Das Risikoakzeptanzkriterium MEM

Die Minimale Endogene Mortalität ist ein relativ altes deutsches Risikoakzeptanzkriterium, das versucht, die Frage der Risikominderung auf feste Fundamente zu stellen.

„Endogen“ heißt „im Inneren erzeugt“, sprich: ohne äußeren Einfluß auf das zu bauende System. „Mortalität“ ist die Sterblichkeit.

Es geht also um die Frage, wie wahrscheinlich es ist zu sterben. Dabei wird die minimale Sterbenswahrscheinlichkeit gesucht. Also nicht die des 60-jährigen oder des Krebspatienten, sondern die reale Sterbenswahrscheinlichkeit für Kinder und Jugendliche zwischen fünf und fünfzehn Jahren. Die Zahlenwerte basieren auf einer Studie aus dem Jahr 1981. Daraus ergibt sich eine natürliche Sterblichkeit dieser Gruppe von 2×10^-4 Todesfällen pro Person und Jahr.

Rechnung

Das Ziel lautet, daß das System keine merkliche Auswirkung auf das Todesfallrisiko haben soll. Es soll also höchstens im Bereich dieses „allgemeinen Hintergrundrisikos“ liegen.

Der Mensch ist häufig von einer Anzahl von technischen Systemen umgeben, nehmen wir bis zu 20 Stück an, dann sollen einem einzelnen System nur fünf Prozent dieser Rate zugestanden werden: 1×10^-5 Todesfällen pro Person und Jahr.

Dabei rechnen wir mögliche Verletzungen in Todesfälle um: hundert Leichtverletzte entsprechen zehn Schwerverletzten entsprechen einem Toten.

Und weil Unfälle mit einer großen Anzahl von Toten gesellschaftlich als besonders schwerwiegend wahrgenommen werden, modifizieren wir den oben errechneten Schwellwert und senken ihn für über hundert Tote linear immer weiter ab:

Minimale Endogene Mortalität

Eigenschaften

Die Minimale Endogene Mortalität ist ein absolutes Maß, sogar mit konkretem Zahlenwert. Dadurch sticht sie aus der Konkurrenz von ALARP und GAMAB hervor.

Jedoch basiert der Zahlenwert auf nur einer einzelnen Studie.

Die Minimale Endogene Mortalität ist insofern fundiert, als dem Risikoziel eine Begründung zugrundeliegt.

Sie ist aber auch sehr simplistisch und bildet komplexe Zusammenhänge nicht ab.

Inzwischen ist die Minimale Endogene Mortalität als Riskoakzeptanzkriterium mehr oder weniger ausgestorben. Sie findet höchstens noch Verwendung im Zusammenspiel mit ALARP oder GAMAB, um eine harte Grenze zu definieren. So kann diese Minimale Endogene Mortalität als Schwelle zur “broadly acceptable region” in ALARP dienen.

Das Risikoakzeptanzkriterium GAMAB

Kommen wir nach dem Beitrag zu ALARP nun zu einem anderen Risikoakzeptanzkriterium. GAMAB kommt aus Frankreich und steht für „Globalement au moins aussi bons“ und bedeutet damit „generell mindestens so gut“.

Ebenfalls verwendet wird GAME – „Globalement au moins èquivalent“.

GAMAB wurde hauptsächlich im Bereich von Verkehrsmitteln wie Eisenbahnen verwendet, wird aber auch dort von ALARP zunehmend verdrängt.

Dieses Riskoakzeptanzkriterium ist recht einfach: sei mindestens so gut wie das Referenzsystem.

Das Referenzsystem ist häufig das Vorgängersystem oder ein vergleichbares System. Wenn ich eine neue U-Bahn bauen möchte, muß sie mindestens so sicher sein wie andere U-Bahnen.

Eigenschaften von GAMAB

GAMAB ist ein absolutes Maß. „Besser als“ ist eine klare Relation. Letztenendes werden zwei oder mehrere Zahlen verglichen.

Wachsen die Anforderungen mit, so wie bei ALARP? Im Prinzip ja, denn die Monotonie („mindestns so sicher wie“) sorgt für einen Aufwärtstrend. Allerdings kann es über längere Zeit auch Stillstand geben, es gibt keinen expliziten Zwang, besser zu werden.

Hochproblematisch kann die Notwendigkeit eines Referenzsystems sein. Gerade neue, innovative Systeme haben häufig kein direkt vergleichbares System. Denn das Referenzsystem muß ähnlich genug sein, um einen seriösen Vergleich miteinander durchzuführen.

Die Bewertung ist konkreter als bei ALARP, aber nicht notwendigerweise leichter. Das System muß in Funktionseinheiten heruntergebrochen werden (beispielsweise Bremsen oder Antrieb) und dann mit dem Referenzsystem verglichen werden. Diese Abbildung muß man erst einmal erstellen können.

Dazu muß auch die Struktur beider Systeme gut bekannt sein. Das betrifft zum Beispiel Systemgrenzen, Risiken und Gefährdungen. Das eigene System sollte man wohl kennen, aber möglicherweise ist man noch in einem sehr frühen Entwicklungsstadium und das System ist noch nicht so weit ausdetailliert. Das Referenzsystem ist möglicherweise ein System der Konkurrenz und das Wissen um dessen Interna ist eingeschränkt.

Ebenfalls ist unklar, ob ein Teilsystem unsicherer sein darf als das Referenzsystem, solange ein anderes Teilsystem das wieder ausgleicht.

Ein echter Vorteil ist, daß dieses Risikoakzeptanzkriterium trotz aller Schwierigkeiten einfach zu vermitteln ist: „besser als“ versteht auch jeder Laie.

GAMAB ist insgesamt jedoch eher simplistisch und bildet komplexe Zusammenhänge nicht ab.

Das Risikoakzeptanzkriterium ALARP

ALARP steht für “as low as reasonably practicable” und ist ein verbreitetes Risikoakzeptanzkriterium. Infolge verschiedentlicher Standardisierung im Automatisierungs-, Prozeß- und Automobilbereich (IEC61508 als Basisnorm, darauf aufbauend IEC 61511 oder angelehnt ISO 26262) ist ALARP heutzutage das verbreitetste – wenn nicht in der Praxis gar das einzige – Risikoakzeptanzkriterium.

Im Strahlenschutzbereich kennt man ALARP auch, dort aber unter dem Akronym ALARA: “as low as reasonable achievable”. Inhaltlich sind ALARP und ALARA jedoch identisch.

ALARP stammt aus England und ist unter einem weiteren Akronym – SFAIRP (“so far as is reasonably practicable”) – im dortigen Arbeitsschutzgesetz verankert. Entwickelt wurde das Prinzip aufgrund eines Gerichtsprozesses, in dem es um die Haftung nach einem Grubenunglück im Bergbau ging. Das Gericht entwickelte Grundsätze, um den Fall bewerten zu können, und das Parlament hat diese dann später aufgegriffen:

Reasonably practicable is a narrower term than “physically possible” and implies that a computation must be made […] in which the quantum of risk is placed in one scale and the sacrifice involved in the measures necessary for averting the risk (whether in time, trouble or money) is placed in the other.

Court of Appeals, Edwards v. National Coal Board, 1949

Normalerweise wird in jeder Erklärung von ALARP nun das Karottendiagramm gezeigt. Ich verstehe nicht warum, denn weder Farbe noch Form (die beide an eine Karotte erinnern) stellen irgendeine Information dar. Ich begnüge mich mit ein paar kurzen Absätzen, die ALARP ebenfalls vollständig beschreiben.

Unacceptable region

Die inakzeptable Region ist schnell erklärt: wenn das technische System nach allen ergriffenen Maßnahmen noch immer ein Risiko aufweist, das von der Gesellschaft als inakzeptabel hoch betrachtet wird, dann darf das System so nicht gebaut werden.

Was bedeuten „inakzeptabel“ und „für die Gesellschaft“? Das ist absichtlich so schwammig formuliert. Intuitiv bedeutet es, wenn man einem vernünftigen Menschen das System erläutert und er entsetzt ist, dann ist es inakzeptabel. Praktisch heißt es, daß man mit seiner benannten Stelle, die ein Zertifikat ausstellen soll, das Thema diskutiert.

Noch praktischer heißt es aber: Common practices und Stand der Technik beachten. Die meisten von uns bauen keine revolutionären Systeme. Wenn ich eine hydraulische Presse baue, dann weiß ich, daß bereits hydraulische Pressen auf dem Markt sind, es also möglich sein muß. Und wenn ich im großen und ganzen dieselben Maßnahmen in der Entwicklung ergreife, werde ich auch vergleichbar gut sein.

Dieser inakzeptable Bereich spielt in der Praxis keine Rolle. Niemand baut Systeme, die Gefahr laufen, dort hinein zu fallen. Solche System mögen in einem allerersten Brainstorming auf den Tisch kommen, werden dann aber schnell „entschärft“ oder fallengelassen.

Ein System im inakzeptablen Bereich muß eine weitere Risikominderung erfahren, oder es wird evben nicht existieren.

Tolerable region

Der tolerierbare Bereich (auch ALARP-Bereich) erfordert eine ständige Abwägung im Einzelfall: man darf sich nicht darauf ausruhen, den tolerierbaren Bereich erreicht zu haben und weitere Risikominderungen weglassen, aber man muß auch keine Risikominderung um jeden Preis betreiben.

Der tolerierbare Bereich ist eben kein Zielbereich, und sobald ich drin bin, habe ich gewonnen. Er ist der Bereich, wo ich weitere Maßnahmen zur Risikominderung ergreifen soll, aber solche Maßnahmen auch im Einzelfall ablehen darf, weil ihr Aufwand oder ihre Kosten in keinem Verhältnis zur Risikominderung stehen.

Das ist der Bereich, in dem man sich in einer normalen Entwicklung befindet. Hier fordert die benannte Stelle immer weitere Maßnahmen (aus Sicht der entwickelnden Unternehmens bis zum Stillstand des Projekts), läßt sich aber überzeugen, wenn man aufzeigen kann, daß die ergriffenen Maßnahmen wirksam sind und man alles getan hat, was vernünftig ist.

Broadly acceptable region

In dieser Region ist das Risiko bereits so weit gemindert, daß jede weitere Diskussion als Zeitverschwendung betrachtet wird. Man könnte noch weitere Maßnahmen ergreifen, diese wären auch nicht übertrieben aufwendig und teuer.

Aber das verbliebene Restrisiko ist bereits so niedrig, daß man nicht weiter darüber nachdenken muß. Die gefährdete Person könnte ja auch von einem Blitz getroffen werden, während sie gleichzeitig von einem Auto überfahren wird.

In diese Region kommt man natürlich ebenfalls so gut wie nie. Sie stellt aber klar, daß irgendwo einmal ein Ende der Risikominderung vertretbar ist.

Ab welchem Wert für das Restrisiko gilt das? Wiedrum gibt es keine konkrete Zahl. Wie immer entscheidet zunächst der Entwickler, dann die benannte Stelle und zuletzt das Gericht.

Eigenschaften von ALARP

ALARP ist ein subjektives Maß. Unterschiedliche Personen können vertretbar zu unterschiedlichen Bewertungen kommen.

Die Anforderungen an technische Systeme „wachsen mit“, wenn die gesellschaftliche Einstellung sich ändert, beispielsweise weil kürzlich ein aufsehenerregender Unfall in diesem Bereich durch die Presse ging.

Ebenso wachsen die Anforderungen mit, wenn der Stand der technik sich ändert. Heute sind wir sicherlich an einem Punkt, an dem der Einsatz statischer Analysewerkzeuge für Programmcode üblich ist, also sollte man sie auch einsetzen. Vor dreißig Jahren sah das noch anders aus.

All dies bedeutet aber auch, daß ALARP einem wenig Anleitung und Halt gibt, man steht mit der Bewertung doch ziemlich alleine da.

Ein Vorteil ist sicherlich, daß kein Referenzsystem notwendig ist, ALARP kann auch für völlig neuartige Systeme angewendet werden.

Menschenleben werden durch ALARP jedoch indirekt pekuniär bewertet, denn man könnte mit mehr Kosten und Aufwand immer noch das Risiko mindern, der ALARP-Bereich sagt einem jedoch, daß auch irgendwann Schluß sein darf. Dieses Aufwiegen von Leben gegen Geld ist nicht allgemein akzeptiert.

Safety in der Karibik

Eine etwas makabre Interpretation von Safety beziehungsweise Arbeitssicherheit finden wir in einem Buch von 1844.

Dabei werden sie [die Arbeiter] dann öfters schläfrig und kommen, ohne es zu merken, mit einem Finger zwischen die Walzen, die dann sogleich den Finger und darauf die Hand zwischen sich hineinrädern und ganz zerquetschen. Darum steht immer einer mit einem scharfen Beile dabei, der sogleich den Finger oder die Hand abhaut, wenn sie hineingekommen ist, damit nicht der ganze Mensch gerädert wird.

Vollständig praktische Bearbeitung der sechs ersten Lebensverhältnisse nach Graser: ein nothwendiges Hand- und Hülfsbuch für alle Lehrer in den teutschen Schulen, welche einen angenehmen und geistigen Unterricht ihren Schülern ertheilen wollen. Sechstes Lebensverhältniß, Seite 285, „Das Zuckerrohr“

So begann das tatsächlich. Das Menschenleben war wenig wert, schmerzhaft war für den Besitzer der Plantage vornehmlich der Arbeitsausfall und Stillstand einer Maschine. Da war „Hand ab“ bereits eine Art der Fürsorge.

Harmonisierte Standards und EU-Richtlinien

Wenn man heutzutage Produktenwicklung für den Europäischen Markt betreibt, muß man allenorten EU-Richtlinien und andere Gesetze einhalten.

Und obwohl Ingenieure diese Anforderungen auf technischer Seite üblicherweise sehr gut beherrschen, kann es manchmal desillusionieren, wenn man sie über ihre Wahrnehmung der rechtlichen Mechanismen sprechen hört.

Die Vorstellung, daß Standards und Normen (beispielsweise der IEC oder der ISO) an sich bereits rechtliche Verbindlichkeit besitzen, ist erstaunnlich verbreitet. Ebenso glauben viele Ingenieure, EU-Richtlinien seien direkt bindendes Recht.

Aber das ist falsch. Daher möchte ich in groben Zügen skizzieren, wie EU-Richtlinien, nationale Gesetze und Internationale Standards zusammenwirken.

Als Beispiel wähle ich die Richtlinie 2006/42/EG, im beruflicher Umgangssprache auch als „Maschinenrichtlinie“ bezeichnet.

Diese ist nur ein Beispiel, aber andere Richtlinien funktionieren auf dieselbe Art und Weise.

Die rechtliche Funktionsweise dieses Themenkomplexes sieht wie folgt aus:

  1. Die EU verabschiedet eine Richtlinie. Richtlinien sind nicht direkt bindend für Mitgliedstaaten, Unternehmen oder Bürger (ein paar Grauzonen haben sich im Laufe der Jahre natürlich herausgebildet) und müssen von nationalen Parlamenten in nationale Gesetze gegossen werden. Die Richtlinie ist dabei eine Grundlage, die nationalen Parlamentarier dürfen darüber hinausgehen, was die Richtlinie fordert.
  2. In Deutschland haben wir diese Richtlinie durch das Produktsicherheitsgesetz umgesetzt.
  3. Das Gesetz ermächtigt eine ganze Reihe von Bundesministern, Verordnungen zu erlassen, die spezielle Themen regeln. Beispielsweise regelt die Neunte Verordnung die Maschinensicherheit.
    Diese Verordnungen verweisen üblicherweise auf die EU-Richtlinie zurück und betten diese auch teilweise in nationales Recht ein.
    Beispielsweise können Sie in der Neunten Verordnung lesen, daß einige Anforderungen im wesentlichen als „muß Anforderungen A, B und C gemäß Anhang I aus 2006/42/EG erfüllen“ oder als „muß Dokumentation gemäß Anhang I aus 2006/42/EG bereitstellen“ formuliert sind.
  4. Das nationale Gesetz und die nationalen Verordnungen müssen erfüllt werden. Nicht ein „EU-Gesetz“. Dieses Gesetz und kein anderes.
    Die Schlüsselerkenntnis ist diese: wie Sie diese Anforderungen erfüllenen liegt bei Ihnen. Ebenso liegt die Beweislast bei Ihnen, daß Sie diese Anforderungen erfüllt haben.
  5. Weil diese Anforderungen ziemlich vage und abstrakt gehalten sind, können Sie nicht unbedingt ganz einfach beweisen, daß Sie alle Anforderungen erfüllen. Daher eröffnet das Gesetz Ihnen einen bequemeren Pfad (und letztenendes, weil dies der Gedanke hinter dem “New Approach” ist, den die EU verfolgt):
    Sie dürfen zeigen, daß Sie die Anforderungen bestimmter anwendbarer Standards erfüllen. Wenn sie dies zeigen können (und die Beweislast liegt hierfür nach wie vor bei Ihnen!), dann greift automatisch die Konformitätsvermutung, daß Sie Gesetz und Verordnungen befolgen.
  6. Hier kommt nun diese Tabelle ins Spiel. Diese sind die Standards, die „unter der Richtlinie harmonisiert“ sind.
    Wenn Sie einen Standard finden, der (teilweise) auf Ihren Anwendungsfall zutrifft (Sie dürfen keinen Standard zur Reaktorsicherheit auf Ihre Spielwaren anwenden…), können Sie die Beweislast von Gesetz und Verordnung zum Standard verschieben (soweit anwendbar).
  7. Bislang klingt das nicht sehr aufregend. Sie haben lediglich einen Satz von Anforderungen, für den Sie die Beweislast tragen, durch einen anderen Satz von Anforderungen, für den Sie auch die Beweislast tragen) ersetzt.
    Der Witz dabei ist, daß diese Standards auf Ihren Anwendungsfall zugeschnitten und damit viel praxistauglicher und handhabbarer sind.
    Und der eigentliche Witz ist, daß Sie vom TÜV, der Brufsgenossenschaft und anderen „benannten Stellen“, die das EU-Recht festgelegt hat, eine Zertifizierung erhalten können, daß Sie den Standard befolgen. Sie werden TÜV oder BG vermutlich nicht dazu bekommen können, Konformität zum Produktsicherheitsgesetz zu bescheinigen.
  8. Aber es steht Ihnen jederzeit frei, jeden harmonisierten Standard zu ignorieren. Wenn Sie ein gutes Gefühl dabei haben, die Anforderungen der nationalen Gesetze und Verordnungen ohne die Hilfe dieser harmonisierten Standards zu erfüllen, dürfen Sie dies tun. Und in vielen Fällen müssen Sie das ohnehin, weil keine richtig anwendbaren harmonisierten Standards existieren.