Sicherheitsmanagement

Sicherheitsmanagement: Führt, lenkt und koordiniert eine Organisation in Bezug auf alle Sicherheitsaktivitäten.

(Die Begriffsbestimmung erfolgt in Anlehnung an IEC 60300-2, Dependability management – Part 2 Guidelines for dependability management, EN ISO 9000 Qualitätsmanagementsystem und VDI 4003 Zuverlässigkeitsmanagement )

Sicherheitsmanagementsysteme (SMS) kommen heute in allen Industriebereichen mit Gefährdungspotentialen zur Anwendung. Die Notwendigkeit der Einführung und Anwendung der SMS ergaben sich praktisch in allen Industriebereichen aus der Unfallerfahrung, wonach über die Fehlermöglichkeiten der Technik und des Personals hinaus sich gravierende Mängel in der Organisation als wesentliche Unfallursachen herausgestellten. Als bedeutend Unfallereignisse, die hierzu Anlass gaben, sind: Chemie - Sevesounglück Seveso (1976), Kerntechnik – Tschernobyl (1986), Raumfahrt – Challenger (1986), Petrochemie - Piper Alpha (1988), Bahn – Eschede (1998).

In der Luftfahrt wird dieser Prozess mit „the evolution of safety thinking“ bezeichnet, wonach sich die Erkenntnis über die wesentlichen Unfallursachen-Arten zeitlich wie folgt entwickelt hat: Technische Faktoren (1950), Human Factors (1970), Organisatorische Faktoren (1980) ^[1]. Die Entwicklung der Methoden der Zuverlässigkeitstechnik zur Bewertung technischer Systeme (Technische Faktoren) begann etwa um 1950.

Mit dem Tschernobyl-Unfall von 1986, der in erheblichem Maße organisatorische Mängel in Form von Regelverletzungen offenbarte, wurde die Bedeutung der Einflussgröße „Sicherheitskultur“ auf das Unfallgeschehen erkannt und ergänzt die Reihe der o. a. Unfallursachen-Arten. Die Ölkatastrophe im Golf von Mexiko von 2010 zeigt noch einmal die Bedeutung dieser Einflussgröße auf.

Die Schweizer Aufsichtsbehörde HSK stellt die enge Wechselbeziehung zwischen „Sicherheitskultur“ und Sicherheitsmanagement heraus^[2]:

„Sicherheitskultur und Sicherheitsmanagement sind sehr nahe verwandt. Trotz dieser Verwandtschaft besteht aber ein wesentlicher Unterschied zwischen den beiden Begriffen. Während Sicherheitskultur selber nicht direkt beobachtbar und nur an ihren Auswirkungen zu erkennen ist, kann das Sicherheitsmanagement direkt beobachtet und – auf Papier – beschrieben werden. Aus dem Vorhandensein eines Sicherheitsmanagement-Systems, dessen expliziten Beschreibung und der Feststellung seiner Wirksamkeit kann somit indirekt auf die Sicherheitskultur des Werkes geschlossen werden.“

In der Luftfahrt wird die Notwendigkeit der Einführung von Sicherheitsmanagementsystemen (SMS) wie folgt begründet^[3]:

„Sicherheits-Management basiert auf der Prämisse, dass es immer Sicherheitsrisiken und menschliche Fehler gibt. Das SMS lässt Prozesse entstehen, die die Kommunikation über diese Risiken und die Maßnahmen zu deren Verringerung verbessern. Das Sicherheitsniveau und die Sicherheitskultur einer Organisation werden damit nachhaltig verbessert."

Die wesentlichen Elemente der SMS in den verschiedenen Industriebereichen sind weitgehend vergleichbar, wobei aufgrund spezifischer Industrieerfahrung punktuell unterschiedliche Schwerpunkte gesetzt sind (siehe Abschnitt: Anwendungsbereiche des Sicherheitsmanagements).

Zentraler Bestandteil eines Sicherheitsmanagements ist ein Sicherheitskonzept. Hier werden alle relevanten Rahmenbedingungen, die definierten Sicherheitsziele des Unternehmens sowie Maßnahmen zur Zielerreichung beschrieben bzw. definiert. Das Sicherheitskonzept stellt entsprechend die Basis für die Planung und Durchführung einzelner Sicherheitsmaßnahmen dar. Ziel der Erstellung und Umsetzung eines Sicherheitskonzepts ist das Erreichen eines geplanten Sicherheitsniveaus und die Minimierung identifizierter Risiken.

Die Sicherheitspolitik umfasst Ziele und Richtlinien der Sicherheit in Unternehmen. Die Sicherheitspolitik soll im Einklang mit dem Leitbild des Unternehmens stehen und von der Unternehmensführung vertreten und den Mitarbeitern vermittelt werden.

Die Sicherheitsanalyse ist Teil der Tätigkeiten im Rahmen des Sicherheitsmanagements in einer Organisation oder einem Unternehmen. Ziel der Sicherheitsanalyse ist es, Bedrohungen zu erkennen, deren Eintrittswahrscheinlichkeit und Schadenspotenzial einzuschätzen und daraus das Risiko für die Organisation abzuschätzen, z. B. nach Standards ISO 27001.

Mittel der Sicherheitsanalyse sind sowohl technischer Art (darunter Vulnerability Scan und Penetrationstest), als auch prozessorientierter Art (Gespräche mit verantwortlichem Personal oder Datenschützern, Dokumentationsanalysen oder Geschäftsprozessanalyse).

Der Sicherheitsbericht ist vom Betreiber der Anlage zu erstellen und soll die folgenden Elemente enthalten (Beispiel aus dem Bereich Chemie^[4]):

• Konzept zur Verhütung schwerer Unfälle;
• Beschreibung des Sicherheitsmanagements und seiner Anwendung;
• Ermittlung der Gefahren schwerer Unfälle und der erforderlichen Maßnahmen zu ihrer Verhütung und der Begrenzung der Folgen für Mensch und Umwelt (z. B. mittels einer Gefahren- und Risikoanalyse / Sicherheitsanalyse);
• Darlegung der Auslegung, Errichtung, Betrieb und Wartung der Systeme der Anlage, die im Zusammenhang mit der Gefahr schwerer Unfälle stehen, und dass die Systeme ausreichend sicher und zuverlässig sind;
• Beschreibung der internen Notfallpläne und Angaben zu externen Notfallplänen, wie bei einem schweren Unfall die erforderlichen Maßnahmen ergriffen werden sollen;
• Angabe über die Informationen, die der zuständigen Behörde bereitgestellt werden.

Sicherheitsindikatoren (Safety Performance Indicators) sind aus dem System-Betrieb abgeleitete Parameter, die leicht zu erfassen und zu verfolgen sind. Sie geben ein klares Bild über den Sicherheit-Status des System-Betriebes. Der Betriebsführung geben sie in einem frühen Stadium Hinweise auf eine mögliche Verschlechterung des System-Betriebes, so dass Korrekturmaßnahmen eingeleitet werden können, bevor ein inakzeptables Risiko eintritt^[5].

Als Konsequenz aus dem Chemieunfall in der norditalienischen Stadt Seveso im Jahr 1976 wurde 1980 von der Europäischen Kommission die erste Störfall-Richtlinie ("Seveso-I-Richtlinie") 1982 herausgegeben. ^[6] Unter dem Eindruck der Unfälle von Bhopal (1984) und Guadalajara, Mexiko (1992) wurde 1996 in der “Seveso-II-Richtlinie” fortgeschrieben, in der erstmals die Erstellung eines Sicherheitsmanagementsystems von Betreibern gefordert wird. ^[4]

Im Anhang III der "Seveso-II-Richtlinie" werden die Grundsätze für das Konzept zur Verhinderung von Störfällen und das Sicherheitsmanagementsystem genannt: Das Konzept zur Verhinderung von Störfällen ist schriftlich auszufertigen und in einem Sicherheitsbericht darzulegen; es umfasst die Gesamtziele und allgemeinen Grundsätze des Vorgehens des Betreibers zur Begrenzung der Gefahren von Störfällen, die in einem Sicherheitsmanagement zu Anwendung kommen sollen.

Das Sicherheitsmanagementsystem soll die folgenden Elemente enthalten (Text geringfügig gekürzt):

• Organisation und Personal - Aufgaben und Verantwortungsbereiche, Ausbildungs- und Schulungsbedarfs.
• Ermittlung und Bewertung der Gefahren von Störfällen sowie Abschätzung der Wahrscheinlichkeit und der Schwere solcher Störfälle.
• Überwachung des Betriebs - Verfahren und Anweisungen für den sicheren Betrieb, einschließlich der Wartung der Anlagen.
• Sichere Durchführung von Änderungen - Verfahren zur Planung von Änderungen bestehender Anlagen.
• Planung für Notfälle - Ermittlung vorhersehbarer Notfälle, Erprobung und Überprüfung der Alarm- und Gefahrenabwehrpläne.
• Überwachung der Leistungsfähigkeit des Sicherheitsmanagementsystems - Meldung von Störfällen und Beinahe-Störfällen, Versagen von Schutzmaßnahmen.
• Systematische Überprüfung der Wirksamkeit und Angemessenheit des Sicherheitsmanagementsystems.

Sicherheitsbericht sowie Sicherheitsmanagementsystem sind mindestens alle 5 Jahre einer Überprüfung zu unterziehen. In der Zwölften Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes wurde die “Seveso-II-Richtlinie” in deutsches Recht umgesetzt. ^[7]

Die Explosion Ölplattform “Piper Alpha”, am 6. Juli 1988, bei der 167 Personen ums Leben kamen, führte zu einer grundlegenden Neuausrichtung der sicherheitstechnischen Maßnahmen in der Petrochemie.

Lord Cullen ^[8] kommt in seiner Unfalluntersuchung (1990) zu dem Ergebnis, dass das vorherrschende Sicherheitsregime der Offshore-Industrie („Present offshore regime“) unzureichend ist und das Genehmigungsverfahren in der Offshore-Industrie (in UK) einer grundlegender Erneuerung bedarf. Jedes Offshore-Unternehmen sollte über ein formalisiertes Sicherheitsmanagementsystem (SMS) verfügen, in dem die Sicherheitsziele („Safety objectives“) des Unternehmens ausgewiesen sind und in Sicherheitsstandards festlegt ist, wie diese Sicherheitsziele erreicht und nachgewiesen werden. Aufgabe des Sicherheitsmanagement ist es, die Sicherheitsziele sowohl bei der Systemauslegung wie auch im Betrieb des Systems zu gewährleisten. Das realisierte SMS ist der zuständigen Behörde darzulegen.

Im Einzelnen soll das SMS die folgenden Elemente enthalten:

• Schaffung einer Organisationsstruktur
• Standards für das Managementpersonal
• Ausbildung für Betrieb und Notfälle
• Sicherheitsanalyse
• Auslegungsrichtlinien ("design procedures").
• Prozeduren für Betrieb, Instandhaltung, Änderungen und Notfälle
• Sicherheitsmanagement von Subunternehmern bezüglich deren Arbeit.
• Einbindung des Betriebspersonals und das der Subunternehmer in das Sicherheitsmanagement
• Berichterstellung von Unfall- und Störungsereignissen, Ereignisanalyse und Maßnahmenverfolgung.
• Überwachen und Auditieren der Funktionsweise des SMS
• Systematische Neubewertung des SMS in Bezug auf die Erfahrung des Betreibers und der Industrie.

In der britischen Norm „Occupational Health and Safety Management System“ (BS 8800, 1996) wurden die Elemente des SMS übernommen und konkretisiert.

Nach der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates über Eisenbahnsicherheit in der Gemeinschaft („Richtlinie über die Eisenbahnsicherheit“) ^[9][10][11] sind die wesentlichen Bestandteile des Sicherheitsmanagementsystems:

• eine Sicherheitsordnung, die vom Unternehmensleiter genehmigt und dem Personal mitgeteilt wird;
• unternehmensbezogene qualitative und quantitative Ziele im Hinblick auf die Erhaltung und Verbesserung der Sicherheit sowie Pläne für die Erreichung dieser Ziele;
• Verfahren zur Einhaltung bestehender, neuer und geänderter Normen technischer und betrieblicher Art;
• Verfahren für die Durchführung von Risikobewertungen und die Anwendung von Maßnahmen zur Risikokontrolle für den Fall, dass sich aus geänderten Betriebsbedingungen oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben;
• Schulungsprogramme für das Personal und Verfahren, die sicherstellen, dass die Qualifikation des Personals aufrechterhalten und die Arbeit dementsprechend ausgeführt wird;
• Vorkehrungen für einen ausreichenden Informationsfluss innerhalb der Organisation und gegebenenfalls zwischen Organisationen, die dieselbe Infrastruktur nutzen;
• Verfahren und Formate für die Dokumentierung von Sicherheitsinformationen und die Bestimmung von Kontrollverfahren zur Sicherung der Konfiguration von entscheidenden Sicherheitsinformationen;
• Verfahren, die sicherstellen, dass Unfälle, Störungen, Beinahe-Unfälle und sonstige gefährliche Ereignisse mitgeteilt, untersucht und ausgewertet werden und dass die notwendigen Verhütungsmaßnahmen ergriffen werden;
• Bereitstellung von Einsatz-, Alarm- und Informationsplänen in Absprache mit den zuständigen Behörden;
• Bestimmungen über regelmäßige interne Nachprüfungen des Sicherheitsmanagementsystems.

Die Maßnahmen zum Sicherheitsmanagement werden ergänzt durch die Ermittlung von Sicherheitsindikatoren (Unfallereignisse durch Kollisionen, Zugentgleisungen, Unfälle an Bahnübergängen, Unfälle mit Personenschäden, Suizide, Fahrzeugbrände), Indikatoren in Bezug auf Störungen, Beinahe-Unfälle sowie Indikatoren über die Wirksamkeit des Sicherheitsmanagements (mit Bezug auf die durchgeführten Audits).

Zum Nachweis der Wirksamkeit des praktizierten Sicherheitsmanagement-Systems haben alle Fahrwegbetreiber und Eisenbahnunternehmen der Sicherheitsbehörde jedes Jahr einen Sicherheitsbericht vorzulegen^[10]. Darin sind Angaben zu machen, wie die unternehmensbezogenen Sicherheitsziele erreicht wurden, wie die erfassten Sicherheitsindikatoren sich entwickelt haben, über die Ergebnisse der internen Sicherheitsüberprüfungen und über Mängel und Störungen beim Eisenbahnbetrieb.

Der Sicherheitsnachweis über alle Elemente des Sicherheitsmanagement-Prozesses muss nach EN 50129 ^[12] über den gesamten Lebenszyklus von der Erstellung, Betrieb bis zur Entsorgung eines Systems in einem Sicherheitsmanagement-Bericht erfolgen. In allen Fällen sind Gefährdungsanalysen und Risikobewertungsprozesse, wie in EN 50126 ^[13] definiert, notwendig.

In den Kernkraftwerken ist heute die Anwendung von Sicherheitsmanagementsystemen internationaler Standard. Die wesentliche Grundlage stellt hierfür der Bericht der Internationalen Atomenergie Agentur (IAEA) “Management of Operational Safety in Nuclear Power Plants” – INSAG-13 da^[14].

Der Bericht gibt eine detaillierte Beschreibung zum Sicherheitsmanagement für Kernkraftwerke und weist auf den sehr engen Zusammenhang zwischen Sicherheitsmanagement und Sicherheitskultur hin, wonach sich beide wechselseitig bedingen.

Eine Organisation mit einer starken Sicherheitskultur verfügt über ein effektives Sicherheitsmanagement, das wiederum die Arbeitsbedingungen schafft, die das Verhalten und die Einstellungen des Personals zur Sicherheit bestärkt.

Das SMS wird dementsprechend auch definiert^[14]: „Das Sicherheitsmanagementsystem umfasst die organisatorischen Maßnahmen eines Unternehmens im Hinblick auf Sicherheit, um eine starke Sicherheitskultur und eine gute Sicherheitsleistung („Safety performence“) zu erreichen.“

Aus der Erfahrung mit der Anwendung von SMS konnten die folgenden Systemschwächen festgestellt werden ^[14]:

• Unzureichende Identifikation der grundlegenden Ursachen von Störungen („real root causes“).
• Mangelndes Engagement des Managements bei der Lösung identifizierter Probleme.
• Unzureichende Aufmerksamkeit bei der Planung und Durchführung von Abhilfemaßnahmen und deren Priorisierung.
• Fehlende Überzeugung der Mitarbeiter auf vorgesehene Änderungen einzugehen.
• Unzureichende Ressourcen für die Realisierung von Verbesserungsmaßnahmen.

In Deutschland wurde 2004 vom BMU für alle Kernkraftwerke die Einführung von Sicherheitsmanagementsystemen gefordert, deren Grundsätze in ^[15] beschrieben wurden.

Das Sicherheitsmanagementsystem (SMS), in der Zivilluftfahrt als „Safety Management System“ bezeichnet, ist von der Internationalen Zivilluftfahrtorganisation (ICAO) verbindlich vorgeschrieben und muss von ihren 190 Vertragsstaaten, zu denen unter anderem auch Deutschland, Österreich und die Schweiz gehören, umgesetzt werden. Der Grundidee des SMS^[1] ist, Sicherheit als Führungsaufgabe zu verstehen, d. h. latente Gefahren proaktiv zu erkennen, um ihnen frühzeitig vorzubeugen. Begangene Fehler sollen retrospektiv berichtet werden, damit eine Wiederholungsgefahr weitgehend ausgeräumt wird. (Zu den Gefahren in der Luftfahrt, siehe^[16].)

Das SMS-Konzept der ICAO enthält zwei Adressaten, nämlich einersteits die ICAO-Vertragsstaaten selbst, die jeweils ein eigenes, umfassendes Sicherheitsprogramm „State Safety Programme“ (SSP) erstellen sollen. Andererseits richtet es sich an Flughafenbetreiber, Luftverkehrsgesellschaften, Wartungsbetriebe und Schulungseinrichtungen der Luftfahrtbranche, die jeweils ein betriebsinternes SMS einführen und von den zuständigen Behörden der Vertragsstaaten überwacht werden sollen.

In den amerikanischen ACRP Reports “Safety Management Systems for Airports”, Volume 1: Overview ^[3] und Volume 2: Guidebook ^[17] finden sich detaillierte Anleitungen zur Einführung von SMS für Flughafenbetreiber.

• Störfallkommission beim BMU, „Sicherheitsmanagement-Systeme“, 10.1999[16]
• E. Moch, Th. Stephan, „Entwicklung von Arbeitshilfen zur Erstellung und Prüfung des Konzeptes zur Verhinderung von Störfällen“, Umweltbundesamt, UBA-FB 29948324[17]
• Umweltbundesamt, „Sicherheitsmanagement-Handbuch“[18]
• M. Niemeyer, „Entwicklung und Implementierung innovativer Qualitätstechniken zur Effektivierung von Managementsystemen“, Otto-von-Guericke-Universität Magdeburg, 12.2004[19]
• A. Wolter, „Neue rechtliche und technische Ansätze bei der Beurteilung von Chemieanlagen bzw. Betriebsbereichen i. S. d. Störfallverordnung im Rahmen der Bauleitplanung – Typisierende Betrachtung mit Hilfe von Elementen der Risikobewertung“, Bergische Universität Wuppertal, 02.2007[20]
• St. Szameitat, „Computerunterstütztes Sicherheitsmanagement - Gestaltung von Auswertungssystemen für sicherheitskritische Ereignisse in Industrieanlagen mit hohem Gefährdungspotential“, Technische Universität Berlin, 2003[21]

1. ↑ ^{a b} [1], Safety Management Manual (SMM), ICAO Doc 9859, ISBN 978-92-9231-295-4, 2009
2. ↑ , Frischknecht, A., J. Nöggerath, Deutschmann: „Aufsicht über die betriebliche Sicherheit der Kernkraftwerke“, Vortrag bei SVA-Vertiefungskurs „Überprüfung der betrieblichen Sicherheit von KKW“, Winterthur, 10.2000.
3. ↑ ^{a b} [2], ACRP Report 1: "Safety Management Systems for Airports", Volume 1: Overview, Transportation Research Board, Washington, D.C., 2007
4. ↑ ^{a b} [3], Richtlinie 96/82/EG des Rates vom 9. Dezember 1996 zur Beherrschung der Gefahren bei schweren Unfällen mit gefährlichen Stoffen, Amtsblatt Nr. L 010 vom 14/01/1997
5. ↑ [4], Aviation Glossary Aviation Glossary - Defining the Language of Aviation
6. ↑ [5], Richtlinie 82/501/EWG des Rates vom 24. Juni 1982 über die Gefahren schwerer Unfälle bei bestimmten Industrietätigkeiten, Amtsblatt Nr. L 230 vom 05/08/1982
7. ↑ [6], Bundes-Immissionsschutzgesetzes (Störfall-Verordnung –– 12. BImSchV), Mai 2000
8. ↑ [7], Cullen, D. 1990. The Public Inquiry into the Piper Alpha Disaster. Department of Energy, HMSO Cm 1310, London
9. ↑ [8], Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates über Eisenbahnsicherheit in der Gemeinschaft („Richtlinie über die Eisenbahnsicherheit“), Artikel 9 Sicherheitsmanagementsysteme, 29. April 2004
10. ↑ ^{a b} [9], Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates über Eisenbahnsicherheit in der Gemeinschaft („Richtlinie über die Eisenbahnsicherheit“), 29. April 2004
11. ↑ [10], Björn Ludwig: "Sicherheitsmanagementsysteme - eine neue Herausforderung für Eisenbahnen?" ETR Eisenbahntechnische Rundschau, Jg.: 53, Nr.11, 2004, ISSN: 0013-2845
12. ↑ EN 50129: Bahnanwendung - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme-Sicherheitsrelevante elektronische Systeme für Signaltechnik, Febr. 2003
13. ↑ [11], EN 50126: Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS); Deutsche Fassung, 1999
14. ↑ ^{a b c} [12], “Management of Operational Safety in Nuclear Power Plants” – INSAG-13, IAEA, Wien, 1999
15. ↑ [13], Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit Bekanntmachung, „Bekanntmachung - Grundlagen für Sicherheitsmanagementsysteme in Kernkraftwerken“, 29. Juni 2004 und "Grundlagen für Sicherheitsmanagementsysteme in Kernkraftwerken", Bonn, 29. Juni 2004
16. ↑ [14], engl. Wikipedia: Air safety / hazards
17. ↑ [15] ACRP REPORT 1: “Safety Management Systems for Airports”, Volume 2: Guidebook, Transportation Research Board, Washington, D.C., 2009