„Menschliches Versagen“ ist Auslegungssache
Wer die Zuspitzung der Situation im Kernkraftwerk Fukushima 1 verfolgte, konnte Zweifel an der Beherrschbarkeit der Situation bekommen. Denn der Mensch kann nur bedingt auf eine solche Flut an Störungen und Alarmen reagieren. Das gilt für Kraftwerke ebenso wie für Chemieanlagen oder Flugzeugcockpits. In heutigen Systemen kann dies durch ein Alarmmanagement berücksichtigt werden, sofern die Stromversorgung steht.
Wie eine unter normalen Umständen beherrschbare Situation nach und nach außer Kontrolle geraten kann, zeigen seit dem 11. März die Ereignisse im japanischen Kernkraftwerk Fukushima-Daiichi. Im Mittelpunkt steht dabei der Mensch, der schließlich nur noch eingeschränkt reagieren kann. Dabei ist die Theorie längst bekannt: „Das Alarmmanagement verlangt zunächst eine Ausrichtung an den mentalen Modellen der Benutzer“, erklärte dazu Prof. Oliver Sträter vom Fachgebiet Arbeits- und Organisationspsychologie der Universität Kassel gegenüber den VDI nachrichten. Im Alarmfall erfolge die Kontrolle von Alarmen in Abgleich mit den mentalen Modellen Reizüberflutungen führen in diesem Fall dazu, dass unpassende Information weggelassen wird, schlimmstenfalls entwickelt sich ein Tunnelblick auf Einzelaspekte der Störung.
„Ähnliches muss sich in Fukushima abgespielt haben, denn der Block 2 – der nun offensichtlich ein Leck im Containment hat – war eigentlich der einzige Block, der zumindest 50 h im Nachkühlbetrieb war“, sagte Sträter, der seit 2003 der deutschen Untergruppe Reaktorbetrieb der Reaktor-Sicherheitskommission (RSK) angehört.
In Fukushima kamen wichtige psychologische Aspekte zusammen
Bei Fukushima kamen, so Sträter, eine Reihe von wichtigen psychologischen Aspekten zusammen: „Zunächst ist dies ein auslegungsüberschreitendes Ereignis gewesen, mit drastischen Kontextbedingungen: Privates Umfeld zerstört, Nachbarblöcke zerstört und Unklarheit, was mit den eigenen Familien und dem Zuhause ist.“ All dies vermindere die rationale Aufnahmefähigkeit und verstärke die emotionale Steuerung, wodurch es zur Fixation auf einzelne Vorgänge im Aufgabenbereich kommen könne.
Fukushima verdeutlichte laut Sträter zwei bedeutende Aspekte: “ Zunächst zeigt sich, dass die derzeit auch in Deutschland anerkannten Methoden der menschlichen Zuverlässigkeitsbewertung – dem Human Reliability Assessment, HRA – für den Notfallbereich untauglich sind.“ Beispielsweise werde in Deutschland das Verfahren „Human Cognitive Reliability“ (HCR ) verwendet, welches einen Zeit-Zuverlässigkeits-Zusammenhang annimmt und die psychologischen Eigenschaften der Informationsverarbeitung ignoriere. Das Defizit dieser Methode sei seit Jahrzehnten in Deutschland bekannt.
Zudem zeige das Ereignis in Japan, dass Methoden der menschlichen Zuverlässigkeitsbewertung auch die Zuverlässigkeit bei der Erstellung der Auslegungskriterien berücksichtigen müsse. „Hier sind die sicherheitstechnischen und betriebswirtschaftlichen und auch behördlichen Gestaltungskriterien besser miteinander abzustimmen“, machte Sträter deutlich.
In diesem Zusammenhang wurde kurz nach dem Unglück auf der 434. Sitzung der Reaktor-Sicherheitskommission für die deutschen Kernkraftwerke ein Anforderungskatalog veröffentlicht. Die dort enthaltenen Empfehlungen beziehen sich direkt auf die in Fukushima beobachteten Problembereiche, wie wetterbedingte Ereignisse und deren Überlagerungen sowie daraus resultierende lang anhaltende Stromausfälle. Eine abstrahierende Übertragung der Erkenntnisse, wie mit dem prinzipiellen Problem eines Restrisikos sowohl auf betrieblicher als auch auf behördlicher Seite umzugehen ist, fehle laut Sträter.
Störungen im Betriebsablauf sind in der Regel nicht so dramatisch wie in Fukushima
Meist sind die Störungen im Betriebsablauf zwar nicht so dramatisch wie nun in Japan, dennoch besteht in Großanlagen öfter als nötig die Gefahr des „menschlichen Versagens“. Carsten Risch, Leitsystemspezialist bei ABB Automation in Mannheim, kennt die Praxis: „Bediener müssen tendenziell immer größere Bereiche betreuen. Dadurch werden mehr Alarme angezeigt. Das führt dazu, dass sie vom Bediener irgendwann einfach weggedrückt werden.“ Zudem würden bei der Inbetriebnahme bewusst viele Meldungen erzeugt, deren Einstellungen später nicht immer „aufgeräumt“ würden.
Nach Angaben von Überwachungssystemanbieter Matrikon, Edmonton/Kanada, liege die durchschnittliche Zahl der Alarme pro Tag mit 1500 in der Petrochemie und 2000 in der Stromerzeugung deutlich über der Empfehlung der Anwendervereinigung EEMUA (Engineering Equipment and Materials User Association), London. Laut Risch ist es daher wichtig, die Alarmgrenzen sinnvoll festzulegen und damit die Alarmrate sukzessive zu senken.
Risch rät allerdings davon ab, Alarme z. B. bei Wartungsarbeiten einfach abzuschalten, weil die Gefahr bestehe, dass diese nicht wieder aktiviert werden. Mit Systemfunktionen der Leittechnik könne dem vorgebeugt werden. So werde beim „Alarmshelving“ ein bestimmter Zeitraum bis zur automatischen Reaktivierung festgelegt. Mit dem „Alarmhiding“ ließen sich dagegen z. B. beim Hoch- und Runterfahren einer Anlage Alarme durch Übergangszustände temporär unterdrücken.
Alarmmanagement könnte Katastrophen wie in Fukushima verhindern
Das Alarmmanagement ist daher für Risch eine Option, die immer häufiger genutzt werde. Das Spektrum reiche von einfachen Tabellen bis hin zu High-Performance-Visualisierung. Auch eine Kaskadierung von Alarmen sei möglich, um Folgealarme von einem anderen Alarm gezielt zu unterdrücken. Risch dazu: „Das muss aber vom Kunden gewollt sein und wird dann bereits im Engineering festgelegt.“
Unterstützung erhält er dabei von Dieter Westerkamp, Geschäftsführer der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA), Düsseldorf: „Bei großen Anlagen ist es sehr wichtig, sich bereits in der Planungsphase dem Thema Alarmmanagement zu widmen, denn hier erfolgt die Festlegung der Alarme, deren Priorisierung und wie damit im Einzelfall umzugehen ist.“ Wichtig sei zudem die Langzeitbeobachtung des Auftretens von Alarmen im Betrieb. Hier ließen sich durch Betriebserfahrungen noch weitere Meldungen und Alarme durch situationsbezogene Unterdrückung, Alarmgruppierung und Filterung reduzieren.
Dass Anlagen, die teilweise älter als 20 Jahre sind, mit modernem Alarmmanagement nachgerüstet werden, hält Rainer Hofmann von ABB Automation allerdings für unwahrscheinlich. „Da prallen zu unterschiedliche EDV-Standards aufeinander.“ Eine solche Nachrüstung sei nur im Falle einer Migration der Automatisierungsanlage auf den aktuellen Stand der Technik sinnvoll.
Ein Beitrag von: