Warum mit der Komplexität von Systemen die Wahrscheinlichkeit von Unfällen exponentiell ansteigt
Das Produktions- und Logistiksystem ist komplex. Ebenso komplex die Vorkehrungen für die Sicherheit: Sicherheitsschalter und Armaturen, Abschrankungen, Einhausungen, Sicherheitsvorschriften, alle Mitarbeiter eingewiesen und unterwiesen und geschult, Arbeits- und Betriebsanweisungen geschrieben und ausgehängt, Warn-, Verbots- und Gebotsschilder überall, Persönliche Schutzausrüstung (PSA) wird en Masse verwendet – und dennoch passieren jedes Jahr schwere und tödliche Unfälle bei der Arbeit. Wie kann das sein? Es wurde doch wirklich an alles gedacht!
Luftfahrtindustrie als Massstab beim Thema „Sicherheit“
Schauen wir uns ein Beispiel an, das in mehrfacher Hinsicht traurige Bekanntheit erlangte. Am 26. Mai 1991 stürzt eine Boeing 767 der Lauda Air über Thailand ab. Alle an Bord befindlichen 223 Menschen starben bei dem Absturz. Der schwerste Unfall in der österreichischen Luftfahrtgeschichte. Die Maschine war erst anderthalb Jahre alt. Wie konnte das geschehen?
Unfalluntersuchung zeigt Fehler in der Konstruktion
Im Steigflug hatte sich am linken Triebwerk, ungewollt von den Piloten, die Schubumkehr aktiviert. Zur Erklärung: Dies ist eine aerodynamische Zusatzbremse, die dazu da ist, nach dem Aufsetzen auf der Landebahn das Flugzeug zusätzlich abzubremsen. Die Aktivierung der Schubumkehr während des Fluges führte zum Strömungsabriss mit anschliessendem Trudeln (Spiralsturz). Das Flugzeug wurde durch die hierbei auftretenden Kräfte strukturell überbeansprucht und in der Luft zerrissen. Bei der Unfall-Untersuchung wurde ein Konzeptionsfehler in der hydraulischen Steuerung der Schubumkehr aufgedeckt, der unter bestimmten Umständen die Schubumkehr während des Fluges, ungewollt von den Piloten, auslösen konnte. Auch konnten die Piloten nicht erkennen, dass sich die Schubumkehr aktiviert hatte, sie hatten kein entsprechendes Warnsignal oder Meldung von den Systemen des Flugzeuges erhalten.
Nachrüstung und Nachbesserung weltweit
Mit Bekanntwerden der Unfall-Ursache aufgrund der Unfalluntersuchungsergebnisse wurde die entsprechende Empfehlung zur Umrüstung aller baugleichen Flugzeuge weltweit herausgegeben, und zeitnah von den Betreibern umgesetzt. Niemand will, dass sich so etwas wiederholt.
Lernen aus Fehlern – um neue, tödliche Fehler zu machen?
Wie sah das Sicherheitskonzept zur Vermeidung ähnlicher Unfälle beim Wettbewerber Airbus damals aus? In seinen computergesteuerten Flugzeugsystemen „Fly by Wire“ verknüpften die Airbus-Ingenieure die Freigabe der Schubumkehr an zwei UND-verknüpfte Bedingungen als Eingangs-Signale: Einerseits eine Lastaufnahme von 12 Tonnen an beiden Hauptfahrwerken, sowie das Signal eines Drehzahlsensors an beiden Hauptfahrwerken, der anzeigte, dass die passiv mitgeschleppten, d.h. nicht angetriebenen Räder bei der Landung durch den Bodenkontakt beim Aufsetzen Drehzahl aufgenommen haben. Die Sicherheitsarchitektur von Airbus an dieser Stelle lautete also, vereinfacht gesprochen:
- WENN Fahrwerk beidseitig belastet
- UND Fahrwerk beidseitig rotiert
- DANN Freigabe der aerodynamischen Zusatzbremse durch den Autopiloten oder manuell durch die Piloten
- SONST keine Freigabe der aerodynamischen Zusatzbremse
Neuer tödlicher Unfall trotz erhöhter Sicherheitslogik – oder wegen der Sicherheitsvorkehrungen?
Am 14. September 1993 verunglückte ein Airbus A320 der Lufthansa bei der Landung in Warschau. Zwei Menschen starben, als die Maschine bei der Landung nicht rechtzeitig zum Stillstand gebracht werden konnte, und über das Landebahnende hinaus schlitterte. Was war hier passiert? Wegen starker Scherwinde setzte die Maschine zunächst nur mit einem der beiden Hauptfahrwerke auf. Folge: Der Bordcomputer bekam kein positives Lastaufnahme-Signal von beiden Hauptfahrwerken. Durch starkes Aquaplaning (Wasserfilm) auf der Piste drehten sich die Räder dann nach dem Aufsetzen so langsam, dass der Bordcomputer kein positives Drehzahlsignal erhielt, und davon ausging, die Maschine befinde sich noch nicht auf dem Boden. Folgerichtig verhinderte er jegliches Bremsmanöver. Als die Systeme schliesslich die Vollbremsung inclusive Schubumkehr zuliessen, reichte die restliche Länge der Landebahn nicht mehr aus, um die Maschine rechtzeitig zum Stillstand zu bringen. Das Flugzeug pralle mit über 100 km/h Restgeschwindigkeit in ein Hindernis hinter dem Landebahnende, und fing Feuer. Zwei Menschen starben bei diesem Unfall.
Sicherheitsmechanismen wirkten – und führten deswegen zu einer anderen Art von Unfall
Was als Sicherheitsmechanismus zur Verhinderung bestimmter Unfallarten gedacht war, wie derjenige, der zum tragischen Absturz der LaudaAir Maschine 1991 geführt hatte – Aktivierung der Schubumkehr in der Luft – wurde hier zur Ursache eines erneuten Unfalles mit Todesopfern: Die Schubumkehr als Zusatzbremse konnte unter diesen besonderen Umständen beim Landen am Boden nicht aktiviert werden!
Erneutes Durchdenken des Unfallerklärungsmodells deckt Ursachen auf, die bisher nicht bedacht wurden
Es gibt viele Ansätze und Modelle um Unfälle zu analysieren und die Ursachen zu erforschen. Der „beste Unfall“ ist jedoch immer der Unfall, der nie passiert! Wie konnte es zu diesem Unfall in Warschau kommen? Logisch und folgerichtig hatte der Bordcomputer hier die Eingangssignale aller relevanten Sensoren empfangen und ausgewertet, und die gemäss seiner Programmierung richtigen Ausgabe-Befehle veranlasst, besser: nicht veranlasst. Kein technischer Fehler also. Nein, der Fehler lag bei denjenigen Menschen, die diese Programmlogik entworfen und als sicher erachtet hatten. Denn offenbar waren nur Techniker, aber keine erfahrenen Piloten – in diesem Falle die Anwender, Operatoren bzw. Maschinenbediener – in die Erstellung der Programmlogik integriert gewesen. Hätte man erfahrene Piloten hinzugezogen, wäre sicher jemand auf die Idee gekommen, zu fragen: „Was ist bei starkem Seitenwind oder bei Schwerwindlandungen, wenn das Flugzeug, um die Querabdrift zu kompensieren, mit hängender Tragfläche anfliegt, und zuerst nur einseitig, mit einem Fahrwerk, aufsetzt? Was ist, wenn wegen Glätte oder Nässe die Räder nicht sofort Rotation aufnehmen, weil der Reifen schlittert?“ Das sind die entscheidenden Fragen, die die globale technische Luftfahrtintelligenz versäumte, zu stellen.
Nicht Vorwurf oder Anklage, sondern lernen und künftig besser machen lautet die Devise, wenn es um die Sicherheit geht
Heute reichen in allen Verkehrsflugzeugen A320 von Airbus das Signal einer Lastaufnahme von nur 2 Tonnen – statt vorher 12 Tonnen – an nur einem der beiden Hauptfahrwerke, um die aerodynamischen Zusatz-Bremsvorgänge durch die Schubumkehr an den Triebwerken freizugeben. Die positive Rotation der Räder wurde als notwendiges Signal zur Freigabe der Schubumkehr logischerweise ausgekoppelt, weil die Erfordernis dieses Signales sich unter bestimmten Umständen, wie z. B. Aquaplaning oder Eisglätte, als Verhinderung der notwendigen Massnahme erwiesen hatte: Die Aktivierung der Schubumkehr als Zusatzbremse konnte nicht erfolgen. Die Sicherheitsmassnahme wurde damit zum zusätzlichen Sicherheitsrisiko.
Das Modellglied „Begünstigende Bedingung“ als finaler Auslöser des Unfalls wird oftmals nicht erkannt
Man kann unterstellen: Die simple Tatsache, dass eine Piste zuweilen glatt sein kann, wurde bis zum Unfall in Warschau 1993 global in der Luftfahrtindustrie schlichtweg nicht gesehen. Hier musste sich die Sicherheitsintelligenz der Luftfahrtindustrie einen blinden Fleck eingestehen. Um dann aus Schmerz zu lernen. Wie ist das in Ihrem Unternehmen? Kennen sie das Unfallerklärungsmodell? Und, wenden Sie es konsequent an? Lernen Sie immer konsequent aus jedem einzelnen Zwischenfall? Oder wird bei Ihnen eher nach einem Schuldigen gesucht, und schnell auf „Menschliches Versagen“ oder „Mitarbeiterfehler“ geschlossen? Ist ja auch bequemer so… Nur: So lernt Ihre Organisation nichts, und es ist meist nur eine Frage der Zeit, bis sich ähnliche Zwischenfälle wiederholen.
Methodenkompetenz und Erfahrung sind die Schlüssel zur Unfallvermeidung
So wie man bei Airbus besser erfahrene Piloten bei der Konstruktion und Programmierung hinzugezogen hätte, so tun Sie als Unternehmer, Geschäftsführer, Produktions- oder Werkleiter gut daran, wenn Sie schon in der Planungsphase, vor Ausschreibung bei der Beschaffung neuer Gewerke erfahrene Anwender und Sicherheitsfachkräfte hinzuziehen. Diese Menschen helfen Ihnen, die richtigen Fragen zu stellen, und können aus ihrer Erfahrung heraus frühzeitig auf bekannte Risiken hinweisen. Lassen Sie es nicht soweit kommen, dass Sie und Ihr Unternehmen blutiges Lehrgeld zahlen müssen! Beauftragen Sie lieber gleich die Profis, wenn es um die Sicherheit Ihrer Mitarbeiter und die Haftungsrisiken aller Vorgesetzten geht.
Inspiriert, geschockt, amüsiert, was gelernt oder verstanden, fachlich interessiert, oder voll verrissen? Schreiben Sie uns gern ein Feedback unter
