tröpfchenwolke – und in Bodennähe bleiben. Die Bewegung der Gaswolke und die allmähliche Vermischung/Verdünnung mit der umgebenden Atmosphäre hängt von Wetterparametern und der umgebenden Umgebung ab – umschlossenes Gebiet, offenes Gebiet, Häuser, Verkehr, Anwesenheit der Öffentlichkeit, Arbeiter und so weiter.

Tankausfall

Die Folgen eines Tankausfalls können Feuer und Explosion, Erstickung, Vergiftung und Erstickung sein, wie die Erfahrung mit Gaserzeugungs- und Gashandhabungssystemen (Propan, Methan, Stickstoff, Wasserstoff usw.), mit Ammoniak- oder Chlortanks und mit Gasschweißen zeigt ( mit Acetylen und Sauerstoff). Was tatsächlich die Bildung eines Lochs in einem Tank auslöst, hat einen starken Einfluss auf das „Verhalten“ des Lochs – das wiederum den Gasausfluss beeinflusst – und ist entscheidend für die Wirksamkeit von Präventionsbemühungen. Ein Druckbehälter ist so konstruiert und gebaut, dass er bestimmten Einsatzbedingungen und Umwelteinflüssen standhält und für die Handhabung eines bestimmten Gases oder vielleicht einer Auswahl von Gasen geeignet ist. Die tatsächlichen Fähigkeiten eines Tanks hängen von seiner Form, Materialien, Schweißung, Schutz, Verwendung und Klima ab; Daher müssen bei der Bewertung seiner Eignung als Behälter für gefährliche Gase die Spezifikationen des Konstrukteurs, die Geschichte des Tanks, Inspektionen und Tests berücksichtigt werden. Zu den kritischen Bereichen gehören die Schweißnähte, die bei den meisten Druckbehältern verwendet werden; die Punkte, an denen Zubehör wie Einlässe, Auslässe, Halterungen und Instrumente mit dem Schiff verbunden sind; die flachen Enden zylindrischer Tanks wie Eisenbahntanks; und andere Aspekte noch weniger optimaler geometrischer Formen.

Schweißnähte werden visuell, durch Röntgenstrahlen oder durch zerstörende Probenprüfung untersucht, da diese örtliche Mängel zB in Form von Festigkeitsminderungen aufdecken können, die die Gesamtfestigkeit des Behälters gefährden oder sogar Auslöser für akute Tankschäden sein können Fehler.

Die Tankfestigkeit wird durch die Geschichte der Tanknutzung beeinflusst – in erster Linie durch die normalen Verschleißprozesse und die branchen- und anwendungstypischen Kratzer und Korrosionsangriffe. Andere historische Parameter von besonderem Interesse sind:

• gelegentlicher Überdruck

• extreme Erwärmung oder Abkühlung (intern oder extern)

• mechanische Einwirkungen

• Vibrationen und Stress

• Stoffe, die im Tank gelagert oder durch ihn hindurchgegangen sind

• Substanzen, die bei der Reinigung, Wartung und Reparatur verwendet werden.

Das Konstruktionsmaterial – Stahlblech, Aluminiumblech, Beton für drucklose Anwendungen usw. – kann durch diese Einflüsse in einer Weise geschädigt werden, die nicht immer ohne Überlastung oder Zerstörung der Ausrüstung während des Tests überprüft werden kann.

Unfallfall: Flixborough

Die Explosion einer großen Cyclohexanwolke in Flixborough (Großbritannien) im Jahr 1974, die 28 Menschen tötete und umfangreiche Anlagenschäden verursachte, ist ein sehr aufschlussreicher Fall. Auslöser war der Ausfall einer provisorischen Ersatzleitung in einem Reaktorblock. Der Unfall wurde durch den Ausfall eines Beschlags „verursacht“, bei näherer Untersuchung stellte sich jedoch heraus, dass der Ausfall auf eine Überlastung zurückzuführen war und die provisorische Konstruktion tatsächlich nicht für den vorgesehenen Zweck geeignet war. Nach zweimonatiger Betriebszeit wurde das Rohr durch einen leichten Druckanstieg von 10 bar (10⁶ Pa) Cyclohexangehalt bei ca. 150°C. Die beiden Bälge zwischen dem Rohr und den nahe gelegenen Reaktoren brachen und 30 bis 50 Tonnen Cyclohexan wurden freigesetzt und bald entzündet, wahrscheinlich durch einen Ofen in einiger Entfernung vom Leck. (Siehe Abbildung 1.) Eine sehr lesbare Darstellung des Falls findet sich in Kletz (1988).

Abbildung 1. Temporäre Verbindung zwischen Tanks in Flixborough

Hazard Analysis

Die Methoden, die entwickelt wurden, um die Risiken zu ermitteln, die für ein Gerät, einen chemischen Prozess oder einen bestimmten Vorgang relevant sein können, werden als „Gefahrenanalyse“ bezeichnet. Diese Methoden stellen Fragen wie: „Was kann möglicherweise schief gehen?“ "Könnte es ernst sein?" und "Was kann man dagegen tun?" Verschiedene Methoden zur Durchführung der Analysen werden oft kombiniert, um eine angemessene Abdeckung zu erreichen, aber kein solches Set kann mehr tun, als ein kluges Team von Analysten bei ihren Feststellungen zu leiten oder zu unterstützen. Die Hauptschwierigkeiten bei der Gefahrenanalyse sind folgende:

• Verfügbarkeit relevanter Daten

• Einschränkungen von Modellen und Berechnungen

• neue und unbekannte Materialien, Konstruktionen und Verfahren

• Systemkomplexität

• Grenzen der menschlichen Vorstellungskraft

• Einschränkungen bei praktischen Prüfungen.

Um unter diesen Umständen brauchbare Risikobewertungen zu erstellen, ist es wichtig, den Umfang und den Grad der „Ambitioniertheit“ der jeweiligen Analyse angemessen zu definieren; Beispielsweise ist klar, dass man für Versicherungszwecke nicht die gleiche Art von Informationen benötigt wie für Konstruktionszwecke oder für die Planung von Schutzsystemen und den Bau von Notfalleinrichtungen. Im Allgemeinen muss das Risikobild ausgefüllt werden, indem empirische Techniken (z. B. Statistik) mit deduktivem Denken und einer kreativen Vorstellungskraft gemischt werden.

Verschiedene Tools zur Risikobewertung – sogar Computerprogramme zur Risikoanalyse – können sehr hilfreich sein. Die Gefährdungs- und Betriebsfähigkeitsstudie (HAZOP) und die Fehlermöglichkeits- und -einflussanalyse (FMEA) sind gängige Methoden zur Ermittlung von Gefährdungen, insbesondere in der chemischen Industrie. Ausgangspunkt der HAZOP-Methode ist das Nachzeichnen möglicher Risikoszenarien anhand eines Satzes von Leitwörtern; Für jedes Szenario müssen wahrscheinliche Ursachen und Folgen identifiziert werden. In der zweiten Stufe versucht man, Mittel und Wege zu finden, um die Wahrscheinlichkeiten zu reduzieren oder die Folgen der als inakzeptabel beurteilten Szenarien abzumildern. Eine Übersicht über die HAZOP-Methode findet sich in Charsley (1995). Die FMEA-Methode stellt eine Reihe von „Was-wäre-wenn“-Fragen für jede mögliche Risikokomponente, um alle möglichen Ausfallarten gründlich zu bestimmen und dann die Auswirkungen zu identifizieren, die sie auf die Systemleistung haben können; Eine solche Analyse wird in dem später in diesem Artikel vorgestellten Demonstrationsbeispiel (für ein Gassystem) veranschaulicht.

Fehlerbäume u Ereignisbäume und die Modi der logischen Analyse, die Unfallverursachungsstrukturen und Wahrscheinlichkeitsrechnungen eigen sind, sind in keiner Weise spezifisch für die Analyse von Hardware-Gefahren, da sie allgemeine Werkzeuge für Systemrisikobewertungen sind.

Verfolgung von Hardware-Gefahren in einer Industrieanlage

Um mögliche Gefahren zu erkennen, können Informationen zu Konstruktion und Funktion eingeholt werden bei:

• eigentliche Geräte und Anlagen

• Ersatz und Modelle

• Zeichnungen, elektrische Diagramme, Rohrleitungs- und Instrumentierungsdiagramme (P/I) usw.

• Prozessbeschreibungen

• Kontrollsysteme

• Betriebsarten und Phasen

• Arbeitsaufträge, Änderungsaufträge, Wartungsberichte usw.

Durch die Auswahl und Verarbeitung solcher Informationen machen sich Analysten ein Bild vom Risikoobjekt selbst, seinen Funktionen und seiner tatsächlichen Verwendung. Wo Dinge noch nicht gebaut sind – oder für eine Inspektion nicht verfügbar sind – können wichtige Beobachtungen nicht gemacht werden und die Bewertung muss vollständig auf Beschreibungen, Absichten und Plänen beruhen. Eine solche Bewertung mag ziemlich schlecht erscheinen, aber tatsächlich werden die meisten praktischen Risikobewertungen auf diese Weise durchgeführt, entweder um eine behördliche Genehmigung für Anträge auf Neubauten zu erhalten oder um die relative Sicherheit alternativer Konstruktionslösungen zu vergleichen. Für die Informationen, die nicht in den formalen Diagrammen gezeigt oder mündlich durch Interviews beschrieben wurden, werden reale Prozesse konsultiert, und um zu überprüfen, ob die aus diesen Quellen gesammelten Informationen sachlich sind und tatsächliche Bedingungen darstellen. Dazu gehören die folgenden:

• tatsächliche Praxis und Kultur

• zusätzliche Ausfallmechanismen/Konstruktionsdetails

• „Schleichenpfade“ (siehe unten)

• häufige Fehlerursachen

• Risiken durch externe Quellen/Raketen

• besondere Belastungen oder Folgen

• Vorfälle, Unfälle und Beinahe-Unfälle.

Die meisten dieser zusätzlichen Informationen, insbesondere Schleichpfade, sind nur von kreativen, erfahrenen Beobachtern mit beträchtlicher Erfahrung erkennbar, und einige der Informationen wären mit Karten und Diagrammen fast unmöglich zu verfolgen. Schleichwege bezeichnen unbeabsichtigte und unvorhergesehene Wechselwirkungen zwischen Systemen, bei denen der Betrieb eines Systems den Zustand oder Betrieb eines anderen Systems auf andere Weise als die funktionalen beeinflusst. Dies geschieht typischerweise, wenn funktional unterschiedliche Teile nahe beieinander liegen oder (zum Beispiel) eine austretende Substanz auf darunter liegende Geräte tropft und einen Ausfall verursacht. Eine andere Wirkungsweise eines Schleichweges kann das Einbringen falscher Substanzen oder Teile in ein System mit Hilfe von Instrumenten oder Werkzeugen während des Betriebs oder der Wartung beinhalten: Die beabsichtigten Strukturen und ihre beabsichtigten Funktionen werden durch die Schleichpfade verändert. Von Gleichtaktfehler Eins bedeutet, dass bestimmte Bedingungen – wie Überschwemmungen, Blitzschlag oder Stromausfall – mehrere Systeme gleichzeitig stören können, was möglicherweise zu unerwartet großen Stromausfällen oder Unfällen führen kann. Im Allgemeinen versucht man, Sneak-Path-Effekte und Gleichtaktfehler durch geeignete Layouts und die Einführung von Abstand, Isolierung und Diversität in den Arbeitsabläufen zu vermeiden.

Ein Gefahrenanalyse-Fall: Gaslieferung von einem Schiff zu einem Tank

Fig. 2 zeigt ein System zur Lieferung von Gas von einem Transportschiff zu einem Lagertank. Ein Leck kann überall in diesem System auftreten: Schiff, Übertragungsleitung, Tank oder Ausgangsleitung; Angesichts der beiden Tankreservoirs könnte ein Leck irgendwo in der Leitung stundenlang aktiv bleiben.

Abbildung 2. Übertragungsleitung für die Lieferung von Flüssiggas vom Schiff zum Lagertank

Die kritischsten Komponenten des Systems sind die folgenden:

• der Lagertank

• die Rohrleitung oder der Schlauch zwischen Tank und Schiff

• sonstige Schläuche, Leitungen, Ventile und Anschlüsse

• das Sicherheitsventil am Speicher

• die Notabsperrventile ESD 1 und 2.

Ganz oben auf dieser Liste steht ein Lagertank mit einem großen Vorrat an Flüssiggas, weil es schwierig ist, kurzfristig ein Leck aus einem Tank zu schließen. Der zweite Punkt auf der Liste – die Verbindung zum Schiff – ist kritisch, da Leckagen in Rohren oder Schläuchen und lockere Verbindungen oder Kupplungen mit verschlissenen Dichtungen sowie Abweichungen zwischen verschiedenen Schiffen Produkt freisetzen können. Flexible Teile wie Schläuche und Faltenbälge sind kritischer als starre Teile und erfordern regelmäßige Wartung und Inspektion. Sicherheitsvorrichtungen wie das Druckentlastungsventil auf der Oberseite des Tanks und die beiden Notabschaltventile sind von entscheidender Bedeutung, da sie sich darauf verlassen müssen, latente oder sich entwickelnde Fehler aufzudecken.

Bisher war die Rangfolge der Systemkomponenten hinsichtlich ihrer Bedeutung in Bezug auf die Zuverlässigkeit nur allgemeiner Natur. Nun wird zu analytischen Zwecken auf die besonderen Funktionen des Systems hingewiesen, wobei die Hauptaufgabe natürlich darin besteht, Flüssiggas vom Schiff zum Lagertank zu bewegen, bis der angeschlossene Schiffstank leer ist. Die überwiegende Gefahr ist ein Gasleck, wobei die möglichen beitragenden Mechanismen einer oder mehrere der folgenden sind:

• undichte Kupplungen oder Ventile

• Tankbruch

• Rohr- oder Schlauchbruch

• Tankausfall.

Anwendung der FMEA-Methode

Die zentrale Idee des FMEA-Ansatzes oder der „Was-wäre-wenn“-Analyse besteht darin, für jede Komponente des Systems ihre Fehlermodi explizit aufzuzeichnen und für jeden Fehler die möglichen Folgen für das System und die Umwelt zu finden. Bei Standardkomponenten wie Tanks, Rohren, Ventilen, Pumpen, Durchflussmessern usw. folgen die Ausfallarten allgemeinen Mustern. Im Fall eines Ventils könnten die Fehlermodi beispielsweise die folgenden Bedingungen umfassen:

• Das Ventil kann nicht bei Bedarf schließen (durch ein „geöffnetes“ Ventil wird weniger gepumpt).

• Das Ventil ist undicht (es gibt einen Restfluss durch ein „geschlossenes“ Ventil).

• Das Ventil kann nicht auf Anforderung öffnen (die Ventilstellung pendelt).

Bei einer Pipeline würden Fehlermodi Elemente berücksichtigen wie:

• einen reduzierten Durchfluss

• ein Leck

• ein Fluss wurde aufgrund einer Verstopfung gestoppt

• ein Bruch in der Leitung.

Die Auswirkungen von Lecks scheinen offensichtlich, aber manchmal sind die wichtigsten Auswirkungen möglicherweise nicht die ersten Auswirkungen: Was passiert beispielsweise, wenn ein Ventil in halb geöffneter Position festsitzt? Ein Absperrventil in der Druckleitung, das bei Bedarf nicht vollständig öffnet, verzögert den Tankfüllvorgang, eine ungefährliche Folge. Wenn jedoch der Zustand „Hängendes Halboffen“ gleichzeitig mit einer Schließanforderung zu einem Zeitpunkt auftritt, an dem der Tank fast voll ist, kann es zu einer Überfüllung kommen (es sei denn, das Notabsperrventil wird erfolgreich aktiviert). In einem ordnungsgemäß ausgelegten und betriebenen System die Wahrscheinlichkeit, dass beide Ventile festsitzen gleichzeitig wird eher gering gehalten.

Offensichtlich kann ein Sicherheitsventil, das nicht bei Bedarf arbeitet, eine Katastrophe bedeuten; Tatsächlich könnte man mit Fug und Recht sagen, dass latente Ausfälle alle Sicherheitseinrichtungen ständig gefährden. Überdruckventile können beispielsweise aufgrund von Korrosion, Schmutz oder Farbe (typischerweise aufgrund schlechter Wartung) defekt sein, und im Fall von Flüssiggas können solche Defekte in Kombination mit dem Temperaturabfall bei einem Gasleck Eis und damit Eis erzeugen den Materialfluss durch ein Sicherheitsventil reduzieren oder vielleicht stoppen. Wenn ein Druckentlastungsventil bei Bedarf nicht funktioniert, kann sich in einem Tank oder in angeschlossenen Tanksystemen Druck aufbauen, der schließlich andere Lecks oder einen Tankbruch verursachen kann.

Der Einfachheit halber sind die Instrumente in Fig. 2 nicht gezeigt; natürlich gibt es Instrumente für Druck, Durchfluss und Temperatur, die wesentliche Parameter für die Überwachung des Systemzustands sind, wobei relevante Signale an Bedienkonsolen oder an eine Leitwarte zu Steuerungs- und Überwachungszwecken übertragen werden. Außerdem werden andere als die für den Materialtransport vorgesehenen Versorgungsleitungen - für Strom, Hydraulik usw. - und zusätzliche Sicherheitseinrichtungen vorhanden sein. Eine umfassende Analyse muss auch diese Systeme durchgehen und nach den Ausfallarten suchen und Auswirkungen dieser Komponenten auch. Insbesondere die Detektivarbeit zu Gleichtakteffekten und Schleichwegen erfordert, dass man sich ein umfassendes Bild von Hauptsystemkomponenten, Steuerungen, Instrumenten, Betriebsmitteln, Bedienern, Arbeitsplänen, Wartung und so weiter macht.

Beispiele für zu berücksichtigende Gleichtakteffekte im Zusammenhang mit Gassystemen werden durch Fragen wie diese angesprochen:

• Werden Ansteuersignale für Druckventile und Notabsperrventile auf einer gemeinsamen Leitung (Kabel, Kabelkanäle) übertragen?

• Teilen sich zwei gegebene Ventile dieselbe Stromleitung?

• Wird die Wartung nach einem vorgegebenen Zeitplan von derselben Person durchgeführt?

Selbst ein hervorragend konzipiertes System mit Redundanz und unabhängigen Stromleitungen kann unter mangelhafter Wartung leiden, wenn beispielsweise ein Ventil und sein Sicherheitsventil (in unserem Fall das Notabsperrventil) nach a in einem falschen Zustand belassen wurden Prüfung. Ein markanter Gleichtakteffekt bei einem Ammoniak-Handhabungssystem ist die Leckage selbst: Ein mäßiges Leck kann alle manuellen Eingriffe an Anlagenkomponenten ziemlich umständlich – und verzögert – aufgrund des Einsatzes des erforderlichen Notfallschutzes machen.

Zusammenfassung

Die Hardwarekomponenten sind sehr selten die schuldigen Teile in der Unfallentwicklung; vielmehr gibt es Ursachen in anderen Gliedern der Kette zu finden: falsche Konzepte, schlechte Konstruktionen, Wartungsfehler, Bedienerfehler, Managementfehler und so weiter. Es wurden bereits mehrere Beispiele für die spezifischen Bedingungen und Handlungen gegeben, die zu einer Fehlerentwicklung führen können; Eine breite Sammlung solcher Agenten würde Folgendes berücksichtigen:

• Kollision

• Korrosion, Ätzen

• übermäßige Belastungen

• ausfallender Support und gealterte oder verschlissene Teile

• minderwertige Schweißarbeiten

• Raketen

• fehlende Teile

• Überhitzung oder Kälte

• Vibration

• falscher Baustoff verwendet.

Die Kontrolle der Hardware-Gefahren in einer Arbeitsumgebung erfordert die Überprüfung aller möglichen Ursachen und die Beachtung der Bedingungen, die sich bei den tatsächlichen Systemen als kritisch herausstellen. Die daraus resultierenden Auswirkungen auf die Organisation von Risikomanagementprogrammen werden in anderen Artikeln behandelt, aber wie die vorstehende Liste deutlich zeigt, kann die Überwachung und Kontrolle von Hardwarebedingungen bis hin zur Auswahl von Konzepten und Designs für die erforderlich sein ausgewählte Systeme und Prozesse.

Zurück

Durch die Industrialisierung organisierten sich Arbeiter in Fabriken, als die Nutzung von Energiequellen wie der Dampfmaschine möglich wurde. Im Vergleich zum traditionellen Handwerk birgt die mechanisierte Produktion mit den zur Verfügung stehenden höheren Energiequellen neue Unfallrisiken. Als die Energiemenge zunahm, wurden die Arbeiter der direkten Kontrolle über diese Energien entzogen. Entscheidungen, die sich auf die Sicherheit auswirkten, wurden oft auf Managementebene getroffen und nicht von denjenigen, die diesen Risiken direkt ausgesetzt waren. In dieser Phase der Industrialisierung wurde die Notwendigkeit eines Sicherheitsmanagements offensichtlich.

In den späten 1920er Jahren formulierte Heinrich den ersten umfassenden theoretischen Rahmen für das Sicherheitsmanagement, der darin bestand, dass Sicherheit durch Managemententscheidungen auf der Grundlage der Identifizierung und Analyse von Unfallursachen angestrebt werden sollte. Zu diesem Zeitpunkt in der Entwicklung des Sicherheitsmanagements wurden Unfälle Fehlern auf der Ebene des Mensch-Maschine-Systems zugeschrieben – also unsicheren Handlungen und unsicheren Bedingungen.

Anschließend wurden verschiedene Methoden zur Identifizierung und Bewertung von Unfallrisiken entwickelt. Mit MORT (Management Oversight and Risk Tree) verlagerte sich der Fokus auf die höheren Ordnungen der Beherrschung von Unfallrisiken – also auf die Beherrschung von Zuständen auf Managementebene. Die Initiative zur Entwicklung von MORT ging Ende der 1960er Jahre von der US Energy Research and Development Administration aus, die ihre Sicherheitsprogramme verbessern wollte, um ihre Verluste durch Unfälle zu reduzieren.

Das MORT-Diagramm und die zugrunde liegenden Prinzipien

Die Absicht von MORT war es, ein ideales Sicherheitsmanagementsystem zu formulieren, das auf einer Synthese der besten damals verfügbaren Sicherheitsprogrammelemente und Sicherheitsmanagementtechniken basiert. Als die der MORT-Initiative zugrunde liegenden Prinzipien auf den aktuellen Stand der Technik im Sicherheitsmanagement angewendet wurden, nahmen die weitgehend unstrukturierte Sicherheitsliteratur und das Fachwissen die Form eines analytischen Baums an. Die erste Version des Baums wurde 1971 veröffentlicht. Abbildung 1 zeigt die Grundelemente der Version des Baums, die 1980 von Johnson veröffentlicht wurde. Der Baum taucht in modifizierter Form auch in späteren Veröffentlichungen zum Thema MORT-Konzept auf ( siehe zum Beispiel Knox und Eicher 1992).

Abbildung 1. Eine Version des analytischen MORT-Baums

Das MORT-Diagramm

MORT wird als praktisches Werkzeug bei Unfalluntersuchungen und bei der Bewertung bestehender Sicherheitsprogramme eingesetzt. Das oberste Ereignis des Baums in Abbildung 1 (Johnson 1980) stellt die (erlebten oder potenziellen) Verluste aufgrund eines Unfalls dar. Unterhalb dieses Top-Ereignisses befinden sich drei Hauptzweige: spezifische Versäumnisse und Versäumnisse (S), Versäumnisse und Versäumnisse des Managements (M) und angenommene Risiken (R). Das R-Zweig besteht aus angenommenen Risiken, bei denen es sich um Ereignisse und Bedingungen handelt, die dem Management bekannt sind und die auf der zuständigen Managementebene bewertet und akzeptiert wurden. Andere Ereignisse und Bedingungen, die durch die Bewertungen nach den S- und M-Zweigen aufgedeckt werden, werden als „weniger als angemessen“ (LTA) bezeichnet.

Das S-Zweig konzentriert sich auf die Ereignisse und Bedingungen des tatsächlichen oder potenziellen Ereignisses. (Im Allgemeinen wird die Zeit von links nach rechts gelesen und die Ursachenfolge wird von unten nach oben angezeigt.) Haddons Strategien (1980) zur Unfallverhütung sind Schlüsselelemente in diesem Bereich. Ein Ereignis wird als Unfall bezeichnet, wenn ein Ziel (eine Person oder ein Objekt) einer unkontrollierten Energieübertragung ausgesetzt ist und Schaden erleidet. In der S-Filiale von MORT werden Unfälle durch Absperrungen verhindert. Es gibt drei Grundtypen von Barrieren: (1) Barrieren, die die Energiequelle (die Gefahr) umgeben und begrenzen, (2) Barrieren, die das Ziel schützen, und (3) Barrieren, die die Gefahr und das Ziel physisch, zeitlich oder räumlich trennen . Diese unterschiedlichen Arten von Barrieren finden sich in der Entwicklung der Äste unterhalb des zufälligen Ereignisses. Die Verbesserung bezieht sich auf die Maßnahmen, die nach dem Unfall ergriffen wurden, um die Verluste zu begrenzen.

Auf der nächsten Ebene des S-Zweigs werden Faktoren erfasst, die sich auf die verschiedenen Phasen des Lebenszyklus einer Industrieanlage beziehen. Dies sind die Projektphase (Konzeption und Planung), die Inbetriebnahme (Betriebsbereitschaft) und der Betrieb (Überwachung und Wartung).

Das M-Zweig unterstützt einen Prozess, in dem spezifische Erkenntnisse aus einer Unfalluntersuchung oder Sicherheitsprogrammbewertung verallgemeinert werden. Ereignisse und Bedingungen des S-Zweigs haben daher oft ihre Entsprechungen im M-Zweig. Bei der Beschäftigung mit dem System in der M-Filiale erweitert sich das Denken des Analysten auf das gesamte Managementsystem. Daher wirken sich alle Empfehlungen auch auf viele andere mögliche Unfallszenarien aus. Die wichtigsten Funktionen des Sicherheitsmanagements sind im M-Zweig zu finden: Festlegung von Richtlinien, Umsetzung und Nachverfolgung. Dies sind die gleichen Grundelemente, die wir in den Qualitätssicherungsprinzipien der ISO 9000-Reihe finden, die von der Internationalen Organisation für Normung (ISO) veröffentlicht wurden.

Wenn die Zweige des MORT-Diagramms detailliert ausgearbeitet werden, finden sich Elemente aus so unterschiedlichen Bereichen wie Risikoanalyse, Human-Factors-Analyse, Sicherheitsinformationssysteme und Organisationsanalyse. Insgesamt werden etwa 1,500 Basisereignisse durch das MORT-Diagramm abgedeckt.

Anwendung des MORT-Diagramms

Wie bereits erwähnt, hat das MORT-Diagramm zwei unmittelbare Verwendungszwecke (Knox und Eicher 1992): (1) zur Analyse von Management- und Organisationsfaktoren in Bezug auf einen aufgetretenen Unfall und (2) zur Bewertung oder Prüfung eines Sicherheitsprogramms in Bezug auf einen schwerwiegenden Unfall das hat das Potenzial, dass es auftritt. Das MORT-Diagramm fungiert als Screening-Tool bei der Planung der Analysen und Auswertungen. Es dient auch als Checkliste zum Vergleich der Ist-Zustände mit dem idealisierten System. In dieser Anwendung erleichtert MORT die Überprüfung der Vollständigkeit der Analyse und die Vermeidung persönlicher Vorurteile.

Im Grunde besteht MORT aus einer Sammlung von Fragen. Aus diesen Fragen werden Kriterien abgeleitet, anhand derer beurteilt werden kann, ob bestimmte Ereignisse und Bedingungen zufriedenstellend oder nicht ausreichend sind. Trotz der direktiven Gestaltung der Fragen sind die Urteile des Analytikers zum Teil subjektiv. Es ist daher wichtig geworden, eine angemessene Qualität und Intersubjektivität zwischen MORT-Analysen verschiedener Analytiker sicherzustellen. In den Vereinigten Staaten ist beispielsweise ein Schulungsprogramm für die Zertifizierung von MORT-Analysten verfügbar.

Erfahrungen mit MORT

Die Literatur zur Evaluation von MORT ist spärlich. Johnson berichtet von erheblichen Verbesserungen in der Vollständigkeit der Unfalluntersuchungen nach der Einführung von MORT (Johnson 1980). Mängel auf der Aufsichts- und Führungsebene wurden systematischer aufgedeckt. Erfahrungen wurden auch aus Bewertungen von MORT-Anwendungen in der finnischen Industrie gesammelt (Ruuhilehto 1993). In den finnischen Studien wurden einige Einschränkungen festgestellt. MORT unterstützt nicht die Identifizierung unmittelbarer Risiken aufgrund von Ausfällen und Störungen. Außerdem ist in das MORT-Konzept keine Fähigkeit zum Setzen von Prioritäten eingebaut. Folglich müssen die Ergebnisse von MORT-Analysen weiter ausgewertet werden, um sie in Abhilfemaßnahmen umzusetzen. Schließlich zeigt die Erfahrung, dass MORT zeitaufwändig ist und die Beteiligung von Experten erfordert.

Abgesehen von seiner Fähigkeit, sich auf Organisations- und Managementfaktoren zu konzentrieren, hat MORT den weiteren Vorteil, Sicherheit mit normalen Produktionsaktivitäten und allgemeinem Management zu verbinden. Der Einsatz von MORT wird somit die allgemeine Planung und Steuerung unterstützen und dazu beitragen, die Häufigkeit von Produktionsstörungen zu reduzieren.

Zugehörige Sicherheitsmanagementmethoden und -techniken

Mit der Einführung des MORT-Konzepts Anfang der 1970er Jahre startete in den USA ein Entwicklungsprogramm. Der Schwerpunkt für dieses Programm war das System Safety Development Center in Idaho Falls. Aus diesem Programm sind verschiedene MORT-bezogene Methoden und Techniken in Bereichen wie der Analyse menschlicher Faktoren, Sicherheitsinformationssystemen und Sicherheitsanalysen hervorgegangen. Ein frühes Beispiel einer aus dem MORT-Entwicklungsprogramm hervorgegangenen Methode ist das Operational Readiness Program (Nertney 1975). Dieses Programm wird während der Entwicklung neuer industrieller Systeme und der Modifikation bestehender Systeme eingeführt. Ziel ist es sicherzustellen, dass aus Sicht des Sicherheitsmanagements das neue oder geänderte System zum Zeitpunkt der Inbetriebnahme bereit ist. Der Zustand der Betriebsbereitschaft setzt voraus, dass die erforderlichen Barrieren und Kontrollen in der Hardware, dem Personal und den Verfahren des neuen Systems installiert wurden. Ein weiteres Beispiel für ein MORT-Programmelement ist die MORT-basierte Ursachenanalyse (Cornelison 1989). Es wird verwendet, um die grundlegenden Sicherheitsmanagementprobleme einer Organisation zu identifizieren. Dazu werden die spezifischen Ergebnisse der MORT-Analysen auf 27 verschiedene generische Sicherheitsmanagementprobleme bezogen.

Obwohl MORT nicht direkt für die Sammlung von Informationen bei Unfalluntersuchungen und Sicherheitsaudits verwendet werden soll, dienten die MORT-Fragen in Skandinavien als Grundlage für die Entwicklung eines für diesen Zweck verwendeten Diagnosewerkzeugs. Es wird Safety Management and Organization Review Technique oder SMORT genannt (Kjellén und Tinmannsvik 1989). Eine SMORT-Analyse geht schrittweise rückwärts vor, ausgehend von der konkreten Situation bis hin zur allgemeinen Führungsebene. Ausgangspunkt (Ebene 1) ist ein Unfallablauf oder eine Gefahrensituation. Auf Stufe 2 werden die Organisation, die Anlagenplanung und die technischen Faktoren des täglichen Betriebs unter die Lupe genommen. Die darauffolgenden Ebenen umfassen das Design neuer Systeme (Ebene 3) und höhere Managementfunktionen (Ebene 4). Erkenntnisse auf einer Ebene werden auf die darüber liegenden Ebenen ausgedehnt. So fließen zum Beispiel Ergebnisse zum Unfallablauf und zum Tagesgeschäft in die Analyse der Unternehmensorganisation und -routinen für die Projektarbeit (Ebene 3) ein. Ergebnisse auf Stufe 3 wirken sich nicht auf die Sicherheit in bestehenden Betrieben aus, können aber auf die Planung neuer Systeme und Modifikationen angewendet werden. SMORT unterscheidet sich von MORT auch in der Art und Weise, wie Befunde identifiziert werden. Auf Stufe 1 sind dies beobachtbare Ereignisse und Bedingungen, die von allgemein anerkannten Normen abweichen. Wenn Organisations- und Managementfaktoren auf den Ebenen 2 bis 4 in die Analyse einbezogen werden, werden die Ergebnisse durch Werturteile einer Analysegruppe identifiziert und durch ein Qualitätskontrollverfahren verifiziert. Ziel ist es, ein gemeinsames Verständnis der organisatorischen Probleme sicherzustellen.

Zusammenfassung

MORT ist seit den 1970er Jahren maßgeblich an den Entwicklungen im Sicherheitsmanagement beteiligt. Es ist möglich, den Einfluss von MORT auf Bereiche wie Sicherheitsforschungsliteratur, Literatur zu Sicherheitsmanagement und Audit-Tools sowie Gesetzgebung zur Selbstregulierung und internen Kontrolle zu verfolgen. Trotz dieser Auswirkungen müssen ihre Grenzen sorgfältig abgewogen werden. MORT und zugehörige Methoden sind normativ in dem Sinne, dass sie vorschreiben, wie Sicherheitsmanagementprogramme organisiert und durchgeführt werden sollten. Das Ideal ist eine gut strukturierte Organisation mit klaren und realistischen Zielen und klar definierten Verantwortlichkeiten und Befugnissen. MORT eignet sich daher am besten für große und bürokratische Organisationen.

Zurück

Inspektionssysteme

Auditing wurde definiert als „der strukturierte Prozess des Sammelns unabhängiger Informationen über die Effizienz, Effektivität und Zuverlässigkeit des gesamten Sicherheitsmanagementsystems und das Erstellen von Plänen für Korrekturmaßnahmen“ (Successful Health & Safety Management 1991).

Die Arbeitsplatzinspektion ist daher nicht nur die letzte Stufe beim Aufbau eines Sicherheitsmanagementprogramms, sondern auch ein fortlaufender Prozess zu dessen Aufrechterhaltung. Sie kann nur durchgeführt werden, wenn ein ordnungsgemäß entwickeltes Sicherheitsmanagementsystem eingerichtet wurde. Ein solches System sieht zunächst eine formelle Grundsatzerklärung des Managements vor, in der seine Grundsätze zur Schaffung eines gesunden und sicheren Arbeitsumfelds dargelegt werden, und dann die Einrichtung der Mechanismen und Strukturen innerhalb der Organisation, mit denen diese Grundsätze wirksam umgesetzt werden. Das Management muss sich außerdem dazu verpflichten, angemessene personelle und finanzielle Ressourcen bereitzustellen, um die Mechanismen und Strukturen des Systems zu unterstützen. Danach muss eine detaillierte Sicherheits- und Gesundheitsplanung erfolgen und messbare Ziele definiert werden. Es müssen Systeme entwickelt werden, die sicherstellen, dass die Sicherheits- und Gesundheitsleistung in der Praxis an etablierten Normen und früheren Errungenschaften gemessen werden kann. Nur wenn diese Struktur vorhanden ist und funktioniert, kann ein effektives Management-Audit-System angewendet werden.

Vollständige Sicherheits- und Gesundheitsmanagementsysteme können aus den Ressourcen größerer Unternehmen entwickelt, produziert und implementiert werden. Darüber hinaus gibt es eine Reihe von Sicherheitsmanagement-Kontrollsystemen, die von Beratern, Versicherungen, Behörden, Verbänden und Fachfirmen angeboten werden. Es ist Sache des Unternehmens zu entscheiden, ob es ein eigenes System produziert oder Fremdleistungen bezieht. Beide Alternativen können hervorragende Ergebnisse erzielen, wenn sich das Management wirklich dafür einsetzt, sie gewissenhaft anzuwenden und zum Funktionieren zu bringen. Ihr Erfolg hängt jedoch stark von der Qualität des Prüfungssystems ab.

Management-Inspektionen

Das Prüfverfahren muss so sorgfältig und objektiv sein wie die Finanzprüfung des Unternehmens. Die Inspektion muss zunächst feststellen, ob die Grundsatzerklärung des Unternehmens zu Sicherheit und Gesundheitsschutz in den zu ihrer Umsetzung geschaffenen Strukturen und Mechanismen angemessen widergespiegelt ist; Ist dies nicht der Fall, kann die Inspektion eine Neubewertung der grundlegenden Politik empfehlen oder Anpassungen oder Änderungen an den bestehenden Strukturen und Mechanismen vorschlagen. Ein ähnlicher Prozess muss für die Sicherheits- und Gesundheitsplanung, die Gültigkeit der Zielsetzungsnormen und die Leistungsmessung angewendet werden. Die Ergebnisse jeder Inspektion müssen von der obersten Leitung des Unternehmens berücksichtigt werden, und alle Korrekturmaßnahmen müssen von dieser Behörde gebilligt und umgesetzt werden.

In der Praxis ist es unerwünscht und oft unpraktisch, eine vollständige Inspektion aller Merkmale eines Systems und ihrer Anwendung in allen Abteilungen des Unternehmens gleichzeitig durchzuführen. Üblicherweise konzentriert sich das Inspektionsverfahren auf ein Merkmal des gesamten Sicherheitsmanagementsystems in der gesamten Anlage oder alternativ auf die Anwendung aller Merkmale in einer Abteilung oder sogar Unterabteilung. Ziel ist es aber, alle Features in allen Abteilungen über einen vereinbarten Zeitraum abzudecken, um die Ergebnisse zu validieren.

Insofern ist die Managementinspektion als kontinuierlicher Wachsamkeitsprozess zu verstehen. Das Erfordernis der Objektivität ist eindeutig von erheblicher Bedeutung. Werden Prüfungen betriebsintern durchgeführt, muss ein standardisiertes Prüfverfahren vorliegen; Inspektionen sollten von entsprechend geschultem Personal durchgeführt werden; und die als Inspektoren ausgewählten Personen dürfen weder die Abteilungen bewerten, in denen sie normalerweise arbeiten, noch sollten sie andere Arbeiten bewerten, an denen sie persönlich beteiligt sind. Wo man sich auf Berater verlässt, wird dieses Problem minimiert.

Viele große Unternehmen haben diese Art von System übernommen, entweder intern entwickelt oder als proprietäres Schema erworben. Wenn die Systeme von der Grundsatzerklärung bis zur Inspektion, Feedback und Korrekturmaßnahmen sorgfältig verfolgt wurden, sollten eine erhebliche Verringerung der Unfallraten, was die Hauptrechtfertigung für das Verfahren ist, und eine höhere Rentabilität, was ein willkommenes sekundäres Ergebnis ist, resultieren.

Inspektionen durch Inspektorate

Der rechtliche Rahmen zum Schutz der Menschen am Arbeitsplatz muss ordnungsgemäß verwaltet und wirksam angewendet werden, wenn der Zweck des Ordnungsrechts erreicht werden soll. Die meisten Länder haben daher das breite Modell eines Inspektionsdienstes angenommen, der die Pflicht hat, sicherzustellen, dass die Sicherheits- und Gesundheitsvorschriften durchgesetzt werden. Viele Länder sehen Sicherheits- und Gesundheitsfragen als Teil eines vollständigen Arbeitsbeziehungspakets an, das Arbeitsbeziehungen, Lohn- und Urlaubsvereinbarungen sowie Sozialleistungen umfasst. In diesem Modell sind Sicherheits- und Gesundheitsinspektionen ein Element der Aufgaben des Arbeitsaufsichtsbeamten. Es gibt auch ein anderes Modell, bei dem sich die staatliche Aufsichtsbehörde ausschließlich mit dem Sicherheits- und Gesundheitsrecht befasst, sodass sich die Arbeitsstättenkontrolle ausschließlich auf diesen Aspekt konzentriert. Weitere Unterschiede zeigen sich in der Aufteilung der Aufsichtsfunktionen entweder auf eine nationale Aufsichtsbehörde oder eine regionale/provinzielle Aufsichtsbehörde oder tatsächlich, wie beispielsweise in Italien und im Vereinigten Königreich, auf eine Arbeitskombination aus nationalen und regionalen Aufsichtsbehörden. Unabhängig davon, welches Modell gewählt wird, besteht die wesentliche Funktion der Aufsichtsbehörde darin, die Einhaltung der Rechtsvorschriften durch ein Programm geplanter Inspektionen und Untersuchungen am Arbeitsplatz festzustellen.

Es kann kein wirksames Inspektionssystem geben, wenn diejenigen, die diese Arbeit übernehmen, nicht über ausreichende Befugnisse verfügen, um sie auszuführen. Hinsichtlich der ihnen von ihren Gesetzgebern übertragenen Befugnisse gibt es zwischen den Aufsichtsbehörden viele Gemeinsamkeiten. Es muss immer ein Zutrittsrecht zu den Räumlichkeiten bestehen, was für die Inspektion natürlich von grundlegender Bedeutung ist. Danach besteht der gesetzliche Anspruch auf Einsicht in relevante Dokumente, Register und Berichte, auf individuelle oder kollektive Befragung von Arbeitnehmern, auf uneingeschränkten Zugang zu Gewerkschaftsvertretern am Arbeitsplatz, auf Entnahme von Proben von Stoffen oder Materialien, die am Arbeitsplatz verwendet werden , zu fotografieren und gegebenenfalls schriftliche Erklärungen von auf dem Gelände tätigen Personen aufzunehmen.

Häufig werden zusätzliche Befugnisse gewährt, um es den Inspektoren zu ermöglichen, Bedingungen zu beheben, die eine unmittelbare Quelle für Gefahren oder Gesundheitsschäden für die Belegschaft darstellen könnten. Auch hier gibt es eine Vielzahl von Praktiken. Wenn die Standards so schlecht sind, dass eine unmittelbare Gefahr für die Belegschaft besteht, kann ein Inspektor ermächtigt werden, vor Ort ein Rechtsdokument zuzustellen, das die Verwendung der Maschine oder Anlage untersagt oder den Prozess stoppt, bis die Gefahr wirksam geworden ist kontrolliert. Bei einem geringeren Risiko können die Inspektoren einen rechtlichen Hinweis erlassen, in dem sie förmlich verlangen, dass innerhalb einer bestimmten Frist Maßnahmen zur Verbesserung der Standards ergriffen werden. Dies sind wirksame Mittel zur raschen Verbesserung der Arbeitsbedingungen und oft eine Form der Durchsetzung, die formellen Gerichtsverfahren vorzuziehen ist, die bei der Sicherstellung von Abhilfe umständlich und langsam sein können.

Gerichtsverfahren nehmen einen wichtigen Platz in der Hierarchie der Vollstreckung ein. Es wird argumentiert, dass Gerichtsverfahren nur als letztes Mittel eingesetzt werden sollten, wenn alle anderen Versuche zur Durchsetzung von Verbesserungen gescheitert sind, weil sie lediglich Strafcharakter haben und nicht unbedingt zu einer Änderung der Einstellung zu Sicherheit und Gesundheitsschutz am Arbeitsplatz führen. Dieser Auffassung ist jedoch entgegenzuhalten, dass dort, wo gesetzliche Vorgaben missachtet oder missachtet und die Sicherheit und Gesundheit von Menschen erheblich gefährdet wurden, das Recht durchgesetzt und die Gerichte entschieden werden müssen. Als weiteres Argument wird argumentiert, dass Unternehmen, die die Sicherheits- und Gesundheitsvorschriften missachten, dadurch einen wirtschaftlichen Vorteil gegenüber ihren Konkurrenten erlangen könnten, die angemessene Ressourcen zur Verfügung stellen, um ihren gesetzlichen Pflichten nachzukommen. Die strafrechtliche Verfolgung von Personen, die ihre Pflichten beharrlich missachten, ist daher eine Abschreckung für die Skrupellosen und eine Ermutigung für diejenigen, die versuchen, das Gesetz einzuhalten.

Jeder Inspektionsdienst muss im Rahmen der Inspektionsarbeit die richtige Balance zwischen Beratung und Rechtsdurchsetzung finden. Eine besondere Schwierigkeit ergibt sich im Zusammenhang mit der Kontrolle kleiner Unternehmen. Lokale Ökonomien und sogar nationale Ökonomien werden oft von Industriebetrieben getragen, die jeweils weniger als 20 Mitarbeiter beschäftigen; in der Landwirtschaft ist die Beschäftigungszahl pro Einheit sehr viel geringer. Die Funktion der Aufsichtsbehörde besteht in diesen Fällen darin, die Arbeitsstätteninspektion zu nutzen, um Informationen und Ratschläge nicht nur zu gesetzlichen Anforderungen, sondern auch zu praktischen Standards und effektiven Möglichkeiten zur Erfüllung dieser Standards bereitzustellen. Die Technik muss darin bestehen, zu ermutigen und zu stimulieren, anstatt das Gesetz sofort durch Strafmaßnahmen durchzusetzen. Aber auch hier ist die Balance schwierig. Menschen am Arbeitsplatz haben unabhängig von der Größe des Unternehmens Anspruch auf Sicherheits- und Gesundheitsstandards, und es wäre daher völlig verfehlt, wenn ein Aufsichtsdienst Risiken ignoriert oder minimiert und auf deren Durchsetzung beschränkt oder gar verzichtet, nur um die Existenz der wirtschaftlich Schwachen zu fördern kleines Unternehmen.

Konsistenz der Inspektionen

In Anbetracht der Komplexität ihrer Arbeit – mit ihrem kombinierten Bedarf an juristischen, aufsichtsrechtlichen, technischen und wissenschaftlichen Fähigkeiten – verfolgen Inspektoren keinen mechanistischen Ansatz bei der Inspektion – und sollten es auch nicht. Diese Einschränkung, verbunden mit einem schwierigen Gleichgewicht zwischen Beratungs- und Durchsetzungsfunktionen, wirft noch ein weiteres Problem auf, nämlich die Kohärenz der Inspektionsdienste. Industrielle und Gewerkschaften haben das Recht, von den Inspektoren im ganzen Land eine einheitliche Anwendung technischer oder rechtlicher Standards zu erwarten. Dies ist in der Praxis nicht immer einfach zu erreichen, muss aber von den Vollzugsbehörden stets angestrebt werden.

Es gibt Möglichkeiten, eine akzeptable Konsistenz zu erreichen. Erstens sollte die Aufsichtsbehörde bei der Veröffentlichung ihrer technischen Standards und der öffentlichen Darlegung ihrer Durchsetzungspolitik so offen wie möglich sein. Zweitens sollte es durch Schulungen, die Anwendung von Peer-Review-Übungen und interne Anweisungen in der Lage sein, sowohl ein Problem zu erkennen als auch Systeme bereitzustellen, um damit umzugehen. Schließlich sollte sie sicherstellen, dass es Verfahren für die Industrie, die Belegschaft, die Öffentlichkeit und die Sozialpartner gibt, um Abhilfe zu schaffen, wenn sie eine berechtigte Beschwerde über Unstimmigkeiten oder andere Formen von Missständen im Zusammenhang mit der Inspektion haben.

Häufigkeit der Inspektionen

Wie häufig sollten die Aufsichtsbehörden Inspektionen des Arbeitsplatzes durchführen? Auch hier gibt es erhebliche Unterschiede in der Art und Weise, wie diese Frage beantwortet werden kann. Die Internationale Arbeitsorganisation (ILO) vertritt die Ansicht, dass die Mindestanforderung darin bestehen sollte, dass jeder Arbeitsplatz mindestens einmal jährlich von den Vollzugsbehörden inspiziert wird. In der Praxis schaffen es nur wenige Länder, ein Arbeitsaufsichtsprogramm aufzustellen, das diesem Ziel entspricht. In der Tat haben einige Regierungen seit der großen Wirtschaftskrise Ende der 1980er Jahre die Inspektionsdienste durch Budgetbeschränkungen eingeschränkt, die zu einer Kürzung der Zahl der Inspektoren führten, oder durch Beschränkungen bei der Einstellung neuer Mitarbeiter, um diejenigen zu ersetzen, die in den Ruhestand treten.

Es gibt verschiedene Ansätze, um festzulegen, wie häufig Inspektionen durchgeführt werden sollten. Ein Ansatz war rein zyklisch. Es werden Ressourcen eingesetzt, um alle zwei Jahre, oder wahrscheinlicher alle vier Jahre, eine Inspektion aller Räumlichkeiten durchzuführen. Aber dieser Ansatz, obwohl er möglicherweise den Anschein von Gerechtigkeit erweckt, behandelt alle Prämissen als gleich, unabhängig von Größe oder Risiko. Dennoch sind die Unternehmen in Bezug auf die Sicherheits- und Gesundheitsbedingungen offensichtlich unterschiedlich, und in dem Maße, in dem sie sich unterscheiden, kann dieses System als mechanistisch und fehlerhaft angesehen werden.

Ein anderer Ansatz, der von einigen Aufsichtsbehörden gewählt wurde, bestand darin, zu versuchen, ein Arbeitsprogramm auf der Grundlage von Gefahren zu erstellen; Je größer die Gefahr für Sicherheit oder Gesundheit, desto häufiger die Kontrolle. Daher setzt die Aufsichtsbehörde Ressourcen dort ein, wo das Schadenspotenzial für die Belegschaft am größten ist. Obwohl dieser Ansatz Vorteile hat, sind immer noch beträchtliche Probleme damit verbunden. Erstens gibt es Schwierigkeiten bei der genauen und objektiven Bewertung von Gefahren und Risiken. Zweitens verlängert es die Intervalle zwischen den Inspektionen der Räumlichkeiten, in denen die Gefahren und Risiken als gering eingeschätzt werden, erheblich. Daher können längere Zeiträume vergehen, in denen viele der Belegschaft möglicherweise auf das Gefühl der Sicherheit und Gewissheit verzichten müssen, das eine Inspektion vermitteln kann. Darüber hinaus geht das System tendenziell davon aus, dass sich einmal bewertete Gefahren und Risiken nicht grundlegend ändern. Dies ist bei weitem nicht der Fall, und es besteht die Gefahr, dass ein niedrig bewertetes Unternehmen seine Produktion so ändert oder entwickelt, dass Gefahren und Risiken zunehmen, ohne dass die Aufsichtsbehörde von dieser Entwicklung Kenntnis hat.

Andere Ansätze umfassen Inspektionen auf der Grundlage von Betriebsverletzungsraten, die höher sind als der nationale Durchschnitt für die jeweilige Branche, oder unmittelbar nach einer tödlichen Verletzung oder einer größeren Katastrophe. Es gibt keine kurzen und einfachen Antworten auf das Problem, die Inspektionshäufigkeit zu bestimmen, aber was zu passieren scheint, ist, dass die Inspektionsdienste in vielen Ländern zu oft erheblich unterfinanziert sind, was dazu führt, dass der wirkliche Schutz der Arbeitnehmer von der Der Service wird zunehmend ausgehöhlt.

Inspektionsziele

Inspektionstechniken am Arbeitsplatz variieren je nach Größe und Komplexität des Unternehmens. In kleineren Unternehmen ist die Inspektion umfassend und bewertet alle Gefahren und das Ausmaß, in dem die Risiken, die sich aus den Gefahren ergeben, minimiert wurden. Die Inspektion stellt daher sicher, dass der Arbeitgeber sich der Sicherheits- und Gesundheitsprobleme voll bewusst ist und praktische Anleitungen erhält, wie diese angegangen werden können. Aber auch im kleinsten Betrieb sollte die Aufsichtsbehörde nicht den Eindruck erwecken, dass die Fehlersuche und die Anwendung geeigneter Abhilfemaßnahmen Aufgabe der Aufsichtsbehörde und nicht des Arbeitgebers sind. Arbeitgeber müssen durch Inspektionen ermutigt werden, Sicherheits- und Gesundheitsprobleme zu kontrollieren und effektiv zu handhaben, und sie dürfen sich ihrer Verantwortung nicht entziehen, indem sie eine Inspektion durch die Vollzugsbehörden abwarten, bevor sie die erforderlichen Maßnahmen ergreifen.

In größeren Unternehmen liegen die Schwerpunkte der Inspektion etwas anders. Diese Unternehmen verfügen über die technischen und finanziellen Ressourcen, um Sicherheits- und Gesundheitsprobleme zu bewältigen. Sie sollten sowohl effektive Managementsysteme zur Lösung der Probleme als auch Managementverfahren entwickeln, um zu überprüfen, ob die Systeme funktionieren. Unter diesen Umständen sollte der Schwerpunkt der Inspektion daher auf der Überprüfung und Validierung der am Arbeitsplatz vorhandenen Managementkontrollsysteme liegen. Die Begehung sollte daher keine erschöpfende Prüfung aller Anlagen und Einrichtungen auf ihre Sicherheit sein, sondern vielmehr die Wirksamkeit oder Unwirksamkeit der Managementsysteme zur Gewährleistung von Sicherheit und Gesundheitsschutz bei der Arbeit anhand ausgewählter Beispiele prüfen.

Arbeitnehmerbeteiligung an Inspektionen

Unabhängig von den Räumlichkeiten ist der Kontakt mit der Belegschaft ein entscheidendes Element bei jeder Art von Inspektion. In vielen kleineren Betrieben gibt es möglicherweise überhaupt keine formelle Gewerkschaftsstruktur oder überhaupt eine Belegschaftsorganisation. Um jedoch die Objektivität und Akzeptanz des Inspektionsdienstes zu gewährleisten, sollte der Kontakt mit einzelnen Arbeitnehmern ein wesentlicher Bestandteil der Inspektion sein. In größeren Unternehmen sollte immer Kontakt zu Gewerkschaften oder anderen anerkannten Arbeitnehmervertretern aufgenommen werden. Die Gesetzgebung in einigen Ländern (z. B. Schweden und das Vereinigte Königreich) verleiht den Sicherheitsvertretern der Gewerkschaften offizielle Anerkennung und Befugnisse, einschließlich des Rechts, Arbeitsplatzinspektionen durchzuführen, Unfälle und gefährliche Vorkommnisse zu untersuchen, und in einigen Ländern (obwohl dies eine Ausnahme ist) zu Betriebsmaschinen oder den Produktionsprozess anhalten, wenn eine unmittelbare Gefahr droht. Aus diesen Kontakten mit den Arbeitnehmern können viele nützliche Informationen gewonnen werden, die bei jeder Inspektion berücksichtigt werden sollten, und sicherlich immer dann, wenn die Inspektion aufgrund eines Unfalls oder einer Beschwerde eine Inspektion durchführt.

Inspektionsbefunde

Das letzte Element einer Inspektion besteht darin, die Inspektionsergebnisse mit dem ranghöchsten Mitglied der Geschäftsleitung des Standorts zu besprechen. Das Management hat die Hauptverantwortung für die Einhaltung der gesetzlichen Anforderungen an Sicherheit und Gesundheit, und daher sollte keine Inspektion abgeschlossen sein, ohne dass das Management sich vollständig darüber im Klaren ist, inwieweit es diese Pflichten erfüllt hat und was getan werden muss, um angemessene Standards zu gewährleisten und aufrechtzuerhalten . Wenn aufgrund einer Inspektion rechtliche Hinweise erteilt werden oder ein Gerichtsverfahren zu erwarten ist, muss die Geschäftsleitung über diesen Sachverhalt zum frühestmöglichen Zeitpunkt informiert sein.

Firmeninspektionen

Betriebsinspektionen sind ein wichtiger Bestandteil zur Aufrechterhaltung solider Sicherheits- und Gesundheitsstandards am Arbeitsplatz. Sie sind für alle Unternehmen geeignet und können in größeren Unternehmen Bestandteil des Managementinspektionsverfahrens sein. Für kleinere Unternehmen ist es unerlässlich, eine Form der regelmäßigen Betriebsbesichtigung einzuführen. Auf die Kontrolldienste der Inspektorate der Vollzugsbehörden sollte kein Verlass sein. Diese sind in der Regel viel zu selten und sollten weitgehend als Anregung zur Verbesserung oder Beibehaltung von Standards dienen, anstatt die Hauptquelle für die Bewertung von Standards zu sein. Unternehmensinspektionen können von Beratern oder von Unternehmen durchgeführt werden, die sich auf diese Arbeit spezialisiert haben, aber die aktuelle Diskussion wird sich auf die Inspektion durch das eigene Personal des Unternehmens konzentrieren.

Wie häufig sollten Betriebsbegehungen durchgeführt werden? Die Antwort hängt teilweise von den mit der Arbeit verbundenen Gefahren und der Komplexität der Anlage ab. Aber auch in Räumlichkeiten mit geringem Risiko sollte regelmäßig (monatlich, vierteljährlich usw.) eine Art Inspektion durchgeführt werden. Wenn das Unternehmen eine Sicherheitsfachkraft beschäftigt, dann muss die Organisation und Durchführung der Inspektion natürlich ein wichtiger Bestandteil dieser Funktion sein. Die Inspektion sollte in der Regel eine Teamleistung sein, an der der Sicherheitsfachmann, der Abteilungsleiter oder Vorarbeiter und entweder ein Gewerkschaftsvertreter oder ein qualifizierter Arbeiter, wie z. B. ein Mitglied des Sicherheitsausschusses, beteiligt sind. Die Inspektion sollte umfassend sein; das heißt, sowohl die Sicherheitssoftware (z. B. Systeme, Verfahren und Arbeitsgenehmigungen) als auch die Hardware (z. B. Maschinenschutz, Brandbekämpfungsausrüstung, Absaugung und persönliche Schutzausrüstung) sollten einer genauen Prüfung unterzogen werden. Besondere Aufmerksamkeit sollte „Beinaheunfällen“ geschenkt werden – jenen Vorfällen, die nicht zu Sach- oder Personenschäden führen, aber das unmittelbare Potenzial für schwere Unfallverletzungen haben. Es wird erwartet, dass das Inspektionsteam nach einem Unfall, der zu einer Arbeitsunfähigkeit führt, unverzüglich einberufen wird, um die Umstände außerhalb des normalen Inspektionszyklus zu untersuchen. Aber auch bei der routinemäßigen Werkstattinspektion sollte das Team das Ausmaß der kleineren Unfallverletzungen berücksichtigen, die sich seit der letzten Inspektion in der Abteilung ereignet haben.

Es ist wichtig, dass Unternehmensinspektionen nicht durchgehend negativ erscheinen. Wenn Fehler vorhanden sind, ist es wichtig, dass sie identifiziert und behoben werden, aber es ist ebenso wichtig, die Aufrechterhaltung guter Standards zu loben, sich positiv über Sauberkeit und gute Haushaltsführung zu äußern und diejenigen zu ermutigen, die zu ihrer Sicherheit bereitgestellte persönliche Schutzausrüstung verwenden . Zum Abschluss der Inspektion sollte ein formeller schriftlicher Bericht über die festgestellten erheblichen Mängel erstellt werden. Auf Mängel, die bei früheren Kontrollen festgestellt, aber noch nicht behoben wurden, ist besonders hinzuweisen. Wenn ein Betriebssicherheitsrat oder ein gemischter Arbeitssicherheitsausschuss besteht, sollte der Inspektionsbericht als ständiger Punkt auf der Tagesordnung des Betriebsrats stehen. Der Bericht über die Inspektion ist an die Unternehmensleitung zu senden und mit ihr zu besprechen, die dann den Handlungsbedarf feststellt und gegebenenfalls genehmigt und unterstützt.

Selbst die kleinsten Unternehmen, in denen es keinen Sicherheitsfachmann gibt und wo es möglicherweise keine Gewerkschaften gibt, sollten Betriebsinspektionen in Betracht ziehen. Viele Aufsichtsbehörden haben sehr einfache Richtlinien erstellt, die die Grundkonzepte von Sicherheit und Gesundheitsschutz, ihre Anwendung auf eine Reihe von Branchen und praktische Möglichkeiten, wie sie selbst in den kleinsten Unternehmen angewendet werden können, veranschaulichen. Viele Sicherheitsverbände richten sich mit (oft kostenlosen) Veröffentlichungen speziell an kleine Unternehmen, die grundlegende Informationen zur Schaffung sicherer und gesunder Arbeitsbedingungen liefern. Ausgestattet mit dieser Art von Informationen und mit sehr geringem Zeitaufwand kann der Inhaber eines kleinen Unternehmens vernünftige Standards festlegen und so vielleicht die Art von Unfällen vermeiden, die der Belegschaft selbst in dem kleinsten Unternehmen passieren können.

Zurück

Es ist ein Paradoxon, dass die Verhütung von Arbeitsunfällen nicht sehr früh als absolute Notwendigkeit erkannt wurde, da Gesundheit und Sicherheit für die Arbeit selbst von grundlegender Bedeutung sind. Tatsächlich wurden Arbeitsunfälle erst zu Beginn des XNUMX. Jahrhunderts nicht mehr als unvermeidlich angesehen, sondern ihre Ursachen wurden untersucht und als Grundlage für die Prävention herangezogen. Die Untersuchung von Unfällen blieb jedoch lange oberflächlich und empirisch. Historisch gesehen wurden Unfälle zunächst als einfache Phänomene aufgefasst – das heißt als Folge einer einzigen (oder Haupt-)Ursache und einer kleinen Zahl von Nebenursachen. Es wird heute anerkannt, dass die Untersuchung von Unfällen, die darauf abzielt, die Ursachen des Phänomens zu ermitteln, um ein erneutes Auftreten zu verhindern, sowohl von dem Konzept abhängt, das dem Untersuchungsprozess zugrunde liegt, als auch von der Komplexität der Situation, auf die es angewendet wird.

Unfallursachen

Tatsächlich sind Unfälle in den prekärsten Situationen oft das Ergebnis einer ziemlich einfachen Aneinanderreihung weniger Ursachen, die sich schnell auf grundlegende technische Probleme zurückführen lassen, die selbst eine zusammenfassende Analyse aufdecken kann (schlecht konstruierte Ausrüstung, undefinierte Arbeitsweise, etc.). Andererseits gilt: Je mehr die materiellen Elemente der Arbeit (Maschinen, Anlagen, Arbeitsplatzgestaltung etc.) den Anforderungen sicherer Arbeitsverfahren, Normen und Vorschriften entsprechen, desto sicherer wird die Arbeitssituation. Das hat zur Folge, dass ein Unfall nur dann eintreten kann, wenn gleichzeitig eine Gruppe von immer zahlreicher werdenden Ausnahmebedingungen vorliegt. In solchen Fällen erscheint der Schaden als Endergebnis eines oft komplexen Ursachengeflechts. Diese Komplexität zeugt eigentlich von Fortschritten in der Prävention und erfordert entsprechende Untersuchungsmethoden. Tabelle 1 listet die Hauptkonzepte des Unfallphänomens, ihre Merkmale und Auswirkungen auf die Prävention auf.

Tabelle 1. Hauptkonzepte des Unfallphänomens, ihre Merkmale und die Auswirkungen auf die Prävention

Heutzutage wird ein Arbeitsunfall im Allgemeinen als Hinweis (oder Symptom) einer Funktionsstörung in einem System angesehen, das aus einer einzelnen Produktionseinheit besteht, wie z. B. einer Fabrik, Werkstatt, einem Team oder einem Arbeitsplatz. Es liegt in der Natur eines Systems, dass seine Analyse erfordert, dass der Ermittler nicht nur die Elemente untersucht, aus denen das System besteht, sondern auch ihre Beziehungen untereinander und mit der Arbeitsumgebung. Im Rahmen eines Systems versucht die Unfalluntersuchung, die Abfolge grundlegender Funktionsstörungen, die zum Unfall geführt haben, und allgemeiner das Netzwerk der Vorgeschichte des unerwünschten Ereignisses (Unfall, Beinahe-Unfall oder Zwischenfall) bis zu ihren Ursprüngen zurückzuverfolgen.

Die Anwendung derartiger Methoden wie der STEP-Methode (sequentially timed events plotting procedure) und der „Tree of Causes“-Methode (ähnlich Fehler- oder Ereignisbaumanalysen) ermöglicht die Visualisierung des Unfallgeschehens in Form einer angepasster Graph, der die Multikausalität des Phänomens veranschaulicht. Da diese beiden Methoden so ähnlich sind, würde es eine Doppelarbeit bedeuten, sie beide zu beschreiben; Dementsprechend konzentriert sich dieser Artikel auf die Methode des Ursachenbaums und weist gegebenenfalls auf die Hauptunterschiede zur STEP-Methode hin.

Nützliche Informationen für die Untersuchung

Die erste Phase der Untersuchung, das Sammeln von Informationen, muss eine konkrete, genaue und objektive Beschreibung des Unfallhergangs ermöglichen. Die Untersuchung zielt daher darauf ab, die konkreten Tatsachen zu ermitteln, ohne darauf zu achten, sie zu interpretieren oder eine Meinung darüber zu äußern. Dies sind die Vorgeschichte des Unfalls, von denen es zwei Arten gibt:

1. solche ungewöhnlicher Natur (Änderungen oder Abweichungen) in Bezug auf den „normalen“ oder erwarteten Arbeitsablauf
2. diejenigen von dauerhafter Natur, die durch oder in Kombination mit den ungewöhnlichen Vorgeschichten eine aktive Rolle bei der Entstehung des Unfalls gespielt haben.

Beispielsweise kann sich ein unzureichender Schutz einer Maschine (ein permanenter Vorläufer) als Unfallfaktor herausstellen, wenn er es dem Bediener ermöglicht, eine Position in einem gefährlichen Bereich einzunehmen, um einen bestimmten Vorfall zu bewältigen (ungewöhnlicher Vorläufer).

Die Informationsbeschaffung erfolgt möglichst unmittelbar nach dem Unfallgeschehen direkt am Unfallort. Sie wird vorzugsweise von Personen durchgeführt, die den Vorgang oder das Verfahren kennen und sich bemühen, eine genaue Beschreibung der Arbeit zu erhalten, ohne sich auf die unmittelbaren Umstände des Schadens oder der Verletzung zu beschränken. Die Ermittlung erfolgt zunächst hauptsächlich durch Befragungen, möglichst mit dem Arbeiter oder Betreiber, Opfern und Augenzeugen, anderen Mitgliedern des Arbeitsteams und den Vorgesetzten. Gegebenenfalls wird sie durch eine technische Untersuchung und den Einsatz von externem Fachwissen vervollständigt.

Die Untersuchung versucht, die ungewöhnlichen Vorgeschichten in der Reihenfolge ihrer Priorität zu identifizieren und ihre logischen Verbindungen zu bestimmen. Gleichzeitig wird versucht, die dauerhaften Vorgeschichten aufzudecken, die den Unfall ermöglicht haben. Auf diese Weise kann die Untersuchung zu einem Zeitpunkt zurückgehen, der weiter entfernt ist als die unmittelbare Vorgeschichte des Unfalls. Diese entfernteren Vorläufer können Einzelpersonen, ihre Aufgaben, die von ihnen verwendete Ausrüstung, die Umgebung, in der sie arbeiten, und die Sicherheitskultur betreffen. Wenn Sie auf die gerade beschriebene Weise vorgehen, ist es im Allgemeinen möglich, eine lange Liste von Antezedenzien zu erstellen, aber es wird normalerweise schwierig sein, die Daten sofort zu verwenden. Die Interpretation der Daten wird durch eine grafische Darstellung aller Vorgeschichten der Unfallentstehung – also eines Ursachenbaums – ermöglicht.

Einen Baum der Ursachen konstruieren

Der Ursachenbaum zeigt alle gesammelten Vorgeschichten, die zu dem Unfall geführt haben, sowie die logischen und chronologischen Verknüpfungen, die sie verbinden; es ist eine Darstellung des Netzwerks von Vorgeschichten, die die Verletzung direkt oder indirekt verursacht haben. Der Baum der Ursachen wird ausgehend vom Endpunkt des Ereignisses – d. h. der Verletzung oder dem Schaden – konstruiert und arbeitet sich rückwärts zur Ursache hin, indem systematisch die folgenden Fragen für jede gesammelte Vorgeschichte gestellt werden:

• Durch welchen Vorgänger X wurde Vorgänger Y direkt verursacht?

• War der Vorgänger X an sich ausreichend, um den Vorgänger Y hervorzubringen?

• Wenn nicht, gab es andere Antezedenzien (X1, X2  Xn), die gleichermaßen notwendig waren, um direkt Antezedenzie Y hervorzubringen?

Diese Reihe von Fragen kann unter den Antezedenzien drei Arten von logischen Verbindungen aufzeigen, die in Abbildung 1 zusammengefasst sind.

Abbildung 1. Logische Verknüpfungen, die in der Methode „Baum der Ursachen“ verwendet werden

Die logische Kohärenz des Baums wird überprüft, indem für jeden Antezedens die folgenden Fragen gestellt werden:

• Wenn X nicht stattgefunden hätte, hätte Y trotzdem stattgefunden?

• War X, und nur X, notwendig, damit Y auftritt?

Darüber hinaus veranlasst die Konstruktion des Ursachenbaums an sich die Ermittler, die Informationsbeschaffung und damit die Untersuchung bis zu einem Zeitpunkt weit vor dem Unfall fortzusetzen. Wenn er fertig ist, stellt der Baum das Netzwerk von Vorläufern dar, die zu der Verletzung geführt haben – sie sind tatsächlich die Unfallfaktoren. Als Beispiel hat der unten zusammengefasste Unfall den in Abbildung 2 gezeigten Ursachenbaum erzeugt.

Abbildung 2. Baum der Unfallursachen eines Mechanikerlehrlings beim Wiedereinbau eines Motors in ein Auto

Unfallzusammenfassungsbericht: Ein neu eingestellter Mechanikerlehrling musste im Notfall alleine arbeiten. Eine abgenutzte Schlinge wurde verwendet, um einen Motor aufzuhängen, der neu montiert werden musste, und während dieser Operation brach die Schlinge, und der Motor fiel und verletzte den Arm des Mechanikers.

Analyse nach der STEP-Methode

Gemäß der STEP-Methode (Abbildung 3) wird jedes Ereignis grafisch dargestellt, um die chronologische Reihenfolge seines Erscheinens anzuzeigen, wobei eine Zeile pro betroffenem „Agenten“ beibehalten wird (ein Agent ist die Person oder Sache, die den Ablauf der Ereignisse bestimmt, die konstituieren das Unfallgeschehen). Jedes Ereignis wird genau beschrieben, indem Beginn, Dauer, Start- und Endort usw. angegeben werden. Wenn es mehrere plausible Hypothesen gibt, kann der Untersucher diese im Netzwerk der Ereignisse anzeigen, indem er die logische Beziehung „oder“ verwendet.

Abbildung 3. Beispiel einer Darstellung, die durch die STEP-Methode möglich ist

Analyse nach der Methode des Ursachenbaums

Die Nutzung des Ursachenbaums für die Unfallanalyse hat zwei Ziele:

• die Wiederholung desselben Unfalls unmöglich machen

• Vermeidung von mehr oder weniger ähnlichen Unfällen, also Unfällen, deren Untersuchung Gemeinsamkeiten mit bereits eingetretenen Unfällen ergeben würde.

Angesichts der logischen Struktur des Baums hätte das Fehlen eines einzigen Vorläufers das Auftreten des Unfalls verhindert. Eine vernünftige Präventionsmaßnahme würde daher grundsätzlich ausreichen, um das erste Ziel zu erreichen, indem verhindert wird, dass sich ein und derselbe Unfall wiederholt. Das zweite Ziel würde erfordern, dass alle entdeckten Faktoren eliminiert werden, aber in der Praxis sind nicht alle Vorläufer für die Zwecke der Prävention gleich wichtig. Es ist daher notwendig, eine Liste von Vorfällen zu erstellen, die angemessene und realistische Präventivmaßnahmen erfordern. Wenn diese Liste lang ist, muss eine Auswahl getroffen werden. Diese Wahl hat größere Chancen, angemessen zu sein, wenn sie im Rahmen einer Debatte zwischen den am Unfall beteiligten Partnern getroffen wird. Darüber hinaus wird die Debatte insofern an Klarheit gewinnen, als es möglich ist, die Kostenwirksamkeit jeder vorgeschlagenen Maßnahme zu bewerten.

Wirksamkeit vorbeugender Maßnahmen

Die Wirksamkeit einer Präventionsmaßnahme kann anhand folgender Kriterien beurteilt werden:

Die Stabilität der Maßnahme. Die Auswirkungen einer vorbeugenden Maßnahme dürfen nicht mit der Zeit verschwinden: Die Information der Bediener (insbesondere die Erinnerung an Anweisungen) ist keine sehr stabile Maßnahme, da ihre Auswirkungen oft vorübergehend sind. Dasselbe gilt übrigens für einige Schutzvorrichtungen, wenn sie leicht abnehmbar sind.

Die Möglichkeit der Integration von Sicherheit. Wenn eine Sicherheitsmaßnahme hinzugefügt wird, dh wenn sie nicht direkt zur Produktion beiträgt, wird gesagt, dass die Sicherheit nicht integriert ist. Wenn dies der Fall ist, wird beobachtet, dass die Maßnahme dazu neigt, zu verschwinden. Generell sollte jede Präventivmaßnahme vermieden werden, die zusätzliche Kosten für den Betreiber mit sich bringt, seien es physiologische Kosten (Erhöhung der körperlichen oder nervlichen Belastung), psychologische Kosten, finanzielle Kosten (bei Gehalt oder Leistung) oder gar ein einfacher Zeitverlust.

Die Nichtverdrängung des Risikos. Einige vorbeugende Maßnahmen können indirekte Auswirkungen haben, die sich nachteilig auf die Sicherheit auswirken. Es ist daher immer notwendig, die möglichen Auswirkungen einer vorbeugenden Maßnahme auf das System (Arbeitsplatz, Team oder Werkstatt), in das sie eingefügt wird, vorherzusehen.

Die Möglichkeit der allgemeinen Anwendung (der Begriff des potenziellen Unfallfaktors). Dieses Kriterium spiegelt die Besorgnis wider, dass die gleichen vorbeugenden Maßnahmen auch auf andere Arbeitsplätze anwendbar sein könnten als den, der von dem untersuchten Unfall betroffen ist. Wann immer möglich, sollte versucht werden, über den konkreten Fall hinauszugehen, der Anlass zu der Untersuchung gegeben hat, was häufig eine Neuformulierung der festgestellten Probleme erfordert. Die aus einem Unfall gewonnenen Informationen können somit zu vorbeugenden Maßnahmen in Bezug auf Faktoren führen, die unbekannt sind, aber in anderen Arbeitssituationen vorhanden sind, in denen sie noch nicht zu Unfällen geführt haben. Aus diesem Grund werden sie als „potenzielle Unfallfaktoren“ bezeichnet. Dieser Begriff ebnet den Weg für die später erwähnte Früherkennung von Risiken.

Die Wirkung auf die eigentlichen „Ursachen“. In der Regel eliminiert die verletzungsnahe Vermeidung von Unfallfaktoren bestimmte Auswirkungen von Gefahrensituationen, während die verletzungsvorgelagerte Prävention eher die Gefahrensituationen selbst eliminiert. Eine eingehende Untersuchung von Unfällen ist insofern gerechtfertigt, als die vorbeugenden Maßnahmen gleichermaßen die vorgelagerten Faktoren betreffen.

Die für die Anwendung benötigte Zeit. Die Notwendigkeit, nach einem Unfall so schnell wie möglich zu handeln, um eine Wiederholung zu vermeiden, spiegelt sich oft in der Anwendung einer einfachen vorbeugenden Maßnahme (z. B. einer Unterweisung) wider, was jedoch nicht die Notwendigkeit anderer dauerhafterer Maßnahmen ausschließt und effektiveres Handeln. Jeder Unfall muss daher zu einer Reihe von Vorschlägen führen, deren Umsetzung Gegenstand der Weiterverfolgung ist.

Die oben genannten Kriterien sollen dazu dienen, die Qualität der nach jeder Unfalluntersuchung vorgeschlagenen vorbeugenden Maßnahmen besser einschätzen zu können. Die endgültige Auswahl wird jedoch nicht allein auf dieser Grundlage getroffen, da auch andere Überlegungen, wie wirtschaftliche, kulturelle oder soziale, berücksichtigt werden müssen. Schließlich müssen die beschlossenen Maßnahmen selbstverständlich die geltenden Vorschriften einhalten.

Unfallfaktoren

Die aus jeder Unfallanalyse gezogenen Lehren verdienen es, systematisch aufgezeichnet zu werden, um den Übergang vom Wissen zum Handeln zu erleichtern. Somit besteht Abbildung 4 aus drei Spalten. In der linken Spalte sind die Unfallfaktoren notiert, die vorbeugende Maßnahmen erfordern. Mögliche vorbeugende Maßnahmen werden in der mittleren Spalte für jeden entschiedenen Faktor beschrieben. Nach der oben erwähnten Diskussion wird die ausgewählte Aktion in diesem Teil des Dokuments festgehalten.

Abbildung 4. Lehren aus Unfällen und die Nutzung dieser Lehren

Die rechte Spalte deckt die potenziellen Unfallfaktoren ab, die von den in der linken Spalte aufgeführten Faktoren vorgeschlagen werden: Es wird davon ausgegangen, dass jeder entdeckte Unfallfaktor oft nur ein besonderer Fall eines allgemeineren Faktors ist, der als potenzieller Unfallfaktor bekannt ist. Der Übergang vom Sonderfall zum allgemeineren Fall erfolgt oft spontan. Immer dann, wenn ein Unfallfaktor so ausgedrückt wird, dass er nicht anderswo als in der Situation, in der er aufgetreten ist, anzutreffen ist, muss eine allgemeinere Formulierung in Erwägung gezogen werden. Dabei gilt es, zwei gegensätzliche Fallstricke zu vermeiden, um den Begriff des potenziellen Unfallfaktors effektiv für die Früherkennung später auftretender Risiken zu nutzen. Eine zu umschriebene Formulierung erlaubt keine systematische Erfassung der Faktoren, eine zu weite Formulierung macht den Begriff unbrauchbar und von keinem weiteren praktischen Interesse. Die Erkennung potenzieller Unfallfaktoren setzt also deren gute Formulierung voraus. Diese Erkennung kann dann auf zwei Wegen erfolgen, die sich zudem ergänzen:

1. entweder durch Suche nach dem möglichen Vorhandensein von potenziellen Faktoren, die bereits auf der Ebene eines Arbeitsplatzes oder eines breiteren Bereichs (Werkstatt, Dienstleistung) bekannt sind
2. oder indem Sie nach Jobs suchen, bei denen ein bereits bestimmter Faktor beobachtet werden kann.

Nützlichkeit, Wirksamkeit und Grenzen der Unfalluntersuchung

Nützlichkeit. Methoden der Unfalluntersuchung nach einem systematischen Konzept haben gegenüber nicht-systematischen Untersuchungen zahlreiche Vorteile, darunter:

• Sie ermöglichen es, das kausale Netzwerk jedes Unfalls kollektiv zu definieren, wodurch es einfacher ist, neue Präventivmaßnahmen zu entwickeln und ihre Auswirkungen vorherzusehen, ohne sich auf die direkten Ursachen der Verletzung zu beschränken.

• Sie liefern den an der Analyse Beteiligten eine reichhaltigere und realistischere mentale Repräsentation des „Phänomens Unfall“, die ein globales Verständnis von Arbeitssituationen ermöglicht.

• Eingehende Unfalluntersuchungen (insbesondere wenn sie auf Zwischenfälle und unerwünschte Ereignisse ausgedehnt werden) können ein Mittel und eine geeignete Gelegenheit für den Dialog zwischen Management und Betreibern werden.

Wirksamkeit. Um effektiv zu sein, erfordert die Unfalluntersuchung, dass vier Bedingungen gleichzeitig erfüllt sind:

1. ein offensichtliches Engagement der obersten Leitung der Einrichtung, die in der Lage sein muss, die systematische Umsetzung solcher Verfahren sicherzustellen
2. Ausbildung der Ermittler
3. Management, Vorgesetzte und Arbeiter umfassend über die Ziele der Untersuchung, ihre Prinzipien, die Anforderungen der Methode und die erwarteten Ergebnisse informiert
4. echte Verbesserungen der Sicherheitsbedingungen, die die Beteiligten zu zukünftigen Untersuchungen ermutigen werden.

Einschränkungen. Selbst wenn sie sehr gut durchgeführt wird, leidet die Unfalluntersuchung unter einer doppelten Einschränkung:

• Es bleibt ein Verfahren zur Untersuchung von Risiken a posteriori (nach Art der Systemanalyse) mit dem Ziel, bestehende Situationen zu korrigieren. Es verzichtet daher nicht auf die Notwendigkeit a priori (prospektive) Untersuchungen, wie die ergonomische Untersuchung von Arbeitsplätzen oder bei komplexen Systemen Sicherheitsuntersuchungen.

• Der Nutzen von Unfalluntersuchungen hängt auch vom Sicherheitsniveau der Einrichtung ab, in der sie durchgeführt werden. Insbesondere bei hohem Sicherheitsniveau (niedriger oder sehr niedriger Unfallrate) zeigt sich, dass schwere Unfälle aus dem Zusammenwirken zahlreicher unabhängiger Zufallsfaktoren resultieren, die außerhalb des Untersuchungskontextes sicherheitstechnisch relativ unbedenklich sind .

Zurück